如何设置在外围网络中包含高级防火墙的前端/后端拓扑

上一次修改主题： 2006-08-16

可以创建包含高级防火墙的前端/后端拓扑。下图说明了包含高级防火墙的前端/后端方案。在此方案中，将高级防火墙服务器放置在外围网络内部以及 Internet 防火墙与内部防火墙之间。将前端服务器和后端服务器放置在内部防火墙后面的同一网络中。

开始之前

在执行本主题中的步骤之前，一定要先阅读下列内容：

• 部署前端/后端拓扑的方案
• Using ISA Server 2000 with Exchange Server 2003（英文）

步骤

设置在外围网络中包含高级防火墙的前端/后端拓扑

1. 如果高级防火墙前面有防火墙或端口筛选器，则将其配置为允许客户端协议和端口入站：443 (SSL HTTP)、993 (SSL POP3)、995 (SSL IMAP4) 以及任何其他需要入站的端口（例如，SMTP 通信也可以通过此防火墙）。此防火墙应限制只能访问指定的高级防火墙服务器。

2. （可选）如果在高级防火墙与 Intranet 之间使用 Intranet 防火墙，则将 Intranet 防火墙配置为打开特定端口，以便支持从高级防火墙服务器（例如 Microsoft® Internet Security and Acceleration (ISA) Server）到 Intranet 的所需网络通信。这将是高级防火墙代理的任何客户端协议：端口 443 或 80（取决于高级防火墙是否减轻 SSL 加密的负担）、993 和 995。此外，Intranet 防火墙还必须允许高级防火墙服务器所需的任何其他协议的访问（取决于其他任务和配置）。这可能包括身份验证、域名系统 (DNS) 访问和 Active Directory 访问。精确列表取决于每家公司实施的安全与功能的平衡。

3. 配置高级防火墙。以下是在前端/后端拓扑中部署 ISA Server 时要遵循的一般原则。（有关如何配置 ISA Server 的详细信息，请参阅 ISA Server 产品文档。）

   1. 为 SSL 配置侦听器。
   2. 创建包含 ISA Server 的外部 IP 地址的目标集。将在 Web 发布规则中使用此目标集。
   3. 创建 Web 发布规则，以将请求重定向到内部前端服务器。
   4. 创建协议规则，以在 ISA Server 中打开用于传出通信的端口。

4. 为 Microsoft Office Outlook® Web Access 配置 ISA 服务器。（有关如何为 Outlook Web Access 配置 ISA 服务器的信息，请参阅 Microsoft 知识库文章 307347 ISA 服务器后面的安全 OWA 发布可能需要自定义 HTTP 头）。