设为首页 友情链接
在线留言 发表文章
加入收藏 广告联系

刺猬首页

| 专案技术 | 网络技术 | 图形图象 | 网络编程 | 网页设计 | 操作系统 | 服务器 | 技术白皮书 | 在线实验室 | 刺猬论坛 |
  | 数据库 | 设计赏析 | 存储频道 | 网络安全 | 私服架设 |  Solaris | 网站评估 | PC维护技巧 | 下载中心 | 博 客 |
专题: | Linux | java | cisco | 防病毒 | 刀片 | SOA | iscsi | ASP.NET | SQL | Oracle |
您现在的位置: IT公社 IT community >> 服务器技术 >> ISA server >> 教程正文 用户登录 新用户注册
专 题 栏 目
最 新 热 门
最 新 推 荐
相 关 文 章
关于ISA防火墙中VPN服务…
How to :自定义 ISA Se…
[重要公告]ISA Server 2…
How to :升级到 ISA Se…
Linux和Solaris建立Apac…
一五一十谈IIS安全机制
浅谈IIS6和Tomcat5的整合
详解:虚拟主机IIS连接数…
微软下一代网络服务器II…
IIS:微软操作系统集成的…
  通过ISA防火墙(2004)来允许域内通信           
通过ISA防火墙(2004)来允许域内通信
 

通过ISA防火墙(2004)来允许域内通信

(2004-09-12 20:55)
来源:ISAServer.org




通过ISA防火墙(2004)来允许域内通信


译自Thomas W Shinder,“Allowing Intradomain Communications through the ISA Firewall (2004)”

新的ISA Server防火墙对于通过ISA Server的域内通信的支持进行了增强,通过网络访问规则,你可以很容易的允许连接到ISA防火墙的不同网络间的各种服务的访问。


例如,你可能想将一台为Internet服务的Exchange服务器或者进入的认证SMTP中继放置在DMZ段,但是为了让它们使用活动目录的用户数据库,你需要将它们加入到内部网络的活动目录中。此时,你就需要在ISA防火墙上进行配置,允许DMZ网段的服务器访问内部网络的域控制器上的某些服务。


注意,我们不是在ISA防火墙上“开放端口”。“开放端口”这个术语起源于简单包过滤的硬件防火墙。但是ISA防火墙知道协议,它可以对通过防火墙的所有通信执行状态过滤和应用层状态识别。我强烈建议你不要将你公司的重要资源放置在这种包过滤的硬件防火墙之后。

在这个例子中,我们使用以下的网络拓朴结构:




以下是域内通信需要的协议,以及我们即将建立的规则的细节:


  • Name:Member Server -> Internal DC
  • Action:Allow
  • Protocols:ADLogon/DirRep*


    Direct Host (TCP 445)**


    DNS


    Kerberos-Adm(UDP)


    Kerberos-Sec(TCP)


    Kerberos-Sec(UDP)


    LDAP (TCP)


    LDAP (UDP)


    LDAP GC (Global Catalog)


    RPC Endpoint Mapper (TCP 135)***


    NTP


    Ping

  • From:DMZ Member Server

    Internal Network DC

  • To:Internal Network DC

    DMZ Member Server

  • Users:All
  • Schedule:Always
  • Content Types:All content types


*ADLogon/DirRep:

主要连接:TCP 出站 50000 端口(需要在后端Exchange服务器上的RPC密钥集);

**Direct Host:

主要连接:TCP 出站 445 端口(需要在此文章中进行讨论);

***RPC Endpoint Mapper

主要连接:TCP 出站 135 端口(需要在此文章中进行讨论);

RPC服务通过在注册表中使用类似于GUID(全局唯一标识符)的UUID(通用唯一标识符)来进行注册,RPC UUID是通用的,并且对于每个服务是唯一的。

当一个RPC服务启动,它将获取一个高位端口,并且使用RPC服务的UUID来注册此端口。一些服务随机选取一个端口,而有些服务使用固定的端口(在此端口空闲的情况下)。当一个和RPC服务通信时,它不知道这个RPC服务使用的高位端口。RPC客户程序和服务器的RPC映射服务TCP 135端口进行连接,然后通过UUID来调用RPC服务。RPC端口映射器返回对应的高位端口号给客户,然后关闭端点映射程序。最后,客户使用从服务器端收到的这个高位端口来和服务器建立新的连接。因为客户不可能知道RPC服务使用什么端口,所以在防火墙上需要允许所有的高位端口通过。

在此,我们限制RPC使用单个端口,这样我们可以在防火墙上配置允许这个端口。或者,我们需要允许DMZ网络访问内部网络的所有高位端口。

我们可以通过在每个域控制器上修改注册表来,注册表键值是:

We can do this by making a Registry change on each domain controller. The Registry Key is:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\

新建一个DWORD值,命名为TCP/IP Port ,然后设置为你想让其使用的端口号。记住,你需要在你所有的域控制器修改。

注意:

其实我们不需要这样做,因为ISA防火墙的RPC过滤器可以自动控制端口的访问。RPC过滤器侦听RPC协商,然后动态开放需要的高位端口。但是,我宁愿选择手动设置端口,这样可以更容易分析日志还有跟踪DMZ网段和内部网络间的RPC通信。这就是为什么我说ISA防火墙没有“开放端口”的原因,因为ISA实际上理解需要的协议,而不仅仅停留在端口的开放上。

例如,在每个域控上执行以下步骤来修改RPC复制端口为 50000


  1. 点击开始,然后运行 Regedit
  2. 定位到以下键值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\



  1. 然后新建一个DWORD值
  2. 将其名字修改为TCP/IP Port,然后双击此项;
  3. 在编辑编辑DWORD值对话框,选择“十进制”,然后输入 50000 ,点击确定
  4. 重启域控制器。

作为ISA Server 2004的一个重大改进,它允许你控制任何两个网络间的路由关系。在此例中,我们在DMZ和内部网络间使用路由关系。注意如果你使用模板来建立DMZ网段,那么在内部网络和DMZ间的默认关系是NAT。




下面我们将建立一个规则,允许在DMZ的一台成员服务器和内部网络的域控之间允许域内通信,在此我只是为了演示,在你的实际网络中,没有必要只是简单的两台服务器。



注意:

以下场景中,我们将建立两个协议定义,但是这是没有必要的,因为它们已经是ISA内建有的。建立它们,只是为了阐明一些重要的观点。



通过ISA防火墙(2004)来允许域内通信

(2004-09-12 20:55)
来源:ISAServer.org

执行以下步骤建立允许DMZ网段的计算机访问内部网络中的域控的域内通信规则:

  1. 在ISA Server管理控制台,展开服务器名,然后点击防火墙策略
  2. 防火墙策略节点,点击任务面板上的任务标签,然后点击新建访问规则链接

  3. 欢迎使用新建访问规则向导页,输入规则的名字,在此命名为
    Member Server --> Internal DC    ,点击下一步
  4. 规则动作页,选择允许,然后点击下一步
  5. 规则应用到页,选择选择的协议,然后点击添加按钮;

  6. 添加协议对话框,点击所有协议对话框,双击以下协议



DNS

Kerberos-Adm (UDP)

Kerberos-Sec (TCP)

Kerberos-Sec (UDP)

LDAP

LDAP (UDP)

LDAP GC (Global Catalog)

NTP (UDP)

Ping



  1. 点击新建,然后点击协议
  2. 欢迎使用新建协议定义向导页,在协议名字上输入 ADLogon/DirRep ,点击下一步

  3. 主要连接信息页,点击新建
  4. 新建/编辑协议连接对话框,在协议类型列表选择TCP,然后在方向列表选择出站,在端口范围,在输入50000,然后点击确定




  1. 主要连接信息页点击下一步
  2. 辅助连接页,选择No,然后点击下一步
  3. 完成新建协议定义向导页点击完成
  4. 点击新建,然后点击协议
  5. 欢迎使用新建协议定义向导页,在协议名字上输入 Direct Host ,点击下一步
  6. 主要连接信息页,点击新建
  7. 新建/编辑协议连接对话框,在协议类型列表选择TCP,然后在方向列表选择出站,在端口范围,在输入445,然后点击确定
  8. 主要连接信息页点击下一步




  1. 辅助连接页,选择No,然后点击下一步
  2. 完成新建协议定义向导页点击完成
  3. 点击新建,然后点击协议
  4. 欢迎使用新建协议定义向导页,在协议名字上输入 RPC Endpoint Mapper (TCP 135),点击下一步
  5. 主要连接信息页,点击新建
  6. 新建/编辑协议连接对话框,在协议类型列表选择TCP,然后在方向列表选择出站,在端口范围,在输入135
    ,然后点击确定
  7. 主要连接信息页点击下一步
  8. 辅助连接页,选择No,然后点击下一步
  9. 完成新建协议定义向导页点击完成
  10. 添加协议对话框,点击用户自定义目录,双击 ADLogon/DirRep、Direct Access
    RPC Endpoint Mapper (TCP 135) ,然后点击关闭。




  1. 协议页点击下一步
  2. 访问规则源页,点击添加
  3. 添加网络实体对话框,点击新建,选择计算机

  4. 新建计算机规则元素对话框,在名字文本框中输入 DMZ Member Server ,在计算机IP地址输入172.16.0.2
    ,然后点击确定




  1. 添加网络实体对话框,点击新建,选择计算机

  2. 新建计算机规则元素对话框,在名字文本框中输入 Internal DC ,在计算机IP地址输入10.0.0.2 ,然后点击确定




  1. 添加网络实体对话框中,点开计算机目录,然后双击DMZ Member Server项,然后点击关闭;在访问规则源页点击下一步
  2. 访问规则目的页,点击添加
  3. 添加网络实体对话框中,点开计算机目录,然后双击Internal DC项,然后点击关闭;在访问规则源页点击下一步
  4. 用户集页,接受默认的所有用户,点击下一步

  5. 完成新建访问规则向导页回顾设置,然后点击完成

  6. 点击应用保存修改和更新防火墙策略;建好的访问规则如下图所示:



 

希图显示了一些在成员服务器和域控制器之间的通信记录:



注意看上图,对于TCP 445端口,显示的协议是 Microsoft CIFS (TCP) 而不是我们定义的 Direct Host,这是因为Microsoft CIFS (TCP)是内建的协议,比用户自定义的协议具有更高的优先权。

 


后记:Tom在这篇文章中谈到了基于活动目录的域内通信。对于使用网上邻居通信的情况,则需要开放以下协议:


  • Netbios会话 (端口为TCP 139 出站)
  • Netbios名称服务 (UDP 端口为137 发送接收)
  • Netbios数据包 (端口为UDP 138 发送)
  • Microsoft CIFS (端口为TCP 445 出站)
  • Microsoft CIFS (端口为UDP 445 发送接收)

最后需要注意的是,在没有域的环境下,网上邻居是基于Netbios的广播,但是Netbios是不能路由的,所以不要指望可以在网上邻居中看见跨网段的计算机。

 

 




频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。

原始作者:佚名 录入时间:2006-9-22
信息来源:不详 投稿信箱:itqoo@126.com
教程录入:itqoo    责任编辑:itqoo 
  • 上一个教程:

  • 下一个教程:
    • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    - 关于我们 - 合作伙伴 - 友情链接 - 广告刊登 - 投稿热线 - 在线留言版权声明联系方式 -
    IT公社版权所有 粤ICP备05127012号
    Copyrigh@2005-2006 itqoo.com.Inc All Rights Reserved  推荐分辨率 1024*768
    联系站长:E-Mail:itqoo@126.com     MSN:urchincc@hotmail.com    QQ:点击这里给我发消息
    特别感谢:亿太网络提供空间支持