使用ISA Server 2004 网络模板来自动建立访问策略：边缘防火墙模板

译自Thomas Shinder “Using ISA Server 2004 Network Templates to Automatically Create Access Policy: The Edge Firewall Template”，加以整理修改

前言：ISA Server 2004在防火墙配置和提供到Internet的安全访问上比过去有了很大的提高，也比过去更容易使用。如果你过去曾经使用过ISA Server 2000，那么你在配置ISA Server 2004上会很轻松，另外，ISA Server 2004提供了网络模板，可以让你轻松的设置防火墙策略，这篇文章将以最常见的边缘防火墙模板进行配置的介绍。

ISA Server 2004防火墙具有5个预定义的网络模板：

• 边缘防火墙；

• 3周长的网络（包含DMZ（停火区））

• 前端防火墙；

• 背部防火墙；

• 单网络适配器；

ISA Server 2004管理控制台提供了一些图片，让你可以更能清晰的了解这些名字所代表的意思。在这篇文章中，我们将详细介绍最常用的边缘防火墙模板。这个模板是指ISA Server 2004处于Internet边缘，拥有一个接入到Internet的外部接口和一个接入到Lan的内部接口。例如我们最常使用的宽带拨号，然后把ISA Server 2004作为网关，就属于这种模板。

在你正确的配置网络接口后，可以使用这个模板（请注意：一定要正确的配置网络接口）。至于如何配置网络接口，请参阅ISA Server 2004快速配置指南。

下图是ISA Server 2004对边缘防火墙模板的说明图。Internal Network 在ISA Server 2004后面，并且受到ISA Server 2004的保护。Local Host指的是ISA Server 2004防火墙本身。External Network (Internet)指的是没有表现在Internet network和VPN客户网络的其他网络。VPN客户网络是由ISA Server 2004防火墙动态建立的网络，里面包含了VPN客户的地址。

边缘防火墙模板为了做了两件主要的事情：

• 定义了内部网络的IP地址；

• 建立了两个包含防火墙策略在内的访问策略。

内部网络是在你运行边缘防火墙向导时会配置的IP地址集。这个向导也会允许你选择控制内部网络、VPN客户网络和外部网络之间通信流量的防火墙策略。

向导允许你从一些不同的防火墙策略中进行选择，预定义的防火墙策略包括：

禁止访问：这个防火墙策略禁止通过防火墙的所有访问，只有在你想手动定义全部的防火墙策略时使用。

不能访问ISP网络的服务：这个防火墙策略阻止除了访问网络基础服务（如DNS）外的所有通过防火墙的访问，只有在你想手动定义客户访问策略的时候才使用这个选项。使用这个策略，将会建立下列策略：

DNS：允许内部网络、VPN客户到Internet的DNS请求；

受限的Web访问：这个防火墙策略允许访问Web站点，但是不能访问其他服务。只有在你想只允许Web访问时使用，你可以修改它以允许其他服务的访问。这个策略需要内部网络中有DNS服务以便解析Web服务器地址。如果需要访问Internet的DNS服务，你也需要修改这条策略。如果你使用这个模板，将会建立以下策略：

1、Web access ：允许从内部网络、VPN网络到Internet的HTTP、HTTPS、FTP访问；

2、VPN：允许从VPN客户端到内部网络的所有协议的访问。

受限的Web和ISP网络服务的访问：这个模板和上面的相比，只是多了个允许向Internet发送DNS请求。使用这个模板，以下规则将会建立：

1、Web access ：允许从内部网络、VPN网络到Internet的HTTP、HTTPS、FTP访问；

2、DNS ： 允许从内部网络、VPN客户到Internet的DNS请求；

3、VPN：允许从VPN客户端到内部网络的所有协议的访问。

无限制的Internet访问：允许通过防火墙的所有Internet访问，防火墙将阻止Internet到被保护网络的访问。你可以修改它以阻止某些网络访问。使用这个模板，将建立以下策略：

1、Internet access ：允许从内部网络、VPN客户到Internet的所有协议；

2、VPN：允许从VPN客户到内部网络的所有协议；

这个地方需要澄清的是DNS策略包含在它们之间的一些策略中。内部的DNS服务器需要能访问到Internet的DNS服务器或者ISP的转发器才能正常工作，并不是说内部有了DNS服务器就不需要开放向外部DNS服务的访问。

如果你是初学者，建议你使用无限制的Internet访问模板；当你比较熟悉网络和ISA Server 2004后，再使用其他更有限制的网络访问控制。

使用边缘防火墙模板来建立防火墙策略

执行以下步骤以使用边缘防火墙模板来建议防火墙访问策略：

1. 打开 Microsoft Internet Security and Acceleration Server 2004 管理控制台，展开你的服务器，再展开Configuration 。
2. 点击 Networks，如果任务面板没有打开，点击Open/Close Task Pane 按钮。在任务面板，点击Template 标签，在Templates 标签，点击Edge Firewall 模板；

3. 在Welcome to the Network Template Wizard 页上点击Next 。
4. 在Export the ISA Server Configuration页，点击Export按钮（在应用这个模板之前，我们先保存当前的配置，这也是推荐的做法）。

5. 在Export Configuration 对话框，在File name 文本框中输入备份配置文件的名字，勾选Export user permission settings 和 Export confidential information (encryption will be used)，点击 Export。

6. 在 Set Password 对话框，在Confirm password 文本框中输入保护保存在备份文件中的重要信息的密码和确认密码，点击 OK。

7. 显示Successfully export the configuration后，在Exporting 对话框上点击 OK。
8. 在Export the ISA Server Configuration页点击Next 。
9. 在 Internal Network IP Addresses 页，确认向导正确识别了内部网络的IP地址，这个内部网络包含了ISA Server 2004必须与之通信的基础服务服务和其他重要的网络服务器。例如这些服务器包括活动目录域、DNS服务器、DHCP服务器、IAS服务器、证书服务器等。你一二使用Add Adapter 和 Add Private 按钮来向列表中添加更多的IP地址。在 Address Ranges 列表中的IP地址将在后面向导配置的防火墙中允许访问Internet。在所有的IP地址都添加完毕后，点击Next 继续。

10. 在 Select a Firewall Policy 页，从Select a firewall policy列表选择一个防火墙策略，这儿有上述的5个策略。可以点击它们中的一个，然后阅读下面的描述。在这个例子中，我们将选择Unrestricted Internet Access策略，这个防火墙策略将允许内部网络和VPN客户网络的主机完全访问Internet。SecureNAT客户端将允许访问 Protocols 列表中的所有协议，而Firewall客户端则可以访问所有的Internet协议。点击 Next。

11. 在Completing the Network Template Wizard 页回顾设置，点击Finish。
12. 点击 Apply 保存修改和更新防火墙策略。
    

    回顾防火墙策略的变更

    网络模板向导在防火墙策略中建立了两个策略，你可以通过Microsoft Internet Security and Acceleration Server 2004管理控制台来回顾他们。

    1. 在Microsoft Internet Security and Acceleration Server 2004 管理控制台，展开服务器，点击Firewall Policy ，在右边细节面板，你可以看见两条由网络模板向导所建议的策略。

    

    2. 第一条是Unrestricted Internet access 策略，这条策略有以下特性：

    Action: Allow

    Protocols: All Protocols

    From: Internal and VPN Clients networks

    To: External

    Condition: All Users

    这条策略允许内部网络和VPN客户网络访问Internet，注意和ISA Server 2000相对比的是，VPN客户也可以通过ISA Server 2004防火墙来访问Internet。在ISA Server 2000中，你不能将VPN客户设置为SecureNAT客户端，所以，你必须将VPN客户设置为Firewall客户端，才能让它访问Internet。在ISA Server 2004中，已经解决了这个问题，VPN可以端可以作为SecureNAT客户端来访问Internet。

    3. 第二条策略是 VPN to Internal Access 策略，这条策略有以下特性：

    Action: Allow

    Protocols: All Protocols

    From: VPN Clients network

    To: Internal

    Condition: All Users

    这条策略允许VPN客户访问内部网络的所有资源。

    从内部网络客户测试防火墙策略

    你可以在一台内部客户计算机上测试新的防火墙策略。在一台内部客户计算机上执行以下步骤：

    1. 打开 Internet Explorer ，在地址栏输入http://www.isacn.org，点击 OK。
    2. ISA中文站将会出现在你的浏览器中。
    3. 你可以使用ISA Server 2004的实时监控记录特性来监控内部网络客户和Internet之间的链接。展开服务器，点击Monitoring 。
    4. 在细节面板，点击 Logging 标签，在 Logging 标签，点击 Start Query 链接；

    

    5. 点击Show/Hide Console Tree按钮隐藏活动面板，点击 Open/Close Task Pane 按钮关闭任务面板，这样可以让你清楚的看见实时监控。
    6. 在内部网络客户机器，点击ISA中文站上面的链接，然后看看实时监控里面的记录，你会发现连接的细节，包含源IP、目的IP、协议、用户名等。