大型局域网中用ISA隔离部分计算机

Posted on 2005-11-04 09:52  瞳孔  阅读(1023)  评论(0编辑  收藏  举报
        网络结构Inetrnet—>路由(192.168.0.0)—〉路由(192.168.201.0)—〉ISA(双网卡192.168.201.251、172.16.0.1)—〉需要隔离的计算机(172.16.0.0)。
        ISA安装好后选择了边缘防火墙模版,本地主机上安装了,DHCP、DNS服务。只允许给隔离的网络访问web,不能进行其它访问。
        添加DHCP分配地址的策略:1、DHCP请求策略从任何地点-〉本地主机。2、DHCP答复策略从本地主机-〉任何地点。这样客户端就能从172.16.0.1上获得IP地址。当时看到了一篇文章把请求是内部-〉本地主机,答复是本地主机-〉内部,我这样做以后根本不能获得DHCP地址,不知道是不是内部的地址(172.168.1.0-172.16.1.255、172.16.255.255)设置错误还是什么原因。不过从个人理解来看内部电脑开始是随机获得一个IP地址,如果这个地址不是在172.16.0.0这个范围的话ISA服务器就拒绝他从本地主机上获得地址。
        添加DNS策略,由于ISA上安装了DNS服务,可以让被隔离的计算机访问本地DNS如果没有在通过dns向上查询,这样可以减小不必要的网络流量。1、修改默认规则中的允许DNS到Internet为内部-〉本地主机。2、建立新的DNS服务器规则 从本地主机到上级可用的DNS(DNS服务器中设置的转发地址)。
        现在被隔离的计算机可以访问局域网中的web和Internet了,本地主机是不能访问web的,在仅Web访问中添加一个本地主机-〉外部,OK。

Copyright © 2022 瞳孔
Powered by .NET 6 on Kubernetes