详解DMZ的部署与配置：ISA2006系列之二十九

核心提示： 顺便介绍一个ISA中网络的一些基本原则，供大家创建网络时参考：1、ISA防火墙上的每个网络适配器可以有单个或者多个IP地址，详解DMZ的部署与配置：ISA2006系列之二十九(2)，但是每个IP地址只能与一个网络适配器所关联（NLB的虚拟IP地址不在此讨论范围内）， 2、一个地址只能属于一个网络

顺便介绍一个ISA中网络的一些基本原则，供大家创建网络时参考：

1、　ISA防火墙上的每个网络适配器可以有单个或者多个IP地址，但是每个IP地址只能与一个网络适配器所关联（NLB的虚拟IP地址不在此讨论范围内）。

2、　一个地址只能属于一个网络；ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络，并且这个网络适配器上的所有地址都必须属于相同的网络；一个网络可以包含一个或者多个网络适配器。

3、　在网络定义的 地址范围中，应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接，也就是说，ISA 服务器假定存在与该网络关联的适配器，但该适配器当前被禁用。当ISA服务器假定适配器断开连接时，ISA服务器将拒绝去往或来自属于断开的网络的IP地 址的通讯， 因为这些数据并没有通过和此网络相关联的网络适配器来进行转发，并认为这些数据包欺骗所有已启用的适配器。

4、　对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况（即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络，称之为网络后面的网络）， 你必须在ISA防火墙对应的网络的定义中，包含这些子网的地址，否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地 址范围，不属于此网络，但是却又必须从此网络相关联的网络适配器进行数据的转发，ISA防火墙认为这是一种欺骗行为。

5、 通常情况下， 对于一个完整的网络定义，地址范围应该从网络地址起，到子网广播地址为止。例如一个C类网络192.168.0.0/24，那么完整的网络地址范围为 192.168.0.0～192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况，在网络地址范围中还需要包含对应 的A类网络、B类网络的广播地址，例如一个A类子网10.1.1.0/24，那么内部网络地址中除了10.1.1.0～10.1.1.255外，还需要包 括A类网络的广播地址10.255.255.255～10.255.255.255。建议你总是通过添加适配器来添加内部网络地址。非完整的网络定义不需要遵循此要求。