配置ISA防火墙作为网络间的路由器.docVIP

How To ：配置ISA防火墙作为网络间的路由器 　 内容概要：基于强大的多网络核心，ISA防火墙除了可以作为网络间的边缘防火墙外，还可以作为网络间的路由器使用。ISA防火墙强大的应用层过滤和状态识别功能，使得ISA防火墙的功能比真实的路由器有过之而无不及。在这篇文章中，你可以学习到如何配置ISA防火墙作为网络间的路由器。 　 基于强大的多网络核心，ISA防火墙除了可以作为网络间的边缘防火墙外，还可以作为网络间的路由器使用。ISA防火墙强大的应用层过滤和状态识别功能，使得ISA防火墙的功能比真实的路由器有过之而无不及。例如，你可以允许某个Windows下的用户访问某个网络的某种协议，而真实的路由器则只能根据用户的IP地址和数据包的端口来限制；同时，基于ISA防火墙强大的状态识别，你可以阻止包含在HTTPS协议中的非正常数据，而路由器是根本没有办法做到这一点的。 有不少朋友在问如何将ISA防火墙配置为内部网络中的二级代理，其实二级代理只是ISA防火墙作为内部路由器的一种情况而已。在纯路由环境下，内部路由器就是一个二级代理，类似于背靠背防火墙模型中的背端防火墙；同时，利用ISA防火墙的Web代理服务和Web链设置，你也可以很方便的设置ISA防火墙只是作为HTTP代理。 在这篇文章中，我们以一个包含多个子网的内部网络环境为例，给大家介绍如何将ISA防火墙配置为内部路由器。这些内容都应该是作为ISA学习的进阶内容，在一些简单的环节，或许我会略过。 各计算机的TCP/IP设置如下，因为不涉及DNS解析，所有计算机的DNS服务器均设置为空： Server1： IP：/24 DG： 　 ISA 2004 Firewall： LAN1接口： IP：54/24 DG： LAN2接口： IP：/24 DG：None 　 Client1： IP：/24 DG： 　 其实配置ISA防火墙作为内部路由器不需要什么额外的配置。在安装过程中选择好内部网络，然后建立访问规则就是了。只是在默认情况下，内部网络访问外部网络是通过NAT来的，在有些时候，可能你需要使用路由关系。在使用路由关系时，记得先确定在不同的子网间是否有到对应网络的路由。 在这篇文章中，我们将按照步骤来进行： 配置内部网络和内部到外部的网络规则（NAT）； 建立访问规则； 测试LAN2到LAN1的连通性一； 配置内部到外部使用路由方式； 测试LAN2到LAN1的连通性二； 在LAN1的Server1上添加LAN2的路由； 测试LAN2到LAN1的连通性三； 1、配置内部网络和内部到外部的网络规则（NAT） 我是新安装的ISA防火墙，在安装过程中选择内部网络时，我通过选择网卡来进行选择。如果你已经安装好了ISA防火墙，那么你直接在内部网络属性中进行修改即可。 安装好后，在ISA防火墙管理控制台的配置的网络节点，你可以在右边网络面板中看到内部网络的地址范围。 默认情况下，内部到外部网络使用NAT方式，在网络规则中很清楚的说明了这一点。 　 　 　 2、建立访问规则 现在网络基础元素已经定义好了，我们需要建立访问规则，允许内部（LAN2）到外部（LAN1和其他网络）的访问。 右击防火墙策略，指向新建，选择访问规则，规则中需要定义的元素如下： 规则名称：Allow Any to Any； 规则操作：允许； 协议：所有出站通信； 访问规则源：所有网络（和本地主机）； 访问规则目的：所有网络（和本地主机）； 用户集：所有用户； 点击应用保存修改和更新防火墙策略； 建立好后的规则如下图： 在这个试验中，我们只是为了更好的说明试验，所以才定义此Allow Any to Any use Any protocols的“3 Any”规则。在你的商用网络中，请严格限定访问规则中使用的每一元素。 3、测试LAN2到LAN1的连通性 我们在位于LAN2的Client1上进行测试，Ping位于LAN1的Server1，并访问运行在其之上的FTP服务。 /* 在Client1上进行测试*/ C:\Documents and Settings\xxipconfig Windows IP Configuration Ethernet adapter Loopback: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : Subnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . : 　 　 /* Ping自己的网关（ISA防火墙的