防火墙策略的组成

防火墙策略的组成

ID:33661785

大小:431.50 KB

页数:11页

时间:2019-02-28

防火墙策略的组成_第1页
防火墙策略的组成_第2页
防火墙策略的组成_第3页
防火墙策略的组成_第4页
防火墙策略的组成_第5页
资源描述:

《防火墙策略的组成》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、3.1防火墙策略的组成在ISA服务器安装成功后,其防火墙策略默认为禁止所有内外通讯,所以我们需要在服务器上建立相应的防火墙策略,以使内外通讯成功。在本章,我们将介绍ISA的基本配置,使内部的所有用户无限制的访问外部网络。在ISAServer2004中,防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。l  网络规则:定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。l  访问规则:则定义了内、外网的进行通讯的具体细节。l  服务器发布规则:定义了如何让用户访问服务器。3.1.1网络规则ISA2004通过网络规则来定义并描述网络拓扑,其描述了两个网络实体之间是否存在连接,以

2、及定义如何进行连接。相对于ISA2000,可以说网络规则是ISAServer2004中的一个很大的进步,它没有了ISAServer2000只有一个LAT表的限制,可以很好的支持多网络的复杂环境。在ISA2004的网络规则中定义的网络连接的方式有:路由和网络地址转换。3.1.1.1路由路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程,由于ISA与Windows2000Server和WindowsServer2003路由和远程访问功能的紧密集成,使其具有很强的路由功能。在ISA2004中,当指定这种类型的连接时,来自源网络的客户端请求将被直接转发到目标网络,而无须进行地址的转换。当需

3、要发布位于DMZ网络中的服务器时,我们可以配置相应的路由网络规则。需要注意的是,路由网络关系是双向的。如果定义了从网络A到网络B的路由关系,那么从网络B到网络A也同样存在着路由关系,这同我们在进行硬件或软件路由器配置的原理相同。3.1.1.2网络地址转换(NAT)NAT即网络地址转换(NetworkAddressTranslator),在Windows2000Server和Windowsserver2003中,NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接,通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。ISA2004由于同Wi

4、ndows2000Server和Windowsserver2003的路由和远程访问功能集成,所以支持NAT的的连接类型。当运行NAT的计算机从一台内部客户机接收到外出请求数据包时,它会把信息包的包头换掉,把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号,然后再将请求包发送给Internet上的目标主机。当NAT服务器从Internet主机接收到回答信息后,它也会将其包头进行替换,将自己的外部IP地址和端口号转换为请求客户机的内部IP地址的端口号,然后再把信息包发内网的客户机。当在ISA2004中指定了这促类型的连接后,ISA服务器将用它自己的IP地址替换源网络中的客

5、户端的IP地址。从而对外隐藏了内部管理的IP,同时也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险,并可减少了IP地址注册的费用。需要注意的是:NAT关系是唯一的和单向的。如果定义了从网络A到网络B的NAT关系,则不会自动定义从B到A的网络关系。您可以创建定义双向关系的网络规则,但是ISA服务器将忽略有序规则列表中的第二条网络规则。3.1.1.3默认网络规则在进行ISA2004的安装时,系统会创建以下默认规则(如图3-1所示):l  本地主机访问:此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。l  VPN客户端到内部网络:此规则指定在两个VPN客户端网络(.VPN客户端.

6、和.被隔离的VPN客户端.)与内部网络之间存在着路由关系。l  Internet访问:此规则定义了在内部受保护的网络(如内部、VPN客户端等)与外部网络之间存在的NAT关系。3.1.2访问规则访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有IP通讯、适用于特定的协议定义集或适用于除所选协议之外的所有IP通讯。也可以在访问规则中对用户访问进行精确的限定。当客户端使用特定协议请求对象时,ISA服务器会在访问规则列表中从上而下地进行检查。只有当某个访问规则明确允许客户端使用特定的协议进行通讯,并且允许访问请求的对象时才处理请求。在ISA2004的安装过程中会

7、自动创建默认的系统策略,其中包含了预配置的、已知协议定义的访问规则列表,其中包括最广泛使用的Internet协议,以允许ISAServer2004服务器能访问它连接到的网络的特定服务。下图显示的是默认系统策略中的内容。 3.2建立允许客户访问Internet的防火墙策略在安装好ISA2004后,我们需要建立相应的防火墙访问策略以允许企业内部员工通过ISA服务器进行安全的Internet访问。在本节中,我们将以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。