ISA系列 : ISA Server 2004防火墙的基本配置

核心提示： 当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，ISA系列 : ISA Server 2004防火墙的基本配置(2)，把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机，3.1.2 访问

当运行NAT的计算机从一台内部客户机接收到外出请求数据包时，它会把信息包的包头换掉，把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号，然后再将请求包发送给Internet上的目标主机。当NAT服务器从Internet主机接收到回答信息后，它也会将其包头进行替换，将自己的外部IP地址和端口号转换为请求客户机的内部IP地址的端口号，然后再把信息包发内网的客户机。

当在ISA2004中指定了这促类型的连接后， ISA 服务器将用它自己的 IP 地址替换源网络中的客户端的 IP 地址。从而对外隐藏了内部管理的IP，同时也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险，并可减少了IP 地址注册的费用。

需要注意的是：NAT 关系是唯一的和单向的。如果定义了从网络 A到网络 B 的 NAT 关系，则不会自动定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是 ISA 服务器将忽略有序规则列表中的第二条网络规则。

3.1.1.3 默认网络规则

在进行ISA2004的安装时，系统会创建以下默认规则（如图3-1所示）：

l　本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。

l　VPN 客户端到内部网络：此规则指定在两个 VPN 客户端网络（.VPN 客户端.和.被隔离的 VPN 客户端.）与内部网络之间存在着路由关系。

l　Internet 访问：此规则定义了在内部受保护的网络（如内部、VPN客户端等）与外部网络之间存在的 NAT关系。

3.1.2 访问规则

访问规则决定源网络上的客户端如何访问目标网络上的资源。我们可以将访问规则配置为适用于所有 IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的所有 IP 通讯。也可以在访问规则中对用户访问进行精确的限定。