locked
ISA publish 是否只能用 NAT 模式? RRS feed

  • 問題

  • 最近要測試 ISA 2006 的功能,

    採用 WAN/DMZ/LAN 架構, 由於對外還有硬體防火牆, 所以三區都是用 private IP ,
    而 Server 放在 DMZ 區, 想要在 ISA publish , 若用路由模式就無法 publish ,

    所以想請問: 要 publish 網站時, 是否只能選 NAT 模式?
    不管黑貓白貓, 會抓老鼠的就是好貓. 不管 Win/Linux/Mac , 能對工作有助益的就是好系統.
    2009年11月26日 上午 10:35

解答

  • 參考資料:
    http://blogs.technet.com/isablog/archive/2008/06/24/server-publishing-with-isa-server-2004-2006-and-route-relationship-between-networks.aspx

    摘要:

    The Answer: ISA will only create sockets and bind them to ISA Servers owned IP-Addresses for Non-Web Server Protocol publishing rules when there is a NAT relationship between those networks.

      If ISA recognizes that there is a route relationship between the networks ISA will not create a socket for the Server IP Address you want to publish. Therefore the access will work when you try to directly connect to the Server IP Address 39.1.1.5:21.

    (大意: ISA 只有在 NAT 模式才會建立連線用的 socket , 路由模式要直接連線到主機的 IP )

    解法:

    1. Navigate to Configuration, right-click Networks and select New -> Network Rule.

    2. Choose a Name, e.g. "Internal to Perimeter FTP Server"

    3. Add the FTP Server to the Sources. Click Add, New/Computer and create a Computer Object for your FTP Server. Then select this Object to add it to the Sources.

    4. Add your Internal network to the destinations.

    5. Configure a Network Address Translation (NAT) relationship.

    6. Finish the Wizard and verify that the new rule order is lower (numerically) than the rule defining the route relationship between Perimeter and Internal. Apply the changes.


    (摘要: 為這台主機建立一組新的網路, 把這段網路設定為 NAT 模式)

    結論: 還是要用 NAT 模式, 只是切割成多個"邏輯上"的網路.

    不管黑貓白貓, 會抓老鼠的就是好貓. 不管 Win/Linux/Mac , 能對工作有助益的就是好系統.
    • 已標示為解答 slime818 2009年12月1日 上午 06:39
    2009年12月1日 上午 06:39

所有回覆

  • ISA Server publish web 時,不需要一定是雙網卡模式,只要單網卡即可,該網卡只要可以route到內部web網站,就可以透過ISA publish,而ISA該網卡同樣可以藉由硬體防火牆NAT實體IP過來給ISA。

    以您的需求,建議您採用單一網卡來做,是最單純的,您根本不用管NAT還是Route模式。
    2009年11月30日 上午 06:36
  • ISA Server publish web 時,不需要一定是雙網卡模式,只要單網卡即可,該網卡只要可以route到內部web網站,就可以透過ISA publish,而ISA該網卡同樣可以藉由硬體防火牆NAT實體IP過來給ISA。

    以您的需求,建議您採用單一網卡來做,是最單純的,您根本不用管NAT還是Route模式。

    是已經有規劃為"外圍三向防火牆"架構, 所以會將 DMZ 區主機, 發佈在外網及內網.

    若採用單網卡, 則無法符合"外圍三向防火牆"架構.
    不管黑貓白貓, 會抓老鼠的就是好貓. 不管 Win/Linux/Mac , 能對工作有助益的就是好系統.
    2009年11月30日 上午 07:38
  • 參考資料:
    http://blogs.technet.com/isablog/archive/2008/06/24/server-publishing-with-isa-server-2004-2006-and-route-relationship-between-networks.aspx

    摘要:

    The Answer: ISA will only create sockets and bind them to ISA Servers owned IP-Addresses for Non-Web Server Protocol publishing rules when there is a NAT relationship between those networks.

      If ISA recognizes that there is a route relationship between the networks ISA will not create a socket for the Server IP Address you want to publish. Therefore the access will work when you try to directly connect to the Server IP Address 39.1.1.5:21.

    (大意: ISA 只有在 NAT 模式才會建立連線用的 socket , 路由模式要直接連線到主機的 IP )

    解法:

    1. Navigate to Configuration, right-click Networks and select New -> Network Rule.

    2. Choose a Name, e.g. "Internal to Perimeter FTP Server"

    3. Add the FTP Server to the Sources. Click Add, New/Computer and create a Computer Object for your FTP Server. Then select this Object to add it to the Sources.

    4. Add your Internal network to the destinations.

    5. Configure a Network Address Translation (NAT) relationship.

    6. Finish the Wizard and verify that the new rule order is lower (numerically) than the rule defining the route relationship between Perimeter and Internal. Apply the changes.


    (摘要: 為這台主機建立一組新的網路, 把這段網路設定為 NAT 模式)

    結論: 還是要用 NAT 模式, 只是切割成多個"邏輯上"的網路.

    不管黑貓白貓, 會抓老鼠的就是好貓. 不管 Win/Linux/Mac , 能對工作有助益的就是好系統.
    • 已標示為解答 slime818 2009年12月1日 上午 06:39
    2009年12月1日 上午 06:39