使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器(2)
建立一个服务器发布策略以允许DMZ发送DNS请求到内网
DMZ主机需要解析Internet主机名字。例如在DMZ主机需要通过名字和Internet的主机建立连接的时候,如SMTP中继服务。
我们在这个例子中使用服务器发布策略所以DNS过滤器可以应用到从DMZ主机到内部网络中DNS服务器的访问。
执行以下步骤以建立服务器发布策略:
1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,点击 Firewall Policy ,在任务面板,点击Tasks 标签,然后点击 Create a New Server Publishing Rule 链接。
2. 在 Welcome to the New Server Publishing Rule Wizard 页,在Server publishing rule name 文本框中输入名字,在此例中,我们命名为 Publish Internal DNS Server,点击 Next。
3. 在 Select Server 页,输入内部网络DNS服务器的IP地址,在这个例子中是10.0.0.2,输入后点击 Next。
4. 在 Select Protocol 页,在Selected protocol 列表中选择 DNS Server 协议,点击 Next。
5. 在 IP Addresses 页,勾选 DMZ ,这指出服务器发布规则将在哪个接口上侦听通往内部DNS服务器的连接请求。点击 Next。
6. 在Completing the New Server Publishing Rule 页回顾设置,然后点击Finish。
建立一个访问策略以允许内网向外网发送DNS请求
内部DNS服务器需要通过查询Internet的DNS服务器来解析Internet主机名。我们可以建立一个DNS访问策略将允许内部网络的DNS服务器使用DNS协议访问Internet DNS服务器。执行以下步骤:
1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,点击左面板的 Firewall Policy 。
2. 在任务面板中点击 Tasks 标签,然后点击 Create New Access Rule 链接。
3. 在 Welcome to the New Access Rule Wizard 页,在 Access Rule name 文本框中输入一个名字,在此例中,我们命名为Outbound DNS Internal DNS Server,点击Next。
4. 在 Rule Action 页,选择 Allow 然后点击,Next。
5. 在 Protocols 页,从This rule applies to 列表中选择 Selected protocols 项,点击Add 按钮。
6. 在 Add Protocols 对话框,点击Common Protocols 目录,然后双击 DNS 项,点击 Close。
7. 在Protocols 页上点击 Next 。
8. 在 Access Rule Sources 页,点击 Add 按钮。
9. 在 Add Network Entities 对话框,点击 New 按钮,点击 Computer 项。
10.在 New Computer Rule Element 对话框,在Name 文本框中输入计算机的名字,在此例中,我们输入 Internal DNS Server,在 Computer IP Address 文本框中,输入内部网络DNS服务器的IP,此例中是10.0.0.2,点击OK。
11. 在 Computers 目录下双击 Internal DNS Server 项,点击 Close。
12. 在 Access Rule Sources 页,点击 Next。
13. 在 Access Rule Destinations 页,点击 Add 按钮。
14. 在 Add Network Entities 对话框,点击 Networks 目录,然后双击 External 项,点击 Close。
15. 在Access Rule Destinations 页点击 Next 。
16. 在 User Sets 页,接受默认设置点击Next。
17. 在Completing the New Access Rule Wizard 页回顾设置,然后点击Finish。
建立一个访问策略以允许外网向DMZ发送HTTP请求
下一步是建立一个访问策略来允许外网向DMZ主机发送HTTP请求。当你没有从Web发布策略提供的完全的防火墙特性集中受益,这个选项允许你把Web服务器的实际IP保留在Internet之上,而且HTTP安全过滤器仍然应用到了这个访问策略上。HTTP安全过滤器的基本配置提供了一个很好级别的保护,你可以自定义HTTP安全过滤器来对你使用访问策略发布的为Web服务器提供增强级别的保护。
执行步骤和上面的一样,不同的地方:
规则命名为Inbound to DMZ Web Server,协议只选择HTTP,
源网络选择为External ,目的地为新建一个Computer 项,命名为DMZ Web Server,IP为发布的DMZ Web服务器的计算机IP地址(在这个例子中,是172.16.0.2)。
建立一个访问策略以允许外网向DMZ发送SMTP请求
现在Web服务器已经发布了,我们将建立一个访问策略以发布位于DMZ网络的SMTP服务器。执行步骤如上,不同的地方:
策略命名为Inbound to DMZ SMTP Server,协议选择为SMTP,源网络为External ,目的地为DMZ Web Server(此例中SMTP和Web服务位于同一台服务器上)。
点击Apply保存修改并且更新防火墙策略,在Apply New Configuration 对话框上点击OK 。
你的防火墙策略应该如下图所示,
测试从外网到DMZ的访问策略
现在我们来测试访问策略,执行以下步骤来完成测试:
1. 在外部主机上打开Web浏览器,然后输入DMZ Web服务器的IP地址。在这个例子中,DMZ Web服务器的IP地址是172.16.0.2,所以我们在Web浏览器的地址栏中输入http://172.16.0.2然后回车。
2. IIS Web站点的默认页面将会显示。在这个例子中,我们没有指定一个特性的默认页,所以我们看见Under Construction 页(注:正在建设中),这个表明允许访问DMZ 站点的访问策略工作正常。
3. 现在,让我们看看Web站点的log文件。打开对应的日志文件(C:\WINDOWS\system32\LogFiles\W3SVC1目录下),你可以看见如下图显示的信息。注意高亮的项,它指出在Web服务器日志中记录下了源IP地址。在这个例子中,源IP是ISA Server 2004防火墙的DMZ接口的IP地址。这不是让我们可疑的,原因是Web Proxy过滤器自动和HTTP协议联系到了一起。我们可以后文章的后面看到如何禁止Web Proxy过滤器。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 05:47:14
2004-06-18 05:56:21 172.16.0.2 GET /iisstart.htm - 80 - 172.16.0.1 Mozilla/4.0+ (compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
2004-06-18 05:56:25 172.16.0.2 GET /pagerror.gif - 80 - 172.16.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
4. 接下来,到位于DMZ的Web Server上,打开Internet Information Services (IIS) Manager 控制台。
5. 在 Internet Information Services (IIS) Manager 控制台,右击 Default Virtual SMTP Server 然后点击 Properties。在 General 勾选 Enable Logging ,点击 Apply 然后点击 OK。
6. 在外部计算机上,打开一个命令提示符,输入 telnet 172.16.0.2 25 然后回车;
7. 你可以看见SMTP服务的信息,输入 help 然后回车,你可以看见服务器支持的一些命令,然后输入quit 断开。
8. 进入到DMZ主机的 C:\WINDOWS\system32\LogFiles\SMTPSVC1 目录,打开对应的日志文件。你可以看到如下的一些信息。这是访问DMZ SMTP服务的外部主机IP。在这个例子中显示的是原始的客户IP信息,因为没有应用程序过滤器处理了这个连接和使用ISA Server 2004防火墙的IP地址替换了原始的IP地址。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 06:07:22
#Fields: time c-ip cs-method cs-uri-stem sc-status
06:07:22 192.168.1.187 QUIT - 240
测试DMZ到内部网络的DNS规则
在前面一节中,我们证明了从Internet到DMZ主机的访问策略控制工作正常。下一步我们确认服务器发布策略允许DMZ主机正常的访问内部网络的DNS服务器。
执行以下步骤测试DNS服务器发布策略:
1. 在DMZ主机上打开一个命令提示符,输入nslookup www.hotmail.com 然后敲回车。
2. 你将会看到下图的结果。注意我们先触发了Publish Internal DNS Server 策略,然后触发了Outbound DNS Internal DNS Server 策略。这样显示了DMZ查询了网络的DNS服务器,并且内网的DNS服务器查询了Internet的DNS服务器来解析这个名字。
3. 你可以在实时监控中看到如下图显示的内容
通过修改访问策略禁止Web Proxy filter来允许外网向DMZ发送数据
你可能希望在你使用访问策略发布的Web服务器中看见原始的IP地址信息,而不是看见ISA Server 2004的外部接口的IP地址。当你使用访问策略,你可以通过禁止Web Proxy filter来达到这一目的,这个可以通过修改你在前面建立的HTTP访问策略来实现。
执行以下步骤:
1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,右击 Inbound to Web Server 策略,然后点击 Properties。
2. 在 Inbound to Web Server Properties 对话框,点击 Protocols 标签。
3. 在 Protocols 标签,点击Protocols 列表中的HTTP项,然后点击 Edit 按钮。
4. 在 HTTP Properties 对话框,点击 Parameters 标签,在 Parameters 标签,不要勾选Application Filters 框中的Web Proxy Filter ,然后点击 Apply 再点击 OK。
5. 在Inbound to Web Server Properties 对话框中点击 OK 。
6. 点击Apply 保存修改并更新防火墙策略。
7. 在Apply New Configuration 对话框中点击OK 。
现在我们再重新连接一下Web站点:
1. 在外部客户计算机上打开Web浏览器,然后在地址栏中输入http://172.16.0.2 ,然后敲回车。
2. 显示出了 Under Construction (正在建设中)页。按住 CTRL 键,然后点击Refresh 按钮。
3. 回到DMZ的Web服务器,然后打开对应的日志文件,你可以看见如下面所示的一些信息,注意,显示的是实际的客户IP信息。
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2004-06-18 07:42:37
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status
2004-06-18 07:42:37 172.16.0.2 GET /iisstart.htm - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
2004-06-18 07:42:37 172.16.0.2 GET /pagerror.gif - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0
当通过禁止Web Proxy过滤器来解决了使用访问策略发布Web服务器的源IP地址问题后,你也对所有的不是通过Web Proxy产生的Web通信失去了安全过滤特性。它的意思是如果SecureNAT 和 Firewall clients发起的HTTP通信不会经过Web Proxy filter 的处理,它们将不能从Web Proxy缓存和其他特性中受益。此外,可能还对Web发布策略有一些意料不到的影响。也许是我在此胡说,因为我还没有完全的测试完禁止Web Proxy filter后对于HTTP协议的影响。:-)
另外一个可以选择的方法是建立你自己的协议定义,定义出去的TCP 80。你可以通过访问策略来使用自定义协议来发布DMZ HTTP服务器。但是这样的大问题是你没有受到HTTP安全过滤和Web Proxy filter的保护。在这种情况下,你手中真正的需要一个PIX防火墙。
, , ,| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |