网络安全维护与管理实验报告-ISA SERVER 2006的应用配置.doc

实验报告课程名称：网络安全维护与管理 验项目名称：isa server 2006的应用配置 学生姓名： 专业： 计算机网络技术 学号： 实验地点： 创新楼四楼一机房 实验日期： 2011 年 10 月 21 日一、实验目的及要求学会isa server 2006的安装，掌握isa server 2006的配置及应用。二、实验的内容1、利用vmware workstation搭建isa server 2006的运行环境，安装部署isa server 2006；2、应用isa server 2006，建立基于“单一网络适配器”的web代理；3、创建访问规则，开放或阻挡内部网络访问internet； 三、实验的原理1、防火墙的主要功能：答：其主要功能是流量过滤，防止不希望的非法流量和未经过授权的流量进出被保护的网络。其任务是通过各种端口辨别从外部不安全网络发送到内部安全网络中的计算机数据是否有害，尽可能对有害数据进行报警或拦截，从而保障网络系统安全。2、防火墙的功能：答：强化安全策略，保障网络的安全。控制存取 控制对特殊站点的访问 安全策略的检查和集中化的安全管理 对网络访问进行记录和统计 隐藏用户站点或网络拓扑并防止内部信息的外泄。3、防火墙采用的主要技术：答：包过滤技术：是在网络中的网络层和传输层中实现的。它是根据分组包的源/宿地址、端口号及协议类型、标志确定是否允许分组包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。而这些信息来源就是ip、tcp/udp数据包的包头。 应用代理技术 ：也叫应用网关，是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。它工作在osi模型的最高层（应用层），掌握着应用系统中可用做安全决策的全部信息。其特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。状态检测技术：采用了一个在网关上执行网络安全策略的软件引擎，称之为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实施监测，抽取部分数据，即状态信息，并动态地保存起来。 4、防火墙的体系结构：答：有双宿主堡垒主机体系结构、被屏蔽主机体系结构、被屏蔽子网体系结构。5、防火墙配置的原则：答：简单实用、全面深入、内外兼顾。6、isa server 2006的主要功能：答：isa server 2006是isa server的最新版本，其主要功能主要表现在它可以安装成防火墙、虚拟专用网（vpn）、web缓存服务器。isa server 2006安装成专用防火墙，可以控制内部网络与internet 之间的通信，增强网络的安全性。还可以利用它安全地发布企业内部的服务器（例如网站、电子邮件服务器等），以便让客户与合作伙伴来分享内部网络的资源。作为防火墙，isa server 2006 允许设置一组广泛的规则，以指定能够通过isa server 2006的站点、协议和内容，由此实现商业internet安全策略。通过监视内部客户端和internet之间的请求和响应，isa server 2006 可以控制哪些人能够访问公司网络里的哪台计算机。isa server 2006还能控制内部客户端能够访问internet上的哪台计算机。虚拟专用网（cpn）可以让远程用户与局域网（lan）之间，或者是分别位于两地局域网之间，通过internet来建立一个安全的通道。通过将用户经常访问的网页保存到isa server 2006的硬盘与内存，不但让用户更快地访问到所需的网页，同时也可以提高网络的效率，节省网络的带宽。7、isa server 2006中支持的网络模板有边缘防火墙、三向外围网络防火墙、前端防火墙、后端防火墙和单一网络适配器，其中，“单一网络适配器”是web代理和缓存服务器。8、isa server 2006内建了5种网络,分别是本地主机、内部网络、外部网络、vpn客户端、被隔离的vpn客户端。四、实验方法和步骤1、利用vmware workstation搭建isa server 2006的运行环境，安装isa server 2006具体安装步骤如下：如图1-1所示，单击【安装isa server 2006】选项图1-1 安装isa server 2006选择安装协议为【我接受。】，并单击【下一步】如图1-2所示图 1-2 选择安装协议使用向导安装，并单击【下一步】，如图1-3所示图 1-3 使用向导安装 正在安装isa server 2006的过程，如图1-4所示图 1-4 isa 的安装过程指定内部网络的ip地址范围，单击【添加】按钮，如图1-5所示图 1-5 【内部网络】对话框在弹出的【地址】对话框中单击【添加适配器】按钮，选择内部网络的ip地址范围（也可以通过【添加范围】按钮自行输入），如图1-6所示图1-6【地址范围属性】对话框 单击【安装】按钮，进行isa server 2006的安装，如图1-7所示 图1-7 开始【安装】isa server 2006【安装向导完成】的结果图1-8如下所示图1-8 【安装向导完成】安装好以上步骤后，在开始菜单里打开，就可以看到如图1-9所示的结果图图1-9 isa server 2006安装完成的结果图2、将网络模板配置为“单一网络适配器”模板配置的具体步骤如下：打开配置下的网络，并单击【网络】选项，出现默认的“边缘防火墙”，然后在右侧的【模板】下选择“单一网络适配器”，如图2-1所示图 2-1 选择【模板】下的“单一网络适配器”选择好模板后，单击【下一步】按钮，结果如图2-2所示图 2-2 【导出isa服务器的配置】对话框的结果图接着再单击【下一步】按钮，弹出如图2-3所示的对话框，选择【添加】按钮，在弹出的地址范围内输入起始地址和结束地址图2-3 【ip 地址范围属性】对话框再次单击【下一步】按钮，得到结果如图2-4所示的图，规则为web代理默认的第一防火墙策略。图 2-4 【选择第一个防火墙策略】对话框在【网络模板向导】对话框中，选中“应用默认web代理和缓存配置”，出现如图2-5所示的“描述”。图 2-5 选中“应用默认web代理和缓存配置“接着再单击【下一步】按钮就形成如图2-6所示的“正在完成网络模板向导“对话框图 2-6 【正在完成网络模板向导】对话框最后，单击【完成】按钮，并单击【应用】后形成的网络模板，如图2-7所示图 2-7 单一网络适配器3、配置网络集创建网络后，可以将一个或多个网络组成网络集。网络集可以包含一个或多个网络，或者可以明确地排除一个或多个网络，规则可以应用于网络或网络集。安装isa server时，默认创建两个网络集，即：所有网络和所有受保护的网络，这两个网络集不可以修改或删除。所有网络：此网络集包含为isa server 定义的所有网络，创建的新网络将自动保存在此网络集中。所有受保护的网络：此网络集包含除内置外部网络以外的所有网络，创建的新网络将自动包含在此网络集中。4、创建防火墙策略在【isa服务器管理】窗口左侧列表框中单击【防火墙策略】，再单击右边【任务】选项卡的【创建访问规则】选项。在【欢迎使用新建访问规则向导】对话框中为此访问规则命名（例如“hzy”）。在【规则操作】对话框选择【允许】单选按钮，允许本机主机访问外部网站，如图4-1所示，单击【下一步】按钮。图 4-1 【规则操作】对话框选择规则要应用到的协议为“所选的协议”，单击【添加】按钮，表示只开放连接网站的协议，如图4-2所示图 4-2 【协议】对话框在图4-3中依次选择并添加http、https，单击【关闭】按钮。如图4-3所示图 4-3 【添加协议】对话框单击【下一步】按钮，如图2-4所示。图 4-4 添加协议后的【协议】对话框在【访问规则源】对话框中选择此规则的应用来源，在此，只是配置“单一网络适配器”，因此单击【添加】按钮，在【添加网络实体】对话框中选择【本地主机】并单击【添加】按钮，再单击【访问规则源】对话框的【下一步】按钮，如图4-5所示 图 4-5 添加网络到【访问规则源】将此规则的应用目的地设为“外部”，也就是允许访问外部所有的网站，如图 4-6所示。图 4-6 添加网络到【访问规则目标】在【用户集】对话框中单击【下一步】按钮，以便将此原则应用到所有的用户，如图 4-7所示。图 4-7 【用户集】对话框在【正在完成新建访问规则向导】对话框中单击【完成】按钮，在【防火墙策略】配置窗口中单击【应用】按钮，如图4-8和4-9所示。图 4-8 【正在完成新建访问规则向导】对话框图 4-9 应用新建的访问规则完成设置后，这些配置会保存到存储服务器（css）内，isa server会定期（默认为15秒）检查与应用css内的最新更新（在此实验中isa server与css是同一台计算机），并保持与css同步。打开浏览器测试isa server 2006计算机是否能上网，如图4-10所示图 4-10 ie浏览器窗口5、启用“web代理客户端”的请求在【isa服务管理】窗口中选择【配置】选项下的【网络】选项，再双击【网络】选项卡中的【内部】选项。在【内部 属性】对话框中，选择【web 代理】选项卡，选中【为此网络启用web代理客户端连接】，web代理服务的连接端口为8080，如图5-1所示。单击【确定】按钮。图5-1 【web 代理】选项卡6、对客户端的“web代理”参数进行配置运行ie浏览器，再选择【工具】/【internet选项】命令。选择【连接】选项卡，单击【局域网设置】按钮，如图6-1所示图 6-1 【连接】选项卡在【局域网（lan）设置】对话框中，选中【为lan使用代理服务器】选项，将isa server内网卡的ip地址81输入到【地址】文本框中，将连接端口8080输入到【端口】文本框中，如图6-2所示。图 6-2 【代理服务器】设置完成isa server的配置和本节web代理客户端的配置后，就可以在web代理客户端利用ie浏览器上网测试，此时可以通过isa server下载所需网页，这些下载的对象也会被保存到缓冲区。7、客户端通过“web代理”进行internet的访问答：要进行internet的访问，需要在isa中开放以下规则：允许内部到本地主机的netbios请求，让内部客户端可以解析isa server主机的netbios计算机名称。允许内部到外部的dns请求，让内部所有客户端可以向外部dns服务器查询。允许内部与本地主机访问外部网站与ftp，让内部客户端与本地主机可以连接位于internet的网站与ftp服务器。允许内部到外部的smtp与pop3请求，让内部客户端可以接收外部pop3服务器内的邮件，也让用户可以通过外部smtp服务器来收发电子邮件。五、实验结论与思考结论：本次实验主要学习了isa server 2006的主要功能，防火墙的设置种类和网络模板；isa网络配置和网络规则；安装isa server 2006，isa防火墙策略，isa server客户端的应用等。思考：对isa server 2006的学习让我有了新的了解和认识，丰