ISA2006實戰系列之三:防火牆策略部署深度分析(附圖)
阿新 • • 發佈:2020-10-18
通過前面兩次課我們學習瞭如何在企業裡統一部署ISA的三種客戶端,今天我們就來學習一下如何通過防火牆策略來對我們企業網路進行統一部署。 ISA Server能對企業進行安全的防護,依靠的是它的防火牆策略規則,其實基本上分三類規則:1. 網路規則:主要是指網路與網路之間的關係,分為路由和NAT兩種。
2. 訪問規則:源網路上的客戶端如何訪問目標網路上的資源。一般比如企業內部使用者通過ISA訪問網際網路。
3. 釋出規則:讓外部使用者訪問企業的Web或郵件等伺服器。同時又不危及內部網路的安全性。 那麼到底什麼時候使用訪問規則,什麼時候使用釋出規則呢?這個要取決於你的網路規則! 各位是否記得我們在安裝ISA的時候就選擇了內部網路,所以在預設情況下,你安裝完ISA後就已經有了幾個網路:內部網路、外部網路、本地主機、×××客戶端網路、隔離的×××客戶端網路這樣五個網路,如下圖所示:
內部網路:一般是指你的Intranet,即企業內網,往往都是私有IP。如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16等。
外部網路:即Internet。一般不包含其它四個網路的地址的網路。
本地主機:ISA本身的幾個網絡卡所使用的IP以及127.0.0.1統一為一個網路,就是本地主機。
×××客戶端網路:當ISA上跑×××後,使用者通過×××拔上來就屬於×××客戶端網路。
隔離的×××客戶端網路 
因此,如果各位想自己建立自己的網路,就得建立自己的這些網路與其它網路之間的網路關係。 所以我們可以這樣認為:ISA控制的就是網路與網路之間的安全通訊!!
我們新建了兩個城市(類似於新建網路),接下來,我們就要在這兩個城市之間鋪路,是鋪雙向路(路由關係)還是單向路(NAT),如果鋪好了路,比如雙向路,再接下來我們就要劃路標並規定什麼樣車型可以在這條路上跑,如大貨車只能晚上跑(訪問規則等)。總結一下:城市----網路
鋪路---網路規則
道路限制規則---訪問規則或釋出規則注意:NAT是有方向的!!****什麼時候在ISA上建立訪問規則或釋出規則呢?
當網路之間的關係是路由或從A網路----》B網路(有路即NAT):訪問規則。
解釋一下,如果A網路到B網路方向的NAT(注意NAT是有方向的,單向路不也有方向嗎),而你要控制A網路對B網路的訪問,我們就建訪問規則,但反之,如果B網路要訪問A網路資源就得做釋出規則。也就是通過ISA達到B網路訪問A網路的目的。注意:如果存在路由關係也可以做釋出。補充一下:在裝完ISA後,預設的配置需要各位要知道:
a. 預設阻塞連線到ISA SRV的網路間的所有網路通訊,即ISA所連的任意網路間都是無法通訊的。
b. 只有本地管理員組的成員具有管理許可權
c. 建立預設網路:即5個網路
d. 訪問規則包括系統策略規則和預設訪問規則。在這裡標準版ISA會有30條系統策略規則,主要定義是的ISA到內到外的訪問動作,而預設的訪問規則就是上面的第一條即預設阻塞連線到ISA SRV的網路間的所有網路通訊。如下圖所示:e. 不釋出任何伺服器:沒有建立釋出規則。
f. 禁用快取
g. 可訪問Firewall Client Installation Share (如果已安裝)
下面演示一下如何建立網路及網路規則:假設企業內部網路的拓樸如下所示:注意預設情況下,已經建立內部網路,並制定了內部網路到外部網路的NAT的網路關係,接下來我們需要建立DMZ網路以及制定DMZ網路和內部網路、外部網路之間的網路關係(NAT或Route),具體如下圖所示:
一、新建網路:開啟ISA控制檯,右擊網路---選新建--網路,如下圖:
在嚮導介面,輸入網路名稱,如DMZ,單擊下一步:
選擇網路型別(注,凡是自己後來建立的網路均選“外圍網路”),如下圖:
選擇“網路地址”,如下圖:
單擊下一步,如下圖完成DMZ網路的建立。
最後如下圖所示:
二、制定網路規則:右擊網路--新建--網路規則,如下圖所示:
取一個名字如下圖:
選擇源網路,在這裡選擇DMZ,如圖:
如下圖所示:
單擊下一步後,選擇目的網路,在這裡選擇“外部”,如下圖:
網路關係,我們依據企業拓樸選擇“NAT ”如下圖:
最後如下所示:
用類似的方法,建立內部網路到DMZ的路由關係的網路規則,如下所示,就不再一一演示了。
兩個網路規則建立完後,如下圖所示:
最後單擊應用,儲存配置,至此我們的新建的網路及網路規則就全部建立完了,接下來就可以制定相應的訪問規則和釋出規則了。關於DMZ:DMZ是Demilitarized Zone的縮寫,俗稱非軍事化隔離區。一般這個區域專門放一些重要的伺服器,如WEB、MAIL、FTP等,這些伺服器將來要通過ISA釋出到網際網路上。增加一個DMZ網路來專門放要釋出的伺服器,有很多優點,比如安全就是最重要的一點。好了,關於防火牆策略的部署就結束了,其實之所以寫這篇,也是因為在平時的教學中,很多學員對防火牆的策略理解不清,總之希望能對各位有幫助!在企業實施過程中思路清晰!
2. 訪問規則:源網路上的客戶端如何訪問目標網路上的資源。一般比如企業內部使用者通過ISA訪問網際網路。
3. 釋出規則:讓外部使用者訪問企業的Web或郵件等伺服器。同時又不危及內部網路的安全性。 那麼到底什麼時候使用訪問規則,什麼時候使用釋出規則呢?這個要取決於你的網路規則! 各位是否記得我們在安裝ISA的時候就選擇了內部網路,所以在預設情況下,你安裝完ISA後就已經有了幾個網路:內部網路、外部網路、本地主機、×××客戶端網路、隔離的×××客戶端網路這樣五個網路,如下圖所示:
內部網路:一般是指你的Intranet,即企業內網,往往都是私有IP。如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16等。
外部網路:即Internet。一般不包含其它四個網路的地址的網路。
本地主機:ISA本身的幾個網絡卡所使用的IP以及127.0.0.1統一為一個網路,就是本地主機。
×××客戶端網路:當ISA上跑×××後,使用者通過×××拔上來就屬於×××客戶端網路。
隔離的×××客戶端網路
因此,如果各位想自己建立自己的網路,就得建立自己的這些網路與其它網路之間的網路關係。 所以我們可以這樣認為:ISA控制的就是網路與網路之間的安全通訊!!
我們新建了兩個城市(類似於新建網路),接下來,我們就要在這兩個城市之間鋪路,是鋪雙向路(路由關係)還是單向路(NAT),如果鋪好了路,比如雙向路,再接下來我們就要劃路標並規定什麼樣車型可以在這條路上跑,如大貨車只能晚上跑(訪問規則等)。總結一下:城市----網路
鋪路---網路規則
道路限制規則---訪問規則或釋出規則注意:NAT是有方向的!!****什麼時候在ISA上建立訪問規則或釋出規則呢?
當網路之間的關係是路由或從A網路----》B網路(有路即NAT):訪問規則。
解釋一下,如果A網路到B網路方向的NAT(注意NAT是有方向的,單向路不也有方向嗎),而你要控制A網路對B網路的訪問,我們就建訪問規則,但反之,如果B網路要訪問A網路資源就得做釋出規則。也就是通過ISA達到B網路訪問A網路的目的。注意:如果存在路由關係也可以做釋出。補充一下:在裝完ISA後,預設的配置需要各位要知道:
a. 預設阻塞連線到ISA SRV的網路間的所有網路通訊,即ISA所連的任意網路間都是無法通訊的。
b. 只有本地管理員組的成員具有管理許可權
c. 建立預設網路:即5個網路
d. 訪問規則包括系統策略規則和預設訪問規則。在這裡標準版ISA會有30條系統策略規則,主要定義是的ISA到內到外的訪問動作,而預設的訪問規則就是上面的第一條即預設阻塞連線到ISA SRV的網路間的所有網路通訊。如下圖所示:e. 不釋出任何伺服器:沒有建立釋出規則。
f. 禁用快取
g. 可訪問Firewall Client Installation Share (如果已安裝)
下面演示一下如何建立網路及網路規則:假設企業內部網路的拓樸如下所示:注意預設情況下,已經建立內部網路,並制定了內部網路到外部網路的NAT的網路關係,接下來我們需要建立DMZ網路以及制定DMZ網路和內部網路、外部網路之間的網路關係(NAT或Route),具體如下圖所示:
一、新建網路:開啟ISA控制檯,右擊網路---選新建--網路,如下圖:在嚮導介面,輸入網路名稱,如DMZ,單擊下一步:
選擇網路型別(注,凡是自己後來建立的網路均選“外圍網路”),如下圖:選擇“網路地址”,如下圖:
單擊下一步,如下圖完成DMZ網路的建立。最後如下圖所示:二、制定網路規則:右擊網路--新建--網路規則,如下圖所示:取一個名字如下圖:選擇源網路,在這裡選擇DMZ,如圖:如下圖所示:單擊下一步後,選擇目的網路,在這裡選擇“外部”,如下圖:網路關係,我們依據企業拓樸選擇“NAT ”如下圖:最後如下所示:用類似的方法,建立內部網路到DMZ的路由關係的網路規則,如下所示,就不再一一演示了。兩個網路規則建立完後,如下圖所示:最後單擊應用,儲存配置,至此我們的新建的網路及網路規則就全部建立完了,接下來就可以制定相應的訪問規則和釋出規則了。關於DMZ:DMZ是Demilitarized Zone的縮寫,俗稱非軍事化隔離區。一般這個區域專門放一些重要的伺服器,如WEB、MAIL、FTP等,這些伺服器將來要通過ISA釋出到網際網路上。增加一個DMZ網路來專門放要釋出的伺服器,有很多優點,比如安全就是最重要的一點。好了,關於防火牆策略的部署就結束了,其實之所以寫這篇,也是因為在平時的教學中,很多學員對防火牆的策略理解不清,總之希望能對各位有幫助!在企業實施過程中思路清晰!本文出自 “千山島主之微軟技術空間站” 部落格,轉載請與作者聯絡!
轉載於:https://blog.51cto.com/lixiangqian/1201910