首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-服务器发布 > 使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器
现在时间是: 2019-02-19 18:36
使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器

(2004-06-20 00:12)
来源:isaserver.org

前言:这篇文章描述了如何使用访问策略发布使用公共IPDMZ主机。这种方法允许你在使用你服务器已经使用的公共IPISA Server 2004防火墙应用层过滤之间进行平衡。不像传统的基于包过滤的防火墙(PIXNetscreenSonicWall等等),ISA Server 2004防火墙对通过防火墙的所有通信执行过滤和应用层识别。这篇文章对此进行了完全的讨论。

 

 

使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器

 

 

译自 Thomas W Shinder M.D,“Publishing Servers on a ISA Server 2004 Firewall Public Address DMZ Segment”,加以编辑修改

 

比起ISA Server 2000防火墙,ISA Server 2004的一个重大改进是多网络的支持。ISA Server 2004从“世界”中发现多网络,不同于ISA Server 2000只是把“世界” 认为是“信任与不信任“(LAT与非LATISA Server 2004防火墙认为所有网络都是不信任的,而且把访问策略应用到所有通过ISA Server 2004防火墙的网络连接,包括通过远程VPN连接的客户端和VPN网关。

ISA Server 2004多网络允许你连接多个网络接口(或多个使用VLAN标签的虚拟接口)和对经过ISA Server 2004防火墙的通信具有完全的控制。这个和ISA Server 2000当数据在内部网络中通行时不会受防火墙策略的影响和需要使用RRAS包过滤建立“不足的DMZ”的网络模型具有强烈的对比。

在这篇文章中,我们测试了如何发布位于公共IPDMZ段的主机。你可能会记得ISA Server 2000需要使用DMZ网段的公共地址。ISA Server 2000DMZ网段需要使用公共IP,你不能使用私有地址因为ISA Server 2000防火墙路由(替代NAT)使用简单的包过滤连接到DMZ网段(类似PIX)。与之对比,ISA Server 2004防火墙允许你在InternetDMZ使用之间路由,或者NAT。事实上,ISA Server 2004防火墙允许你决定使用什么方式进行连接:路由或者NAT

如果你已经拥有一个具有多个使用公共地址的主机所建立的DMZ网段,而且因为如果他们地址架构的改变会影响到其他服务的改变如DNS服务等,你不希望改变他们的地址架构,此时,使用公共地址是必要的。你仍然想使用当前服务器上的IP架构,这样Internet主机可以使用过去一样的IP地址(实际上,相同的DNS映射)来访问DMZ主机。你可以通过ISA Server 2004来在Internet和包含你想发布的服务器的DMZ网段之间配置一个路由关系。

注意我加注了“Publish”。ISA Server 2004防火墙策略提供了两种方式让你可以控制通过防火墙的策略:Access RulesPublishing Rules。访问策略(Access Rules)可以加入到路由和NAT关系。发布策略(Publishing Rules)总是对连接实行NAT,不过你是否使用公共地址网段或者在源主机和目的主机之间有路由关系。

如果这样听起来有点混淆,它是的。它在你按照ISA Server 2000方式,总是要对非信任主机和信任主机进行NAT的方法来实施时会特别混淆。在我们进入如何发布位于公共地址网段的服务器之前,先让我们对新的ISA Server 2004网络模型的的一些方面进行介绍。

下图显示了我们这篇文章中使用的示例网络。下图展示了一种InternetDMZ网段之间的路由关系。当PocketPC PDA客户连接到位于DMZ网段的服务器,它用于建立连接的名字解析到DMZ主机的实际IP地址,在我们这个例子中是172.16.0.2。路由关系允许我们做DNS解析和保存映射到DMZ主机到实际IP地址的DNS记录。ISA Server 2004访问策略让DMZ主机对Internet客户可见。

但是,你同样可以使用发布策略来对Internet用户发布位于DMZ的主机。在这个例子中,位于InternetPocketPC PDA主机使用一个位于ISA Server 2004防火墙外部接口的IP地址来访问DMZ主机。注意,DMZ主机同样也有一个公共IP。即使我们使用公共IP地址,因为使用发布策略,也会执行NAT。这样允许Internet主机连接到ISA Server 2004防火墙的外部接口并且有效的隐藏DMZ主机的IP。这个NAT隐藏对于公开的服务器是一种通用的安全方法。

注意在图中DMZ主机使用的DNS服务器的IP地址,172.16.0.1DMZ接口的IP地址。我们使用这个IP地址代替实际的DNS服务器地址的原因是我们会发布位于内部网络的DNS服务器。DNS服务器发布策略会在DMZ接口的IP地址上进行侦听。你会在文章的后面配置细节中看到。

一个ISA Server 2000Web发布的主要缺点是你会在发布的Web服务器log中记录下ISA Server 2000防火墙的IP。这对于在日志分析和报告软件上花费了巨大投资的组织来说是一个问题。ISA Server 2004修复了这个问题并且允许你选择是将原始客户IP地址或者ISA Server 2004防火墙的地址发送到发布的Web服务器上。这个对于使用公共地址或者私有地址的DMZ中的Web和服务器发布都有效。

作者:Thomas Shinder
责任编辑:风间子

[1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页>>
上一篇:使用ISA Server 2004 发布Web站点
下一篇:[新方法]用ISA server 2004发布内网非标准端口的FTP服务
相关信息:

How to : 配置ISA Server 2004的内容下载作业
使用 ISA Server 2004 中的 URL 和域名集
How to:配置ISA Server 2004的拒绝重定向
使用邮件服务器发布向导发布内部的邮件服务器
ISA Server 2004 SP3 使用指南

热点信息 TOP 10
使用ISA防火墙的OWA发布规则来发布OWA站点
How to:发布位于本地主机上的Web站点
How to:在ISA Server 2004中发布安全Web服务
How to :使用域名发布多个Web站点
使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器
在托管主机单网卡环境下如何进行web发布
How to :发布内部网络中的文件共享服务
通过ISA防火墙的安全Exchange RPC过滤器允许任何地点的Outlook客户访问
How to : 在ISA Server 2004中发布内部网络中的PcAnyWhere服务器
使用ISA Server 2004 发布Web站点

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..