如何设置在外围网络中包含高级防火墙的前端/后端拓扑

 

上一次修改主题: 2006-08-16

可以创建包含高级防火墙的前端/后端拓扑。下图说明了包含高级防火墙的前端/后端方案。在此方案中,将高级防火墙服务器放置在外围网络内部以及 Internet 防火墙与内部防火墙之间。将前端服务器和后端服务器放置在内部防火墙后面的同一网络中。

在外围网络中的 ISA 服务器

在执行本主题中的步骤之前,一定要先阅读下列内容:

  1. 如果高级防火墙前面有防火墙或端口筛选器,则将其配置为允许客户端协议和端口入站:443 (SSL HTTP)、993 (SSL POP3)、995 (SSL IMAP4) 以及任何其他需要入站的端口(例如,SMTP 通信也可以通过此防火墙)。此防火墙应限制只能访问指定的高级防火墙服务器。

  2. (可选)如果在高级防火墙与 Intranet 之间使用 Intranet 防火墙,则将 Intranet 防火墙配置为打开特定端口,以便支持从高级防火墙服务器(例如 Microsoft® Internet Security and Acceleration (ISA) Server)到 Intranet 的所需网络通信。这将是高级防火墙代理的任何客户端协议:端口 443 或 80(取决于高级防火墙是否减轻 SSL 加密的负担)、993 和 995。此外,Intranet 防火墙还必须允许高级防火墙服务器所需的任何其他协议的访问(取决于其他任务和配置)。这可能包括身份验证、域名系统 (DNS) 访问和 Active Directory 访问。精确列表取决于每家公司实施的安全与功能的平衡。

  3. 配置高级防火墙。以下是在前端/后端拓扑中部署 ISA Server 时要遵循的一般原则。(有关如何配置 ISA Server 的详细信息,请参阅 ISA Server 产品文档。)

    1. 为 SSL 配置侦听器。
    2. 创建包含 ISA Server 的外部 IP 地址的目标集。将在 Web 发布规则中使用此目标集。
    3. 创建 Web 发布规则,以将请求重定向到内部前端服务器。
    4. 创建协议规则,以在 ISA Server 中打开用于传出通信的端口。
  4. 为 Microsoft Office Outlook® Web Access 配置 ISA 服务器。(有关如何为 Outlook Web Access 配置 ISA 服务器的信息,请参阅 Microsoft 知识库文章 307347 ISA 服务器后面的安全 OWA 发布可能需要自定义 HTTP 头)。

 
显示: