网络安全：网络规则与防火墙配置

1）在ISA服务器管理的控制台中选中防火墙，可以看到现在的策略是空的，将要在这里添加访问策略，如图9-32所示。

2）右击防火墙策略，选择“新建”命令，然后选择“访问规则”，如图9-33所示。

图9-32 添加访问策略

图9-33 新建然后选择访问规则

3）在弹出的新建访问规则向导中，键入访问规则的名称。这里因为是给内网用户访问Internet用的，所以键入一个名称“内网用户到Internet”来做一个标识。然后单击“下一步”按钮，如图9-34所示。

4）在“规则操作”页面中，选择“允许”单选钮，单击“下一步”按钮，如图9-35所示。所谓“允许”，就是允许符合这个规则的对象去做什么。如果要拒绝某个对象，比如不让财务部的成员访问Internet，就可建一条拒绝的策略。

图9-34 添加访问策略

图9-35 新建然后选择访问规则

5）在“协议”页面中选择协议。此处有很多协议可以选，但是因为只有上网的需求，所以只需选择DNS、HTTP、HTTPS就可以了。如果要收发邮件或使用FTP，就可以都添加进来。

6）在“访问规则源”页面中选择访问规则源。所谓“访问规则源”，就是说从什么地方来的。因为现在是一个从内网到外网的访问过程，所以选择“内部”，如图9-37所示。

图9-36 选择协议

图9-37 选择访问规则源(https://www.xing528.com)

7）在“访问规则目标”页面中选择访问规则目标。访问规则源是打哪儿来，访问规则目标是到哪儿去，所以选择“外部”，如图9-38所示。

8）在“用户集”页面中，确定这个规则将会应用到哪些用户集，这里有“所有通过身份验证的用户”“系统和网络服务”“所有用户”几种选择。因为目的是让所有内网用户访问Internet，这里选择“所有用户”，如图9-39所示。

图9-38 确定访问规则目标

图9-39 确定用户集

9）这条策略就设置好了，单击“确定”按钮就可以了，如图9-40所示。

10）查看地址配置的情况，如图9-41所示。

图9-40 策略设置完毕

图9-41 客户机上来看看能否访问

11）到客户机上来看能否访问，用这台IP为192.168.1.11/24的内网用户测试一下。在图9-42中，内网用户可以使用域名成功地访问Web主机，说明策略生效了。

图9-42 内网用户可以使用域名成功地访问Web主机

注意：这里用了一台Linux服务器模拟Web服务器，并且安装了DNS。为了内网用户能够使用域名访问Web主机，还得在内网的DNS服务器（这是和DC集成到一起的）上做转发器转到外网的DNS上。

上网的问题解决了，但过不了多久就会有员工抱怨上网速度太慢了。这时可以通过启用ISA Server的缓存功能来加快内网用户访问Internet的速度。