ISA系列 : ISA Server 2004防火墙的基本配置

核心提示：防火墙策略的组成 在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，ISA系列 : ISA Server 2004防火墙的基本配置，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享，ISA2004由于同Windows

防火墙策略的组成

在ISA服务器安装成功后，其防火墙策略默认为禁止所有内外通讯，所以我们需要在服务器上建立相应的防火墙策略，以使内外通讯成功。在本章，我们将介绍ISA的基本配置，使内部的所有用户无限制的访问外部网络。

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。

l　网络规则：定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。

l　访问规则：则定义了内、外网的进行通讯的具体细节。

l　服务器发布规则：定义了如何让用户访问服务器。

3.1.1 网络规则

ISA2004通过网络规则来定义并描述网络拓扑，其描述了两个网络实体之间是否存在连接，以及定义如何进行连接。相对于ISA2000，可以说网络规则是ISA Server 2004中的一个很大的进步，它没有了ISA Server 2000只有一个LAT表的限制，可以很好的支持多网络的复杂环境。

在ISA2004的网络规则中定义的网络连接的方式有：路由和网络地址转换。

3.1.1.1 路由

路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程，由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功能的紧密集成，使其具有很强的路由功能。

在ISA2004中，当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络，而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时，我们可以配置相应的路由网络规则。

需要注意的是，路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系，那么从网络 B到网络 A 也同样存在着路由关系，这同我们在进行硬件或软件路由器配置的原理相同。

3.1.1.2 网络地址转换（NAT）

NAT即网络地址转换（Network Address Translator），在Windows 2000 Server和Windows server 2003中，NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。ISA2004由于同Windows 2000 Server和Windows server 2003的路由和远程访问功能集成，所以支持NAT的的连接类型。