一次ISA Server 2004防火墙的部署经历 - 技术文档 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 技术文档 » 一次ISA Server 2004防火墙的部署经历 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

阿尔发
技术员

帖子 7
精华 1
无忧币 644
积分 234
阅读权限 30

注册日期 2005-10-17

最后登录 2008-3-17

离线

[查看资料] [发短消息] [Blog]

发表于:2005-10-17 20:45　　标题：一次ISA Server 2004防火墙的部署经历
＜上一帖 | 下一帖＞

所有有关“ISA”的资料

来源版块: ISA

压缩包内文件格式: 文本内容

附件来源: 互联网

运行平台: Windows平台

是否经本人验证: 是

附件性质: 免费

详细说明: 这篇文章所讲述的过程并不复杂，只是牵涉到很多方面，所以可能对大家在实际的部署过程中会有所帮助

不便贴图，大家要看图可下载文章后面的DOC文档

一次ISA Server 2004防火墙的部署经历

朋友公司的网线早在几年前装修时就已经布好了，布线也相当规范，每个房间都拉了两根线，以作备份，所有的线都由机柜引出来，在机柜中接在配线架上，房间中则全部做在模块里，现在是只差一台交换机，所有计算机就可以联网了（在这之前，只有某个安全部门实现了几台机器联网），但由于一些原因，直到现在才准备使用，于是我叫他提出要求，然后我再根据要求进行网络设计及具体实施。他的要求是：
1，  调度室的一台计算机需要24小时都能上网，而上网服务器只在每天的上午8点到下午6点开机；
2，  可以根据用户、IP等限制客户端上网；
3，  原网络（以后就叫安全网）的某些计算机能够访问新网络（以后就叫办公网）的某些计算机，而办公网不能访问安全网；
4，  网上邻居中大家都能看到；

网络规划

于是我根据他的要求和网络的实际情况，作出了如图1所示的网络规划，划分了三个子网，下面先大致解释一下是怎样处理上面提到的要求的，具体实现后面将详细讲述。
1，  为了满足第一个要求，我把ADSL猫先接在一台小交换机上，然后调度室的计算机和上网服务器的外网卡再接在这台交换机上，这样当上网服务器关机后，调度机就可自行拨号上网，而当上网服务器开机后，调度机就断线让它拨号上网，然后再通过上网服务器访问因特网，具体配置后面将讲到。
2，  为了更好控制上网行为，这里将使用ISA Server 2004标准版作上网服务器和防火墙，为了方便管理和以后能够在用户级控制上网，这台ISA服务器也将是一台域控制器，当然不建议大家把ISA装在DC上，这里是没有办法的办法，因为没有多余的计算机；
3，  为了物理隔离安全网与办公网，这里使用了支持VLAN的交换机，原安全网不作变动，直接连接到VLAN交换机的一个端口上，并把这个端口单独定义成一个VLAN，其他的端口属于另一个VLAN，不过这里的网络环境有个特殊情况，由于每个房间只布了两根网线，而这里在ISA的房间中只有一根网线能够接在ISA的机器上，这就有了一个问题，因为这里要划分两个VLAN，那么按传统方法，ISA就必须准备两张网卡，然后分别与各自的VLAN相连，但这里却只有一根网线可用，那一个好的办法就是把ISA这个内网卡所连接的端口划分在两个VLAN中，即说这个端口属于两个VLAN，是两个VLAN的公共通道，这还需要交换机的支持，还好这里的交换机支持，不过这也需要在ISA的内网卡配置两个IP，以对应不同的VLAN，这个windows是支持的，所以不成问题，具体配置后面讲到。安全网与办公网之间如果互访则通过ISA的访问规则进行控制。
4，  因为安全网是另外一个域，也属于另外一个子网，网上邻居需要NetBios的支持，而NetBios的名称解析如果使用广播是不能跨越子网的，所以我们需要架设WINS服务器，这样网上邻居中才能看到两个子网的计算机。

具体实施

（一）安装与配置域控制器
为了方便管理，新网络（办公网）192.168.6.0/24将以一个域网络的形式出现，这里首先要做的就是安装一台域控制器，并且这台域控制器也将作为ISA服务器，再次强调一下，不建议你将ISA安装在域控制器上，这里是因为计算机不够用才走的下策。安装的具体步骤我想就必细说了，这里大致提一下（假设已经安装好了windows server 2003）：
1，配置网卡
ISA外网卡（请与图1对照）：
IP：192.168.5.1/24
网关：无
DNS：无
禁用“TCP/IP上的NetBIOS”，如图2，
ISA内网卡：
第一IP：192.168.6.1/24
第二IP：192.168.0.222/24（如图3）
网关：无
DNS:192.168.6.1
WINS: 192.168.6.1
2，在运行框中输入Dcpromo命令把这台服务器提升为域控制器，在提升过程中的“DNS注册诊断”窗口选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”，如图4，大家一定要注意，DNS是域的重要组成部分，没有正确配置的DNS你的域将会出现很多问题！
3，安装完成后打开DNS管理控制台，右击服务器图标，进入其属性窗口，然后切换到转发器标签，添加要转发到的DNS服务器，这里也就是ISP提供的DNS服务器，如图5。这样配置之后客户端进行内部访问（如域登录）时就使用内部的DNS服务，访问因特网时就由此DNS进行转发解析。
4，域控制器安装完成后请将这台服务器也安装成WINS服务器，可以从“添加/删除程序”下“添加删除WINDOWS组件”中选择“网络服务”下的WINS安装。

（二）划分VLAN
要把安全网与办公网从物理上隔开就需要划分VLAN，当你划分了VLAN之后，即使用户把自己的IP改成另一个VLAN子网内的IP，它也是无法访问那个子网内的计算机的。这里把端口24单独设置成一个VLAN，即安全网所连接的端口，其余端口划分为一个VLAN，这里的关键是要把ISA内网卡连接的端口划在两个VLAN中，这里ISA内网卡连接的端口是Port 4，从图6可以看出，我把它划在了两个VLAN中，内网卡第一IP 192.168.6.1对应办公网，第二IP 192.168.0.222对应原来的安全网。

（三）在域控制器上安装ISA Server 2004标准版
ISA Server 2004标准版的安装很简单，《在线技术》以前的文章也已经详细讲过，所以这里只提一下需要注意的地方，就是在进入“内部网络”配置窗口时，请点击添加按钮，在弹出窗口中点击“选择网卡”按钮，然后在新窗口中清除上面一个复选框，选中“基于windows路由表添加地址范围”，在下面的网卡中选择内网卡，也就是你这里配置的内网应该包括192.168.6.0/24和192.168.0.0/24这两个子网，不然后面的通讯会有问题，在ISA server 2004中，不管一块网卡有多少个IP，它们都只能属于一个相同的网络，切记！

（四）配置ISA服务器
默认情况下，当ISA server安装好后，它会阻断所有经过它的网络通信。要让网络之间进行通讯，需要创建相应的规则：网络规则和访问规则，二者缺一不可。
1，  配置拨号首选项
由于这里使用的是ADSL连接，首先需要在ISA管理窗口中为它配置拨号首选项，进入ISA管理窗口，定位到configuration/General下，然后点击右窗格中的specify Dial-up Preferences项，在弹出的窗口中选择allow automatic dialing to this network，然后选择External项，并选中下面的configure this dial-up conncetion as the default gateway，接着在Dial-up connection中选择你创建好的ADSL连接（需要你预先在系统的“网络连接”窗口中使用“新建连接向导”创建好），选择之后在下面的dial-up account栏设置好你ADSL拨号使用的帐户和密码，以便ISA自动拨号，如图7。
2，  配置办公网访问ISA上的域服务（包括WINS服务）
由于ISA服务器同时又是域控制器，所以需要创建相应的访问规则办公网的客户端才能登录域。各项参数如下：
Rule Action:Allow
Protocols:（ISA中的名字）
   DNS
kerberos-sec(TCP)
kerberos-sec(UDP)
LDAP
LDAP(UDP)
LDAP(Global catalog)
Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
NTP(UDP)
RPC(all interfaces)
Access Rule Sources:新建一个subnet，IP范围为192.168.6.0/24，如图8；
Access Rule Destinations:Local Host
User set:All Users
3，  配置办公网上网进行WEB浏览
配置办公网上网与上面一样，只是协议和目标需要改变一下，由于上面已经允许了DNS，所以协议就只需要HTTP和HTTPS协议，Access Rule Destinations变为External即可。
4，  配置安全网访问办公网的文件共享
安全网访问办公网是通过ISA路由的，虽然对ISA来说它们都被定义在一个内网中，但它们之间的通讯仍然要通过ISA（因为有VLAN隔离），所以也要创建相应的访问规则，具体参数如下：
Rule Action:Allow
Protocol: Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
Access Rule Source:新建一个subnet，IP范围是192.168.0.0/24
Access Rule Destinations:subnet 192.168.6.0/24
user set: All Users

5，  配置调度机上网
从图1可以看出，调度机位于子网192.168.5.0/24中，它不属于内网，它是与ISA外网卡相关联的网络，要让调度机上网，我们需要先创建相应的网络和网络规则，步骤如下：
（1）调度机的IP配置（不加入域）
IP：192.168.5.3/24
网关：192.168.5.1
DNS:221.5.203.98
（2）在ISA上创建调度机所在的网络，方法是右击configuration/networks，选择新建/Network，各项参数如下：
Network type:External network
Network Addresses:192.168.5.0/24
（3）创建此网络与External网络的网络规则，关系为NAT，要访问内网的话，还要创建与内网的网络规则为Route，与本地主机的网络规则默认就为路由，不能再创建。
（4）创建访问规则，各项参数如下：
Rule Action:Allow
Protocols: DNS、HTTP、HTTPS
Access Rule Sources:新建一个computer，IP为192.168.5.3
Access Rule Destinations:External
User set:All Users

（五）配置ISA自动开机和自动关机
配置ISA服务器自动开机，这很简单，因为BIOS支持在某个时间自动开机，比如是每天早上8：00开机，在BIOS中作相应配置就行，BIOS可以设置自动开机，但可惜不能配置自动关机，比如需要每天下午6：00钟自动关机，这时可以下载一个专门的关机软件来实现，比如我这里就是使用的阿达自动关机，它可以配置每天在指定的时间自动关机，具体使用大家一看就知道，这里不再细说。

（六）配置调度机自动拨号和自动断线
ISA的自动拨号前面已经介绍了，现在来看看调度机（192.168.5.3）怎样实现自动拨号和自动断线，我们理想的情况是当ISA关机后调度机就自动拨号上网，而每天早上8点在ISA开机后它又应该自动断开连接，以让ISA拨号，这个我们可以通过系统的内置功能实现，也就是由任务计划和系统的rasdial命令一起来实现，实现自动拨号的步骤如下：
1，  在调度机上运行“任务计划向导”，然后在程序中选择windowssystem32系统目录下的rasdial.exe程序；
2，  然后在下一步定义好运行时间，比如18:01，
3，  接下来输入运行此程序的用户名和密码，通常就是当前登录用户，在最后的完成窗口中选中“在单击完成时，打开此任务的高级属性”，然后我们需要在弹出窗口的运行栏中rasdial.exe命令后加入adsl user password参数，其中的ADSL是你为ADSL连接创建的拨号名，如果不清楚，可以到“开始/设置/网络连接”中找到，user是你ADSL的帐户名，Password就是拨号的密码了，如图9。

与上面实现自动拨号相似，要实现早上8:00钟自动断开连接也可以使用任务计划加rasdial，只是图中rasdial后参数变成adsl /disconnect就行了，这里就不再多说了，自己变动一下即可。

（七）客户端配置
办公网的IP范围是192.168.6.0/24，客户端全部加入ISA所在域CJGG.COM，DNS、网关和Wins都指向ISA的内网卡192.168.6.1。
安全网的IP范围是192.168.0.0/24，属于另外一个域CYCW.COM，所以DNS要指向此域的DNS服务器，然后在这个域的DNS服务器上启用转发，而网关指向192.168.0.222，WINS指向192.168.6.1。这里注意要将此域的域控制器的网关也指向192.168.0.222，WINS也要指向192.168.6.1，这样可以在网上邻居中看到两个子网的计算机列表，不过也只是能够看到列表，要想在网上邻居中访问另一个子网中的计算机，还需要像上面第四部分第4节一样配置相应的访问规则才行。
另外现在朋友的网络都是基于IP地址来限制访问的，还没有基于用户限制，所以客户端现在也没有安装防火墙客户端，而且如果要基于用户来限制的话，由于安全网属于另外一个域（非同一个森林），所以还需要手动建立两个域之间的信任关系才能实现基于用户限制，这又是另外一篇文章的内容了，如果可能，下次再谈吧。