isa服務器的應用研究

isa服務器的應用研究

1.工作機制上的應用互聯(lián)網上有一句諺語：我可以聯(lián)系任何人?；ヂ?lián)網世界的美麗在于我可以聯(lián)系任何人。如何有效控制這種連接是每個處于Internet之中的企事業(yè)網絡必須所面對的,從技術方法上講防火墻技術是一種行之有效的方法。防火墻既可以分成針對個人用戶的個人版和針對企業(yè)級應用的企業(yè)版;也可以分成硬件型的和軟件型的;也有單機型的和網絡型的。通常硬件型防火墻價格比較貴,而且在功能上一般只能對處于TCP/IP中的下三層數(shù)據(jù)進行篩選過濾,配置部署及集成應用時上也顯得繁瑣和容易出錯;軟件防火墻速度方面會遜色,但是一般可以針對應用層數(shù)據(jù)進行篩選。ISAServer作為一款微軟公司產品與微軟公司的網絡操作系統(tǒng),其集成度高,通過緩存等機制實現(xiàn)了訪問速度的提高,通過訪問規(guī)則和發(fā)布規(guī)則保障了企業(yè)內網和DMZ區(qū)域的安全,同時還能很容易地實現(xiàn)虛擬專用網和企業(yè)負載均衡等功能,并且與活動目錄服務集成方便。本文主要探討ISAServer的應用研究,并給出了具體的實現(xiàn)方案。2.網絡關系定義ISAServer的全稱為MicrosoftInternetSecurityandAccelerationServer,有兩層含義:安全、加速。常見的應用版本有ISAServer2000、ISAServer2004、ISAServer2006,以及最新的TMG2010。本文中主要討論的是ISAServer2006企業(yè)版,該版本功能實用性高,性能穩(wěn)定。ISAServer中根據(jù)需要可以定義多個網絡,如內網、外部、DMZ區(qū)域,ISAServer服務器本身也被定義成“本地主機”這個網絡,同時還可以根據(jù)實際需要定義更多的網絡。這些網絡之間存在的關系稱為網絡關系,具體類型有NAT關系、路由關系。NAT關系即網絡地址轉換關系,一般用在當兩個網絡間訪問時需要發(fā)生IP地址轉換的場合,如私有IP地址轉換為公共IP地址。而路由關系中兩個網絡間通信的數(shù)據(jù)是可以直接被路由的而不需要被轉換。一般可以理解為NAT關系為單向的,路由關系為雙向的。2.1服務器的訪問規(guī)則ISAServer與網絡操作系統(tǒng)如WindowsServer2003、WindowsServer2008、WindowsServer2008R2兼容性好。ISAServer的防火墻引擎就是工作在系統(tǒng)的內核模式。即使ISAServer被攻破了,致使服務器宕機,該防火墻引擎還能有效保障網絡信息安全。在ISAServer中,通過訪問規(guī)則來實現(xiàn)企業(yè)對企業(yè)外部服務器的訪問。訪問規(guī)則是防火墻策略的一種,主要用在網絡關系為路由關系時實現(xiàn)兩個網絡間的互訪;當網絡關系為NAT關系的時候實現(xiàn)兩個網絡間的單向訪問。具體是在定義訪問規(guī)則時,首先需要確定網絡并且確定各網絡間的關系,然后可以通過右鍵單擊“防火墻策略”,選擇“新建”,再選擇“訪問規(guī)則”,如圖2-1所示,然后根據(jù)向導分別設置訪問規(guī)則名稱、設置規(guī)則操作:允許或拒絕、設置該規(guī)則將影響的的協(xié)議(數(shù)據(jù)類型)、設置數(shù)據(jù)的發(fā)起源、設置數(shù)據(jù)的發(fā)起目標以及設置數(shù)據(jù)請求的發(fā)起者(用戶集)。規(guī)則創(chuàng)建完畢還需要單擊“應用”方可生效。通過發(fā)布規(guī)則可以實現(xiàn)外部對企業(yè)內部服務器的訪問。對于一些中大型企業(yè),通常有自己的服務器需要被Internet用戶訪問,此時就可以通過發(fā)布規(guī)則來實現(xiàn),并且ISAServer中對于微軟的相關技術如Exchange制定專門的發(fā)布規(guī)則,實施起來更加方便。具體在定義發(fā)布規(guī)則時,通過右鍵單擊“防火墻策略”,選擇“新建”,如圖2-1所示,在該圖中上面5個均為發(fā)布規(guī)則,并且可以分為兩類:Web類型和非Web類型。微軟公司為了發(fā)布其相關產品如Exchange郵箱、Sharepoint站點等,單獨為其產品指定了發(fā)布向導。根據(jù)需要選擇具體某種發(fā)布類型,然后同樣是按照向導操作即可。對于發(fā)布Web類型的服務,還需要創(chuàng)建偵聽器。2.2企業(yè)內部服務器存儲型緩沖機sds軟件防火墻的突出缺點就是網絡訪問速度不及硬件防火墻。ISAServer為了克服這一缺點,通過緩存的機制和負載均衡的機制來提高網絡訪問的速度。緩存通常有正向緩存、鏈式緩存、分布式緩存、反向緩存。正向緩存就是上面講到的情形:在一定條件下可以提高內網對外網的響應速度;反向緩存與正向緩存相反:緩存的內容為公司內部服務器的內容,可以提高外網對公司內網服務器的響應速度;鏈式緩存則是,存在多臺ISAServer,并且之間形成一個鏈式的請求;分布式緩存所緩存的內容是分布式地存在于多臺服務器中?？赏ㄟ^“配置”列表中的“緩存”來實現(xiàn),如圖2-4所示,可以設置緩存的位置(位于哪個磁盤驅動器)以及緩存規(guī)則(緩存的時間多長等等)。負載均衡是通過多臺ISAServer構成企業(yè)陣列來實現(xiàn)的,陣列中ISAServer共同承擔任務,每臺ISAServer所承擔任務的分量根據(jù)CARP屬性來設置,如圖2-5所示,陣列中主機ID號為2的ISAServer承擔50%任務。3.平臺實現(xiàn)場景化部署基于上面的研究和討論,接下來主要是以企事業(yè)單位中常見的應用場景給出具體實現(xiàn)方案。ISAServer部署的詳細要求見安裝光盤,現(xiàn)在一般服務器都能滿足。需要注意的是:服務器需要兩張以上的網卡。3.1實現(xiàn)內網成網方案某企業(yè)根據(jù)對各網絡安全產品的調研,最終選擇了ISAServer2006作為企業(yè)防火墻,企業(yè)拓撲圖如圖3-1所示,內網IP地址為/16網段,ISAServer含有兩張網卡,內網卡地址為/16,外網卡IP地址由ISP提供(如果為ADSL上網,則不需要設置,開啟ADSL鏈接即可)。本方案就是具體來說如何實現(xiàn)這一需求。首先在服務器上安裝ISAServer,安裝后默認是阻斷企業(yè)內網對外的一切通信的,而訪問Internet是企業(yè)的一個根本需求。確保企業(yè)內網計算機的網關為ISAServer的內網卡IP地址,為了管理方便可以通過配置企業(yè)內部的DHCP服務器來實現(xiàn)。然后創(chuàng)建防火墻策略(訪問規(guī)則):規(guī)則操作選擇允許,協(xié)議選擇DNS、HTTP、HTTPS,訪問規(guī)則源為內部,訪問規(guī)則目標為外部,并且單擊“應用”。設置完畢后,企業(yè)內網計算機即可訪問Internet網站。如果想讓內網訪問其它類型服務如FTP,只需要在該規(guī)則中協(xié)議中添加相關協(xié)議即可。3.2部署方案見表1某企業(yè)根據(jù)企業(yè)需求,選擇了ISAServer2006作為防火墻,企業(yè)拓撲圖如圖3-2所示,為三向外圍結構:企業(yè)內部網絡為活動目錄域模式,網絡DMZ區(qū)域中的Web需要被外部訪問,內網中的ExchangeServer也需要被外部訪問,同時ISAServer還承擔了VPN服務角色,要求域用戶中的市場部員工能通過該VPN登錄到公司內網。企業(yè)網絡IP地址規(guī)劃如下:內網IP地址網段為/16,DMZ區(qū)域IP地址網段為/24,ISA服務器外網卡IP地址由ISP分配。本方案就是具體來說如何實現(xiàn)這一需求。部署過程如下:(1)在ISA服務器上安裝ISAServer2006,然后根據(jù)“3向外圍網絡”模板向導進行設置,設置過程中會自動創(chuàng)建外圍網絡,并且修改名為“外圍配置”的網絡規(guī)則關系為“路由”,修改名為“外圍訪問”的網絡規(guī)則關系為“NAT”;(2)創(chuàng)建Internet訪問規(guī)則,使得內網用戶能訪問Internet,具體配置與“3.1實現(xiàn)對Internet的訪問”中的配置相同;(3)創(chuàng)建ExchangeWeb客戶端訪問發(fā)布規(guī)則來發(fā)布位于公司內網中的ExchangeServer;(4)創(chuàng)建網絡發(fā)布規(guī)則發(fā)布位于DMZ區(qū)中的Web服務器;(5)創(chuàng)建RADIUS服務器:在活動目錄域內網的某臺服務器(已加入域)上創(chuàng)建Internet驗證服務,并且創(chuàng)建RADIUS客戶端,該客戶端IP地址指向ISA服務器的內網IP地址,并設置“共享的機密”;(6)創(chuàng)建VPN服務器:在“虛擬專用網絡(VPN)”中選擇“VPN客戶端”,在“任務欄”中先定義地址分配,由于本企業(yè)網需求中要求活動目錄域中的市場部員工能登陸該VPN服務器,所以需要設置RADIUS服務器IP及“共享的機密”(要求與步驟5中的設置的一致),然后“配置VPN客戶端訪問”設置“組”為市場部,最后“啟用VPN客戶端訪問”;(7)授予市場部員工的撥入權限:在活動目錄域服務器上打開“ActiveDirectory用戶和計算機”為市場部員工逐一授予“允許撥入”的權限。至此創(chuàng)建完畢。4.實現(xiàn)并部署好生產生活服務器及服務對象ISAS