ISA Server 2004在背靠背防火墙结构中的应用这个问题一直没有详细的说明,有很多网友也提出这个问题 .我花了一天时间,进行N次尝试和测试,获得了一手资料。本文适用于已经有一定ISA和网络技术基础的网友参考,请初入门的网友先学习其他文章。
由于ISA2004提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计,所以针对国内的实际情况(很多网友的网络只有一个Internet的IP地址),模板需要做很大调整。外围网使用公网IP的情况按照模板不需要调整,很容易实现,这里就不做介绍了。
只有一个公网IP的也有两种情况,后端防火墙内的网络需要不需要被外围网访问。先介绍后端防火墙内的电脑或者服务器,不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况,这种情况比较简单。
在第一种和第二种情况下网络构成不变。
一、外围网不需访问后端防火墙内的电脑或者服务器
1.要求
服务器网段(FTP服务器,WEB服务器,邮件服务器)不能上网,只能被外部和外围网有限访问一些服务,外围网和后端防火墙网段能够上网,后端防火墙网段可以访问外围网和服务器网段。
2.网络构成
前端防火墙共3张网卡,
网卡1
连接对外服务的服务器
IP :192.168.1.1/24无网关,无DNS
网卡2
连接外围网
IP:192.168.100.1/24无网关,无DNS
网卡3
使用PPPoE拨号得到外部IP,网关,DNS服务器地址
外围网客户端的网络设置
IP:192.168.100.*/24网关192.168.100.1, DNS 192.168.100.1
在ISA服务器上建立DNS服务器,转发到ISP提供的DNS服务器
后端防火墙2网卡,
网卡1
连接外围网
IP:192.168.100.2/24 ,网关192.168.100.1, DNS 192.168.100.1
网卡2
连接内部上网电脑
IP:192.168.50.1/24无网关,无DNS
3.1设置前端防火墙
如图使用前端防火墙模板,点击模板,
如果需要保持以前的网络设定,可以在此处导出网络设置文件,备份。
添加外围网的地址范围,
为了测试方便,我们在这里选择允许无限制的访问,在实际运用种,应该按照各自需要设定。
前端防火墙模板完成。
3.2增加对外访问的服务器网段
如图点击创建一个新的网络,
选择外围网,
加入对外服务服务器的地址段
建立网络之间关系,创建一个新的网络规则,
定义对外服务服务器网段的名字,
增加网络源
增加目标网络
选择关系是路由,
最后点击完成。
我们配置到这里,需要确认一下是否都配置正确。
共3页。 1 2 3 :
|