利用ISA_Server2006发布DMZ区服务器.doc

　　利用ISA Server2006发布DMZ区服务器　　上次咱们通过设置防火墙策略使内网用户可以上网了，并且通过配置缓存加快了访问Internet的速度。今天我们的任务就是把外围区域（DMZ）的服务器发布出去。我重点会去说web服务器的发布。其它的服务比如：mail、FTP、DNS都是一样的，大家掌握一种方法其它的就都学会了啊。　　拓扑图在下面，前面两次虽然也是这幅图，但我们一直没有说到的一个地方，就是DMZ区域，在ISA Server中它又叫外围区域。接下来我们就要把这个区域中的服务器发布到外部供Internet上的朋友们访问。为什么不让他们直接访问而要通过发布的方式呢？因为如果没有防火墙的保护，直接暴露在外网的话，估计不到两分种就歇菜了。什么病毒啊，黑客啊全来了。所以我们要把它们发布出去，这样Internet上的用户访问外网接口，就等于访问了DMZ区域中的服务器。我想大家在路由器上都应该做过NAT，NAT有个技术叫PAT，它也可以用来发布服务器，通过端口来定位服务。咱这和那个道理是一样的。我们还要把这些服务器发布到内网——而不是让他们直接访问，为什么呢？“家贼难防”！，就不用解释了。来看看具体的步骤吧！　　 　　 　　 　　首先还是分析一下拓扑。为了大家看起来方便我把大概的的信息罗列到下面：　　1. DMZ区域中有两台服务器，分别是：　　1.web服务器主机名： IP:0/16 GW:　　2.mail服务器 主机名： IP:0/16 GW:　　2. ISA Server的三块网卡IP分别为：　　1.内网卡LAN IP：/24　　2外围网卡DMZ IP：/16　　3外网卡 WAN IP:/8　　主要的TCP/IP参数就是上面罗列的那些，其他没说到的咱们边做边说吧。　　第一部分：创建并配置DMZ区域　　前面一直是这个图，但其实DMZ区我们并没有去用到它，所以这之前我们一直是一种边缘防火墙的部署方式。这次们就来开辟这块非军事化区（DMZ）。使之成为三向外围部署方式。　　1． 打开“ISA服务管理器”，展开“配置”，选择“网络”，在右边的模板栏里选择3向外围网络，就会出现下图的界面。如图：　　 　　 　　 　　2.连续单击两个下一步，就到了指定内网卡的地方，点击添加适配器，加入内网卡（LAN）确定就是如下的界面。（注意可别添错了啊）　　 　　 　　 　　3.还是一样，这里就是添加外围网卡（DMZ），单击添加适配器，把DMZ网卡添进来就可以了。　　 　　 　　 　　4.这里是选择防火墙策略，有一大堆，咱们就选第一个“阻止所有访问”，为什么呢？等一下要用什么就开什么。要知道这里只是一个向导界面，真正的策略是我们一条一条添加进去的。　　 　　 　　 　　5.好了，确认一下设置的内部和外围等信息，看看有没有什么问题，没有的话就可以单击完成了。也许您会问，为什么没有让选择外部网卡？您想啊，总共三块网卡。定义了内部和外围之后剩下的当然是外部喽！　　 　　 　　 　　6.到这个界面时，我们点击应用之后确定即可。　　 　　 　　 　　至此，咱们的网络环境就从原来的边缘网络，变成了三向外围的网络。　　第二部分：发布web服务器　　在各类服务器的发布中，web服务器的发布是最多的。其步骤也相对较多一些，掌握了web服务的发布，其它的就简单的多了。这次重点以发布web服务器为主。下面是步骤：　　1.在ISA管理控制台里，点击一下防火墙策略，再点击任务栏中的发布网站，如图，咱们将会在这个界面下做设置。　　 　　 　　 　　2.在弹出的web发布规则向导界面中，我们给它取个名子叫“web服务发布规则”，这样做个标识，别人一看就知道是干什么用的。如图：　　 　　 　　 　　3.在“请选择规则条件”选项卡中选择“允许”。记住，ISA里面的规则操作除了允许就是拒绝。　　 　　 　　 　　4.这里选择第一项“发布单个网站或负载平衡器”，因为咱们只有一个web站点要发布嘛。如果做了主机头，要发布多个网站可发选择第三项“发布多个网站”。单击下一步，如图：　　 　　 　　 　　5.在服务器连接安全这里我们选择第二项，第一项是要求使用SSL的，一些要求安全性较高的网站比如：淘宝啊、银行啊等网站，要用https访问的就可以选择此项，当然得有PKI支持才行，有时间的话我会写一篇带SSL的网站发布。咱们不用选择第一项，第二项就可以了。大多数网站都没有使用SSL。因为访问起来会变得麻烦，而且很慢，更重要的是得有一套PKI支持才行。