ISASERVER2006(安装部署)

1项目一、分析网络安全需求任务3、了解防火墙的基本概念防火墙（Firewall）通常是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合（包括硬件和软件）。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网Internet之间的任何活动，保证了内部网络的安全。图1.2防火墙逻辑位置示意图由于防火墙设定了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等。防火墙成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严格，安全性较强的一种方式，任何关键性的服务器，都应放在防火墙之后。21.3.1防火墙的功能防火墙能增强内部网络的安全性，加强网络间的访问控制，防止外部用户非法使用内部网络资源，保护内部网络不被破坏，防止内部网络的敏感数据被窃取。防火墙系统可决定外界可以访问哪些内部服务，以及内部人员可以访问哪些外部服务。一般来说，防火墙应该具备以下功能：1)支持安全策略。即使在没有其他安全策略的情况下，也应该支持“除非特别许可，否则拒绝所有的服务”的设计原则。2)易于扩充新的服务和更改所需的安全策略。3)具有代理服务功能（例如FTP、Telnet等），包含先进的鉴别技术。4)采用过滤技术，根据需求允许或拒绝某些服务。5)具有灵活的编程语言，界面友好，且具有很多过滤属性，包括源和目的IP地址、协议类型、源和目的TCP/UDP端口以及进入和输出的接口地址。6)具有缓冲存储的功能，提高访问速度。7)能够接纳对本地网的公共访问，对本地网的公共信息服务进行保护，并根据需要删减或扩充。8)具有对拨号访问内部网的集中处理和过滤能力。9)具有记录和审计功能，包括允许等级通信和记录可以活动的方法，便于检查和审计。10)防火墙设备上所使用的操作系统和开发工具都应该具备相当等级的安全性。11)防火墙应该是可检验和可管理的。1.3.3防火墙的工作方式所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。3图1.5防火墙的工作方式示意图总的来说，防火墙可以以硬件方式、软件方式以及软硬件混合的方式工作，下面进行简单介绍。1.3.3.1硬件方式图1.6硬件防火墙硬件防火墙是在内部网与Internet之间放置一台硬件设备，以隔离或过滤外部人员对内部网络的访问，如图1-5所示。采用上述安装，可以根据自己的网络设计及应用配置防火墙，阻止来自外部的破坏性攻击。1.3.3.2软件方式采用软件方式也可以保护内部网络不受外来用户的攻击。在Web主机上或单独4一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤作用，从而保护内部网免受破坏。这类软件中，最常用的是代理服务器软件。在代理方式下，私有网络的数据包从来不能直接进入互联网，而是需要经过代理的处理。同样，外部网的数据也不能直接进入私有网，而是要经过代理处理以后才能到达私有网，因此在代理上就可以进行访问控制，地址转换等功能。下图是是用代理服务器的工作示意图：图1.7软件方式1.3.4防火墙分类(一)分组过滤型防火墙分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。包过滤在网络层和传输层起作用。它根据分组包的源、宿地址，端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的5数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。(二)应用代理型防火墙图1.8应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。(三)复合型防火墙由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个6分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。任务4、体验ISAServer2006图1.10ISAManagement界面7项目二、安装和部署ISASERVER2006任务1、规划ISAServer安装2.1.1容量规划您应该规划ISAServer的硬件配置和Internet连通性，以满足预期的网络负载要求。以下部分是用于各种使用方案的推荐的系统配置。2.1.1.1最低要求ISAServer要求有一台运行MicrosoftWindows2000Server某个版本的计算机。除了内部网络中Windows2000用于通信的网络适配器以外，ISAServer还需要一个外部网络适配器、调制解调器或者综合服务数字网(ISDN)适配器来连接Internet。2.1.3ISAServer模式作为安装过程的一部分，需要选择采用哪一种ISAServer模式：防火墙模式、缓存模式，或者集成模式。如果采用防火墙或集成模式，可以通过配置控制企业网和Internet之间的通信规则来保证网络通信的安全。在防火墙和集成模式下，还可以发布内部服务器，由此将内部服务器上的数据共享给Internet用户。如果采用缓存或集成模式，可以通过存储经常访问的Internet对象，使它们在地理上离用户更近，来改善网络性能并且节省带宽。您还可以将Internet用户的请求发送到适当的内部Web服务器上。选择的模式不同，可用的功能就不同。表2.5列出了采用防火墙和缓存模式时可用的功能。在集成模式下所有的功能都可用。2.1.4Internet连接考虑事项提供Internet访问的第一步是找到合适的ISP。当发布内部服务器时，必须获得IP地址，用它来关联域名或服务器名。当外部客户访问您的Web站点或域时，ISP的DNS服务器会找到与要求访问的Web站点名称相关联的IP地址——通常是ISAServer计算机或边界网络(DMZ)上的IP地址。或者，可以用内部DNS服务器解析外部客户的请求。82.1.6ISAServer网络拓扑结构方案ISAServer可以安装在各种各样的网络拓扑结构中。本部分将说明一些典型的网络配置。尽管实际的网络配置可能与这里说明的有区别，但是一些基本的概念和配置逻辑会对规划网络拓扑结构有帮助。2.1.7小型办公室方案对于小型办公室的网络配置，ISAServer计算机可以置于公司局域网/广域网和Internet之间。一个小型办公室的网络在单个局域网段的客户数可能少于250人。它使用IP网络协议和拨号连接ISP。一台ISAServer计算机就能够为整个网络提供连接和安全，如图2.1所示。局域网ISAServer计算机图2.1小型办公室方案图2.1所描绘的是一个小型组织的情况，其阵列只包含一台ISAServer计算机。为了将来能进行扩展，服务器应安装成阵列成员。在稍大一点的组织中，可以配置一个ISAServer计算机阵列。假定大部分客户都位于单一的站点和域中，可以安装一个ISAServer阵列为整个组织服务。根据带宽和缓存要求，这个阵列可以包含一台或多台ISAServer计算机。2.1.8企业方案图2-2描绘的是一家大公司的情况，它的总部在美国，两个分支机构设在加拿大和英国。这3个地方都安装了一台或多台ISAServer计算机的阵列。在总部创建了企业策略，为所有客户端定义一个访问策略。总部的网络管理员负责执行公司策略，并保证所有的分支机构遵循该策略规定的准则。总部网络管理员允许分支机构的管理员创建更多的限制规则。9英国总部(美国)加拿大图2.2企业网配置任务2、安装ISASERVER2006为了在服务器计算机上完成ISAServer的安装，首先必须安装网络并且根据选择的网络拓扑结构配置连接。如果采用阵列或企业策略，还必须初始化企业，将阵列架构信息安装到ActiveDirectory存储器中。在ISAServer的实际安装过程中，需要构造本地地址表(LAT)，列出内部网络地址的范围。2.2.1安装ISAServer之前安装ISAServer之前，必须安装硬件并配置将要运行ISAServer的计算机的软件。2.2.1.1安装网络适配器一般来说，ISAServer只有一个IP默认网关。应当只在外部网络适配器上配置默认网关的IP地址，而不是在内部网络适配器上。内部网卡的DefaultGateway设置为空即可。2.2.1.2TCP/IP设置为任何网络适配器设置TCP/IP属性时，都应该为ISAServer计算机输入一个永久保留的IP地址，并为局域网输入一个适当的子网掩码。既然网络内部客户会把ISAServer计算机的地址指定作为默认网关，而且DHCP可以重新设置ISAServer计算机的地址，就不能对服务器内部网络适配器使用DHCP来分配地址。然而，外部NIC的地址可以是启用DHCP的，也可以是静态定义的，再加上默认网关和DNS设置。Windows2000根据适配器的单一MAC地址识别加载到系统上的各个适配器。可以运行ipconfig/all命令，以得到ISAServer计算机的两个网络适配器的媒介访问控制(MAC)地址，并确定各个网卡配置正确。配置完适配器和IP地址后，应该使用Ping程序以测试与其他计算机的连通性。如果可以成功地从ISAServer计算机ping到内部网络客户，内部网络适配器配置就是正确的。如10果可以从ISAServer计算机ping到您的上游Internet网关、ISP的DNS服务器或任何Internet地址，外部网络适配器的配置就是正确的。检验网络连通性后，可以通过nslookup实用程序查找与网络地址相关的IP地址来检验域名解析。2.2.2Windows2003路由表安装ISAServer之前，先配置ISAServer计算机的路由表，其中包括内部网络中的所有IP地址范围。可以用Windows2003路由程序来浏览并配置路由表。还可以使用Windows2003RoutingandRemoteAccess控制台。2.2.3安装ISAServer实验1：ISAServer2006的安装本次实验将会在一个具备两块卡的虚拟机上安装ISA2006防火墙的服务器端。让大家了解ISAServer2006的基本安装。实验拓扑图如下图2.3实验拓扑图由于本实验是在虚拟机中进行模拟的，所以先要为服务器端添加一块虚拟