第19章 ISA 网络安全服务.docx
《第19章 ISA 网络安全服务.docx》由会员分享,可在线阅读,更多相关《第19章 ISA 网络安全服务.docx(46页珍藏版)》请在冰点文库上搜索。
第19章ISA网络安全服务
第19章ISA2004网络安全服务
MicrosoftInternetSecurityandAcceleration(ISA)Server2004是微软经过4年后在MicrosoftInternetSecurityandAcceleration(ISA)Server2000基础上推出的一款企业级防火墙软件。
MicrosoftInternetSecurityandAcceleration(ISA)Server2004是可扩展的企业防火墙和Web缓存服务器,它构建在MicrosoftWindowsServer2003和Windows2000Server操作系统安全、管理和目录上,以实现基于策略的访问控制、加速和网际管理。
Internet为组织提供与客户、合作伙伴和员工连接的机会。
这种机会的存在,同时也带来了与安全、性能和可管理性等有关的风险和问题。
ISA服务器旨在满足当前通过Internet开展业务的公司的需要。
ISA服务器提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及XX的访问。
ISAServer2004Web缓存使得组织可以通过从本地提供对象(而不是通过拥挤的Internet)来节省网络带宽并提高Web访问速度。
19.1安装ISAServer2004企业版
19.1.1安装要求
硬件要求
要使用ISA服务器,您需要:
●具有550MHz或更高频率的PentiumII兼容CPU的个人计算机。
●256MB内存。
●150MB可用硬盘空间。
这不包括用于缓存的硬盘空间。
●一个与计算机的操作系统兼容的网络适配器,以便与内部网络通讯。
●为连接到ISA服务器计算机的每个网络单独准备一个网络适配器。
●一个采用NTFS文件系统格式的本地硬盘分区。
警告:
不要在处理器超过四个的多处理器计算机上安装ISA服务器。
软件要求
MicrosoftWindowsServer2003或Windows2000Server操作系统。
注意:
如果在运行Windows2000Server的计算机上安装ISA服务器,那么请注意下列额外要求:
必须安装Windows2000ServicePack4或更高版本。
必须安装InternetExplorer6或更高版本。
如果您使用的是Windows2000SP4整合安装,还必须安装Microsoft知识库文章821887“EventsforAuthorizationRolesAreNotLoggedintheSecurityLogWhenYouConfigureAuditingforWindows2000AuthorizationManagerRuntime”中所指定的修补程序。
网络要求
ISA服务器同时需要域名系统(DNS)服务器和动态主机配置协议(DHCP)服务器。
我们建议您在内部网络中的WindowsServer2003或Windows2000Server计算机上同时安装DHCP和DNS服务器。
如有必要,可以在ISA服务器计算机上安装DNS和DHCP服务器。
19.1.2案例:
安装ISAServer2004企业版
要安装ISA服务器软件,请执行下列步骤:
1.将ISAServer2004安装CD插入到CD驱动器中,将自动弹出如图19-1所示的界面。
也可以从共享的网络驱动器运行ISAautorun.exe。
图19-1安装界面
2.在MicrosoftISAServer安装程序中,单击“安装ISA服务器”。
3.在安装程序显示提示消息,指出已确定了系统配置后,在“欢迎”页上,单击“下一步”。
如图19-2。
图19-2安装向导
3.如果您接受最终用户许可协议中所陈述的条款和条件,请单击“我接受许可协议中的条款”,然后单击“下一步”。
如图19-3。
图19-3许可协议
4.输入详细的客户信息,然后单击“下一步”。
如图19-4。
图19-4客户信息
5.单击“典型安装”、“完全安装”或“自定义安装”。
如图19-5。
图19-5安装类型
有四个组件可以安装:
ISA服务器服务。
组成ISA服务器的服务。
ISA服务器管理。
ISA服务器管理用户界面。
防火墙客户端安装共享。
客户端计算机可以从该位置安装防火墙客户端软件。
该组件通常安装在ISA服务器计算机以外的计算机上,因此不是“典型安装”选项的一部分。
“防火墙客户端共享”可以安装在运行WindowsServer2003、Windows2000Server或WindowsXP的计算机上。
消息筛选程序。
一个可以用来根据关键字和附件筛选电子邮件的组件。
该组件必须安装在简单邮件传输协议(SMTP)服务器上,通常该服务器不是ISA服务器计算机。
“典型安装”安装ISA服务器服务和ISA服务器管理。
“完全安装”安装全部四个组件。
“自定义安装”允许您选择要安装的组件。
6.选择“典型”,单击“下一步”。
弹出配置内部网络。
如图19-6。
完成下列步骤:
图19-6配置内部网络
(1)单击“添加”。
将弹出如图19-7所示的页面。
图19-7选择网络适配器
(2)选择“基于Windows路由表添加地址范围”。
(3)选择连接到内部网络的一个或多个适配器。
例如:
在“本地连接”上单击选择。
这些地址将包括在默认情况下为ISA服务器定义的内部网络中。
可以清除“添加下列专用IP范围”,除非您要将这些范围添加到内部网络中。
然后单击“确定”按钮。
如图19-8。
图19-8选择网卡
7.将弹出如图19-9所示的“安装消息”,单击“确定”,再次单击“确定”完成内部网络的配置,然后单击“下一步”。
图19-9安装消息
图19-10IP地址
8.在“防火墙客户端连接设置”页上,选择是否在防火墙客户端与ISA服务器计算机之间允许非加密的连接。
ISAServer2004防火墙客户端软件使用加密,但旧版本不使用加密。
此外,有些版本的Windows不支持加密。
单击“下一步”。
如图19-11。
图19-11防火墙客户端连接设置
9.在弹出的“服务”页上,检查在ISA服务器的安装过程中将被停止或禁用的服务列表。
要继续安装,请单击“下一步”。
如图19-12。
图19-12服务
10.然后单击“安装”。
如图19-13。
图19-13安装
11.安装程序开始安装,如图19-14。
图19-14安装
12.经过一段时间后,安装完成,弹出“安装向导完成”页面,如图19-15。
单击“完成”按钮。
图19-15“安装向导完成”
13.将自动弹出如图19-16所示的IE界面。
图19-16IE界面
14.单击“开始”→“程序”→“MicrosoftISAServer”→“ISA服务器管理”,打开MicrosoftISA服务器管理界面,如图19-17。
图19-17MicrosoftISA服务器管理界面
安装后,ISA服务器将使用下表中列出的默认设置。
功能
默认设置
用户权限
本地计算机上的Administrators组的成员能够配置防火墙策略。
网络设置
创建下列网络规则:
本地主机访问——在本地主机网络与“所有网络”之间定义路由网络关系。
这定义了与其他网络的网络关系(运行在ISA服务器计算机上的服务需要此关系)。
Internet访问——定义从内部网络、被隔离的VPN客户端网络和VPN客户端网络到外部网络的NAT网络关系。
只有在配置了相应的访问策略的情况下,才允许访问。
VPN客户端到内部网络——定义VPN客户端网络与内部网络之间的路由网络关系。
只有在启用了VPN客户端访问时才允许访问。
访问规则
创建下列默认规则:
默认规则——此规则拒绝所有网络之间的通讯。
系统策略规则——允许ISA服务器计算机与其他网络资源交互的一系列规则。
发布
外部客户端不能访问内部服务器。
Web链
默认规则——此规则规定所有Web代理客户端请求都直接从Internet检索。
缓存
缓存大小设置为0。
因而禁用所有缓存。
19.2ISAServer2004客户端简介
ISA服务器可以保护三种类型的客户端:
防火墙客户端、SecureNAT客户端和Web代理客户端。
图19-18展示了这三种类型的客户端访问MicrosoftISA2004服务器时的方式。
图19-18
防火墙客户端。
已经安装并启用防火墙客户端软件的计算机。
来自防火墙客户端的请求会定向到ISA服务器计算机上的防火墙服务,以确定是否允许访问。
此后,可以使用应用程序筛选器和其他插件对这些请求进行筛选。
防火墙服务还可以缓存所请求的对象,或者从ISA服务器缓存提供对象。
SecureNAT客户端。
尚未安装防火墙客户端软件的计算机。
来自SecureNAT客户端的请求首先会定向到网络地址转换(NAT)驱动程序。
使用该驱动程序,可以用Internet上有效的全局IP地址替换SecureNAT客户端的内部IP地址。
然后,该客户端请求会定向到防火墙服务,以确定是否允许访问。
最后,可以使用应用程序筛选器和其他扩展组件对该请求进行筛选。
防火墙服务还可以缓存所请求的对象,或者从ISA服务器缓存提供对象。
Web代理客户端。
与CERN兼容的Web应用程序。
来自Web代理客户端的请求会定向到ISA服务器计算机上的防火墙服务,以确定是否允许访问。
防火墙服务还可以缓存所请求的对象,或者从ISA服务器缓存提供对象。
无论客户端的类型如何,当ISA服务器接收到HTTP请求时,客户端都被视为Web代理客户端。
即使是防火墙客户端或SecureNAT客户端发出HTTP请求,该客户端仍然被视为Web代理客户端。
这对于验证该客户端身份的方式具有特定的含义。
防火墙客户端计算机和SecureNAT客户端计算机都可以作为Web代理客户端。
如果将计算机上的Web应用程序明确配置为使用ISA服务器,则所有Web请求将直接发送到防火墙服务,包括HTTP、FTP和安全HTTP(HTTPS)。
防火墙服务首先会处理其他所有请求。
19.3配置ISA访问策略实现安全访问Internet
默认情况下,刚刚安装的MicrosoftISA2004会阻止一切Internet访问。
也就是说,MicrosoftISA2004默认的访问策略是阻止所有的Internet访问。
如果要想让MicrosoftISA2004起作用,我们必须对MicrosoftISA2004作必要的设置。
我们需要配置MicrosoftISA2004的访问策略允许Internet访问来实现安全的Internet访问。
在MicrosoftISA2004中,微软对它进行了操作简化,我们可以通过现有提供的网络模板快速对MicrosoftISA2004进行配置。
19.3.1通过模板快速配置服务器
网络模板
ISA服务器包含与常见网络拓扑对应的网络模板。
可以使用网络模板来为网络之间的通讯配置防火墙策略。
ISA服务器包含下列网络模板:
边缘防火墙——此模板采用以ISA服务器为网络边缘的网络拓扑。
一个网络适配器连接到内部网络,另一个连接到外部网络(Internet)。
当选择此模板时,可以允许所有传出通讯,也可以限制传出通讯以便仅允许Web访问。
三向外围——此模板采用ISA服务器连接到内部网络、外部网络和外围网络(也称DMZ、网络隔离或被筛选的子网)的网络拓扑。
前端——此模板采用ISA服务器在网络边缘、另一个防火墙配置在后端(保护内部网络)的网络拓扑。
后端——此模板采用ISA服务器部署在外围网络和内部网络之间、另一个防火墙配置在后端(保护内部网络)的网络拓扑。
单一网络适配器——此模板采用在外围或公司网络内部配置一个单一网络适配器的方法。
在这种配置中,ISA服务器用作Web代理和缓存服务器。
案例:
通过模板快速配置服务器
1.在MicrosoftISA2004管理界面中单击“配置”下的“网络”,然后在右侧“模板”选项卡中选择一种网络模板,如图19-19。
图19-19选择边缘防火墙模板
2.弹出“网络模板向导”页面,如图19-20。
单击“下一步”。
图19-19网络模板向导
3.在“导出ISA服务器的配置”页面中,如果需要导出以前ISA服务器的配置,可以单击“导出”按钮导出ISA服务器的配置,因为是新安装的服务器,所以直接单击“下一步”,如图19-20。
图19-20导出ISA服务器的配置
4.在弹出的“内部网络IP地址”页面中单击“添加”按钮,如图19-21。
在弹出的“选择网卡”页面中选择内部网络的连接网卡,如图19-22。
单击“确定”返回。
可以添加需要的内部网络IP地址。
然后单击“下一步”。
图19-21内部网络IP地址
图19-22选择网卡
5.在弹出的“选择一个防火墙策略”页面中选择一个需要的防火墙策略,如图19-23。
然后单击“下一步”。
图19-23选择防火墙策略
6.弹出完成网络模板向导页面,单击“完成”。
如图19-24。
完成利用网络模板配置服务器。
图19-24完成
7.在完成配置后我们需要然后单击“应用”按钮。
如图19-25。
图19-25应用配置
8.当经过一段时间应用新配置完成后,单击“确定”,完成对新配置的应用。
如图19-26。
图19-26配置成功
案例:
配置内部网络以启用Web代理
如果我们希望为客户端启用Web代理服务,需要作如下设置:
1.在MicrosoftISA2004管理界面中单击“配置”下的“网络”,会出现我们上面选择“边缘防火墙”模板创建的网络形式,选择“网络”选项卡,然后在“本地主机”上单击鼠标右键,选择“属性”。
如图19-27。
图19-27属性
2.弹出“本地主机属性”窗口,如图19-28,单击“Web代理”选项卡。
图19-28web代理
3.在“web代理”选项卡中勾选“启用Web代理客户端”然后勾选“启用HTTP”,输入HTTP端口,默认为8080。
如图19-29。
图19-29启用HTTP代理
4.单击“确定”返回,完成代理服务的配置,然后单击“应用”按钮,应用所作的配置。
19.3.2案例:
通过访问策略配置服务器
我们通过网络模板快速配置好的服务器可能并不完全适合公司实际需要。
所以我们必须添加一些新的访问策略以适合公司的需要。
添加新的访问策略的方式如下:
1.单击“防火墙策略”。
在任务窗格上,选择“任务”选项卡,然后单击“创建新的访问规则”以启动“新建访问规则向导”,如图19-30。
图19-30创建新的访问规则
2.在“新建访问规则向导”页上,输入规则的名称。
例如,输入“销售部”。
然后,单击“下一步”。
如图19-31。
图19-31新建访问规则向导
3.在“规则操作”页上,选择“允许”,如图19-32,然后单击“下一步”。
图19-32规则操作
4.在“协议”页的“此规则应用到”中,选择“所选的协议”,如图19-33,然后单击“添加”。
图19-33协议
5.在“添加协议”对话框中,展开“Web”。
如图19-34,依次单击“HTTP”、“添加”、“HTTPS”、“添加”,再单击“关闭”返回协议页面。
然后,单击“下一步”。
图19-34添加协议
6.在“访问规则源”页上,单击“添加”。
如图19-35。
图19-35访问规则源
7.在“添加网络实体”对话框中,单击“新建”,然后选择“地址范围”。
如图19-36。
图19-36新建地址范围
8.在弹出的“新建地址范围规则元素”页面输入必要信息后单击“确定”返回。
如图19-37。
图19-37新建地址范围规则元素
9.在“添加网络实体”页面选择新建的地址范围,如图19-38。
单击“添加”,然后单击“关闭”。
然后,单击“下一步”。
图19-38添加网络实体
10.在“访问规则目标”页上,单击“添加”。
如图19-39。
图19-39访问规则目标
11.在“添加网络实体”对话框中,单击“网络”,然后选择“外部”。
如图19-40,单击“添加”,然后单击“关闭”。
然后,单击“下一步”。
图19-40添加网络实体
12.在“用户集”页上,删除原来的“所以用户”,然后单击“添加”如图19-41。
图19-41用户集
13.在弹出的“添加用户”页面中单击“新建”,如图19-42。
图19-42添加用户
14.在出现的“新建用户集向导”页面中输入用户集的名称:
销售部,如图19-43。
然后单击“下一步”。
图19-43新建用户集向导
15.单击“添加”按钮,选择“Windows用户和组”,如图19-44。
在弹出的添加Windows用户和组页面输入需要添加的组名称:
销售部,然后单击“确定”返回。
所添加的组出现在“用户”页面,如图19-45。
单击“下一步”。
图19-44添加用户
图19-45用户
16.查看摘要页,然后单击“完成”,返回“添加用户”页面,完成用户的添加。
如图19-46。
图19-46完成
17.在“添加用户”页面选择新建的用户集,单击“添加”,如图19-47。
然后单击“关闭”返回“用户”页面。
图19-47添加用户集
18.新添加的用户集出现在页面中,然后单击“下一步”。
如图19-48。
图19-48用户
19.弹出“完成新建访问规则向导”页面,查看摘要页,然后单击“完成”。
完成访问规则的创建。
如图19-49。
图19-49完成
20.在新建的访问规则上单击鼠标右键,选择“属性”,如图19-50。
图19-50属性
21.在弹出的“销售部属性”窗口中单击“计划”选项卡,如图19-51,然后在计划栏中选择已经默认创建的“工作时间”计划,单击“确定”。
图19-51计划
22.然后在详细信息窗格中,单击“应用”来应用所做的更改。
请注意,应用更改可能需要一定的时间。
19.3.3配置入侵检测和筛选器
配置入侵检测
为了网络安全,我们需要配置和启用ISA2004服务器的入侵检测。
1.在MicrosoftISA2004管理界面中单击“配置”下的“常规”,然后在右侧“常规”选项卡中的“启用入侵检测和DNS攻击检测”,如图19-52。
图19-52启用入侵检测和DNS攻击检测
2.在弹出的“入侵检测”页面中,在“一般性攻击”选项卡中勾选需要启用的常见入侵检测,如图19-53。
图19-
3.在“DNS攻击”选项卡中勾选需要启用的常见DNS攻击检测,如图19-54。
然后单击“确定”,然后在详细信息窗格中,单击“应用”来应用所做的更改。
图19-54DNS攻击
筛选器
Web筛选器
可以通过安装由其他供应商开发的Web筛选器来扩展ISA服务器的功能。
Web筛选器可以监视、评估并拦截内部网络和Internet之间的超文本传输协议(HTTP)通讯。
在Microsoft防火墙服务启动时加载Web筛选器。
可以将Web筛选器配置为接收许多随每个HTTP请求和响应一起出现的特殊筛选器事件通知。
ISA服务器包含下列Web筛选器:
身份验证筛选器;HTTP筛选器;链接转换。
应用程序筛选器
InternetSecurityandAcceleration(ISA)Server2004应用程序筛选器在Microsoft防火墙服务上提供了额外的安全层。
应用程序筛选器可以访问与防火墙服务内的会话关联的数据流或数据报。
应用程序筛选器向防火墙服务注册,并且使用一些或所有应用程序级别协议流或数据报。
应用程序筛选器可以执行协议特定的任务或系统特定的任务,如身份验证和病毒检查。
ISA服务器提供的应用程序筛选器有:
FTP访问筛选器;H.323筛选器;入侵检测筛选器;RPC筛选器;SMTP筛选;SOCKS筛选器;流媒体应用程序筛选器;Web代理筛选器。
启用或禁用筛选器
1.在“ISA服务器管理”的控制台树中,展开“配置”,单击“插件”。
如图19-55。
图19-55插件
2.在详细信息窗格中,单击相应的Web筛选器或应用程序筛选器。
3.在“任务”选项卡上,执行以下操作之一:
要启用筛选器,请单击“启用所选筛选器”。
要禁用筛选器,请单击“禁用所选筛选器”。
图19-56启用和禁用所选筛选器
19.4配置ISA缓存功能实现加速访问Internet
ISA服务器对于经常请求的对象采用缓存以提高网络性能。
可以配置缓存以确保它包含最常用的数据。
默认情况下,安装ISA服务器时,会有效地禁用缓存。
这是因为在ISA服务器计算机的任何磁盘驱动器上都没有指定用于缓存的空间。
当配置驱动器用于缓存时,通过指定在该驱动器上要使用的空间量,可以有效地启用缓存。
可以进一步配置缓存,以指定可以缓存哪些内容。
缓存驱动器要求必需是NTFS分区。
案例:
启用缓存
1.在MicrosoftISA2004管理界面中单击“配置”下的“缓存”,然后单击右侧“任务”选项卡中的“定义缓存驱动器(启用缓存)”。
如图19-57。
图19-57启用缓存
2.在“定义缓存驱动器”页面选择想要设置缓存的驱动器,输入缓存的大小,然后单击“设置”按钮,如图19-58。
图19-58设置缓存
3.单击“确定”完成缓存驱动器的设置。
如图19-59。
图19-59完成设置
4.然后在详细信息窗格中,单击“应用”来应用所做的更改。
如图19-60。
启用ISA的缓存功能。
图19-60应用设置。
19.5案例:
在ISA中发布Web服务器
1.在MicrosoftISA服务器管理中,展开服务器,然后单击“防火墙策略”。
2.在任务窗格的“任务”选项卡上,单击“发布一个Web服务器”来启动新建Web发布规则向导。
如图19-61。
图19-61发布一个Web服务器
3.在“欢迎使用”页上的“Web发布规则名称”中,输入规则名称:
WWW。
如图19-62,单击“下一步”。
图19-62发布向导
4.在“请选择规则操作”页上,选择“允许”,如图19-63,然后单击“下一步”。
图19-63规则操作
5.在“请定义要发布的网站”页上的“计算机名称或IP地址”中,输入要发布的Web服务器的IP地址或计算机名称。
单击“下一步”。
如图19-64。
图19-64要发布的网站
在“请定义要发布的网站”页的“文件夹”中,可以指定要发布的特定文件夹。
6.在“公共名称细节”页上,验证是否已选中“此域名”。
在“此域名”下的文本框中,输入发布的网站的公共域名。
如图19-65。
用户将通过在浏览器的地址字段中输入此名称来访问您的网站。
您可以指定一个文件夹,该文件夹将附加到名称中,随后显示在“站点”中。
单击“下一步”。
图1