第5章 ISA Server 2006的應用配置-2

1、第5章 ISA Server 2006的應用配置本章學習目標ISA Server 2006的主要功能ISA Server 2006的安裝ISA Server 2006的網(wǎng)頁緩存ISA Server 2006的客戶端應用ISA Server 2006在網(wǎng)絡保護方面的配置在ISA Server 2006中發(fā)布Web網(wǎng)站規(guī)則15.1 ISA Server簡介 ISA Server是建立在Windows 2003操作系統(tǒng)上的一種可擴展的企業(yè)級防火墻和Web緩存服務器。在網(wǎng)絡內安裝ISA Server時，可以將其配置成防火墻，也可以配置成Web緩存服務器，或兩者兼?zhèn)洹?25.1 ISA Server簡介

2、5.1.1 ISA Server 2006的主要功能（1）防火墻（Firewall）控制內部網(wǎng)絡與Internet之間的通信，增強網(wǎng)絡的安全性。 （2）虛擬專用網(wǎng)（VPN） 可以讓遠程用戶與LAN之間，或者是分別位于兩地的LAN之間，通過Internet建立一個安全的通道。 （3） Web緩存服務器 讓用戶更快地訪問到所需的網(wǎng)頁，同時也可以提高網(wǎng)絡的效率、節(jié)省網(wǎng)絡的帶寬。 35.1 ISA Server簡介5.1.2 多網(wǎng)絡結構 ISA Server同時連接總公司網(wǎng)絡、分公司網(wǎng)絡、DMZ網(wǎng)絡、外地VPN客戶端網(wǎng)絡與外部網(wǎng)絡 45.1 ISA Server簡介5.1.3 防火墻的設置種類和網(wǎng)絡模

3、板（1）邊緣防火墻ISA Server防火墻計算機有兩個網(wǎng)絡接口 55.1 ISA Server簡介（2）3向外圍網(wǎng)絡防火墻涉及到設置具備3個網(wǎng)絡適配器的ISA Server 65.1 ISA Server簡介（3）前端防火墻在網(wǎng)絡的邊緣部署ISA Server 75.1 ISA Server簡介（4）后端防火墻在外圍網(wǎng)絡和內部網(wǎng)絡之間部署ISA Server 85.1 ISA Server簡介（5）單一網(wǎng)絡適配器在具有單一網(wǎng)絡適配器的計算機上安裝ISA Server 95.1 ISA Server簡介5.1.4 ISA Server與VPN的集成很多企業(yè)利用Internet將位于各地的局域網(wǎng)

4、連接起來，但是必須確保網(wǎng)絡之間所傳送數(shù)據(jù)是安全的。而虛擬專用網(wǎng)（VPN，Virtual Private Network）就是提供此功能的技術，它讓局域網(wǎng)之間可以通過Internet來建立一個安全的通道。 105.1 ISA Server簡介5.1.5 ISA Server緩存的種類在網(wǎng)頁緩存服務器中又分為“正向網(wǎng)頁緩存服務器”和“反向網(wǎng)頁緩存服務器”，ISA Server 2006都可以做到。 115.1 ISA Server簡介5.1.6 ISA Server與其他軟件防火墻的比較 具體優(yōu)勢體現(xiàn)在以下幾個方面 ：（1）高級保護ISA Server旨在通過提供有狀態(tài)數(shù)據(jù)包過濾，和鏈路過濾來保護

5、企業(yè)免遭新型的攻擊。 （2）易于使用ISA Server十分靈活，并易于管理員使用。 （3）快速、安全的訪問ISA Server通過將VPN功能完全集成到防火墻體系結構，加速Web緩存和優(yōu)化防火墻過濾引擎，提供了快速、安全的Internet訪問。 125.1 ISA Server簡介（4）集中日志和報告ISA Server標準版可以記錄所有通過防火墻的活動，而企業(yè)版則允許集中記錄和報告所有企業(yè)成員的活動。 （5）與現(xiàn)有防火墻和VPN構架輕松集成ISA Server支持這些企業(yè)將其強大功能與現(xiàn)有的防火墻和VPN構架輕松地結合。 一個或多個ISA Server計算機可以放置在狀態(tài)包檢測防火墻后面工

6、作，以最少的管理費增強整個企業(yè)的安全性。 135.2 利用VMware建立測試環(huán)境5.2.1 VMware Workstation概述 VMware Workstation允許操作系統(tǒng)和應用程序在一臺虛擬機內部運行。在VMware Workstation中，可以在一個窗口中加載一臺虛擬機，它可以運行自己的操作系統(tǒng)和應用程序。可以在運行于桌面上的多臺虛擬機之間切換，通過一個網(wǎng)絡共享虛擬機（例如一個公司局域網(wǎng)），掛起和恢復虛擬機以及退出虛擬機，這一切不會影響用戶的主機操作和任何操作系統(tǒng)或者它正在運行的應用程序。 145.2 利用VMware建立測試環(huán)境5.2.2 搭建ISA Server 2006

7、測試環(huán)境的步驟 1安裝VMware Workstation 2建立含Windows Server 2003的虛擬機 3啟動虛擬機并安裝Windows Server 2003操作系統(tǒng) 4安裝VMware Tools 5建立ISA Server 2006計算機的虛擬機 6為ISA Server 2006計算機新建一張網(wǎng)卡155.3 ISA網(wǎng)絡配置和網(wǎng)絡規(guī)則5.3.1 網(wǎng)絡和網(wǎng)絡集配置 1ISA網(wǎng)絡類型（5種）（1）本地主機 （2）內部網(wǎng)絡 （3）邊界網(wǎng)絡 （一般歸為內部網(wǎng)絡）（4）外部網(wǎng)絡 （5） VPN客戶端 （6）被隔離的VPN客戶端 165.3 ISA網(wǎng)絡配置和網(wǎng)絡規(guī)則 2創(chuàng)建網(wǎng)絡用戶可以自

8、己創(chuàng)建所需的新網(wǎng)絡?？梢赃x擇要創(chuàng)建的網(wǎng)絡類型有內部、外部、邊界和VPN站點到站點這四種。 3網(wǎng)絡集創(chuàng)建網(wǎng)絡后，可以將一個或多個網(wǎng)絡組織成網(wǎng)絡集。默認的網(wǎng)絡集：（1）所有網(wǎng)絡（2）所有受保護的網(wǎng)絡175.3 ISA網(wǎng)絡配置和網(wǎng)絡規(guī)則5.3.2 應用網(wǎng)絡模板ISA Server包含與常見網(wǎng)絡拓撲對應的五種網(wǎng)絡模板（參考5.1.3節(jié) ） 185.3 ISA網(wǎng)絡配置和網(wǎng)絡規(guī)則5.3.3 網(wǎng)絡規(guī)則 網(wǎng)絡規(guī)則確定了在兩個網(wǎng)絡實體之間是否存在著關系、以及屬于哪種類型的網(wǎng)絡關系。 1網(wǎng)絡關系（1）路由（2）網(wǎng)絡地址轉換（NAT） 2默認規(guī)則（1）本地主機訪問（2）VPN客戶端到內部網(wǎng)絡（3）Internet訪

9、問195.3 ISA網(wǎng)絡配置和網(wǎng)絡規(guī)則 3網(wǎng)絡規(guī)則的處理順序ISA Server按照優(yōu)先級順序處理網(wǎng)絡規(guī)則 。 4創(chuàng)建網(wǎng)絡規(guī)則創(chuàng)建網(wǎng)絡規(guī)則時，不能在網(wǎng)絡與其自身之間指定網(wǎng)絡規(guī)則。同一網(wǎng)絡中的計算機之間的通信被指定為路由關系，不支持NAT關系。 205.4 安裝ISA Server 2006 5.4.1 安裝前的準備 1ISA Server 2006企業(yè)版安裝前的考慮 是否要在工作組或受信任的域環(huán)境中部署ISA Server。要將配置存儲服務器安裝在何處。是否要將所有配置存儲服務器安裝在同一個站點中。是否要遠程管理企業(yè)。安裝多少臺遠程管理計算機。至少一個NTFS格式的磁盤分區(qū)，用于ISA Ser

10、ver緩存磁盤配額配置。215.4 安裝ISA Server 2006 2ISA Server 2006企業(yè)版服務器的部署思路（1）安裝配置存儲服務器 。（2）在配置存儲服務器中創(chuàng)建陣列、企業(yè)網(wǎng)絡規(guī)則和企業(yè)策略 。（3）在一臺或多臺計算機上安裝ISA Server服務。 3準備好VMware Workstation虛擬機按照5.2節(jié)的要求搭建好ISA Server 2006的測試環(huán)境。 225.4 安裝ISA Server 20065.4.2 安裝ISA Server 2006 1更改ISA Server虛擬機的SID 由于虛擬機是從2003Master復制出來的所有虛擬機的SID（Secur

11、ity Identifier，安全標識符）都是相同的，因此更改這臺ISA Server 2006虛擬機的SID。 2更改網(wǎng)絡名稱與設置IP地址 3安裝ISA Server 2006步驟：（1）（16）235.4 安裝ISA Server 20065.4.3 測試ISA Server防火墻是否安裝成功 1被ISA Server防火墻阻擋的測試（1）將Internet Explorer的安全等級將為中安全性，否則默認的高安全性會阻擋連接大部分的網(wǎng)站。 （2）嘗試訪問外部網(wǎng)站，此時連接外部網(wǎng)站的網(wǎng)頁會被ISA Server防火墻阻擋 。 2創(chuàng)建訪問規(guī)則，開放ISA Server 2006計算機可以上

12、網(wǎng)步驟：（1）（11）245.5 ISA防火墻策略僅有了網(wǎng)絡規(guī)則（網(wǎng)絡之間關系規(guī)則）還是不夠的，還必須為各種應用配置防火墻策略，只有這樣才能確保受保護的網(wǎng)絡的安全。ISA防火墻策略主要包括訪問規(guī)則和發(fā)布規(guī)則，是ISA Server的核心所在，也是ISA防火墻應用的難點所在。 255.5 ISA防火墻策略5.5.1 ISA防火墻策略工作方式 1傳出請求此訪問策略決定了客戶端如何訪問其他網(wǎng)絡。 2傳入請求可以使服務器安全地接受來自其他網(wǎng)絡客戶端的訪問。 265.5 ISA防火墻策略5.5.2 防火墻訪問規(guī)則 訪問規(guī)則決定源網(wǎng)絡上的客戶端如何訪問目標網(wǎng)絡上的資源。 1通信規(guī)則ISA Server包含

13、預配置的、已知協(xié)議定義的列表，其中包括最廣泛使用的Internet協(xié)議。用戶還可以添加或修改其他協(xié)議。 2訪問規(guī)則和應用程序篩選器一些應用程序篩選器將創(chuàng)建和安裝新協(xié)議定義。禁用應用程序篩選器之后，同時將禁用其所有協(xié)議定義。 275.5 ISA防火墻策略 3每條規(guī)則篩選應用程序篩選將基于每條規(guī)則進行應用。 4默認規(guī)則在安裝ISA Server時將創(chuàng)建一條默認規(guī)則，用于拒絕出入所有網(wǎng)絡的全部訪問。 285.5 ISA防火墻策略5.5.3 ISA防火墻發(fā)布規(guī)則訪問規(guī)則確保了受保護的網(wǎng)絡資源不被非法訪問和使用；而發(fā)布規(guī)則就確保了各種應用服務器時刻處于嚴格的保護狀態(tài)，通過規(guī)則來過濾非法的訪問與使用。 2

14、95.5 ISA防火墻策略 1ISA防火墻Web發(fā)布規(guī)則ISA Server使用Web發(fā)布規(guī)則來緩解與發(fā)布Web內容有關的問題，同時又不危及網(wǎng)絡的安全性。 可以通過配置HTTP篩選來進一步篩選向Web服務器發(fā)出的請求。（1）操作（2）路徑映射（3）橋接（4）發(fā)布具有相同域名的網(wǎng)站（5）規(guī)則順序305.5 ISA防火墻策略 2ISA防火墻的安全Web發(fā)布規(guī)則使用ISA Server，可以創(chuàng)建安全Web發(fā)布規(guī)則，以發(fā)布用于宿主HTTPS內容的網(wǎng)站。 （1）橋接使用橋接，可以配置通信傳遞到Web服務器的方式。 （2）隧道使用隧道模式時， ISA Server不對通信執(zhí)行任何其他篩選。 （3）偵聽器為

15、安全Web發(fā)布規(guī)則指定適當?shù)膫陕犉?，將其配置為在某個HTTPS端口上進行偵聽。 315.5 ISA防火墻策略3服務器發(fā)布規(guī)則ISA Server使用服務器發(fā)布來處理內部服務器的傳入請求，如文件傳輸協(xié)議（FTP）服務器、結構化查詢語言（SQL）服務器等。 （1）服務器發(fā)布概述（2）每條規(guī)則篩選（3）改寫默認端口（4）服務器發(fā)布的工作方式（5）服務器發(fā)布規(guī)則的用法（6）發(fā)布DNS服務器（7）禁用規(guī)則325.6 ISA Server的網(wǎng)頁緩存 5.6.1 網(wǎng)頁緩存概述ISA Server通過緩存（cache）功能來加快內部網(wǎng)絡訪問外部網(wǎng)頁與FTP服務器的速度，也可以加快外部用戶訪問內部網(wǎng)頁與FTP服

16、務器的速度。 335.6 ISA Server的網(wǎng)頁緩存5.6.2 搭建網(wǎng)頁緩存測試環(huán)境345.6 ISA Server的網(wǎng)頁緩存5.6.3 緩存設置 1緩存硬盤的大小設置 2高速緩存（RAM）的大小設置5.6.4 設置緩存規(guī)則 1緩存規(guī)則的設置 2創(chuàng)建緩存規(guī)則5.6.5 緩存區(qū)內容的更新 1定時自動下載網(wǎng)頁內容 2刪除緩存區(qū)的數(shù)據(jù)355.7 ISA Server客戶端的應用5.7.1 ISA Server客戶端概述ISA Server支持三種不同的客戶端，它們分別有著不同的配置，支持的網(wǎng)絡協(xié)議也有所不同，與ISA Server之間的溝通方式也略微有些不同。 365.7 ISA Server客

17、戶端的應用 1 Web代理客戶端（Web Proxy client）只能利用網(wǎng)頁應用程序（例如瀏覽器）訪問Internet的HTTP、HTTPS與FTP對象。 2 SecureNAT客戶端（SecureNAT client）能夠通過ISA Server來訪問Internet的TCP、UDP、HTTP、HTTPS、FTP與其他網(wǎng)絡協(xié)議的資源。 3防火墻客戶端（Firewall client） 必須另外安裝Microsoft Firewall Client。將HTTP請求傳遞給ISA Server的連接端口8080 。375.7 ISA Server客戶端的應用表5-1 各個客戶端的基本差異Web

18、代理客戶端SecureNAT客戶端防火墻客戶端支持的操作系統(tǒng)所有的操作系統(tǒng)所有的操作系統(tǒng)只支持Windows操作系統(tǒng)支持的網(wǎng)絡協(xié)議HTTP、HTTPS、FTP是否學要額外安裝軟件否，但是需要瀏覽器配置否，但是需要網(wǎng)絡配置是HTTP驗證用戶身份是只有VPN客戶端是非HTTP驗證用戶身份不支持訪問只有VPN客戶端是選擇適當?shù)目蛻舳瞬唤ㄗh選用發(fā)布網(wǎng)站或服務器普通用戶385.7 ISA Server客戶端的應用5.7.2 搭建ISA Server客戶端測試環(huán)境395.7 ISA Server客戶端的應用5.7.3 ISA Server的配置 1防火墻規(guī)則的開放 2確認可接收“Web代理客戶端”的請求5

19、.7.4 Web代理客戶端的配置步驟：（1）（3）5.7.5 SecureNAT客戶端的配置 1SecureNAT客戶端的配置 2開放DNS流量405.7 ISA Server客戶端的應用5.7.6 防火墻客戶端的配置 1客戶端的配置只需要配置IP地址和子網(wǎng)掩碼即可 。 2安裝Microsoft Firewall Client軟件客戶端安裝了Microsoft Firewall Client后，當客戶端的Winsock應用程序請求與其他網(wǎng)絡的計算機溝通時，會由Microsoft Firewall Client負責將此請求傳遞給ISA Server，但是如果要溝通對象是內部網(wǎng)絡的其他計算機，則此

20、溝通請求并不會傳遞給ISA Server。 415.7 ISA Server客戶端的應用 3“防火墻客戶端”默認也是“Web代理客戶端”當防火墻客戶端安裝了Microsoft Firewall Client后，系統(tǒng)自動會在Internet Explorer瀏覽器內將ISA Server配置為代理服務器，客戶端利用Internet Explorer訪問Internet的網(wǎng)頁與FTP對象時，該防火墻客戶端被視為Web代理客戶端 425.8 開放訪問Internet5.8.1 訪問Internet概述訪問Internet需要創(chuàng)建如下4個訪問規(guī)則。 （1）允許內部到本地主機的NetBIOS請求，讓內部客戶端可以解析ISA Server主機的NetBIOS計算機名稱。（2）允許內部到外部的DNS請求，讓內部