首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > 理解ISA Server 2004中的网络
现在时间是: 2019-01-18 21:28
理解ISA Server 2004中的网络

(2005-08-21 15:54)
来源:ISA中文站

理解ISA Server 2004中的网络

前言:基础网络的配置,是ISA防火墙配置的重要基础。通过这篇文章,你可以理解到如何正确的配置ISA防火墙中的网络。

ISA Server 2004功能强大,性能卓越,并且拥有极佳的人性化界面,但是,这并不代表你就能良好的使用它。为了轻松的使用它,你需要正确的对它进行配置,而网络的配置,则是基础配置工作中的重中之重。

对于ISA Server 2004而言,网络不仅仅是包含了一个或多个IP地址范围的规则元素,ISA防火墙严格的按照IP地址来区分网络,并且通过网络的定义来描述网络拓朴结构。ISA防火墙根据自己的网络适配器的IP地址将网络适配器与特定的网络相关联,通过并且只通过此网络适配器转发相关联网络的数据,同时网络的属性还决定了该网络是否支持防火墙客户端和 Web 代理客户端。

注意:何谓通过并且只通过?这是指对于某个网络相关的数据的转发,只能通过ISA防火墙中和此网络相关联的网络适配器进行。如果此网络中的数据通过非相关联的网络适配器进行转发,那么ISA防火墙会认为这是欺骗行为,因为属于某个网络的数据不能通过其他网络的网络适配器来接收或发送,此时就会触发IP欺骗或者配置错误的警告。

对于ISA防火墙中网络的定义,有以下原则:

  1. ISA防火墙上的每个网络适配器可以有单个或者多个IP地址,但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)。

  2. 一个地址只能属于一个网络;ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个或者多个网络适配器。

  3. 在网络定义的地址范围中,应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的适配器,但该适配器当前被禁用。当ISA服务器假定适配器断开连接时,ISA服务器将拒绝去往或来自属于断开的网络的IP地址的通讯, 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。

  4. 对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络),你必须在ISA防火墙对应的网络的定义中,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地址范围,不属于此网络,但是却又必须从此网络相关联的网络适配器进行数据的转发,ISA防火墙认为这是一种欺骗行为。

  5. 通常情况下,对于一个完整的网络定义,地址范围应该从网络地址起,到子网广播地址为止。例如一个C类网络192.168.0.0/24,那么完整的网络地址范围为192.168.0.0~192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况,在网络地址范围中还需要包含对应的A类网络、B类网络的广播地址,例如一个A类子网10.1.1.0/24,那么内部网络地址中除了10.1.1.0~10.1.1.255外,还需要包括A类网络的广播地址10.255.255.255~10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。

不过,对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外,在这些例外情况中,ISA 服务器将该网络视为网络后面的网络,这些例外包括下列网络:

  • 默认的外部网络。ISA防火墙总是认为默认的外部网络位于与默认路由所关联的网络适配器(配置了默认网关的网络适配器)所关联的网络的后面,去往或来自外部网络中的地址的通讯必须通过该适配器。来自外部网络中的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性,并将被丢弃。如果路由表中不存在默认网关项目,ISA防火墙将认为外部网络暂时断开连接。

  • 配置为使用 IPSec 隧道模式的站点到站点VPN网络。

  • 被隔离的VPN客户端网络,该网络从不与任何适配器关联,并总是位于与 VPN 拨入适配器关联的 VPN 客户端网络的后面。



作者:风间子
责任编辑:风间子

[1] [2] [3] 下一页>>
上一篇:ISA Server 2004中的通讯重定向
下一篇:ISA Server 2004 FAQ :硬件防火墙设备
相关信息:

ISA Server 2004里VPN服务器的客户端地址池使用分析
自定义ISA Server 2004的表单登录页面
How to:使用ISA Server 2004限制BT下载
使用ISA Server 2004禁止P2P软件
How To :配置ISA防火墙作为网络间的路由器

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..