基于ISA 2004 防火墙的ISP 托管配置
在ISA 防火墙中有一种特殊的配置称作"ISP 托管"配置。我曾经在一篇配置ISP托管 Web/SMTP/ISA Server的文章中写到过基于ISA Server 2000防火墙的这种配置方法。我把它称做ISP托管配置,因为在ISP托管主机环境里你不可能为你的服务器安装多块网卡,因此,你只需要一块网卡来运行ISP 托管的Web,FTP,SMTP服务器。这篇文章将教你如何在ISA 2004防火墙中创建单网卡的托管主机。
这是一种很有趣的配置,因为它关系到ISA 2004防火墙软件是否有效地保护了位于ISP托管主机上的公共可访问资源。如果你正在这么去做的话,我强烈建议你不要在ISA 2004防火墙主机上安装额外的软件,因为每个额外的程序或者服务将增大防火墙被攻击的机会。
但是,ISP托管主机的部署也不近相同。通常ISP会提供些基本的PIX或者Netscreen包过滤支持,这些防火墙是基于网络层的过滤,一旦需要执行高强度的应用层检测时,它们就显得无能为力了。而在被托管的Web,FTP,SMTP主机上使用ISA 2004防火墙软件时你就会感到一些重要的优势。
这种ISP托管主机配置也可应用于其他场合,例如,假设你想给你的网络配置强大的ISA 2004应用层检测防火墙,而你也不得不要尽可能说服那些轻信硬件防火墙的人(参考此文http://isaserver.org/articles/2004tales.html)。一种折中的办法是将ISA 2004防火墙部署在位于2个“硬件”防火墙之间的DMZ区域,使用这种位于DMZ区域的ISP托管配置的ISA 2004防火墙,将获得真正的应用层检测保护。
ISP托管主机配置使用一块单网卡和一个“虚拟”网卡,这个虚拟网卡就是Microsoft loopback适配器,loopback适配器不是真正的物理网卡,但可以象配置真网卡那样给loopback适配器配置IP地址信息。ISA 2004防火墙把loopback适配器视作一个物理接口,你可以使用它来发布服务。
在ISA 2004 防火墙上安装虚拟网卡可以“欺骗”ISA认为它充当了一个防火墙的角色。你可以给ISA 2004安装单网卡,但你随即失去了防火墙的许多功能,因为ISA 2004防火墙软件认为你只想让防火墙运行在Web代理模式。相反,当你安装了loopback适配器后,防火墙软件就认为它是一个真实的接口可以完全执行应用层检测的任务。
这篇文章中我们将讨论ISP托管配置,下图是实验部署图,你可以使用VMware或者Virtual PC虚拟网络环境测试实验。你可以从位于ISA 2004防火墙物理接口同一网段的主机测试,也可以从位于Internet路由器一端的广域网主机上测试。
loopback适配器分配了一个假地址10.0.0.1/24,注意这个假内部接口没有DNS和默认网关地址分配。
ISA 2004防火墙外部接口上有一个真实的IP地址和默认网关,这样配置很重要,因为这个外部IP地址是必须被访问到的,默认网关地址也是必须的以便ISA 2004防火墙能响应Internet主机的请求。DNS服务器地址应该是一台能解析Internet主机名的DNS服务器,因为托管的ISA 2004防火墙/Web/FTP/SMTP服务器需要解析外发邮件的Internet MX 域名,注意,配置中也可以使用ISA 2004防火墙自带的SMTP Message Screener.
如果你计划使用ISA 2004防火墙位于2个所谓“硬件”防火墙之间的DMZ方案,我建议DMZ段和后方防火墙之间应该是路由关系而不是NAT关系。
按如下配置:
在托管的ISA 2004防火墙主机上安装loopback适配器,配置IP地址信息
安装IIS,禁用socket pooling,绑定这些服务在loopback适配器的IP地址上
安装ISA 2004 防火墙软件
在内部接口上禁用Web代理和防火墙客户监听器
创建Web和Server发布规则
创建允许从本地主机网络到外部网络的SMTP外出访问规则
测试配置
注意:
本站98%的文章都是我曾经真实进行过的安装和配置介绍,2%的文章是我认为可以用实验表达的。这些实验文章需要用实践来说明,但是我和我知道的人没有真正在实际环境中测试过。这就是我为什么要在大部分文章里提供一个实验部署参考图的原因,以便你们在实际操作前能了解配置的步骤。我希望没有给isaserver.org社区错误的印象,认为本站文章仅仅是纸上谈兵而不是真实的案例,希望我提供的大部分文章可以经受住真实网络环境测试的考验。
在托管的ISA 2004防火墙主机上安装loopback适配器,配置IP地址信息
第一步(在一台单网卡机器上安装完Windows Server 2003后)安装Microsoft loopback适配器。通过Add/Remove Hardware面板安装。
1.在ISA 2004防火墙主机上,Start-Control Panel-Add Hardware
2.点击Next,
3.Is the hardware connected:Yes,I have already connected the hardware-Next
4.The following hardware is already installed on your computer:Add a new hardware device-Next
5.The wizard can help you install other hardware:Install the hardware that I manually select from a list(Advanced)-Next
6.From the list below,select the type of hardware you are installing:Network adapters-Next
7.Select Network Adapter:Microsoft- Microsoft Loopback Adapter-Next
8.The wizard is ready to install your hardware: -Next
9.Completing the Add Hardware Wizard: -Finish
10.右击My Network Places: -Properties
11.Network Connections: -loopback adapter -Properties
12.Properties: -Internet protocol(TCP/IP)-Properties
13.Internet Protocol(TCP/IP) Properties: -IP address:10.0.0.1-Subnet mask:255.255.255.0
14.OK
安装IIS,禁用socket pooling
首先安装IIS服务,此例中我们需要安装IIS World Wide Web(W3SVC 或者WWW服务),FTP服务,SMTP服务。你也许想到了Microsoft Exchange服务,我打算把它安装在同一台ISA 2004防火墙主机上。如果你想Exchange服务器完全被ISA 2004防火墙保护的话,那么应该把它放置在防火墙后面,并且用托管设备做特殊安排。
执行以下步骤在ISA 2004防火墙主机上安装IIS服务:
1.在ISA主机上:Start-Control Panel-Add or Remove Programs
2.Add/Remove Components
3.Windows Components:Application Server-Details
4.Application Server:Internet Information Services(IIS)-Details
5.IIS:File Transfer Protocol(FTP) Services,SMTP Services and WWW Services-OK
6.Application Server:-OK
7.Windows Components:-Next
8.Insert Disk:-OK
9.Files Needed:输入Windows Server 2003 i386路径-OK
10.Completing the Windows Components Wizard-Finish
下一步是禁止掉IIS服务的socket pooling.socket pooling允许IIS服务在所有接口卡上监听相同的端口号,这是针对专用IIS服务器的一种性能优化。但是对于运行了ISA 2004防火墙软件的IIS服务器,socket pooling是致命的危害。为了让我们的Web和Server发布方案运行在ISA 2004防火墙里,在配置内部IP地址(分配给loopback适配器的IP地址)的监听服务前需要禁止掉socket pooling.
执行以下步骤禁止掉IIS WWW服务里的socket pooling:
1.拷贝 Windows Server 2003安装光盘supportools 到ISA主机上。
2.安装suptools.msi
3.Start-Run-cmd
4.输入:httpcfg set iplisten -i 10.0.0.1,
回显:HttpSetServiceConfiguration completed with 0
5.输入:httpcfg query iplisten
现在我们来禁止掉IIS FTP服务里的socket polling:
1.cmd-net stop msftpsvc
2.转向InetPubAdminscripts,运行cscript adsutil.vbs set /msftpsvc/1/DisableSocketPooling 1
3.cmd-net start smtpsvc
现在来绑定WWW,FTP,SMTP服务到ISA 2004防火墙的内部IP地址上:
1.在ISA服务器上,Start-Administrative Tools-IIS manager
2.展开Web Sites-Default Web Site-Properties
3.Default Web Site Properties:IP address栏里选择10.0.0.1-Apply
4.展开FTP Sites-Default FTP Site-Properties
5.IP address:10.0.0.1
6.Default SMTP Virtual Server-Properties
7.IP address:10.0.0.1
8.Access-Authentication
9.Authentication:勾选Integrated Windows Authentication.这个选项