利用ISA防火牆實現安全快速上網
本次接上回,上次咱們在windows域環境中部署了ISA Server 2006,安全性確實提高了,但也有點“太高了”,因爲現在用戶只能在局域網裏活動,連最基本的上網服務都無法使用。
這次就來解決這個問題,利用ISA防火牆策略及緩存實現用戶安全快速上網。我們分兩部分來說,第一部分先使用防火牆策略,把內網用戶上網的問題解決了。第二部分再來優化部署加快訪問速度,提高效率。下面是拓撲圖:
這次就來解決這個問題,利用ISA防火牆策略及緩存實現用戶安全快速上網。我們分兩部分來說,第一部分先使用防火牆策略,把內網用戶上網的問題解決了。第二部分再來優化部署加快訪問速度,提高效率。下面是拓撲圖:
可以看到基本上還是上次的圖,DMZ區咱們先不看。後面說服務器發佈時纔會說到的。在外網上多了一臺web服務器,主機名爲:www.IT.com IP爲61.134.1.10/8,(注意公網DNS我也做到這上面了)現在我們要做的就是能讓內網用戶通過域名的方式成功的訪問web主機,並通過配置緩存加快其訪問外網的速度。
下面開使實施:
第一部分:配置放火牆策略使內網用戶能夠訪問Internet
1.在ISA服務器管理的控制檯中,選中防火牆,現在可以看到是空的,我們將要在這裏添加訪問策略。如圖:
2.右擊防火牆策略,選擇新建然後選擇訪問規則。如圖:
3.在彈出的新建訪問規則嚮導中,鍵入訪問規則的名稱。我們這裏因爲是給內網用戶訪問Internet用的,所以我們鍵入一個名稱“內網用戶到Internet”來做一個標識。
4.這裏選擇允許,就是說我們允許符合這個規則的對象去做什麼。如果要拒絕某個對象,比如我們不讓財務部的小財訪問Internet。我們就可建一條拒絕的策略。
5.現在是讓我們選擇協議。因爲我們只有上網的需求,所以只須選擇DNS、HTTP、HTTPS就可以了。如果要收發郵件或使用FTP啊其它什麼的,就可以都添加進來就是了。有很多協議可以選。
6.現在讓我們選擇訪問規則源,也就是說從什麼地方來的。我們這裏就選擇內部。因爲我們現在是一個從內網到外網的訪問過程。
7.剛纔是打哪兒來,現在是到哪兒去,當然是選擇外部嘍!如圖:
8. 現在是讓我們選擇這個規則將會應用到哪些用戶集,這裏可以選擇“所有通過身份驗證的用戶”、“系統和網絡服務”、“所有用戶”,咱這裏選擇所有用戶,因爲我們目的是讓所有內網用戶訪問Internet.
9.好了現在這條策略就設置好了,應用一下點擊確定就可以了。如圖:
現在我們到客戶機上來看看能否訪問。我們用這臺IP爲192.168.1.11/24的內網用戶測試一下。
看到下圖,說明策略生效了,內網用戶可以使用域名成功的訪問Web主機。
注意:我這裏用了一臺Linux服務器模擬web服務器,並且安裝了DNS。爲了內網用戶能夠使用域名訪問Web主機,還得在內網的DNS服務器(我這是和DC集成到一起的)上做轉發器轉到外網的DNS上。
現在上網的問題解決了,可能過不了多久就會有員工像你抱怨。上網速度太慢了,能否加快一點。這時我們可以通過啓用ISA Server的緩存功能來實現這個需求。
第二部分:加快內網用戶訪問Internet的速度
1. 在“ISA服務器管理”的控制檯樹中,單擊“緩存”。然後在詳細信息窗格中,選擇“緩存驅動器”選項卡,位置如圖所示:
2. 然後在緩存驅動器選項卡里選擇要設置的驅動器,咱這裏C盤是系統,那就用D盤吧,
把緩存大小設置爲2000MB,單擊設置,再確定就好了。
注意:緩存的大小要根據實際情況來設置
3. 現在可能會彈出一個警告對話框,我們選擇第二項“保存更改,並重新啓動服務”。點擊確定之後,應用策略。
4.現在到緩存規則選項卡中,點擊任務欄中的“配置緩存設置”。如圖:
5. 選擇高級選項卡中的“在內存中緩存的URL的最大大小(字節)”的文本框,設置信息如圖所示,還是比較好理解的,就不囉嗦了啊!
設置完畢後我們到D盤下,會看到系統自動生成了一個用於存放緩存內容的數據庫文件(注意這個文件是無法打開的)。
好了,經過這樣一設置之後。內網用戶訪問Internet時速度會因爲緩存而大大提高。內網用戶會訪問到實時的信息,因爲緩存是動態更新的。
本次就說到這裏吧!希望大家能活學活用,ISA Server策略非常的多,而且運用起來千變萬化,但原理都是一樣。只要始終記得從哪裏來,到哪裏去,使用什麼協議、端口是拒絕還是允許就覺得很簡單了。
下次將會看到利用ISA Server 2006發佈DMZ區中的Web服務器及郵件服務器。