ISA及防火墻調(diào)試優(yōu)化

1、ISA及防火墻調(diào)試優(yōu)化,蘇 亮 2009-04,集 團 現(xiàn) 狀,集團：中興us2010雙機熱備+ISA 二級公司：中興us550+ISA 三級公司：中興us120或juniper ssg-5或網(wǎng)神F3,防火墻（雙機）,Internet接入switch,核心三層交換機,SDH專線,路由器,路由器,DDOS,九州通網(wǎng)絡(luò)拓樸,三層交換機,應(yīng)用服務(wù)器,終端,防火墻,2MB光纖,30MB光纖,10MB光纖,VPN,應(yīng)用服務(wù)器,終端,集團總部,二級公司,三級公司,VPN,VPN,應(yīng)用服務(wù)器,終端,防火墻,VPN,雙三層交換機冗余,匯聚層交換機,三層交換機,防火墻/VPN,外部服務(wù)器,DMZ區(qū),說明： 一級

2、骨干網(wǎng)絡(luò)； 二級內(nèi)部網(wǎng)絡(luò)； 三級內(nèi)部網(wǎng)絡(luò)； 四級內(nèi)部網(wǎng)絡(luò)。,雙防火墻冗余,雙核心交換機冗余,匯聚層交換機,10MB光纖,ISA2004,硬件防火墻的調(diào)試,衡量硬件防火墻性能的指標,1、吞吐量 :在不丟包的情況下防火墻能夠達到的最大速率。 2、最大并發(fā)連接數(shù):指穿越防火墻的主機之間或主機與防火墻之間能同時建立的最大連接數(shù)。 3、每秒新建連接數(shù) 4、最大策略數(shù) 5、VPN性能（3DES+SHA-1/AES性能） 6、VPN 通道數(shù) 7、接口(數(shù)量、類型) 8、附加功能(IP及端口映射、動態(tài)路由、雙機、WEB過濾、IPS、DDOS、時間限制、BT限制、流量管理等） 9、日志功能 10、操作管理性 1

3、1、售后支持,防火墻調(diào)試步驟,1、規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu) 2、統(tǒng)計和規(guī)劃上網(wǎng)需求:有那些所有人都允許上的網(wǎng)站、那些不允許訪問的網(wǎng)站、有那些領(lǐng)導(dǎo)允許上網(wǎng)、有那些用戶帶限制條件的上網(wǎng)、那些服務(wù)要映射到外網(wǎng)、VPN連接需求 3、學(xué)習(xí)說明文檔 4、設(shè)管理IP并做測試 5、策略配置 6、硬件安裝及相關(guān)設(shè)備的配合調(diào)試 7、排錯及正式使用 8、日常維護,什么是NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應(yīng)用于各種類型Internet接入方式和備種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱

4、藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。 借助于NAT，私有(保留)地址的“內(nèi)部”網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址(甚至是1個)即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機與Internet的通信需求。 NAT將自動修改IP報文頭中的源IP地址和目的IP地址，Ip地址校驗則在NAT處理過程中自動完成。,NAT實現(xiàn)方式,靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址

5、轉(zhuǎn)換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計算機數(shù)量時。可以采用動態(tài)轉(zhuǎn)換的方式。,NAT策略截圖（中興防火墻）,如何做端口映射,1、保證需要映射的服務(wù)在內(nèi)網(wǎng)訪問正常，明確使用的IP及端口 2、要使用的外網(wǎng)IP（只能是硬件防火墻可以使用的）及對外的端口 3 、定義該端口并做端口映射 4 、做允許訪問該服務(wù)的NAT規(guī)則 5 、測試

6、,端口映射策略截圖（中興防火墻）,防火墻配置使用技巧,1 、單獨配置一個接口做管理口 2 、只允許可管理 IP能直接訪問防火墻 3 、VPN和阻止策略放在最前面 4、盡量定義一組對象并對組做策略 5 、監(jiān)控防火墻的CPU及內(nèi)存使用率、連接數(shù)是否有 異常，熟悉并利用防火墻的各類日志信息進行相應(yīng)管理 6 、對配置經(jīng)常備份,防火墻相關(guān)網(wǎng)絡(luò)問題判斷,最常見問題：內(nèi)網(wǎng)不能上網(wǎng)或上網(wǎng)不穩(wěn)定可能原因：1 、防火墻2 、外網(wǎng)掉線3 、交換機問題4 、內(nèi)網(wǎng)有病毒5 、線路問題 直接連一臺筆記本到防火墻內(nèi)網(wǎng)接口，并配置為可以上網(wǎng)，測試上網(wǎng)是否正常,ISA防火墻的調(diào)試,主要功能,Microsoft Internet

7、 Security and Acceleration (ISA) Server 2004（簡稱為ISA Server 2004），是微軟推出的路由級網(wǎng)絡(luò)防火墻軟件，具有網(wǎng)絡(luò)防火墻、上網(wǎng)代理、Web緩存、VPN連接等強大功能，能幫助企業(yè)組織控制在因特網(wǎng)及其內(nèi)部網(wǎng)絡(luò)間流通的信息，同時幫助企業(yè)加快網(wǎng)絡(luò)訪問的速度，加強管理人員對用戶的上網(wǎng)控制。,ISA 2004的部署,配置ISA的基本步驟,1 確定網(wǎng)絡(luò) (內(nèi)網(wǎng)外網(wǎng)DMZ.) 2 定義網(wǎng)絡(luò)規(guī)則(路由/NAT） 3 定義防火墻策略,ISA客戶端分類,ISAServer2004支持三種客戶端類型： “防火墻客戶”是安裝并啟用了“防火墻客戶端”軟件的客戶端計

8、算機。 “安全網(wǎng)絡(luò)地址轉(zhuǎn)換 (SecureNAT) 客戶”是沒有安裝“防火墻客戶端”和配置Web代理的客戶端計算機。 “Web 代理客戶”是任何被配置為使用 ISA Server 的客戶端 Web 應(yīng)用程序。,不同 ISA 客戶端之間的對比,ISA防火墻優(yōu)化方法及使用技巧,1、配置客戶作為Web代理客戶或者防火墻客戶 2、配置ISA防火墻使用位于自己保護的網(wǎng)絡(luò)中的DNS服務(wù)器；不要在多個網(wǎng)絡(luò)適配器上配置相同的DNS服務(wù)器 3、了解網(wǎng)絡(luò)后面的網(wǎng)絡(luò)場景。(在你的ISA防火墻的同個網(wǎng)絡(luò)適配器后具有多個網(wǎng)絡(luò)的情況) 4、提前對如何在你的網(wǎng)絡(luò)中部署ISA防火墻進行規(guī)劃：確認使用的協(xié)議、確認基于用戶/組的

9、訪問策略、確認日志記錄的需求、 5、使用DMZ網(wǎng)絡(luò)來區(qū)分安全區(qū)域,ISA防火墻優(yōu)化方法及使用技巧,6、不要在ISA防火墻安裝其他的服務(wù) 7、使用Windows server 2003的安全配置向?qū)Щ蛘甙凑誌SA防火墻強化指南來對服務(wù)器進行安全強化。（不要在Windows server 2000上安裝ISA防火墻） 8、 ISA防火墻只支持一個默認網(wǎng)關(guān)。如果ISA防火墻需要訪問不能通過默認網(wǎng)關(guān)訪問的遠程子網(wǎng)（如網(wǎng)絡(luò)后面的網(wǎng)絡(luò)），你可以通過手動添加路由來實現(xiàn)。 9、在ISA防火墻的外部接口上禁止NetBIOS over TCP/IP 10、在ISA防火墻的外部網(wǎng)絡(luò)適配器上禁止服務(wù)器服務(wù)。 11、不

10、要通過ISA防火墻來瀏覽網(wǎng)頁，也不要禁止ISA防火墻上的增強的IE安全性。,ISA防火墻優(yōu)化方法及使用技巧,12、配置對本地地址進行直接訪問 13、在安裝ISA防火墻之前對操作系統(tǒng)進行更新在安裝ISA防火墻之前，你應(yīng)該把這臺將要安裝ISA防火墻的服務(wù)器放置在安全的內(nèi)部網(wǎng)絡(luò)中進行更新，當一切補丁都更新完成后，再安裝ISA防火墻。只有當ISA防火墻配置完成后，你才能將這臺服務(wù)器直接連接到Internet。 14、修改ISA防火墻網(wǎng)絡(luò)適配器的名稱 15、在Windows XP SP2客戶環(huán)境下使用DHCP部署WPAD 16、不要允許訪問本地主機網(wǎng)絡(luò) 17、配置連接限制常規(guī)節(jié)點下的定義連接限制中配置連接限制,部署ISA防火墻策略的守則,當ISA的行為和你的要求不一致時，請檢查你的配置而不要埋怨ISA。 針對相同用戶或含有相同用戶子集的訪問規(guī)則，拒絕的規(guī)則一定要放在允許的規(guī)則前面。 在不影響防火墻策略執(zhí)行效果的情況下，請將針對所有用戶的規(guī)則放在前面。 盡量簡化你的規(guī)則，執(zhí)行一條規(guī)則的效率永遠比執(zhí)