亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

一次ISA Server 2004防火墻的部署經(jīng)歷
2006-09-28   

朋友公司的網(wǎng)線早在幾年前裝修時(shí)就已經(jīng)布好了,布線也相當(dāng)規(guī)范,每個(gè)房間都拉了兩根線,以作備份,所有的線都由機(jī)柜引出來(lái),在機(jī)柜中接在配線架上,房間中則全部做在模塊里,現(xiàn)在是只差一臺(tái)交換機(jī),所有計(jì)算機(jī)就可以聯(lián)網(wǎng)了(在這之前,只有某個(gè)安全部門實(shí)現(xiàn)了幾臺(tái)機(jī)器聯(lián)網(wǎng)),但由于一些原因,直到現(xiàn)在才準(zhǔn)備使用,于是我叫他提出要求,然后我再根據(jù)要求進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)及具體實(shí)施。他的要求是:
1, 調(diào)度室的一臺(tái)計(jì)算機(jī)需要24小時(shí)都能上網(wǎng),而上網(wǎng)服務(wù)器只在每天的上午8點(diǎn)到下午6點(diǎn)開機(jī);
2, 可以根據(jù)用戶、IP等限制客戶端上網(wǎng);
3, 原網(wǎng)絡(luò)(以后就叫安全網(wǎng))的某些計(jì)算機(jī)能夠訪問新網(wǎng)絡(luò)(以后就叫辦公網(wǎng))的某些計(jì)算機(jī),而辦公網(wǎng)不能訪問安全網(wǎng);
4, 網(wǎng)上鄰居中大家都能看到;

網(wǎng)絡(luò)規(guī)劃

于是我根據(jù)他的要求和網(wǎng)絡(luò)的實(shí)際情況,作出了如圖1所示的網(wǎng)絡(luò)規(guī)劃,劃分了三個(gè)子網(wǎng),下面先大致解釋一下是怎樣處理上面提到的要求的,具體實(shí)現(xiàn)后面將詳細(xì)講述。
1, 為了滿足第一個(gè)要求,我把ADSL貓先接在一臺(tái)小交換機(jī)上,然后調(diào)度室的計(jì)算機(jī)和上網(wǎng)服務(wù)器的外網(wǎng)卡再接在這臺(tái)交換機(jī)上,這樣當(dāng)上網(wǎng)服務(wù)器關(guān)機(jī)后,調(diào)度機(jī)就可自行撥號(hào)上網(wǎng),而當(dāng)上網(wǎng)服務(wù)器開機(jī)后,調(diào)度機(jī)就斷線讓它撥號(hào)上網(wǎng),然后再通過上網(wǎng)服務(wù)器訪問因特網(wǎng),具體配置后面將講到。
2, 為了更好控制上網(wǎng)行為,這里將使用ISA Server 2004標(biāo)準(zhǔn)版作上網(wǎng)服務(wù)器和防火墻,為了方便管理和以后能夠在用戶級(jí)控制上網(wǎng),這臺(tái)ISA服務(wù)器也將是一臺(tái)域控制器,當(dāng)然不建議大家把ISA裝在DC上,這里是沒有辦法的辦法,因?yàn)闆]有多余的計(jì)算機(jī);
3, 為了物理隔離安全網(wǎng)與辦公網(wǎng),這里使用了支持VLAN的交換機(jī),原安全網(wǎng)不作變動(dòng),直接連接到VLAN交換機(jī)的一個(gè)端口上,并把這個(gè)端口單獨(dú)定義成一個(gè)VLAN,其他的端口屬于另一個(gè)VLAN,不過這里的網(wǎng)絡(luò)環(huán)境有個(gè)特殊情況,由于每個(gè)房間只布了兩根網(wǎng)線,而這里在ISA的房間中只有一根網(wǎng)線能夠接在ISA的機(jī)器上,這就有了一個(gè)問題,因?yàn)檫@里要?jiǎng)澐謨蓚€(gè)VLAN,那么按傳統(tǒng)方法,ISA就必須準(zhǔn)備兩張網(wǎng)卡,然后分別與各自的VLAN相連,但這里卻只有一根網(wǎng)線可用,那一個(gè)好的辦法就是把ISA這個(gè)內(nèi)網(wǎng)卡所連接的端口劃分在兩個(gè)VLAN中,即說這個(gè)端口屬于兩個(gè)VLAN,是兩個(gè)VLAN的公共通道,這還需要交換機(jī)的支持,還好這里的交換機(jī)支持,不過這也需要在ISA的內(nèi)網(wǎng)卡配置兩個(gè)IP,以對(duì)應(yīng)不同的VLAN,這個(gè)windows是支持的,所以不成問題,具體配置后面講到。安全網(wǎng)與辦公網(wǎng)之間如果互訪則通過ISA的訪問規(guī)則進(jìn)行控制。
4, 因?yàn)榘踩W(wǎng)是另外一個(gè)域,也屬于另外一個(gè)子網(wǎng),網(wǎng)上鄰居需要NetBios的支持,而NetBios的名稱解析如果使用廣播是不能跨越子網(wǎng)的,所以我們需要架設(shè)WINS服務(wù)器,這樣網(wǎng)上鄰居中才能看到兩個(gè)子網(wǎng)的計(jì)算機(jī)。


具體實(shí)施

(一) 安裝與配置域控制器
為了方便管理,新網(wǎng)絡(luò)(辦公網(wǎng))192.168.6.0/24將以一個(gè)域網(wǎng)絡(luò)的形式出現(xiàn),這里首先要做的就是安裝一臺(tái)域控制器,并且這臺(tái)域控制器也將作為ISA服務(wù)器,再次強(qiáng)調(diào)一下,不建議你將ISA安裝在域控制器上,這里是因?yàn)橛?jì)算機(jī)不夠用才走的下策。安裝的具體步驟我想就必細(xì)說了,這里大致提一下(假設(shè)已經(jīng)安裝好了windows server 2003):
1,配置網(wǎng)卡
ISA外網(wǎng)卡(請(qǐng)與圖1對(duì)照):
IP:192.168.5.1/24
網(wǎng)關(guān):無(wú)
DNS:無(wú)
禁用“TCP/IP上的NetBIOS”,如圖2,
ISA內(nèi)網(wǎng)卡:
第一IP:192.168.6.1/24
第二IP:192.168.0.222/24(如圖3)
網(wǎng)關(guān):無(wú)
DNS:192.168.6.1
WINS: 192.168.6.1
2,在運(yùn)行框中輸入Dcpromo命令把這臺(tái)服務(wù)器提升為域控制器,在提升過程中的“DNS注冊(cè)診斷”窗口選擇第二項(xiàng)“在這臺(tái)計(jì)算機(jī)上安裝并配置DNS服務(wù)器,并將這臺(tái)DNS服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS服務(wù)器”,如圖4,大家一定要注意,DNS是域的重要組成部分,沒有正確配置的DNS你的域?qū)?huì)出現(xiàn)很多問題!
3,安裝完成后打開DNS管理控制臺(tái),右擊服務(wù)器圖標(biāo),進(jìn)入其屬性窗口,然后切換到轉(zhuǎn)發(fā)器標(biāo)簽,添加要轉(zhuǎn)發(fā)到的DNS服務(wù)器,這里也就是ISP提供的DNS服務(wù)器,如圖5。這樣配置之后客戶端進(jìn)行內(nèi)部訪問(如域登錄)時(shí)就使用內(nèi)部的DNS服務(wù),訪問因特網(wǎng)時(shí)就由此DNS進(jìn)行轉(zhuǎn)發(fā)解析。
4,域控制器安裝完成后請(qǐng)將這臺(tái)服務(wù)器也安裝成WINS服務(wù)器,可以從“添加/刪除程序”下“添加刪除WINDOWS組件”中選擇“網(wǎng)絡(luò)服務(wù)”下的WINS安裝。
(二) 劃分VLAN
要把安全網(wǎng)與辦公網(wǎng)從物理上隔開就需要?jiǎng)澐諺LAN,當(dāng)你劃分了VLAN之后,即使用戶把自己的IP改成另一個(gè)VLAN子網(wǎng)內(nèi)的IP,它也是無(wú)法訪問那個(gè)子網(wǎng)內(nèi)的計(jì)算機(jī)的。這里把端口24單獨(dú)設(shè)置成一個(gè)VLAN,即安全網(wǎng)所連接的端口,其余端口劃分為一個(gè)VLAN,這里的關(guān)鍵是要把ISA內(nèi)網(wǎng)卡連接的端口劃在兩個(gè)VLAN中,這里ISA內(nèi)網(wǎng)卡連接的端口是Port 4,從圖6可以看出,我把它劃在了兩個(gè)VLAN中,內(nèi)網(wǎng)卡第一IP 192.168.6.1對(duì)應(yīng)辦公網(wǎng),第二IP 192.168.0.222對(duì)應(yīng)原來(lái)的安全網(wǎng)。

(三) 在域控制器上安裝ISA Server 2004標(biāo)準(zhǔn)版
ISA Server 2004標(biāo)準(zhǔn)版的安裝很簡(jiǎn)單,《在線技術(shù)》以前的文章也已經(jīng)詳細(xì)講過,所以這里只提一下需要注意的地方,就是在進(jìn)入“內(nèi)部網(wǎng)絡(luò)”配置窗口時(shí),請(qǐng)點(diǎn)擊添加按鈕,在彈出窗口中點(diǎn)擊“選擇網(wǎng)卡”按鈕,然后在新窗口中清除上面一個(gè)復(fù)選框,選中“基于windows路由表添加地址范圍”,在下面的網(wǎng)卡中選擇內(nèi)網(wǎng)卡,也就是你這里配置的內(nèi)網(wǎng)應(yīng)該包括192.168.6.0/24和192.168.0.0/24這兩個(gè)子網(wǎng),不然后面的通訊會(huì)有問題,在ISA server 2004中,不管一塊網(wǎng)卡有多少個(gè)IP,它們都只能屬于一個(gè)相同的網(wǎng)絡(luò),切記!

(四) 配置ISA服務(wù)器

默認(rèn)情況下,當(dāng)ISA server安裝好后,它會(huì)阻斷所有經(jīng)過它的網(wǎng)絡(luò)通信。要讓網(wǎng)絡(luò)之間進(jìn)行通訊,需要?jiǎng)?chuàng)建相應(yīng)的規(guī)則:網(wǎng)絡(luò)規(guī)則和訪問規(guī)則,二者缺一不可。
1, 配置撥號(hào)首選項(xiàng)
由于這里使用的是ADSL連接,首先需要在ISA管理窗口中為它配置撥號(hào)首選項(xiàng),進(jìn)入ISA管理窗口,定位到configuration/General下,然后點(diǎn)擊右窗格中的specify Dial-up Preferences項(xiàng),在彈出的窗口中選擇allow automatic dialing to this network,然后選擇External項(xiàng),并選中下面的configure this dial-up conncetion as the default gateway,接著在Dial-up connection中選擇你創(chuàng)建好的ADSL連接(需要你預(yù)先在系統(tǒng)的“網(wǎng)絡(luò)連接”窗口中使用“新建連接向?qū)А眲?chuàng)建好),選擇之后在下面的dial-up account欄設(shè)置好你ADSL撥號(hào)使用的帳戶和密碼,以便ISA自動(dòng)撥號(hào),如圖7。
2, 配置辦公網(wǎng)訪問ISA上的域服務(wù)(包括WINS服務(wù))
由于ISA服務(wù)器同時(shí)又是域控制器,所以需要?jiǎng)?chuàng)建相應(yīng)的訪問規(guī)則辦公網(wǎng)的客戶端才能登錄域。各項(xiàng)參數(shù)如下:
Rule Action:Allow
Protocols:(ISA中的名字)
DNS
kerberos-sec(TCP)
kerberos-sec(UDP)
LDAP
LDAP(UDP)
LDAP(Global catalog)
Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
NTP(UDP)
RPC(all interfaces)
Access Rule Sources:新建一個(gè)subnet,IP范圍為192.168.6.0/24,如圖8;
Access Rule Destinationsocal Host
User set:All Users
3, 配置辦公網(wǎng)上網(wǎng)進(jìn)行WEB瀏覽
配置辦公網(wǎng)上網(wǎng)與上面一樣,只是協(xié)議和目標(biāo)需要改變一下,由于上面已經(jīng)允許了DNS,所以協(xié)議就只需要HTTP和HTTPS協(xié)議,Access Rule Destinations變?yōu)镋xternal即可。
4, 配置安全網(wǎng)訪問辦公網(wǎng)的文件共享
安全網(wǎng)訪問辦公網(wǎng)是通過ISA路由的,雖然對(duì)ISA來(lái)說它們都被定義在一個(gè)內(nèi)網(wǎng)中,但它們之間的通訊仍然要通過ISA(因?yàn)橛蠽LAN隔離),所以也要?jiǎng)?chuàng)建相應(yīng)的訪問規(guī)則,具體參數(shù)如下:
Rule Action:Allow
Protocol: Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
Access Rule Source:新建一個(gè)subnet,IP范圍是192.168.0.0/24
Access Rule Destinations:subnet 192.168.6.0/24
user set: All Users
5, 配置調(diào)度機(jī)上網(wǎng)
從圖1可以看出,調(diào)度機(jī)位于子網(wǎng)192.168.5.0/24中,它不屬于內(nèi)網(wǎng),它是與ISA外網(wǎng)卡相關(guān)聯(lián)的網(wǎng)絡(luò),要讓調(diào)度機(jī)上網(wǎng),我們需要先創(chuàng)建相應(yīng)的網(wǎng)絡(luò)和網(wǎng)絡(luò)規(guī)則,步驟如下:
(1) 調(diào)度機(jī)的IP配置(不加入域)
IP:192.168.5.3/24
網(wǎng)關(guān):192.168.5.1
DNS:221.5.203.98
(2) 在ISA上創(chuàng)建調(diào)度機(jī)所在的網(wǎng)絡(luò),方法是右擊configuration/networks,選擇新建/Network,各項(xiàng)參數(shù)如下:
Network type:External network
Network Addresses:192.168.5.0/24
(3)創(chuàng)建此網(wǎng)絡(luò)與External網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)則,關(guān)系為NAT,要訪問內(nèi)網(wǎng)的話,還要?jiǎng)?chuàng)建與內(nèi)網(wǎng)的網(wǎng)絡(luò)規(guī)則為Route,與本地主機(jī)的網(wǎng)絡(luò)規(guī)則默認(rèn)就為路由,不能再創(chuàng)建。
(4)創(chuàng)建訪問規(guī)則,各項(xiàng)參數(shù)如下:
Rule Action:Allow
Protocols: DNS、HTTP、HTTPS
Access Rule Sources:新建一個(gè)computer,IP為192.168.5.3
Access Rule Destinations:External
User set:All Users

(五)配置ISA自動(dòng)開機(jī)和自動(dòng)關(guān)機(jī)
配置ISA服務(wù)器自動(dòng)開機(jī),這很簡(jiǎn)單,因?yàn)锽IOS支持在某個(gè)時(shí)間自動(dòng)開機(jī),比如是每天早上8:00開機(jī),在BIOS中作相應(yīng)配置就行,BIOS可以設(shè)置自動(dòng)開機(jī),但可惜不能配置自動(dòng)關(guān)機(jī),比如需要每天下午6:00鐘自動(dòng)關(guān)機(jī),這時(shí)可以下載一個(gè)專門的關(guān)機(jī)軟件來(lái)實(shí)現(xiàn),比如我這里就是使用的阿達(dá)自動(dòng)關(guān)機(jī),它可以配置每天在指定的時(shí)間自動(dòng)關(guān)機(jī),具體使用大家一看就知道,這里不再細(xì)說。
(六)配置調(diào)度機(jī)自動(dòng)撥號(hào)和自動(dòng)斷線
ISA的自動(dòng)撥號(hào)前面已經(jīng)介紹了,現(xiàn)在來(lái)看看調(diào)度機(jī)(192.168.5.3)怎樣實(shí)現(xiàn)自動(dòng)撥號(hào)和自動(dòng)斷線,我們理想的情況是當(dāng)ISA關(guān)機(jī)后調(diào)度機(jī)就自動(dòng)撥號(hào)上網(wǎng),而每天早上8點(diǎn)在ISA開機(jī)后它又應(yīng)該自動(dòng)斷開連接,以讓ISA撥號(hào),這個(gè)我們可以通過系統(tǒng)的內(nèi)置功能實(shí)現(xiàn),也就是由任務(wù)計(jì)劃和系統(tǒng)的rasdial命令一起來(lái)實(shí)現(xiàn),實(shí)現(xiàn)自動(dòng)撥號(hào)的步驟如下:
1, 在調(diào)度機(jī)上運(yùn)行“任務(wù)計(jì)劃向?qū)А保缓笤诔绦蛑羞x擇windows\system32系統(tǒng)目錄下的rasdial.exe程序;
2, 然后在下一步定義好運(yùn)行時(shí)間,比如18:01,
3, 接下來(lái)輸入運(yùn)行此程序的用戶名和密碼,通常就是當(dāng)前登錄用戶,在最后的完成窗口中選中“在單擊完成時(shí),打開此任務(wù)的高級(jí)屬性”,然后我們需要在彈出窗口的運(yùn)行欄中rasdial.exe命令后加入adsl user password參數(shù),其中的ADSL是你為ADSL連接創(chuàng)建的撥號(hào)名,如果不清楚,可以到“開始/設(shè)置/網(wǎng)絡(luò)連接”中找到,user是你ADSL的帳戶名,Password就是撥號(hào)的密碼了,如圖9。

與上面實(shí)現(xiàn)自動(dòng)撥號(hào)相似,要實(shí)現(xiàn)早上8:00鐘自動(dòng)斷開連接也可以使用任務(wù)計(jì)劃加rasdial,只是圖中rasdial后參數(shù)變成adsl /disconnect就行了,這里就不再多說了,自己變動(dòng)一下即可。

(七) 客戶端配置
辦公網(wǎng)的IP范圍是192.168.6.0/24,客戶端全部加入ISA所在域CJGG.COM,DNS、網(wǎng)關(guān)和Wins都指向ISA的內(nèi)網(wǎng)卡192.168.6.1。
安全網(wǎng)的IP范圍是192.168.0.0/24,屬于另外一個(gè)域CYCW.COM,所以DNS要指向此域的DNS服務(wù)器,然后在這個(gè)域的DNS服務(wù)器上啟用轉(zhuǎn)發(fā),而網(wǎng)關(guān)指向192.168.0.222,WINS指向192.168.6.1。這里注意要將此域的域控制器的網(wǎng)關(guān)也指向192.168.0.222,WINS也要指向192.168.6.1,這樣可以在網(wǎng)上鄰居中看到兩個(gè)子網(wǎng)的計(jì)算機(jī)列表,不過也只是能夠看到列表,要想在網(wǎng)上鄰居中訪問另一個(gè)子網(wǎng)中的計(jì)算機(jī),還需要像上面第四部分第4節(jié)一樣配置相應(yīng)的訪問規(guī)則才行。
另外現(xiàn)在朋友的網(wǎng)絡(luò)都是基于IP地址來(lái)限制訪問的,還沒有基于用戶限制,所以客戶端現(xiàn)在也沒有安裝防火墻客戶端,而且如果要基于用戶來(lái)限制的話,由于安全網(wǎng)屬于另外一個(gè)域(非同一個(gè)森林),所以還需要手動(dòng)建立兩個(gè)域之間的信任關(guān)系才能實(shí)現(xiàn)基于用戶限制,這又是另外一篇文章的內(nèi)容了,如果可能,下次再談吧。

熱詞搜索:

上一篇:給你糾糾錯(cuò)!查殺電腦病毒的錯(cuò)誤認(rèn)識(shí)
下一篇:俠諾多WAN VPN應(yīng)用

分享到: 收藏