1:安装ISA Server 2004软件防火墙

clip_image002

打开ISA Server 2004.rar软件包-- --ISA Server 2004----ISA Server防火墙

----ISAAutorun.exe----安装ISA Server 2004

clip_image005

clip_image007

下一步----点上我接受许可协议中的条款-----下一步

clip_image009

clip_image011

填写用户名----下一步----点上典型----下一步

clip_image013

clip_image015

添加---填写内网的IP地址段----添加----确定

clip_image017

clip_image019

下一步----下一步

clip_image021

clip_image023

下一步----安装

clip_image025

clip_image027

clip_image029

安装完成后,必须重新启动才生效

clip_image031

重新启动后,关闭默认出现的网页,即ISA Server 2004安装成功。

安装成ISA Server 2004防火墙后,默认拒绝所有的。

ISA Server2004的PC要添加三块网卡,IP配置为:

LAN:192.16.1.1

WAN:202.101.224.2

DMZ:172.16.1.1

clip_image033

2:开始配置ISA Server 2004防火墙

开始----程序----Microsoft ISA Server----ISA服务器管理

clip_image035

下面是ISA Server 2004防火墙实验的拓扑图

clip_image037

3:在网络选项卡中新建一个DMZ对象

DMZ区域:专门存放内部的服务器。

配置----网络----新建----网络

clip_image039

clip_image041

网络名自定义,输入DMZ----下一步----点上外围网络----下一步

(因为DMZ区域是专门存入公司内部用来发布的服务器)

clip_image044

clip_image046

添加适配器----勾上DMZ网卡----确定

clip_image048

clip_image050

下一步----完成

clip_image052

clip_image056

完成后会有DMZ网络对象,并且一定要点应用

应用----确定

clip_image058

接下来定义网络规则(默认有三条)

clip_image061

4:那接下来添加三条网络规则

1新建网络规则-网络通信源(选DMZ)-目标网络(外部网络)-选NAT工作模式

2新建网络规则-网络通信源(选DMZ)-目标网络(内部网络和×××客户端)-选路由

3新建网络规则-网络通信源(选×××)-目标网络(内部网络和DMZ)-选路由

clip_image063

右键配置-网络-新建----网络规则----自定义网络规则名称----下一步

clip_image065

clip_image068

网络通讯源中添加---在添加网络实体中选择网络---DMZ---添加---关闭---下一步

clip_image070

clip_image072

网络通讯目标中添加--在添加网络实体中选择网络---外部---添加--关闭---下一步

clip_image074

clip_image076

勾上网络地址转换----下一步----完成

clip_image078

clip_image079clip_image081

应用----确定

clip_image083

右键配置-网络-新建----网络规则----自定义网络规则名称----下一步

clip_image085

clip_image087

clip_image089

网络通讯源中添加---在添加网络实体中选择网络---DMZ---添加---关闭---下一步

clip_image091

网络通讯目标中添加----在添加网络实体中选择网络----×××客户端和内部

----添加--关闭----下一步----选择路由----下一步----完成

clip_image093

clip_image095

clip_image097

应用----确定

clip_image099

clip_image101

右键配置-网络-新建----网络规则----自定义网络规则名称----下一步

clip_image103

网络通讯源中添加---在添加网络实体中选择网络---

×××客户端---添加---关闭---下一步

clip_image105

clip_image107

网络通讯目标中添加--在添加网络实体中选择网络---DMZ和内部----

添加--关闭---下一步

clip_image109

选择路由(因为×××客户端拨入进来后获取到的是内网IP,所以用路由工作模式)

----下一步----完成

clip_image111

clip_image113

应用----确定

clip_image115

5:下面开始建立防火墙策略里的访问规则

默认是一条拒绝所有的网络到所有网络的通信

clip_image117

下面开始完成实验要求

一:内部网络能够PING通网关

右键防火墙策略――新建――访问规则

clip_image119

clip_image121

自定义访问规则名称----下一步

clip_image123

选择允许----下一步

clip_image127

所选的协议----添加---在添加协议的通用协议中选择Ping----添加----关闭

clip_image129

下一步----添加----内部----添加---关闭

clip_image131

clip_image133

下一步---添加---本地主机----添加----关闭

clip_image135

clip_image137

下一步----所有用户---下一步----完成

clip_image139

clip_image141

没有应用防火墙策略时,内部网络不可以ping通网关

clip_image143

clip_image145

应用----确定

clip_image147

应用防火墙策略后,内部网络可以ping通网关

clip_image149

二:内部网络能够访问外部网络

右键防火墙策略――新建――访问规则

clip_image151

clip_image153

自定义访问规则名称----下一步

clip_image155

允许----下一步

clip_image157

所有出站通讯----下一步

clip_image159

clip_image161

clip_image163

clip_image165

没有应用防火墙策略时,内部网络不可以ping通外部网络

clip_image167

clip_image169

应用----确定

clip_image171

应用防火墙策略后,内部网络可以ping通外部网络

clip_image173

三:DMZ区域的服务器可以访问外部网络(80443端口)

clip_image175

右键防火墙策略――新建――访问规则

clip_image177

自定义访问规则名称----下一步

clip_image179

允许----下一步

clip_image181

clip_image183

clip_image185

clip_image187

clip_image189

clip_image191

配置DMZ区域的IP地址,网关,DNS

没有应用防火墙策略时,DMZ区域不能访问外部网络的网站

clip_image193

clip_image195

应用----确定

clip_image197

应用防火墙策略后,DMZ区域可以访问外部网络的网站

clip_image199

四:内部网络能够访问DMZ区域的服务器

clip_image201

clip_image203

clip_image205

clip_image207

clip_image209

clip_image211

clip_image213

clip_image215

clip_image217

没有应用防火墙策略时,内部网络不能访问DMZ区域的网站

clip_image219

clip_image221

应用---确定

clip_image223

应用防火墙策略后,内部网络可以访问DMZ区域的网站

clip_image225

五:(1)外部网络访问DMZ区域的WEB服务器

clip_image227

clip_image229

clip_image231

填写网站WEB服务器的IP地址

clip_image234

clip_image237

clip_image239

clip_image241

clip_image243

clip_image245

clip_image247

clip_image249

clip_image251

clip_image253

clip_image255

外部网络的IP地址配置

没有应用防火墙策略时,外部网络不能访问DMZ区域的网站

http://ISA外网卡的IP (不要输DMZ的web服务器IP)

clip_image257

clip_image259

应用----确定

clip_image261

应用防火墙策略后,外部网络可以访问DMZ区域的网站

clip_image263

五:(2)外部网络访问DMZ区域的FTP服务器

clip_image265

clip_image267

clip_image270

填写FTP服务器的IP地址

clip_image272

clip_image274

clip_image276

clip_image255[1]

外部网络的IP地址配置

clip_image278

没有应用防火墙策略时,外部网络不能访问DMZ区域的FTP服务器

http://ISA外网卡的IP (不要输DMZ的ftp服务器IP)

clip_image280

应用----确定

clip_image282

应用防火墙策略后,外部网络可以访问DMZ区域的FTP服务器

clip_image284

六:外部网络通过×××访问公司内部网络

右击我的电脑----管理----新建一个用户xinghua,密码为2009

新建一个组***,把用户xinghua加入到***组中

clip_image286

虚拟专用网络×××-----启用×××客户端访问

clip_image289

clip_image292

应用----确定

clip_image294

clip_image297

配置×××客户端访问----组—添加***组----协议----启用L2TP/IPSec

----确定

clip_image299

clip_image301

clip_image303

应用----确定

clip_image305

clip_image308

定义地址分配----地址分配----添加一个网段----确定

clip_image310

clip_image312

应用----确定

clip_image314

在外部网络的计算机上连接

右击网上邻居----右击新建连接向导----新建连接

clip_image316

clip_image318

clip_image321

clip_image324

clip_image326

clip_image329

clip_image331

clip_image333

clip_image335

clip_image338

clip_image341

clip_image343

clip_image345

clip_image348

外部网络上获得的虚拟IP地址为192.168.8.3

ISA Server 2004服务器上获得的虚拟IP地址为192.168.8.1

clip_image351

clip_image353

clip_image355

clip_image357

clip_image359

clip_image361

clip_image363

clip_image365

clip_image367

没有应用防火墙策略时,×××客户端不能访问内部网络的WEB服务器

clip_image369

clip_image372

应用----确定

clip_image374

应用防火墙策略后,×××客户端可以访问内部网络的WEB服务器

clip_image376

七:×××客户端访问DMZ区域的WEBFTP服务器

clip_image378

clip_image380

clip_image382

clip_image384

clip_image386

clip_image388

clip_image390

clip_image392

没有应用防火墙策略时,×××客户端不能访问DMZ区域的WEB服务器

clip_image394

clip_image395clip_image397

应用----确定

clip_image399

应用防火墙策略后,×××客户端可以访问DMZ区域的WEB和FTP服务器

clip_image401

clip_image403