电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2759|回复: 0

浅谈 ISA 企业部署

[复制链接]
haha 发表于 2010-11-5 18:14:48 | 显示全部楼层 |阅读模式
ISA:Internet Security and Acceleration(Internet 的安全和加速服务器)
一.ISA版本:
    1.ISA 2000    需要AD的支持
    2.ISA 2004    不需要AD支持可以在WorkGroup环境中
    3.ISA 2006    ISA2006 = ISA2004+SP3
二.如何在企业环境中部署ISA
    1.Windows 2003 Enterprise R2 + ISA 2006
三.ISA的防火墙的功能:
    1.ISA 的3DMZ模板环境:三个网络(一般是Internet 与 Intranet以及服务器所在的区域DMZ区域)
        实验环境:需要使用三个计算机,其中一个计算机有三块网卡分别连接内部网络(Intranet)和外部网络(Internet),第三块网卡连接DMZ区域的服务器
        1)第一个服务器网卡配置:
            第一块网卡:网卡名“internet” IP地址 192.168.1.199/24
            第二块网卡:网卡名“intranet” IP地址 20.0.0.2/24
            第三块网卡:网卡名“DMZ”      IP地址 10.0.0.1/24
        2)第一个服务器系统配置:
            计算机名:ISA-S,安装ISA 2006
        3)第二个计算机配置:计算机名:Client 网卡IP 20.0.0.3/24 Gateway 20.0.0.2充当内部工作网络中的客户端计算机
        4)第三个计算机配置:计算机名:DMZ-S 网卡IP 10.0.0.2/24 Gateway 10.0.0.1同时安装IIS并配置WEB服务功能
    2.访问规则的实验步骤:
        1)创建网络模板3DMZ(ISA服务器管理-->阵列-->服务器-->配置-->网络),选择右侧“模板”--“3 向外围网络”
        2)依照实际环境选择向导完成网络的创建后应用
    #*#注意:默认安装ISA,ISA服务器就是“本地主机”;企业内部的服务器所在的区域就是“外围网络”;企业内部办公区域是“内部网络”;而接入Internet的网络被称为“外部网络”,同时所有网络之间以及本地主机与所有网络的通信都被默认“Deny”,是处于安全考虑。
        3)创建基本的策略满足企业需求
            31)允许“本地主机”向外部网络的所有访问(阵列-->服务器-->防火墙策略-->新建策略)*不安全
            删除31的策略,重新创建以下策略
            32)允许“本地主机”向外部网络的WEB访问(阵列-->服务器-->防火墙策略-->新建策略)
            33)允许“内部网络”向Intenet的WEB访问(将访问源设置为“内部网络”)
            34)允许“内部网络”主机可以ping通“本地主机”以进行网络连通性测试
            35)拒绝“20.0.0.3”计算机访问www.qoq.com,(ISA服务器管理-->右侧工具箱-->网络对象-->新建计算机;新建URL集,“[url=http://www.qoq.com/*”;再创建访问规则,源为计算机对象,应用上创建的URL集),经过测试后发现访问http://news.qoq.com是可以访问的,再编辑URL集%22http://*.qoq.com.cn/*%22可以拒绝对该域名以及域名下所有的虚拟目录进行访问,但是仍然无法拒绝直接通过IP地址的访问,需要建立计算机集,限制目标主机的IP地址访问]http://www.qoq.com/*”;再创建访问规则,源为计算机对象,应用上创建的URL集),经过测试后发现访问http://news.qoq.com是可以访问的,再编辑URL集"http://*.qoq.com.cn/*"可以拒绝对该域名以及域名下所有的虚拟目录进行访问,但是仍然无法拒绝直接通过IP地址的访问,需要建立计算机集,限制目标主机的IP地址访问[/url]
            36)通过时间的限制拒绝用户对Internet的访问(新建“计划”时间应用到访问规则上)
            37)通过内容类型限制用户进行某类型文件的下载和使用(拒绝在网页上显示视频和图片以及声音,只允许html的类型文件)
            38)添加特殊应用程序的端口访问(可以限制QQ服务器的端口8000,但是通过代理服务器的QQ登陆无法进行限制,可以通过定义http头,如tencent等限制)
    #*#注意:阵列规则是Top-->Down(从上到下)应用生效,为了安全起见拒绝的策略要放置在允许的策略上边
    3.服务器发布的实验步骤:(也称为端口映射,其实也是一种DNAT)
        1)发布DMZ区域中的WEB服务器到ISA的本地主机上
            11)建立关于所发布的服务器端口的WEB侦听器(工具箱-->网络对象-->WEB侦听器)
            12)关闭当前“本地主机”的IIS自身的WEB功能,否则只能更改端口侦听
            13)在发布时,要注意可能会通过域名访问但是不能通过IP访问,需要对访问的公用名称进行添加IP访问
        2)发布DMZ区域中的WEB服务器到ISA本地主机将http://10.0.0.2:8080发布为http://192.168.1.199/china/dl
        3)发布Exchange Server
        4)发布FTP服务器
            11)建立关于FTP21端口的侦听器
            12)关闭当前“本地主机”的IIS自身FTP功能
            13)发布服务器规则
            14)设置只读FTP服务器(不论DMZ区域中的FTP是否允许上传,ISA已经将FTP设置为了只读)
        5)发布一个Telnet服务器
    4.企业策略和访问策略:
        1)企业策略:影响整个企业中所有阵列服务器的策略
            11)在防火墙策略之前应用的企业策略
            12)在防火墙策略之后应用的企业策略
    #*#仍然是由上到下的应用顺序,先生效11)再生效防火墙策略规则,最后在生效12)
        2)创建新的企业策略和访问规则
            21)创建“新企业策略”(企业-->企业策略-->新建企业策略),其中只包含默认拒绝的访问规则,所有的访问规则还需要重新创建
            22)将当前企业的策略更改为“新企业策略”(阵列-->服务器-->属性-->策略设置-->应用新企业策略)
            23)依照网络的需求创建适合网络使用的访问规则就可以
        3)创建在防火墙策略之前应用的企业策略规则优先生效
            31)创建新企业策略的访问规则(新企业策略-->新建访问规则)
            32)调整策略的上下位置,使之成为“防火墙访问规则之前生效的企业策略”或“防火墙访问规则之后生效的企业策略”
        4)策略的导入导出:进行备份        
推荐的学习网站:风间子老师的http://www.isacn.org
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-3-29 18:54 , Processed in 0.071336 second(s), 20 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表