第3章内容回顾•三种防火墙的基本原理•包过滤•代理•状态检测•防火墙的体系结构•双宿主堡垒主机•被屏蔽主机•被屏蔽子网•ISAServer2004相关组件的作用•ISAServer2004在域环境下的规划与安装方法Page1/31确保Internet连接安全性第4章本章目标•了解ISAServer策略元素•理解ISAServer访问策略的作用•掌握ISAServer访问策略的设置•掌握ISAServer的3种客户端配置Page3/31本章结构Page4/31确保Internet连接安全性访问规则邮件发布规则本地主机网络外部网络防火墙策略元素网络结构企业和阵列多网络环境防火墙策略规则内部网络Web发布规则企业和阵列Page5/31企业与阵列企业:一个逻辑的组织概念,类似Windows2003中的域和OU,是一个企业管理模型在防火墙软件中的体现阵列:一组ISAServer计算机的组合,全体成员共享相同的配置,从而简化了管理。修改阵列配置时,阵列中的所有ISA服务器计算机也同时修改,包括所有访问策略和缓存策略网络结构2-1功能说明本地主机网络代表ISAServer,定义了一组IP地址,包括绑定到本地ISAServer计算机上网络适配器的所有IP地址和127.0.0.1。例如,ISAServer有两个网卡,IP地址分别是192.168.2.65与61.139.0.5。那么它的本地主机网络包括了以上的2个IP,同时还包括了127.0.0.1。内部网络内部网络对应于公司的内部要受到保护的网络,通常认为内部网络包含受信任的IP地址范围。可以指定多个其他内部网络。在安装时至少要配置一个默认内部网络。公司所有部门的员工计算机都在内部网络中受到ISAServer的保护。外部网络外部网络一般是指具有公用IP地址的Internet网络。在安装ISAServer时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(127.0.0.1)以及ISAServer计算机上其他所有网络适配器的IP地址。Page6/31网络结构2-2Page7/31Internet防火墙文件服务器打印服务器本地主机网络外部网络内部网络网络模板2-1•作用•为了方便管理员设置防火墙策略•提供了5个预定义的网络模板,•包含了常用与复杂的网络拓扑•使用方法•【阵列】-【网络】,点击右侧的【模板】Page8/31网络模板网络模板2-2•边缘防火墙•3向外围网络•前端防火墙•后端防火墙Page9/31策略元素Page10/31ISAServer通过策略来控制网络访问每条策略规则就要由一些特定的参数来达到规定的要求策略元素就是策略规则的参数ISAServer允许创建多种策略元素在定义的任何规则中使用策略元素协议、用户集、内容类型、计划、网络对象协议Page11/31协议类型TCP、UDP、ICMP和IP方向UDP:包括“发送”、“接收”、“发送接收”或“接收发送”TCP:包括“入站”和“出站”ICMP和IP:包括“发送”和“发送接收”出站端口范围1-65535协议号0-254用户集Page12/31定义可以将用户归入相应的集合中用户集可以包括来自任何身份验证方案的一个或多个用户例如,用户集可以包括所有Windows用户默认用户集所有经过认证的用户所有用户系统和网络服务内容类型Page13/31当数据包经过防火墙时,可以根据定义的规则来检查数据包内容,达到限制或过滤的目的视频音频图像压缩文件计划Page14/31定义可以根据企业的需求将一天24小时分成许多时段例如:“工作时段”、“午休时段”、“全天时段”默认时段周末•星期六与星期日全天工作时间•周一至周五上午9:00-17:00网络对象Page15/31定义应用防火墙规则的源和目的网络种类网络:一定范围的IP地址网络集:一个或多个网络计算机:一个IP地址地址范围、子网、计算机集:一定范围的IP地址网络对象阶段总结ISAServer主要网络结构提供了相关网络防火墙模板防火墙策略防火墙策略元素协议用户集内容类型计划网络对象Page16/31阶段练习防火墙策略包括哪些元素?Page17/31防火墙策略规则Page18/31受保护网络外部网络ISAServer2004WebServerMailServerClientServerWebClient站点与内容规则策略元素策略元素允许或拒绝允许或拒绝防火墙策略协议规则策略元素策略元素允许或拒绝允许或拒绝常用访问规则•访问规则•源网络上的客户端如何访问目标网络上的资源•Web发布规则•让外部用户访问企业的Web服务器。同时又不危及内部网络的安全性•邮件发布规则•让外部用户访问企业邮件服务器。同时又不危及内部网络的安全性Page19/31访问规则工作原理Page20/31动作on协议from使用者from来源to目的地with条件允许拒绝源网络源IP目的网络目的IP目的站点协议IP端口/类型发布服务器发布Web站点计划过滤属性任何用户认证用户指定用户创建访问规则2-1•应用实例•公司财务部有一台计算机是专门用来作财务报表的,要求这台计算机任何时间都不可以连接到外部网络•这台计算机的IP地址是192.168.2.182/24Page21/31创建访问规则2-2•新建新主机192.168.2.182/24•新建访问规则•设定规则动作与通讯协议•设定规则应用的源和目的•设定规则的应用对象•完成设置及应用演示演示Page22/31创建访问规则部署客户端Page23/31InternetISAServerSecureNATClient.FirewallClientWebProxyClient.客户端类型功能SNAT防火墙客户端Web代理客户端安装设置要求更改某些网络设定必须安装要求配置Web浏览器操作系统支持任何支持TCP/IP的操作系统仅Windows系统任何支持TCP/IP的操作系统协议支持有用于多种连接协议的应用程序筛选器所有Winsock应用程序HTTP、HTTPS、FTP、Gopher用户身份验证要求更改某些网络配置需要需要服务器应用程序不要求配置或安装要求配置文件N/APage24/31SecureNATClient•SecureNATClient不需要安装指定的软件•配置SecureNATClient不需要使用路由器•设置ISAServer内部网卡为网关•配置SecureNATClient需要使用路由器•设置离ISAServer最近的路由器为网关Page25/31FireWallClient•FireWallClient需要安装指定的防火墙软件•使用“clients”共享文件夹•指定ISAServerPage26/31WebProxyClient•WebProxyClient不需要安装指定的防火墙软件•客户端计算机上的代理设置必须将ISAServer作为代理服务器使用,同时制定相关的端口号Page27/31设置代理服务器本章结构Page28/31确保Internet连接安全性访问规则邮件发布规则本地主机网络外部网络防火墙策略元素网络结构企业和阵列多网络环境防火墙策略规则内部网络Web发布规则通过ISAServer提供的网络结构模板方便地部署防火墙防火墙策略元素包括协议、用户集、内容类型、计划与网络对象实验拓扑•背景•ISA服务器作为边缘防火墙连接企业内部和外部网络;内部网络中的客户端1的IP地址址为10.2.1.10/24,客户端2的IP地址为10.2.1.20/24,外部客户端的IP为61.139.0.9/24。ISAServer内网地址为10.2.1.254/24,外网地址为61.139.0.5/24。Page29/31ISAServer客户端110.2.1.10/2410.2.1.254/2461.139.0.5/24外部客户端61.139.0.9/24客户端210.2.1.20/24任务1•使用身份验证来禁止内部用户访问外网•完成标准•从内网任何一台机器上用wang帐户都不能访问外网的网站•用liu帐户可以访问Page30/31任务2•使用IP地址来禁止内部用户访问外网•完成标准•从内网客户端1上不能访问外网的网站•从客户端2上可以访问外网网站Page31/31