《Windows域环境下部署ISA2006企业版99051456.docx》由会员分享,可在线阅读,更多相关《Windows域环境下部署ISA2006企业版99051456.docx(59页珍藏版)》请在三一办公上搜索。
1、Windows域环境下部署ISA Server 2006防火墙(一)安装和配置ISA Server 2006服务器及客户端ISA Server 2006可以部署在各种规模的网络中,不同的部署方式可以针对不同规模的企业。为其提供一个安全的解决方案。ISA Server 2006主要有三大功能:第一、将其部署成一台专用防火墙,作为内部用户接入Internet的安全网关;第二、利用ISA Server 2006,企业内部用户能够向Internet发布服务器;第三、ISA Server 2006可以像代理防火墙一样,通过服务器的缓存实现网络的加速。这三大功能咱们都会说到。今天先来看一下如何在域环境下部
2、署ISA Server 2006.ISA Server 2006有两个版本,标准版和企业版。咱们今天用的是企业版,在安装之前先说一些注意事项 如下:1、硬件配置是否支持(这个问题在这个年代,应该不是个问题,呵呵!)2、是否已存在ISA Server3、 是否需要缓存功能4、是否进行安全服务器的发布5、windows域环境是否已搭建好6、ISA Server的应用有多大规模为什么要注意上面所说的几个问题呢?主要还是考虑到性价比的问题。如果要求不是很高,完全用不着企业版,标准版足亦!还能节省成本,毕竟这玩艺儿还不是很便宜。再说一下ISA Server 2006的组件,想有效地部署ISA Serve
3、r 2006,必须了解 ISA Server 2006的各个组件及其功能。ISA Server 2006主要由下面的组件构成:1、阵列阵列是对一组ISA Server 2006服务器的统一管理方式。并且它们可以共享同样的配置。2、配置存储服务器用于存储企业中全部阵列的配置信息,是ISA中最重要的部分3、ISA服务器服务运行防火墙、VPN和缓存服务的ISA服务器4、ISA服务器管理用于管理企业和阵列成员的管理终端本次以及后面要说的ISA Server 2006部分都会依据下面这幅拓扑图。之所以用这幅图主要是它比较常见,是很多中型企业大概的拓扑结构。拓扑如下:我们可以看到:1、这是一种三向外围的网
4、络形式2、windows域环境,域名为:3、公司内部有WebServer主机名为及MailServer主机名为需要发布,它们处在DMZ区。4、ISA SERVER上有三块网卡,a.LAN IP:192.168.1.1/24;b.DMZ IP:172.16.1.1;c.WAN IP:61.134.1.4/8此次的部署我们就从安装说起, 安装其实很简单,设置比较少。基本都是NEXT就可以了,但还是需要注意一些问题,下面我截取了几幅需要注意的图。供参考,windows不像Linux哪样抽象,还是比较直观的。现在咱们开始安装吧!1、首先确认windows域已经搭建好,我这里已经搭好了的,域名为,DNS
5、也OK,如拓扑上一致。搭域的步骤很简单我这就不在多说。如图确认一下:2、 确认ISA Server 三块网卡已经连接好,并配置了正确的TCP/IP参数。如图:3、 打开ISA Server 2006的安装光盘,找到“ISAAutorun.exe”文件,双击启动ISA Server 2006的安装界面,如下图:4、 单击安装ISA server 2006,再单击下一步。选择我同意后输入用户名、单位名及产品序列号,单击下一步,如图:5、下面这幅图我解释一下。它是让我们选择安装方案,如果域中已经配置了存储服务器,我们就选第一项就可以了;如果还没有就选第三项;要是只想安装配置存储服务器,选择第二项就可
6、以了;第四项用于仅安装ISA服务器管理;现在咱们的网络中还没有配置存储服务器,所以就选第三项。如图:下面几步很简单我就以笔带过,不截图了哈,免得大家说我没有一点技术含量6、选择所有安装组件,单击下一步7、选择新ISA服务器企业,单击下一步8、这时会弹出一个警告,咱们不用理会,直接单击下一步即可。9、设置配置存储服务器所使用的用户帐号,注意此帐号必须属于Domain Admin组,咱们就用administrator吧!10、接下来设置企业内部网络,单击添加,然后单击添加适配器,将LAN网卡加入即可,下图是我确定之后的画面。11、此时需要清除“允许不加密的防火墙客户端连接”,单击下一步。为什么要清
7、除此项呢?这一项的作用还是为了兼容像98、me这样的老版操作系统,我想这样的操作系统也只能在博物馆里找到了,呵呵!所以咱们用不着这一项。12、在服务警告页中单击下一步,再单击安装,我们就开始安装了哈!注意:核心组件装完后,系统还会自动安装附加组建并进行系统初始化。初始化完毕后就好了。装好之后ISA Server 2006的配置管理界面就长这样的,如图:就这样我们的ISA Server 2006服务端就装好了。接下来咱们来看一下客户端的安装,装了客户端后我们才能使用到后面会说到的众多功能。客户端的安装比服务器更简单,步骤如下:1、打开ISA Server 2006安装光盘中的Client文件夹,
8、双击“setup.exe”文件,开始安装防火墙客户端。如图:2、单击下一步,选择同意,单击下一步;选择“我接受许可协议中的条款”,确定之后,单击下一步,选择连接到此ISA服务器计算机,输入ISA服务器内网卡的地址。单击下一步,如图:3、现在单击安装按钮,我们就开始安装ISA防火墙。如图:安装完成之后,确认一下计算任务栏的右侧出现一个小图标。表示防火墙客户端启动。如图:好了!现在我们已经将ISA Server 2006 服务器端和客户端都配置好了.我们现在要做的事就是先来熟悉一下ISA 2006 管理器的控制台。先从管理控制台中的模板说起吧,ISA Server 2006共给我们提供了四种模板分
9、别是:边缘防火墙、3向外围网络、前端防火墙、后端防火墙和单网卡适配器。下面我们来具体看看这几种防火墙模板。了解了这几种模板对我们了解ISA Server乃至安全解决方案都是有帮助的。1、边缘防火墙边缘防火墙配置起来很方便。下图就是边缘放火墙的模板,可以看到防火墙将Internet与内网连接起来了,形成了一个屏障。有效的避免了来自Internet的网络攻击行为。另外边缘也是目前windows安全解决方案中使用最广泛的之一。大多数企业可以考虑这种方案的部署。说明:前端防火墙只需要一台ISA Server就可以了,但需要有两块网卡。一块用来连接内网,一块用来连接Internet。2、前端防火墙下图就
10、是前端防火墙的典型应用,利用ISA Server连接外部网络的网络拓扑,其作为前端防火墙,内部还有一个防火墙,配置在后端来保护内部网络。说明:前端防火墙至少需要两台ISA Server,且每台都要有两块网卡。一台用来隔离内部网络,另一台用来隔离内网及放置服务器的DMZ区。3、后端防火墙看到下图,感觉和上面差不多,其实不一样。在前端防火墙的后面,用于连接外围(DMZ)网络和内部网络的防火墙配置,用以保护内部网络的为后端防火墙。说明:和前端防火墙一样,后端防火墙的设备要求和拓扑结构是一样的。只是前后角色有些不同而已。4、单网卡型适配器说明:单网卡型适配器就没什么好说的了,它几乎是被当成了代理服务器
11、在使用。对安全要求不太高的小型企业如果只有访问Internet的需求,可以考虑部署这种结构。5、3向外围网络第五种就是咱们特别要去说的一种类型,在接下来的配置中都是采用的这种模板,那就是3向外围网络。3向外围也是一个比较热门的部署方案,从下图中我们可以看到,部署这种方案的投资并不是太大。说明:这种部署方案在ISA Server上需要有三块网卡,一块用来连接内部网络,另一块用来连接服务器所在的外围网络,也就是DMZ区,还有一块当然就是用来连接Internet.好了,相信现在大家对windows的安全解决方案产品ISA Server 2006有了一个大概的了解,由于篇幅的限制这次就只能说到这里,在
12、后面将会看到常用防火墙策略的应用,及各种服务器的发布。Windows域环境下部署ISA Server 2006防火墙(二)本次接上回,上次咱们在windows域环境中部署了ISA Server 2006,安全性确实提高了,但也有点“太高了”,因为现在用户只能在局域网里活动,连最基本的上网服务都无法使用。 这次就来解决这个问题,利用ISA防火墙策略及缓存实现用户安全快速上网。我们分两部分来说,第一部分先使用防火墙策略,把内网用户上网的问题解决了。第二部分再来优化部署加快访问速度,提高效率。下面是拓扑图:可以看到基本上还是上次的图,DMZ区咱们先不看。后面说服务器发布时才会说到的。在外网上多了一台
13、web服务器,主机名为:www.IT.com IP为61.134.1.10/8,(注意公网DNS我也做到这上面了)现在我们要做的就是能让内网用户通过域名的方式成功的访问web主机,并通过配置缓存加快其访问外网的速度。下面开使实施:第一部分:配置放火墙策略使内网用户能够访问Internet1、在ISA服务器管理的控制台中,选中防火墙,现在可以看到是空的,我们将要在这里添加访问策略。如图:、右击防火墙策略,选择新建然后选择访问规则。如图:、在弹出的新建访问规则向导中,键入访问规则的名称。我们这里因为是给内网用户访问Internet用的,所以我们键入一个名称“内网用户到Internet”来做一个标识
14、。4、这里选择允许,就是说我们允许符合这个规则的对象去做什么。如果要拒绝某个对象,比如我们不让财务部的小财访问Internet。我们就可建一条拒绝的策略。5、现在是让我们选择协议。因为我们只有上网的需求,所以只须选择DNS、HTTP、HTTPS就可以了。如果要收发邮件或使用FTP啊其它什么的,就可以都添加进来就是了。有很多协议可以选。6、现在让我们选择访问规则源,也就是说从什么地方来的。我们这里就选择内部。因为我们现在是一个从内网到外网的访问过程。7、刚才是打哪儿来,现在是到哪儿去,当然是选择外部喽!如图:8、现在是让我们选择这个规则将会应用到哪些用户集,这里可以选择“所有通过身份验证的用户”
15、、“系统和网络服务”、“所有用户”,咱这里选择所有用户,因为我们目的是让所有内网用户访问Internet.9、好了现在这条策略就设置好了,应用一下点击确定就可以了。如图:现在我们到客户机上来看看能否访问。我们用这台IP为192.168.1.11/24的内网用户测试一下。看到下图,说明策略生效了,内网用户可以使用域名成功的访问Web主机。注意:我这里用了一台Linux服务器模拟web服务器,并且安装了DNS。为了内网用户能够使用域名访问Web主机,还得在内网的DNS服务器(我这是和DC集成到一起的)上做转发器转到外网的DNS上。现在上网的问题解决了,可能过不了多久就会有员工像你抱怨。上网速度太慢
16、了,能否加快一点。这时我们可以通过启用ISA Server的缓存功能来实现这个需求。第二部分:加快内网用户访问Internet的速度1、在“ISA服务器管理”的控制台树中,单击“缓存”。然后在详细信息窗格中,选择“缓存驱动器”选项卡,位置如图所示:2、然后在缓存驱动器选项卡里选择要设置的驱动器,咱这里C盘是系统,那就用D盘吧,把缓存大小设置为2000MB,单击设置,再确定就好了。注意:缓存的大小要根据实际情况来设置3、现在可能会弹出一个警告对话框,我们选择第二项“保存更改,并重新启动服务”。点击确定之后,应用策略。4、现在到缓存规则选项卡中,点击任务栏中的“配置缓存设置”。如图:5、选择高级选
17、项卡中的“在内存中缓存的URL的最大大小(字节)”的文本框,设置信息如图所示,还是比较好理解的,就不啰嗦了设置完毕后我们到D盘下,会看到系统自动生成了一个用于存放缓存内容的数据库文件(注意这个文件是无法打开的)。好了,经过这样一设置之后。内网用户访问Internet时速度会因为缓存而大大提高。内网用户会访问到实时的信息,因为缓存是动态更新的。本次就说到这里吧!希望大家能活学活用,ISA Server策略非常的多,而且运用起来千变万化,但原理都是一样。只要始终记得从哪里来,到哪里去,使用什么协议、端口是拒绝还是允许就觉得很简单了。下次将会看到利用ISA Server 2006发布DMZ区中的We
18、b服务器及邮件服务器。Windows域环境下部署ISA Server 2006防火墙(三)利用ISA Server2006发布DMZ区服务器上次咱们通过设置防火墙策略使内网用户可以上网了,并且通过配置缓存加快了访问Internet的速度。今天我们的任务就是把外围区域(DMZ)的服务器发布出去。我重点会去说web服务器的发布。其它的服务比如:mail、FTP、DNS都是一样的,大家掌握一种方法其它的就都学会了。拓扑图在下面,前面两次虽然也是这幅图,但我们一直没有说到的一个地方,就是DMZ区域,在ISA Server中它又叫外围区域。接下来我们就要把这个区域中的服务器发布到外部供Internet上
19、的朋友们访问。为什么不让他们直接访问而要通过发布的方式呢?因为如果没有防火墙的保护,直接暴露在外网的话,估计不到两分种就歇菜了。什么病毒啊,黑客啊全来了。所以我们要把它们发布出去,这样Internet上的用户访问外网接口,就等于访问了DMZ区域中的服务器。我想大家在路由器上都应该做过NAT,NAT有个技术叫PAT,它也可以用来发布服务器,通过端口来定位服务。咱这和那个道理是一样的。我们还要把这些服务器发布到内网而不是让他们直接访问,为什么呢?“家贼难防”!,就不用解释了。来看看具体的步骤首先还是分析一下拓扑。为了大家看起来方便我把大概的的信息罗列到下面:1、DMZ区域中有两台服务器,分别是:1
20、.web服务器 主机名: IP:172.16.1.20/16 GW:172.16.1.12.mail服务器 主机名: IP:172.16.1.10/16 GW:172.16.1.12、ISA Server的三块网卡IP分别为:1.内网卡LAN IP:192.168.1.1/242外围网卡DMZ IP:172.16.1.1/163外网卡 WAN IP:61.134.1.4/8主要的TCP/IP参数就是上面罗列的那些,其他没说到的咱们边做边说。第一部分:创建并配置DMZ区域前面一直是这个图,但其实DMZ区我们并没有去用到它,所以这之前我们一直是一种边缘防火墙的部署方式。这次们就来开辟这块非军事化区
21、(DMZ)。使之成为三向外围部署方式。1、打开“ISA服务管理器”,展开“配置”,选择“网络”,在右边的模板栏里选择3向外围网络,就会出现下图的界面。如图:2、连续单击两个下一步,就到了指定内网卡的地方,点击添加适配器,加入内网卡(LAN)确定就是如下的界面。(注意可别添错了啊)3、还是一样,这里就是添加外围网卡(DMZ),单击添加适配器,把DMZ网卡添进来就可以了。4、这里是选择防火墙策略,有一大堆,咱们就选第一个“阻止所有访问”,为什么呢?等一下要用什么就开什么。要知道这里只是一个向导界面,真正的策略是我们一条一条添加进去的。5、好了,确认一下设置的内部和外围等信息,看看有没有什么问题,没
22、有的话就可以单击完成了。也许您会问,为什么没有让选择外部网卡?您想,总共三块网卡。定义了内部和外围之后剩下的当然是外部喽!6、到这个界面时,我们点击应用之后确定即可。至此,咱们的网络环境就从原来的边缘网络,变成了三向外围的网络。第二部分:发布web服务器在各类服务器的发布中,web服务器的发布是最多的。其步骤也相对较多一些,掌握了web服务的发布,其它的就简单的多了。这次重点以发布web服务器为主。下面是步骤:1、在ISA管理控制台里,点击一下防火墙策略,再点击任务栏中的发布网站,如图,咱们将会在这个界面下做设置。2、在弹出的web发布规则向导界面中,我们给它取个名子叫“web服务发布规则”,
23、这样做个标识,别人一看就知道是干什么用的。如图:3、在“请选择规则条件”选项卡中选择“允许”。记住,ISA里面的规则操作除了允许就是拒绝。4、这里选择第一项“发布单个网站或负载平衡器”,因为咱们只有一个web站点要发布嘛。如果做了主机头,要发布多个网站可发选择第三项“发布多个网站”。单击下一步,如图:5、在服务器连接安全这里我们选择第二项,第一项是要求使用SSL的,一些要求安全性较高的网站比如:淘宝啊、银行啊等网站,要用https访问的就可以选择此项,当然得有PKI支持才行,有时间的话我会写一篇带SSL的网站发布。咱们不用选择第一项,第二项就可以了。大多数网站都没有使用SSL。因为访问起来会变
24、得麻烦,而且很慢,更重要的是得有一套PKI支持才行。6、现在到了配置内部发布详细信息这里,把站点名写到内部站点名称这里,然后勾选“使用计算机名称或IP地址连接到发布的服务器”,并且别忘了把IP写上去,如图:7、上面步骤完了之后下一步就到这里了,这是在问我们要发布哪些内容,咱们全部都发布所以用个“/*”代替就可以了。8、此处设置的是公共名称细节,在接收请求这里选择“任何域名”。下面的路径保持默认即可。如果有其它的可以单独指定。9、现在选择Web侦听器,因为没有所以就选择新建,来创建一个。(侦听器用来指定ISA服务器侦听传入Web请求的IP和端口)10、下面是新建web侦听器的向导界面,还是一样先
25、取个名子,做个标识。11、这里和刚才上面设置的时候意思是一样的,还是选择第二项“不需要与客户端建立SSL安全连接”,如图:12、这一步就比较关键了,它让我们选择web侦听器的IP地址。如果只选择外部,就只能把服务器发布到外部,咱这儿是要把服务器从DMZ发到内网和Internet所以就勾两项。如图:13、身份验证这里选择“没有身份验证”即可。这个一般用的不多。当然为了安全性更高也可以设置带身份验证的。14、好了,现在把web侦听器的配置在检查一下,就可以点击完成了。15、有了web侦听器,我们继续发布服务器,注意应在次确认一下侦听器的属性。看看有无错误,没有就可以单击下一步了,如图:16、在身份
26、验证委派这里选择“无委派,客户端无法直接进行身份验证”。17、用户集这里选择所有用户即可,因为咱们是让所有人访问,如果有特殊要求,可根据实际情况去设置。18、OK,现在策略设置好了,点击应用之后确定,就可以测试结果了。第三部分:测试内网用户和外网用户访问DMZ区域的web服务器在测试之前先确保缓存开着没有,虽然并不是必要的,但这样会提高访问速度。何乐而不为呢!下图显示缓存是开着的。现在内网的员工只能通过内网接口(LAN)来访问Web站点。然后再通过ISA Server转到真正的web服务器172.16.1.20上。所以我们要在内网中添加一个DNS主机记录,FQDN为 IP为192.168.1.
27、1。如图:在IE中输入主机名.可以看到我们能够正常的访问web站点。(注意我这里开了一台Linux并启动了httpd来模拟DMZ区域中的web服务器)如图:Ping一下域名可以看到ping的其实是IP为192.168.1.1的内网卡(LAN)。以此说明,DMZ区中的web服务器发布到内部网络中成功现在到外网客户机上来测试一下,(注意:外网客户机的DNS我用的是hosts文件的方式,当然真实环境下,肯定是要在公网DNS服务器上注册的)。下图是用外网客户机ping出的结果,如图,可以看到ping 其实实在ping外网口的地址。现在通过这个域名访问,可以看到可以成功访问。说明DMZ区域中的web发布
28、到外网成功。Windows域环境下部署ISA Server 2006防火墙(四)构建基于ISA Server 2006的远程接入VPN服务器接上回,本次将会说到在ISA Server 2006上配置远程接入VPN服务。以此来解决公司员工出差之后访问公司内部的问题。配置了远程接入VPN服务后,出差的员工不管走到哪里,只要能上网都能够通过拨号的方式连接到公司内部网络。远程接入VPN服务可以配置在windows系统上。之前我写过一篇文章windows下NAT妙用( Server 2006装在windows系统上,使这台服务器变得强大。然后再在ISA Server 2006上构建远程接入VPN服务。这
29、样的话,安全性就大大提高了。下面我们来看看具体的实施方法。拓扑在如下:虽然这幅图大家已经见到好几次了,但每次都是有些区别的。比如这次就增加了出差的员工,这在企业里是不得不考虑的问题 。公司作为windows域环境,各员之间,员工与公司之间的关系都是非常紧密的。现在我们就开始边做边说第一部分:设置VPN策略1、打开DC,在上面创建一个组,名子就叫vpn-group吧,然后再创建一个测试用的帐户zpp001,并把他加入vpn-group。这样做的目的就是为了便于稍后配置时定义哪些个组的用户可以拨入,总的来说还是为了提高安全性。我这是域环境所以创建的是域用户及组。并且我是在DC上添加的,要是是工作组
30、环境下,就要在ISA Server上添加本地的用户和组,大家千万别搞错了。如图:2、只有上面还不够在用户属性拨入选项卡上还得选择“允许访问”,如图,只有这样用户才可以拨进来的。3、现在我们就到ISA Server上来设置吧,先展开阵列,然后单击“虚拟专用网络VPN”就显示了如下图所示的界面,如图,可以看到配置VPN客户端的几个步骤。4、点击图中第一步上的“配置地址分配方法”,就会弹出让我们给VPN客户端分配IP地址的界面。如图,咱们可以通过动态地址配置协议(DHCP)给VPN客户端分配置IP地址,也可以通过分配静态地址的方法来分配。注意:这里的地址随便配都可以只要不提示出错,我这里就配成192
31、.168.100.1-30。不要给的太多,有几人出差就给几个是最好的,免得被黑客大哥们利用了。5、现在到第二步里面点击“指定windows用户”,在弹出的组对话框中添加,刚刚创建的vpn-group组,如图,添完之后点击确定即可。(现在明白刚刚为什么要创建用户和组了吧!)6、现在该第三步了吧,如图,点击“验证VPN属性”,在弹出的对话框中选中“启用PPTP”。然后确定即可。7、现在单击第三步中的“远程访问配置”,在弹出的对话框中勾选外部,如图。这一步是干什么的呢?它的作用就是让VPN客户端通过VPN服务器的这个外部网络连接拨上来。8、好了,现在VPN策略已经设置好了,只需点击应用确定,就可以了
32、。如图:大家可能会在想,那第四步和第五步为什么不做啊?因为第四步和第五步都是查看,不是必要的动作。不过还没完,刚刚设置的是VPN的策略,接下来还要设置防火墙策略。第二部分:设置防火墙策略1、展开阵列,右击防火墙策略,选择新建,再选择访问规则。如图所示:2、现在弹出了新建访问规则向导,咱们给规则命个名,就叫VPN吧。如图:3、这里选择“允许”,就不用解释了吧,咱们前面已经看到很多这个界面了啊。4、在协议选项卡里选择“所有出站通讯”。单击下一步,注意,如果不这样选择的话即使用户拨上来,也做不了什么。5、访问规则源选择这里选择“VPN客户端”。这里就是让咱们指定从哪儿来的对象。6、目标选择“内部”,
33、因为咱们是让VPN客户端通过拨号的方式拨入到内部网络。7、用户集这里选择所有用户。当然为了更高的安全性,还可以根据实际情况缩小小用户集的范围。选择之后点击下一步即可。8、策略设置顶好了,现在确认一下有无错误,如果没的话,就可以点击“完成”。如图:9、现在点击“应用”,可以看到在“防火墙规则”中多了一条名称为“VPN”的策略规则。至此,我们就完成了ISA Server上远程接入服务的配置,接下来就是配置客户端及测试。第三部分:配置客户端及测试1、现在来到外网客户机这里,它的IP是61.134.1.10/8和拓扑一致,在网络连接属性中单击“创建一个新的连接”在弹出的对话框中点击下一步。如图:2、网
34、络连接内型这里选择第二项“连接到我的工作场所的网络”。单击下一步,如图:3、现在它问我们想要如何与工作点连接,我们选择第二项“虚拟专用网络连接”,也就是咱们的VPN。单击下一步,如图:4、连接名这里它要求咱们输人公司的名称,其实这只是做个标记而已,跟公司跟服务器端没有一点关系,设置这个是给自己看到。设完之后点击下一步即可,如图:5、现在它让咱们输入VPN服务器的名称或地址,咱这当然是输入外网接口的地址:61.134.1.4.要是想输入域名的话,必须要在DNS注册商那里注册相关记录才行。6、现在会弹出如图所示的登录界面,输入用户名zpp001,和密码就可以登录了,注意我这用的用户名是zpp001
35、.我写的是邮件名,直接写zpp001都可以,无所谓。7、OK!拨上来了啊,可以看到下面的虚拟专用网络中的网络连接显示已连接。执行命令ipconfig之后可以看到,客户机获得了一个来自ISA Server的IP(192.168.100.2/32)。现在直接在开始运行中使用UNC路径就可以访问公司内网文件服务器(IP:192.168.1.10)上的共享资源了,如图,大家可要想到现在是跨Internet在访问啊。此时,我们就解决了企业中的员工出差访问公司内部的问题。使他们既能不受限制从任何可以上网的地方连接到内部网络中,同时也提供了安全性。现在大家看到了web服务器的发布,相信发布其它服务器也不成问
36、题了,其实都很简单。下面我再介绍一下邮件服务器的发布。第四部分:发布邮件服务器1、如图,这次就选择防火墙策略中的“发布邮件服务器”。2、访问类型这里选择第一项”客户端访问:RPC、IMAP、POP3、SMTP”,然后单击下下步。3、选择服务这里我们可以根据需求选择相应的服务。如图:4、服务器地址这里设置的就是DMZ区域中的邮件服务器真实的IP地址。此处是:172.16.1.105、和发布web服务器一样,此处也是指定发布到哪些地方去。6、现在邮件服务器就算发布好了。发布邮件服务器够简单的吧!感觉还没做就完了。测试我这就不做了啊,方法就是这样。测试前还是一样。确保内网DNS服务器上有A记录。FQDN: IP:192.168.1.1;外网除了要去注册A记录,还要有MX记录用PTR记录(前面说Sendmail、Postfix都有说过)。其他服务器的发布都和这是一样的,只是选的服务不一样而已。ISA有个说法,就是今天做的是明天的策略。意思就是说在ISA Server上做的规则有时候并不会即使生效。只要耐心等待就可以了。
