首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > Forefront/TMG/ISA SERVER > 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器(2) > 正文

使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器(2)

出处:isaserver.org 作者:Thomas 时间:2004-8-9 13:20:00

建立一个服务器发布策略以允许DMZ发送DNS请求到内网

DMZ主机需要解析Internet主机名字。例如在DMZ主机需要通过名字和Internet的主机建立连接的时候,如SMTP中继服务。

我们在这个例子中使用服务器发布策略所以DNS过滤器可以应用到从DMZ主机到内部网络中DNS服务器的访问。

执行以下步骤以建立服务器发布策略:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,点击 Firewall Policy ,在任务面板,点击Tasks 标签,然后点击 Create a New Server Publishing Rule 链接。

2. Welcome to the New Server Publishing Rule Wizard 页,在Server publishing rule name 文本框中输入名字,在此例中,我们命名为 Publish Internal DNS Server,点击 Next

3. Select Server 页,输入内部网络DNS服务器的IP地址,在这个例子中是10.0.0.2,输入后点击 Next

4. Select Protocol 页,在Selected protocol 列表中选择 DNS Server 协议,点击 Next

5. IP Addresses 页,勾选 DMZ ,这指出服务器发布规则将在哪个接口上侦听通往内部DNS服务器的连接请求。点击 Next

6.Completing the New Server Publishing Rule 页回顾设置,然后点击Finish

 

 

建立一个访问策略以允许内网向外网发送DNS请求

内部DNS服务器需要通过查询Internet的DNS服务器来解析Internet主机名。我们可以建立一个DNS访问策略将允许内部网络的DNS服务器使用DNS协议访问Internet DNS服务器。执行以下步骤:

1. 在 Microsoft Internet Security and Acceleration Server 2004 管理控制台,点击左面板的 Firewall Policy

2. 在任务面板中点击 Tasks 标签,然后点击 Create New Access Rule 链接。

3. 在 Welcome to the New Access Rule Wizard 页,在 Access Rule name 文本框中输入一个名字,在此例中,我们命名为Outbound DNS Internal DNS Server,点击Next

4. Rule Action 页,选择 Allow 然后点击,Next

5. Protocols 页,从This rule applies to 列表中选择 Selected protocols 项,点击Add 按钮。

6. Add Protocols 对话框,点击Common Protocols 目录,然后双击 DNS 项,点击 Close

7.Protocols 页上点击 Next

8. Access Rule Sources 页,点击 Add 按钮。

9. Add Network Entities 对话框,点击 New 按钮,点击 Computer 项。

10.在 New Computer Rule Element 对话框,在Name 文本框中输入计算机的名字,在此例中,我们输入 Internal DNS Server,在 Computer IP Address 文本框中,输入内部网络DNS服务器的IP,此例中是10.0.0.2,点击OK

11. Computers 目录下双击 Internal DNS Server 项,点击 Close

12. Access Rule Sources 页,点击 Next

13. Access Rule Destinations 页,点击 Add 按钮。

14. Add Network Entities 对话框,点击 Networks 目录,然后双击 External 项,点击 Close

15. Access Rule Destinations 页点击 Next

16. User Sets 页,接受默认设置点击Next

17. Completing the New Access Rule Wizard 页回顾设置,然后点击Finish

建立一个访问策略以允许外网向DMZ发送HTTP请求

下一步是建立一个访问策略来允许外网向DMZ主机发送HTTP请求。当你没有从Web发布策略提供的完全的防火墙特性集中受益,这个选项允许你把Web服务器的实际IP保留在Internet之上,而且HTTP安全过滤器仍然应用到了这个访问策略上。HTTP安全过滤器的基本配置提供了一个很好级别的保护,你可以自定义HTTP安全过滤器来对你使用访问策略发布的为Web服务器提供增强级别的保护。

执行步骤和上面的一样,不同的地方:

规则命名为Inbound to DMZ Web Server,协议只选择HTTP,

源网络选择为External ,目的地为新建一个Computer 项,命名为DMZ Web Server,IP为发布的DMZ Web服务器的计算机IP地址(在这个例子中,是172.16.0.2)。

 

 

 

 

建立一个访问策略以允许外网向DMZ发送SMTP请求

现在Web服务器已经发布了,我们将建立一个访问策略以发布位于DMZ网络的SMTP服务器。执行步骤如上,不同的地方:

策略命名为Inbound to DMZ SMTP Server,协议选择为SMTP,源网络为External ,目的地为DMZ Web Server(此例中SMTP和Web服务位于同一台服务器上)。

 

点击Apply保存修改并且更新防火墙策略,在Apply New Configuration 对话框上点击OK

 

的防火墙策略应该如下图所示,


测试从外网到DMZ的访问策略

现在我们来测试访问策略,执行以下步骤来完成测试:

1. 在外部主机上打开Web浏览器,然后输入DMZ Web服务器的IP地址。在这个例子中,DMZ Web服务器的IP地址是172.16.0.2,所以我们在Web浏览器的地址栏中输入http://172.16.0.2然后回车。

2. IIS Web站点的默认页面将会显示。在这个例子中,我们没有指定一个特性的默认页,所以我们看见Under Construction 页(注:正在建设中),这个表明允许访问DMZ 站点的访问策略工作正常。

3. 现在,让我们看看Web站点的log文件。打开对应的日志文件(C:\WINDOWS\system32\LogFiles\W3SVC1目录下),你可以看见如下图显示的信息。注意高亮的项,它指出在Web服务器日志中记录下了源IP地址。在这个例子中,源IP是ISA Server 2004防火墙的DMZ接口的IP地址。这不是让我们可疑的,原因是Web Proxy过滤器自动和HTTP协议联系到了一起。我们可以后文章的后面看到如何禁止Web Proxy过滤器。

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2004-06-18 05:47:14

2004-06-18 05:56:21 172.16.0.2 GET /iisstart.htm - 80 - 172.16.0.1 Mozilla/4.0+ (compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

2004-06-18 05:56:25 172.16.0.2 GET /pagerror.gif - 80 - 172.16.0.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

4. 接下来,到位于DMZ的Web Server上,打开Internet Information Services (IIS) Manager 控制台。

5. Internet Information Services (IIS) Manager 控制台,右击 Default Virtual SMTP Server 然后点击 Properties。在 General 勾选 Enable Logging ,点击 Apply 然后点击 OK

6. 在外部计算机上,打开一个命令提示符,输入 telnet 172.16.0.2 25 然后回车;

7. 你可以看见SMTP服务的信息,输入 help 然后回车,你可以看见服务器支持的一些命令,然后输入quit 断开。

8. 进入到DMZ主机的 C:\WINDOWS\system32\LogFiles\SMTPSVC1 目录,打开对应的日志文件。你可以看到如下的一些信息。这是访问DMZ SMTP服务的外部主机IP。在这个例子中显示的是原始的客户IP信息,因为没有应用程序过滤器处理了这个连接和使用ISA Server 2004防火墙的IP地址替换了原始的IP地址。

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2004-06-18 06:07:22

#Fields: time c-ip cs-method cs-uri-stem sc-status

06:07:22 192.168.1.187 QUIT - 240

 

测试DMZ到内部网络的DNS规则

在前面一节中,我们证明了从Internet到DMZ主机的访问策略控制工作正常。下一步我们确认服务器发布策略允许DMZ主机正常的访问内部网络的DNS服务器。

执行以下步骤测试DNS服务器发布策略:

1. 在DMZ主机上打开一个命令提示符,输入nslookup www.hotmail.com 然后敲回车。

2. 你将会看到下图的结果。注意我们先触发了Publish Internal DNS Server 策略,然后触发了Outbound DNS Internal DNS Server 策略。这样显示了DMZ查询了网络的DNS服务器,并且内网的DNS服务器查询了Internet的DNS服务器来解析这个名字。

3. 你可以在实时监控中看到如下图显示的内容


通过修改访问策略禁止Web Proxy filter来允许外网向DMZ发送数据

你可能希望在你使用访问策略发布的Web服务器中看见原始的IP地址信息,而不是看见ISA Server 2004的外部接口的IP地址。当你使用访问策略,你可以通过禁止Web Proxy filter来达到这一目的,这个可以通过修改你在前面建立的HTTP访问策略来实现。

执行以下步骤:

1. Microsoft Internet Security and Acceleration Server 2004 管理控制台,右击 Inbound to Web Server 策略,然后点击 Properties

2. Inbound to Web Server Properties 对话框,点击 Protocols 标签。

3. Protocols 标签,点击Protocols 列表中的HTTP项,然后点击 Edit 按钮。

4. HTTP Properties 对话框,点击 Parameters 标签,在 Parameters 标签,不要勾选Application Filters 框中的Web Proxy Filter ,然后点击 Apply 再点击 OK

5. Inbound to Web Server Properties 对话框中点击 OK

6. 点击Apply 保存修改并更新防火墙策略。

7. Apply New Configuration 对话框中点击OK

现在我们再重新连接一下Web站点:

1. 在外部客户计算机上打开Web浏览器,然后在地址栏中输入http://172.16.0.2 ,然后敲回车。

2. 显示出了 Under Construction (正在建设中)页。按住 CTRL 键,然后点击Refresh 按钮。

3. 回到DMZ的Web服务器,然后打开对应的日志文件,你可以看见如下面所示的一些信息,注意,显示的是实际的客户IP信息。

#Software: Microsoft Internet Information Services 6.0

#Version: 1.0

#Date: 2004-06-18 07:42:37

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status

2004-06-18 07:42:37 172.16.0.2 GET /iisstart.htm - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

2004-06-18 07:42:37 172.16.0.2 GET /pagerror.gif - 80 - 192.168.1.187 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

当通过禁止Web Proxy过滤器来解决了使用访问策略发布Web服务器的源IP地址问题后,你也对所有的不是通过Web Proxy产生的Web通信失去了安全过滤特性。它的意思是如果SecureNAT 和 Firewall clients发起的HTTP通信不会经过Web Proxy filter 的处理,它们将不能从Web Proxy缓存和其他特性中受益。此外,可能还对Web发布策略有一些意料不到的影响。也许是我在此胡说,因为我还没有完全的测试完禁止Web Proxy filter后对于HTTP协议的影响。:-)

另外一个可以选择的方法是建立你自己的协议定义,定义出去的TCP 80。你可以通过访问策略来使用自定义协议来发布DMZ HTTP服务器。但是这样的大问题是你没有受到HTTP安全过滤和Web Proxy filter的保护。在这种情况下,你手中真正的需要一个PIX防火墙。

, , ,
相关文章 热门文章
  • 使用ISA Server发布具有Edge角色的Exchange Server环境
  • 使用ISA 2006 发布Exchange 2007 OWA
  • 使用ISA Server 2004禁止违规软件
  • 使用ISA Server禁止MSN传送文件
  • 使用ISA发布内部网络中的腾讯通服务
  • 使用ISA防火墙的OWA发布规则来发布OWA站点
  • 使用ISA Server 2004 SMTP筛选器和Message Screener
  • 使用ISA 2004发布内部的邮件服务器
  • 使用ISA Server 2004配置背靠背的防火墙环境
  • 使用ISA 2004发布OWA 2003站点
  • 如何使用ISA Server发布Exchange
  • 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器(1)
  • 使用ISA Server 2004禁止P2P软件
  • ISA安装设置全集
  • ISA 2004 Server快速安装指南
  • 图解ISA2004 Web服务器发布
  • ISA 2000实战入门之VPN的建立
  • ISA Server 2004完全上手指南
  • MS Proxy 2.0 使用教程
  • 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务..
  • 通过ISA防火墙(2004)来允许域内通信
  • 使用ISA 2004发布内部的邮件服务器
  • 在ISA Server 2004防火墙和D-link DI-804HV IPSec VP...
  • ISA常见问题解答
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号