首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > Forefront/TMG/ISA SERVER > 通过ISA防火墙(2004)来允许域内通信 > 正文

通过ISA防火墙(2004)来允许域内通信

出处:ISA中文站 作者:风间子 时间:2004-11-1 3:01:00
通过ISA防火墙(2004)来允许域内通信


译自Thomas W Shinder,“Allowing Intradomain Communications through the ISA Firewall (2004)”

新的ISA Server防火墙对于通过ISA Server的域内通信的支持进行了增强,通过网络访问规则,你可以很容易的允许连接到ISA防火墙的不同网络间的各种服务的访问。


例如,你可能想将一台为Internet服务的Exchange服务器或者进入的认证SMTP中继放置在DMZ段,但是为了让它们使用活动目录的用户数据库,你需要将它们加入到内部网络的活动目录中。此时,你就需要在ISA防火墙上进行配置,允许DMZ网段的服务器访问内部网络的域控制器上的某些服务。


注意,我们不是在ISA防火墙上“开放端口”。“开放端口”这个术语起源于简单包过滤的硬件防火墙。但是ISA防火墙知道协议,它可以对通过防火墙的所有通信执行状态过滤和应用层状态识别。我强烈建议你不要将你公司的重要资源放置在这种包过滤的硬件防火墙之后。

在这个例子中,我们使用以下的网络拓朴结构:




以下是域内通信需要的协议,以及我们即将建立的规则的细节:


  • Name:Member Server -> Internal DC
  • Action:Allow
  • Protocols:ADLogon/DirRep*


    Direct Host (TCP 445)**


    DNS


    Kerberos-Adm(UDP)


    Kerberos-Sec(TCP)


    Kerberos-Sec(UDP)


    LDAP (TCP)


    LDAP (UDP)


    LDAP GC (Global Catalog)


    RPC Endpoint Mapper (TCP 135)***


    NTP


    Ping

  • From:DMZ Member Server

    Internal Network DC

  • To:Internal Network DC

    DMZ Member Server

  • Users:All
  • Schedule:Always
  • Content Types:All content types


*ADLogon/DirRep:

主要连接:TCP 出站 50000 端口(需要在后端Exchange服务器上的RPC密钥集);

**Direct Host:

主要连接:TCP 出站 445 端口(需要在此文章中进行讨论);

***RPC Endpoint Mapper

主要连接:TCP 出站 135 端口(需要在此文章中进行讨论);

RPC服务通过在注册表中使用类似于GUID(全局唯一标识符)的UUID(通用唯一标识符)来进行注册,RPC UUID是通用的,并且对于每个服务是唯一的。

当一个RPC服务启动,它将获取一个高位端口,并且使用RPC服务的UUID来注册此端口。一些服务随机选取一个端口,而有些服务使用固定的端口(在此端口空闲的情况下)。当一个和RPC服务通信时,它不知道这个RPC服务使用的高位端口。RPC客户程序和服务器的RPC映射服务TCP 135端口进行连接,然后通过UUID来调用RPC服务。RPC端口映射器返回对应的高位端口号给客户,然后关闭端点映射程序。最后,客户使用从服务器端收到的这个高位端口来和服务器建立新的连接。因为客户不可能知道RPC服务使用什么端口,所以在防火墙上需要允许所有的高位端口通过。

在此,我们限制RPC使用单个端口,这样我们可以在防火墙上配置允许这个端口。或者,我们需要允许DMZ网络访问内部网络的所有高位端口。

我们可以通过在每个域控制器上修改注册表来,注册表键值是:

We can do this by making a Registry change on each domain controller. The Registry Key is:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\

新建一个DWORD值,命名为TCP/IP Port ,然后设置为你想让其使用的端口号。记住,你需要在你所有的域控制器修改。

注意:

其实我们不需要这样做,因为ISA防火墙的RPC过滤器可以自动控制端口的访问。RPC过滤器侦听RPC协商,然后动态开放需要的高位端口。但是,我宁愿选择手动设置端口,这样可以更容易分析日志还有跟踪DMZ网段和内部网络间的RPC通信。这就是为什么我说ISA防火墙没有“开放端口”的原因,因为ISA实际上理解需要的协议,而不仅仅停留在端口的开放上。

例如,在每个域控上执行以下步骤来修改RPC复制端口为 50000


  1. 点击开始,然后运行 Regedit
  2. 定位到以下键值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\



  1. 然后新建一个DWORD值
  2. 将其名字修改为TCP/IP Port,然后双击此项;
  3. 在编辑编辑DWORD值对话框,选择“十进制”,然后输入 50000 ,点击确定
  4. 重启域控制器。

作为ISA Server 2004的一个重大改进,它允许你控制任何两个网络间的路由关系。在此例中,我们在DMZ和内部网络间使用路由关系。注意如果你使用模板来建立DMZ网段,那么在内部网络和DMZ间的默认关系是NAT。




下面我们将建立一个规则,允许在DMZ的一台成员服务器和内部网络的域控之间允许域内通信,在此我只是为了演示,在你的实际网络中,没有必要只是简单的两台服务器。



注意:

以下场景中,我们将建立两个协议定义,但是这是没有必要的,因为它们已经是ISA内建有的。建立它们,只是为了阐明一些重要的观点。

执行以下步骤建立允许DMZ网段的计算机访问内部网络中的域控的域内通信规则:


  1. 在ISA Server管理控制台,展开服务器名,然后点击防火墙策略
  2. 防火墙策略节点,点击任务面板上的任务标签,然后点击新建访问规则链接

  3. 欢迎使用新建访问规则向导页,输入规则的名字,在此命名为
    Member Server --> Internal DC
    ,点击下一步
  4. 规则动作页,选择允许,然后点击下一步
  5. 规则应用到页,选择选择的协议,然后点击添加按钮;

  6. 添加协议对话框,点击所有协议对话框,双击以下协议




DNS

Kerberos-Adm (UDP)

Kerberos-Sec (TCP)

Kerberos-Sec (UDP)

LDAP

LDAP (UDP)

LDAP GC (Global Catalog)

NTP (UDP)

Ping



  1. 点击新建,然后点击协议
  2. 欢迎使用新建协议定义向导页,在协议名字上输入 ADLogon/DirRep ,点击下一步

  3. 主要连接信息页,点击新建
  4. 新建/编辑协议连接对话框,在协议类型列表选择TCP,然后在方向列表选择出站,在端口范围,在输入50000,然后点击确定





  1. 主要连接信息页点击下一步
  2. 辅助连接页,选择No,然后点击下一步
  3. 完成新建协议定义向导页点击完成
  4. 点击新建,然后点击协议
  5. 欢迎使用新建协议定义向导页,在协议名字上输入 Direct Host ,点击下一步
  6. 主要连接信息页,点击新建
  7. 新建/编辑协议连接对话框,在协议类型列表选择TCP,然后在方向列表选择出站,在端口范围,在输入445,然后点击确定
  8. 主要连接信息页点击下一步





  1. 辅助连接页,选择No,然后点击下一步
  2. 完成新建协议定义向导页点击完成
  3. 点击新建,然后点击协议
  4. 欢迎使用新建协议定义向导页,在协议名字上输入 RPC Endpoint Mapper (TCP 135),点击下一步
  5. 主要连接信息页,点击新建
  6. 新建/编辑协议连接对话框,在协议类型列表选择TCP,然后在方向列表选择出站,在端口范围,在输入135
    ,然后点击确定
  7. 主要连接信息页点击下一步
  8. 辅助连接页,选择No,然后点击下一步
  9. 完成新建协议定义向导页点击完成
  10. 添加协议对话框,点击用户自定义目录,双击 ADLogon/DirRep、Direct Access
    RPC Endpoint Mapper (TCP 135) ,然后点击关闭。





  1. 协议页点击下一步
  2. 访问规则源页,点击添加
  3. 添加网络实体对话框,点击新建,选择计算机

  4. 新建计算机规则元素对话框,在名字文本框中输入 DMZ Member Server ,在计算机IP地址输入172.16.0.2
    ,然后点击确定





  1. 添加网络实体对话框,点击新建,选择计算机

  2. 新建计算机规则元素对话框,在名字文本框中输入 Internal DC ,在计算机IP地址输入10.0.0.2 ,然后点击确定





  1. 添加网络实体对话框中,点开计算机目录,然后双击DMZ Member Server项,然后点击关闭;在访问规则源页点击下一步
  2. 访问规则目的页,点击添加
  3. 添加网络实体对话框中,点开计算机目录,然后双击Internal DC项,然后点击关闭;在访问规则源页点击下一步
  4. 用户集页,接受默认的所有用户,点击下一步

  5. 完成新建访问规则向导页回顾设置,然后点击完成

  6. 点击应用保存修改和更新防火墙策略;建好的访问规则如下图所示:




 

希图显示了一些在成员服务器和域控制器之间的通信记录:



注意看上图,对于TCP 445端口,显示的协议是 Microsoft CIFS (TCP) 而不是我们定义的 Direct Host,这是因为Microsoft CIFS (TCP)是内建的协议,比用户自定义的协议具有更高的优先权。

 


后记:Tom在这篇文章中谈到了基于活动目录的域内通信。对于使用网上邻居通信的情况,则需要开放以下协议:


  • Netbios会话 (端口为TCP 139 出站)
  • Netbios名称服务 (UDP 端口为137 发送接收)
  • Netbios数据包 (端口为UDP 138 发送)
  • Microsoft CIFS (端口为TCP 445 出站)
  • Microsoft CIFS (端口为UDP 445 发送接收)


最后需要注意的是,在没有域的环境下,网上邻居是基于Netbios的广播,但是Netbios是不能路由的,所以不要指望可以在网上邻居中看见跨网段的计算机。


,
相关文章 热门文章
  • ISA Server发布具有Edge角色Exchange
  • 妙用DNS解析实现防火墙客户的重定向
  • ISA之发布Exchange OWA方法及故障分析
  • 排除发布的SMTP服务器的故障
  • 关于在ISA Server中使用HTTP压缩的说明
  • 如何通过ISA2006防火墙发布启用了SSL的OWA
  • 双ISA 双CSS 进行NLB方案之4服务器实例
  • ISA Server 2006速战速决实验指南(8)创建访问规则-允许所有用户从内网ping外网主机
  • ISA Server 2006速战速决实验指南(7) 创建元素-网络对象
  • ISA Server 2006速战速决实验指南(6)--创建元素-协议
  • ISA Server 2006速战速决实验指南(5)创建元素-用户
  • ISA Server 2006速战速决实验指南(4)创建元素-内容类型、计划
  • 使用ISA Server 2004禁止P2P软件
  • ISA安装设置全集
  • ISA 2004 Server快速安装指南
  • 图解ISA2004 Web服务器发布
  • ISA 2000实战入门之VPN的建立
  • ISA Server 2004完全上手指南
  • MS Proxy 2.0 使用教程
  • 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务..
  • 通过ISA防火墙(2004)来允许域内通信
  • 使用ISA 2004发布内部的邮件服务器
  • 在ISA Server 2004防火墙和D-link DI-804HV IPSec VP...
  • ISA常见问题解答
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号