当前位置:文档之家 › 详解ISA2006 DMZ的部署与配置

详解ISA2006 DMZ的部署与配置

  • 格式:docx
  • 大小:880.54 KB
  • 文档页数:18

下载文档原格式

  / 20
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

详解ISA2006DMZ的部署与配置

DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择,因为内网中还有其他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户,财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内网,对我们进行访问控制是不利的。一旦发布服务器出现安全问题,有可能会危及内网其他计算机的安全。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置,这样一来的话显然对安全更加有利。

下面我们用一个实例来为大家介绍一下如何利用ISA2006部署和配置DMZ,拓扑如下图所示,Beijing是ISA2006服务器,Beijing有三块网卡,分别连接内网,外网和DMZ,DMZ在ISA中也被称为外围。Denver在内网,Perth是DMZ,Istanbul在外网。

一创建DMZ

Beijing是一个有三块网卡的ISA服务器,我们准备在Beijing上手工创建DMZ网络,网络范围是23.1.1.0-23.1.1.255。这个工作我们也可以通过ISA2006自带的三向外围防火墙模板来进行,但这个模板和国内公司的网络环境不太匹配,因为国外公司的DMZ使用的往往是公网地址,而国内DMZ使用的大多是私网地址,这种环境上的差异会导致网络规则和防火墙策略配置上的差别,因此这个模板不太适合国内大多数公司使用,我们还是来手工创建并配置一个DMZ网络。

顺便介绍一个ISA中网络的一些基本原则,供大家创建网络时参考:

1、ISA防火墙上的每个网络适配器可以有单个或者多个IP地址,但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)。

2、一个地址只能属于一个网络;ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个或者多个网络适配器。

3、在网络定义的地址范围中,应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的适配器,但该适配器当前被禁用。当ISA服务器假定适配器断开连接时,ISA服务器将拒绝去往或来自属于断开的网络的IP地址的通讯,因为这些数据并没有通过和此网络相关联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。

4、对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络),你必须在ISA 防火墙对应的网络的定义中,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地址范围,不属于此网络,但是却又必须从此网络相关联的网络适配器进行数据的转发,ISA防火墙认为这是一种欺骗行为。

5、通常情况下,对于一个完整的网络定义,地址范围应该从网络地址起,到子网广播地址为止。例如一个C类网络192.168.0.0/24,那么完整的网络地址范围为192.168.0.0~192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况,在网络地址范围中还需要包含对应的A类网络、B类网络的广播地址,例如一个A类子网10.1.1.0/24,那么内部网络地址中除了

10.1.1.0~10.1.1.255外,还需要包括A类网络的广播地址10.255.255.255~10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。

不过,对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外,在这些例外情况中,ISA 服务器将该网络视为网络后面的网络,这些例外包括下列网络:

默认的外部网络。ISA防火墙总是认为默认的外部网络位于与默认路由所关联的网络适配器(配置了默认网关的网络适配器)所关联的网络的后面,去往或来自外部网络中的地址的通讯必须通过该适配器。来自外部网络中的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性,并将被丢弃。如果路由表中不存在默认网关项目,ISA防火墙将认为外部网络暂时断开连接。

配置为使用IPSec 隧道模式的站点到站点VPN网络。

被隔离的VPN客户端网络,该网络从不与任何适配器关联,并总是位于与VPN 拨入适配器关联的VPN 客户端网络的后面

现在我们开始创建DMZ,在Beijing上打开ISA管理器,如下图所示,选择新建网络。

为新创建的网络命名为DMZ。

网络类型是外围网络。

DMZ的地址范围是23.1.1.0-23.1.1.255,注意,这个地址范围如果之前属于内网,那我们需要把它从内网范围中删除。根据我们刚才提到的网络原则,一个地址只能属于一个网络。

如下图所示,我们成功地完成了DMZ网络的创建,是不是很轻松啊。

二创建网络规则

DMZ网络创建完毕后,我们需要创建DMZ网络和其他网络之间的网络规则。因为我们知道,ISA 处理数据的访问请求,首先考虑的是这个数据包的源网络和目标网络的网络规则,因此网络规则决定了两个网络之间数据通讯的方向性和可能性。网络规则的设定取决于实际的访问需求,在本次实验中,DMZ的Perth拥有网站和Ftp服务器。我们希望内网用户和外网用户都可以访问DMZ的资源,同时DMZ的服务器需要对外网进行访问。基于这个需求,我们可以把网络规则设定为从内网到DMZ是NAT,从DMZ到外网是NAT。为什么DMZ到外网不设定为路由呢?因为DMZ使用的是内网地址,外网用户无法直接访问这些IP地址。

在Beijing上打开ISA管理器,如下图所示,选择“创建网络规则”。

为网络规则命名为“从内网到DMZ”。

相关主题