ISA安全解决方案Word文档格式.docx
- 文档编号:19044450
- 上传时间:2023-01-03
- 格式:DOCX
- 页数:19
- 大小:209.60KB
ISA安全解决方案Word文档格式.docx
《ISA安全解决方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《ISA安全解决方案Word文档格式.docx(19页珍藏版)》请在冰豆网上搜索。
4.2部门或主干网络防火墙22
4.3分支办公室防火墙23
4.4安全服务器发布24
4.5安全Exchange服务器SSLVPN24
1ISA服务器概述
Microsoft®
InternetSecurityandAcceleration(ISA)Server提供安全、快速、可管理的Internet连接。
ISA服务器集成了可识别应用程序层且功能完善的多层企业防火墙和高性能的Web缓存。
它构建在MicrosoftWindowsServer™
2003和Windows®
2000Server安全和目录上,以实现网际互联的安全性(基于策略)、加速和管理。
Internet为组织提供与客户、合作伙伴和员工连接的机会。
这种机会的存在,同时也带来了与安全、性能和可管理性等有关的风险和问题。
ISA服务器旨在满足当前通过Internet开展业务的公司的需要。
ISA服务器提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及XX的访问。
ISAServerWeb缓存使得组织可以通过从本地提供对象(而不是通过拥挤的Internet)来节省网络带宽并提高Web访问速度。
无论是部署成专用的组件还是集成式防火墙和缓存服务器,ISA服务器都提供了有助于简化安全和访问管理的统一管理控制台。
ISA服务器为WindowsServer
2003和Windows
2000Server平台而构建,它通过强大的集成式管理工具来提供安全而快速的Internet连接性。
1.1确保Internet连接安全性
将网络和用户连接到Internet会引入安全性和效率问题。
ISAServer
为组织提供了在每个用户的基础上控制访问和监视使用率的综合能力。
ISA服务器保护网络免受XX的访问、执行状态筛选和检查,并在防火墙或受保护的网络受到攻击时向管理员发出警报。
ISA服务器是防火墙,通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络(VPN)、系统坚固、集成的入侵检测、智能的第7层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等等增强安全性。
可实现下列功能:
∙保护网络免受XX的访问。
∙保护Web和电子邮件服务器防御外来攻击。
∙检查传入和传出的网络通讯以确保安全性。
∙接收可疑活动警报。
1.2快速的Web访问
Internet提高了组织的工作效率,但这是以内容可访问、访问速度快且成本合理为前提的。
缓存通过提供本地缓存的Web内容将性能瓶颈控制在最少,并节省网络带宽。
ISA服务器可实现下列功能:
∙通过从Web缓存(而不是拥挤的Internet)提供对象来提高用户的Web访问速度。
∙通过减少链路上的网络通讯来减少Internet带宽成本。
∙分布Web服务器内容和电子商务应用程序,从而有效地覆盖了全世界的客户并有效地控制了成本。
∙从ISA服务器Web缓存中提供常用的Web内容,并将节省出来的内部网络带宽用于其他内容请求。
1.3统一管理
通过组合防火墙和高性能的Web缓存功能,ISAServer
提供了有助于降低网络复杂度和减少成本的公共管理基础结构。
ISA服务器与WindowsServer
2000紧密集成,从而提供了一种一致而有效的途径来管理用户访问和防火墙规则的配置。
1.4可扩展的平台
安全策略和规则因组织而异。
通讯量和内容格式导致了多样性问题。
没有单个产品能够满足所有的安全和性能需求,为了实现高度的可扩展性,ISAServer
便应运而生了。
可用于ISA服务器的其他资料有:
全面的软件开发人员工具包(SDK)、大型的第三方附加解决方案选集,以及可扩展的管理选件。
使用ISA服务器管理组件对象模型(COM),可以扩展ISA服务器的功能。
管理对象还允许通过ISA服务器管理完成的所有任务的自动化。
这意味着ISA服务器管理员可以通过使用管理对象来自动完成所有任务。
2ISA服务器功能
MicrosoftInternetSecurityandAccelerationServer(ISA)
引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展和可扩展的用户和身份验证模式,以及改进的管理功能,包括配置导出和导入。
以下部分对这些新增功能进行了简单介绍。
2.1多网络
ISA服务器引入了多网络的概念。
使用ISA服务器的多网络功能,可以通过限制客户端之间的通讯(甚至组织内部的通讯)来防止网络受到内部和外部的安全威胁。
可以将内部网络中的计算机组织成网络集,并针对各个网络集配置特定的访问策略。
还可以定义各个网络之间的关系,从而确定各个网络中的计算机如何通过ISA服务器彼此通讯。
在普通的发布方案中,您可能要使发布的服务器在其所在的网络中单独隔离出来,例如,形成外围网络。
ISA服务器多网络功能支持这样的方案,以便您可以配置公司网络中的客户端如何访问外围网络,以及外部客户端如何访问网络。
可以配置各个网络之间的关系,并在各个网络之间指定不同的访问策略。
下图说明了多网络方案。
该图中,ISA服务器计算机将Internet(外部网络)与内部网络、公司网络和外围网络连接起来。
ISA服务器计算机上的每个网络适配器都连接到其中的每个网络。
使用ISA服务器,可以在任何网络对之间配置不同的访问策略。
也就是说,可以确定各个网络中的计算机是否彼此通讯,如果是,采用的是哪一种通讯方式。
每个网络都与其他网络隔离开来,并只有在配置了允许通讯的规则时才可以相互访问。
可以使用ISA服务器的多网络功能来标识、配置和定义组织内部和外部计算机之间的连接性和关系。
要配置多网络环境,应标识网络(可以选择将它们分组为网络集),并指定网络之间的关系。
定义网络后,应创建网络规则,以便确定是否允许网络连接,如果是,应如何连接。
对于网络地址转换(NAT)关系和路由关系,可以通过配置访问规则来允许通讯。
可以配置发布规则,以便允许通讯从目标网络到达源网络。
2.1.1多网络结构
在经典的多网络环境视图中,防火墙或路由器在一个或多个网络之间提供连接性。
根据在防火墙或路由器上配置的访问控制,允许通讯在网络之间传递。
请考虑下面的图例,它说明了经典的多网络方案视图。
在图中,公司网络将连接到Internet,以便允许客户端访问Internet。
外围网络连接到公司网络和Internet,以便允许访问其资源。
ISA服务器将IP地址分组为集,称为网络。
ISA服务器使用网络来描述无需通过ISA服务器传递即可交换通讯的主机的地址。
网络实际描述了网络拓扑形式的ISA服务器视图。
ISA服务器包含几个特殊的内置网络元素。
下面列举了一些示例:
∙内置外部网络自动包含不属于其他任何网络的所有地址。
与其他网络不同,它可以存在于另一网络的后面。
∙内置VPN客户端网络自动包含分配给VPN客户端的所有地址。
∙内置本地主机网络包含ISA服务器计算机上的地址。
2.1.2网络之间的访问
可以使用ISA服务器来定义网络规则,从而允许网络之间相互访问。
为此,不仅要定义是否允许网络连接,还要定义如何连接。
这样,便可在网络之间建立网络访问策略。
下图说明了网络访问策略的概念。
已配置相应的网络规则,以便允许在上图所示的相同网络之间进行网络访问。
网络规则定义了网络之间的如下关系:
1.在分部与总部之间定义路由的网络关系。
路由关系是相互的。
2.在从公司网络到外围网络这一方向上定义网络地址转换(NAT)网络关系。
NAT关系是单向且唯一的。
因此,在从外围网络到公司网络这一方向上不存在关系。
3.在从公司网络到Internet这一方向上定义NAT网络关系。
同样,在从Internet到公司网络这一方向上也不存在关系。
4.最后,在从外围网络到Internet这一方向上定义NAT网络关系。
请注意,在路由的网络关系中,每个网络都公开其真正的IP地址。
因此,只有在网络之间真正需要双向通讯时,才应配置路由网络关系。
2.2防火墙策略
凭借MicrosoftInternetSecurityandAcceleration(ISA)Server
,您可以使用数据包级别、线路级别和应用程序级别通讯筛选最大限度地提高安全性:
∙状态数据包筛选决定允许通过安全网络线路和应用程序层代理服务的数据包。
状态筛选只在需要时自动打开端口,然后在通信结束后关闭端口。
∙线路筛选为多平台访问很多Internet协议和服务提供了应用程序透明线路网关。
与其他线路层代理不同,ISA服务器线路层安全与动态数据包筛选一起使用,以提供增强的安全性和易用性。
∙应用程序筛选和状态检查处理客户端计算机中应用程序协议(例如HTTP、FTP和Gopher)内的命令。
ISA服务器代表客户端计算机,隐藏外部网络的网络拓扑和IP地址。
您可以按照用户和组、应用程序、源和目标,以及计划控制入站和出站访问。
防火墙策略指定使用指定的协议和端口可以访问哪些站点和内容,特定的协议是否可访问入站和出站通信,以及是否允许或拒绝指定IP地址之间的通信。
此部分解释了防火墙策略。
2.2.1出站规则
ISA服务器的一个主要功能是连接源网络与目标网络,同时阻止恶意访问。
为了帮助建立此连接,您使用ISA服务器来创建允许源网络中的客户端访问目标网络中的特定计算机的访问策略。
此访问策略决定了客户端如何访问其他网络。
当ISA服务器处理传出请求时,它检查网络规则和防火墙策略规则以确定是否允许访问。
可以配置某些规则应用于特定的客户端。
在这种情况下,可以通过IP地址或用户名来指定客户端。
ISA服务器根据请求对象的客户端类型以及ISA服务器的配置来相应地处理请求。
首先,ISA服务器检查网络规则,以确认两个网络已连接。
如果网络规则定义了源网络与目标网络之间的连接,ISA服务器将处理访问策略规则。
接下来,ISA服务器按顺序检查访问规则。
如果对该请求应用了允许规则,ISA服务器将允许该请求。
特别是在请求与下列规则条件相匹配时,ISA服务器将应用规则:
∙协议
∙从(源)地址和端口
∙计划
∙到(目标)地址、名称、URL
∙用户
∙内容组
应用规则之后,ISA服务器不将请求与其他任何规则相匹配,并停止规则评估。
随后,ISA服务器实际上可能拒绝请求,具体情况取决于应用于规则的其他协议筛选。
最后,ISA服务器再次检查网络规则,以确定网络是如何连接的。
ISA服务器检查Web链规则(如果请求对象的是Web代理客户端)或防火墙链配置(如果请求对象的是SecureNAT或防火墙客户端),以确定将如何处理请求。
例如,假定您将ISA服务器安装到具有两个网卡的计算机上:
一个网卡连接到Internet,另一个则连接到本地网络。
您公司的许可原则是允许所有用户访问所有站点。
在这种情况下,您的策略应包含下列访问策略规则:
∙在源网络(本地网络)与目标网络(Internet)之间建立连接的网络规则。
∙允许所有内部客户端在任何时候使用任何协议访问任何站点的访问规则。
2.2.2入站请求
ISA服务器可以使服务器安全地接受来自其他网络客户端的访问。
您使用ISA服务器创建一条发布策略以便安全地发布服务器。
发布策略包含Web发布规则、服务器发布规则、安全Web发布规则以及邮件服务器发布规则,它与Web链规则一起共同确定如何访问发布的服务器。
可以使用下列ISA服务器规则之一来发布服务器:
∙Web发布规则。
发布Web服务器内容。
∙服务器发布规则。
发布其他所有内容。
∙安全Web发布服务器。
发布安全套接字层(SSL)内容。
当ISA服务器处理来自客户端的HTTP或HTTPS请求时,它检查发布规则和Web链规则,以确定是否允许该请求,以及将由哪一台服务器来处理该请求。
对于非HTTP请求,ISA服务器检查网络规则,然后检查发布规则以确定是否允许该请求。
对于传入的Web请求,是按下列顺序来处理规则的:
1.Web发布规则。
2.Web链规则。
例如,请考虑这样一个方案:
您将ISA服务器安装到具有两个网络适配器的计算机上,其中一个适配器连接到Internet,而另一个则连接到本地网络。
将应用下列规则:
1.如果Web发布规则明确地拒绝请求,该请求将被拒绝。
2.如果Web链规则规定请求应路由到特定的上游服务器或备用的主持站点,将由指定的服务器处理该请求。
3.如果Web链规则规定请求应路由到指定的服务器,将由内部Web服务器返回对象。
2.2.3Web发布规则和Web链规则
Web发布规则是按顺序处理的,其中默认Web发布规则最后处理。
Web链规则也是按顺序处理的。
当外部客户端向内部Web服务器请求对象时,将按下列顺序处理规则:
1.Web发布规则
2.Web链规则
例如,考虑下列规则:
∙Web发布规则将所有客户端对的发出的请求重定向到被指定为msweb的主持站点(Web服务器)。
∙Web链规则对请求(其目标包含msweb)进行路由,并将由msweb直接对其进行处理。
当外部(Internet)用户从请求对象时,ISA服务器拦截该请求。
它首先处理Web发布规则,确定应将该请求重定向到msweb计算机。
接下来,它处理Web链规则,确定请求将由指定的服务器(msweb)直接处理。
下面的示例说明了当创建Web发布规则而不创建相应的Web链规则时所发生的情形:
∙Web发布规则将所有客户端对包含的目标集发出的请求重定向到被指定为myinternalms的主持站点
∙Web链规则将对所有目标发出的请求路由到上游服务器。
在这种情况下,将首先处理Web发布规则。
对发出的所有请求都将被重定向到myinternalms。
但是,Web链规则规定应将该请求路由到上游服务器(而不是直接发送到目标服务器)。
该请求将总是被路由到上游服务器。
2.3虚拟专用网络
虚拟专用网络(VPN)是专用网络的扩展。
同Internet一样,该网络包含共享网络或公用网络之间的链接。
使用VPN,可以通过共享网络或公用网络以模拟点对点专用链接的方式在两台计算机之间发送数据。
虚拟专用网络连接是一种创建和配置虚拟专用网络的操作。
使用VPN连接,在家办公或旅行的用户可以通过公用Internet网络(如Internet)提供的结构,获得到组织服务器的远程访问连接。
从用户的角度来说,VPN是计算机(VPN客户端)和组织服务器(VPN服务器)之间的点对点连接。
VPN与共享网络或公用网络的具体结构无关,因为数据就象是通过专用的链接发送的。
使用VPN连接,组织还可以在维护安全通讯的同时,通过公用Internet网络(如Internet)路由与其他组织之间的连接。
例如,对于那些地理位置上分开的办公室。
从逻辑上来说,在Internet之间路由的VPN连接的操作方式如同专用的广域网(WAN)链接。
使用ISAServer
,可以配置安全VPN,根据您的指定,可以使远程访问客户端和远程站点对其进行访问。
通过将ISA服务器计算机用作VPN服务器,可以保护公司网络免受恶意的VPN连接,您可从中受益。
因为VPN服务器是集成到防火墙功能中的,所以VPN用户要遵守ISA服务器防火墙策略。
另外,通过将ISA服务器计算机用作VPN服务器,您可以对站点到站点的VPN连接以及到公司网络的VPN客户端访问进行管理。
ISA服务器支持两种类型的VPN连接:
∙远程访问VPN连接。
远程访问客户端可以建立连接到专用网络上的远程访问VPN连接。
ISA服务器可以提供对VPN服务器所连接到的整个网络的访问。
∙站点到站点的VPN连接。
路由器可以建立站点到站点的VPN连接,用于连接专用网络的两个部分。
ISA服务器可以提供对ISA服务器计算机所连接到的网络的连接。
采用ISA服务器,每种类型的VPN连接在配置方式上会略有差别。
如果单个远程VPN客户端需要访问权限,则只需为该单个用户进行配置。
在站点到站点的网络配置中,必须为远程用户所在的整个网络授予访问权限,即配置VPN用户所在的网络。
但是,许多VPN配置对于这两种方案都是通用的。
例如,ISA服务器认为来自远程站点网络的初始连接请求就如同来自单个远程VPN客户端的任何请求一样。
为初始连接配置隧道协议、身份验证方法、访问网络和地址分配时,其方式必须如同为远程访问客户端进行这些配置一样。
2.3.1远程VPN客户端访问
通过使用ISAServer
进行本地Internet连接,即使天各一方,您也可以使工场的各部门从世界上的任意位置连接到内部网络。
例如,您的办公室位于纽约市,而您的销售人员却在芝加哥工作。
您希望销售人员本地连接到Internet,并使用VPN连接来访问内部网络,而不是给纽约市打电话并直接连接到您的内部网络(使用路由和远程访问)。
这就是远程访问VPN方案。
采用ISA服务器,您可以使用点到点隧道协议(PPTP)或第2层隧道协议(L2TP)来实施远程客户端访问解决方案。
例如,考虑如下图所示的用于漫游VPN客户端的典型网络拓扑。
此图片显示了三个网络:
∙VPN客户端所在的Internet。
∙VPN网关,这是ISA服务器计算机。
∙内部网络,其中可包含用于动态IP地址分配的DHCP服务器和(可选,如果配置的是L2TP隧道协议)证书颁发机构。
2.3.2站点到站点的VPN概述
大型企业通常都有多个站点需要进行通讯,例如,位于纽约的总部办公室和位于华盛顿的销售办公室。
可以使用站点到站点虚拟专用网络(VPN)通过Internet安全地将这两个办公室连接起来。
为站点到站点连接提供了三个VPN协议:
∙点对点隧道协议(PPTP)
∙Internet协议安全(IPSec)上的第2层隧道协议(L2TP)
∙Internet协议安全(IPSec)隧道模式
远程VPN网络的配置过程因选定的隧道协议的不同而不同。
对于所有远程站点网络,必须配置网络、为该远程网络设置网络及防火墙策略,并配置远程站点网关(VPN服务器)。
此外,对于IPSec网络,可以进一步在ISA服务器计算机上配置安全设置。
还必须在远程站点网关上配置IPSec策略设置。
2.3.3IPSec/L2TP和PPTP网络
使用点对点隧道协议(PPTP)和Internet协议安全(IPSec)上的第2层隧道协议(L2TP)来支持站点到站点的虚拟专用网络(VPN)。
例如,如果您使用ISAServer
作为VPN服务器,并且要连接的站点使用Microsoft®
WindowsServer™
2003、Windows®
2000Server、ISAServer
或ISAServer
2000作为VPN服务器,则可以使用上述隧道协议。
使用路由和远程访问来建立IPSecVPN连接上的L2TP。
下图显示了IPSec上L2TP解决方案的一种可能的网络拓扑。
使用PPTP或IPSec上的L2TP设置远程网络涉及以下常规步骤:
1.创建远程站点网络,选择PPTP或IPSec上的L2TP作为隧道协议。
2.选择PPTP或IPSec上的L2TP作为隧道协议。
3.配置ISA服务器网络规则和访问策略。
4.配置远程VPN站点启动的连接的常规VPN属性,因为ISA服务器将这些站点看作VPN客户端。
5.如果您的ISA服务器计算机通过拨号连接连接到Internet,可以配置自动拨号。
6.配置远程VPN服务器。
2.3.4IPSec隧道协议网络
支持使用Internet协议安全(IPSec)隧道协议的站点到站点虚拟专用网络(VPN)。
作为VPN服务器,并且要连接到的站点使用第三方产品或ISAServer
作为它的VPN服务器,则可以使用IPSec隧道协议。
下图显示了IPSec隧道解决方案的一种可能的网络拓扑。
如上图所示,主办公室使用ISAServer
作为它的VPN服务器。
位于运行Microsoft®
2003或Windows®
2000Server的计算机上。
分支办公室可能运行多个第三方VPN服务器中的一个。
或者,分支办公室可能使用ISAServer
、WindowsServer
2003或Windows
2000Server作为它的VPN服务器。
使用IPSec设置远程网络涉及以下几个常规步骤:
1.创建远程站点网络。
选择IPSec作为隧道协议。
2.配置ISA服务器网络规则和访问策略。
详细信息,
3.如果您的ISA服务器计算机通过拨号连接连接到Internet,可以配置自动拨号。
4.配置远程VPN服务器。
必须按照制造商的说明,将远程VPN服务器配置为
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISA 安全 解决方案