ISA Server 2004在背靠背防火墙结构中的应用这个问题一直没有详细的说明,有很多网友也提出这个问题 。我花了一天时间,进行N次尝试和测试,获得了一手资料。本文适用于已经有一定ISA和网络技术基础的网友参考,请初入门的网友先学习其他文章。
由于ISA2004提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计,所以针对国内的实际情况(很多网友的网络只有一个Internet的IP地址),模板需要做很大调整。外围网使用公网IP的情况按照模板不需要调整,很容易实现,这里就不做介绍了。
只有一个公网IP的也有两种情况,后端防火墙内的网络需要不需要被外围网访问。先介绍后端防火墙内的电脑或者服务器,不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况,这种情况比较简单。
在第一种和第二种情况下网络构成不变。
一、外围网不需访问后端防火墙内的电脑或者服务器
1.要求
服务器网段(FTP服务器,WEB服务器,邮件服务器)不能上网,只能被外部和外围网有限访问一些服务,外围网和后端防火墙网段能够上网,后端防火墙网段可以访问外围网和服务器网段。
2.网络构成
前端防火墙共3张网卡,
网卡1
连接对外服务的服务器
IP :192.168.1.1/24 无网关,无DNS
网卡2
连接外围网
IP:192.168.100.1/24 无网关,无DNS
网卡3
使用PPPoE拨号得到外部IP,网关,DNS服务器地址
外围网客户端的网络设置
IP:192.168.100.*/24 网关192.168.100.1, DNS 192.168.100.1
在ISA服务器上建立DNS服务器,转发到ISP提供的DNS服务器
后端防火墙2网卡,
网卡1
连接外围网
IP:192.168.100.2/24 ,网关192.168.100.1, DNS 192.168.100.1
网卡2
连接内部上网电脑
IP:192.168.50.1/24 无网关,无DNS
3.1设置前端防火墙
如图使用前端防火墙模板,点击模板,
如果需要保持以前的网络设定,可以在此处导出网络设置文件,备份。
添加外围网的地址范围,
为了测试方便,我们在这里选择允许无限制的访问,在实际运用种,应该按照各自需要设定。
前端防火墙模板完成。
3.2增加对外访问的服务器网段
如图点击创建一个新的网络,
选择外围网,
加入对外服务服务器的地址段
建立网络之间关系,创建一个新的网络规则,
定义对外服务服务器网段的名字,
增加网络源
增加目标网络
选择关系是路由,
最后点击完成。
我们配置到这里,需要确认一下是否都配置正确。
下面我们发布一下一2121为非正常端口的FTP服务器
如图建立发布规则
注意它的属性,其实只需要发布的端口不同于在其它地方发布的服务器端口即可发布,这里不在做详细的规则配置介绍,不熟悉的网友,请先参看其它文章。
3.3 在不需要外网网访问的情况下,后端防火墙没有特别的和边缘防火墙模板相同,完全可以使用边缘防火墙模板,这里不说明边缘防火墙的设置,在第二种情况下,需要外网网访问后端防火墙内电脑的时候,做详细说明。注意的是如果要限定内网访问服务器网段或者外围网端机器需要按照网络集限定。
3.4 测试
从公网IP进行FTP测试
*** CuteFTP Pro 3.0 - build Oct 7 2002 *** 状态:> 正在获取列表""...
状态:> 正在连接主机名称 www.freecnjp.com...
状态:> 主机 www.freecnjp.com 已连接: ip = 43.*.*.27。
状态:> 正在连接到 ftp 服务器 www.freecnjp.com:2121 (ip = 43.*.*.27)...
状态:> 接口已连接。正在等候欢迎消息...
220 Serv-U FTP Server v5.1 for WinSock ready...
状态:> 已连接。正在登陆...
命令:> USER test
331 User name okay, need password.
命令:> PASS *****
230 User logged in, proceed.
状态:> 登录成功。
命令:> PWD
257 "/" is current directory.
状态:> Home directory: /
命令:> FEAT
211-Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+-TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
211 End
状态:> 该站点支持 features。
状态:> 这个站点支持 XCRC.
状态:> 这个站点支持 SIZE.
状态:> 该站点可以续传中断的下载。
命令:> REST 0
350 Restarting at 0. Send STORE or RETRIEVE.
命令:> PASV
227 Entering Passive Mode (43,244,170,27,25,29)
命令:> LIST
状态:> 正在连接 ftp 数据 socket 43.244.170.27:6429...
150 Opening ASCII mode data connection for /bin/ls.
226 Transfer complete.
状态:> 传送完成。
从内部ping,
从内部对FTP测试 FTP
*** CuteFTP Pro 3.3 - build Sep 29 2003 *** 状态:> 正在获取列表“”...
状态:> 正在连接到 ftp 服务器 192.168.1.11:2121 (ip = 192.168.1.11)...
状态:> Socket 已连接。正在等候欢迎消息...
220 Serv-U FTP Server v5.1 for WinSock ready...
状态:> 已连接。正在验证...
命令:> USER test
331 User name okay, need password.
命令:> PASS *****
230 User logged in, proceed.
状态:> 登录成功。
命令:> PWD
257 "/" is current directory.
状态:> Home directory: /
命令:> FEAT
211-Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+-TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
211 End
状态:> 该站点支持 features。
状态:> 该站点支持 XCRC。
状态:> 该站点支持 SIZE。
状态:> 该站点可以续传中断的下载。
命令:> REST 0
350 Restarting at 0. Send STORE or RETRIEVE.
命令:> PASV
227 Entering Passive Mode (192,168,1,11,4,9)
命令:> LIST
状态:> 正在连接 ftp 数据 socket 192.168.1.11:1033...
150 Opening ASCII mode data connection for /bin/ls.
226 Transfer complete.
状态:> 传送完成。
[5] Wed 27Oct04 13:56:24 - (000003) Connected to 192.168.100.2 (Local address 192.168.1.11)
[5] Wed 27Oct04 13:56:25 - (000003) User TEST logged in
[5] Wed 27Oct04 14:00:23 - (000004) Connected to 202.*.*.211 (Local address 192.168.1.11)
[5] Wed 27Oct04 14:00:23 - (000004) User TEST logged in
在后端防火墙内的电脑访问在前端ISA服务器上的WEB服务器,
我们从这里可以看到从内网连接的IP地址不是后端防火墙内部真实的电脑的IP,是后端防火墙ISA的IP,也就是说,在使用普通模板不修改设置的时候,后端防火墙ISA使用的是SNAT让后端防火墙内部的电脑访问外围以及外部网络,所以外围网不能自由访问后端防火墙内部的电脑,只能以发布的方式访问个别电脑的个别服务,就同发布服务器一样。
二、外围网需要访问后端ISA内部电脑的情况
就是说,在前端防火墙ISA后面,所有网络都可以到达,这个配置起来比较复杂。我们在已经配置好第一种情况的基础上进行修改。
1. 我们修改前端防火墙ISA的设置,网络规则不作修改,防火墙策略不作修改。
如图:配置网络-网络-外围-属性--添加地址
我们把后端防火墙内部的IP地址增加进去
打开前端防火墙ISA上的路由和远程访问,增加静态路由。警告,在不明确知道做什么的情况下,不要去动ISA服务器上的路由和远程访问!
添加,网关为后端服务器IP,接口为和后端防火墙连接的那个网卡。个人的网卡标识不同,自己确认。
2. 配置后端防火墙
如图,选择后端防火墙模板
添加后端防火墙地址范围
同样为了测试方便,允许无限制访问,以后可自行修改。
翻到网络规则,我们看这里是NAT,
把网络关系变成路由,
填写前端防火墙地址,
外围网络地址范围。
这些在构筑测试的时候没有用处,在以后的实际运用中,如限定上网权限等等非常有用。
防火墙策略规则为了测试方便,如图配成这样
下面做测试
在192.168.50.10机器上做如下测试 Pinging 192.168.100.1 with 32 bytes of data: Reply from 192.168.100.1: bytes=32 time=6ms TTL=127 Ping statistics for 192.168.100.1: C:\Documents and Settings\sam>ping 192.168.1.10 Pinging 192.168.1.10 with 32 bytes of data: Reply from 192.168.1.10: bytes=32 time=3ms TTL=248 Ping statistics for 192.168.1.10: Pinging 192.168.50.10 with 32 bytes of data: Reply from 192.168.50.10: bytes=32 time=3ms TTL=127 Ping statistics for 192.168.50.10: Pinging 192.168.50.11 with 32 bytes of data: Reply from 192.168.50.11: bytes=32 time=1ms TTL=62 Ping statistics for 192.168.50.11:
C:\Documents and Settings\sam>ping 192.168.100.1
Reply from 192.168.100.1: bytes=32 time<1ms TTL=127
Reply from 192.168.100.1: bytes=32 time<1ms TTL=127
Reply from 192.168.100.1: bytes=32 time<1ms TTL=127
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 6ms, Average = 1ms
Reply from 192.168.1.10: bytes=32 time=1ms TTL=248
Reply from 192.168.1.10: bytes=32 time=1ms TTL=248
Reply from 192.168.1.10: bytes=32 time=1ms TTL=248
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 3ms, Average = 1ms
C:\Documents and Settings\test>ping 192.168.50.10
Reply from 192.168.50.10: bytes=32 time<1ms TTL=127
Reply from 192.168.50.10: bytes=32 time<1ms TTL=127
Reply from 192.168.50.10: bytes=32 time<1ms TTL=127
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 3ms, Average = 0ms
C:\Documents and Settings\tes>ping 192.168.50.11
Reply from 192.168.50.11: bytes=32 time<1ms TTL=62
Reply from 192.168.50.11: bytes=32 time<1ms TTL=62
Reply from 192.168.50.11: bytes=32 time<1ms TTL=62
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
在192.168.50.10的电脑上访问192.168.100.15的web服务器
访问在前端防火墙上的WEB服务器,可以看到你的真是IP内容已经变成真实的IP了。
这样就可以在外围网对IP的访问权限进行限定。
至此所有配置按照要求完成。下面是对于具体细节的设定,比如后端防火墙不能所有到所有,所有协议,所有出入,可以根据服务器段范围,外围网范围,需要那些服务协议,按照需要自行设定,具体方法这里不在累述,其它帖子论述很多。
自由广告区 |
分类导航 |
邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |