布内部网络中的文件共享服务
在直接路由的网络环境中,访问文件共享是很容易的事情,但是在NAT环境中,例如常见的内部网络通过NAT访问外部网络的环境,外部客户不能直接访问位于内部网络中的文件共享。现在,利用ISA防火墙强大的功能,你可以发布内部网络中的文件共享服务,从而允许外部网络客户的访问。
首先回想一下文件共享所使用的协议:在Windows 2000及其后的操作系统中,使用的是CIFS协议,而在Windows 2000以前的操作系统中,使用的是Netbios协议,因此,我们需要同时发布这两种协议。
Netbios协议使用以下端口:
· Netbios名字服务,UDP 137 发送接收;
· Netbios数据报,UDP 138 发送;
· Netbios会话,TCP 139 出站;
而CIFS协议则使用以下端口:
· TCP 445出站;
· UDP 445发送接收;
但是Netbios名字服务和Netbios数据报这两个协议是使用本地子网广播进行通讯的,当我们在ISA防火墙上发布内部网络中的文件共享服务时,无法侦听外部网络的广播地址,所以无法使用这两个协议,带来的后果就是如果没有配置为使用WINS服务器或者修改HOSTS文件,则外部客户不能通过Netbios名字来访问发布的共享服务。
本文中的测试环境如下图所示,Istanbul上安装了ISA防火墙作为内部网络(10.2.1.0/24)和Internet(外部网络为192.168.1.0/24,通过路由器连接到Internet)之间的边缘防火墙,我将发布内部网络中文件服务器Munich上的文件共享服务,然后在外部客户Mine上访问此共享进行测试。
各计算机的TCP/IP设置如下,试验之前已经确保网络连接工作正常:
Istanbul(ISA Server 2004 SE,Windows Server 2003 SP1)
Internet接口:
· IP:192.168.1.201/24
· DG:192.168.1.1
· DNS:None
LAN接口:
· IP:10.2.1.1/24
· DG:None
· DNS:None
Munich(文件服务器,Windows Server 2003 SP1)
LAN接口:
· IP:10.2.1.9/24
· DG:10.2.1.1
· DNS:None
Mine(外部客户,Windows XP SP2)
Internet接口:
· IP:192.168.1.6/24
· DG:192.168.1.1
· DNS:192.168.1.1
这篇文章中的试验步骤如下图所示:
创建服务器发布规则,发布内部网络中的文件共享服务
在创建发布规则之前,你必须确保被发布的服务器上文件共享服务工作正常,这个可以通过在ISA防火墙上访问此共享来测试。本应预先创建发布所使用的服务器协议,在此我将利用ISA防火墙的一站式规则创建向导来创建发布所需要的服务器协议。
在Istanbul上运行ISA防火墙管理控制台,右击防火墙策略,点击新建,选择服务器发布规则;
在欢迎使用新建服务器发布向导页,输入新发布规则的名字,在此我命名为Publish file share,点击下一步;
在选择服务器页,输入内部文件服务器Munich的IP地址10.2.1.9,点击下一步;
在选择协议页,点击新建;
在弹出的欢迎使用新建协议向导页,输入新协议的名字,在此我命名为CIFS Server,点击下一步;
在首要连接信息页,点击新建按钮添加以下连接端口:
· TCP 入站 139;
· TCP 入站 445;
· UDP 接收发送 445;
完成后如下图所示,点击下一步;
在辅助连接页,点击下一步;
在正在完成新建协议向导页,点击完成;
在选择协议页,默认选择为新建的协议CIFS Server,点击下一步;
在IP地址页,勾选外部,如果你外部网卡具有多个IP地址,并且只想把服务发布绑定在外部的某个IP上,可以点击地址进行设置。点击下一步继续;
在正在完成新建服务器发布规则向导页,点击完成;此时ISA Server管理控制台里面已经出现了新建的策略,如下图所示,
点击应用保存修改和更新防火墙策略。
在外部客户上访问发布的文件共享服务进行测试
在外部客户Mine上,打开任意一个文件夹窗口,然后在地址栏输入\\192.168.1.201来访问ISA防火墙对外发布的文件共享,如下图所示,弹出身份验证对话框,输入具有访问权限的用户和密码后,点击确定;
注意;为什么不能使用计算机名来访问呢?还记得文章前部所写的吗?Netbios名字服务和Netbios数据报这两个协议是使用本地子网广播进行通讯的,而发布时无法侦听本地子网广播地址。Netbios名字依赖于Netbios名字服务,因此我们不能直接使用Netbios名字,不过,你可以通过WINS服务器或者修改HOST文件来实现。
访问成功,如下图所示,
访问共享文件成功,如下图所示,复制文件测试一下,同样正常。
至此,本次试验成功结束。
作者:
责任编辑:风间子
