ISA防火墙部署与设置.ppt

ISA防火牆部署與設置 一 ISAServer介紹二 ISAServer的優點三 ISAServer安裝四 ISA的配置 一 ISAServer介紹 隨著互聯網應用的不斷發展 絕大多數企業都接入了互聯網或建立了自己的內部局域網 但企業在享受互聯網所帶來的方便 快捷的同時 也帶來了企業上網管理的煩惱 1 如何禁止員工上班時間在網上看電影 用QQ聊天 玩遊戲 2 如何查看員工上班時間訪問了什麼網站 3 如何應對日益猖獗的病毒及駭客攻擊 保證企業內部資訊的安全 4 如何加快網路訪問速度 5 公司有眾多分支機搆 如何讓他們能夠通過Internet與總部安全地通信 等等 ISAServer的出現 為了解決企業對網路管理和網路安全的需求 實現可管理的互聯網 微軟公司推出了企業級防火牆ISAServer2004 作為最優秀的微軟平臺防火牆和最高效的緩存伺服器 ISAServer2004能有效的幫助企業組織管理內部的互聯網訪問行為 為企業網路搭建了快速 安全 可管理的的上網通道 保護企業網路資源免受病毒 駭客及未授權訪問侵襲 ISA是什麼 InternetSecurityandAcclerationServer防火牆技術緩存技術 國際領先的防火牆 安全的Internet連接通過資料包級別 電路級別和應用程式級別的通訊篩選 狀態篩選和檢查 廣泛的網路應用程式支援 緊密地集成虛擬專用網路 VPN 系統堅固 集成的入侵檢測 智慧的第7層應用程式篩選器 對所有用戶端的防火牆透明性 高級身份驗證 安全的伺服器發佈等等增強安全性 ISA伺服器保護網路免受未經授權的訪問 執行狀態篩選和檢查 並在防火牆或受保護的網路受到攻擊時向管理員發出警報 二 ISAServer的優點 基於應用層的高級防護目前互聯網上70 的WEB攻擊發生在應用層 而傳統防火牆只對資料包的包頭進行檢查 因此往往對成熟的應用層攻擊 如 緩衝區溢出 無能為力 而ISAServer2004是工作在應用層的 正是由於這個設計原理 它能檢查資料包裏面的資訊 有效防範基於應用層的攻擊 傳統防火牆無法防範成熟的應用層攻擊 ISA防火牆的防護 ISAServer2004包含一個功能完善的應用程式層感知防火牆 它會對Internet協定 如超文本傳輸協定 HTTP 執行深入檢查 這使它能檢測到許多傳統防火牆檢測不到的威脅 集成代理伺服器和緩存功能 實現快速訪問 ISAServer2004不僅僅是防火牆 而是集防火牆 代理伺服器 緩存伺服器三大功能於一體 ISAServer2004使用高性能的緩存來加快內部用戶的WEB訪問速度 如果用戶有對外的WEB伺服器 那麼在利用ISA進行對外WEB發佈時 ISA的緩存功能也將提高外部Internet用戶的Web訪問性能 三 ISAServer安裝 網路環境的配置 ISAServer作為一個路由級的軟體防火牆 要求管理員要熟悉網路中的路由設置 TCP IP設置 代理設置等等 它並不像其他單機防火牆一樣 只需安裝一下就可以很好的使用 在安裝ISAServer時 你需要對你內部網路中的路由及TCP IP設置進行預先的規劃和配置 這樣才能做到安裝ISAServer後即可很容易的使用 而不會出現客戶不能訪問外部網路的問題 ISAServer2004上的內部網路適配器作為內部客戶的默認閘道 根據慣例 它的IP位址要麼設置為子網最前的IP 如192 168 0 1 或者設置為最末的IP 192 168 0 254 在此例中設置為192 168 0 1 對於DNS伺服器 在此例中 我們假設外部網卡上已設置了DNS伺服器 所以我們在此不設置DNS伺服器的IP位址 還有默認閘道 內部網卡上切忌不要設置默認閘道 因為Windows主機同時只能使用一個默認閘道 如果在外部和內部網路適配器上都設置了默認閘道 那麼ISAServe SNAT客戶的TCP IP配置要求 必須和ISAServer的內部介面在同個子網 在此 我可以使用192 168 0 2 24 192 168 0 254 24 配置ISAServer的內部介面為默認閘道 此時默認閘道是192 168 0 1 DNS根據你的網路環境來設置 可以使用ISP的DNS伺服器或者你自己在內部建立一台DNS伺服器 但是DNS伺服器是必需的 Web代理客戶 必須和ISAServer的內部介面在同個子網 在此 我可以使用192 168 0 2 24 192 168 0 254 24 默認閘道和DNS伺服器位址都可以不配置 必須在IE的代理屬性中配置ISAServer的代理 默認是內部介面的8080埠 在此是192 168 0 1 8080 對於其他需要訪問網路的程式 必須設置HTTP代理 ISASERVER 否則是不能訪問網路 在內網中還有其他子網的內部客戶 此時 首先得將這些子網的位址包含在ISAServer的內部網路中 然後在ISAServer上配置到這些子網的路由 其他的就和單內部網路的配置一致了 2 多網路模型中的邊緣防火牆 3 單網路適配器的環境 ISA系統安裝的基本需求 安裝ISAServer2004 四 ISA的配置 ISA安裝時 會創建下列默認規則 本地主機訪問 此規則定義了在本地主機網路與其他所有網路之間存在的路由關係 VPN用戶端到內部網路 此規則指定在兩個VPN用戶端網路 VPN用戶端 和 被隔離的VPN用戶端 與內部網路之間存在著路由關係 Internet訪問 此規則定義了在內部網路與外部網路之間存在的NAT關係 2 訪問策略新建一條允許內部客戶訪問外部網路的所有服務的訪問規則 在防火牆策略上點右鍵 指向 新建 然後點擊 訪問規則 在 新建訪問規則嚮導 的訪問規則名稱文本框中 輸入 Allowalloutboundtraffic 然後點擊 下一步 然後在 規則操作 而 選擇 允許 點擊 下一步 部屬防火牆策略的十六條守則 電腦沒有大腦 所以 當ISA的行為和你的要求不一致時 請檢查你的配置而不要埋怨ISA 只允許你想要允許的客戶 源位址 目的地和協議 仔細的檢查你的每一條規則 看規則的元素是否和你所需要的一致 針對相同用戶或含有相同用戶子集的訪問規則 拒絕的規則一定要放在允許的規則前面 當需要使用拒絕時 顯示拒絕是首要考慮的方式 在不影響防火牆策略執行效果的情況下 請將匹配度更高的規則放在前面 在不影響防火牆策略執行效果的情況下 請將針對所有用戶的規則放在前面 儘量簡化你的規則 執行一條規則的效率永遠比執行兩條規則的效率高 永遠不要在商業網絡中使用Allow4All規則 Allowallusersuseallprotocolsfromallnetworkstoallnetworks 這樣只是讓你的ISA形同虛設 如果可以通過配置系統策略來實現 就沒有必要再建立自定義規則 ISA的每條訪問規則都是獨立的 執行每條訪問規則時不會受到其他訪問規則的影響永遠也不要允許任何網路訪問ISA本機的所有協議 內部網路也是不可信的 SNAT客戶不能提交身份驗證資訊