首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > ISA Server 2004中的通讯重定向
现在时间是: 2019-02-19 18:36
ISA Server 2004中的通讯重定向

(2005-08-03 12:28)
来源:ISA中文站

ISA Server 2004中的通讯重定向

参考微软知识库文章KB888042,ISA Server 2004 does not support traffic redirection

 

前言: 在内部网络中存在多个子网或存在多条路由时,内部网络中这些子网间的TCP协议通讯可能会出现问题。在这篇文章中,我给大家详细的阐述一下当存在通讯重定向时,ISA Server的行为以及解决方案。本文中使用了Sniffer进行数据包的分析,这种有大量数据包分析的文章是我最不愿意写的文章之一,虽然我也尽力的想阐述的更清楚一些,但是可能有些章节也不容易理解。你可以跳过Sniffer分析的部分,在文章的结尾处,你将获得此通讯重定向问题的解决方案。

 

关于如何在内部网络中存在多个子网的环境下配置ISA Server 2004,我已经在How to:在存在多条路由的内部网络中配置ISA Server 2004一文中进行了阐述,但是基于ISA Server 2004的应用层状态过滤机制,内部网络中这些子网间的TCP协议通讯可能会出现问题。

微软在知识库文章KB888042“ISA Server 2004 does not support traffic redirection”中进行了比较详细的描述,当满足以下条件时:

  • ISA Server 2004中定义的某个网络中存在多个子网(例如在内部网络中包含了两个子网:网络A和网络B),其中网络A是ISA防火墙网络接口所位于的网络,而网络B通过路由器和网络A进行连接,并且这些网络均位于ISA防火墙的相同 网络接口之后;

  • 网络A中主机A-Receiver为SNAT客户,配置的默认网关为ISA Server的网络A接口IP地址;

  • 网络B中的主机B-Sender配置的默认网关为连接网络A和网络B的路由器的网络B接口的IP地址;

  • 网络B中的主机B-Sender向网络A中的主机A-Receiver发送TCP连接通讯;

那么,主机B-Sender将不能收到主机A-Receiver回复的TCP响应信息。

这是为什么呢?因为ISA Server 2004是具有应用层状态过滤机制的防火墙,它对于任何连接到自己的逻辑和物理网络都执行应用层状态过滤。对于每一个允许的连接,ISA防火墙都创建了一个连接对象,当从任何一个接口上接收到的响应数据包不匹配任何一个现有的连接对象时,此数据包将被丢弃。当A-Receiver接收到B-Sender发送的TCP连接数据包时,它将进行回复;但是A-Receiver是把回复的TCP响应数据包发送至它的默认网关-ISA防火墙,但是ISA防火墙却发现此TCP响应数据包不匹配任何一个现有的连接对象,因此将丢弃该数据包而不是进行转发,所以B-Sender不能接收到A-Receiver发送的响应数据包。而对于非面向连接的UDP通讯以及ICMP通讯,不会受到这种应用层状态过滤的影响。

注意:这并不意味着ISA Server不对UDP通讯进行应用层状态过滤,只是对于UDP通讯,ISA Server进行状态检查的方式不一样而已。

在默认情况下,这种TCP通讯在使用ISA Server 2000的环境下将不会受到影响,因为ISA Server 2000不对内部接口上接收到的TCP响应数据包进行应用层状态过滤,最终运行在ISA Server 2000上的RRAS服务将此TCP响应数据包重定向到正确的目的地。

我在后面使用Sniffer来进行分析说明。Sniffer分析数据包的过程是漫长而痛苦的,虽然我也尽力的想阐述的更清楚一些,但是可能有些章节也不容易理解。你可以跳过Sniffer分析的部分,在文章的结尾处,你将获得此通讯重定向问题的解决方案。

本文中的试验网络如下图所示:

ISA防火墙的内部网络中具有两个子网:LAN10(10.2.1.0/24)和LAN192(192.168.0.0/24),这两个网络间通过路由器进行连接。在这个试验中,我分别使用10.2.1.6和192.168.0.6这两个主机通过ICMP、UDP、TCP这三种协议来访问对方,并在路由器上安装Sniffer进行抓包分析。这两个主机(10.2.1.6和192.168.0.6)的TCP/IP设置如下:

10.2.1.6

  • IP:10.2.1.6/24

  • DG:10.2.1.1(ISA防火墙的内部接口)

  • DNS: None

192.168.0.6

  • IP:192.168.0.6/24

  • DG:192.168.0.1(路由器的LAN192接口)

  • DNS: None

 

 

ISA防火墙上已经参照How to:在存在多条路由的内部网络中配置ISA Server 2004一文进行了配置,在ISA防火墙添加了到子网192.168.0.0/24的路由,

Route add 192.168.0.0 mask 255.255.255.0 10.2.1.8 -p

内部网络中包含了这两个子网,

并且创建了一个允许所有访问的Allow 4 ALL规则。注意,此Allow 4 ALL 规则仅供试验,在商业网络中切忌不可。

 



作者:风间子
责任编辑:风间子

[1] [2] [3] [4] [5] 下一页>>
上一篇:ISA Server 2004中的HTTP压缩
下一篇:理解ISA Server 2004中的网络
相关信息:

How to:在域环境中部署ISA Server 2004企业版
使用 ISA Server 2004 中的 URL 和域名集
ISA Server 2004中的无人值守安装
ISA Server相关脚本
ISA Server 2004中的Site-to-Site VPN

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..