防火墙策略的组成VIP免费

第1页共12页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共12页3．1防火墙策略的组成在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA的基本配置，使内部的所有用户无限制的访问外部网络。在ISAServer2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。访问规则：则定义了内、外网的进行通讯的具体细节。服务器发布规则：定义了如何让用户访问服务器。3.1.1网络规则ISA2004通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISAServer2004中的一个很大的进步，它没有了ISAServer2000只有一个LAT表的限制，可以很好的支持多网络的复杂环境。在ISA2004的网络规则中定义的网络连接的方式有：路由和网络地址转换。3.1.1.1路由路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA与Windows2000Server和WindowsServer2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。在ISA2004中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时，我们可以配置相应的路由网络规则。需要注意的是，路由网络关系是双向的。如果定义了从网络A到网络B的路由关系，那么从网络B到网络A也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。3.1.1.2网络地址转换（NAT）NAT即网络地址转换（NetworkAddressTranslator），在Windows2000Server和Windowsserver2003中，NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。ISA2004由于同Windows2000Server和Windowsserver2003的路由和远程访问功能集成，所以支持NAT的的连接类型。当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP地址和端口号翻译成NAT服务器自第2页共12页第1页共12页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共12页己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机。当NAT服务器从Internet主机接收到回答信息后，它也会将其包头进行替换，将自己的外部IP地址和端口号转换为请求客户机的内部IP地址的端口号，然后再把信息包发内网的客户机。当在ISA2004中指定了这促类型的连接后，ISA服务器将用它自己的IP地址替换源网络中的客户端的IP地址。从而对外隐藏了内部管理的IP，同时也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险，并可减少了IP地址注册的费用。需要注意的是：NAT关系是唯一的和单向的。如果定义了从网络A到网络B的NAT关系，则不会自动定义从B到A的网络关系。您可以创建定义双向关系的网络规则，但是ISA服务器将忽略有序规则列表中的第二条网络规则。3.1.1.3默认网络规则在进行ISA2004的安装时，系统会创建以下默认规则（如图3-1所示）：本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。VPN客户端到内部网络：此规则指定在两个VPN客户端网络（.VPN客户端.和.被隔离的VPN客户端.）与内部网络之间存在着路由关系。Internet访问：此规则定义了在内部受保护的网络（如内部、VPN客户端等）与外部网络之间存在的NAT关系。3.1.2访问规则第3页共12页第2页共12页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共12页访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有IP通讯、适用于特定的协议定义集或适用于除所选协议之外的所有IP通讯。也可以在访问规则中对用户访问进行精确的限定。当客户端使用特定协议请求对象时，ISA服务器会在访问规则列表中从上而下地进行检查。...