Windows域环境下部署ISA Server 2006防火墙(二)
利用ISA防火墻實現(xiàn)安全快速上網(wǎng)
本次接上回,上次咱們在windows域環(huán)境中部署了ISA Server 2006,安全性確實提高了,但也有點“太高了”,因為現(xiàn)在用戶只能在局域網(wǎng)里活動,連最基本的上網(wǎng)服務(wù)都無法使用。
這次就來解決這個問題,利用ISA防火墻策略及緩存實現(xiàn)用戶安全快速上網(wǎng)。我們分兩部分來說,第一部分先使用防火墻策略,把內(nèi)網(wǎng)用戶上網(wǎng)的問題解決了。第二部分再來優(yōu)化部署加快訪問速度,提高效率。下面是拓撲圖:
可以看到基本上還是上次的圖,DMZ區(qū)咱們先不看。后面說服務(wù)器發(fā)布時才會說到的。在外網(wǎng)上多了一臺web服務(wù)器,主機名為:www.IT.com IP為61.134.1.10/8,(注意公網(wǎng)DNS我也做到這上面了)現(xiàn)在我們要做的就是能讓內(nèi)網(wǎng)用戶通過域名的方式成功的訪問web主機,并通過配置緩存加快其訪問外網(wǎng)的速度。
下面開使實施:
第一部分:配置放火墻策略使內(nèi)網(wǎng)用戶能夠訪問Internet
1.在ISA服務(wù)器管理的控制臺中,選中防火墻,現(xiàn)在可以看到是空的,我們將要在這里添加訪問策略。如圖:
2.右擊防火墻策略,選擇新建然后選擇訪問規(guī)則。如圖:
3.在彈出的新建訪問規(guī)則向?qū)е?#xff0c;鍵入訪問規(guī)則的名稱。我們這里因為是給內(nèi)網(wǎng)用戶訪問Internet用的,所以我們鍵入一個名稱“內(nèi)網(wǎng)用戶到Internet”來做一個標識。
4.這里選擇允許,就是說我們允許符合這個規(guī)則的對象去做什么。如果要拒絕某個對象,比如我們不讓財務(wù)部的小財訪問Internet。我們就可建一條拒絕的策略。
5.現(xiàn)在是讓我們選擇協(xié)議。因為我們只有上網(wǎng)的需求,所以只須選擇DNS、HTTP、HTTPS就可以了。如果要收發(fā)郵件或使用FTP啊其它什么的,就可以都添加進來就是了。有很多協(xié)議可以選。
6.現(xiàn)在讓我們選擇訪問規(guī)則源,也就是說從什么地方來的。我們這里就選擇內(nèi)部。因為我們現(xiàn)在是一個從內(nèi)網(wǎng)到外網(wǎng)的訪問過程。
7.剛才是打哪兒來,現(xiàn)在是到哪兒去,當(dāng)然是選擇外部嘍!如圖:
8. 現(xiàn)在是讓我們選擇這個規(guī)則將會應(yīng)用到哪些用戶集,這里可以選擇“所有通過身份驗證的用戶”、“系統(tǒng)和網(wǎng)絡(luò)服務(wù)”、“所有用戶”,咱這里選擇所有用戶,因為我們目的是讓所有內(nèi)網(wǎng)用戶訪問Internet.
9.好了現(xiàn)在這條策略就設(shè)置好了,應(yīng)用一下點擊確定就可以了。如圖:
現(xiàn)在我們到客戶機上來看看能否訪問。我們用這臺IP為192.168.1.11/24的內(nèi)網(wǎng)用戶測試一下。
看到下圖,說明策略生效了,內(nèi)網(wǎng)用戶可以使用域名成功的訪問Web主機。
注意:我這里用了一臺Linux服務(wù)器模擬web服務(wù)器,并且安裝了DNS。為了內(nèi)網(wǎng)用戶能夠使用域名訪問Web主機,還得在內(nèi)網(wǎng)的DNS服務(wù)器(我這是和DC集成到一起的)上做轉(zhuǎn)發(fā)器轉(zhuǎn)到外網(wǎng)的DNS上。
現(xiàn)在上網(wǎng)的問題解決了,可能過不了多久就會有員工像你抱怨。上網(wǎng)速度太慢了,能否加快一點。這時我們可以通過啟用ISA Server的緩存功能來實現(xiàn)這個需求。
第二部分:加快內(nèi)網(wǎng)用戶訪問Internet的速度
1. 在“ISA服務(wù)器管理”的控制臺樹中,單擊“緩存”。然后在詳細信息窗格中,選擇“緩存驅(qū)動器”選項卡,位置如圖所示:
2. 然后在緩存驅(qū)動器選項卡里選擇要設(shè)置的驅(qū)動器,咱這里C盤是系統(tǒng),那就用D盤吧,
把緩存大小設(shè)置為2000MB,單擊設(shè)置,再確定就好了。
注意:緩存的大小要根據(jù)實際情況來設(shè)置
3. 現(xiàn)在可能會彈出一個警告對話框,我們選擇第二項“保存更改,并重新啟動服務(wù)”。點擊確定之后,應(yīng)用策略。
4.現(xiàn)在到緩存規(guī)則選項卡中,點擊任務(wù)欄中的“配置緩存設(shè)置”。如圖:
5. 選擇高級選項卡中的“在內(nèi)存中緩存的URL的最大大小(字節(jié))”的文本框,設(shè)置信息如圖所示,還是比較好理解的,就不啰嗦了啊!
設(shè)置完畢后我們到D盤下,會看到系統(tǒng)自動生成了一個用于存放緩存內(nèi)容的數(shù)據(jù)庫文件(注意這個文件是無法打開的)。
好了,經(jīng)過這樣一設(shè)置之后。內(nèi)網(wǎng)用戶訪問Internet時速度會因為緩存而大大提高。內(nèi)網(wǎng)用戶會訪問到實時的信息,因為緩存是動態(tài)更新的。
本次就說到這里吧!希望大家能活學(xué)活用,ISA Server策略非常的多,而且運用起來千變?nèi)f化,但原理都是一樣。只要始終記得從哪里來,到哪里去,使用什么協(xié)議、端口是拒絕還是允許就覺得很簡單了。
下次將會看到利用ISA Server 2006發(fā)布DMZ區(qū)中的Web服務(wù)器及郵件服務(wù)器。
本文出自 “zpp” 博客,請務(wù)必保留此出處http://zpp2009.blog.51cto.com/730423/282597
本文出自 51CTO.COM技術(shù)博客
轉(zhuǎn)載于:https://blog.51cto.com/lzy821218/287041
總結(jié)
以上是生活随笔為你收集整理的Windows域环境下部署ISA Server 2006防火墙(二)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 甲醛、苯、甲苯、二甲苯对人体健康的危害
- 下一篇: ossim系统下nagios监控机器可用