防火墙策略的组成.doc

3．1 防火墙策略的组成 在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA的基本配置，使内部的所有用户无限制的访问外部网络。 在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。???网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。 ???访问规则：则定义了内、外网的进行通讯的具体细节。 ???服务器发布规则：定义了如何让用户访问服务器。 ISA2004通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISA Server 2004中的一个很大的进步，它没有了ISA Server 2000只有一个LAT表的限制，可以很好的支持多网络的复杂环境。在ISA2004的网络规则中定义的网络连接的方式有：路由和网络地址转换。 路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。在ISA2004中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时，我们可以配置相应的路由网络规则。 需要注意的是，路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系，那么从网络 B到网络 A 也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。 NAT即网络地址转换（Network Address Translator），在Windows 2000 Server和Windows server 2003中，NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。ISA2004由于同Windows 2000 Server和Windows server 2003的路由和远程访问功能集成，所以支持NAT的的连接类型。当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机。当NAT服务器从Internet主机接收到回答信息后，它也会将其包头进行替换，将自己的外部IP地址和端口号转换为请求客户机的内部IP地址的端口号，然后再把信息包发内网的客户机。 当在ISA2004中指定了这促类型的连接后， ISA 服务器将用它自己的 IP 地址替换源网络中的客户端的 IP 地址。从而对外隐藏了内部管理的IP，同时也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险，并可减少了IP 地址注册的费用。 需要注意的是：NAT 关系是唯一的和单向的。如果定义了从网络 A到网络 B 的 NAT 关系，则不会自动定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是 ISA 服务器将忽略有序规则列表中的第二条网络规则。 在进行ISA2004的安装时，系统会创建以下默认规则（如图3-1所示）：???本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。 ???VPN 客户端到内部网络：此规则指定在两个 VPN 客户端网络（.VPN 客户端.和.被隔离的 VPN 客户端.）与内部网络之间存在着路由关系。 ???Internet 访问：此规则定义了在内部受保护的网络（如内部、VPN客户端等）与外部网络之间存在的 NAT关系。 访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有 IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的所有 IP 通讯。也可以在访问规则中对用户访问进行精确的限定。当客户端使用特定协议请求对象时，ISA 服务器会在访问规则列表中从上而下地进行检查。只有当某个访问规则明确允许客户端使用特定的协议进行通讯，并且允许访问请求的对象时才处理请求。 在ISA2004的安装过程中会自动创建默认的系统策略，其中包含了预配置的、已知协议定义的访问规则列表，其中包括最广泛使用的 Internet 协议，以允许ISA Server 2004服务器能访问它连接到的网络的特定服务。下图显示的是默认系统策略中的内容。 ? 32 建立允许客户访问Internet的防火墙策略 在安装好ISA2004后，我们需要建立相应的防火墙访问策略以