若要適當地路由傳輸,必須正確設定 SecureNAT 用戶端的預設閘道。 組態設定依網路技術而不同: bitsCN.nET中国网管博客
- 簡單網路。 簡單的網路拓樸在 SecureNAT 用戶端與 ISA Server 電腦之間,沒有設定路由器。
- 複雜網路。 複雜網路拓樸在 SecureNAT 用戶端與 ISA Server 電腦之間,會設定一個或多個路由器來橋接多個子網路。 確定路由器不是設定為捨棄送往網際網路目的地之傳輸。
下表顯示如何根據網路拓樸來設定預設閘道,以確保傳送成功。 bitsCN_com
| 拓樸 | 已定義的組態 |
|---|---|
| 簡單 | 將 SecureNAT 用戶端上的預設閘道位址設定為 ISA Server 電腦上內部網路介面卡的指定 IP 位址。 |
| 複雜 | 將 SecureNAT 用戶端上的預設閘道位址設定為介於 SecureNAT 用戶端與 ISA Server 電腦之間鏈結中最後路由器的指定 IP 位址。 |
Route Add 指令
在複雜網路上,為內部網路上的任何網路區段定義 ISA Server 路由。 路由表能够使用 ROUTE ADD 指令,或使用動態路由通訊協定 (如 Routing Information Protocol (RIP)),手動填入。 www_bitscn_com
ROUTE ADD 指令的語法如下: bitsCN.nET中国网管博客
ROUTE ADD「目的地網路 ID」MASK「預設閘道 IP 位址」www_bitscn_com
bitsCN.nET中国网管博客
 |
| ISA Server 組態 |
|
ISA Server 2000 提供兩種基本功能: 提升速度,讓用戶端能夠存取網際網路內容,並提供安全防火牆,在提供內容送入及送出私人網路時,保護內部資源。 ISA Server 是應用程式層級防火牆,能够提供 Exchange 服務給外部用戶端使用。
中国.网管联盟
如需取得有關設定本文档所描述案例的逐步指示說明,請參閱功能套件中所包含的案例文档記錄。
bitsCN.nET中国网管博客
已定義的最好組態設定
Exchange 環境最安全的組態設定是,只提供用戶端所需存取權的設定,除此之外無他:
- 只有指定的內部伺服器能够在公司以外傳送資訊。 在公司以外所能看見的伺服器只有 ISA Server 電腦。
- 只有允許 RPC、OWA 和 SMTP 傳輸的三個連接埠能够在公司以外看見。
- 只允許輸出 SMTP 和 DNS 傳輸。
- 任何網頁傳輸都是安全的。
- 訊息過濾器是設定為篩選掉不想要的郵件。
限制潛在洩漏資料的點,也就是限制使用用戶端位址集和通訊協定規則,存取及進出網路。 「用戶端位址集」指定將與網際網路通訊的內部伺服器。 若要發佈 Exchange,只能建立一個包含任何橋頭伺服器 IP 位址的用戶端位址集。 此時的橋頭伺服器是做為傳送 SMTP 郵件出入網際網路的訊息傳輸點伺服器。 然後再建立「通訊協定規則」,只允許特定通訊協定定義 (例如 HTTP 或 SMTP) 進出網路。 只有必要的通訊協定定義才允許存取進入網路中。 其他任何傳輸都加以阻擋。 中国网管论坛
限制傳出傳輸
ISA Server 2000 只建立輸出連線的連接埠。 輸入傳回傳輸並未加以阻檔,因為 ISA Server 能够在異動期間,動態開啟連接埠。 確保只有輸出的 SMTP 和 DNS 傳輸,才允許從 Exchange 伺服器輸出,以限制來自內部網路的資訊類型。 Exchange 只需要下列通訊協定: 必須有 SMTP 輸出傳輸,才能傳送電子郵件訊息給公司外面的收件者;必須允許 DNS 傳輸,以便讓內部 DNS 伺服器執行 DNS 查詢來解析 FQDN。
bitsCN_com
限制可見連接埠
ISA Server 2000 需要只看見 TCP 連接埠 25、135 和 443,以便只提供必要的存取。 連接埠 25 允許輸入 SMTP 傳輸,以便接收來自公司外面的電子郵件。 能够更進一部使用內建訊息過濾器來保護 SMTP 傳輸,下文會有更詳細的論述。 必須要有連接埠 135,來自 MAPI 用戶端的 RPC 需要才能存取端鹀對應程式服務,讓用戶端在動態指定的高層次連接埠上,與 Exchange 服務連線。 bitsCN.Com
LAT 需求
本機位址表 (LAT) 定義 ISA Server 如何解譯屬於網路內部的電腦位址,连同屬於網路外部的電腦位址。 LAT 透過指定在 ISA Server 防火牆界限之內的 IP 位址範圍,提供安全基礎架構的基礎。 只要是在 LAT 以外,都會受限於 ISA Server 所訂定的限制。 ISA Server 組態的 LAT 將包含 Exchange 服務需要的任何伺服器,包括:Exchange、SMTP、Active Directory 與內部 DNS 伺服器。 中国网管联盟
ISA 伺服器發佈
伺服器發佈是 ISA Server 2000 讓用戶端能夠在網際網路上使用內部伺服器的一種方式。 ISA Server 會處理任何已發佈內部伺服器的網際網路用戶端需要,外表看起來似乎 ISA Server 是外部用戶端的 Exchange
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
