ISA企业级防火墙的应用

【实验目的】

通过操作ISA来熟悉防火墙的基本工作原理及应用。

【实验内容】

（1）建立防火墙策略使允许访问相应服务。

（2）设置内外网地址以及访问策略的开发时间。

【预备知识】

（1）Microsoft®Internet Security and Acceleration（ISA）Server 2004是可扩展的企业防火墙和Web缓存服务器，它构建在Microsoft Windows Server™2003和Windows®2000 Server操作系统安全、管理和目录上，以实现基于策略的访问控制、加速和网际管理。其工作模型如图7.2.1所示。

图7.2.1　ISA工作模型

（2）ISA服务器可以保护三种类型的客户端：防火墙客户端、SecureNAT客户端和Web代理客户端。各种客户端的区别如表7.2.1所示。

表7.2.1各种客户端的区别

（3）NAT（Network Address Translator），即网络地址转换。NAT通过将专用内部地址转换为公共外部地址，从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用。同时隐藏了内部网络结构，因此降低了内部网络受到攻击的风险。

（4）常用协议端口对应关系：

HTTP:80/8080。(www.xing528.com)

FTP:21。

Telnet:23。

【实验环境】

局域网，实验室需配置联想网御防火墙。

【实验工具】

Microsoft公司120天评估版ISA 2004中文标准版，全名为Microsoft Internet Security and Acceleration（ISA）Server 2004；可扩展的企业防火墙和Web缓存服务器。

安装ISA Server服务器时注意事项如下：

（1）操作系统：Windows Server 2000系统必须安装Windows 2000 Service Pack 4或更高版本；必须安装Internet Explorer 6或更高版本；如果用户使用的是Windows 2000 SP4整合安装，还要求打KB821887补丁，以上所应用到的补丁程序在配置系统中已提供。

（2）网络适配器：必须为连接到ISA Server 2004服务器的每个网络单独准备一个网络适配器，至少需要一个网络适配器（网卡）。但是在单网络适配器计算机上安装的ISA Server 2004服务器通常用于为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自Internet的内容。

（3）DNS服务器：ISA Server 2004服务器不具备转发DNS请求的功能，必须使用额外的DNS服务器。用户或者在内部网络中建立一个DNS服务器，或者使用外网（Internet）的DNS服务器。

【实验用时】

30分钟/实例。

【实验过程与步骤】