网管员必读——网络安全(第2版)第五章.ppt

1、第5章 ISA Server 2004/2006基础和应用配置,本章将同时介绍ISA Server 2004和2006两个版本的主要功能，及一些主要的应用配置方法。 本章重点 网络规则和防火墙策略 ISA Server 2004的主要功能 ISA Server 2004的主要应用配置 ISA Server 2006的主要改进 ISA Server 2006的安装与升级 ISA Server 2006基于角色的管理 ISA Server 2006在网络保护方面的配置 在ISA Server 2006中发布Web网站规则 在ISA Server 2006中发布OWA规则 在ISA Server 2

2、006中发布邮件服务器规则,5.1 ISA Server基础,5.1.1 ISA Server概述 1两个版本 ISA Server有两个版本，即我们通常所见到的“标准版”和“企业版”。ISA Server标准版具备为小型企业、工作组和部门环境提供企业级防火墙安全和Web缓存的能力。ISA Server企业版是为了满足大容量Internet通信环境对性能、管理和扩展能力的要求而推出的。2ISA Server的作用 ISA Server的主要功能还是表现在以下几个方面: Internet防火墙 发布安全服务器 作为Web缓存服务器以上具体内容参见书中介绍。,5.1.2 ISA Server 20

3、04的主要功能,1ISA Server 2004新增功能 ISA Server 2004是基于原先的ISA Server以及Windows Server 2003技术构建的。相对它的前版本ISA Server 2000版本来说，ISA Server 2004包括许多新功能和增强功能。具体参见书中介绍。2ISA Server 2004的主要功能特性 参见书中表5-2。5.1.3 ISA Server 2004与其他类型软件防火墙的比较 相对于其他类型软件防火墙解决方案，ISA Server 2004的主要优势包括了它的高级应用层检测和保护功能，易于使用，并提供快速、安全的Internet访问的能

4、力，分布式防火墙集中管理能力，以及易于与目前的防火墙和VPN结构集成的功能 。具体参见书中介绍。,5.1.4 ISA Server 2006的主要功能,ISA Server 2006的主要功能体现在以下三个方面： 保护Microsoft应用系统体系构架 改善IT网络 保护IT环境具体内容参见书中介绍。5.1.5 ISA Server 2006的主要改进 相比ISA Server 2004版本来说，ISA Server 2006主要作了以下几个方面改进 针对应用发布方面的增强 针对分部网络的支持 针对安全访问方面的增强以上具体内容参见书中介绍。,5.2 ISA Server 2004/2006的

5、安装与升级,5.2.1 ISA Server 2006企业版组件和管理员角色 参见书中表5-6和表5-7。5.2.2 ISA Server 2004的安装条件 与ISA Server 2004配合最好的操作系统就是Windows Server 2003，在这一系统中安装可以实现ISA Server 2004的全部功能。而且还必须要有至少一个NTFS格式的本地硬盘分区，可用空间至少是150 MB，用于ISA Server缓存磁盘配额配置。 如果是在运行Windows 2000的计算机上安装ISA服务器则必须安装Windows 2000 Service Pack4（SP4）或更高版本；必须安装IE

6、 6或更高版本。如果使用的是Windows 2000 SP4整合安装，还必须安装Q821887（也称“KB821887”修补程序）。,5.2.3 ISA Server 2006的安装事项和部署思路,1ISA Server2006企业版安装前的考虑 开始安装之前，请考虑ISA Server2006 Enterprise Edition基础结构的拓扑，同时考虑以下事项。 是否要在工作组或受信任的域环境中部署ISA服务器。 要将配置存储服务器安装在何处。 是否要将所有配置存储服务器安装在同一个站点中。 在企业中安装多少个阵列。 每个阵列中有多少个成员。 是否要远程管理企业。 安装多少台远程管理计算机

7、。 至少一个NTFS格式的磁盘分区，用于ISA Server缓存磁盘配额配置。,2ISA Server 2006企业版服务器的部署思路安装ISA服务器之前，请按照以下步骤部署计算机。（1）安装配置存储服务器（2）在配置存储服务器中创建阵列、企业网络规则和企业策略。（3）在一台或多台计算机上安装ISA服务器服务。3ISA Server 2006企业版的安装过程注意事项 安装ISA Server 2006时需考虑以下几个方面： 注意安装方案 注意选择适当的网络适配器 选择适当的防火墙客户端加密规则 安装过程中将重启或禁用一些服务 必须要确保2171号端口打开，并且没有被占用以上具体内容参见书中介绍

8、。,5.2.4 由ISA Server 2004向ISA Server 2006的升级,可选用的升级方案参见书中表5-8所示。 1标准版的升级在升级标准版本时，可以采用以下两种方式。 备份原有配置，全新安装ISA Server 2006标准版，然后恢复原有配置。 直接运行ISA Server 2006安装进行升级。2企业版的升级 企业版升级过程中需要注意以下几点。 服务器系统必须为Windows Server 2003 SP1或以上版本。 在运行升级之前，卸载原有的“防火墙客户端安装共享”和“SMTP消息筛选器”两个组件。 配置存储服务器不能直接升级，必须先通过导出向导备份原有配置，然后安装I

9、SA Server 2006的配置存储服务器，再将原有配置通过导入向导还原。 ISA Server服务可以直接运行升级向导进行升级，也可以直接安装全新的ISA Server服务加入到当前阵列。,5.3 ISA Server 2004/2006的网络与网络集,5.3.1 多网络结构（略）5.3.2 网络和网络集配置 1ISA Server预配置的5种网络 ISA服务器预配置了下列5种网络：本地主机、外部、内部、VPN客户端和被隔离的VPN客户端。如下图所示。,2网络集 安装ISA服务器时，会创建两个网络集：所有网络、所有受保护的网络，如图5-30所示。不能修改或删除这些网络集。,创建网络后，可以

10、将一个或多个网络组织成网络集。网络集可以包含一个或多个网络，或者可以明确地排除一个或多个网络。规则可以应用于网络或网络集。,5.3.3 网络模板,ISA服务器包含与常见网络拓扑对应的网络模板，可以使用网络模板来为网络之间的通信配置防火墙策略。这些内置的模板为： 边缘防火墙网络模板 三向外围网络模板 前端网络模板 后端网络模板 单一网络适配器网络模板以上内容参见书中介绍。,5.4 ISA网络规则和防火墙策略,5.4.1 网络规则1默认规则 ISA服务器在安装时会创建下列默认规则。 本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。 VPN客户端到内部网络：此规则定义了在内

11、部网络与被隔离的VPN客户端以及VPN客户端网络之间存在的路由关系。 Internet访问：此规则定义了在内部网络与外部网络之间存在的NAT关系。2网络规则的处理顺序 网络规则是有顺序的。为了确定两个地址A和B之间的地址关系，ISA服务器按照优先级顺序处理网络规则，查找与地址匹配的规则。地址关系由匹配的第一条规则指定。以上具体内容参见书中介绍。,5.4.2 ISA防火墙系统策略,1系统策略概述 ISA服务器采用了一个系统策略，这是一组防火墙策略规则，用于控制ISA服务器计算机如何启用管理网络安全性和连接性所需的结构。在安装时将会启用一些系统策略规则。这些规则将被视为有效管理ISA服务器环境最基

12、本的、必要的规则。安装ISA服务器之后，可以配置系统策略。可以标识对管理网络的方式无关的那些服务和任务，然后禁用关联的系统策略规则。2系统策略规则 当启用系统策略配置组时，将启用一个或多个系统策略规则。安装过程中规则适用于书中表5-13中的特定网络。3系统策略默认设置（略）以上具体内容参见书中介绍。,5.4.3 ISA防火墙策略工作方式,用ISA Server可以创建包含一组发布规则和访问规则的防火墙策略。这些规则与网络规则一起，共同决定了客户端如何跨网络来访问资源。 1传出请求 当ISA服务器处理传出请求时，它检查网络规则和防火墙策略规则以确定是否允许访问。 2传入请求 当ISA服务器处理来

13、自客户端的HTTP或HTTPS请求时，它检查发布规则和Web链规则，以确定是否允许该请求，以及将由哪一台服务器来处理该请求。 3Web发布规则和Web链规则 Web发布规则是按顺序处理的，其中默认Web发布规则最后处理。Web链规则也是按顺序处理的。当外部客户端向内部Web服务器请求对象时，将按下列顺序处理规则：（1）Web发布规则；（2）Web链规则。 以上具体内容参见书中介绍。,5.5 ISA防火墙访问与发布规则,5.5.1 防火墙访问规则 访问规则决定源网络上的客户端如何访问目标网络上的资源。可以将访问规则配置为适用于所有IP通信、适用于特定的协议定义集，或适用于除所选协议之外的所有IP

14、通信。1通信规则 ISA服务器包含预配置的、已知协议定义的列表，其中包括最广泛使用的Internet协议。用户还可以添加或修改其他协议。仅当某个访问规则明确允许客户端使用特定的协议进行通信，并且允许访问请求的对象时才处理请求。2访问规则和应用程序筛选器 一些应用程序筛选器将创建和安装新协议定义。禁用应用程序筛选器之后，同时将禁用其所有协议定义。当访问规则允许所有IP通信时，ISA服务器将任何匹配该规则的通信传递到适合的应用程序筛选器。如果通信不符合应用程序筛选器的标准，ISA服务器将拒绝通信，并且将关闭连接。,当由应用程序筛选器定义协议或将访问规则适用于只有一个首要连接的协议时，访问规则将适用

15、于防火墙客户端和SecureNAT客户端。 3每条规则筛选应用程序筛选将基于每条规则进行应用。这意味着可以选择最适合于特定的安全需求的防火墙策略。每条规则筛选可用于下列应用程序筛选器中的访问规则。 HTTP筛选器。 RPC筛选器 4默认规则在安装ISA服务器时将创建一条默认规则，用于拒绝出入所有网络的全部访问。不能修改或删除此默认规则。 以上具体内容参见书中介绍。,5.5.2 ISA防火墙Web发布规则,ISA服务器使用Web发布规则来缓解与发布Web内容有关的问题，同时又不危及网络的安全性。Web发布规则决定了ISA服务器将如何拦截对Web服务器上的超文本传输协议（HTTP）对象的传入请求，

16、以及ISA服务器将如何代表Web服务器进行响应。当请求被转发到位于ISA服务器计算机后面的Web服务器时，如果可能，将从ISA服务器缓存中提供所请求的对象。 配置Web发布规则时，应指定下列设置：Web服务器的名称（或IP地址）、路径映射、可以访问已发布的Web服务器的用户或计算机、源、Web侦听器、桥接和链接转换。 具体内容参见书中介绍。,5.5.3 ISA防火墙的安全Web发布规则,使用ISA服务器，可以创建安全Web发布规则，以发布用于宿主HTTPS内容的网站。安全Web发布规则确定ISA服务器如何侦听内部Web服务器上的HTTPS对象的传入请求，以及ISA服务器如何代表Web服务器进行

17、响应。请求将转发给位于ISA服务器计算机后面的内部Web服务器。所用的技术参见书中介绍。 5.5.4 服务器发布规则 ISA服务器使用服务器发布来处理内部服务器的传入请求，如文件传输协议（FTP）服务器、结构化查询语言（SQL）服务器等。请求被转发到下游位于ISA服务器计算机后面的内部服务器。 1服务器发布概述 服务器发布实际上允许内部网络上的任何计算机发布到Internet。发布的服务器是SecureNAT客户端。服务器发布规则决定服务器发布的执行方式，本质上是筛选通过ISA服务器计算机的所有传入和传出请求。,2每条规则筛选 应用程序筛选将基于每条规则进行应用。这意味着用户可以选择最适合于你

18、特定的安全需求的防火墙策略。每条规则筛选可用于Exchange RPC筛选器的服务器发布规则。 3改写默认端口 使用ISA服务器发布服务器时，默认情况下防火墙将侦听相应协议标准端口上的传入请求，并且将传入连接传递到发布服务器上的相同标准端口。 4服务器发布的工作方式（略） 5服务器发布规则的用法 在很多情况下，实际上可以使用访问规则（而不是服务器发布规则）使服务器可用于客户端。 6发布DNS服务器 禁用服务器发布规则之后，将拒绝任何尝试连接到服务器的请求。但是，请注意，ISA服务器不关闭活动连接。 7禁用规则 ISA服务器并不转换DNS服务器的IP地址。要发布DNS服务器，请在本地主机网络和包

19、含DNS服务器的网络之间配置路由的网络关系。同样，ISA服务器必须知道DNS服务器的IP地址。 以上具体内容参见书中介绍。,5.5.5 邮件服务器发布规则,当创建邮件服务器发布规则时，ISA Server 2004创建允许客户端访问其邮件服务器所需的发布规则。根据所指定的邮件服务器的类型，将配置Web发布规则或服务器发布规则，以便允许使用用户指定的协议访问邮件服务器。 可以从已发布的邮件服务器所提供的下列访问类型中选择一种。 Web客户端访问 客户端访问 服务器到服务器的通信具体配置方法参见书中介绍。,5.6 ISA Server 2004的主要应用,5.6.1 ISA Server 2004

20、的通用应用场景ISA Server 2004的通用应用场景包括以下内容： 用于移动员工的电子邮件访问 为远程用户建立虚拟专用网络 在合作伙伴之间建立加密隧道 为移动员工建立远程访问 将分支机构链接到一起 控制和保护避免恶意通信 为提高性能进行内容缓存,5.6.2 向外部雇员提供高安全的电子邮件访问,ISA Server 2004为Microsoft Office Outlook Web访问Web站点，提供了独特级别的保护。利用ISA Server 2004易于使用的用户界面，企业能够迅速设置Web发布规则，强制执行基于窗体的验证。 ISA Server 2004提供了两种Web服务器发布方式：

21、一种是普通的Web服务器发布方式，另一种是安全的Web服务器发布方式。 具体配置方法参见书中介绍。,5.6.3 为远程用户提供内部网络信息的安全访问,ISA Server 2004使用Web和服务器发布规则来通过Internet安全地发布信息。SA Server 2004集成的Web服务器发布向导自动执行普通的安装任务，并且减少了错误配置的风险。另外，发布Web和服务器的链接转换，可以智能地将内部链接转换为公共可访问的URLs。 具体配置方法参见书中介绍。5.6.4 使合作伙伴安全地访问企业网络信息 使用ISA Server 2004中的集成VPN功能，可以安全地以站点对站点的VPN方式，将业

22、务合作伙伴连接到本企业网络，同时限制它们对特定服务器和应用程序的访问。 ISA Server 2004对合作伙伴与企业网络之间的所有通信进行加密，确保机密性并防止数据被盗取或者被修改。此外，高安全性VPN站点间链接提供合作伙伴与企业间网络互访，而这种访问对于企业间来说是透明的、安全的，在企业网络间访问是加密的。 具体配置方法参见书中介绍。,5.6.5 为员工提供远程访问所需要的企网资源,通过高级应用层检查，ISA Server 2004可以通过检查和分析VPN远程访问客户端通信来阻止蠕虫和病毒，有助于保护企业网络避免中断远程计算机通过VPN访问企业网络。可以使用ISA Server 2004向

23、VPN用户和组分配灵活的网络规则，允许他们访问指定的服务器和应用程序，同时阻止他们连接到企业网络上的其他资源。 具体配置方法参见书中介绍。,5.6.6 使分支机构通过Internet与总部安全通信,ISA Server 2004的VPN网关允许管理员将整个网络通过VPN，站点对站点连接到一起。 ISA Server 2004驱动的防火墙管理器支持IPSec隧道模式的VPN协议，能够设置强大的访问控制，包括对通过VPN的站点对站点的链接进行通信的用户、组、站点、计算机、协议，以及应用层的特定控制。通过适当设置这些强大访问控制，本地网络上的用户只能够访问远程网络上被允许访问的内容，同时远程网络用户

24、也只可以访问到被指定的本地网络资源。强大的ISA Server访问控制允许企业雇员访问能够帮助他们完成工作的必要信息，同时阻止访问所有其他计算机资源。ISA Server 2004依赖并增强由“路由和远程访问”启用的基本虚拟专用网络（VPN）功能。虽然大部分VPN配置都是使用ISA服务器管理完成的，但是也可以使用“路由和远程访问”来配置某些高级设置。 具体配置方法参见书中介绍。,5.6.7 控制Internet访问并保护客户端免遭恶意攻击,利用ISA Server 2004，可以对用户进行轻松控制，并且为用户端口应用Internet访问策略，实现保护用户免遭Internet上恶意通信的攻击。灵

25、活的防火墙策略允许阻挡来自某些Web站点的访问；也可以过滤掉某些内容。 ISA Server 2004与活动目录的目录服务集成的特性，使为基于活动目录的用户和组，根据不同企业成员和不同工作级别建立特定的访问控制。 另外，ISA Server 2004的应用层状态过滤功能，通过保护客户端计算机和服务器免遭高级攻击，实现提高应用环境可靠性。 具体配置方法参见书中介绍。,5.6.8 确保对经常使用的Web内容进行快速访问,ISA Server 2004中的缓存功能可以确保对经常使用的Web内容的快速访问。ISA Server还可以在下游缓存已满的情况下将特定请求发送到上游缓存服务器。 除了路由Web

26、请求到上游缓存和下游缓存Web缓存服务器之外，ISA Server 2004企业版还通过缓存阵列路由协议（CARP）支持Web缓存服务器阵列。智能的CARP运算规则显著地加快了Web访问速度，并且通过CARP运算规则 的容错能力和负载均衡功能增强了Web访问的可靠性。 ISA Server 2004企业版缓存阵列也是非常有效的。不会发生Web内容被缓存两次的事情，这一方法大大增加了原本被缓存到单一阵列的Web内容。 具体配置方法参见书中介绍。,5.7 ISA Server 2006应用的最佳配置建议,利用ISA Server 2004，可以对用户进行轻松控制，并且为用户端口应用Internet

27、访问策略，实现保护用户免遭Internet上恶意通信的攻击。灵活的防火墙策略允许阻挡来自某些Web站点的访问；也可以过滤掉某些内容。 ISA Server 2004与活动目录的目录服务集成的特性，使为基于活动目录的用户和组，根据不同企业成员和不同工作级别建立特定的访问控制。 另外，ISA Server 2004的应用层状态过滤功能，通过保护客户端计算机和服务器免遭高级攻击，实现提高应用环境可靠性。 具体配置方法参见书中介绍。,5.8 ISA Server 2006基于角色的管理,ISA Server 2006允许将管理角色应用于用户和组。在确定允许哪些组来配置或查看 ISA Server 策略

28、并监视信息后，便可适当地分配角色。通过基于角色的管理，可将ISA Server管理员组织成单独的预定义角色，每人都有其自己的一组任务。5.8.1 基于角色的管理功能 与环境中的任何应用程序类似，当定义ISA Server权限时，应当考虑ISAServer管理员的角色，并仅为其分配必需的权限。ISA Server管理组的成员可以是任何Windows用户。无须任何特殊的权限或Windows权限。5.8.2 管理角色（标准版）（略）5.8.3 阵列级管理角色（企业板）（略） 5.8.4 企业级管理角色（企业版）（略）5.8.5 域和工作组的角色（企业版）（略） 以上各小节的具体内容参见书中介绍。,5

29、.9 ISA Server 2006有防范淹没和攻击方面的应用,ISA Server 2006凭借入侵检测、淹没缓解、电子欺骗检测，及其他完善的攻击检测功能来帮助实现访问保护。 5.9.1 ISA Server 2006网络保护功能概要 ISA Server 2006在网络保护方面的功能参见书中表5-20。典型攻击类型参见书中表5-21。具体内容参见书中介绍。5.9.2 配置攻击缓解功能 ISA Server具备攻击缓解功能。用户可对这些功能进行配置和监控，以确保网络持续免受恶意攻击。根据特定部署，可配置以下功能：淹没攻击和蠕虫传播缓解；对ISA Server资源的DoS攻击；记录淹没缓解；启

30、用日志记录；每个IP地址的已拒绝日志条目和警报；配置HTTP连接限制。 以上功能的具体配置方法参见书中介绍。,5.9.3 配置攻击保护,本节介绍的是 “IP数据包保护”、“DHCP防中毒保护”和“入侵检测”三部分功能。1配置IP数据包保护 可通过配置ISA Server处理IP数据包的方式：IP片段过滤、IP路由和IP选项来实现IP数据包的保护。2配置DHCP防中毒保护 ISA Server可检测出无效的DHCP offer数据包。只有当DHCP offer数据包包含在与分配IP地址的网络适配器相关联的网络对象范围内，才能被视为有效。当检测出无效的DHCP offer数据包时，ISA Serv

31、er将触发“Invalid DHCP offer”（无效DHCP offer数据包）警报，并忽略无效的DHCP offer数据包。3配置入侵检测 检测恶意入侵时，ISA Server会将网络通信量和日志条目与众所周知的攻击方法进行对比，可疑活动将触发警报。操作包括连接终止、服务终止、电子邮件警报和日志记录。 以上三方面功能的具体配置方法参见书中介绍。,5.9.4 ISA Server预配置的攻击保护,ISA Server包含防止特定攻击的预配置保护。其中包括电子欺骗检测和广播保护。1电子欺骗检测警报 每当网络适配器收到数据包时，ISA Server都会检查数据包来源是否是假冒的。同时会会检查数

32、据包的源IP地址是否是接收它的特定网络适配器的有效IP地址。如果无效，ISA Server将发出警报，指出已发生IP电子欺骗攻击。2广播保护 广播即是使用无连接协议（如UDP）将单个消息（数据包）发送给多个接收者。有3种类型的广播地址：受限的广播地址、网络广播地址、子网广播地址。 ISA Server不允许在ISA Server计算机上的各网络适配器之间发送任何广播消息。ISA Server将确定某规则是否适用于广播地址。 以上两功能的具体配置方法参见书中介绍。5.9.5 警报（略）,5.9.6 网络保护的最佳实践建议,1检测淹没攻击 按照以下指南来检测网络是否遭受淹没攻击： 检查ISA Server计算机上是否有CPU用量突然波动、内存耗用量增加或日志记录率非常高的情况。 检查是否有相关警报 使用ISA Server日志检验通信量，以验证该通信量是否是要求和允许的通信量。 确定具有潜在危害的客户端 已拒绝通信量的日志条目 指出创建了大量连接然后立刻关闭这些连接的日志2缓解淹没攻击 当发出警报时，请确定网络是正在受到攻击，还只是有效通信量负荷过大。如果由于恶意通信量而导致超出限制，请尝试执行以下操作。 如果恶意通信量看起来似乎源自内部网络，则可能表示内部网络上存在病毒。确定源IP地址，并立即从网络断开计算机。 如果恶意通信量看起来似乎源自