ISA Server 2004防火墙的部署

朋友公司的网线早在几年前装修时就已经布好了,布线也相当规范,每个房间都拉了两根线,以作备份,所有的线都由机柜引出来,在机柜中接在配线架上,房间中则全部做在模块里,现在是只差一台交换机,所有计算机就可以联网了(在这之前,只有某个安全部门实现了几台机器联网),但由于一些原因,直到现在才准备使用,于是我叫他提出要求,然后我再根据要求进行网络设计及具体实施。他的要求是:
1,  调度室的一台计算机需要24小时都能上网,而上网服务器只在每天的上午8点到下午6点开机;
2,  可以根据用户、IP等限制客户端上网;
3,  原网络(以后就叫安全网)的某些计算机能够访问新网络(以后就叫办公网)的某些计算机,而办公网不能访问安全网;
4,  网上邻居中大家都能看到;

网络规划

于是我根据他的要求和网络的实际情况,作出了如图1所示的网络规划,划分了三个子网,下面先大致解释一下是怎样处理上面提到的要求的,具体实现后面将详细讲述。
1,  为了满足第一个要求,我把ADSL猫先接在一台小交换机上,然后调度室的计算机和上网服务器的外网卡再接在这台交换机上,这样当上网服务器关机后,调度机就可自行拨号上网,而当上网服务器开机后,调度机就断线让它拨号上网,然后再通过上网服务器访问因特网,具体配置后面将讲到。
2,  为了更好控制上网行为,这里将使用ISA Server 2004标准版作上网服务器和防火墙,为了方便管理和以后能够在用户级控制上网,这台ISA服务器也将是一台域控制器,当然不建议大家把ISA装在DC上,这里是没有办法的办法,因为没有多余的计算机;
3,  为了物理隔离安全网与办公网,这里使用了支持VLAN的交换机,原安全网不作变动,直接连接到VLAN交换机的一个端口上,并把这个端口单独定义成一个VLAN,其他的端口属于另一个VLAN,不过这里的网络环境有个特殊情况,由于每个房间只布了两根网线,而这里在ISA的房间中只有一根网线能够接在ISA的机器上,这就有了一个问题,因为这里要划分两个VLAN,那么按传统方法,ISA就必须准备两张网卡,然后分别与各自的VLAN相连,但这里却只有一根网线可用,那一个好的办法就是把ISA这个内网卡所连接的端口划分在两个VLAN中,即说这个端口属于两个VLAN,是两个VLAN的公共通道,这还需要交换机的支持,还好这里的交换机支持,不过这也需要在ISA的内网卡配置两个IP,以对应不同的VLAN,这个windows是支持的,所以不成问题,具体配置后面讲到。安全网与办公网之间如果互访则通过ISA的访问规则进行控制。
4,  因为安全网是另外一个域,也属于另外一个子网,网上邻居需要NetBios的支持,而NetBios的名称解析如果使用广播是不能跨越子网的,所以我们需要架设WINS服务器,这样网上邻居中才能看到两个子网的计算机。


具体实施

(一)安装与配置域控制器
为了方便管理,新网络(办公网)192.168.6.0/24将以一个域网络的形式出现,这里首先要做的就是安装一台域控制器,并且这台域控制器也将作为ISA服务器,再次强调一下,不建议你将ISA安装在域控制器上,这里是因为计算机不够用才走的下策。安装的具体步骤我想就必细说了,这里大致提一下(假设已经安装好了windows server 2003):
1,配置网卡
ISA外网卡(请与图1对照):
IP:192.168.5.1/24
网关:无
DNS:无
禁用“TCP/IP上的NetBIOS”,如图2,
ISA内网卡:
第一IP:192.168.6.1/24
第二IP:192.168.0.222/24(如图3)
网关:无
DNS:192.168.6.1
WINS: 192.168.6.1
2,在运行框中输入Dcpromo命令把这台服务器提升为域控制器,在提升过程中的“DNS注册诊断”窗口选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为计算机的首选DNS服务器”,如图4,大家一定要注意,DNS是域的重要组成部分,没有正确配置的DNS你的域将会出现很多问题!
3,安装完成后打开DNS管理控制台,右击服务器图标,进入其属性窗口,然后切换到转发器标签,添加要转发到的DNS服务器,这里也就是ISP提供的DNS服务器,如图5。这样配置之后客户端进行内部访问(如域登录)时就使用内部的DNS服务,访问因特网时就由此DNS进行转发解析。
4,域控制器安装完成后请将这台服务器也安装成WINS服务器,可以从“添加/删除程序”下“添加删除WINDOWS组件”中选择“网络服务”下的WINS安装。

(二)划分VLAN
要把安全网与办公网从物理上隔开就需要划分VLAN,当你划分了VLAN之后,即使用户把自己的IP改成另一个VLAN子网内的IP,它也是无法访问那个子网内的计算机的。这里把端口24单独设置成一个VLAN,即安全网所连接的端口,其余端口划分为一个VLAN,这里的关键是要把ISA内网卡连接的端口划在两个VLAN中,这里ISA内网卡连接的端口是Port 4,从图6可以看出,我把它划在了两个VLAN中,内网卡第一IP 192.168.6.1对应办公网,第二IP 192.168.0.222对应原来的安全网。

(三)在域控制器上安装ISA Server 2004标准版
ISA Server 2004标准版的安装很简单,《在线技术》以前的文章也已经详细讲过,所以这里只提一下需要注意的地方,就是在进入“内部网络”配置窗口时,请点击添加按钮,在弹出窗口中点击“选择网卡”按钮,然后在新窗口中清除上面一个复选框,选中“基于windows路由表添加地址范围”,在下面的网卡中选择内网卡,也就是你这里配置的内网应该包括192.168.6.0/24和192.168.0.0/24这两个子网,不然后面的通讯会有问题,在ISA server 2004中,不管一块网卡有多少个IP,它们都只能属于一个相同的网络,切记!

(四)配置ISA服务器
默认情况下,当ISA server安装好后,它会阻断所有经过它的网络通信。要让网络之间进行通讯,需要创建相应的规则:网络规则和访问规则,二者缺一不可。
1,  配置拨号首选项
由于这里使用的是ADSL连接,首先需要在ISA管理窗口中为它配置拨号首选项,进入ISA管理窗口,定位到configuration/General下,然后点击右窗格中的specify Dial-up Preferences项,在弹出的窗口中选择allow automatic dialing to this network,然后选择External项,并选中下面的configure this dial-up conncetion as the default gateway,接着在Dial-up connection中选择你创建好的ADSL连接(需要你预先在系统的“网络连接”窗口中使用“新建连接向导”创建好),选择之后在下面的dial-up account栏设置好你ADSL拨号使用的帐户和密码,以便ISA自动拨号,如图7。
2,  配置办公网访问ISA上的域服务(包括WINS服务)
由于ISA服务器同时又是域控制器,所以需要创建相应的访问规则办公网的客户端才能登录域。各项参数如下:
Rule Action:Allow
Protocols:(ISA中的名字)
       DNS
kerberos-sec(TCP)
kerberos-sec(UDP)
LDAP
LDAP(UDP)
LDAP(Global catalog)
Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
NTP(UDP)
RPC(all interfaces)
Access Rule Sources:新建一个subnet,IP范围为192.168.6.0/24,如图8;
Access Rule Destinations:Local Host
User set:All Users
3,  配置办公网上网进行WEB浏览
配置办公网上网与上面一样,只是协议和目标需要改变一下,由于上面已经允许了DNS,所以协议就只需要HTTP和HTTPS协议,Access Rule Destinations变为External即可。
4,  配置安全网访问办公网的文件共享
安全网访问办公网是通过ISA路由的,虽然对ISA来说它们都被定义在一个内网中,但它们之间的通讯仍然要通过ISA(因为有VLAN隔离),所以也要创建相应的访问规则,具体参数如下:
Rule Action:Allow
Protocol: Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
Access Rule Source:新建一个subnet,IP范围是192.168.0.0/24
Access Rule Destinations:subnet 192.168.6.0/24
user set: All Users

5,  配置调度机上网
从图1可以看出,调度机位于子网192.168.5.0/24中,它不属于内网,它是与ISA外网卡相关联的网络,要让调度机上网,我们需要先创建相应的网络和网络规则,步骤如下:
(1)调度机的IP配置(不加入域)
IP:192.168.5.3/24
网关:192.168.5.1
DNS:221.5.203.98
(2)在ISA上创建调度机所在的网络,方法是右击configuration/networks,选择新建/Network,各项参数如下:
Network type:External network
Network Addresses:192.168.5.0/24
(3)创建此网络与External网络的网络规则,关系为NAT,要访问内网的话,还要创建与内网的网络规则为Route,与本地主机的网络规则默认就为路由,不能再创建。
(4)创建访问规则,各项参数如下:
Rule Action:Allow
Protocols: DNS、HTTP、HTTPS
Access Rule Sources:新建一个computer,IP为192.168.5.3
Access Rule Destinations:External
User set:All Users

(五)配置ISA自动开机和自动关机
配置ISA服务器自动开机,这很简单,因为BIOS支持在某个时间自动开机,比如是每天早上8:00开机,在BIOS中作相应配置就行,BIOS可以设置自动开机,但可惜不能配置自动关机,比如需要每天下午6:00钟自动关机,这时可以下载一个专门的关机软件来实现,比如我这里就是使用的阿达自动关机,它可以配置每天在指定的时间自动关机,具体使用大家一看就知道,这里不再细说。

(六)配置调度机自动拨号和自动断线
ISA的自动拨号前面已经介绍了,现在来看看调度机(192.168.5.3)怎样实现自动拨号和自动断线,我们理想的情况是当ISA关机后调度机就自动拨号上网,而每天早上8点在ISA开机后它又应该自动断开连接,以让ISA拨号,这个我们可以通过系统的内置功能实现,也就是由任务计划和系统的rasdial命令一起来实现,实现自动拨号的步骤如下:
1,  在调度机上运行“任务计划向导”,然后在程序中选择windowssystem32系统目录下的rasdial.exe程序;
2,  然后在下一步定义好运行时间,比如18:01,
3,  接下来输入运行此程序的用户名和密码,通常就是当前登录用户,在最后的完成窗口中选中“在单击完成时,打开此任务的高级属性”,然后我们需要在弹出窗口的运行栏中rasdial.exe命令后加入adsl user password参数,其中的ADSL是你为ADSL连接创建的拨号名,如果不清楚,可以到“开始/设置/网络连接”中找到,user是你ADSL的帐户名,Password就是拨号的密码了,如图9。

与上面实现自动拨号相似,要实现早上8:00钟自动断开连接也可以使用任务计划加rasdial,只是图中rasdial后参数变成adsl /disconnect就行了,这里就不再多说了,自己变动一下即可。

(七)客户端配置
办公网的IP范围是192.168.6.0/24,客户端全部加入ISA所在域CJGG.COM,DNS、网关和Wins都指向ISA的内网卡192.168.6.1。
安全网的IP范围是192.168.0.0/24,属于另外一个域CYCW.COM,所以DNS要指向此域的DNS服务器,然后在这个域的DNS服务器上启用转发,而网关指向192.168.0.222,WINS指向192.168.6.1。这里注意要将此域的域控制器的网关也指向192.168.0.222,WINS也要指向192.168.6.1,这样可以在网上邻居中看到两个子网的计算机列表,不过也只是能够看到列表,要想在网上邻居中访问另一个子网中的计算机,还需要像上面第四部分第4节一样配置相应的访问规则才行。
另外现在朋友的网络都是基于IP地址来限制访问的,还没有基于用户限制,所以客户端现在也没有安装防火墙客户端,而且如果要基于用户来限制的话,由于安全网属于另外一个域(非同一个森林),所以还需要手动建立两个域之间的信任关系才能实现基于用户限制,这又是另外一篇文章的内容了,如果可能,下次再谈吧。

posted on 2011-08-31 09:37 青蛙學堂 阅读(317) 评论(0)  编辑 收藏 引用 所属分类: 硬件百科

只有注册用户登录后才能发表评论。
<2006年1月>
25262728293031
1234567
891011121314
15161718192021
22232425262728
2930311234

导航

统计

常用链接

留言簿(7)

随笔分类

随笔档案

收藏夹

青蛙学堂

最新评论

阅读排行榜

评论排行榜