ISA Server 在背靠背防火墙结构中的应用这个问题一直没有详细的说明有很多网友也提出这个问题 我花了一天时间进行N次尝试和测试获得了一手资料本文适用于已经有一定ISA和网络技术基础的网友参考请初入门的网友先学习其他文章
由于ISA提供的前端防火墙模板的对象是外围网使用的都是公网IP的设计所以针对国内的实际情况(很多网友的网络只有一个Internet的IP地址)模板需要做很大调整外围网使用公网IP的情况按照模板不需要调整很容易实现这里就不做介绍了
只有一个公网IP的也有两种情况后端防火墙内的网络需要不需要被外围网访问先介绍后端防火墙内的电脑或者服务器不需要被外围网和在前端防火墙上建立的VPN客户端已及构筑成VPN站点的远程站点访问的情况这种情况比较简单
在第一种和第二种情况下网络构成不变
一外围网不需访问后端防火墙内的电脑或者服务器
要求
服务器网段(FTP服务器WEB服务器邮件服务器)不能上网只能被外部和外围网有限访问一些服务外围网和后端防火墙网段能够上网后端防火墙网段可以访问外围网和服务器网段
网络构成
前端防火墙共张网卡
网卡
连接对外服务的服务器
IP / 无网关无DNS
网卡
连接外围网
IP/ 无网关无DNS
网卡
使用PPPoE拨号得到外部IP网关DNS服务器地址
外围网客户端的网络设置
IP*/ 网关 DNS
在ISA服务器上建立DNS服务器转发到ISP提供的DNS服务器
后端防火墙网卡
网卡
连接外围网
IP/ 网关 DNS
网卡
连接内部上网电脑
IP/ 无网关无DNS
设置前端防火墙
如图使用前端防火墙模板点击模板
如果需要保持以前的网络设定可以在此处导出网络设置文件备份
添加外围网的地址范围
为了测试方便我们在这里选择允许无限制的访问在实际运用种应该按照各自需要设定
前端防火墙模板完成
增加对外访问的服务器网段
如图点击创建一个新的网络
选择外围网
加入对外服务服务器的地址段
建立网络之间关系创建一个新的网络规则
定义对外服务服务器网段的名字
增加网络源
增加目标网络
选择关系是路由
最后点击完成
我们配置到这里需要确认一下是否都配置正确
下面我们发布一下一为非正常端口的FTP服务器
如图建立发布规则
注意它的属性其实只需要发布的端口不同于在其它地方发布的服务器端口即可发布这里不在做详细的规则配置介绍不熟悉的网友请先参看其它文章
在不需要外网网访问的情况下后端防火墙没有特别的和边缘防火墙模板相同完全可以使用边缘防火墙模板这里不说明边缘防火墙的设置在第二种情况下需要外网网访问后端防火墙内电脑的时候做详细说明注意的是如果要限定内网访问服务器网段或者外围网端机器需要按照网络集限定
测试
从公网IP进行FTP测试
*** CuteFTP Pro build Oct ***
状态:> 正在获取列表
状态:> 正在连接主机名称
状态:> 主机 已连接: ip = **
状态:> 正在连接到 ftp 服务器 : (ip = **)
状态:> 接口已连接正在等候欢迎消息
ServU FTP Server v for WinSock ready
状态:> 已连接正在登陆
命令:> USER test
User name okay need password
命令:> PASS *****
User logged in proceed
状态:> 登录成功
命令:> PWD
/ is current directory
状态:> Home directory: /
命令:> FEAT
Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
End
状态:> 该站点支持 features
状态:> 这个站点支持 XCRC
状态:> 这个站点支持 SIZE
状态:> 该站点可以续传中断的下载
命令:> REST
Restarting at Send STORE or RETRIEVE
命令:> PASV
Entering Passive Mode ()
命令:> LIST
状态:> 正在连接 ftp 数据 socket :
Opening ASCII mode data connection for /bin/ls
Transfer complete
状态:> 传送完成
从内部ping
从内部对FTP测试
*** CuteFTP Pro build Sep ***
状态:> 正在获取列表
状态:> 正在连接到 ftp 服务器 : (ip = )
状态:> Socket 已连接正在等候欢迎消息
ServU FTP Server v for WinSock ready
状态:> 已连接正在验证
命令:> USER test
User name okay need password
命令:> PASS *****
User logged in proceed
状态:> 登录成功
命令:> PWD
/ is current directory
状态:> Home directory: /
命令:> FEAT
Extension supported
CLNT
MDTM
MDTM YYYYMMDDHHMMSS[+TZ];filename
SIZE
SITE PSWD;EXEC;SET;INDEX;ZONE;CHMOD;MSG
REST STREAM
XCRC filename;start;end
MODE Z
End
状态:> 该站点支持 features
状态:> 该站点支持 XCRC
状态:> 该站点支持 SIZE
状态:> 该站点可以续传中断的下载
命令:> REST
Restarting at Send STORE or RETRIEVE
命令:> PASV
Entering Passive Mode ()
命令:> LIST
状态:> 正在连接 ftp 数据 socket :
Opening ASCII mode data connection for /bin/ls
Transfer complete
状态:> 传送完成
FTP服务器上的信息
[] Wed Oct :: () Connected to (Local address )
[] Wed Oct :: () User TEST logged in
[] Wed Oct :: () Connected to ** (Local address )
[] Wed Oct :: () User TEST logged in
在后端防火墙内的电脑访问在前端ISA服务器上的WEB服务器
educitycn/img_///jpg >我们从这里可以看到从内网连接的IP地址不是后端防火墙内部真实的电脑的IP是后端防火墙ISA的IP也就是说在使用普通模板不修改设置的时候后端防火墙ISA使用的是SNAT让后端防火墙内部的电脑访问外围以及外部网络所以外围网不能自由访问后端防火墙内部的电脑只能以发布的方式访问个别电脑的个别服务就同发布服务器一样
二外围网需要访问后端ISA内部电脑的情况
就是说在前端防火墙ISA后面所有网络都可以到达这个配置起来比较复杂我们在已经配置好第一种情况的基础上进行修改
我们修改前端防火墙ISA的设置网络规则不作修改防火墙策略不作修改
如图配置网络网络外围属性添加地址
我们把后端防火墙内部的IP地址增加进去
打开前端防火墙ISA上的路由和远程访问增加静态路由警告在不明确知道做什么的情况下不要去动ISA服务器上的路由和远程访问!
添加网关为后端服务器IP接口为和后端防火墙连接的那个网卡个人的网卡标识不同自己确认
配置后端防火墙
如图选择后端防火墙模板
添加后端防火墙地址范围
同样为了测试方便允许无限制访问以后可自行修改
翻到网络规则我们看这里是NAT
把网络关系变成路由
填写前端防火墙地址
外围网络地址范围
这些在构筑测试的时候没有用处在以后的实际运用中如限定上网权限
