isa防火墻部署與設(shè)置

1、ISA 防火牆部署與設(shè)置,一、ISA Server介紹二、ISA Server的優(yōu)點(diǎn)三、ISA Server安裝四、ISA的配置,一、ISA Server介紹,隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展，絕大多數(shù)企業(yè)都接入了互聯(lián)網(wǎng)或建立了自己的內(nèi)部局域網(wǎng)，但企業(yè)在享受互聯(lián)網(wǎng)所帶來的方便、快捷的同時，也帶來了企業(yè)上網(wǎng)管理的煩惱：1、如何禁止員工上班時間在網(wǎng)上看電影，用QQ聊天，玩遊戲？2、如何查看員工上班時間訪問了什麼網(wǎng)站？3、如何應(yīng)對日益猖獗

2、的病毒及駭客攻擊，保證企業(yè)內(nèi)部資訊的安全？4、如何加快網(wǎng)路訪問速度？5、公司有眾多分支機(jī)搆，如何讓他們能夠通過 Internet 與總部安全地通信？等等……,ISA Server的出現(xiàn),為了解決企業(yè)對網(wǎng)路管理和網(wǎng)路安全的需求，實(shí)現(xiàn)可管理的互聯(lián)網(wǎng)，微軟公司推出了企業(yè)級防火牆ISA Server 2004。作為最優(yōu)秀的微軟平臺防火牆和最高效的緩存伺服器，ISA Server 2004能有效的幫助企業(yè)組織管理內(nèi)部的互聯(lián)網(wǎng)訪問行為，為企業(yè)網(wǎng)

3、路搭建了快速、安全、可管理的的上網(wǎng)通道，保護(hù)企業(yè)網(wǎng)路資源免受病毒、駭客及未授權(quán)訪問侵襲。,ISA 是什麼,Internet Security and Accleration Server防火牆技術(shù)緩存技術(shù),國際領(lǐng)先的防火牆，安全的Internet連接通過資料包級別、電路級別和應(yīng)用程式級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)路應(yīng)用程式支援、緊密地集成虛擬專用網(wǎng)路 (VPN)、系統(tǒng)堅(jiān)固、集成的入侵檢測、智慧的第 7 層應(yīng)用程式篩選

4、器、對所有用戶端的防火牆透明性、高級身份驗(yàn)證、安全的伺服器發(fā)佈等等增強(qiáng)安全性。ISA 伺服器保護(hù)網(wǎng)路免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，並在防火牆或受保護(hù)的網(wǎng)路受到攻擊時向管理員發(fā)出警報(bào)。,二、ISA Server的優(yōu)點(diǎn),基於應(yīng)用層的高級防護(hù)目前互聯(lián)網(wǎng)上70%的WEB攻擊發(fā)生在應(yīng)用層，而傳統(tǒng)防火牆只對資料包的包頭進(jìn)行檢查，因此往往對成熟的應(yīng)用層攻擊（如“緩衝區(qū)溢出”）無能為力。而ISA Server 2004是工作在應(yīng)用層的，正是

5、由於這個設(shè)計(jì)原理，它能檢查資料包裏面的資訊，有效防範(fàn)基於應(yīng)用層的攻擊。,傳統(tǒng)防火牆無法防範(fàn)成熟的應(yīng)用層攻擊,ISA 防火牆的防護(hù),ISA Server 2004 包含一個功能完善的應(yīng)用程式層感知防火牆，它會對 Internet 協(xié)定（如超文本傳輸協(xié)定 (HTTP)）執(zhí)行深入檢查，這使它能檢測到許多傳統(tǒng)防火牆檢測不到的威脅。,集成代理伺服器和緩存功能，實(shí)現(xiàn)快速訪問,ISA Server 2004不僅僅是防火牆，而是集防火牆、代理伺服器、緩

6、存伺服器三大功能於一體。ISA Server 2004 使用高性能的緩存來加快內(nèi)部用戶的WEB訪問速度。如果用戶有對外的WEB伺服器，那麼在利用ISA進(jìn)行對外WEB發(fā)佈時，ISA的緩存功能也將提高外部 Internet 用戶的 Web 訪問性能。,三、ISA Server安裝,網(wǎng)路環(huán)境的配置:ISA Server作為一個路由級的軟體防火牆，要求管理員要熟悉網(wǎng)路中的路由設(shè)置、TCP/IP設(shè)置、代理設(shè)置等等，它並不像其他單機(jī)防火牆一樣，只

7、需安裝一下就可以很好的使用。在安裝ISA Server時，你需要對你內(nèi)部網(wǎng)路中的路由及TCP/IP設(shè)置進(jìn)行預(yù)先的規(guī)劃和配置，這樣才能做到安裝ISA Server後即可很容易的使用，而不會出現(xiàn)客戶不能訪問外部網(wǎng)路的問題。,,ISA Server 2004上的內(nèi)部網(wǎng)路適配器作為內(nèi)部客戶的默認(rèn)閘道，根據(jù)慣例，它的IP 位址要麼設(shè)置為子網(wǎng)最前的IP（如192.168.0.1），或者設(shè)置為最末的IP（192.168.0.254），在此例中設(shè)置為1

8、92.168.0.1；對於DNS伺服器，在此例中，我們假設(shè)外部網(wǎng)卡上已設(shè)置了DNS伺服器，所以我們在此不設(shè)置DNS伺服器的IP位址；還有默認(rèn)閘道，內(nèi)部網(wǎng)卡上切忌不要設(shè)置默認(rèn)閘道，因?yàn)閃indows主機(jī)同時只能使用一個默認(rèn)閘道，如果在外部和內(nèi)部網(wǎng)路適配器上都設(shè)置了默認(rèn)閘道，那麼ISA Serve?ň?$,SNAT 客戶的TCP/IP配置要求：,必須和ISA Server的內(nèi)部介面在同個子網(wǎng)；在此，我可以使用192.168.0.2/24~1

9、92.168.0.254/24;配置ISA Server的內(nèi)部介面為默認(rèn)閘道；此時默認(rèn)閘道是192.168.0.1;DNS根據(jù)你的網(wǎng)路環(huán)境來設(shè)置，可以使用ISP的DNS伺服器或者你自己在內(nèi)部建立一臺DNS伺服器；但是DNS伺服器是必需的,Web代理客戶,必須和ISA Server的內(nèi)部介面在同個子網(wǎng)；在此，我可以使用192.168.0.2/24~192.168.0.254/24;默認(rèn)閘道和DNS伺服器位址都可以不配置；必須在IE

10、的代理屬性中配置ISA Server的代理，默認(rèn)是內(nèi)部介面的8080埠，在此是192.168.0.1:8080；對於其他需要訪問網(wǎng)路的程式，必須設(shè)置HTTP代理（ISA SERVER），否則是不能訪問網(wǎng)路；,在內(nèi)網(wǎng)中還有其他子網(wǎng)的內(nèi)部客戶。此時，首先得將這些子網(wǎng)的位址包含在ISA Server的內(nèi)部網(wǎng)路中， 然後在ISA Server上配置到這些子網(wǎng)的路由，其他的就和單內(nèi)部網(wǎng)路的配置一致了。,2. 多網(wǎng)路模型中的邊緣防火牆,3. 單網(wǎng)

11、路適配器的環(huán)境,ISA系統(tǒng)安裝的基本需求,安裝ISA Server 2004,四、ISA的配置,ISA 安裝時，會創(chuàng)建下列默認(rèn)規(guī)則：,本地主機(jī)訪問：此規(guī)則定義了在本地主機(jī)網(wǎng)路與其他所有網(wǎng)路之間存在的路由關(guān)係。VPN用戶端到內(nèi)部網(wǎng)路：此規(guī)則指定在兩個VPN用戶端網(wǎng)路（“VPN用戶端”和“被隔離的VPN用戶端”）與內(nèi)部網(wǎng)路之間存在著路由關(guān)係。Internet訪問：此規(guī)則定義了在內(nèi)部網(wǎng)路與外部網(wǎng)路之間存在的NAT關(guān)係。,(2) 訪問策略

12、新建一條允許內(nèi)部客戶訪問外部網(wǎng)路的所有服務(wù)的訪問規(guī)則：在防火牆策略上點(diǎn)右鍵，指向“新建”， 然後點(diǎn)擊“訪問規(guī)則”。,在“新建訪問規(guī)則嚮導(dǎo)”的訪問規(guī)則名稱文本框中，輸入“Allow all outbound traffic”，然後點(diǎn)擊“下一步”。然後在“規(guī)則操作”而，選擇“允許”，點(diǎn)擊“下一步”,部屬防火牆策略的十六條守則,電腦沒有大腦。所以，當(dāng)ISA的行為和你的要求不一致時，請檢查你的配置而不要埋怨 ISA。只允許你想要允許的客戶、

13、源位址、目的地和協(xié)議。仔細(xì)的檢查你的每一條規(guī)則，看規(guī)則的元素是否和你所需要的一致。針對相同用戶或含有相同用戶子集的訪問規(guī)則，拒絕的規(guī)則一定要放在允許的規(guī)則前面。當(dāng)需要使用拒絕時，顯示拒絕是首要考慮的方式。在不影響防火牆策略執(zhí)行效果的情況下，請將匹配度更高的規(guī)則放在前面。在不影響防火牆策略執(zhí)行效果的情況下，請將針對所有用戶的規(guī)則放在前面。儘量簡化你的規(guī)則，執(zhí)行一條規(guī)則的效率永遠(yuǎn)比執(zhí)行兩條規(guī)則的效率高。永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用A

14、llow 4 All 規(guī)則（Allow all users use all protocols from all networks to all networks), 這樣只是讓你的ISA形同虛設(shè)。,如果可以通過配置系統(tǒng)策略來實(shí)現(xiàn)，就沒有必要再建立自定義規(guī)則。ISA的每條訪問規(guī)則都是獨(dú)立的，執(zhí)行每條訪問規(guī)則時不會受到其他訪問規(guī)則的影響永遠(yuǎn)也不要允許任何網(wǎng)路訪問ISA本機(jī)的所有協(xié)議。內(nèi)部網(wǎng)路也是不可信的。SNAT客戶不能提交身份驗(yàn)證