第5章 ISA Server 2006的應(yīng)用配置-2

1、第5章 ISA Server 2006的應(yīng)用配置本章學(xué)習(xí)目標(biāo)ISA Server 2006的主要功能ISA Server 2006的安裝ISA Server 2006的網(wǎng)頁緩存ISA Server 2006的客戶端應(yīng)用ISA Server 2006在網(wǎng)絡(luò)保護(hù)方面的配置在ISA Server 2006中發(fā)布Web網(wǎng)站規(guī)則15.1 ISA Server簡介 ISA Server是建立在Windows 2003操作系統(tǒng)上的一種可擴(kuò)展的企業(yè)級(jí)防火墻和Web緩存服務(wù)器。在網(wǎng)絡(luò)內(nèi)安裝ISA Server時(shí)，可以將其配置成防火墻，也可以配置成Web緩存服務(wù)器，或兩者兼?zhèn)洹?25.1 ISA Server簡介

2、5.1.1 ISA Server 2006的主要功能（1）防火墻（Firewall）控制內(nèi)部網(wǎng)絡(luò)與Internet之間的通信，增強(qiáng)網(wǎng)絡(luò)的安全性。 （2）虛擬專用網(wǎng)（VPN） 可以讓遠(yuǎn)程用戶與LAN之間，或者是分別位于兩地的LAN之間，通過Internet建立一個(gè)安全的通道。 （3） Web緩存服務(wù)器 讓用戶更快地訪問到所需的網(wǎng)頁，同時(shí)也可以提高網(wǎng)絡(luò)的效率、節(jié)省網(wǎng)絡(luò)的帶寬。 35.1 ISA Server簡介5.1.2 多網(wǎng)絡(luò)結(jié)構(gòu) ISA Server同時(shí)連接總公司網(wǎng)絡(luò)、分公司網(wǎng)絡(luò)、DMZ網(wǎng)絡(luò)、外地VPN客戶端網(wǎng)絡(luò)與外部網(wǎng)絡(luò) 45.1 ISA Server簡介5.1.3 防火墻的設(shè)置種類和網(wǎng)絡(luò)模

3、板（1）邊緣防火墻ISA Server防火墻計(jì)算機(jī)有兩個(gè)網(wǎng)絡(luò)接口 55.1 ISA Server簡介（2）3向外圍網(wǎng)絡(luò)防火墻涉及到設(shè)置具備3個(gè)網(wǎng)絡(luò)適配器的ISA Server 65.1 ISA Server簡介（3）前端防火墻在網(wǎng)絡(luò)的邊緣部署ISA Server 75.1 ISA Server簡介（4）后端防火墻在外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間部署ISA Server 85.1 ISA Server簡介（5）單一網(wǎng)絡(luò)適配器在具有單一網(wǎng)絡(luò)適配器的計(jì)算機(jī)上安裝ISA Server 95.1 ISA Server簡介5.1.4 ISA Server與VPN的集成很多企業(yè)利用Internet將位于各地的局域網(wǎng)

4、連接起來，但是必須確保網(wǎng)絡(luò)之間所傳送數(shù)據(jù)是安全的。而虛擬專用網(wǎng)（VPN，Virtual Private Network）就是提供此功能的技術(shù)，它讓局域網(wǎng)之間可以通過Internet來建立一個(gè)安全的通道。 105.1 ISA Server簡介5.1.5 ISA Server緩存的種類在網(wǎng)頁緩存服務(wù)器中又分為“正向網(wǎng)頁緩存服務(wù)器”和“反向網(wǎng)頁緩存服務(wù)器”，ISA Server 2006都可以做到。 115.1 ISA Server簡介5.1.6 ISA Server與其他軟件防火墻的比較 具體優(yōu)勢體現(xiàn)在以下幾個(gè)方面 ：（1）高級(jí)保護(hù)ISA Server旨在通過提供有狀態(tài)數(shù)據(jù)包過濾，和鏈路過濾來保護(hù)

5、企業(yè)免遭新型的攻擊。 （2）易于使用ISA Server十分靈活，并易于管理員使用。 （3）快速、安全的訪問ISA Server通過將VPN功能完全集成到防火墻體系結(jié)構(gòu)，加速Web緩存和優(yōu)化防火墻過濾引擎，提供了快速、安全的Internet訪問。 125.1 ISA Server簡介（4）集中日志和報(bào)告ISA Server標(biāo)準(zhǔn)版可以記錄所有通過防火墻的活動(dòng)，而企業(yè)版則允許集中記錄和報(bào)告所有企業(yè)成員的活動(dòng)。 （5）與現(xiàn)有防火墻和VPN構(gòu)架輕松集成ISA Server支持這些企業(yè)將其強(qiáng)大功能與現(xiàn)有的防火墻和VPN構(gòu)架輕松地結(jié)合。 一個(gè)或多個(gè)ISA Server計(jì)算機(jī)可以放置在狀態(tài)包檢測防火墻后面工

6、作，以最少的管理費(fèi)增強(qiáng)整個(gè)企業(yè)的安全性。 135.2 利用VMware建立測試環(huán)境5.2.1 VMware Workstation概述 VMware Workstation允許操作系統(tǒng)和應(yīng)用程序在一臺(tái)虛擬機(jī)內(nèi)部運(yùn)行。在VMware Workstation中，可以在一個(gè)窗口中加載一臺(tái)虛擬機(jī)，它可以運(yùn)行自己的操作系統(tǒng)和應(yīng)用程序?？梢栽谶\(yùn)行于桌面上的多臺(tái)虛擬機(jī)之間切換，通過一個(gè)網(wǎng)絡(luò)共享虛擬機(jī)（例如一個(gè)公司局域網(wǎng)），掛起和恢復(fù)虛擬機(jī)以及退出虛擬機(jī)，這一切不會(huì)影響用戶的主機(jī)操作和任何操作系統(tǒng)或者它正在運(yùn)行的應(yīng)用程序。 145.2 利用VMware建立測試環(huán)境5.2.2 搭建ISA Server 2006

7、測試環(huán)境的步驟 1安裝VMware Workstation 2建立含Windows Server 2003的虛擬機(jī) 3啟動(dòng)虛擬機(jī)并安裝Windows Server 2003操作系統(tǒng) 4安裝VMware Tools 5建立ISA Server 2006計(jì)算機(jī)的虛擬機(jī) 6為ISA Server 2006計(jì)算機(jī)新建一張網(wǎng)卡155.3 ISA網(wǎng)絡(luò)配置和網(wǎng)絡(luò)規(guī)則5.3.1 網(wǎng)絡(luò)和網(wǎng)絡(luò)集配置 1ISA網(wǎng)絡(luò)類型（5種）（1）本地主機(jī) （2）內(nèi)部網(wǎng)絡(luò) （3）邊界網(wǎng)絡(luò) （一般歸為內(nèi)部網(wǎng)絡(luò)）（4）外部網(wǎng)絡(luò) （5） VPN客戶端 （6）被隔離的VPN客戶端 165.3 ISA網(wǎng)絡(luò)配置和網(wǎng)絡(luò)規(guī)則 2創(chuàng)建網(wǎng)絡(luò)用戶可以自

8、己創(chuàng)建所需的新網(wǎng)絡(luò)?？梢赃x擇要?jiǎng)?chuàng)建的網(wǎng)絡(luò)類型有內(nèi)部、外部、邊界和VPN站點(diǎn)到站點(diǎn)這四種。 3網(wǎng)絡(luò)集創(chuàng)建網(wǎng)絡(luò)后，可以將一個(gè)或多個(gè)網(wǎng)絡(luò)組織成網(wǎng)絡(luò)集。默認(rèn)的網(wǎng)絡(luò)集：（1）所有網(wǎng)絡(luò)（2）所有受保護(hù)的網(wǎng)絡(luò)175.3 ISA網(wǎng)絡(luò)配置和網(wǎng)絡(luò)規(guī)則5.3.2 應(yīng)用網(wǎng)絡(luò)模板ISA Server包含與常見網(wǎng)絡(luò)拓?fù)鋵?duì)應(yīng)的五種網(wǎng)絡(luò)模板（參考5.1.3節(jié) ） 185.3 ISA網(wǎng)絡(luò)配置和網(wǎng)絡(luò)規(guī)則5.3.3 網(wǎng)絡(luò)規(guī)則 網(wǎng)絡(luò)規(guī)則確定了在兩個(gè)網(wǎng)絡(luò)實(shí)體之間是否存在著關(guān)系、以及屬于哪種類型的網(wǎng)絡(luò)關(guān)系。 1網(wǎng)絡(luò)關(guān)系（1）路由（2）網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT） 2默認(rèn)規(guī)則（1）本地主機(jī)訪問（2）VPN客戶端到內(nèi)部網(wǎng)絡(luò)（3）Internet訪

9、問195.3 ISA網(wǎng)絡(luò)配置和網(wǎng)絡(luò)規(guī)則 3網(wǎng)絡(luò)規(guī)則的處理順序ISA Server按照優(yōu)先級(jí)順序處理網(wǎng)絡(luò)規(guī)則 。 4創(chuàng)建網(wǎng)絡(luò)規(guī)則創(chuàng)建網(wǎng)絡(luò)規(guī)則時(shí)，不能在網(wǎng)絡(luò)與其自身之間指定網(wǎng)絡(luò)規(guī)則。同一網(wǎng)絡(luò)中的計(jì)算機(jī)之間的通信被指定為路由關(guān)系，不支持NAT關(guān)系。 205.4 安裝ISA Server 2006 5.4.1 安裝前的準(zhǔn)備 1ISA Server 2006企業(yè)版安裝前的考慮 是否要在工作組或受信任的域環(huán)境中部署ISA Server。要將配置存儲(chǔ)服務(wù)器安裝在何處。是否要將所有配置存儲(chǔ)服務(wù)器安裝在同一個(gè)站點(diǎn)中。是否要遠(yuǎn)程管理企業(yè)。安裝多少臺(tái)遠(yuǎn)程管理計(jì)算機(jī)。至少一個(gè)NTFS格式的磁盤分區(qū)，用于ISA Ser

10、ver緩存磁盤配額配置。215.4 安裝ISA Server 2006 2ISA Server 2006企業(yè)版服務(wù)器的部署思路（1）安裝配置存儲(chǔ)服務(wù)器 。（2）在配置存儲(chǔ)服務(wù)器中創(chuàng)建陣列、企業(yè)網(wǎng)絡(luò)規(guī)則和企業(yè)策略 。（3）在一臺(tái)或多臺(tái)計(jì)算機(jī)上安裝ISA Server服務(wù)。 3準(zhǔn)備好VMware Workstation虛擬機(jī)按照5.2節(jié)的要求搭建好ISA Server 2006的測試環(huán)境。 225.4 安裝ISA Server 20065.4.2 安裝ISA Server 2006 1更改ISA Server虛擬機(jī)的SID 由于虛擬機(jī)是從2003Master復(fù)制出來的所有虛擬機(jī)的SID（Secur

11、ity Identifier，安全標(biāo)識(shí)符）都是相同的，因此更改這臺(tái)ISA Server 2006虛擬機(jī)的SID。 2更改網(wǎng)絡(luò)名稱與設(shè)置IP地址 3安裝ISA Server 2006步驟：（1）（16）235.4 安裝ISA Server 20065.4.3 測試ISA Server防火墻是否安裝成功 1被ISA Server防火墻阻擋的測試（1）將Internet Explorer的安全等級(jí)將為中安全性，否則默認(rèn)的高安全性會(huì)阻擋連接大部分的網(wǎng)站。 （2）嘗試訪問外部網(wǎng)站，此時(shí)連接外部網(wǎng)站的網(wǎng)頁會(huì)被ISA Server防火墻阻擋 。 2創(chuàng)建訪問規(guī)則，開放ISA Server 2006計(jì)算機(jī)可以上

12、網(wǎng)步驟：（1）（11）245.5 ISA防火墻策略僅有了網(wǎng)絡(luò)規(guī)則（網(wǎng)絡(luò)之間關(guān)系規(guī)則）還是不夠的，還必須為各種應(yīng)用配置防火墻策略，只有這樣才能確保受保護(hù)的網(wǎng)絡(luò)的安全。ISA防火墻策略主要包括訪問規(guī)則和發(fā)布規(guī)則，是ISA Server的核心所在，也是ISA防火墻應(yīng)用的難點(diǎn)所在。 255.5 ISA防火墻策略5.5.1 ISA防火墻策略工作方式 1傳出請(qǐng)求此訪問策略決定了客戶端如何訪問其他網(wǎng)絡(luò)。 2傳入請(qǐng)求可以使服務(wù)器安全地接受來自其他網(wǎng)絡(luò)客戶端的訪問。 265.5 ISA防火墻策略5.5.2 防火墻訪問規(guī)則 訪問規(guī)則決定源網(wǎng)絡(luò)上的客戶端如何訪問目標(biāo)網(wǎng)絡(luò)上的資源。 1通信規(guī)則ISA Server包含

13、預(yù)配置的、已知協(xié)議定義的列表，其中包括最廣泛使用的Internet協(xié)議。用戶還可以添加或修改其他協(xié)議。 2訪問規(guī)則和應(yīng)用程序篩選器一些應(yīng)用程序篩選器將創(chuàng)建和安裝新協(xié)議定義。禁用應(yīng)用程序篩選器之后，同時(shí)將禁用其所有協(xié)議定義。 275.5 ISA防火墻策略 3每條規(guī)則篩選應(yīng)用程序篩選將基于每條規(guī)則進(jìn)行應(yīng)用。 4默認(rèn)規(guī)則在安裝ISA Server時(shí)將創(chuàng)建一條默認(rèn)規(guī)則，用于拒絕出入所有網(wǎng)絡(luò)的全部訪問。 285.5 ISA防火墻策略5.5.3 ISA防火墻發(fā)布規(guī)則訪問規(guī)則確保了受保護(hù)的網(wǎng)絡(luò)資源不被非法訪問和使用；而發(fā)布規(guī)則就確保了各種應(yīng)用服務(wù)器時(shí)刻處于嚴(yán)格的保護(hù)狀態(tài)，通過規(guī)則來過濾非法的訪問與使用。 2

14、95.5 ISA防火墻策略 1ISA防火墻Web發(fā)布規(guī)則ISA Server使用Web發(fā)布規(guī)則來緩解與發(fā)布Web內(nèi)容有關(guān)的問題，同時(shí)又不危及網(wǎng)絡(luò)的安全性。 可以通過配置HTTP篩選來進(jìn)一步篩選向Web服務(wù)器發(fā)出的請(qǐng)求。（1）操作（2）路徑映射（3）橋接（4）發(fā)布具有相同域名的網(wǎng)站（5）規(guī)則順序305.5 ISA防火墻策略 2ISA防火墻的安全Web發(fā)布規(guī)則使用ISA Server，可以創(chuàng)建安全Web發(fā)布規(guī)則，以發(fā)布用于宿主HTTPS內(nèi)容的網(wǎng)站。 （1）橋接使用橋接，可以配置通信傳遞到Web服務(wù)器的方式。 （2）隧道使用隧道模式時(shí)， ISA Server不對(duì)通信執(zhí)行任何其他篩選。 （3）偵聽器為

15、安全Web發(fā)布規(guī)則指定適當(dāng)?shù)膫陕犉?，將其配置為在某個(gè)HTTPS端口上進(jìn)行偵聽。 315.5 ISA防火墻策略3服務(wù)器發(fā)布規(guī)則ISA Server使用服務(wù)器發(fā)布來處理內(nèi)部服務(wù)器的傳入請(qǐng)求，如文件傳輸協(xié)議（FTP）服務(wù)器、結(jié)構(gòu)化查詢語言（SQL）服務(wù)器等。 （1）服務(wù)器發(fā)布概述（2）每條規(guī)則篩選（3）改寫默認(rèn)端口（4）服務(wù)器發(fā)布的工作方式（5）服務(wù)器發(fā)布規(guī)則的用法（6）發(fā)布DNS服務(wù)器（7）禁用規(guī)則325.6 ISA Server的網(wǎng)頁緩存 5.6.1 網(wǎng)頁緩存概述ISA Server通過緩存（cache）功能來加快內(nèi)部網(wǎng)絡(luò)訪問外部網(wǎng)頁與FTP服務(wù)器的速度，也可以加快外部用戶訪問內(nèi)部網(wǎng)頁與FTP服

16、務(wù)器的速度。 335.6 ISA Server的網(wǎng)頁緩存5.6.2 搭建網(wǎng)頁緩存測試環(huán)境345.6 ISA Server的網(wǎng)頁緩存5.6.3 緩存設(shè)置 1緩存硬盤的大小設(shè)置 2高速緩存（RAM）的大小設(shè)置5.6.4 設(shè)置緩存規(guī)則 1緩存規(guī)則的設(shè)置 2創(chuàng)建緩存規(guī)則5.6.5 緩存區(qū)內(nèi)容的更新 1定時(shí)自動(dòng)下載網(wǎng)頁內(nèi)容 2刪除緩存區(qū)的數(shù)據(jù)355.7 ISA Server客戶端的應(yīng)用5.7.1 ISA Server客戶端概述ISA Server支持三種不同的客戶端，它們分別有著不同的配置，支持的網(wǎng)絡(luò)協(xié)議也有所不同，與ISA Server之間的溝通方式也略微有些不同。 365.7 ISA Server客

17、戶端的應(yīng)用 1 Web代理客戶端（Web Proxy client）只能利用網(wǎng)頁應(yīng)用程序（例如瀏覽器）訪問Internet的HTTP、HTTPS與FTP對(duì)象。 2 SecureNAT客戶端（SecureNAT client）能夠通過ISA Server來訪問Internet的TCP、UDP、HTTP、HTTPS、FTP與其他網(wǎng)絡(luò)協(xié)議的資源。 3防火墻客戶端（Firewall client） 必須另外安裝Microsoft Firewall Client。將HTTP請(qǐng)求傳遞給ISA Server的連接端口8080 。375.7 ISA Server客戶端的應(yīng)用表5-1 各個(gè)客戶端的基本差異Web

18、代理客戶端SecureNAT客戶端防火墻客戶端支持的操作系統(tǒng)所有的操作系統(tǒng)所有的操作系統(tǒng)只支持Windows操作系統(tǒng)支持的網(wǎng)絡(luò)協(xié)議HTTP、HTTPS、FTP是否學(xué)要額外安裝軟件否，但是需要瀏覽器配置否，但是需要網(wǎng)絡(luò)配置是HTTP驗(yàn)證用戶身份是只有VPN客戶端是非HTTP驗(yàn)證用戶身份不支持訪問只有VPN客戶端是選擇適當(dāng)?shù)目蛻舳瞬唤ㄗh選用發(fā)布網(wǎng)站或服務(wù)器普通用戶385.7 ISA Server客戶端的應(yīng)用5.7.2 搭建ISA Server客戶端測試環(huán)境395.7 ISA Server客戶端的應(yīng)用5.7.3 ISA Server的配置 1防火墻規(guī)則的開放 2確認(rèn)可接收“Web代理客戶端”的請(qǐng)求5

19、.7.4 Web代理客戶端的配置步驟：（1）（3）5.7.5 SecureNAT客戶端的配置 1SecureNAT客戶端的配置 2開放DNS流量405.7 ISA Server客戶端的應(yīng)用5.7.6 防火墻客戶端的配置 1客戶端的配置只需要配置IP地址和子網(wǎng)掩碼即可 。 2安裝Microsoft Firewall Client軟件客戶端安裝了Microsoft Firewall Client后，當(dāng)客戶端的Winsock應(yīng)用程序請(qǐng)求與其他網(wǎng)絡(luò)的計(jì)算機(jī)溝通時(shí)，會(huì)由Microsoft Firewall Client負(fù)責(zé)將此請(qǐng)求傳遞給ISA Server，但是如果要溝通對(duì)象是內(nèi)部網(wǎng)絡(luò)的其他計(jì)算機(jī)，則此

20、溝通請(qǐng)求并不會(huì)傳遞給ISA Server。 415.7 ISA Server客戶端的應(yīng)用 3“防火墻客戶端”默認(rèn)也是“Web代理客戶端”當(dāng)防火墻客戶端安裝了Microsoft Firewall Client后，系統(tǒng)自動(dòng)會(huì)在Internet Explorer瀏覽器內(nèi)將ISA Server配置為代理服務(wù)器，客戶端利用Internet Explorer訪問Internet的網(wǎng)頁與FTP對(duì)象時(shí)，該防火墻客戶端被視為Web代理客戶端 425.8 開放訪問Internet5.8.1 訪問Internet概述訪問Internet需要?jiǎng)?chuàng)建如下4個(gè)訪問規(guī)則。 （1）允許內(nèi)部到本地主機(jī)的NetBIOS請(qǐng)求，讓內(nèi)部客戶端可以解析ISA Server主機(jī)的NetBIOS計(jì)算機(jī)名稱。（2）允許內(nèi)部到外部的DNS請(qǐng)求，讓內(nèi)部