鸿 网 互 联 www.68idc.cn

理解ISAServer2004中的网络(图)

来源:互联网 作者:佚名 时间:2015-06-17 09:35
前言 基础网络的配置 是ISA防火墙配置的重要基础 通过这篇文章 你可以理解到如何正确的配置ISA防火墙中的网络 ISA Server 功能强大 性能卓越 并且拥有极佳的人性化界面 但是 这并不代表你就能良好的使用它 为了轻松的使用它 你需要正确的对它进行配置 而网络

  前言
  
  基础网络的配置是ISA防火墙配置的重要基础通过这篇文章你可以理解到如何正确的配置ISA防火墙中的网络
  
  ISA Server 功能强大性能卓越并且拥有极佳的人性化界面但是这并不代表你就能良好的使用它为了轻松的使用它你需要正确的对它进行配置而网络的配置则是基础配置工作中的重中之重
  
  对于ISA Server 而言网络不仅仅是包含了一个或多个IP地址范围的规则元素ISA防火墙严格的按照IP地址来区分网络并且通过网络的定义来描述网络拓朴结构ISA防火墙根据自己的网络适配器的IP地址将网络适配器与特定的网络相关联通过并且只通过此网络适配器转发相关联网络的数据同时网络的属性还决定了该网络是否支持防火墙客户端和 Web 代理客户端
  
  注意何谓通过并且只通过?这是指对于某个网络相关的数据的转发只能通过ISA防火墙中和此网络相关联的网络适配器进行如果此网络中的数据通过非相关联的网络适配器进行转发那么ISA防火墙会认为这是欺骗行为因为属于某个网络的数据不能通过其他网络的网络适配器来接收或发送此时就会触发IP欺骗或者配置错误的警告
  
  对于ISA防火墙中网络的定义有以下原则
  
  ISA防火墙上的每个网络适配器可以有单个或者多个IP地址但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)
  
  一个地址只能属于一个网络ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络并且这个网络适配器上的所有地址都必须属于相同的网络一个网络可以包含一个或者多个网络适配器
  
  在网络定义的地址范围中应包含ISA防火墙对应网络适配器接口的IP地址ISA将没有关联适配器的网络视为暂时断开连接也就是说ISA 服务器假定存在与该网络关联的适配器但该适配器当前被禁用当ISA服务器假定适配器断开连接时ISA服务器将拒绝去往或来自属于断开的网络的IP地址的通讯 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发并认为这些数据包欺骗所有已启用的适配器
  
  对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络称之为网络后面的网络)你必须在ISA防火墙对应的网络的定义中包含这些子网的地址否则ISA防火墙会触发IP欺骗或者配置错误的警告这些因为没有在此网络中定义的IP地址范围不属于此网络但是却又必须从此网络相关联的网络适配器进行数据的转发ISA防火墙认为这是一种欺骗行为
  
  通常情况下对于一个完整的网络定义地址范围应该从网络地址起到子网广播地址为止例如一个C类网络/那么完整的网络地址范围为对于网络地址是从A类网络地址B类网络地址中划分的子网的情况在网络地址范围中还需要包含对应的A类网络B类网络的广播地址例如一个A类子网/那么内部网络地址中除了还需要包括A类网络的广播地址建议你总是通过添加适配器来添加内部网络地址非完整的网络定义不需要遵循此要求
  
  不过对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外在这些例外情况中ISA 服务器将该网络视为网络后面的网络这些例外包括下列网络
  
  默认的外部网络ISA防火墙总是认为默认的外部网络位于与默认路由 所关联的网络适配器(配置了默认网关的网络适配器)所关联的网络的后面去往或来自外部网络中的地址的通讯必须通过该适配器来自外部网络中的地址但是通过其他适配器的任何通讯都将被视为具有欺骗性并将被丢弃如果路由表中不存在默认网关项目ISA防火墙将认为外部网络暂时断开连接
  
  配置为使用 IPSec 隧道模式的站点到站点VPN网络
  
  被隔离的VPN客户端网络该网络从不与任何适配器关联并总是位于与 VPN 拨入适配器关联的 VPN 客户端网络的后面
  
  默认情况下ISA防火墙内置了下列网络
  
  本地主机此网络代表ISA防火墙与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯 你不能修改或删除本地主机网络
  
  默认的内部网络此网络的地址范围在ISA防火墙安装过程中指定并且建议你总是通过添加适配器来添加内部网络地址ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源但是拒绝所有其他网络到内部网络的访问您必须自行创建规则来允许到内部网络的访问你不能删除默认内部网络
  
  VPN 客户端此网络包含当前连接的客户端的地址由ISA防火墙动态生成 不能删除 VPN 客户端网络
  
  被隔离的VPN客户端此网络包含尚未解除隔离的VPN客户端的地址由ISA防火墙动态生成 不能删除被隔离的 VPN 客户端网络
  
  默认的外部网络此网络包含未明确包含在其他任何网络中的所有IP地址通常被视为不受信任的网络在刚结束ISA防火墙的安装时外部网络包含所有未包含在内部网络中的地址本地主机网络的IP地址()以及ISA防火墙上其他所有网络适配器的IP地址
  
  另外你还可以创建网络你可以创建的网络有以下四种
  
  内部网络
  
  外部网络
  
  外围网络
  
  站点到站点VPN网络
  
  其中前面三个类似于默认的内部网络最后的站点到站点网络即为于VPN服务中的站点到站点网络
  
  各种网络所具有的Web代理服务和防火墙客户端支持如下表所示
  
 

  上面的文字看起来比较枯燥我以实例来给大家进行说明下图是一个在ISA防火墙的内部网络中包含有其他子网的网络拓朴情况
  
 

  ISA防火墙拥有两个网络适配器
  
  外部网络适配器/配置了默认网关
  
  内部网络适配器/没有配置默认网关添加了通往子网//子网的路由
  
 

  从上面可以反映出内部网络中包含的三个网络
  
  /
  
  /
  
  /
  
  当你为ISA防火墙配置内部网络时应包括上述的所有子网
  
  如果你没有在内部网络中包含上述的所有子网而是分别为其中的每个子网创建一个网络那么ISA防火墙将认为//这两个网络暂时断开连接因为没有与其关联的网络适配器ISA防火墙会验证Windows路由表和ISA防火墙中的网络配置是否一致由于//这两个网络的通讯是通过内部网络适配器进行转发如果不在内部网络中包含这些网络那么ISA防火墙将确定存在与断开的网络的路由并得出结论ISA防火墙的网络配置与路由表不一致然后通过触发配置错误警告来指出这种不一致性警告的描述类似如下文字
  

  如果你没有在内部网络中包含上述的所有子网而且也没有为它们创建网络那会怎么样呢?所有没有明确定义的IP地址均属于默认的外部网络但是ISA防火墙通过验证Windows路由表和网络配置可以发现属于外部网络的这两个网络却通过内部网络适配器进行访问同样的会触发配置错误的警告
  
  那么如果你为ISA的外部网络适配器(配置了默认网关)的IP地址新建一个网络那么会出现什么情况呢?例如我新建一个外部网络ISAExternal里面的IP地址范围就只包含ISA防火墙的外部网络适配器的IP地址那么当客户需要访问外部网络中的某个IP例如那么会发生什么呢?大家看了上面一段文字可能会这样想不属于ISA的外部网络适配器所在的网络ISAExternal但是却要通过外部网络适配器访问所以ISA防火墙会触发配置错误警告
  
  这个想法通常是正确的但是在这个地方是错误的这个客户可以正常的通过ISA防火墙的外部网络适配器访问默认外部网络中的这个IP Why?还记得文章的前半部分中对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外吗?其中第一个就是默认的外部网络默认的外部网络只和默认路由有关只要此网络适配器配置了默认路由而不管此网络适配器属于哪个网络默认的外部网络均可以通过这个网络适配器上的默认路由来进行访问
  
  希望通过这篇文章能够让你更为理解ISA防火墙中的网络定义为你正确的部署ISA防火墙打好基础
网友评论
<