ISA防火牆部署與設(shè)置第1頁，共42頁。一、ISAServer介紹二、ISAServer的優(yōu)點三、ISAServer安裝四、ISA的配置第2頁，共42頁。一、ISAServer介紹隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展，絕大多數(shù)企業(yè)都接入了互聯(lián)網(wǎng)或建立了自己的內(nèi)部局域網(wǎng)，但企業(yè)在享受互聯(lián)網(wǎng)所帶來的方便、快捷的同時，也帶來了企業(yè)上網(wǎng)管理的煩惱：1、如何禁止員工上班時間在網(wǎng)上看電影，用QQ聊天，玩遊戲？2、如何查看員工上班時間訪問了什麼網(wǎng)站？3、如何應(yīng)對日益猖獗的病毒及駭客攻擊，保證企業(yè)內(nèi)部資訊的安全？4、如何加快網(wǎng)路訪問速度？5、公司有眾多分支機(jī)搆，如何讓他們能夠通過Internet與總部安全地通信？等等……第3頁，共42頁。ISAServer的出現(xiàn)為了解決企業(yè)對網(wǎng)路管理和網(wǎng)路安全的需求，實現(xiàn)可管理的互聯(lián)網(wǎng)，微軟公司推出了企業(yè)級防火牆ISAServer2004。作為最優(yōu)秀的微軟平臺防火牆和最高效的緩存伺服器，ISAServer2004能有效的幫助企業(yè)組織管理內(nèi)部的互聯(lián)網(wǎng)訪問行為，為企業(yè)網(wǎng)路搭建了快速、安全、可管理的的上網(wǎng)通道，保護(hù)企業(yè)網(wǎng)路資源免受病毒、駭客及未授權(quán)訪問侵襲。第4頁，共42頁。ISA是什麼InternetSecurityandAcclerationServer防火牆技術(shù)緩存技術(shù)國際領(lǐng)先的防火牆，安全的Internet連接通過資料包級別、電路級別和應(yīng)用程式級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)路應(yīng)用程式支援、緊密地集成虛擬專用網(wǎng)路(VPN)、系統(tǒng)堅固、集成的入侵檢測、智慧的第7層應(yīng)用程式篩選器、對所有用戶端的防火牆透明性、高級身份驗證、安全的伺服器發(fā)佈等等增強(qiáng)安全性。ISA伺服器保護(hù)網(wǎng)路免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，並在防火牆或受保護(hù)的網(wǎng)路受到攻擊時向管理員發(fā)出警報。第5頁，共42頁。二、ISAServer的優(yōu)點基於應(yīng)用層的高級防護(hù)目前互聯(lián)網(wǎng)上70%的WEB攻擊發(fā)生在應(yīng)用層，而傳統(tǒng)防火牆只對資料包的包頭進(jìn)行檢查，因此往往對成熟的應(yīng)用層攻擊（如“緩衝區(qū)溢出”）無能為力。而ISAServer2004是工作在應(yīng)用層的，正是由於這個設(shè)計原理，它能檢查資料包裏面的資訊，有效防範(fàn)基於應(yīng)用層的攻擊。第6頁，共42頁。傳統(tǒng)防火牆無法防範(fàn)成熟的應(yīng)用層攻擊第7頁，共42頁。ISA防火牆的防護(hù)ISAServer2004包含一個功能完善的應(yīng)用程式層感知防火牆，它會對Internet協(xié)定（如超文本傳輸協(xié)定(HTTP)）執(zhí)行深入檢查，這使它能檢測到許多傳統(tǒng)防火牆檢測不到的威脅。第8頁，共42頁。集成代理伺服器和緩存功能，實現(xiàn)快速訪問ISAServer2004不僅僅是防火牆，而是集防火牆、代理伺服器、緩存伺服器三大功能於一體。ISAServer2004使用高性能的緩存來加快內(nèi)部用戶的WEB訪問速度。如果用戶有對外的WEB伺服器，那麼在利用ISA進(jìn)行對外WEB發(fā)佈時，ISA的緩存功能也將提高外部Internet用戶的Web訪問性能。第9頁，共42頁。三、ISAServer安裝網(wǎng)路環(huán)境的配置:ISAServer作為一個路由級的軟體防火牆，要求管理員要熟悉網(wǎng)路中的路由設(shè)置、TCP/IP設(shè)置、代理設(shè)置等等，它並不像其他單機(jī)防火牆一樣，只需安裝一下就可以很好的使用。在安裝ISAServer時，你需要對你內(nèi)部網(wǎng)路中的路由及TCP/IP設(shè)置進(jìn)行預(yù)先的規(guī)劃和配置，這樣才能做到安裝ISAServer後即可很容易的使用，而不會出現(xiàn)客戶不能訪問外部網(wǎng)路的問題。第10頁，共42頁。第11頁，共42頁。ISAServer2004上的內(nèi)部網(wǎng)路適配器作為內(nèi)部客戶的默認(rèn)閘道，根據(jù)慣例，它的IP位址要麼設(shè)置為子網(wǎng)最前的IP（如），或者設(shè)置為最末的IP（54），在此例中設(shè)置為；對於DNS伺服器，在此例中，我們假設(shè)外部網(wǎng)卡上已設(shè)置了DNS伺服器，所以我們在此不設(shè)置DNS伺服器的IP位址；還有默認(rèn)閘道，內(nèi)部網(wǎng)卡上切忌不要設(shè)置默認(rèn)閘道，因為Windows主機(jī)同時只能使用一個默認(rèn)閘道，如果在外部和內(nèi)部網(wǎng)路適配器上都設(shè)置了默認(rèn)閘道，那麼ISAServe?ň?$第12頁，共42頁。SNAT客戶的TCP/IP配置要求：必須和ISAServer的內(nèi)部介面在同個子網(wǎng)；在此，我可以使用/24~54/24;配置ISAServer的內(nèi)部介面為默認(rèn)閘道；此時默認(rèn)閘道是;DNS根據(jù)你的網(wǎng)路環(huán)境來設(shè)置，可以使用ISP的DNS伺服器或者你自己在內(nèi)部建立一臺DNS伺服器；但是DNS伺服器是必需的第13頁，共42頁。Web代理客戶必須和ISAServer的內(nèi)部介面在同個子網(wǎng)；在此，我可以使用/24~54/24;默認(rèn)閘道和DNS伺服器位址都可以不配置；必須在IE的代理屬性中配置ISAServer的代理，默認(rèn)是內(nèi)部介面的8080埠，在此是:8080；對於其他需要訪問網(wǎng)路的程式，必須設(shè)置HTTP代理（ISASERVER），否則是不能訪問網(wǎng)路；第14頁，共42頁。在內(nèi)網(wǎng)中還有其他子網(wǎng)的內(nèi)部客戶。此時，首先得將這些子網(wǎng)的位址包含在ISAServer的內(nèi)部網(wǎng)路中，然後在ISAServer上配置到這些子網(wǎng)的路由，其他的就和單內(nèi)部網(wǎng)路的配置一致了。第15頁，共42頁。2.多網(wǎng)路模型中的邊緣防火牆第16頁，共42頁。3.單網(wǎng)路適配器的環(huán)境第17頁，共42頁。ISA系統(tǒng)安裝的基本需求第18頁，共42頁。安裝ISAServer2004第19頁，共42頁。第20頁，共42頁。第21頁，共42頁。第22頁，共42頁。第23頁，共42頁。第24頁，共42頁。第25頁，共42頁。第26頁，共42頁。第27頁，共42頁。四、ISA的配置第28頁，共42頁。ISA安裝時，會創(chuàng)建下列默認(rèn)規(guī)則：本地主機(jī)訪問：此規(guī)則定義了在本地主機(jī)網(wǎng)路與其他所有網(wǎng)路之間存在的路由關(guān)係。VPN用戶端到內(nèi)部網(wǎng)路：此規(guī)則指定在兩個VPN用戶端網(wǎng)路（“VPN用戶端”和“被隔離的VPN用戶端”）與內(nèi)部網(wǎng)路之間存在著路由關(guān)係。Internet訪問：此規(guī)則定義了在內(nèi)部網(wǎng)路與外部網(wǎng)路之間存在的NAT關(guān)係。第29頁，共42頁。第30頁，共42頁。第31頁，共42頁。(2)訪問策略新建一條允許內(nèi)部客戶訪問外部網(wǎng)路的所有服務(wù)的訪問規(guī)則：在防火牆策略上點右鍵，指向“新建”，然後點擊“訪問規(guī)則”。第32頁，共42頁。在“新建訪問規(guī)則嚮導(dǎo)”的訪問規(guī)則名稱文本框中，輸入“Allowalloutboundtraffic”，然後點擊“下一步”。然後在“規(guī)則操作”而，選擇“允許”，點擊“下一步”第33頁，共42頁。第34頁，共42頁。第35頁，共42頁。第36頁，共42頁。第37頁，共42頁。第38頁，共42頁。部屬防火牆策略的十六條守則電腦沒有大腦。所以，當(dāng)ISA的行為和你的要求不一致時，請檢查你的配置而不要埋怨ISA。只允許你想要允許的客戶、源位址、目的地和協(xié)議。仔細(xì)的檢查你的每一條規(guī)則，看規(guī)則的元素是否和你所需要的一致。針對相同用戶或含有相同用戶子集的訪問規(guī)則，拒絕的規(guī)則一定要放在允許的規(guī)則前面。當(dāng)需要使用拒絕時，顯示拒絕是首要考慮的方式。在不影響防火牆策略執(zhí)行效果的情況下，請將匹配度更高的規(guī)則放在前面。在不影響防火牆策略執(zhí)行效果的情況下，請將針對所有用戶的規(guī)則放在前面。儘量簡化你的規(guī)則，執(zhí)行一條規(guī)則的效率永遠(yuǎn)比執(zhí)行兩條規(guī)則的效率高。永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用Allow4All規(guī)則（Allowallusersuseallprotocolsfromallnetworkstoallnetworks),這樣只是讓你的ISA形同虛設(shè)。第39頁，共42頁。如果可以通過配置系統(tǒng)策略來實現(xiàn)，就沒有必要再建立自定義規(guī)則。ISA的每條訪問規(guī)則都是獨立的，執(zhí)行每條訪問規(guī)則時不會受到其他訪問規(guī)則的影響永遠(yuǎn)也不要允許任何網(wǎng)路訪問ISA本機(jī)的所有協(xié)議。內(nèi)部網(wǎng)路也是不可信的。SNAT客戶不能提交身份驗證資訊。所以，當(dāng)你使用了身份驗證時，請配置客戶為Web