1、ISA2004 部署和管理,課程要求,參加本議程前，最好能預先具備以下主題的基本能力： TCP/IP Packet Microsoft ISA Server 2000,日程安排,在企業(yè)網(wǎng)絡中安裝ISA Server 2004 配置安全的Internet訪問服務 制訂訪問出站規(guī)則，制訂應用級別的訪問控制 利用HTTP緩存加速Internet訪問 安全發(fā)布服務器 通過ISA Server實現(xiàn)VPN ISA2004企業(yè)版介紹,ISA2004安裝服務器需求,具有 300MHz 或更高頻率的兼容 Pentium II 的 CPU 的個人計算機。 Microsoft Windows Server2003

2、或 Windows2000 Server 操作系統(tǒng)。 256MB 內(nèi)存。 與計算機的操作系統(tǒng)兼容的網(wǎng)絡適配器，以便與內(nèi)部網(wǎng)絡通訊。 對于連接到 ISA 服務器計算機的每個網(wǎng)絡還都需要一個額外的網(wǎng)絡適配器。 一個用 NTFS 文件系統(tǒng)格式化的本地硬盤分區(qū)，并且至少擁有 150MB 的可用硬盤空間。這是專門用于緩存的硬盤空間。,在運行 Windows2000 的計算機上安裝 ISA 服務器,必須安裝 Windows2000 Service Pack4 (SP4) 或更高版本。 必須安裝 Internet Explorer6 或更高版本。 如果您使用的是 Windows2000 SP4 整合安裝，還

3、必須安裝 Microsoft 知識庫文章 821887“Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows2000 Authorization Manager Runtime”所指定的修補程序。,選擇合適的網(wǎng)絡構架,ISA 2004,演示,ISA2004安裝,日程安排,在企業(yè)網(wǎng)絡中安裝ISA Server 2004 配置安全的Internet訪問服務 制訂訪問出站規(guī)則，制訂應用級別的訪問控制 利用HTTP緩存加速Internet訪問 安

4、全發(fā)布服務器 通過ISA Server實現(xiàn)VPN ISA2004企業(yè)版介紹,ISA2004 客戶端,Firewall Client：任何一部用戶計算機上安裝Firewall Client軟件者，便是Firewall Client端計算機。 SecureNAT Client：凡是非Firewall Client端的計算機者，都是SecureNAT Client端計算機。 Web Proxy Client：凡在瀏覽器上指定使用ISA Server的上網(wǎng)代理服務（Proxy Service）者，都是Web Proxy Client端計算機。,客戶端比較,客戶端Internet訪問請求過程,ISA 服

5、務器檢查網(wǎng)絡規(guī)則 ISA 服務器處理訪問策略規(guī)則 協(xié)議 從（源）地址和端口 計劃 到（目標）地址、名稱、URL 用戶 內(nèi)容組 ISA 服務器再次檢查網(wǎng)絡規(guī)則 ISA 服務器檢查 Web 鏈規(guī)則或防火墻鏈配置,如何配置訪問規(guī)則,創(chuàng)建訪問規(guī)則 為訪問規(guī)則配置目標網(wǎng)絡對象 為訪問規(guī)則配置協(xié)議 為訪問規(guī)則配置內(nèi)容 為訪問規(guī)則允許指定的源端口,日程安排,在企業(yè)網(wǎng)絡中安裝ISA Server 2004 配置安全的Internet訪問服務 制訂訪問出站規(guī)則，制訂應用級別的訪問控制 利用HTTP緩存加速Internet訪問 安全發(fā)布服務器 通過ISA Server實現(xiàn)VPN ISA2004企業(yè)版介紹,HTTP

6、緩存,減少響應時間與聯(lián)機頻寬的耗用 Forward Caching ：支持用于連出要求 Reverse Caching：支持用于連入要求,Web Server,Client,Client,Client,Forward Caching,Reverse Caching,Client,Web Server,ISA Server 2004,緩存規(guī)則機制,緩存使用者經(jīng)常要求的對象，以增進網(wǎng)絡效能 經(jīng)常要求的內(nèi)容可指定離峰時間自動下載內(nèi)容，增進網(wǎng)絡效能 緩存規(guī)則可指定要儲存于快取中的內(nèi)容類型 智能型緩存： 根據(jù) 對象在緩存中存在的時間 該對象上次擷取的時間，自動決定哪些網(wǎng)站是最常使用與重新整理內(nèi)容的頻率,

7、啟用HTTP緩存,設置緩存所用的驅(qū)動器 配置緩存 配置常規(guī)緩存屬性 配置緩存規(guī)則 配置內(nèi)容下載任務,配置常規(guī)緩存屬性,啟用緩存 配置緩存大小 配置活動緩存 配置要緩存的內(nèi)容 配置緩存中對象的最大大小 配置負緩存 配置是否從緩存中返回過期的對象 配置要用于緩存的可用內(nèi)存百分比,配置緩存規(guī)則,創(chuàng)建緩存規(guī)則 為緩存規(guī)則配置網(wǎng)絡實體 配置如何緩存 Web 對象 為緩存規(guī)則配置 HTTP 緩存 為緩存規(guī)則配置 FTP 緩存 為緩存規(guī)則配置 SSL 緩存 限制為緩存規(guī)則緩存的對象大小 禁用緩存規(guī)則 刪除緩存規(guī)則,日程安排,在企業(yè)網(wǎng)絡中安裝ISA Server 2004 配置安全的Internet訪問服務

8、制訂訪問出站規(guī)則，制訂應用級別的訪問控制 利用HTTP緩存加速Internet訪問 安全發(fā)布服務器 通過ISA Server實現(xiàn)VPN ISA2004企業(yè)版介紹,何謂發(fā)布服務器,本質(zhì)上是篩選通過 ISA 服務器計算機的所有傳入和傳出請求。 服務器發(fā)布規(guī)則將傳入請求映射到 ISA 服務器計算機后面的相應服務器,ISA Server2004發(fā)布,Web服務器發(fā)布管理 安全 Web 發(fā)布規(guī)則 郵件服務器發(fā)布 Publishing an Exchange Server for Outlook (RPC) 服務器的發(fā)布,Web服務器發(fā)布管理,Web 發(fā)布規(guī)則 ISA Server將如何攔截對 Web 服

9、務器上的 (HTTP) 對象的傳入請求 ISA Server將如何代表 Web 服務器進行響應 請求被轉(zhuǎn)發(fā)到位于 ISA 服務器計算機后面的 Web 服務器 如果可能，將從 ISA 服務器緩存中提供所請求的對象 Web 發(fā)布規(guī)則本質(zhì)上是將傳入請求與相應的 Web 服務器匹配 Web 發(fā)布規(guī)則還使您可以配置高級篩選功能，從而既發(fā)布基于 Web 的信息，又防止其受到惡意的訪問,發(fā)布網(wǎng)頁服務器,Default Gateway：54, A ,應用案例,ISA Server 2004,IIS Server,Outlook MAPI Cli

10、ent,B,External DNS,Internet,,54,,1,2,3,演示,Web發(fā)布,Client,Internet,ISA Server 2004,Web Server 00,External DNS Server,, A ,應用程序和Web過濾結構,Firewall Engine,Firewall Service,Application Filter API,Web Proxy Filter,Web Filter API,Web Filters,Ru

11、les Engine,Application Filters,HTTP 篩選器,ISA Server可檢查應用程序?qū)用罴皵?shù)據(jù) 可根據(jù)下列項目來封鎖 HTTP 要求的網(wǎng)頁： 要求裝載的長度 HTTP 要求方法 HTTP 要求擴展名 HTTP 要求或響應標頭 要求或響應標頭或本文中的簽章或型樣,HTTP Filter Configuration for Web Publishing,HTTP 篩選器：一般 標頭長度上限 (字節(jié)) ：32768 選取“允許任何裝載長度” URL 長度上限 (字節(jié)) ： 260 查詢長度上限 (字節(jié)) ： 4096 確認“選取正規(guī)化” 不要選取“封鎖高位字符” HT

12、TP 篩選器：方法 只允許指定的方法 ：GET、HEAD 、POST HTTP 篩選器：擴展名 封鎖指定的擴展名 (允許其它所有擴展名) .exe、.bat、.cmd、.com 、.htw、.ida 、 .idq、 .htr 、 .idc、 .shtm 、 .shtml、.stm 、 .printer 、 .ini、 .log 、 .pol、 .dat HTTP 篩選器：簽章 選取 要求 URL . 、./ 、:、 %、 &,應用案例,Traditional firewall,WebSrv/ OWA,client,Web server prompts for authentication an

13、y Internet user can access this prompt,SSL tunnels through traditional firewalls because it is encrypted,which allows viruses and worms to pass through undetected,and infect internal servers!,ISA Server 2004,Authentication delegation,ISA Server pre-authenticates users, eliminating multiple dialog bo

14、xes and only allowing valid traffic through,ISA Server with HTTP Filtering,ISA Server can decrypt and inspect SSL traffic,inspected traffic can be sent to the internal server re-encrypted or in the clear.,HTTP Filter,HTTP Filter can stop Web attacks at the network edge, even over encrypted SSL,Inter

15、net,演示,HTTP篩選器,安全 Web 發(fā)布規(guī)則,SSL隧道:無需進行流量檢查即可保護內(nèi)容機密 SSL橋接: Internet上的客戶端對通訊內(nèi)容進行加密 ISA Server對流量進行解密并檢查 ISA Server將允許的流量發(fā)送到已經(jīng)發(fā)布的服務器,必要時對其進行重新加密,郵件服務器發(fā)布,Web 客戶端訪問 允許客戶端訪問 Microsoft Outlook Web Access、Outlook Mobile Access 或 Exchange Application Services 服務器。如果選擇此選項，ISA 服務器將配置適當?shù)?Web 發(fā)布規(guī)則 客戶端訪問 允許客戶端使用RP

16、C、IMAP4、POP3、SMTP來訪問郵件 服務器到服務器的通訊 允許 SMTP（郵件）服務器和 NNTP（新聞）服務器訪問,發(fā)布SMTP Server,Exchange Server,SMTP Server,SMTP Client,External DNS,,C MX ISASRV ISASRV A ,SMTP Connection,Internet,發(fā)布SMTP Server SMTP Application Filter,ISA Server 2004,SMTP 篩選,封鎖危險的程序代碼 停止討厭的電子郵件訊息 兩個組件 ： SMTP 篩選器

17、 檢查因特網(wǎng) SMTP 服務器及客戶端傳送的 SMTP 命令 設定命令的最大長度 定義停用的命令 訊息過濾程序 MAIL FROM SMTP 命令中傳送的值 每一個附件的內(nèi)容-配置標頭字段 關鍵詞篩選,傳統(tǒng)防火墻,使用完整 Outlook MAPI 客戶端 遠程訪問 Microsoft Exchange RPC 服務 內(nèi)部網(wǎng)絡邊緣防火墻上具有大量靜態(tài)開啟的連接端口 可能會有潛在設計用于攻擊 RPC 及 DCOM 服務的病毒,Internet,Exchange Server,DMZ,Internal Network,具有大量靜態(tài)開啟的連接埠,Outlook API 用戶端,Exchange RP

18、C filter,安裝 ISA Server 時，會提供兩個預設 RPC 通訊協(xié)議定義給連入要求 ： 任何 RPC 服務器 Exchange RPC 服務器 強制保護 Outlook MAPI 與公司 Exchange 服務器的聯(lián)機 可以強制必須透過安全的加密通道 如果聯(lián)機沒有受到保護，ISA Server 將丟棄客戶端要求,建立起始 RPC 端點對應程序聯(lián)機,ISA Server 2004,Exchange Server,Outlook MAPI Client,Port ：135,Exchange UUID=2000,Exchange UUID=3000,Outlook MAPI 客戶端會在 ISA Server 的外部接口上建立到 TCP 連接埠135 的聯(lián)機