.jpg)
大家好,农企新闻小编来为大家解答以上问题。ISA防火墙,isa防火墙如何配置很多人还不知道,现在让我们一起来看看吧!
Isa防火墙配置1:
配置ISA服务器网络环境
网络环境中是否需要安装ISA,是否可以安装ISA,安装前如何配置ISA保护的内网客户,安装后如何设置访问规则等。将在本文中详细解释。简介1、ISA服务器概述2、边缘防火墙模型3、单网和多网模型
ISA Server 2004是世界上最好的路由级软件防火墙。它可以让你的企业内网安全快速的连接到互联网,性能堪比硬件防火墙。而且目前很多基于包过滤的硬件防火墙都不具备深层次的应用层识别功能。
您可以在网络中的任何地方配置ISA Server 2004,例如两个或多个网络的边缘层(局域网到Internet、局域网到局域网、局域网到DMZ、局域网到等)。)和一台主机来保护您的网络或主机。
ISA Server 2004对安装的要求非常低,可以说目前的服务器对ISA Server 2004的硬件系统要求绰绰有余。
ISA Server作为路由级软件防火墙,要求管理员熟悉路由设置、TCP/IP设置、代理设置等。在网络中。与其他独立的防火墙不同,ISA Server只有安装后才能很好地使用。在安装ISA Server时,需要提前规划和配置好自己内网的路由和TCP/IP设置,这样安装ISA Server后就可以很方便地使用,不会出现客户无法访问外网的问题。
我们来谈谈如何在单台机器上安装ISA Server 2004。ISA Server 2004可以安装在只有一个网络适配器的计算机上,它将自动配置为仅缓存防火墙。同时通过ISA Server 2004强大的IDS和应用层识别机制,为这台电脑提供了很好的保护。但是ISA Server 2004的核心是多网络,其最适合的配置环境是作为网络边缘的防火墙。而且作为单机防火墙,体积太大,会给服务器带来不必要的性能消耗。
因此,我不建议在单台计算机上安装ISA Server 2004。单机防火墙,我推荐Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice等。都是非常好的单机防火墙。但是对于需要提供服务的主机,最好安装Zonealarm或者Blackice。SPF Pro太强大了,不能当服务器用。对于基于IIS的Web服务器,还可以安装IISLockdown和UrlScan工具,这样可以更安全。对于只有一个网络适配器的ISA服务器,我将在后面的示例中介绍它。
至于内部客户在安装ISA Server之前是如何配置的,我就用几个例子来介绍一下3360。
1.边缘防火墙模型
如下图所示,ISA Server 2004配备了两个网络适配器,作为边缘防火墙,允许内部客户安全快速地连接到Internet。内部局域网我就以192.168.0.0/24为例,不考虑上网方式(拨号或固定IP)。
ISA Server 2004上的内部网络适配器充当内部客户的默认网关。按照约定,其IP地址要么设置为子网的前IP(如192.168.0.1),要么设置为最后一个IP(192.168.0.254)。这里我设置为192 . 168 . 0 . 1;对于DNS服务器,只要内网没有域,就不需要在内部建立DNS服务器,但是建议你建立。本例中,我们假设已经在外接网卡(或拨号连接)上设置了DNS服务器,所以这里不设置DNS服务器的IP地址;还有一个默认网关。切勿在内部网卡上设置默认网关,因为Windows主机在同一时间只能使用一个默认网关。如果在外部和内部网络适配器上都设置了默认网关,ISA服务器可能会出现路由错误。
接下来,客户端的TCP/IP设置和代理设置。SNAT客户端和Web代理客户端之间存在一些差异。防火墙客户端与SNAT客户端和Web代理客户端的设置兼容。当不需要认证时,请尽量考虑使用SNAT客户,因为这是标准网络路由,兼容性最好。
SNAT客户3360的TCP/IP配置要求
它必须与ISA服务器的内部接口在同一个子网中;这里我可以用192 . 168 . 0 . 2/24 ~ 192.168.0.254/24;
将ISA服务器的内部接口配置为默认网关;默认网关是192 . 168 . 0 . 1;
DNS是根据您的网络环境设置的。可以使用ISP的DNS服务器,也可以内部设置DNS服务器。但是,需要DNS服务器。
与SNAT客户端相比,Web代理客户端更加复杂。
IP地址必须与ISA服务器的内部接口在同一个子网中;这里我可以用192 . 168 . 0 . 2/24 ~ 192.168.0.254/24;
可以配置默认网关和DNS服务器地址;
ISA服务器的代理必须在IE的proxy属性中配置,默认值是内部接口的8。
对于其他需要访问网络的程序,必须设置HTTP代理(ISA Server),否则是不能访问网络;
至于关闭SNAT客户的访问,在ISA Server的访问规则中不要允许所有用户访问,改为所有通过验证的用户即可。
防火墙客户默认会配置IE为web代理客户,然后对其他不能使用代理的Winsock应用程序进行转换,然后转发到所连接的ISA防火墙。对于防火墙客户,你最好先按照SNAT客户进行设置,然后安装防火墙客户端,安装防火墙客户端后它会自动配置客户为Web代理客户。
在安装ISA Server时,内部网络配置为192.168.0.0/24。安装好后,你可以根据你的需要,自行配置访问规则。ISA Server中带了五个网络模型的模板,可以让你只是点几下鼠标就可以设置好访问规则,但是希望你能手动设置规则,这样可以让你有更深的认识。
下图中是一种特殊的情况,在内部网络中还有其他子网的内部客户。此时,你首先得将这些子网的地址包含在ISA Server的内部网络中,然后在ISA Server上配置到这些子网的路由,其他的就和单内部网络的配置一致了。
2、多网络模型中的边缘防火墙
如下图,我只是简单的设计了一个三周长的多网络模型。ISA Server 2004是专为多网络而设计的,所以,对于这种环境,配置起来非常得心应手。
在这种环境中,LAN(192.168.0.0)的客户和ISA Server上连接LAN的网络适配器,按照上面的方法进行配置,在此我重点给大家讲解一下DMZ网络的配置。
DMZ中的客户以及ISA Server上连接DMZ网络的网络适配器,也按照上面的办法进行配置,但是,对于DMZ中的服务器,请配置为SNAT客户,这样可以得到最好的性能,配置为Web代理客户可能会让它不能正常工作,配置为防火墙客户会导致它性能的降低。
在安装ISA Server时,内部网络只是选择192.168.0.0,安装好后,在ISA管理控制台的配置的网络中,新建一个DMZ网络,选择172.16.0.0网段。另外对于多网络,你还需要设置网络规则。另外你利用ISA Server自带的三周长网络模板就可以很方便的实现DMZ网络的配置。其他访问则根据你的需要来自行设置。
3、单网络适配器的环境
如下图,ISA Server 2004安装在一台只有一个网络适配器的Internet主机上,此时,ISA Server将自动配置为Cache only的防火墙,可以用做Web代理、缓存、Web发布、OWA发布等等,由于ISA Server 2004强大的IDS系统,它也可以为主机提供非常强大的保护。关于在这种环境下如何发布ISA Server上的Web服务。
在单网卡网络适配器环境下安装ISA Server的时候,会自动在内部网络中包含所有的IP地址,所以在你建立访问规则时,一定要注意允许内部访问本地主机和允许本地主机访问内部(此时,外部网络已经没有实际作用了)。同样的,通过ISA Server自带的单一网络适配器模板,你也可以很轻松的完成单网络适配器模型的ISA Server 2004的配置。
isa防火墙配置二:
防火墙策略->右键->新建->访问规则->允许,所选择协议,HTTP,源自:内部,目标:新建URL,把网站放在URL中;
删除其他访问规则,只留最后一打默认规则
看了“ isa防火墙如何配置”文章的还看了:
1.h3c路由器防火墙怎么样设置
2.部署防火墙策略原则
3.防火墙知识入门(2)
4.如何学习网络安全
5.电脑连不上网该怎么办