前言 基础网络的配置 是ISA防火墙配置的重要基础 通过这篇文章 你可以理解到如何正确的配置ISA防火墙中的网络 ISA Server 功能强大 性能卓越 并且拥有极佳的人性化界面 但是 这并不代表你就能良好的使用它 为了轻松的使用它 你需要正确的对它进行配置 而网络
前言 基础网络的配置
是ISA防火墙配置的重要基础
通过这篇文章
你可以理解到如何正确的配置ISA防火墙中的网络
ISA Server
功能强大
性能卓越
并且拥有极佳的人性化界面
但是
这并不代表你就能良好的使用它
为了轻松的使用它
你需要正确的对它进行配置
而网络的配置
则是基础配置工作中的重中之重
对于ISA Server
而言
网络不仅仅是包含了一个或多个IP地址范围的规则元素
ISA防火墙严格的按照IP地址来区分网络
并且通过网络的定义来描述网络拓朴结构
ISA防火墙根据自己的网络适配器的IP地址将网络适配器与特定的网络相关联
通过并且只通过此网络适配器转发相关联网络的数据
同时网络的属性还决定了该网络是否支持防火墙客户端和 Web 代理客户端
注意
何谓通过并且只通过?这是指对于某个网络相关的数据的转发
只能通过ISA防火墙中和此网络相关联的网络适配器进行
如果此网络中的数据通过非相关联的网络适配器进行转发
那么ISA防火墙会认为这是欺骗行为
因为属于某个网络的数据不能通过其他网络的网络适配器来接收或发送
此时就会触发IP欺骗或者配置错误的警告
对于ISA防火墙中网络的定义有以下原则 ISA防火墙上的每个网络适配器可以有单个或者多个IP地址
但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)
一个地址只能属于一个网络
ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络
并且这个网络适配器上的所有地址都必须属于相同的网络
一个网络可以包含一个或者多个网络适配器
在网络定义的地址范围中
应包含ISA防火墙对应网络适配器接口的IP地址
ISA将没有关联适配器的网络视为暂时断开连接
也就是说
ISA 服务器假定存在与该网络关联的适配器
但该适配器当前被禁用
当ISA服务器假定适配器断开连接时
ISA服务器将拒绝去往或来自属于断开的网络的IP地址的通讯
因为这些数据并没有通过和此网络相关联的网络适配器来进行转发
并认为这些数据包欺骗所有已启用的适配器
对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络
称之为网络后面的网络)
你必须在ISA防火墙对应的网络的定义中
包含这些子网的地址
否则ISA防火墙会触发IP欺骗或者配置错误的警告
这些因为没有在此网络中定义的IP地址范围
不属于此网络
但是却又必须从此网络相关联的网络适配器进行数据的转发
ISA防火墙认为这是一种欺骗行为
通常情况下
对于一个完整的网络定义
地址范围应该从网络地址起
到子网广播地址为止
例如一个C类网络
/
那么完整的网络地址范围为
~
对于网络地址是从A类网络地址
B类网络地址中划分的子网的情况
在网络地址范围中还需要包含对应的A类网络
B类网络的广播地址
例如一个A类子网
/
那么内部网络地址中除了
~
外
还需要包括A类网络的广播地址
~
建议你总是通过添加适配器来添加内部网络地址
非完整的网络定义不需要遵循此要求
不过
对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外
在这些例外情况中
ISA 服务器将该网络视为网络后面的网络
这些例外包括下列网络
默认的外部网络
ISA防火墙总是认为默认的外部网络位于与默认路由 所关联的网络适配器(配置了默认网关的网络适配器)所关联的网络的后面
去往或来自外部网络中的地址的通讯必须通过该适配器
来自外部网络中的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性
并将被丢弃
如果路由表中不存在默认网关项目
ISA防火墙将认为外部网络暂时断开连接
配置为使用 IPSec 隧道模式的站点到站点VPN网络
被隔离的VPN客户端网络
该网络从不与任何适配器关联
并总是位于与 VPN 拨入适配器关联的 VPN 客户端网络的后面
默认情况下ISA防火墙内置了下列网络 本地主机
此网络代表ISA防火墙
与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯
你不能修改或删除本地主机网络
默认的内部网络
此网络的地址范围在ISA防火墙安装过程中指定
并且建议你总是通过添加适配器来添加内部网络地址
ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络
ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源
但是拒绝所有其他网络到内部网络的访问
您必须自行创建规则来允许到内部网络的访问
你不能删除默认内部网络
VPN 客户端
此网络包含当前连接的客户端的地址
由ISA防火墙动态生成
不能删除 VPN 客户端网络
被隔离的VPN客户端
此网络包含尚未解除隔离的VPN客户端的地址
由ISA防火墙动态生成
不能删除被隔离的 VPN 客户端网络
默认的外部网络
此网络包含未明确包含在其他任何网络中的所有IP地址
通常被视为不受信任的网络
在刚结束ISA防火墙的安装时
外部网络包含所有未包含在内部网络中的地址
本地主机网络的IP地址(
)以及ISA防火墙上其他所有网络适配器的IP地址
另外你还可以创建网络你可以创建的网络有以下四种 内部网络
外部网络
外围网络
站点到站点VPN网络
其中前面三个类似于默认的内部网络
最后的站点到站点网络即为于VPN服务中的站点到站点网络
各种网络所具有的Web代理服务和防火墙客户端支持如下表所示
上面的文字看起来比较枯燥
我以实例来给大家进行说明
下图是一个在ISA防火墙的内部网络中包含有其他子网的网络拓朴情况
ISA防火墙拥有两个网络适配器
外部网络适配器
/
配置了默认网关
内部网络适配器
/
没有配置默认网关
添加了通往子网
/
和
/
子网的路由
从上面可以反映出内部网络中包含的三个网络
/
/
/
当你为ISA防火墙配置内部网络时
应包括上述的所有子网
如果你没有在内部网络中包含上述的所有子网
而是分别为其中的每个子网创建一个网络
那么ISA防火墙将认为
/
和
/
这两个网络暂时断开连接
因为没有与其关联的网络适配器
ISA防火墙会验证Windows路由表和ISA防火墙中的网络配置是否一致
由于
/
和
/
这两个网络的通讯是通过内部网络适配器进行转发
如果不在内部网络中包含这些网络
那么ISA防火墙将确定存在与断开的网络的路由
并得出结论
ISA防火墙的网络配置与路由表不一致
然后通过触发配置错误警告来指出这种不一致性
警告的描述类似如下文字
如果你没有在内部网络中包含上述的所有子网
而且也没有为它们创建网络
那会怎么样呢?所有没有明确定义的IP地址均属于默认的外部网络
但是
ISA防火墙通过验证Windows路由表和网络配置可以发现
属于外部网络的这两个网络却通过内部网络适配器进行访问
同样的会触发配置错误的警告
那么
如果你为ISA的外部网络适配器(配置了默认网关)的IP地址新建一个网络
那么会出现什么情况呢?例如
我新建一个外部网络ISA
External
里面的IP地址范围就只包含ISA防火墙的外部网络适配器的IP地址
那么当客户需要访问外部网络中的某个IP
例如
那么会发生什么呢?大家看了上面一段文字
可能会这样想
不属于ISA的外部网络适配器所在的网络ISA
External
但是却要通过外部网络适配器访问
所以ISA防火墙会触发配置错误警告
这个想法通常是正确的
但是在这个地方是错误的
这个客户可以正常的通过ISA防火墙的外部网络适配器访问默认外部网络中的这个IP
Why?还记得文章的前半部分中
对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外吗?其中第一个就是默认的外部网络
默认的外部网络只和默认路由有关
只要此网络适配器配置了默认路由
而不管此网络适配器属于哪个网络
默认的外部网络均可以通过这个网络适配器上的默认路由来进行访问
希望通过这篇文章
能够让你更为理解ISA防火墙中的网络定义
为你正确的部署ISA防火墙打好基础
