畢業(yè)設(shè)計(jì)（論文）-基于ISA Server防火墻的設(shè)計(jì)和實(shí)現(xiàn)

1、鄭州輕院輕工職業(yè)學(xué)院?？飘厴I(yè)設(shè)計(jì)論文 題 目 基于ISA Server防火墻的設(shè)計(jì)和實(shí)現(xiàn)學(xué)生姓名 專業(yè)班級(jí) 學(xué) 號(hào) 系 別 指導(dǎo)教師(職稱) 完成時(shí)間 基于ISA Server防火墻的設(shè)計(jì)和實(shí)現(xiàn)摘 要隨著網(wǎng)絡(luò)的開展，人們對(duì)信息的平安也越來(lái)越重視，正是因?yàn)檫@樣才推動(dòng)了防火墻的快速開展，ISA是防火墻的軟件技術(shù)，目前ISAInternet Security Acceleration的版本有ISA2000 ISA2004 ISA2006 ISA2021，是一款微軟出品的著名路由級(jí)網(wǎng)絡(luò)防火墻。ISA效勞器在2006年提供組織以能力穩(wěn)固從現(xiàn)代計(jì)算的世界的盤剝和威脅的重要企業(yè)根底設(shè)施的一個(gè)健壯應(yīng)用層防火墻

2、。本文應(yīng)用ISA Server 2006來(lái)實(shí)現(xiàn)防火墻在企業(yè)網(wǎng)絡(luò)中的重要作用，通過(guò)講述ISA的安裝和配置使其成為邊界防火墻并簡(jiǎn)單介紹ISA Server 2006，VPN對(duì)現(xiàn)在人們的需求特別是對(duì)于那些小型企業(yè)的用戶來(lái)說(shuō)追求平安而又實(shí)惠的方法只有用ISA Server來(lái)構(gòu)建VPN，本文通過(guò)介紹VPN、搭建VPN來(lái)為大家講解VPN的使用方法，然后通過(guò)使用ISA構(gòu)建VPN來(lái)實(shí)現(xiàn)兩個(gè)總公司與分公司之間的平安通信，并運(yùn)用模擬網(wǎng)絡(luò)環(huán)境測(cè)試網(wǎng)絡(luò)的連通性和防火墻系統(tǒng)。關(guān)鍵字 ISA /VPN /防火墻 Based On ISA Server Firewall Design and ImplementationA

3、BSTRACTWith the development of the network, people are more and more attention to the security of information, precisely because this was to promote the rapid development of firewall, ISA is a firewall software technology, the current ISA (Internet Security Acceleration) version has ISA2000 ISA2004

4、ISA2006 ISA2021 , is a Microsoft prod- uced a well-known route level network firewall. ISA Server 2006 provides organiza- tions the ability to consolidate the world from the exploitation of modern computing and a major threat to a robust enterprise infrastructure application layer firewall. In this

5、paper, ISA Server 2006 firewall in the enterprise to realize the important role of the network, by telling it to install and configure ISA as a firewall and a brief border ISA Server 2006, VPN on demand is now especially for small business users to that the pursuit of safe and affordable way to buil

6、d only with ISA Server VPN, this paper introduces VPN, VPN set up to serve you on the use of VPN, and then constructed by using the ISA VPN to achieve between the two head office and branch offices secure communications, and network environment using simulated test network connectivity and firewall

7、systems朗讀顯示對(duì)應(yīng)的拉丁字符的拼音KEY WORDS ISA ,VPN ,Firewall目 錄 TOC o 1-3 h z u HYPERLINK l _Toc290372535 1.防火墻 PAGEREF _Toc290372535 h 1 HYPERLINK l _Toc290372536 什么是防火墻？ PAGEREF _Toc290372536 h 1 HYPERLINK l _Toc290372537 防火墻的工作原理1 HYPERLINK l _Toc290372537 1.3防火墻能做什么？ PAGEREF _Toc290372537 h 6 HYPERLINK l _

8、Toc290372538 2 ISA Server PAGEREF _Toc290372538 h 8 HYPERLINK l _Toc290372539 2.1 ISA Server簡(jiǎn)介 PAGEREF _Toc290372539 h 8 HYPERLINK l _Toc290372540 2.2 ISA Server的作用 PAGEREF _Toc290372540 h 8 HYPERLINK l _Toc290372541 2.3 平安效勞發(fā)布 PAGEREF _Toc290372541 h 9 HYPERLINK l _Toc290372542 2.4 正向Web緩存效勞器 PAGER

9、EF _Toc290372542 h 9 HYPERLINK l _Toc290372543 2.5 反向Web緩存效勞器 PAGEREF _Toc290372543 h 9 HYPERLINK l _Toc290372544 2.6 防火墻和Web緩存集成效勞器 PAGEREF _Toc290372544 h 9 HYPERLINK l _Toc290372545 3 安裝ISA Server 2006 PAGEREF _Toc290372545 h 10 HYPERLINK l _Toc290372546 3.1 安裝步驟 PAGEREF _Toc290372546 h 10 HYPERL

10、INK l _Toc290372547 驗(yàn)證ISA Server 2006安裝效果 PAGEREF _Toc290372547 h 12 HYPERLINK l _Toc290372548 4. 構(gòu)建VPN PAGEREF _Toc290372548 h 13 HYPERLINK l _Toc290372549 簡(jiǎn)介 PAGEREF _Toc290372549 h 13 HYPERLINK l _Toc290372550 功能 PAGEREF _Toc290372550 h 13 HYPERLINK l _Toc290372551 常用的虛擬私人網(wǎng)絡(luò)協(xié)議 PAGEREF _Toc2903725

11、51 h 13 HYPERLINK l _Toc290372552 用ISA2006搭建VPN效勞器 PAGEREF _Toc290372552 h 14 HYPERLINK l _Toc290372553 4.1.1 ISA Server集成的VPN特性 PAGEREF _Toc290372553 h 14 HYPERLINK l _Toc290372554 4.1.2 構(gòu)建一個(gè)平安穩(wěn)定的VPN效勞器操作系統(tǒng)平臺(tái) PAGEREF _Toc290372554 h 15 HYPERLINK l _Toc290372555 4.4.3 定義VPN地址池 PAGEREF _Toc290372555

12、h 15 HYPERLINK l _Toc290372556 4.4.4 配置VPN效勞器 PAGEREF _Toc290372556 h 17 HYPERLINK l _Toc290372557 網(wǎng)絡(luò)規(guī)那么 PAGEREF _Toc290372557 h 18 HYPERLINK l _Toc290372558 4.4.6 防火墻策略 PAGEREF _Toc290372558 h 18 HYPERLINK l _Toc290372559 4.4.7 用戶撥入權(quán)限 PAGEREF _Toc290372559 h 18 HYPERLINK l _Toc290372560 5. 結(jié)束語(yǔ) PAGE

13、REF _Toc290372560 h 21 HYPERLINK l _Toc290372561 致 謝 PAGEREF _Toc290372561 h 22 HYPERLINK l _Toc290372562 參考文獻(xiàn) PAGEREF _Toc290372562 h 23Internet 的開展給政府結(jié)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革和開放。他們正努力通過(guò)利用Internet 來(lái)提高辦事效率和市場(chǎng)反響速度，以便更具競(jìng)爭(zhēng)力。通過(guò) Internet ，企業(yè)可以從異地取回重要數(shù)據(jù)，同時(shí)又要面對(duì) Internet 開放帶來(lái)的數(shù)據(jù)平安的新挑戰(zhàn)和新危險(xiǎn)：即客戶、銷售商、移動(dòng)用戶、異地員工和內(nèi)部員工的平安

14、訪問(wèn)；以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此企業(yè)必須加筑平安的 戰(zhàn)壕 ，而這個(gè) 戰(zhàn)壕 就是防火墻。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息平安技術(shù)根底上的應(yīng)用性平安技術(shù)，越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入 Internet 網(wǎng)絡(luò)為最甚。 的定義防火墻是指設(shè)置在不同網(wǎng)絡(luò)如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)或網(wǎng)絡(luò)平安域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一出入口，能根據(jù)企業(yè)的平安政策控制允許、拒絕、監(jiān)測(cè)出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息平安效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。在邏輯上，防火墻是一個(gè)別離器，一個(gè)限

15、制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的平安。所有的防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段那么擺了臺(tái)PC客戶機(jī)。圖1-1 IP地址過(guò)濾當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)

16、IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的防火墻才能到達(dá)UNIX計(jì)算機(jī)。圖1-2 防火墻阻止IP流量現(xiàn)在我們“命令用專業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，“心腸比擬好的防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問(wèn)UNIX計(jì)算機(jī)了。還有一種情況，你可以命令防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是防火墻最根本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小手段就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的防

17、火墻了。不過(guò)根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最根本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過(guò)濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。效勞器TCP/UDP 端口過(guò)濾僅僅依靠地址進(jìn)行數(shù)據(jù)過(guò)濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信效勞，比方說(shuō)，我們不想讓用戶采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵件效勞器吧？所以說(shuō)，在地址之外我們還要對(duì)效勞器的TCP/ UDP端口進(jìn)行過(guò)濾。圖1-3 效勞器端的TCP/UDP端口過(guò)濾比方，默認(rèn)的telnet效勞連接端口號(hào)是23。假設(shè)我們不許PC客戶機(jī)建立對(duì)UNIX計(jì)算機(jī)在這時(shí)我們當(dāng)

18、它是效勞器的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標(biāo)是UNIX效勞器的數(shù)據(jù)包，把其中具有23目標(biāo)端口號(hào)的包過(guò)濾就行了。這樣，我們把IP地址和目標(biāo)效勞器TCP/UDP端口結(jié)合起來(lái)不就可以作為過(guò)濾標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)相當(dāng)可靠的防火墻了嗎？不，沒(méi)這么簡(jiǎn)單?？蛻魴C(jī)也有TCP/UDP端口TCP/IP是一種端對(duì)端協(xié)議，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都具有唯一的地址。網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用層也是這樣，處于應(yīng)用層的每個(gè)應(yīng)用程序和效勞都具有自己的對(duì)應(yīng)“地址，也就是端口號(hào)。地址和端口都具備了才能建立客戶機(jī)和效勞器的各種應(yīng)用之間的有效通信聯(lián)系。比方，telnet效勞器在端口23偵聽入站連接。同時(shí)telnet客戶機(jī)也有一個(gè)端口號(hào)，否那么客戶

19、機(jī)的IP棧怎么知道某個(gè)數(shù)據(jù)包是屬于哪個(gè)應(yīng)用程序的呢？由于歷史的原因，幾乎所有的TCP/IP客戶程序都使用大于1023的隨機(jī)分配端口號(hào)。只有UNIX計(jì)算機(jī)上的root用戶才可以訪問(wèn)1024以下的端口，而這些端口還保存為效勞器上的效勞所用。所以，除非我們讓所有具有大于1023端口號(hào)的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，否那么各種網(wǎng)絡(luò)連接都沒(méi)法正常工作。這對(duì)防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶機(jī)都沒(méi)法使用網(wǎng)絡(luò)資源。因?yàn)樾谄靼l(fā)出響應(yīng)外部連接請(qǐng)求的入站就是進(jìn)入防火墻的意思數(shù)據(jù)包都沒(méi)法經(jīng)過(guò)防火墻的入站過(guò)濾。反過(guò)來(lái)，翻開所有高于1023的端口就可行了嗎？也不盡然。由于很多效勞使用的端口都大于1023，

20、比方X client、基于RPC的NFS效勞以及為數(shù)眾多的非UNIX IP產(chǎn)品等NetWare/IP就是這樣的。那么讓到達(dá)1023端口標(biāo)準(zhǔn)的數(shù)據(jù)包都進(jìn)入網(wǎng)絡(luò)的話網(wǎng)絡(luò)還能說(shuō)是平安的嗎？連這些客戶程序都不敢說(shuō)自己是足夠平安的。圖1-4 客戶端的TCP/UDP端口過(guò)濾雙向過(guò)濾OK，咱們換個(gè)思路。我們給防火墻這樣下命令：效勞的數(shù)據(jù)包可以進(jìn)來(lái)，其他的全部擋在防火墻之外。比方，如果你知道用戶要訪問(wèn)Web效勞器，那就只讓具有源端口號(hào)80的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)：圖1-5 雙向過(guò)濾不過(guò)新問(wèn)題又出現(xiàn)了。首先，你怎么知道你要訪問(wèn)的效勞器具有哪些正在運(yùn)行的端口號(hào)呢？ 像HTTP這樣的效勞器本來(lái)就是可以任意配置的，所采用的端

21、口也可以隨意配置。如果你這樣設(shè)置防火墻，你就沒(méi)法訪問(wèn)哪些沒(méi)采用標(biāo)準(zhǔn)端口號(hào)的的網(wǎng)絡(luò)站點(diǎn)了！反過(guò)來(lái)，你也沒(méi)法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號(hào)80的就一定來(lái)自Web效勞器。有些黑客就是利用這一點(diǎn)制作自己的入侵工具，并讓其運(yùn)行在本機(jī)的80端口！檢查ACK位源地址我們不相信，源端口也信不得了，這個(gè)不得不與黑客共舞的瘋狂世界上還有什么值得我們信任呢？還好，事情還沒(méi)到走投無(wú)路的地步。對(duì)策還是有的，不過(guò)這個(gè)方法只能用于TCP協(xié)議。TCP是一種可靠的通信協(xié)議，“可靠這個(gè)詞意味著協(xié)議具有包括糾錯(cuò)機(jī)制在內(nèi)的一些特殊性質(zhì)。為了實(shí)現(xiàn)其可靠性，每個(gè)TCP連接都要先經(jīng)過(guò)一個(gè)“握手過(guò)程來(lái)交換連接參數(shù)。還有，每個(gè)發(fā)送出去的包在

22、后續(xù)的其他包被發(fā)送出去之前必須獲得一個(gè)確認(rèn)響應(yīng)。但并不是對(duì)每個(gè)TCP包都非要采用專門的ACK包來(lái)響應(yīng)，實(shí)際上僅僅在TCP包頭上設(shè)置一個(gè)專門的位就可以完成這個(gè)功能了。所以，只要產(chǎn)生了響應(yīng)包就要設(shè)置ACK位。連接會(huì)話的第一個(gè)包不用于確認(rèn)，所以它就沒(méi)有設(shè)置ACK位，后續(xù)會(huì)話交換的TCP包就要設(shè)置ACK位了。圖1-6 檢查ACK位舉個(gè)例子，PC向遠(yuǎn)端的Web效勞器發(fā)起一個(gè)連接，它生成一個(gè)沒(méi)有設(shè)置ACK位的連接請(qǐng)求包。當(dāng)效勞器響應(yīng)該請(qǐng)求時(shí)，效勞器就發(fā)回一個(gè)設(shè)置了ACK位的數(shù)據(jù)包，同時(shí)在包里標(biāo)記從客戶機(jī)所收到的字節(jié)數(shù)。然后客戶機(jī)就用自己的響應(yīng)包再響應(yīng)該數(shù)據(jù)包，這個(gè)數(shù)據(jù)包也設(shè)置了ACK位并標(biāo)記了從效勞器收到

23、的字節(jié)數(shù)。通過(guò)監(jiān)視ACK位，我們就可以將進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。于是，遠(yuǎn)程系統(tǒng)根本無(wú)法發(fā)起TCP連接但卻能響應(yīng)收到的數(shù)據(jù)包了。這套機(jī)制還不能算是無(wú)懈可擊，簡(jiǎn)單地舉個(gè)例子，假設(shè)我們有臺(tái)內(nèi)部Web效勞器，那么端口80就不得不被翻開以便外部請(qǐng)求可以進(jìn)入網(wǎng)絡(luò)。還有，對(duì)UDP包而言就沒(méi)法監(jiān)視ACK位了，因?yàn)閁DP包壓根就沒(méi)有ACK位。還有一些TCP應(yīng)用程序，比方FTP，連接就必須由這些效勞器程序自己發(fā)起。FTP帶來(lái)的困難一般的Internet效勞對(duì)所有的通信都只使用一對(duì)端口號(hào)，F(xiàn)TP程序在連接期間那么使用兩對(duì)端口號(hào)。第一對(duì)端口號(hào)用于FTP的“命令通道提供登錄和執(zhí)行命令的通信鏈路，而另一對(duì)端

24、口號(hào)那么用于FTP的“數(shù)據(jù)通道提供客戶機(jī)和效勞器之間的文件傳送。在通常的FTP會(huì)話過(guò)程中，客戶機(jī)首先向效勞器的端口21命令通道發(fā)送一個(gè)TCP連接請(qǐng)求，然后執(zhí)行LOGIN、DIR等各種命令。一旦用戶請(qǐng)求效勞器發(fā)送數(shù)據(jù)，F(xiàn)TP效勞器就用其20端口 (數(shù)據(jù)通道)向客戶的數(shù)據(jù)端口發(fā)起連接。問(wèn)題來(lái)了，如果效勞器向客戶機(jī)發(fā)起傳送數(shù)據(jù)的連接，那么它就會(huì)發(fā)送沒(méi)有設(shè)置ACK位的數(shù)據(jù)包，防火墻那么按照剛剛的規(guī)那么拒絕該數(shù)據(jù)包同時(shí)也就意味著數(shù)據(jù)傳送沒(méi)戲了。通常只有高級(jí)的、也就是夠聰明的防火墻才能看出客戶機(jī)剛剛告訴效勞器的端口，然后才許可對(duì)該端口的入站連接。UDP端口過(guò)濾好了，現(xiàn)在我們回過(guò)頭來(lái)看看怎么解決UDP問(wèn)題。

25、剛剛說(shuō)了，UDP包沒(méi)有ACK位所以不能進(jìn)行ACK位過(guò)濾。UDP 是發(fā)出去不管的“不可靠通信，這種類型的效勞通常用于播送、路由、多媒體等播送形式的通信任務(wù)。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP?？磥?lái)最簡(jiǎn)單的可行方法就是不允許建立入站UDP連接。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來(lái)自內(nèi)部接口的UDP包，來(lái)自外部接口的UDP包那么不轉(zhuǎn)發(fā)?，F(xiàn)在的問(wèn)題是，比方說(shuō)，DNS名稱解析請(qǐng)求就使用UDP，如果你提供DNS效勞，至少得允許一些內(nèi)部請(qǐng)求穿越防火墻。還有IRC這樣的客戶程序也使用UDP，如果要讓你的用戶使用它，就同樣要讓他們的UDP包進(jìn)入網(wǎng)絡(luò)。我們能做的

26、就是對(duì)那些從本地到可信任站點(diǎn)之間的連接進(jìn)行限制。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？有些新型路由器可以通過(guò)“記憶出站UDP包來(lái)解決這個(gè)問(wèn)題：如果入站UDP包匹配最近出站UDP包的目標(biāo)地址和端口號(hào)就讓它進(jìn)來(lái)。如果在內(nèi)存中找不到匹配的UDP包就只好拒絕它了！但是，我們?nèi)绾未_信產(chǎn)生數(shù)據(jù)包的外部主機(jī)就是內(nèi)部客戶機(jī)希望通信的效勞器呢？如果黑客詐稱DNS效勞器的地址，那么他在理論上當(dāng)然可以從附著DNS的UDP端口發(fā)起攻擊。只要你允許DNS查詢和反響包進(jìn)入網(wǎng)絡(luò)這個(gè)問(wèn)題就必然存在。方法是采用代理效勞器。所謂代理效勞器，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的效勞器。代理效勞器不允

27、許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接。它本身就提供公共和專用的DNS、郵件效勞器等多種功能。代理效勞器重寫數(shù)據(jù)包而不是簡(jiǎn)單地將其轉(zhuǎn)發(fā)了事。給人的感覺就是網(wǎng)絡(luò)內(nèi)部的主機(jī)都站在了網(wǎng)絡(luò)的邊緣，但實(shí)際上他們都躲在代理的后面，露面的不過(guò)是代理這個(gè)假面具。1.3 防火墻能做什么？1防火墻是網(wǎng)絡(luò)平安的屏障：一個(gè)防火墻作為阻塞點(diǎn)、控制點(diǎn)能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的平安性，并通過(guò)過(guò)濾不平安的效勞而降低風(fēng)險(xiǎn)。由于只有經(jīng)過(guò)精心選擇的應(yīng)用協(xié)議才能通過(guò)防火墻，所以網(wǎng)絡(luò)環(huán)境變得更平安。如防火墻可以禁止諸如眾所周知的不平安的 NFS 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來(lái)攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)

28、免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。2防火墻可以強(qiáng)化網(wǎng)絡(luò)平安策略：通過(guò)以防火墻為中心的平安方案配置，能將所有平安軟件如口令、加密、身份認(rèn)證、審計(jì)等配置在防火墻上。與將網(wǎng)絡(luò)平安問(wèn)題分散到各個(gè)主機(jī)上相比，防火墻的集中平安管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問(wèn)時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。3對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)：如果所有的訪問(wèn)都經(jīng)過(guò)防火墻，那么，防火墻就能記錄下這些訪問(wèn)并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)

29、，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。4防止內(nèi)部信息的外泄：通過(guò)利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)平安問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問(wèn)題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)平安的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些平安漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如 F

30、inger ， DNS 等效勞。 Finger 顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用 shell 類型等。但是 Finger 顯示的信息非常容易被攻擊者所得悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS 信息，這樣一臺(tái)主機(jī)的域名和 IP 地址就不會(huì)被外界所了解。除了平安作用，防火墻還支持具有 Internet 效勞特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN 。通過(guò) VPN ，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而

31、且為信息共享提供了技術(shù)保障。2 ISA Server ISA Server簡(jiǎn)介ISA Server是建立在Windows 2000操作系統(tǒng)上的一種可擴(kuò)展的企業(yè)級(jí)防火墻和Web緩存效勞器。ISA Server的多層防火墻可以保護(hù)網(wǎng)絡(luò)資源免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪問(wèn)。而且，通過(guò)本地而不是Internet為對(duì)象提供效勞，其Web緩存效勞器允許組織能夠?yàn)橛脩籼峁└斓腤eb訪問(wèn)。在網(wǎng)絡(luò)內(nèi)安裝ISA Server時(shí)，可以將其配置成防火墻，也可以配置成Web緩存效勞器，或二者兼?zhèn)?。ISA Server提供直觀而強(qiáng)大的管理工具，包括Microsoft 管理控制臺(tái)管理單元、圖形化任務(wù)板和逐步進(jìn)行的向?qū)?/p>

32、。利用這些工具，ISA Server能將執(zhí)行和管理一個(gè)鞏固的防火墻和緩存效勞器所遇到的困難減至最小。 ISA Server提供一個(gè)企業(yè)級(jí)Internet連接解決方案，它不僅包括特性豐富且功能強(qiáng)大的防火墻，還包括用于加速Internet連接的可伸縮的Web緩存。根據(jù)組織網(wǎng)絡(luò)的設(shè)計(jì)和需要，ISA Server的防火墻和Web緩存組件可以分開配置，也可以一起安裝。 ISA Server有兩個(gè)版本，以滿足您對(duì)業(yè)務(wù)和網(wǎng)絡(luò)的不同需求。ISA Server標(biāo)準(zhǔn)版可以為小型企業(yè)、工作組和部門環(huán)境提供企業(yè)級(jí)防火墻平安和Web緩存能力。ISA Server企業(yè)版是為大型組織設(shè)計(jì)的，支持多效勞器陣列和多層策略，提供

33、更易伸縮的防火墻和Web緩存效勞器。 利用Windows 2000平安數(shù)據(jù)庫(kù)，ISA Server允許您根據(jù)特定的通信類型，為Windows 2000內(nèi)定義的用戶、計(jì)算機(jī)和組設(shè)置平安規(guī)那么，具有先進(jìn)的平安特性。 利用ISA Management控制臺(tái)，ISA Server使防火墻和緩存管理變得很容易。ISA Management采用MMC，并且廣泛使用任務(wù)板和向?qū)?，大大?jiǎn)化了最常見的管理程序，從而集中統(tǒng)一了效勞器的管理。ISA Server也提供強(qiáng)大的基于策略的平安管理。這樣，管理員就能將訪問(wèn)和帶寬控制應(yīng)用于他們所設(shè)置的任何策略單元，如用戶、計(jì)算機(jī)、協(xié)議、內(nèi)容類型、時(shí)間表和站點(diǎn)?？傊?，ISA

34、Server是一個(gè)擁有自己的軟件開發(fā)工具包和腳本例如的高擴(kuò)展性平臺(tái)，利用它您可以根據(jù)自身業(yè)務(wù)需要量身定制Internet平安解決方案。 ISA Server的作用 不管是什么規(guī)模的組織，只要它關(guān)心自己網(wǎng)絡(luò)的平安、性能、管理和運(yùn)營(yíng)本錢，對(duì)其IT管理者、網(wǎng)絡(luò)管理員和信息平安專業(yè)人員來(lái)說(shuō)，ISA Server都具備使用價(jià)值。ISA Server有3種不同的安裝模式：防火墻(Firewall)模式、緩存(Cache)模式和集成(Integrated)模式。集成模式能夠在同一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)前兩種模式。組織可以有多種聯(lián)網(wǎng)方案來(lái)部署ISA Server，包括以下所述的幾種方法。 Internet防火墻ISA

35、 Server可以安裝成專用防火墻，作為內(nèi)部用戶接入Internet的平安網(wǎng)關(guān)。在信道里ISA Server計(jì)算機(jī)對(duì)其他方來(lái)說(shuō)是透明的。除非是違反了訪問(wèn)或平安規(guī)那么，那么任何用戶或應(yīng)用程序通過(guò)防火墻時(shí)都看不到ISA Server。作為防火墻，ISA Server允許設(shè)置一組廣泛的規(guī)那么，以指定能夠通過(guò)ISA Server的站點(diǎn)、協(xié)議和內(nèi)容，由此實(shí)現(xiàn)您的商業(yè)Internet平安策略。通過(guò)監(jiān)視內(nèi)部客戶機(jī)和Internet之間的請(qǐng)求和響應(yīng)，ISA Server可以控制哪些人能夠訪問(wèn)公司網(wǎng)絡(luò)里的哪臺(tái)計(jì)算機(jī)。ISA Server還能控制內(nèi)部客戶端能夠訪問(wèn)Internet上的哪臺(tái)計(jì)算機(jī)。 平安效勞發(fā)布使用

36、ISA Server您能夠向Internet發(fā)布效勞，而且不會(huì)損害內(nèi)部網(wǎng)絡(luò)的平安。要實(shí)現(xiàn)這一點(diǎn)，只需讓ISA Server計(jì)算機(jī)代表內(nèi)部發(fā)布效勞器來(lái)處理外部客戶端的請(qǐng)求即可。 2.4 正向Web緩存效勞器作為正向Web緩存效勞器，ISA Server保存集中緩存內(nèi)經(jīng)常受到請(qǐng)求的Internet內(nèi)容，專用網(wǎng)絡(luò)內(nèi)的任何Web瀏覽器都可以訪問(wèn)這些內(nèi)容。這樣可以改善客戶端瀏覽器的性能，縮短響應(yīng)時(shí)間，并且減少Internet連接的帶寬消耗。 反向Web緩存效勞器 ISA Server可以作為Web效勞器。它用緩存中的Web內(nèi)容來(lái)滿足傳入的客戶端請(qǐng)求。只有緩存中的內(nèi)容不能滿足請(qǐng)求時(shí)，它才會(huì)把請(qǐng)求轉(zhuǎn)發(fā)給We

37、b效勞器。 防火墻和Web緩存集成效勞器 組織可以將ISA Server配置成單獨(dú)的防火墻和緩存組件。不過(guò)，有些管理員會(huì)選擇單一的防火墻和Web緩存集成效勞器，以提供平安快速的Internet連接。不管組織如何配置ISA Server，都能從集中化、集成的基于策略的管理中受益。3 安裝ISA Server 2006 安裝步驟登錄到需要安裝ISA Server 2006的主機(jī)上，然后拷貝安裝程序的主機(jī)并運(yùn)行程序，出現(xiàn)如圖3-1所示圖3-1 ISA安裝界面單擊安裝 ISA Server 2006，開始安裝ISA Server 2006企業(yè)版。單擊【下一步】按鈕，出現(xiàn)【許可協(xié)議】對(duì)話框，選擇【我接受

38、許可協(xié)議中的條款】選項(xiàng)。單擊下一步按鈕，出現(xiàn)【客戶信息】對(duì)話框，在【用戶】、【單位】和【產(chǎn)品序列號(hào)】中輸入相關(guān)信息。單擊下一步按鈕，出現(xiàn)【安裝方案】對(duì)話框。在該對(duì)話框中選擇安裝方案，在此選擇【同時(shí)安裝ISA Server 效勞和配置存儲(chǔ)效勞器】選項(xiàng)，如圖3-2所示。圖3-2 安裝方案單擊【下一步】按鈕，出現(xiàn)【組件選項(xiàng)】對(duì)話框，在此安裝【ISA效勞器】、【ISA效勞器管理】和【配置存儲(chǔ)效勞器】組件，如圖3-3所示。圖3-3 組件的選擇單擊下一步按鈕，出現(xiàn)【企業(yè)安裝選項(xiàng)】對(duì)話框，選擇【創(chuàng)立新ISA效勞器企業(yè)】選項(xiàng)。單擊【下一步】按鈕，出現(xiàn)【新建企業(yè)警告】對(duì)話框，顯示將此計(jì)算機(jī)配置為配置存儲(chǔ)效勞器。

39、單擊下一步按鈕，出現(xiàn)【內(nèi)部網(wǎng)絡(luò)】對(duì)話框，在該對(duì)話框中指定內(nèi)部網(wǎng)絡(luò)。單擊【添加】按鈕，出現(xiàn)【地址】對(duì)話框。，如圖圖3-4所示。圖3-4 內(nèi)網(wǎng)IP單擊【確定】按鈕，返回【地址】對(duì)話框，可以看到已經(jīng)添加了地址范圍。單擊【確定】按鈕，返回【內(nèi)部網(wǎng)絡(luò)】對(duì)話框。單擊下一步按鈕，出現(xiàn)【防火墻客戶端連接】對(duì)話框，在該對(duì)話框中指定ISA是否將接受來(lái)自不支持加密的防火墻客戶端的連接，在此選擇【允許不加密的防火墻客戶端連接】選項(xiàng)單擊下一步按鈕，出現(xiàn)【效勞警告】對(duì)話框，表示在安裝ISA Server 2006過(guò)程中將要重啟和禁用的效勞。單擊下一步按鈕，出現(xiàn)【可以安裝程序了】對(duì)話框。單擊【安裝】按鈕，開始安裝ISA S

40、erver 2006。等幾分鐘以后，單擊【完成】按鈕即可結(jié)束整個(gè)安裝過(guò)程。3.2驗(yàn)證ISA Server 2006安裝效果ISA Server 2006安裝完畢，通過(guò)如下方法進(jìn)行驗(yàn)證是否安裝成功。(1)ISA控制臺(tái)在ISA效勞器上，單擊【開始】【程序】【Mcrosoft ISA Server】【ISA效勞器管理】，翻開如圖3-5所示ISA管理控制臺(tái)。圖3-5 ISA主界面(2)ISA的相關(guān)效勞在安裝ISA的效勞器上，單擊【開始】【程序】【管理工具】【效勞】，翻開【效勞】控制臺(tái)，如圖3-6所示，安裝ISA Server 2006以后，多出了【Microsoft Firewall】、【Micros

41、oft ISA Server Control】、【Microsoft ISA Server Job Schedler】以及【Microsoft ISA Server Storage】效勞。圖3-6 ISA的相關(guān)效勞4. 構(gòu)建VPN簡(jiǎn)介虛擬專用網(wǎng)vpn被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)通常是因特網(wǎng)建立一個(gè)臨時(shí)的、平安的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的平安、穩(wěn)定的隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行幾倍加密到達(dá)平安使用互聯(lián)網(wǎng)的目的。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供給商同公司的內(nèi)部網(wǎng)建立可信的平安連接，并保證數(shù)據(jù)的平安傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的

42、全球因特網(wǎng)接入，以實(shí)現(xiàn)平安連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間平安通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的平安外聯(lián)網(wǎng)虛擬專用網(wǎng)功能VPN可以提供的功能：防火墻功能、認(rèn)證、加密、隧道化。VPN可以通過(guò)特殊加密的通訊協(xié)議連接到Internet上，在位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)置路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或Windows 2000等軟件里也都支持VPN功能，一句話，VPN的核

43、心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。常用的虛擬私人網(wǎng)絡(luò)協(xié)議 IPSec : IPsec(縮寫IP Security)是保護(hù)IP協(xié)議平安通信的標(biāo)準(zhǔn)，它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。IPsec作為一個(gè)協(xié)議族即一系列相互關(guān)聯(lián)的協(xié)議由以下局部組成：(1)保護(hù)分組流的協(xié)議；(2)用來(lái)建立這些平安分組流的密鑰交換協(xié)議。前者又分成兩個(gè)局部：加密分組流的封裝平安載荷ESP及較少使用的認(rèn)證頭AH，認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性，但不提供保密性。目前為止，IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。 PPTP: Point to Point Tunneling Protocol - 點(diǎn)到點(diǎn)隧道協(xié)議，

44、在因特網(wǎng)上建立IP虛擬專用網(wǎng)VPN隧道的協(xié)議，主要內(nèi)容是在因特網(wǎng)上建立多協(xié)議平安虛擬專用網(wǎng)的通信方式。 L2F: Layer 2 Forwarding - 第二層轉(zhuǎn)發(fā)協(xié)議 L2TP: Layer 2 Tunneling Protocol -第二層隧道協(xié)議 GRE:VPN的第三層隧道協(xié)議 OpenVPN:OpenVPN使用OpenSSL庫(kù)加密數(shù)據(jù)與控制信息：它使用了OpenSSL的加密以及驗(yàn)證功能，意味著，它能夠使用任何OpenSSL支持的算法。它提供了可選的數(shù)據(jù)包HMAC功能以提高連接的平安性。此外，OpenSSL的硬件加速也能提高它的性能。針對(duì)不同的用戶要求，VPN有三種解決方案：遠(yuǎn)程訪問(wèn)虛

45、擬網(wǎng)Access VPN、企業(yè)內(nèi)部虛擬網(wǎng)Intranet VPN和企業(yè)擴(kuò)展虛擬網(wǎng)Extranet VPNVPN效勞器在目前的網(wǎng)絡(luò)中應(yīng)用得越來(lái)越廣泛，正在成為企業(yè)網(wǎng)絡(luò)中不可或缺的角色，如何才能創(chuàng)立出自己的VPN效勞器？怎么才能管理好VPN效勞器？下面我就給大家介紹VPN效勞器的配置和管理，內(nèi)容包括VPN效勞器的單點(diǎn)撥入，站點(diǎn)到站點(diǎn)的VPN，VPN用戶隔離，VPN結(jié)合Radius驗(yàn)證，VPN接合智能卡和證書等。在這里就介紹一下如何利用ISA2006來(lái)搭建一個(gè)自己的VPN效勞器。VPN是虛擬專用網(wǎng)絡(luò)的縮寫，屬于遠(yuǎn)程訪問(wèn)技術(shù)，簡(jiǎn)單地說(shuō)就是利用網(wǎng)鏈路架設(shè)似有網(wǎng)絡(luò)。例如公司員工出差到外地，他想訪問(wèn)企業(yè)內(nèi)網(wǎng)

46、的效勞器資源，這種訪問(wèn)就屬于遠(yuǎn)程訪問(wèn)。怎么才能讓外地員工訪問(wèn)到內(nèi)網(wǎng)資源呢？VPN的解決方法是在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN效勞器，VPN效勞器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后，通過(guò)互聯(lián)網(wǎng)找到VPN效勞器，然后利用VPN效勞器作為跳板進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)平安，VPN效勞器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密，我們可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行平安傳輸，就好似我們專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣。但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。這下您肯定明白了，VPN實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。有了VP

47、N技術(shù)，用戶無(wú)論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問(wèn)內(nèi)網(wǎng)資源，這就是為什么VPN在企業(yè)中應(yīng)用得如此廣泛。上述介紹的VPN應(yīng)用屬于VPN用戶的單點(diǎn)撥入，VPN還有一種常見的應(yīng)用是在兩個(gè)內(nèi)網(wǎng)之間架設(shè)站點(diǎn)到站點(diǎn)的VPN。4.1.1 ISA Server集成的VPN特性 ISA Server是美國(guó)微軟公司研發(fā)的一款網(wǎng)絡(luò)平安類軟件產(chǎn)品用于部署企業(yè)級(jí)防火墻、網(wǎng)絡(luò)應(yīng)用層防護(hù)和VPN遠(yuǎn)程訪問(wèn)等。ISAServer集成了高性能的VPN效勞器。支持PPTP、L2TPIPSEC和IPSEC隧道模式的VPN協(xié)議。通過(guò)新增的多網(wǎng)絡(luò)支持和對(duì)VPN監(jiān)控狀態(tài)的檢查，可以輕松的設(shè)置虛擬冬用網(wǎng)絡(luò)

48、。同時(shí)又可以防止校園網(wǎng)受到惡意VPN連接的威脅。ISA Server本身義是一款企業(yè)級(jí)防火墻軟件。所有預(yù)配景VPN客戶端網(wǎng)絡(luò)定義的訪問(wèn)策略都適用于VPN用戶，并且受到防火墻全局策略的控制，網(wǎng)絡(luò)平安級(jí)別較高。 ISAServer支持兩種模式的VPN： 1)遠(yuǎn)程訪問(wèn)的VPN連接。ISA Server作為VPN接人效勞器，需在效勞器端為VPN用戶配置訪問(wèn)權(quán)限。網(wǎng)絡(luò)用戶在家中或者外地通過(guò)ADSL、無(wú)線上網(wǎng)、小區(qū)寬帶或其它方式與Internet連通，采用VPN虛擬撥號(hào)與ISA Server效勞器建立連接，驗(yàn)證成功后登錄到遠(yuǎn)程內(nèi)部網(wǎng)絡(luò)。平安的傳輸數(shù)據(jù)。 2)端對(duì)端的VPN連接。即路由器與路由器通過(guò)Inte

49、rnet建立VPN專用數(shù)據(jù)傳輸隧道，將專用網(wǎng)絡(luò)的兩個(gè)局部平安互連。必須為遠(yuǎn)程VPN用戶所在的整個(gè)網(wǎng)絡(luò)授予訪問(wèn)權(quán)限，兩個(gè)遠(yuǎn)程網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)u丁以通過(guò)VPN互訪，就好似使用本地局域網(wǎng)一樣方便。 4.1.2 構(gòu)建一個(gè)平安穩(wěn)定的VPN效勞器操作系統(tǒng)平臺(tái)為了確保VPN運(yùn)行的平安、穩(wěn)定和高效，建議采用WindowsServer2003企業(yè)版作為操作系統(tǒng)平臺(tái)。配置高性能的多核心CPU處理器、大容量?jī)?nèi)存和雙千兆網(wǎng)卡的效勞器硬件。同時(shí)加強(qiáng)效勞器自身的平安性，在線升級(jí)和安裝全部補(bǔ)丁程序。修復(fù)各種漏洞。安裝防病毒軟件，防止感染計(jì)算機(jī)病毒、各種木馬程序和有害插件等。關(guān)閉默認(rèn)的硬盤共享屬性、禁用不必要的網(wǎng)絡(luò)效勞端LI

50、。如關(guān)閉IIS的80端口、FTP的21端口、遠(yuǎn)程桌面的3389端口等。為管理員用戶Administrator改名并設(shè)置復(fù)雜的密碼，強(qiáng)制采用強(qiáng)密碼策略，以減小詞典攻擊的可能性。取消Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享，僅保存Intemet協(xié)議(TCPIP)等，從整體上降低網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)。實(shí)驗(yàn)拓?fù)淙鐖D4-1，Denver是內(nèi)網(wǎng)的域控制器，DNS效勞器，CA效勞器，Beijing是ISA2006效勞器，Istanbul模擬外網(wǎng)的客戶機(jī)。圖4-1 實(shí)驗(yàn)拓?fù)鋱DISA2006調(diào)用了Win2003中的路由和遠(yuǎn)程訪問(wèn)組件來(lái)實(shí)現(xiàn)VPN功能，但我們并不需要事先對(duì)ISA效勞器上的路由和遠(yuǎn)程訪問(wèn)進(jìn)行配置，ISA2

51、006會(huì)自動(dòng)實(shí)現(xiàn)對(duì)路由和遠(yuǎn)程訪問(wèn)的調(diào)用。我們先來(lái)看看ISA2006如果要實(shí)現(xiàn)VPN功能需要進(jìn)行哪些設(shè)置？ 定義VPN地址池配置VPN效勞器的第一步就是為VPN用戶分配一個(gè)地址范圍，這里有個(gè)誤區(qū)，很多人認(rèn)為既然要讓VPN用戶能訪問(wèn)內(nèi)網(wǎng)資源，那就給VPN用戶直接分配一個(gè)內(nèi)網(wǎng)地址就行了。例如本次實(shí)驗(yàn)的內(nèi)網(wǎng)地址范圍是，那VPN用戶的地址池就放在。如果你的VPN效勞器是用Win2003的路由和遠(yuǎn)程實(shí)現(xiàn)的，那這么做是可以的，路由和遠(yuǎn)程訪問(wèn)本身就只提供了VPN的根本功能，對(duì)地址管理并不嚴(yán)格。但這么做在ISA上是不可以的，因?yàn)镮SA是基于網(wǎng)絡(luò)進(jìn)行管理的！內(nèi)網(wǎng)是一個(gè)網(wǎng)絡(luò)，VPN用戶是另一個(gè)網(wǎng)絡(luò)，兩個(gè)網(wǎng)絡(luò)的地址范

52、圍是不能重疊的！雖然我們使用DHCP技術(shù)可以使VPN用戶也獲得內(nèi)網(wǎng)地址，但絕不推薦這么做！因?yàn)樵诤笃诘墓芾碇形覀儠?huì)發(fā)現(xiàn)，把VPN用戶放到一個(gè)單獨(dú)的網(wǎng)絡(luò)中，對(duì)管理員實(shí)現(xiàn)精確控制是非常有利的，管理員可以單獨(dú)設(shè)定VPN用戶所在網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)關(guān)系，訪問(wèn)策略，如果把VPN用戶和內(nèi)網(wǎng)用戶混在一起，就享受不到這種管理的便利了。因此直接給VPN用戶分配內(nèi)網(wǎng)地址并不可取，我們本次實(shí)驗(yàn)中為VPN用戶設(shè)置的地址池是，雖然這個(gè)地址范圍和內(nèi)網(wǎng)大不相同，但不用擔(dān)憂，ISA會(huì)自動(dòng)在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行路由。如圖4-2所示，在ISA效勞器中定位到虛擬專用網(wǎng)絡(luò)，點(diǎn)擊右側(cè)任務(wù)面板中的“定義地址分配。圖4-2 ISA Serve

53、r界面分配地址可以使用靜態(tài)地址，也可以使用DHCP，在此我們使用靜態(tài)地址池來(lái)為VPN用戶分配地址，點(diǎn)擊添加按鈕，為VPN用戶分配的地址范圍是，如圖4-3所示。圖4-3 VPN客戶端地址池 配置VPN效勞器 設(shè)置好了VPN地址池后，我們來(lái)配置VPN效勞器的客戶端設(shè)置。如圖4-4所示，點(diǎn)擊虛擬專用網(wǎng)絡(luò)右側(cè)任務(wù)面板中的“配置VPN客戶端訪問(wèn)。在常規(guī)標(biāo)簽中，我們勾選“啟用VPN客戶端訪問(wèn)，同時(shí)設(shè)置允許最大的VPN客戶端數(shù)量為100.，注意VPN客戶端的最大數(shù)量不能超過(guò)地址池中的地址數(shù)。圖4-4 VPN最大連接數(shù) 切換到VPN客戶端屬性的“組標(biāo)簽，配置允許遠(yuǎn)程訪問(wèn)的域組，一般情況下，管理員會(huì)事先創(chuàng)立好一

54、個(gè)允許遠(yuǎn)程訪問(wèn)的組，然后將VPN用戶參加這個(gè)組，本次實(shí)驗(yàn)中我們就簡(jiǎn)單一些，直接允許Domain Users組進(jìn)行遠(yuǎn)程訪問(wèn)。如圖4-5圖4-5 允許訪問(wèn)的用戶組 接下來(lái)選擇VPN使用的隧道協(xié)議，默認(rèn)選擇是PPTP協(xié)議，我們把L2TP也選擇上。設(shè)置完VPN客戶端訪問(wèn)后，我們應(yīng)重啟ISA效勞器，讓設(shè)置生效。 重啟ISA效勞器之后，我們發(fā)現(xiàn)ISA效勞器的路由和遠(yuǎn)程訪問(wèn)已經(jīng)自動(dòng)啟動(dòng)了。網(wǎng)絡(luò)規(guī)那么 想讓VPN用戶訪問(wèn)內(nèi)網(wǎng)，一定要設(shè)置網(wǎng)絡(luò)規(guī)那么和防火墻策略，ISA默認(rèn)已經(jīng)對(duì)網(wǎng)絡(luò)規(guī)那么進(jìn)行了定義，從VPN客戶端到內(nèi)網(wǎng)是路由關(guān)系，這意味著VPN客戶端和內(nèi)網(wǎng)用戶互相訪問(wèn)是有可能的。 防火墻策略 既然網(wǎng)絡(luò)規(guī)那么已經(jīng)為VPN用戶訪問(wèn)內(nèi)網(wǎng)