ISA-server-2006企业网络安全构建建议书.docx

ISA server 2006企业网络安全构建建议书敬致 XXXXX有限公司精诚恒逸软件（上海）有限公司技术服务处王缘2009/8/20版本：1.0机密本文所包含的数据代表精诚恒逸软件有限公司依据优硕信息科技股份有限公司与相关软件公司所提供的专利技术。此档不可就评估此提案以外的用途进行复制、使用或公开。不过若由于提交此提案(或有关连)，青島東元精密機電有限公司与精诚恒逸软件有限公司签订合约，青島東元精密機電有限公司就有权复制、使用或公开该合约许可的范围。声明精诚恒逸软件有限公司要强调本文所包含的评估均以青島東元精密機電有限公司所提供的信息为基础。精诚恒逸软件有限公司需要与青島東元精密機電有限公司验证这些信息，并确认提案的范围细节。若在这类澄清与验证动作之后需大幅变动项目范围，这些预估也会连带变动，变更后的数据将包含于最后的合约书内。精诚恒逸软件有限公司不就任何在本文所包含数据的恰当性作任何承诺。所有文字数据及其相关图表均以现状供应，不负任何担保责任。精诚恒逸软件有限公司谨此声明，不负任何对与此信息有关之担保责任，包括关于适售性、适用于某一特定用途、权利或不侵权的明示或默示担保责。著作权所有精诚恒逸软件有限公司，所有权利皆予保留。目录一、方案背景41.1 ISA Server 产品概述41.2 设计要求4二设计方案52.1方案构架52.2 Active Directory目录服务器62.3 ISA Server 2006服务器Http 应用层过滤器62.4 客户机IE Http代理自动设置62.5 ISA Server 2006 企业版NLB可扩展规划。62.6 ISA 2006 VPN功能7三建议ISA Server 2006软硬件配置7四ISA server实现目标8五IM即时通讯软件的封堵：9ISA 2006的几种常用验证方式：12六专案时间进度：14一、方案背景1.1 ISA Server 产品概述 Microsoft Internet Security and Acceleration (ISA) Server 是高级应用程序层防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案，它使客户能够通过提高网络安全和性能轻松地从现有的 IT 投资获得最大收益。 ISA Server 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行 Microsoft 应用程序（如 Microsoft Outlook Web Access (OWA)、Microsoft Internet 信息服务、Office SharePoint Portal Server、路由和远程访问服务、Active Directory 目录服务等）的网络。 ISA Server 包含一个功能完善的应用程序层感知防火墙，有助于保护各种规模的组织免遭外部和内部威胁的攻击。ISA Server 对 Internet 协议（如超文本传输协议 (HTTP)）执行深入检查，这使它能检测到许多传统防火墙检测不到的威胁。ISA Server 的集成防火墙和 VPN 体系结构支持对所有 VPN 通信进行有状态筛选和检查。该防火墙还为基于 Microsoft Windows Server 2003 的隔离解决方案提供了 VPN 客户端检查，帮助保护网络免遭通过 VPN 连接进入的攻击。此外，全新的用户界面、向导、模板和一组管理工具可以帮助管理员避免常见的安全配置错误。1.2 设计要求根据用户需求，ISA Server 员工上网管理系统的方案设计应达到以下目标：l 系统稳定可靠、满足150以上用户上网负载l 高度可伸缩性的体系构架。能方便地扩充容量，以满足公司未来发展的需要。l 方便的客户端设置，自动设置客户电脑作为ISA客户端l 提供WEB Cache 功能，提高上网速度l 与AD域集成，通过AD服务器验证身份，为不同的用户组实施不同策略l 记录员工上网记录l QQ、MSN等IM通讯软件以及P2P协议的封堵二设计方案2.1方案构架ISA Server 在企业内有三种部署方式：l ISA作为客户机网关，客户机安装ISA client，此方式支持AD域验证l ISA作为内网HTTP代理网关，客户端IE自动设置代理服务器为ISA Server,此方式支持AD域验证。l ISA作为客户机网关，客户机不安装ISA client，客户机直接把网关设定为ISA Server 此方式不支持AD域验证。考虑到用户公司目前已经有硬件网关设备，客户机上也不希望安装ISA client,同时需要根据AD域用户分组设定ISA访问策略。因此建议用户采用 ISA Server 作为公司内部Http 代理网关的部署方式。下图为ISA作为Http代理网关部署的系统构架示意图：选用Http代理架构部署ISA Server 的好处： 支持AD域验证，管理方便。 支持WEB Cache 客户IE可以通过DHCP 来自动分发Http代理网关IP。无需设置客户机IE设置。 把http与Email 、DNS等通讯分离开，便于封堵通过80端口上网的P2P和QQ等软件。2.2 Active Directory目录服务器Active Directory域服务器为ISA提供身份验证。为不同的用户组赋予不同的访问权限。2.3 ISA Server 2006服务器Http 应用层过滤器 ISA Server 2006提供对超文本传输协议 (HTTP) 通信的细化控制。该控制以 HTTP 筛选器的形式给出，即检查用于设置 HTTP 策略的 HTTP 命令和数据的应用程序层筛选器。HTTP 筛选器筛选所有通过 ISA Server 计算机的 HTTP 流量。通过Http筛选器，我们可以比较细化的控制Http协议内数据访问，例如阻止通过Http代理运行的P2P软件和QQ等及时通讯软件。 开启Http应用层过滤器会增加ISA服务器的负载，如果开启的话，建议增加内存 2.4 客户机IE Http代理自动设置对于客户机较多的公司，IE 的Http代理设置是一件比较繁琐的事情，如果笔记本电脑离开公司环境，又需要员工手动更改IE的http 代理设置，极为不方便。所幸ISA 2006为我们提供了WPAD通过DHCP和DNS 自动设置客户端IE的Http代理。使用客户端IE http代理自动设置后，客户机不用更改设定，加入公司局域网环境就自动使用ISA Server 作为Http代理服务器。离开公司就自动取消IE Http代理设置。大致流程如下：1. 客户端向DNS或者DHCP服务器查询WPAD服务器是哪一台计算机。2. DNS或DHCP服务器将WPAD服务器的IP地址告诉客户端。3. Web代理客户端向WPAD服务器索取Wpad.dat文件或者防火墙客户端向WPAD服务器索取wspad.dat文件。4. WPAD服务器将wpad.dat或者wspad.dat传给客户端。5. 客户端依据wpad.dat或者wspad.dat文件的内容来配置浏览器与得知可提供服务的ISA server。6. 客户端通过所得知的ISA server来访问因特网的资源。2.5 ISA Server 2006 企业版NLB可扩展规划。 对于企业用户来讲，如何确保系统的高可用性、高稳定性和可扩展性是摆在IT人员面前的一个重要课题。当一台ISA服务器无法负载日益增长的用户负载后，需要采用NLB ISA Server群集，客户端使用一个虚拟的 IP 地址来访问群集。和Windows系统实现的NLB不同，ISA服务器提供的NLB集成到了ISA服务器中，从而使您可以轻松地管理受ISA服务器保护的不同网络之间的NLB。下图反映了ISA Server 2006 NLB的部署： ISA Server NLB集群具有良好的高可用性和可扩展性。集群中任何一台机器出现故障都不会影响集群的工作。当公司扩大，用户数增多时，也可以很方便的在现有集群中增加ISA Server 服务器。2.6 ISA 2006 VPN功能 ISA 2006 集成VPN功能，能够使公司员工使用域帐号通过VPN登陆公司内网。三建议ISA Server 2006软硬件配置建议服务器配置：单CPU、2G内存(如果采用开启Http应用过滤器的话，建议4G内存)、硬盘 SAS 72G*2 Raid1、配2块网卡（一块内网、一块外网）软件需求：Windows 2003 server R2 SP2+ISA Server 2006 企业版(如果不考虑以后扩展作负载均衡集群的话采用ISA Server 2006标准版)四ISA server实现目标1） VPN服务的安全性和可管理性有大幅度提供：由于ISA Server能够完美的支持Active Directory的用户验证和策略控制，因此企业的IT部门可以轻松的通过活动目录，对VPN用户进行简便快捷的管理和监控，从而将企业IT部门从之前繁重的远程用户管理和监视工作中解脱出来，同时也大大简化了企业网络用户使用VPN服务的难度。2） 数据中心服务器的安全性显著提高：通过使用ISA Server内置的服务器发布功能，原来暴露在互联网上的数据中心服务器得以隐藏在ISA Server的保护之下，并只对外界提供单一的有效服务和端口，从而大大缩小了这些服务器的受攻击面。另外，ISA Server还能通过自定义的访问控制策略，进一步增强企业数据中心服务器的安全性。3） 内部网络中恶意软件事件大幅减少：ISA Server可自定义的数据过滤功能，使得企业的IT部门可以对进入企业内部网络的数据类型进行过滤和拦截，例如禁止内部网络用户下载可执行文件和压缩文件，从而有效的降低了内部网络中用户系统感染各种恶意软件的可能性。4） 较低的综合使用成本：ISA Server采取灵活的部署方式，允许管理员根据内部网络的流量情况，部署单台或多台ISA Server服务器，从而保证企业内部网络的连接速度和响应时间。ISA Server继承自Microsoft产品一贯的易用性，也使得企业IT部门不需要在ISA Server的管理和维护上花费过多的成本和精力。五IM即时通讯软件的封堵：封堵原理因为网管必须保证员工能正常上网办公，所以不可能禁用HTTP协议，这也是禁止即时通信工具MSN和QQ使用HTTP代理的难点。如何解决这个难题呢?恰好现在很多企业级网络防火墙都新增了“深度防护”的概念，如ISA Server 2006，它不但可以对通信中的网络数据包进行检验，而且还可以检查数据包应用层中的内容，能对HTTP应用层数据进行过滤和检测。ISA Server 2006一旦发现HTTP应用层数据中包含MSN和QQ的关键字信息，就可将该数据包丢弃，以此就能达到禁用MSN和QQ等即时通信工具使用HTTP代理的目的。解决办法要想阻止MSN和QQ使用HTTP代理，最有效、最简单的办法就是过滤掉网络通信中的IM数据包，这种过滤措施是通过识别IM数据包中所包含的IM关键字来实现的，利用ISA Server 2004防火墙提供的“签名”功能很容易做到。网络环境:由ISA Server 2006服务器统一管理的网络封堵工具:ISA Server 2006防火墙提示:ISA防火墙提供了很强大的网络监控和管理功能，如深度防护和过滤功能，利用这些功能可禁止MSN和QQ使用HTTP代理。当然要知道MSN和QQ数据包中所包含的特征关键字才行。封堵步骤:获得MSN和QQ的关键字;启用ISA签名功能;启动“封堵”功能。掌握“关键字”做好以上准备工作后，就可以开始进行“封堵”的设置了，在找到MSN和QQ数据包中的关键字后，配置一下ISA防火墙即可完成设置工作。因为ISA防火墙就是利用MSN和QQ数据包所包含的特征关键字，来过滤掉HTTP数据包中所包含的IM数据包，实现禁用HTTP代理的目的，因此必须首先找出MSN和QQ数据包中的关键字。ISA Server 2006 提供的“签名”功能作用在HTTP应用层中，是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN发送的数据包中包含的关键字是“MSMSGS”，而QQ数据包使用的关键字是“”，掌握了这些信息后，就容易利用“签名”功能封堵HTTP代理。开始“封口” 掌握了聊天工具使用HTTP代理传出的数据包中的关键字后，我们就可顺藤摸瓜，利用这些“关键字”封住它们的通讯。ISA防火墙就是利用内置的“签名”功能，来禁止MSN和QQ使用HTTP代理，因此必须要合理配置“签名”功能才行。在ISA Server 2006服务器的控制台窗口中，右键单击“允许用户访问外部网络”规则，在弹出菜单中选择“配置HTTP”选项。接着在“为规则配置HTTP策略”对话框中，切换到“签名”标签页，现在就可以利用签名功能，禁用HTTP代理。禁用MSN禁止MSN使用HTTP代理，只要过滤掉包含有关键字“MSMSGS”的数据包即可。在“签名”标签页中，点击“添加”按钮，弹出签名配置对话框，在“名称”栏中输入“MSN Messenger”，然后在“查找范围”下拉列表框中选择“请求头”选项，在“HTTP头”栏中输入“User-Agent:”，然后还要在“签名”栏中输入“MSMSGS”，最后连续两次点击“确定”按钮即可完成设置。禁用QQ 和禁止MSN使用HTTP代理一样，禁止QQ使用HTTP代理，只要过滤掉包含有关键字“”的数据包即可。在“签名”标签页中点击“添加”按钮，弹出签名配置对话框，在“名称”栏中输入“QQ”，然后在“查找范围”下拉列表框中选择“请求URL”，接着在“签名”栏中输入“”，最后两次点击“确定”按钮完成设置。禁用其他聊天软件禁止其他IM工具使用HTTP代理的方法也是相同的，只要知道该IM数据包中所包含的特征关键字，然后在ISA防火墙的“签名”功能中进行相应配置即可。最后在ISA Server 2006防火墙策略窗口中选中“允许用户访问外部网络”规则，点击上方的“应用”按钮，使以上的签名配置生效，这样就可彻底禁止MSN、QQ等聊天工具使用HTTP代理。总结:禁止MSN和QQ使用HTTP代理的原理非常简单，关键就是要知道IM数据包中的特征关键字，然后配置ISA防火墙的签名功能进行相应的过滤即可。以下为签名列表：应用程序位置HTTP 头签名MSN Messenger请求头User-Agent:MSN MessengerWindows Messenger请求头User-Agent:MSMSGSNetscape 7请求头User-Agent:Netscape/7Netscape 6请求头User-Agent:Netscape/6AOL Messenger（和所有 Gecko 浏览器）请求头User-Agent:Gecko/Yahoo Messenger请求头HKazaa请求头P2P-AgentKazaaKazaaclient:Kazaa请求头User-Agent:KazaaClient Kazaa请求头X-Kazaa-Network:KaZaAGnutella请求头User-Agent:GnutellaGnucleusEdonkey请求头User-Agent:e2dkInternet Explorer 6.0请求头User-Agent:MSIE 6.0Morpheus响应头ServerMorpheusBearshare响应头ServerBearshareBitTorrent请求头User-Agent:BitTorr