ISA:Internet Security and Acceleration(Internet 的安全和加速服务器)
一.ISA版本:
1.ISA 2000 需要AD的支持
2.ISA 2004 不需要AD支持可以在WorkGroup环境中
3.ISA 2006 ISA2006 = ISA2004+SP3
二.如何在企业环境中部署ISA
1.Windows 2003 Enterprise R2 + ISA 2006
三.ISA的防火墙的功能:
1.ISA 的3DMZ模板环境:三个网络(一般是Internet 与 Intranet以及服务器所在的区域DMZ区域)
实验环境:需要使用三个计算机,其中一个计算机有三块网卡分别连接内部网络(Intranet)和外部网络(Internet),第三块网卡连接DMZ区域的服务器
1)第一个服务器网卡配置:
第一块网卡:网卡名“internet” IP地址 192.168.1.199/24
第二块网卡:网卡名“intranet” IP地址 20.0.0.2/24
第三块网卡:网卡名“DMZ” IP地址 10.0.0.1/24
2)第一个服务器系统配置:
计算机名:ISA-S,安装ISA 2006
3)第二个计算机配置:计算机名:Client 网卡IP 20.0.0.3/24 Gateway 20.0.0.2充当内部工作网络中的客户端计算机
4)第三个计算机配置:计算机名:DMZ-S 网卡IP 10.0.0.2/24 Gateway 10.0.0.1同时安装IIS并配置WEB服务功能
2.访问规则的实验步骤:
1)创建网络模板3DMZ(ISA服务器管理-->阵列-->服务器-->配置-->网络),选择右侧“模板”--“3 向外围网络”
2)依照实际环境选择向导完成网络的创建后应用
#*#注意:默认安装ISA,ISA服务器就是“本地主机”;企业内部的服务器所在的区域就是“外围网络”;企业内部办公区域是“内部网络”;而接入Internet的网络被称为“外部网络”,同时所有网络之间以及本地主机与所有网络的通信都被默认“Deny”,是处于安全考虑。
3)创建基本的策略满足企业需求
31)允许“本地主机”向外部网络的所有访问(阵列-->服务器-->防火墙策略-->新建策略)*不安全
删除31的策略,重新创建以下策略
32)允许“本地主机”向外部网络的WEB访问(阵列-->服务器-->防火墙策略-->新建策略)
33)允许“内部网络”向Intenet的WEB访问(将访问源设置为“内部网络”)
34)允许“内部网络”主机可以ping通“本地主机”以进行网络连通性测试
35)拒绝“20.0.0.3”计算机访问www.qoq.com,(ISA服务器管理-->右侧工具箱-->网络对象-->新建计算机;新建URL集,“[url=http://www.qoq.com/*”;再创建访问规则,源为计算机对象,应用上创建的URL集),经过测试后发现访问http://news.qoq.com是可以访问的,再编辑URL集%22http://*.qoq.com.cn/*%22可以拒绝对该域名以及域名下所有的虚拟目录进行访问,但是仍然无法拒绝直接通过IP地址的访问,需要建立计算机集,限制目标主机的IP地址访问]http://www.qoq.com/*”;再创建访问规则,源为计算机对象,应用上创建的URL集),经过测试后发现访问http://news.qoq.com是可以访问的,再编辑URL集"http://*.qoq.com.cn/*"可以拒绝对该域名以及域名下所有的虚拟目录进行访问,但是仍然无法拒绝直接通过IP地址的访问,需要建立计算机集,限制目标主机的IP地址访问[/url]
36)通过时间的限制拒绝用户对Internet的访问(新建“计划”时间应用到访问规则上)
37)通过内容类型限制用户进行某类型文件的下载和使用(拒绝在网页上显示视频和图片以及声音,只允许html的类型文件)
38)添加特殊应用程序的端口访问(可以限制QQ服务器的端口8000,但是通过代理服务器的QQ登陆无法进行限制,可以通过定义http头,如tencent等限制)
#*#注意:阵列规则是Top-->Down(从上到下)应用生效,为了安全起见拒绝的策略要放置在允许的策略上边
3.服务器发布的实验步骤:(也称为端口映射,其实也是一种DNAT)
1)发布DMZ区域中的WEB服务器到ISA的本地主机上
11)建立关于所发布的服务器端口的WEB侦听器(工具箱-->网络对象-->WEB侦听器)
12)关闭当前“本地主机”的IIS自身的WEB功能,否则只能更改端口侦听
13)在发布时,要注意可能会通过域名访问但是不能通过IP访问,需要对访问的公用名称进行添加IP访问
2)发布DMZ区域中的WEB服务器到ISA本地主机将http://10.0.0.2:8080发布为http://192.168.1.199/china/dl
3)发布Exchange Server
4)发布FTP服务器
11)建立关于FTP21端口的侦听器
12)关闭当前“本地主机”的IIS自身FTP功能
13)发布服务器规则
14)设置只读FTP服务器(不论DMZ区域中的FTP是否允许上传,ISA已经将FTP设置为了只读)
5)发布一个Telnet服务器
4.企业策略和访问策略:
1)企业策略:影响整个企业中所有阵列服务器的策略
11)在防火墙策略之前应用的企业策略
12)在防火墙策略之后应用的企业策略
#*#仍然是由上到下的应用顺序,先生效11)再生效防火墙策略规则,最后在生效12)
2)创建新的企业策略和访问规则
21)创建“新企业策略”(企业-->企业策略-->新建企业策略),其中只包含默认拒绝的访问规则,所有的访问规则还需要重新创建
22)将当前企业的策略更改为“新企业策略”(阵列-->服务器-->属性-->策略设置-->应用新企业策略)
23)依照网络的需求创建适合网络使用的访问规则就可以
3)创建在防火墙策略之前应用的企业策略规则优先生效
31)创建新企业策略的访问规则(新企业策略-->新建访问规则)
32)调整策略的上下位置,使之成为“防火墙访问规则之前生效的企业策略”或“防火墙访问规则之后生效的企业策略”
4)策略的导入导出:进行备份
推荐的学习网站:风间子老师的http://www.isacn.org
|