前言:
基础网络的配置,是ISA防火墙配置的重要基础。通过这篇文章,你可以理解到如何正确的配置ISA防火墙中的网络。
ISA Server 2004功能强大,性能卓越,并且拥有极佳的人性化界面,但是,这并不代表你就能良好的使用它。为了轻松的使用它,你需要正确的对它进行配置,而网络的配置,则是基础配置工作中的重中之重。
对于ISA Server 2004而言,网络不仅仅是包含了一个或多个IP地址范围的规则元素,ISA防火墙严格的按照IP地址来区分网络,并且通过网络的定义来描述网络拓朴结构。ISA防火墙根据自己的网络适配器的IP地址将网络适配器与特定的网络相关联,通过并且只通过此网络适配器转发相关联网络的数据,同时网络的属性还决定了该网络是否支持防火墙客户端和 Web 代理客户端。
注意:何谓通过并且只通过?这是指对于某个网络相关的数据的转发,只能通过ISA防火墙中和此网络相关联的网络适配器进行。如果此网络中的数据通过非相关联的网络适配器进行转发,那么ISA防火墙会认为这是欺骗行为,因为属于某个网络的数据不能通过其他网络的网络适配器来接收或发送,此时就会触发IP欺骗或者配置错误的警告。
对于ISA防火墙中网络的定义,有以下原则:
ISA防火墙上的每个网络适配器可以有单个或者多个IP地址,但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)。
一个地址只能属于一个网络;ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个或者多个网络适配器。
在网络定义的地址范围中,应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的适配器,但该适配器当前被禁用。当ISA服务器假定适配器断开连接时,ISA服务器将拒绝去往或来自属于断开的网络的IP地址的通讯, 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。
对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络),你必须在ISA防火墙对应的网络的定义中,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。这些因为没有在此网络中定义的IP地址范围,不属于此网络,但是却又必须从此网络相关联的网络适配器进行数据的转发,ISA防火墙认为这是一种欺骗行为。
通常情况下,对于一个完整的网络定义,地址范围应该从网络地址起,到子网广播地址为止。例如一个C类网络192.168.0.0/24,那么完整的网络地址范围为192.168.0.0~192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况,在网络地址范围中还需要包含对应的A类网络、B类网络的广播地址,例如一个A类子网10.1.1.0/24,那么内部网络地址中除了10.1.1.0~10.1.1.255外,还需要包括A类网络的广播地址10.255.255.255~10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。
不过,对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外,在这些例外情况中,ISA 服务器将该网络视为网络后面的网络,这些例外包括下列网络:
默认的外部网络。ISA防火墙总是认为默认的外部网络位于与默认路由 所关联的网络适配器(配置了默认网关的网络适配器)所关联的网络的后面,去往或来自外部网络中的地址的通讯必须通过该适配器。来自外部网络中的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性,并将被丢弃。如果路由表中不存在默认网关项目,ISA防火墙将认为外部网络暂时断开连接。
配置为使用 IPSec 隧道模式的站点到站点VPN网络。
被隔离的VPN客户端网络,该网络从不与任何适配器关联,并总是位于与 VPN 拨入适配器关联的 VPN 客户端网络的后面。
默认情况下,ISA防火墙内置了下列网络:
本地主机:此网络代表ISA防火墙,与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯 ,你不能修改或删除本地主机网络。
默认的内部网络:此网络的地址范围在ISA防火墙安装过程中指定,并且建议你总是通过添加适配器来添加内部网络地址。ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络。ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源,但是拒绝所有其他网络到内部网络的访问,您必须自行创建规则来允许到内部网络的访问。你不能删除默认内部网络 。
VPN 客户端:此网络包含当前连接的客户端的地址,由ISA防火墙动态生成 ,不能删除 VPN 客户端网络。
被隔离的VPN客户端:此网络包含尚未解除隔离的VPN客户端的地址,由ISA防火墙动态生成 ,不能删除被隔离的 VPN 客户端网络。
默认的外部网络:此网络包含未明确包含在其他任何网络中的所有IP地址,通常被视为不受信任的网络。在刚结束ISA防火墙的安装时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(127.0.0.1)以及ISA防火墙上其他所有网络适配器的IP地址。
另外,你还可以创建网络,你可以创建的网络有以下四种:
内部网络;
外部网络;
外围网络;
站点到站点VPN网络;
其中前面三个类似于默认的内部网络,最后的站点到站点网络即为于VPN服务中的站点到站点网络。
各种网络所具有的Web代理服务和防火墙客户端支持如下表所示:
上面的文字看起来比较枯燥,我以实例来给大家进行说明,下图是一个在ISA防火墙的内部网络中包含有其他子网的网络拓朴情况,
ISA防火墙拥有两个网络适配器:
外部网络适配器39.1.1.1/24,配置了默认网关;
内部网络适配器10.2.1.1/24,没有配置默认网关,添加了通往子网10.1.1.0/24和10.0.1.0/24子网的路由;
从上面可以反映出内部网络中包含的三个网络:
10.0.1.0/24
10.1.1.0/24
10.2.1.0/24
当你为ISA防火墙配置内部网络时,应包括上述的所有子网。
如果你没有在内部网络中包含上述的所有子网,而是分别为其中的每个子网创建一个网络,那么ISA防火墙将认为10.0.1.0/24和10.1.1.0/24这两个网络暂时断开连接,因为没有与其关联的网络适配器。ISA防火墙会验证Windows路由表和ISA防火墙中的网络配置是否一致,由于10.0.1.0/24和10.1.1.0/24这两个网络的通讯是通过内部网络适配器进行转发,如果不在内部网络中包含这些网络,那么ISA防火墙将确定存在与断开的网络的路由,并得出结论:ISA防火墙的网络配置与路由表不一致,然后通过触发配置错误警告来指出这种不一致性,警告的描述类似如下文字:
如果你没有在内部网络中包含上述的所有子网,而且也没有为它们创建网络,那会怎么样呢?所有没有明确定义的IP地址均属于默认的外部网络。但是,ISA防火墙通过验证Windows路由表和网络配置可以发现,属于外部网络的这两个网络却通过内部网络适配器进行访问,同样的会触发配置错误的警告。
那么,如果你为ISA的外部网络适配器(配置了默认网关)的IP地址新建一个网络,那么会出现什么情况呢?例如,我新建一个外部网络ISA-External,里面的IP地址范围就只包含ISA防火墙的外部网络适配器的IP地址39.1.1.1,那么当客户需要访问外部网络中的某个IP,例如39.1.1.8,那么会发生什么呢?大家看了上面一段文字,可能会这样想:39.1.1.8不属于ISA的外部网络适配器所在的网络ISA-External,但是却要通过外部网络适配器访问,所以ISA防火墙会触发配置错误警告。
这个想法通常是正确的,但是在这个地方是错误的,这个客户可以正常的通过ISA防火墙的外部网络适配器访问默认外部网络中的这个IP 39.1.1.8。Why?还记得文章的前半部分中,对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外吗?其中第一个就是默认的外部网络。默认的外部网络只和默认路由有关,只要此网络适配器配置了默认路由,而不管此网络适配器属于哪个网络,默认的外部网络均可以通过这个网络适配器上的默认路由来进行访问。
希望通过这篇文章,能够让你更为理解ISA防火墙中的网络定义,为你正确的部署ISA防火墙打好基础。