企业局域网组建ISA课件.ppt

ISA2004部署和管理,课程要求,参加本议程前，最好能预先具备以下主题的基本能力：TCP/IPPacketMicrosoftISAServer2000,日程安排,在企业网络中安装ISAServer2004配置安全的Internet访问服务制订访问出站规则，制订应用级别的访问控制利用HTTP缓存加速Internet访问安全发布服务器通过ISAServer实现VPNISA2004企业版介绍,ISA2004安装服务器需求,具有300MHz或更高频率的兼容PentiumII的CPU的个人计算机。MicrosoftWindowsServer2003或Windows2000Server操作系统。256MB内存。与计算机的操作系统兼容的网络适配器，以便与内部网络通讯。对于连接到ISA服务器计算机的每个网络还都需要一个额外的网络适配器。一个用NTFS文件系统格式化的本地硬盘分区，并且至少拥有150MB的可用硬盘空间。这是专门用于缓存的硬盘空间。,在运行Windows2000的计算机上安装ISA服务器,必须安装Windows2000ServicePack4(SP4)或更高版本。必须安装InternetExplorer6或更高版本。如果您使用的是Windows2000SP4整合安装，还必须安装Microsoft知识库文章821887“EventsforAuthorizationRolesAreNotLoggedintheSecurityLogWhenYouConfigureAuditingforWindows2000AuthorizationManagerRuntime”所指定的修补程序。,选择合适的网络构架,ISA2004,演示,ISA2004安装,日程安排,在企业网络中安装ISAServer2004配置安全的Internet访问服务制订访问出站规则，制订应用级别的访问控制利用HTTP缓存加速Internet访问安全发布服务器通过ISAServer实现VPNISA2004企业版介绍,ISA2004客户端,FirewallClient：任何一部用户计算机上安装FirewallClient软件者，便是FirewallClient端计算机。SecureNATClient：凡是非FirewallClient端的计算机者，都是SecureNATClient端计算机。WebProxyClient：凡在浏览器上指定使用ISAServer的上网代理服务（ProxyService）者，都是WebProxyClient端计算机。,客户端比较,客户端Internet访问请求过程,ISA服务器检查网络规则ISA服务器处理访问策略规则协议从（源）地址和端口计划到（目标）地址、名称、URL用户内容组ISA服务器再次检查网络规则ISA服务器检查Web链规则或防火墙链配置,如何配置访问规则,创建访问规则为访问规则配置目标网络对象为访问规则配置协议为访问规则配置内容为访问规则允许指定的源端口,日程安排,在企业网络中安装ISAServer2004配置安全的Internet访问服务制订访问出站规则，制订应用级别的访问控制利用HTTP缓存加速Internet访问安全发布服务器通过ISAServer实现VPNISA2004企业版介绍,HTTP缓存,减少响应时间与联机频宽的耗用ForwardCaching：支持用于连出要求ReverseCaching：支持用于连入要求,WebServer,Client,Client,Client,ForwardCaching,ReverseCaching,Client,WebServer,ISAServer2004,缓存规则机制,缓存使用者经常要求的对象，以增进网络效能经常要求的内容可指定离峰时间自动下载内容，增进网络效能缓存规则可指定要储存于快取中的内容类型智能型缓存：根据对象在缓存中存在的时间该对象上次撷取的时间，自动决定哪些网站是最常使用与重新整理内容的频率,启用HTTP缓存,设置缓存所用的驱动器配置缓存配置常规缓存属性配置缓存规则配置内容下载任务,配置常规缓存属性,启用缓存配置缓存大小配置活动缓存配置要缓存的内容配置缓存中对象的最大大小配置负缓存配置是否从缓存中返回过期的对象配置要用于缓存的可用内存百分比,配置缓存规则,创建缓存规则为缓存规则配置网络实体配置如何缓存Web对象为缓存规则配置HTTP缓存为缓存规则配置FTP缓存为缓存规则配置SSL缓存限制为缓存规则缓存的对象大小禁用缓存规则删除缓存规则,日程安排,在企业网络中安装ISAServer2004配置安全的Internet访问服务制订访问出站规则，制订应用级别的访问控制利用HTTP缓存加速Internet访问安全发布服务器通过ISAServer实现VPNISA2004企业版介绍,何谓发布服务器,本质上是筛选通过ISA服务器计算机的所有传入和传出请求。服务器发布规则将传入请求映射到ISA服务器计算机后面的相应服务器,ISAServer2004发布,Web服务器发布管理安全Web发布规则邮件服务器发布PublishinganExchangeServerforOutlook(RPC)服务器的发布,2019/12/18,22,可编辑,Web服务器发布管理,Web发布规则ISAServer将如何拦截对Web服务器上的(HTTP)对象的传入请求ISAServer将如何代表Web服务器进行响应请求被转发到位于ISA服务器计算机后面的Web服务器如果可能，将从ISA服务器缓存中提供所请求的对象Web发布规则本质上是将传入请求与相应的Web服务器匹配Web发布规则还使您可以配置高级筛选功能，从而既发布基于Web的信息，又防止其受到恶意的访问,发布网页服务器,DefaultGateway：54,A,应用案例,ISAServer2004,IISServer,OutlookMAPIClient,B,ExternalDNS,Internet,,54,,1,2,3,演示,Web发布,Client,Internet,ISAServer2004,WebServer00,ExternalDNSServer,,A,应用程序和Web过滤结构,FirewallEngine,FirewallService,ApplicationFilterAPI,WebProxyFilter,WebFilterAPI,WebFilters,RulesEngine,ApplicationFilters,HTTP筛选器,ISAServer可检查应用程序层命令及数据可根据下列项目来封锁HTTP要求的网页：要求装载的长度HTTP要求方法HTTP要求扩展名HTTP要求或响应标头要求或响应标头或本文中的签章或型样,HTTPFilterConfigurationforWebPublishing,HTTP筛选器：一般标头长度上限(字节)：32768选取“允许任何装载长度”URL长度上限(字节)：260查询长度上限(字节)：4096确认“选取正规化”不要选取“封锁高位字符”HTTP筛选器：方法只允许指定的方法：GET、HEAD、POSTHTTP筛选器：扩展名封锁指定的扩展名(允许其它所有扩展名).exe、.bat、.cmd、.com、.htw、.ida、.idq、.htr、.idc、.shtm、.shtml、.stm、.printer、.ini、.log、.pol、.datHTTP筛选器：签章选取要求URL.、./、:、%、&,应用案例,Traditionalfirewall,WebSrv/OWA,client,WebserverpromptsforauthenticationanyInternetusercanaccessthisprompt,SSLtunnelsthroughtraditionalfirewallsbecauseitisencrypted,whichallowsvirusesandwormstopassthroughundetected,andinfectinternalservers!,ISAServer2004,Authenticationdelegation,ISAServerpre-authenticatesusers,eliminatingmultipledialogboxesandonlyallowingvalidtrafficthrough,ISAServerwithHTTPFiltering,ISAServercandecryptandinspectSSLtraffic,inspectedtrafficcanbesenttotheinternalserverre-encryptedorintheclear.,HTTPFilter,HTTPFiltercanstopWebattacksatthenetworkedge,evenoverencryptedSSL,Internet,演示,HTTP筛选器,安全Web发布规则,SSL隧道:无需进行流量检查即可保护内容机密SSL桥接:Internet上的客户端对通讯内容进行加密ISAServer对流量进行解密并检查ISAServer将允许的流量发送到已经发布的服务器,必要时对其进行重新加密,邮件服务器发布,Web客户端访问允许客户端访问MicrosoftOutlookWebAccess、OutlookMobileAccess或ExchangeApplicationServices服务器。如果选择此选项，ISA服务器将配置适当的Web发布规则客户端访问允许客户端使用RPC、IMAP4、POP3、SMTP来访问邮件服务器到服务器的通讯允许SMTP（邮件）服务器和NNTP（新闻）服务器访问,发布SMTPServer,ExchangeServer,SMTPServer,SMTPClient,ExternalDNS,,CMXISASRVISASRVA,SMTPConnection,Internet,发布SMTPServerSMTPApplicationFilter,ISAServer2004,SMTP筛选,封锁危险的程序代码停止讨厌的电子邮件讯息两个组件：SMTP筛选器检查因特网SMTP服务器及客户端传送的SMTP命令设定命令的最大长度定义停用的命令讯息过滤程序MAILFROMSMTP命令中传送的值每一个附件的内容-配置标头字段关键词筛选,传统防火墙,使用完整OutlookMAPI客户端远程访问MicrosoftExchangeRPC服务内部网络边缘防火墙上具有大量静态开启的连接端口可能会有潜在设计用于攻击RPC及DCOM服务的病毒,Internet,ExchangeServer,DMZ,InternalNetwork,具有大量靜態開啟的連接埠,OutlookAPI用戶端,ExchangeRPCfilter,安装ISAServer时，会提供两个预设RPC通讯协议定义给连入要求：任何RPC服务器ExchangeRPC服务器强制保护OutlookMAPI与公司Exchange服务器的联机可以强制必须透过安全的加密通道如果联机没有受到保护，ISAServer将丢弃客户端要求,建立起始RPC端点对应程序联机,ISAServer2004,ExchangeServer,OutlookMAPIClient,Port：135,ExchangeUUID=2000,ExchangeUUID=3000,OutlookMAPI客户端会在ISAServer的外部接口上建立到TCP连接埠135的联机。ISAServer转送至Exchange服务器Exchange服务器利用客户端后续数据联机所使用的连接埠号来响应要求ISAServer拦截响应，并将连接埠号变更为OutlookMAPI客户端可以在ISAServer的外部接口上使用的有效连接埠。客户端会使用这个连接端口号与Exchange服务器通讯,服务器的发布,服务器发布来处理内部服务器的传入请求，如：文件传输协议(FTP)服务器结构化查询语言(SQL)服务器自定义端口访问的服务器请求被转发到下游位于ISA服务器计算机后面的内部服务器当从访问发布服务器的客户端所在的网络到发布的服务器所在的网络这个方向上存在网络地址转换(NAT)关