前言:在许多大型企业网络中,ISA防火墙只是作为二级防火墙,而由硬件防火墙来作为边缘防火墙并提供VPN服务。
对于这种网络结构,当外部客户拨入硬件防火墙的VPN服务后,该如何才能允许这些外部的VPN客户访问ISA防火墙保护的内部网络呢?通过这篇文章,你可以学习到如何实现这一需求。
在许多大型企业网络中,ISA防火墙只是作为二级防火墙,而由硬件防火墙来作为边缘防火墙并提供VPN服务。对于这种网络结构,当外部客户拨入硬件防火墙的VPN服务后,该如何才能允许这些外部的VPN客户访问ISA防火墙保护的内部网络呢?
其实在这种网络结构中,ISA防火墙同时也担当了网络间路由器的角色,我已经在How To :配置ISA防火墙作为网络间的路由器一文中进行了介绍。为了实现这种需求,你需要满足以下的条件:
1、VPN客户有(通过ISA防火墙)到达内部网络的路由;
2、内部网络客户有(通过ISA防火墙)到VPN客户的路由;
3、ISA防火墙允许VPN客户的访问行为。
我在下文中以实例给大家介绍如何根据具体的网络环境来进行部署。
本文中的试验网络环境如下图所示,边缘防火墙为一个硬件防火墙,同时提供VPN服务,它连接Internet和DMZ网络;而ISA防火墙作为二级防火墙,连接DMZ网络和内部网络。在这个试验中,我们将实现外部VPN客户到ISA防火墙所保护的内部网络中的Web服务器的访问。
各计算机的TCP/IP设置如下,本次试验不涉及DNS,所有的DNS服务器设置均为空,部署之前已经验证了网络连接工作正常:
VPN Client
IP:39.1.1.6/24
DG:39.1.1.1
Hardware Firewall
Internet:
IP:39.1.1.1/24
DG:39.1.1.1
DMZ:
IP:10.0.0.1/24
DG:None
VPN客户地址范围:
10.1.0.0/24
ISA 2004 Firewall(ISA 2004 EE)
DMZ:
IP:10.0.0.6/24
DG:10.0.0.1
Internal:
IP:192.168.0.1/24
DG:None
Web Server
IP:192.168.0.6/24
DG:192.168.0.1
在这个试验中,我们将配置VPN客户启用远程网络上的默认网关,所以在前面列出的三个条件中的第一个条件“VPN客户有(通过ISA防火墙)到达内部网络的路由”可以通过在硬件防火墙(VPN服务器)上添加到ISA防火墙所保护的内部网络的路由实现,如果你不启用此选项,你必须使用额外的方式,例如DHCP选项249给VPN客户添加路由来实现;而第二个条件“内部网络客户有(通过ISA防火墙)到VPN客户的路由”由于内部网络客户配置ISA防火墙为其默认网关,而ISA防火墙又配置硬件防火墙为其默认网关,所以也已经满足。在你的网络中,请根据实际情况来决定如何添加对应的路由。
而最后一个条件“ISA防火墙允许VPN客户的访问行为”则必须根据不同的情况进行处理。如果内部网络到外部网络的路由关系为NAT,那么ISA防火墙必须使用服务发布规则来允许外部网络客户到内部网络客户的访问;如果路由关系为Route,那么你可以直接使用访问规则来允许而无需使用发布规则。在这个试验中,我将使用Route路由关系并使用访问规则来允许外部VPN客户到内部网络的访问。
需要注意的是,ISA防火墙的内部网络中只是包含内部网络的地址范围(192.168.0.0/24),并不包含DMZ网络的地址范围。对于ISA防火墙而言,这个DMZ网络就是外部网络。
首先,我们在硬件防火墙上添加通过ISA防火墙到其保护的内部网络的路由(在此我是使用Windows server 2003来模拟提供VPN服务的硬件防火墙):
C:\Documents and Settings\Administrator>route print
IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 03 ff b3 5e c2 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic)
0x10004 ...00 03 ff d4 81 d1 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 39.1.1.1 39.1.1.1 20
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 20
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.0.0.100 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 20
39.1.1.0 255.255.255.0 39.1.1.1 39.1.1.1 20
39.1.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
39.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 20
224.0.0.0 240.0.0.0 39.1.1.1 39.1.1.1 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 1
Default Gateway: 39.1.1.1
===========================================================================
Persistent Routes:
None
C:\Documents and Settings\Administrator>route add 192.168.0.0 mask 255.255.255.0 10.0.0.6
C:\Documents and Settings\Administrator>route print
IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
0x10003 ...00 03 ff b3 5e c2 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic)
0x10004 ...00 03 ff d4 81 d1 ...... Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 39.1.1.1 39.1.1.1 20
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 20
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.0.0.100 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 20
39.1.1.0 255.255.255.0 39.1.1.1 39.1.1.1 20
39.1.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
39.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 10.0.0.6 10.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.1 10.0.0.1 20
224.0.0.0 240.0.0.0 39.1.1.1 39.1.1.1 20
255.255.255.255 255.255.255.255 10.0.0.1 10.0.0.1 1
255.255.255.255 255.255.255.255 39.1.1.1 39.1.1.1 1
Default Gateway: 39.1.1.1
===========================================================================
Persistent Routes:
None
至此通过ISA防火墙到其保护的内部网络的路由添加成功。当外部VPN客户连接到硬件防火墙的VPN服务时,由于启用了VPN连接的远程默认网关,VPN客户所有非本地网络的访问均通过VPN服务器进行。因此在外部VPN客户访问ISA防火墙所保护的内部网络时,它会将请求数据发送至硬件防火墙,而硬件防火墙根据自己的路由表,转发至ISA防火墙。
而内部网络客户配置ISA防火墙为其默认网关,而ISA防火墙又配置硬件防火墙为其默认网关,所以内部网络客户有到达外部VPN客户的路由,在此我们不需要额外添加。
现在我们修改网络规则,将内部网络到外部网络的路由规则修改为Route,如下图所示,
然后我们创建访问规则来允许VPN客户的访问。在ISA管理控制台中,右击ISA防火墙阵列下的防火墙策略,指向新建,选择访问规则;
在欢迎使用新建访问规则向导页,输入规则名字,在此我命名为Allow VPN Clients Access Internal,点击下一步;
在规则动作页,选择允许,点击下一步;
在协议页,选择选择的协议,在此我只允许HTTP/Ping协议,添加完成后点击下一步;
在访问规则源页,点击添加按钮,
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备2023014753号-2
技术支持和业务联系:info@testage.com.cn 电话:010-51297073