版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、ISA 防火牆部署與設(shè)置,一、ISA Server介紹二、ISA Server的優(yōu)點三、ISA Server安裝四、ISA的配置,一、ISA Server介紹,隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展,絕大多數(shù)企業(yè)都接入了互聯(lián)網(wǎng)或建立了自己的內(nèi)部局域網(wǎng),但企業(yè)在享受互聯(lián)網(wǎng)所帶來的方便、快捷的同時,也帶來了企業(yè)上網(wǎng)管理的煩惱:1、如何禁止員工上班時間在網(wǎng)上看電影,用QQ聊天,玩遊戲?2、如何查看員工上班時間訪問了什麼網(wǎng)站?3、如何應(yīng)對日益猖獗
2、的病毒及駭客攻擊,保證企業(yè)內(nèi)部資訊的安全?4、如何加快網(wǎng)路訪問速度?5、公司有眾多分支機(jī)搆,如何讓他們能夠通過 Internet 與總部安全地通信?等等……,ISA Server的出現(xiàn),為了解決企業(yè)對網(wǎng)路管理和網(wǎng)路安全的需求,實現(xiàn)可管理的互聯(lián)網(wǎng),微軟公司推出了企業(yè)級防火牆ISA Server 2004。作為最優(yōu)秀的微軟平臺防火牆和最高效的緩存伺服器,ISA Server 2004能有效的幫助企業(yè)組織管理內(nèi)部的互聯(lián)網(wǎng)訪問行為,為企業(yè)網(wǎng)
3、路搭建了快速、安全、可管理的的上網(wǎng)通道,保護(hù)企業(yè)網(wǎng)路資源免受病毒、駭客及未授權(quán)訪問侵襲。,ISA 是什麼,Internet Security and Accleration Server防火牆技術(shù)緩存技術(shù),國際領(lǐng)先的防火牆,安全的Internet連接通過資料包級別、電路級別和應(yīng)用程式級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)路應(yīng)用程式支援、緊密地集成虛擬專用網(wǎng)路 (VPN)、系統(tǒng)堅固、集成的入侵檢測、智慧的第 7 層應(yīng)用程式篩選
4、器、對所有用戶端的防火牆透明性、高級身份驗證、安全的伺服器發(fā)佈等等增強(qiáng)安全性。ISA 伺服器保護(hù)網(wǎng)路免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查,並在防火牆或受保護(hù)的網(wǎng)路受到攻擊時向管理員發(fā)出警報。,二、ISA Server的優(yōu)點,基於應(yīng)用層的高級防護(hù)目前互聯(lián)網(wǎng)上70%的WEB攻擊發(fā)生在應(yīng)用層,而傳統(tǒng)防火牆只對資料包的包頭進(jìn)行檢查,因此往往對成熟的應(yīng)用層攻擊(如“緩衝區(qū)溢出”)無能為力。而ISA Server 2004是工作在應(yīng)用層的,正是
5、由於這個設(shè)計原理,它能檢查資料包裏面的資訊,有效防範(fàn)基於應(yīng)用層的攻擊。,傳統(tǒng)防火牆無法防範(fàn)成熟的應(yīng)用層攻擊,ISA 防火牆的防護(hù),ISA Server 2004 包含一個功能完善的應(yīng)用程式層感知防火牆,它會對 Internet 協(xié)定(如超文本傳輸協(xié)定 (HTTP))執(zhí)行深入檢查,這使它能檢測到許多傳統(tǒng)防火牆檢測不到的威脅。,集成代理伺服器和緩存功能,實現(xiàn)快速訪問,ISA Server 2004不僅僅是防火牆,而是集防火牆、代理伺服器、緩
6、存伺服器三大功能於一體。ISA Server 2004 使用高性能的緩存來加快內(nèi)部用戶的WEB訪問速度。如果用戶有對外的WEB伺服器,那麼在利用ISA進(jìn)行對外WEB發(fā)佈時,ISA的緩存功能也將提高外部 Internet 用戶的 Web 訪問性能。,三、ISA Server安裝,網(wǎng)路環(huán)境的配置:ISA Server作為一個路由級的軟體防火牆,要求管理員要熟悉網(wǎng)路中的路由設(shè)置、TCP/IP設(shè)置、代理設(shè)置等等,它並不像其他單機(jī)防火牆一樣,只
7、需安裝一下就可以很好的使用。在安裝ISA Server時,你需要對你內(nèi)部網(wǎng)路中的路由及TCP/IP設(shè)置進(jìn)行預(yù)先的規(guī)劃和配置,這樣才能做到安裝ISA Server後即可很容易的使用,而不會出現(xiàn)客戶不能訪問外部網(wǎng)路的問題。,,ISA Server 2004上的內(nèi)部網(wǎng)路適配器作為內(nèi)部客戶的默認(rèn)閘道,根據(jù)慣例,它的IP 位址要麼設(shè)置為子網(wǎng)最前的IP(如192.168.0.1),或者設(shè)置為最末的IP(192.168.0.254),在此例中設(shè)置為1
8、92.168.0.1;對於DNS伺服器,在此例中,我們假設(shè)外部網(wǎng)卡上已設(shè)置了DNS伺服器,所以我們在此不設(shè)置DNS伺服器的IP位址;還有默認(rèn)閘道,內(nèi)部網(wǎng)卡上切忌不要設(shè)置默認(rèn)閘道,因為Windows主機(jī)同時只能使用一個默認(rèn)閘道,如果在外部和內(nèi)部網(wǎng)路適配器上都設(shè)置了默認(rèn)閘道,那麼ISA Serve?ň?$,SNAT 客戶的TCP/IP配置要求:,必須和ISA Server的內(nèi)部介面在同個子網(wǎng);在此,我可以使用192.168.0.2/24~1
9、92.168.0.254/24;配置ISA Server的內(nèi)部介面為默認(rèn)閘道;此時默認(rèn)閘道是192.168.0.1;DNS根據(jù)你的網(wǎng)路環(huán)境來設(shè)置,可以使用ISP的DNS伺服器或者你自己在內(nèi)部建立一臺DNS伺服器;但是DNS伺服器是必需的,Web代理客戶,必須和ISA Server的內(nèi)部介面在同個子網(wǎng);在此,我可以使用192.168.0.2/24~192.168.0.254/24;默認(rèn)閘道和DNS伺服器位址都可以不配置;必須在IE
10、的代理屬性中配置ISA Server的代理,默認(rèn)是內(nèi)部介面的8080埠,在此是192.168.0.1:8080;對於其他需要訪問網(wǎng)路的程式,必須設(shè)置HTTP代理(ISA SERVER),否則是不能訪問網(wǎng)路;,在內(nèi)網(wǎng)中還有其他子網(wǎng)的內(nèi)部客戶。此時,首先得將這些子網(wǎng)的位址包含在ISA Server的內(nèi)部網(wǎng)路中, 然後在ISA Server上配置到這些子網(wǎng)的路由,其他的就和單內(nèi)部網(wǎng)路的配置一致了。,2. 多網(wǎng)路模型中的邊緣防火牆,3. 單網(wǎng)
11、路適配器的環(huán)境,ISA系統(tǒng)安裝的基本需求,安裝ISA Server 2004,四、ISA的配置,ISA 安裝時,會創(chuàng)建下列默認(rèn)規(guī)則:,本地主機(jī)訪問:此規(guī)則定義了在本地主機(jī)網(wǎng)路與其他所有網(wǎng)路之間存在的路由關(guān)係。VPN用戶端到內(nèi)部網(wǎng)路:此規(guī)則指定在兩個VPN用戶端網(wǎng)路(“VPN用戶端”和“被隔離的VPN用戶端”)與內(nèi)部網(wǎng)路之間存在著路由關(guān)係。Internet訪問:此規(guī)則定義了在內(nèi)部網(wǎng)路與外部網(wǎng)路之間存在的NAT關(guān)係。,(2) 訪問策略
12、新建一條允許內(nèi)部客戶訪問外部網(wǎng)路的所有服務(wù)的訪問規(guī)則:在防火牆策略上點右鍵,指向“新建”, 然後點擊“訪問規(guī)則”。,在“新建訪問規(guī)則嚮導(dǎo)”的訪問規(guī)則名稱文本框中,輸入“Allow all outbound traffic”,然後點擊“下一步”。然後在“規(guī)則操作”而,選擇“允許”,點擊“下一步”,部屬防火牆策略的十六條守則,電腦沒有大腦。所以,當(dāng)ISA的行為和你的要求不一致時,請檢查你的配置而不要埋怨 ISA。只允許你想要允許的客戶、
13、源位址、目的地和協(xié)議。仔細(xì)的檢查你的每一條規(guī)則,看規(guī)則的元素是否和你所需要的一致。針對相同用戶或含有相同用戶子集的訪問規(guī)則,拒絕的規(guī)則一定要放在允許的規(guī)則前面。當(dāng)需要使用拒絕時,顯示拒絕是首要考慮的方式。在不影響防火牆策略執(zhí)行效果的情況下,請將匹配度更高的規(guī)則放在前面。在不影響防火牆策略執(zhí)行效果的情況下,請將針對所有用戶的規(guī)則放在前面。儘量簡化你的規(guī)則,執(zhí)行一條規(guī)則的效率永遠(yuǎn)比執(zhí)行兩條規(guī)則的效率高。永遠(yuǎn)不要在商業(yè)網(wǎng)絡(luò)中使用A
14、llow 4 All 規(guī)則(Allow all users use all protocols from all networks to all networks), 這樣只是讓你的ISA形同虛設(shè)。,如果可以通過配置系統(tǒng)策略來實現(xiàn),就沒有必要再建立自定義規(guī)則。ISA的每條訪問規(guī)則都是獨立的,執(zhí)行每條訪問規(guī)則時不會受到其他訪問規(guī)則的影響永遠(yuǎn)也不要允許任何網(wǎng)路訪問ISA本機(jī)的所有協(xié)議。內(nèi)部網(wǎng)路也是不可信的。SNAT客戶不能提交身份驗證
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- isa防火墻策略
- 華為防火墻設(shè)置
- outpost防火墻設(shè)置-_0
- windows2003內(nèi)置的防火墻設(shè)置
- isa防火墻技術(shù)在企業(yè)多重網(wǎng)絡(luò)環(huán)境中的應(yīng)用
- 防火墻論文
- dos命令 關(guān)閉windows系統(tǒng)防火墻 重置防火墻
- win2003自帶防火墻的設(shè)置-_0
- 無線路由器防火墻過濾設(shè)置
- 防火墻等級
- 防火墻1
- 防火墻方案
- xp系統(tǒng)防火墻的簡介和設(shè)置-_0
- 基于Linux防火墻與IDS聯(lián)動的系統(tǒng)設(shè)計與部署.pdf
- 防火墻與入侵檢測課程設(shè)計--混合型簡易防火墻
- 防火墻技術(shù)論文
- 防火墻技術(shù)介紹
- windows防火墻設(shè)計
- 構(gòu)筑新聞“防火墻”
- 防火墻招標(biāo)參數(shù)
評論
0/150
提交評論