ISA配置教程之配置IP数据包筛选器

成疯也成魔

　　4.5　配置IP数据包筛选器 　　IP数据包筛选器允许或者阻塞数据包通过指定的端口。在简单的网络场景下，通常不需要为客户机创建IP数据包筛选器来提供安全的Internet访问。然而，在特殊的环境下，必须使用IP数据包筛选器允许或者阻塞特定的通信从外部传输到局域网服务器的内部界面。 　　 　　本节学习目标 　　l　　　　　描述3种需要IP数据包筛选器的网络场景 　　 　　l　　　　　创建和配置IP数据包筛选器 　　 　　l　　　　　描述能为数据数据包筛选配置的选项 　　 　　估计学习时间：45分钟 　　4.5.1　什么时候使用IP数据包筛选器 　　IP数据包筛选器静态地打开或关闭端口。也就是说，只要筛选器处于启用状态，端口就处于打开或关闭状态。然而，在多数情况下(在需要并且协议规则以及站点和内容规则允许时)，动态地打开和关闭端口会更为可取。因此，通常的做法是建议创建允许内部客户端访问Internet的访问策略规则，或者创建允许外部客户端访问内部服务器的发布规则。例如，假设要准许所有的内部用户访问HTTP站点。那么，就不应该创建一个将端口80打开的IP数据包筛选器，而是创建一个允许该访问的必要的站点和内容规则以及协议规则。 　　 　　但是，在有些情况下，必须使用IP数据包筛选器。具体情况如下： 　　 　　l　　　　　发布位于(边界网络)上的服务器(也就是我们所熟悉的DMZ，(非军事化区，以及被屏蔽的　 子网))。 　　 　　l　　　　　在ISA Server 计算机上运行那些需要访问Internet的应用程序或其他服务。 　　 　　l　　　　　允许访问不基于UDP或TCP的协议。 　　 　　只有以防火墙模式或者集成模式安装ISA Server时，才可以配置IP数据包筛选器。 　　 　　4.5.2　创建IP数据包筛选器 　　使用IP数据包筛选器，可以拦截、允许或者阻塞传向局域网上特定计算机的数据包。可以创建两种类型的静态IP数据包筛选器：(允许筛选器)和(阻塞筛选器。) 　　 　　允许筛选器是例外筛选器。除了特别指定的数据包之外，其他所有的数据包类型都受允许筛选器禁止。对于某一特定的端口，如果没有激活数据包筛选器，服务就不能在该端口上侦听，除非它是动态打开的。阻塞筛选器关闭特定的端口。可以创建并配置阻塞筛选器，从而进一步定义那些允许通过ISA Server 计算机的通信。 　　 　　这两种筛选器类型可以一起使用。例如，您可以创建一个允许筛选器，如图4.12所示，它允许所有内部和外部主机在端口25上进行TCP通信，这样就激活了SMTP通信。然后您可以限制访问，创建一个阻塞筛选器，阻塞一个外部IP地址范围——潜在的入侵者——往您的ISA Server计算机端口25上发送TCP数据包。 　　　

登录/注册后可看大图

　　IP数据包筛选器由以下参数来定义： 　　 　　l　　　　　服务器　筛选器允许或阻塞特定服务器上的通信。 　　 　　l　　　　　协议、端口和方向　筛选器允许或阻塞使用特定协议，通过特定的端口，在特定方向上的通信。 　　 　　l　　　　　本地主机　这是位于内部网络上的计算机名，依此决定通信是开放还是阻塞的。可以在ISA Server计算机上指定一个IP范围或者单一IP地址。 　　 　　l　　　　　远程主机　这是位于Internet上的计算机名，依此决定通信是允许还是阻塞的。 　　 　　 　　 注意　为了创建IP数据包筛选器，数据包筛选必须是启用的。在默认的ISA Server的安装中，数据包筛选是启用的。也可以在IP Packet Filters Properties对话框中手工启用它。 　　 　　 　　Ø　　　　　按如下步骤创建一个IP数据包筛选器： 　　 　　1.　　在ISA Management控制台树上，右击IP Packet Filters，指向New，然后单击Filter。 　　 　　2.　　在New IP Packet Filter向导中，输入协议定义的名称，然后单击Next。 　　 　　3.　　在Servers页中，指定是将IP数据包筛选器应用到整个ISA Server阵列中，还是将其用在阵列中单台服务器中。 　　 　　4.　　在Filter Mode页中，指定IP数据包筛选器是否允许数据包或块数据包通过。 　　 　　5.　　在Filter Type页中，选择一个预定义的筛选器，或选择Custom来创建一个新筛选器类型。 　　 　　6.　　如果选择了Custom，那么就在Filter Settings页中，指定IP数据包筛选器的IP协议、方向、以及本地和远程端口。 　　 　　7.　　在Local Computer页中，指定本地网络上IP数据包筛选器所应用的一台计算机。 　　 　　8.　　在Remote Computers页中，选择IP数据包筛选器所应用的远程计算机。 　　 　　 　　 注意　创建或配置完IP数据包筛选器之后，必须重新启动ISA Server服务，该变化才能生效。 　　 　　 　　Ø　　　　　按如下步骤为IP数据包筛选器配置协议： 　　 　　1.　　在View菜单中，选择Advanced。 　　 　　2.　　在ISA Management控制台树上，单击IP Packet Filters。 　　 　　3.　　在详细信息窗格中，右击要修改的IP数据包筛选器，然后单击Properties。 　　 　　4.　　单击Filter Type选项卡。 　　 　　5.　　选择以下步骤之一： 　　 　　u　　　　　单击Predefined，然后从列表中选定一个筛选器。 　　 　　u　　　　　单击Custom，然后在IP Protocol下拉列表框中，选择下列项之一：Any、ICMP、TCP、UDP或者Custom Protocol。 　　 　　6.　　如果选择了Custom和ICMP协议，完成以下步骤： 　　 　　u　　　　　在Direction下拉列表框中，选择Inbound、Outbound、或者Both。 　　 　　u　　　　　在Type下拉列表框中，选择All Types或者Fixed Type。如果选择了Fixed Type，在相应的文本框中输入类型号。 　　 　　u　　　　　在Code下拉列表框中，选择All Codes或者Fixed Code。如果选择了Fixed Code， 在相应的文本框中输入代码号。 　　 　　7.　　如果单击Custom单选按钮，然后选择Any IP Protocol，指定方向：Inbound、Outbound、或者Both。 　　 　　8.　　如果单击Custom单选按钮，然后选择UDP协议，完成以下步骤： 　　 　　u　　　　　在Direction中，选择Receive Only、Send Only、Both、Receive Send或者Send Receive。 　　 　　u　　　　　在Local Port中，选择All Ports、Fixed Port或者Dynamic。如果选择了Fixed Port，在Port Number中，输入端口号。 　　 　　u　　　　　在Remote Port中，选择All Ports或者Fixed Port。如果选择了Fixed Port，在Port Number中，输入端口号。 　　 　　9.　　如果选择了Custom和TCP协议，完成以下步骤： 　　 　　u　　　　　在Direction中，选择Inbound、Outbound、或者Both。 　　 　　u　　　　　在Local Port中，选择All Ports、Fixed Port、或者Dynamic。如果选择了Fixed Port，在Port Number中，输入端口号。 　　 　　u　　　　　在Remote Port中，选择All Ports或者Fixed Port。如果选择了Fixed Port，在Port Number中，输入端口号。 　　 　　Ø　　　　　按如下步骤将IP数据包筛选器应用到服务器中： 　　 　　1.　　如果在Taskpad视图中，那么在View菜单中，选择Advanced。 　　 　　2.　　在ISA Management控制台树上，单击IP Packet Filters。 　　 　　3.　　在详细信息窗格中，右击要修改的IP数据包筛选器，然后单击Properties。 　　 　　4.　　在Servers That Use This Filter区的General选项卡中，完成以下步骤之一： 　　 　　u　　　　　单击All Servers In The Array单选按钮。 　　 　　u　　　　　单击Only This Server单选按钮，然后单击应用该筛选器的服务器。 　　 　　Ø　　　　　按如下步骤为本地计算机配置IP数据包筛选器： 　　 　　1.　　在View菜单中，选择Advanced。 　　 　　2.　　在ISA Management控制台树上，单击IP Packet Filters。 　　 　　3.　　在详细信息窗格中，右击要修改的IP数据包筛选器，然后单击Properties。 　　 　　4.　　在Local Computer选项卡中： 　　 　　u　　　　　要指定把IP数据包筛选器应用到本地ISA Server 计算机的每一个外部接口的默认IP地址中，单击Default IP Address(es) On The External Interface(s)单选按钮。 　　 　　u　　　　　要指定把IP数据包筛选器应用到本地ISA Server 计算机的一个特定IP地址，单击This ISA Server's External IP Address单选按钮，并且输入ISA Server 计算机所要求的IP地址。 　　 　　u　　　　　要选择边界网络上一台特定的计算机，单击This Computer (On The Perimeter Network)单选按钮，并且输入一个不在此ISA Server 计算机上的IP地址。 　　 　　u　　　　　要指定边界网络上的一个IP地址范围，单击These Computers (On The Perimeter Network)单选按钮，并且在Subnet and Mask字段中输入适当的信息。 　　 　　Ø　　　　　按如下步骤为远程计算机配置IP数据包筛选器： 　　 　　1.　　在View菜单中，选择Advanced。 　　 　　2.　　在ISA Management控制台树上单击IP Packet Filters。 　　 　　3.　　在详细信息窗格中，右击要修改的IP数据包筛选器，然后单击Properties。 　　 　　4.　　　　 在Remote Computers选项卡中，通过单击下列选项之一，来指定要采用IP数据包筛选器的计算机： 　　 　　u　　　　　如果该筛选器应用于所有外部计算机，单击All Remote Computers单选按钮。 　　 　　u　　　　　如果该筛选器应用于 <