基于强大的多网络核心,ISA防火墙除了可以作为网络间的边缘防火墙外,还可以作为网络间的路由器使用。ISA防火墙强大的应用层过滤和状态识别功能,使得ISA防火墙的功能比真实的路由器有过之而无不及。例如,你可以允许某个Windows下的用户访问某个网络的某种协议,而真实的路由器则只能根据用户的IP地址和数据包的端口来限制;同时,基于ISA防火墙强大的状态识别,你可以阻止包含在HTTPS协议中的非正常数据,而路由器是根本没有办法做到这一点的。
有不少朋友在问如何将ISA防火墙配置为内部网络中的二级代理,其实二级代理只是ISA防火墙作为内部路由器的一种情况而已。在纯路由环境下,内部路由器就是一个二级代理,类似于背靠背防火墙模型中的背端防火墙;同时,利用ISA防火墙的Web代理服务和Web链设置,你也可以很方便的设置ISA防火墙只是作为HTTP代理。
在这篇文章中,我们以一个包含多个子网的内部网络环境为例,给大家介绍如何将ISA防火墙配置为内部路由器。这些内容都应该是作为ISA学习的进阶内容,在一些简单的环节,或许我会略过。
各计算机的TCP/IP设置如下,因为不涉及DNS解析,所有计算机的DNS服务器均设置为空:
Server1:
IP:192.168.0.1/255
DG:192.168.0.1
ISA 2004 Firewall:
LAN1接口:
IP:192.168.0.254/255
DG:192.168.0.1
LAN2接口:
IP:192.168.2.1/255
DG:None
Client1:
IP:192.168.2.8/255
DG:192.168.2.1
其实配置ISA防火墙作为内部路由器不需要什么额外的配置。在安装过程中选择好内部网络,然后建立访问规则就是了。只是在默认情况下,内部网络访问外部网络是通过NAT来的,在有些时候,可能你需要使用路由关系。在使用路由关系时,记得先确定在不同的子网间是否有到对应网络的路由。
在这篇文章中,我们将按照步骤来进行:
配置内部网络和内部到外部的网络规则(NAT);
建立访问规则;
测试LAN2到LAN1的连通性一;
配置内部到外部使用路由方式;
测试LAN2到LAN1的连通性二;
在LAN1的Server1上添加LAN2的路由;
测试LAN2到LAN1的连通性三;
1、配置内部网络和内部到外部的网络规则(NAT)
我是新安装的ISA防火墙,在安装过程中选择内部网络时,我通过选择网卡来进行选择。如果你已经安装好了ISA防火墙,那么你直接在内部网络属性中进行修改即可。
安装好后,在ISA防火墙管理控制台的配置的网络节点,你可以在右边网络面板中看到内部网络的地址范围。
默认情况下,内部到外部网络使用NAT方式,在网络规则中很清楚的说明了这一点。
2、建立访问规则
现在网络基础元素已经定义好了,我们需要建立访问规则,允许内部(LAN2)到外部(LAN1和其他网络)的访问。
右击防火墙策略,指向新建,选择访问规则,规则中需要定义的元素如下:
规则名称:Allow Any to Any;
规则操作:允许;
协议:所有出站通信;
访问规则源:所有网络(和本地主机);
访问规则目的:所有网络(和本地主机);
用户集:所有用户;
点击应用保存修改和更新防火墙策略;
建立好后的规则如下图:
在这个试验中,我们只是为了更好的说明试验,所以才定义此Allow Any to Any use Any protocols的“3 Any”规则。在你的商用网络中,请严格限定访问规则中使用的每一元素。
