使用ISAServer2004配置背靠背的防火牆環境

　　由於ISA2004提供的前端防火牆模板的對象是外圍網使用的都是公網IP的設計，所以針對國內的實際情況(很多網友的網絡只有一個Internet的IP地址)，模板需要做很大調整。外圍網使用公網IP的情況按照模板不需要調整，很容易實現，這裡就不做介紹了。

　　只有一個公網IP的也有兩種情況，後端防火牆內的網絡需要不需要被外圍網訪問。先介紹後端防火牆內的電腦或者服務器，不需要被外圍網和在前端防火牆上建立的VPN客戶端已及構築成VPN站點的遠程站點訪問的情況，這種情況比較簡單。

　　在第一種和第二種情況下網絡構成不變。

　　一、外圍網不需訪問後端防火牆內的電腦或者服務器

　　1.要求

　　服務器網段(FTP服務器，WEB服務器，郵件服務器)不能上網，只能被外部和外圍網有限訪問一些服務，外圍網和後端防火牆網段能夠上網，後端防火牆網段可以訪問外圍網和服務器網段。

　　2.網絡構成

　　前端防火牆共3張網卡，

　　網卡1

　　連接對外服務的服務器

　　IP ：192.168.1.1/24無網關，無DNS

　　網卡2

　　連接外圍網

　　IP：192.168.100.1/24無網關，無DNS

　　網卡3

　　使用PPPoE撥號得到外部IP，網關，DNS服務器地址

　　外圍網客戶端的網絡設置

　　IP：192.168.100.*/24網關192.168.100.1， DNS 192.168.100.1

　　在ISA服務器上建立DNS服務器，轉發到ISP提供的DNS服務器

　　後端防火牆2網卡，

　　網卡1

　　連接外圍網

　　IP：192.168.100.2/24 ，網關192.168.100.1， DNS 192.168.100.1

　　網卡2

　　連接內部上網電腦

　　IP：192.168.50.1/24無網關，無DNS

　　3.1設置前端防火牆

　　如圖使用前端防火牆模板，點擊模板，

　　如果需要保持以前的網絡設定，可以在此處導出網絡設置文件，備份。

　　添加外圍網的地址范圍，

　　為了測試方便，我們在這裡選擇允許無限制的訪問，在實際運用種，應該按照各自需要設定。

　　前端防火牆模板完成。

　　3.2增加對外訪問的服務器網段

　　如圖點擊創建一個新的網絡，

　　選擇外圍網，

　　加入對外服務服務器的地址段

　　建立網絡之間關系，創建一個新的網絡規則，

　　定義對外服務服務器網段的名字，

　　增加網絡源

　　增加目標網絡

　　選擇關系是路由，

　　最後點擊完成。

　　我們配置到這裡，需要確認一下是否都配置正確。