ISA 2006 上配置DHCP、FTP、DNS并向内部发布各服务器

---

现今公司要求在原来的网络基础之上新建一个代理服务器，并设置相应的互联网访问策略，
Windows Server 2003平台：
Internet：192.168.1.1
 添加IIS服务，并设置一个测试页面。http://192.168.1.1

 

Client：启用自动获取IP地址

FW：升级DC（File.yoopong.com）、添加DHCP服务、IIS、FTP，两块网卡分设置相应IP
 OutSide：192.168.1.2
 InSide：10.255.255.252
 DHCP作用域：10.255.255.1~10.255.255.100 / 24
网关路由地址：10.255.255.252
     DNS服务器：10.255.255.252
    DNS域名：yoopong.com

 此时Client能够正确获取到DHCP分配的IP地址，创建的FTP也能够正常访问

安装ISA2006

此时Client无法获取到相应的IP地址，也不能正常访问FTP服务器上的资源。

策略：

安装完ISA后，默认是阻止所有通讯

1、 新建一条访问规则：Access All  允许  所有出站通讯  添加源：内部  到目标：外部  用户集：所有用户  完成

2、 新建一条访问规则：DHCP_Request  允许  所选的协议：添加：所有协议：DHCP（请求） 来自源通讯：添加本地主机  发送到目标的通讯：添加内部网络  用户集：所有用户  完成****允许内部网络向本地主机发送DHCP请求IP的通讯****

3、 新建一条访问规则：DHCP_Reply  允许  所有的协议：添加：所有协议：DHCP（答复） 来自源通讯：添加内部网络  发送到目标的通讯：添加本地主机  用户集：所有用户  完成********允许本地主机向内部网络所有用户答复DHCP
***********完成上述步骤即可解决Client无法获取IP地址的问题****************

4、 新建一条发布规则：新建  发布非Web服务器协议  Access FTP  输入FTP服务器的IP：10.255.255.252  选择的协议：FTP服务  侦听：内部  完成
*****执行完此步骤后即可以通过IP（ftp://10.255.255.252）访问不能用域名访问*****

新建一条发布规则：新建  发布非Web服务器协议  Access DNS  输入DNS服务器的IP：10.255.255.252  选择的协议：DNS服务  侦听：内部  完成
*****执行完此步骤后即可以通过IP或域名（ftp.yoopong.com）访问不能用域名访问***

5、 新建一条访问规则：Access Web  允许  所选的协议：添加：所有协议：HTTP/HTTPS  来自源通讯：添加内部网络  发送到目标的通讯：添加外部  用户集：所有用户  完成
*******内网的所有用户都可以访问到外部的Web访问**********

6、 选择右侧的工具标签  点击URL集  新建URL集  命名：Deny Access  添加不允许访问的域名：如 http://www.youku.com

测试：在Client上打开：C:\WINDOWS\system32\drivers\etc\hosts
添加 192.168.1.1   www.youku.com

7、 新建一条访问规则：Deny Web  拒绝  所选的协议：添加：所有协议：HTTP  来自源通讯：添加内部网络  发送到目标的通讯：添加Deny AccessURL集  用户集：所有用户  完成
*******执行完上述步骤之后，所有Deny Access中列出的域名地址都拒绝访问********

也可以新建几个相应的计算机集（如：VIP），把一些特殊的IP主机添加进来，进行一些特殊的访问设置：如部门经理的主机地址向外部访问Deny Access 列表中的地址时允许访问，就可以添加相应的应用策略，把来自源通讯设置为此VIP计算机集

注：右击配置存储服务器，可以导出（备份）ISA的策略，保存为一个XML的文件，删除一条规则后，可以通过导入（还原）来恢复之前的配置。

 

上一篇：主动出击 实时防护—KILL全面确保华融公司网络安全  
下一篇：没有了