7.1 实验指导(Web服务器的防火墙配置 )

◆实验目的

掌握使用ISA 2004企业版，发布DMZ区域中的Web 服务器

◆实验分析

ISA 2004防火墙是支持在DMZ区域中使用公共IP address地址的。但是如果直接在DMZ网络中部署公共IP address地址，会受到外部ISP路由的，外部ISP必须在路由器上添加指向你的DMZ区域网络的路由，否则外部用户是不能访问你的DMZ区域的。

ISA 2004防火墙作为边缘防火墙连接内部、外部网络和DMZ区，同时，对内部和外部网络提供Web服务。ISA 2004防火墙上已经配置了允许本地主机访问所有网络的所有服务的策略服务。

解决方法：在ISA 2004 防火墙的外部接口上绑定ISP 分配给你的所有Internet的IP address地址，然后使用不同的公共IP address地址来发布你DMZ区域中的服务器。下图是本实验网络拓朴结构，

图7-1 实验拓扑

重要提示：网络与网络之间的IP address地址是routing传递数据，还是NAT传递数据。

如果网络与网络之间是 routing的关系，创建访问规则。Internet与DMZ之间是NAT关系，

那么，创建发布服务器规则。

◆实验准备此试验中不涉及DNS 解析，各主机的DNS地址均设置为空，各主机的TCP/IP address 设置如下；

ISA 2004 Server；

VMware7/Windows Server 2003 企业版/ ISA Server 2004 企业版

Intranet接口

IP address：192.168.0.1/24

Gateway：None

DMZ接口

IP address：172.16.0.1/24

Gateway：None

Internet接口

IP address：61.139.0.8/24

61.139.0.4/24

61.139.0.5/24

61.139.0.6/24

61.139.0.7/24

Gateway：61.139.0.1

DMZ 的 Web服务器

VMware7/Windows Server 2003 企业版/ ISA Server 2004 企业版

IP address：172.16.0.2/24

Gateway：172.16.0.1

Internet Client01：

VMware7/Window XP

IP address：61.139.0.1/24

Gateway：61.139.0.1

Intranet Client02：

VMware7/Window XP

IP address：192.168.0.2/24

Gateway：192.168.0.1

◆实验主要步骤

✧安装ISA Server 2004，安装过程定义网络类型“DMZ、内部”

✧使用网络模板配置DMZ 网络；

✧配置网络规则

✧发布DMZ 网络中的Web 服务器；

✧外部访问Web服务的测试

✧内部访问Web服务的测试

1.使用网络模板，定义网络类型“DMZ”；

2.发布DMZ 网络中的Web 服务器

1)我们现在要使用61.139.0.5 这个外部IP address 地址来发布内部的Web 服

务器，右击防火墙策略，指向新建，然后选择Web 服务器发布规则；

2)在欢迎使用新建Web 发布规则向导页，为此规则输入一个名字，在此我命名为

Publish DMZ's Web server，点击下一步；

3)在请选择规则操作页，选择允许，然后点击下一步；

4)在请定义要发布的网站页，输入DMZ 网络中Web 服务器的IP address 地址，

在此为172.16.0.2，点击下一步；

5)在公共名称细节页，在接受请求栏选择任何域名，然后点击下一步；

6)在选择Web 侦听器页，点击新建，

7)在欢迎使用新建Web 侦听器向导页，输入Web 侦听器的名字，在此我命名为

Listen 61.139.0.5's 80，点击下一步；

8)在IP address 地址页，勾选外部，然后点击地址按钮，

9)在弹出的外部网络侦听器IP address 选择页，选择在此网络上选择的IP

address 地址，然后在可用的地址栏选择61.139.0.5，然后点击添加，最后点击确定；

10)在IP address 地址页，点击下一步；

11)在端口指定页，接受默认的HTTP 80 端口，点击下一步；

12)在正在完成新建Web 侦听器向导页，点击完成。

13)在选择Web 侦听器页，点击下一步；

7

14)在用户集页，接受默认的所有用户，点击下一步；

15)在正在完成新建Web 发布规则向导页，点击完成，此时，Web 发布规则就建立

好了。

实验验证

1.外部访问Web服务的测试

1)Web服务器上新建网页，内容“你的班级，学号，姓名”

2)Internet上的主机Client1 上，我们来使用HTTP 访问ISA 上绑定的几个外部

IP address 地址访问Wen服务器。

8

3)可以很清楚的看到，只有我们发布了Web 服务的61.139.0.5 这个IP address

才能访问Web 服务，其他的IP address 地址都不能。

2.内部访问Web服务的测试

1)Intranet上的主机Client1 上，我们来使用HTTP 访问ISA 上绑定的几个外部

IP address 地址访问Wen服务器。

实验总结与体会

9