首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-安装和规划 > 使用ISA Server 2004 网络模板来自动建立访问策略:边缘防火墙模板
现在时间是: 2019-01-18 21:44
使用ISA Server 2004 网络模板来自动建立访问策略:边缘防火墙模板

(2004-06-16 15:07)
来源:isaserver.org

使用ISA Server 2004 网络模板来自动建立访问策略:边缘防火墙模板
 

 

 

译自Thomas Shinder “Using ISA Server 2004 Network Templates to Automatically Create Access Policy: The Edge Firewall Template”,加以整理修改

前言:ISA Server 2004在防火墙配置和提供到Internet的安全访问上比过去有了很大的提高,也比过去更容易使用。如果你过去曾经使用过ISA Server 2000,那么你在配置ISA Server 2004上会很轻松,另外,ISA Server 2004提供了网络模板,可以让你轻松的设置防火墙策略,这篇文章将以最常见的边缘防火墙模板进行配置的介绍。

 

ISA Server 2004防火墙具有5个预定义的网络模板:

  • 边缘防火墙;

  • 3周长的网络(包含DMZ(停火区))

  • 前端防火墙;

  • 背部防火墙;

  • 单网络适配器;

ISA Server 2004管理控制台提供了一些图片,让你可以更能清晰的了解这些名字所代表的意思。在这篇文章中,我们将详细介绍最常用的边缘防火墙模板。这个模板是指ISA Server 2004处于Internet边缘,拥有一个接入到Internet的外部接口和一个接入到Lan的内部接口。例如我们最常使用的宽带拨号,然后把ISA Server 2004作为网关,就属于这种模板。

在你正确的配置网络接口后,可以使用这个模板(请注意:一定要正确的配置网络接口)。至于如何配置网络接口,请参阅ISA Server 2004快速配置指南

下图是ISA Server 2004对边缘防火墙模板的说明图。Internal Network在ISA Server 2004后面,并且受到ISA Server 2004的保护。Local Host指的是ISA Server 2004防火墙本身。External Network (Internet)指的是没有表现在Internet network和VPN客户网络的其他网络。VPN客户网络是由ISA Server 2004防火墙动态建立的网络,里面包含了VPN客户的地址。

 

 

边缘防火墙模板为了做了两件主要的事情:

  • 定义了内部网络的IP地址;

  • 建立了两个包含防火墙策略在内的访问策略。

内部网络是在你运行边缘防火墙向导时会配置的IP地址集。这个向导也会允许你选择控制内部网络、VPN客户网络和外部网络之间通信流量的防火墙策略。

向导允许你从一些不同的防火墙策略中进行选择,预定义的防火墙策略包括:

禁止访问:这个防火墙策略禁止通过防火墙的所有访问,只有在你想手动定义全部的防火墙策略时使用。

不能访问ISP网络的服务:这个防火墙策略阻止除了访问网络基础服务(如DNS)外的所有通过防火墙的访问,只有在你想手动定义客户访问策略的时候才使用这个选项。使用这个策略,将会建立下列策略:

DNS:允许内部网络、VPN客户到Internet的DNS请求;

受限的Web访问:这个防火墙策略允许访问Web站点,但是不能访问其他服务。只有在你想只允许Web访问时使用,你可以修改它以允许其他服务的访问。这个策略需要内部网络中有DNS服务以便解析Web服务器地址。如果需要访问Internet的DNS服务,你也需要修改这条策略。如果你使用这个模板,将会建立以下策略:

1、Web access :允许从内部网络、VPN网络到Internet的HTTP、HTTPS、FTP访问;

2、VPN:允许从VPN客户端到内部网络的所有协议的访问。

受限的Web和ISP网络服务的访问:这个模板和上面的相比,只是多了个允许向Internet发送DNS请求。使用这个模板,以下规则将会建立:

1、Web access :允许从内部网络、VPN网络到Internet的HTTP、HTTPS、FTP访问;

2、DNS : 允许从内部网络、VPN客户到Internet的DNS请求;

3、VPN:允许从VPN客户端到内部网络的所有协议的访问。

无限制的Internet访问:允许通过防火墙的所有Internet访问,防火墙将阻止Internet到被保护网络的访问。你可以修改它以阻止某些网络访问。使用这个模板,将建立以下策略:

1、Internet access :允许从内部网络、VPN客户到Internet的所有协议;

2、VPN:允许从VPN客户到内部网络的所有协议;

 

这个地方需要澄清的是DNS策略包含在它们之间的一些策略中。内部的DNS服务器需要能访问到Internet的DNS服务器或者ISP的转发器才能正常工作,并不是说内部有了DNS服务器就不需要开放向外部DNS服务的访问。

如果你是初学者,建议你使用无限制的Internet访问模板;当你比较熟悉网络和ISA Server 2004后,再使用其他更有限制的网络访问控制。

作者:Thomas W Shinder
责任编辑:风间子

[1] [2] [3] 下一页>>
上一篇:ISA2004 beta2 快速安装指南
下一篇:关于ISA Server 2004中请求拨号的使用说明
相关信息:

关于ISA Server 2004中请求拨号的使用说明
在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题
How to :允许ISA防火墙从外部网络获取IP地址
[推荐]ISA Server 2004的故障恢复的第二种方法
ISA Server 2004 SDK文档下载

热点信息 TOP 10
ISA Server 2004标准版安装指南
How to :在域环境中配置ISA Server 2004
How to :使用公共IP地址来访问DMZ中的服务器
ISA Server 2004 SP2 使用指南 v 1.06
How To :配置ISA防火墙作为网络间的路由器
How to :在ISA Server 2004中配置DMZ网络
How to:在存在多条路由的内部网络中配置ISA Server 2004
ISA2004 beta2 快速安装指南
How to : 如何配置ISA Server 的网络环境 v2.0
How to :在ISA Server 2004中同时使用多条路由

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..