网络信息安全及解决方案-2

网络信息安全及解决方案第四章安装ISASERVER传统防火墙封包ISAServer2004报头的检查ISA2004网页发布uxanbo.cublog.cn安全的邮件存取站点对站点VPNuxanbo.cublog.cnVPN漫游用户端Web-ProxyChaininguxanbo.cublog.cnWeb-ProxyRoutingISAServer的设计目标„安全的Internet访问‹多层次控制的防火墙‹智能应用程序过滤器‹安全服务发布‹入侵检测‹集成的VPN功能„快速的web访问‹智能缓存‹定时缓存‹分布式分层缓存uxanbo.cublog.cn„统一灵活的管理‹基于策略的访问控制‹多级策略管理‹ActiveDirectory目录服务集成‹图形化任务板和设置向导‹远程管理‹日志、报告和警报„开放的、可扩展的平台‹广泛的第三方提供商支持‹可扩展的SDKISAServer2000版本ISAServer2004版本„Microsoft®InternetSecurityandAccelerationServer2000（以下简称为ISAServer2000）的升级版，微软已经在2004年7月13日发布了Microsoft®InternetSecurityandAcceleration（ISA）Server2004（以下简称为ISAServer2004）。„系统及网络需求„要使用ISAServer2004服务器，您需要：„lCPU：至少550MHz，最多支持四个CPU；„l内存：至少256MB（不过在实际情况中，64M的内存下都可以运行ISAServer2004，只是性能没有那么好）；„l硬盘空间：150MB，不含缓存使用的磁盘空间；„l操作系统：WindowsServer™2003或Windows®2000Server操作系统，强烈推荐在WindowsServer™2003上安装。如果在运行Windows®2000Server的计算机上安装ISAServer2004服务器，那么必须达到以下要求：„必须安装Windows2000ServicePack4或更高版本；uxanbo.cublog.cn„必须安装InternetExplorer6或更高版本；„如果您使用的是Windows2000SP4整合安装，还要求打KB821887补丁ISAServer2006版本„ISAServer2006是基于ISAServer2004的一个featurepack，它修正了ISAServer2004中的一些错误并增加了部分新功能，但是并没有进行架构上的升级。„1、针对应用发布的保护„2、针对安全访问的增强„3、针对分部网络的支持ISAServer的作用„Internet防火墙„安全服务器发布„Web缓存服务器„防火墙和Web缓存集成服务器ISAServer模式„防火墙模式„缓存模式„集成模式ISA2004王者归来1、新功能概述和ISAServer2000相比，ISAServer2004中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能（包括配置导入和导出）。ISAServer2004新特性一览应用层过滤功能描述基于每个策略的HTTP过滤允许防火墙执行更深层次的HTTP协议状态检查，并且可以基于每个策略来配置。阻止访问可执行文件禁止用户通过HTTP协议访问Windows下的可执行文件(比如Cmd.exe)通过文件扩展名来控制HTTP策略可以基于文件扩展名来定义准许或者禁止访问HTTP过滤应用到所有的客户连接通过HTTP策略，你可以控制所有的ISAServer2004客户连接HTTP签名可以建立“HTTP签名”来和客户请求的URL进行比较，从而精确地控制内部和外部用户控制允许的HTTP方式控制用户HTTP访问的方式。例如，你可以限制HTTPPOST来阻止用户向Web站点上传数据支持Outlook的RPC连接ISAServer2004允许Internet用户通过Outlook访问内部Exchange服务器。uxanbo.cublog.cnFTP策略FTP策略甚至可以让用户只能下载数据安全与防火墙功能描述协议支持支持对任何协议（包括IP等级协议）访问和使用的控制。支持需要多个主连接的复杂协议许多流媒体和音频/视频应用这种复杂协议在ISAServer2004中也提供了支持。你可以管理它们，也可以通过易于使用的协议向导轻松建立协议。可自定义的协议允许控制任何协议的源和目的端口，这让你可以从更高级别上管理允许进入和流出的数据包。方便的Hotmail支持通过简单的防火墙设置即可访问Hotmail而不需要其他在客户端或者防火墙上进行特殊设置防火墙规则向导ISAServer2004包含的新规则向导集，让你建立策略更轻松。OWA发布向导OutlookWebAccess发布向导可以很方便地建立Exchange服务器的SSL访问规则。FTP支持允许访问非标准端口的InternetFTP服务。多网络功能描述多网络配置可以配置一个或多个网络，并使每个网络都与其他网络有明确的关系。访问策略是相对于多个网络而定义的，而不必相对于给定的内部网络。唯一的基于网络的策略ISA服务器的多网络功能使您可以限制客户端（甚至您自己组织内部的客户端）之间的通讯，从而防止网络受到内部和外来的安全威胁。网络模板ISA服务器包含与常见网络拓扑对应的网络模板。可以使用网络模板来为网络之间的通讯配置防火墙策略。NAT和路由网络关系ISAServer2004中可以根据网络之间所允许的访问和通讯类型来定义网络关系。主要包括NAT和路由两种关系。监视和报告功能描述实时日志监控可以实时监控防火墙、WebProxy和SMTP邮件的日志。内建日志查询工具支持使用内建的日志查询工具来查询日志文件。对防火墙会话的实时监控和过滤可以即时监控所有活动的防火墙会话，也可以使用内建的会话过滤工具来对会话进行过滤连接验证器你可以通过连接验证器来验证到一个指定的计算机或者URL之间是否连通。你可以通过以下方式来决定连通性：Ping、连接到特定端口的TCP或者HTTPGET。你可以通过IP地址、计算机名字或者URL来指定验证的对象。uxanbo.cublog.cn自定义ISAServer2004报告ISAServer2004包含了一个增强的报告自定义特性，允许你在报告中记录更多信息。报告发布ISAServer2004报告生成工具可以自动保存一个副本在本地目录或者网络共享文件目录，方便其他用户访问。报告完成后的E-mail通知你可以配置报告生成工具在某个报告完成后给你发送一个电子邮件。可以自定义报告跨越的时限ISAServer2004可以让你自定义报告所跨越的时限，这给你更多的可扩展性。增强的SQL服务器记录你可以把日志记录在内部网络中另外一台运行SQLServer数据库的计算机上。记录到MSDE数据库日志可以存储为MSDE格式，记录在本地数据库增强了速度和扩展性。管理功能描述管理ISAServer2004包含了新的管理特性，新的用户界面包含任务面板、帮助面板、一个改进的开始向导和和全新的防火墙策略编辑器。导入和导出ISAServer2004引入了导入和导出配置信息的能力，从而大大简化了重复的配置工作。防火墙管理员权限委派向导防火墙管理员权限委派向导帮助你给用户或用户组分配管理角色。这些预定义的角色可以让你委派不同级别的管理任务到用户。VPN网络功能描述VPN状态过滤和检测VPN客户端被配置为单独的网络，你可以为VPN客户端创建单独的策略。规则引擎会有区别地检查来自VPN客户端的请求，对这些请求进行状态检查，并基于访问策略动态地打开连接。Site-to-Site的VPN隧道的通信状态检查和过滤ISAServer2004对Site-to-Site的VPN隧道连接引入了状态检查和过滤机制。VPN隔离控制在确认符合公司的安全要求前，可以将VPN客户端隔离到“被隔离的VPN客户端”网络中。发布VPN服务器使用ISAServer2004服务器发布策略来发布VPN服务器，让ISAServer2004中智能的PPTP应用过滤器执行负责的连接管理。支持Site-to-SiteVPN链路上的IPSec隧道模式ISAServer2004中可以使用IPSec隧道模式作为VPN协议，而且它可以和许多第三方VPN解决方案一同工作。2、全新的多网络架构支持uxanbo.cublog.cn3、增强的虚拟专用网络（VPN）4、更方便的管理（1）全新的管理界面uxanbo.cublog.cn（2）策略模板支持（3）配置的导出和导入uxanbo.cublog.cn因为在静态IP的环境中配置ISAServer2004过于简单，我们以国内使用更为广泛的ADSL拨号来进行演示。在这个演示过程中，我们的实验网络拓朴结构如下图所示，内部客户通过ISAServer2004防火墙上安装的ADSL拨号连接到Internet。在ISAServer2004服务器上已经建立好了一个内部的DNS服务器，所有客户端以ISAServer机的内部接口（10.0.1.1）作为它的网关和DNS服务器。，所以，我们会对安装ISAServer2004进行着重的介绍。我们安装的版本是ISAServer2004中文标准版。运行ISAServer2004安装光盘根目录下的ISAAutorun.exe开始ISAServer2004的安装，如下图：uxanbo.cublog.cn点击“安装ISAServer2004”，出现安装界面：uxanbo.cublog.cn点击“下一步”，在授权画面上选择“我接受许可协议中的条款”，然后点击“下一步”；在客户信息页，输入个人信息和产品序列号，点击“下一步”继续。在安装类型页，如果你想改变ISAServer的默认安装选项，可以点击“自定义”，然后点击“下一步”：uxanbo.cublog.cn在“自定义”页你可以选择安装的组件，默认情况下，会安装防火墙服务器和ISA服务器管理，而防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序，需要先在ISAServer2004服务器上安装IIS6.0SMTP服务；点击“下一步”继续。在内部网络页，点击“添加”按钮；uxanbo.cublog.cn内部网络和ISAServer2000中使用的LAT已经大大不同了。在ISAServer2004中，内部网络定义为ISAServer2004必须进行数据通信的信任的网络。防火墙的系统策略会自动允许ISAServer2004到内部网络的部分通信。在地址添加对话框中，点击“选择网卡”，出现“选择网卡”对话框：在“选择网卡”对话框中，移去“添加下列专用范围...”选项，保留“基于Windows路由表添加地址范围”选项，选择连接内部网络的适配器，点击“确定”。在弹出的提示对话框中uxanbo.cublog.cn点击“确定”；在内部网络地址对话框中点击“确定”；然后在内部网络页点击“下一步”：在防火墙客户端连接设置页上，如果你的客户机上使用了ISAServer2000的防火墙客户端，则可以勾选“允许运行早期版本的防火墙客户端软件的计算机连接”，点击“下一步”；uxanbo.cublog.cn在服务页，点击“下一步”；在“可以安装程序了”页点击安装；uxanbo.cublog.cn在安装向导完成页，选择“在向导关闭时运行ISA服务器管理”，然后点击“完成”。此时，会出现MicrosoftInternetSecurityandAccelerationServer2004控制台。完成！！！！uxanbo.cublog.cn