5ISA2006_网络防火墙.ppt

一、Microsoft路由级网络防火墙MicrosoftInternetSecurityandAccelerationServer,内容提要,ISA2006介绍ISA2006部署方案利用ISA2006组网ISA2006访问控制的配置ISA2006服务器发布的配置ISA2006VPN的配置ISA2006BandwidthSplitter插件,一、ISA2006简介,微软公司推出的一款重量级的网络安全产品X86架构下最优秀的企业级路由软件防火墙ISA特点灵活的多网络支持易于使用且高度集成的VPN配置可扩展的用户身份验证模型深层次的HTTP过滤功能经过改善的管理功能,一、ISA2006简介,相关概念网络是一个规则元素，它可以包含一个或多个Internet协议(IP)地址范围。网络包含一台或多台计算机，并通常对应于物理网络。内部网单位内部的可信任的网络外围网单位内用于向外部提供服务的直通区域，一般是服务器区外部网单位以外的不信任的网络VPN客户端网远程接入方式进入的客户端组成的网络被隔离的VPN客户端网远程接入方式进入的由于没有满足条件而隔离的客户端组成的网络网络规则定义网络之间是否存在连接性以及定义何种类型的连接性NAT网络地址转化，网络之间通讯时ISA作NAT，它是单向的路由网络之间通讯时ISA进行路由，它是双向的,二、ISA2006部署方案,1边缘防火墙（堡垒主机）*ISAServer2006使用两块网卡，一个连接“内部网络”，一个连接“外部网络”。*“内部网络”代表单位的内部网络，使用私有IP地址。“本地主机”代表ISAServer2006。“外部网络”代表Internet，使用公共IP地址。*配置简单，容易部署。*单点防护。,二、ISA2006部署方案,二、ISA2006部署方案,2三向防火墙*ISAServer2006使用三块网卡，一个连接“内部网络”，一个连接“外围网络”，一个连接“外部网络”。*“内部网络”代表公司中不希望被Internet访问的网络资源，使用私有IP地址。“本地主机”代表ISAServer2006。“外围网络”（非军事化区，DMZ）代表公司中希望被Internet访问的网络资源（如：Web服务器，FTP服务器，邮件服务器），可以使用公共IP地址或私有IP地址。“外部网络”代表Internet，使用公共IP地址。*比“边缘防火墙”方案更安全。*单点防护。,二、ISA2006部署方案,二、ISA2006部署方案,3背对背防火墙（BacktoBack）*有两台ISAServer2006，一个作为“前端防火墙”，一个作为“后端防火墙”。*“前端防火墙”的外网卡连接Internet，内网卡连接“外围网络”。*“后端防火墙”的外网卡连接“外围网络”，内网卡连接“内部网络”。*多点防护，更安全。,二、ISA2006部署方案,三、利用ISA2006组网举例,确定网络拓扑类型在服务器上安装相应的网卡并配置IP地址选择部署方案,三、利用ISA2006组网举例,添加网络网络-新建-网络，按向导建一个网络添加网络规则网络-新建-网络规则，按向导建网络规则，将新建网络和其它网络连接起来，按拓扑构建网络,四、ISA2006访问控制的配置,防火墙策略-新建-访问规则按向导建立防火墙的访问规则,五、ISA2006服务器发布的配置,防火墙策略-新建-xx发布规则按向导建立网站等服务器的发布规则，使服务器可被外部网络直接访问,六、ISA2006VPN的配置,VPN的全称是“虚拟专用网络”(VirtualPrivateNetwork)。它通过特殊的加密的通讯协议在Internet上建立一条专有的通讯线路，把位于不同地方的两个或多个企业内部网连接起来，使用起来就好比是一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。,六、ISA2006VPN的配置,ISA服务器支持两种类型的VPN连接：远程访问VPN连接远程访问客户端可以建立连接到专用网络的远程访问VPN连接。ISA服务器可以提供对VPN服务器所连接到的整个网络的访问。点对点VPN连接路由器可以建立点对点VPN连接，用于连接专用网络的两个部分。ISA服务器可以提供对ISA服务器计算机所连接到的网络的连接。,六、ISA2006VPN的配置,1.远程访问VPN客户端的配置1）配置地址分配2）启用VPN客户端访问3）指定Windows用户或选择一个RADIUS服务器进行用户认证4）验证VPN属性和远程访问配置5）在客户机上配置VPN连接,六、ISA2006VPN的配置,2.点对点VPN的配置虚拟专用网络-远程站点-创建VPN点对点连接，利用向导完成配置,七、ISA2006BandwidthSplitter插件,用于限制用户的上下行网速和流量,七、ISA2006BandwidthSplitter插件,shapingrules在不同的时间内不同来源的客户端到不同的目标网络的流量（进出，进，出）限额quotarules限定或分