利用網路模板來建立ISA訪問策略
阿新 • • 發佈:2020-10-14
相對於ISA2000,ISA2004在配置的簡易性方面有了很大的改進,除了可以簡單的配置自定義的訪問策略外,ISA2004還提供了豐富的網路模板,使使用者可以使用網路模板嚮導一步一步的完成配置,即使是初用者,也很易上手。
1、邊緣防火牆模板<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
此模板為最常用的防火牆模板,其基本方案是將一臺有兩個網路介面卡ISA 伺服器作為網路邊緣的的防火牆。一個網路介面卡連線到內部網路,另一個連線到外部網路 (Internet)。
通過應用邊緣防火牆網路模板配置 ISA 伺服器時,ISA 伺服器將按照所選的特定策略配置網路規則和防火牆策略。在實際的配置過程中,可以允許所有傳出通訊,也可以限制傳出通訊以便僅允許 Web 訪問,從而保護網路不會被他人訪問,同時允許公司網路上的使用者進行特定的訪問。
2、在“歡迎使用網路模板嚮導”中,單擊【下一步】按鈕,進入“匯出ISA伺服器的配置”對話方塊,在此,為了儲存當前所做的配置,你可以單擊【匯出】按鈕以作備份(推薦完成此部)。如圖所示。
3、在“內部網路IP 地址”對話方塊中,確認嚮導正確識別了內部網路的IP 地址。你可以使用【新增】、【新增介面卡】或者【新增專用】按鈕來新增更多的IP 地址。如圖所示。
4、在“選擇一個防火牆策略”對話方塊中選擇“允許有限的Web訪問並允許訪問ISP網路服務”,以使在第3步中所新增的網路地址計算機可以對外部網路(Internet)進行有限制的訪問。如圖所示。
5、單擊【下一步】按鈕 ,完成配置。然後再點選【應用】按鈕以儲存和更新防火牆策略。
6、在防火牆策略中,可以看到通過模板自動建立了三個訪問策略。如圖所示。
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />一、網路設定模板
ISA Server 2004防火牆為使用者提供了具有普遍意義5個預定義的網路模板,並且在管理控制檯中用圖文方式進行表達,非常直觀。 如圖所示:
1、邊緣防火牆模板<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
此模板為最常用的防火牆模板,其基本方案是將一臺有兩個網路介面卡ISA 伺服器作為網路邊緣的的防火牆。一個網路介面卡連線到內部網路,另一個連線到外部網路 (Internet)。
通過應用邊緣防火牆網路模板配置 ISA 伺服器時,ISA 伺服器將按照所選的特定策略配置網路規則和防火牆策略。在實際的配置過程中,可以允許所有傳出通訊,也可以限制傳出通訊以便僅允許 Web 訪問,從而保護網路不會被他人訪問,同時允許公司網路上的使用者進行特定的訪問。
2、三向外圍網路模板
此模板也較常用,基本方案是將一臺具備三個網路介面卡的 ISA 伺服器計算機作為企業安全防火牆。一個網路介面卡連線到內部網路,一個連線到3、前端防火模板
在這個方案中,ISA 伺服器作為背靠背外圍網路配置中的防禦前線。基本的網路拓樸是在外圍網路的邊緣(即前端)放置一臺ISA伺服器,另一個防火牆配置在外圍網與內部網之間(即後端,以保護內部網路)。採用前端防火牆配置模板,是為了配置網路邊緣(即前端)的防火牆。 通過應用前端網路模板配置 ISA 伺服器時,4、後端防火牆模板
在這個方案中,ISA 伺服器作為背靠背外圍網路配置中的後防線。基本的網路拓樸是在外圍網路的邊緣(即前端)放置一臺ISA伺服器,另一個防火牆配置在外圍網與內部網之間(即後端,以保護內部網路)。採用後端防火牆配置模,是為了配置放在外圍網路後面的防火牆。 通過應用前端網路模板配置 ISA 伺服器時,ISA 伺服器將按照所選的特定策略配置網路規則和防火牆策略。通過策略,防止了內網和外網直接通訊。同時,如果前端防火牆被網路***攻陷,他也不能直接訪問到內網的資料,除非他能再攻陷後端防火牆。所以通過增加後端防火牆,可以給企業內部網以更高的安全。5、單一網路介面卡防火模板
當在網路邊緣有另一臺ISA防火牆時,可以在網路中一臺只具有一個網路配置器的計算機上安裝ISA2004,在這樣網路環境中,這個ISA伺服器通常作為快取伺服器,以提高企業內部使用者上網速度,但其不具有防火牆功能。 當應用單一網路介面卡網路模板時,內部網路配置為包含所有 IP 地址。應用稱為“允許 Web 代理和快取”的防火牆策略。此策略允許 Web 代理客戶端訪問 Internet 中的 Web 內容並通過快取提高 Web 效能。無須建立任何規則。二、應用邊緣防火牆模板建立一個受限的訪問策略
利用邊緣防火牆模板建立訪問策略的步驟如下: 1、開啟ISA Server 2004 管理控制檯,展開“配置”,單擊“網路”。在任務面板中(如果任務面板沒有開啟,可在“檢視”選單中選擇“任務窗格”以開啟任務面板)單擊“模板”標籤,在模板標籤選項卡中,單擊“邊緣防火牆模板”。如圖所示。
2、在“歡迎使用網路模板嚮導”中,單擊【下一步】按鈕,進入“匯出ISA伺服器的配置”對話方塊,在此,為了儲存當前所做的配置,你可以單擊【匯出】按鈕以作備份(推薦完成此部)。如圖所示。
3、在“內部網路IP 地址”對話方塊中,確認嚮導正確識別了內部網路的IP 地址。你可以使用【新增】、【新增介面卡】或者【新增專用】按鈕來新增更多的IP 地址。如圖所示。
4、在“選擇一個防火牆策略”對話方塊中選擇“允許有限的Web訪問並允許訪問ISP網路服務”,以使在第3步中所新增的網路地址計算機可以對外部網路(Internet)進行有限制的訪問。如圖所示。
5、單擊【下一步】按鈕 ,完成配置。然後再點選【應用】按鈕以儲存和更新防火牆策略。
6、在防火牆策略中,可以看到通過模板自動建立了三個訪問策略。如圖所示。