簡單記事本的設(shè)計畢業(yè)論文

1、<p>　　目 錄</p><p><b>　　摘 要2</b></p><p>　　第1章 2012年最新網(wǎng)絡(luò)安全事件3</p><p>　　第2章 現(xiàn)有防火墻的分析5</p><p>　　2.1 防火墻技術(shù)5</p><p>　　2.1.1 包過濾技

2、術(shù)5</p><p>　　2.1.2 應(yīng)用網(wǎng)關(guān)技術(shù)5</p><p>　　2.1.3 代理服務(wù)器技術(shù)6</p><p>　　2.2 防火墻的幾種體系結(jié)構(gòu)及組合形式6</p><p>　　2.2.1 屏蔽路由器（Screening Router）6</p><p>　　2.2.2 雙宿主機(jī)網(wǎng)關(guān)（Dual Hom

3、ed Gateway）6</p><p>　　2.2.3 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）6</p><p>　　2.2.4 屏蔽子網(wǎng)7</p><p>　　2.3 硬件防火墻與軟件防火墻的簡單比較7</p><p>　　第3章 ISA Server 2006的主要功能及特色8</p><

4、;p>　　3.1 代理服務(wù)器功能——提供安全性非常高的共享Internet服務(wù)8</p><p>　　3.2 加快Web訪問速度——業(yè)界最好的緩存服務(wù)器8</p><p>　　3.3 虛擬專用網(wǎng)絡(luò)（VPN）支持代理服務(wù)器、防火墻服務(wù)器與VPN服務(wù)器可以共存8</p><p>　　3.4 安全發(fā)布服務(wù)器——將內(nèi)部網(wǎng)絡(luò)中的多臺服務(wù)器發(fā)布到Internet對外

5、提供服務(wù)9</p><p>　　3.5 ISA Server 2006的防火墻功能9</p><p>　　3.6 ISA Server2006的訪問控制規(guī)則及策略10</p><p>　　3.7 ISA Server2006的客戶端11</p><p>　　3.7.1 下面介紹這三種客戶端的意義11</p><p

6、>　　3.7.2 ISA Server客戶端進(jìn)行了比較12</p><p>　　第4章 ISA的配置要求與安裝13</p><p>　　4.1 配置ISA 服務(wù)器的基本要求13</p><p>　　4.2 配置ISA服務(wù)器的基本事項(xiàng)13</p><p>　　4.3 ISA Server 2006的基本安裝13</p>

7、;<p>　　第五章 ISA Server 2006在實(shí)際中的應(yīng)用18</p><p>　　5.1 實(shí)驗(yàn)背景18</p><p>　　5.2 ISA Server 2006初步規(guī)劃如下19</p><p>　　5.2.1 公司ip地址規(guī)劃19</p><p>　　表5-1 公司上海總部和分部ip地址的規(guī)劃19<

8、/p><p>　　5.2.2 公司的邏輯拓?fù)鋱D20</p><p>　　5.3 ISA Server 2006的實(shí)驗(yàn)和測試截圖20</p><p>　　5.3.1 場景一 站點(diǎn)到站點(diǎn)的vpn連接20</p><p>　　5.3.2 場景二 單網(wǎng)卡緩存服務(wù)器24</p><p>　　5.3.3場景三 用戶限制策略3

9、4</p><p>　　5.3.4場景四 內(nèi)部web的發(fā)布41</p><p>　　ISA Server 2006未來發(fā)展前景45</p><p><b>　　致 謝46</b></p><p>　　參 考 文 獻(xiàn)46</p><p><b>　　摘 要</b>&

10、lt;/p><p>　　對于現(xiàn)代企業(yè)來說，因特網(wǎng)是個不可或缺的平臺，因?yàn)榭梢酝ㄟ^商業(yè)網(wǎng)站的設(shè)置，來擴(kuò)大企業(yè)經(jīng)營的觸角。然而將內(nèi)部網(wǎng)絡(luò)延伸到因特網(wǎng)后，就必須要考慮到網(wǎng)絡(luò)的安全問題。</p><p>　　網(wǎng)絡(luò)安全問題隨著 Internet 寬帶發(fā)展與電子商務(wù)的盛行變得日益重要。企業(yè)或個人利用互聯(lián)網(wǎng)來進(jìn)行交易越來越頻繁，相對的網(wǎng)絡(luò)安全性就成為一個重要的議題。因?yàn)橐话銈€人會用信用卡在網(wǎng)絡(luò)上做交易、公司

11、之間做信息交換，因此一些重要資料就會在網(wǎng)絡(luò)上相互流通，這時個人或公司傳送的資料就有可能會被攔截、修改或盜用。或者有些黑客為了試試他的技術(shù)而入侵別人的電腦，更嚴(yán)重的就是將公司的網(wǎng)站破壞并毀掉顧客資料，以致影響到公司的利益或顧客的隱私及權(quán)利。</p><p>　　為了我們的網(wǎng)絡(luò)更加穩(wěn)定與安全，我們就必須對現(xiàn)在的網(wǎng)絡(luò)進(jìn)行必要的控制。防火墻的目的就是保護(hù)我們的網(wǎng)絡(luò)不被未經(jīng)授權(quán)的使用者經(jīng)由外界網(wǎng)絡(luò)（如：Internet）非

12、法侵入。應(yīng)用層防護(hù)、VPN、網(wǎng)頁緩存尤其是防火墻等功能對于企業(yè)和用戶來說至關(guān)重要。ISA Server 2006 能夠提供優(yōu)秀的此類服務(wù)，是企業(yè)網(wǎng)絡(luò)安全的絕佳選擇。</p><p>　　本文就是討論如何使用 Microsoft ISA Server 2006 來構(gòu)建企業(yè)防火墻。</p><p>　　第1章 2012年最新網(wǎng)絡(luò)安全事件</p><p>　　在今年年初

13、，F(xiàn)BI突然搜查了云文件共享與存儲網(wǎng)絡(luò)Megaupload。該網(wǎng)站總部位于香港，由38歲的新西蘭公民Kim Dotcom創(chuàng)辦，美國方面指控其從盜竊數(shù)字內(nèi)容中非法獲利1.75億美元。FBI的這一突襲行動受到了美國多個行業(yè)的支持。這些行業(yè)將Megaupload形容為一條被抓上來的大魚，他們認(rèn)為Megaupload侵犯了他們的知識產(chǎn)權(quán)，并由此引發(fā)了長達(dá)一年的法律訴訟。FBI的這一行動引起了Megaupload用戶的不滿，這些憤怒的用戶邀請著名

14、的黑客組織Anonymous用Slowloris 等DIY的拒絕服務(wù)軟件攻擊美國的執(zhí)法部門和支持這一搜查行動的行業(yè)網(wǎng)站，整個事件由此引轉(zhuǎn)為對抗?fàn)顟B(tài)。</p><p>　　在線零售商Zappos宣布，黑客可能已經(jīng)入侵了其網(wǎng)絡(luò)并竊取了Zappos.com的客戶資料，包括姓名、地址、賬單和遞送地址、電話號碼、信用卡后四位號碼，以及存儲在網(wǎng)站中的散列密碼字段。Zappos已經(jīng)通知客戶所有的密碼已經(jīng)過期，客戶應(yīng)當(dāng)設(shè)置新的密

15、碼。</p><p>　　中國臺灣的蘋果供應(yīng)商富士康遭到了自稱為Swagg Security的黑客組織的攻擊。這次攻擊很容易被聯(lián)想到是為了抗議富士康位于中國大陸的工廠的惡劣工作環(huán)境。黑客公布了用戶名和密碼。他們稱這將允許所有的黑客以微軟、蘋果、IBM、英特爾和戴爾等其他公司的名義下假訂單</p><p>　　FBI逮捕了一名位于紐約的電腦程序員，并控制其從紐約聯(lián)邦儲備銀行那里盜竊了專利軟件

16、的源代碼。這一軟件被稱為“政府范圍會計和報表系統(tǒng)”(GWA)，其用于處理所有類型的美國政府金融業(yè)務(wù)。該軟件的開發(fā)費(fèi)用為900萬美元。被指控的盜竊者為在紐約聯(lián)邦準(zhǔn)備銀行擔(dān)任約聘程序員的張寶(Bo Zhang)。源代碼被用于他經(jīng)營的私人企業(yè)，訓(xùn)練學(xué)員怎么編程。張寶為中國公民，自2000年起獲得了美國的工作簽證。在四月份的認(rèn)罪協(xié)議中，其已經(jīng)承認(rèn)了盜竊政府財產(chǎn)的罪名，并承認(rèn)將銀行的源代碼非法拷貝到外置硬盤帶回家。</p><

17、p>　　美國聯(lián)邦通信委員會(FCC)對谷歌開出了25,000美元的罰單，原因是谷歌故意妨礙有關(guān)部門對其收集信息的合法性調(diào)查。FCC在報告中稱過去幾個月來，“谷歌故意妨礙及延遲”該部門對谷歌“WiFi數(shù)據(jù)間諜案”的調(diào)查，沒有立即對信息和文件請求作出回應(yīng)。不過，F(xiàn)CC還表示，他們并沒有采取行動反動谷歌的數(shù)據(jù)收集活動，因?yàn)樗麄冞€有想知道的問題。FCC傳喚了一名谷歌工程師——現(xiàn)在我們知道這名工程師為Marius Milner，但是這名工程

18、師拒絕向FCC提供證詞，并且引用美國憲法修正案第5條為自己進(jìn)行辯護(hù)。</p><p>　　新澤西的紐瓦克國際機(jī)場航站樓在4月27日因安檢時漏檢了一名嬰兒而臨時關(guān)閉了一個多小時。一對夫婦帶著自己的孩子來到紐瓦克機(jī)場C1航站樓乘機(jī)。在安檢時，丈夫先行通過了金屬探測器，而妻子抱著嬰兒走過探測器時，觸發(fā)了警報。于是，妻子徑直將嬰兒遞給了已通過安檢的丈夫，然后退回安檢區(qū)外，再次通過金屬探測器時一切正常。一家三口順利離開了安

19、檢區(qū)，前往登機(jī)口登機(jī)。不過美國運(yùn)輸安全管理局則表示，這樣的做法完全不是小題大做，為了保證機(jī)場和旅客的安全，機(jī)場方面有責(zé)任追查一切可疑線索。由于擔(dān)心有人借此機(jī)會將爆炸物帶進(jìn)航站樓內(nèi)，警方疏散了航站樓內(nèi)所有旅客，并對他們逐一進(jìn)行了重新安檢，卻沒有發(fā)現(xiàn)這“可疑的”一家三口，他們很有可能早就登機(jī)離開了機(jī)場。機(jī)場警察局的做法導(dǎo)致大量航班延誤，引起了很多人的不滿。</p><p>　　第2章 現(xiàn)有防火墻的分析</p&g

20、t;<p>　　隨著計算機(jī)網(wǎng)絡(luò)的發(fā)展，上網(wǎng)的人數(shù)不斷地增大，網(wǎng)上的資源也不斷地增加，網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴(kuò)大。政府上網(wǎng)工程的啟動和實(shí)施，電子商務(wù)(electronic commerce)、電子貨幣（electronic currency）、網(wǎng)上銀行等網(wǎng)絡(luò)新業(yè)務(wù)的興起和發(fā)展，使得網(wǎng)絡(luò)安全問題顯得日益重要和突出。防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施。它實(shí)際上是一種訪問控制技術(shù)，在某個機(jī)

21、構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙，阻止對信息資源的非法訪問, 也可以使用防火墻阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。換言之，防火墻是一道門檻, 控制進(jìn)出兩個方向的通信。通過限制與網(wǎng)絡(luò)或某一特定區(qū)域的通信, 以達(dá)到防止非法用戶侵犯受保護(hù)網(wǎng)絡(luò)的目的。  防火墻不是一個單獨(dú)的計算機(jī)程序或設(shè)備。在理論上，防火墻是由軟件和硬件兩部分組成，用來阻止所有網(wǎng)絡(luò)間不受歡迎的信息交換，而允許那些可接受的通信。</p><p&

22、gt;<b>　　2.1 防火墻技術(shù)</b></p><p>　　網(wǎng)絡(luò)防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)設(shè)備，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略對其進(jìn)行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許，其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)或私有網(wǎng)絡(luò)，另一方則被稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。防火墻能有效得控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外

23、部非授權(quán)用戶的訪問和過濾不良信息的目的。</p><p>　　實(shí)現(xiàn)防火墻的主要技術(shù)有: 數(shù)據(jù)包過濾, 應(yīng)用網(wǎng)關(guān)和代理服務(wù)等。</p><p>　　2.1.1 包過濾技術(shù)</p><p>　　包過濾(Packet Filter)技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包實(shí)施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯, 檢查數(shù)據(jù)流中每個數(shù)據(jù)包后, 根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/U

24、DP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設(shè)計。</p><p>　　2.1.2 應(yīng)用網(wǎng)關(guān)技術(shù)</p><p>　　應(yīng)用網(wǎng)關(guān)(Application Gateway)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，它針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。應(yīng)用網(wǎng)關(guān)對某些易于登錄和控制

25、所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制, 以防有價值的程序和數(shù)據(jù)被竊取。它的另一個功能是對通過的信息進(jìn)行記錄，如什么樣的用戶在什么時間連接了什么站點(diǎn)。在實(shí)際工作中, 應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成 </p><p>　　2.1.3 代理服務(wù)器技術(shù)</p><p>　　代理服務(wù)器（Proxy Server）作用在應(yīng)用層，它用來提供應(yīng)用層服務(wù)的控制，起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請服務(wù)時中間轉(zhuǎn)接

26、作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請求，拒絕外部網(wǎng)絡(luò)其它接點(diǎn)的直接請求。</p><p>　　2.2 防火墻的幾種體系結(jié)構(gòu)及組合形式 </p><p>　　2.2.1 屏蔽路由器（Screening Router）</p><p>　　這是防火墻最基本的構(gòu)件。它可以由廠家專門生產(chǎn)的路由器實(shí)現(xiàn)，也可以用主機(jī)來實(shí)現(xiàn)。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須

27、在此通過檢查。路由器上可以裝基于IP層的報文過濾軟件，實(shí)現(xiàn)報文過濾功能。許多路由器本身帶有報文過濾配置選項(xiàng)，但一般比較簡單。</p><p>　　單純由屏蔽路由器構(gòu)成的防火墻的危險帶包括路由器本身及路由器允許訪問的主機(jī)。它的缺點(diǎn)是一旦被攻陷后很難發(fā)現(xiàn)，而且不能識別不同的用戶。</p><p>　　2.2.2 雙宿主機(jī)網(wǎng)關(guān)（Dual Homed Gateway）</p><

28、;p>　　任何擁有多個接口卡的系統(tǒng)都被稱為多宿的，雙宿主機(jī)網(wǎng)關(guān)是用一臺裝有兩塊網(wǎng)卡的主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。</p><p>　　雙宿主機(jī)網(wǎng)關(guān)優(yōu)于屏蔽路由器的地方是：堡壘主機(jī)的系統(tǒng)軟件可用于維護(hù)系統(tǒng)日志、硬件拷貝日志或遠(yuǎn)程日志。這對于日后的檢查很有用。但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。</p>

29、<p>　　雙宿主機(jī)網(wǎng)關(guān)的一個致命弱點(diǎn)是：一旦入侵者侵入堡壘主機(jī)并使其只具有路由功能，則任何網(wǎng)上用戶均可以隨便訪問內(nèi)網(wǎng)。</p><p>　　2.2.3 屏蔽主機(jī)網(wǎng)關(guān)（Screened Host Gateway）</p><p>　　屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn)也很安全，因此應(yīng)用廣泛。例如，一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，

30、并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。</p><p>　　如果受保護(hù)網(wǎng)是一個虛擬擴(kuò)展的本地網(wǎng)，即沒有子網(wǎng)和路由器，那么內(nèi)網(wǎng)的變化不影響堡壘主機(jī)和屏蔽路由器的配置。危險帶限制在堡壘主機(jī)和屏蔽路由器。網(wǎng)關(guān)的基本控制策略由安裝在上面的軟件決定。如果攻擊者設(shè)法登錄到它上面，內(nèi)網(wǎng)中的其余主機(jī)就會受到很大威脅。這與雙穴主機(jī)網(wǎng)關(guān)受攻擊時的情形差不多。</p&g

31、t;<p>　　2.2.4 屏蔽子網(wǎng)</p><p>　　這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，在子網(wǎng)內(nèi)構(gòu)成一個“非軍事區(qū)”DMZ。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險帶僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏

32、蔽子網(wǎng)的路由器。</p><p>　　2.3 硬件防火墻與軟件防火墻的簡單比較</p><p>　　隨著人們對網(wǎng)絡(luò)安全意識的提高，防火墻的應(yīng)用越來越廣泛。有錢的用高級硬件防火墻，沒錢的用免費(fèi)的軟件防火墻。那么，硬件防火墻和軟件防火墻相比，有哪些優(yōu)點(diǎn)呢？</p><p>　　硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全

33、軟件，使用專屬或強(qiáng)化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，可以達(dá)到線性。</p><p>　　軟件防火墻一般基于某個操作系統(tǒng)平臺開發(fā)，直接在計算機(jī)上進(jìn)行軟件的安裝和配置。由于客戶平臺的多樣性，軟件防火墻需支持多操作系統(tǒng)，如Unix、Linux、SCO-Unix、Windows等，代碼龐大、安裝成本高、售后支持成本高、效率低。</p>&

34、lt;p>　　1、性能優(yōu)勢。防火墻的性能對防火墻來說是至關(guān)重要的。它決定了每秒鐘通過防火墻的數(shù)據(jù)流量。單位是Bps，從幾十M到幾百M(fèi)不等，還有千兆防火墻甚至達(dá)到幾G的防火墻。而軟件防火墻則不可能達(dá)到如此高的速率。</p><p>　　2、CPU占用率的優(yōu)勢。硬件防火墻的CPU占用率當(dāng)然是0了，而軟件防火墻就不同了，如果處于節(jié)約成本的考慮將防火墻軟件安裝在提供服務(wù)的主機(jī)上，當(dāng)數(shù)據(jù)流量較大時，CPU占用率將是主

35、機(jī)的殺手，將拖跨主機(jī)服務(wù)器防入侵。</p><p>　　3、售后支持。硬件防火墻廠家會對防火墻產(chǎn)品有跟蹤的服務(wù)支持，而軟件防火墻的用戶能得到這種機(jī)會的相對較少，而且廠家也不會在軟件防火墻上下太大的功夫和研發(fā)經(jīng)費(fèi)。</p><p>　　第3章 ISA Server 2006的主要功能及特色</p><p>　　Microsoft Internet Security a

36、nd Acceleration Server 2006簡稱ISA Server 2006，是微軟公司推出的一款重量級的網(wǎng)絡(luò)安全產(chǎn)品，被公認(rèn)為X86架構(gòu)下最優(yōu)秀的企業(yè)級路由軟件防火墻。ISA Server 2006具備著防火墻、應(yīng)用層防護(hù)、VPN與網(wǎng)頁緩存等優(yōu)異功能，憑借其靈活的多網(wǎng)絡(luò)支持、易于使用且高度集成的VPN配置、可擴(kuò)展的用戶身份驗(yàn)證模型、深層次的HTTP過濾功能、經(jīng)過改善的管理功能，在企業(yè)中有著 廣泛的應(yīng)用。ISA Server

37、 2006安裝在Windows server 2003 服務(wù)器上，可以說與Windows server 2003 是絕配搭檔，是企業(yè)網(wǎng)絡(luò)安全防護(hù)的極佳選擇</p><p>　　當(dāng)前最新版本是ISA Server 2006。ISA Server提供了“代理服務(wù)器”、“緩存服務(wù)器”、“防火墻”等7個方面的功能，具體如下：</p><p>　　3.1 代理服務(wù)器功能——提供安全性非常高的共享In

38、ternet服務(wù) </p><p>　　將網(wǎng)絡(luò)和用戶連接到Internet會引入安全性和效率問題。ISA Server 2006為組織提供了在每個用戶的基礎(chǔ)上控制訪問和監(jiān)視使用率的綜合能力。ISA Server保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時向管理員發(fā)出警報。</p><p>　　ISA Server是防火墻，通過數(shù)據(jù)包級別、電路級別和應(yīng)用

39、程序級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅固、集成的入侵檢測、智能的第7層應(yīng)用程序篩選器、對所有客戶端的防火墻透明性、高級身份驗(yàn)證、安全的服務(wù)器發(fā)布等等增強(qiáng)安全性。ISA Server 2006 可實(shí)現(xiàn)下列功能：</p><p>　　·保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問；</p><p>　　·保護(hù)Web和電子郵件服務(wù)器

40、防御外來攻擊；</p><p>　　·檢查傳入和傳出的網(wǎng)絡(luò)通訊以確保安全性；</p><p>　　·接收可疑活動警報。</p><p>　　3.2 加快Web訪問速度——業(yè)界最好的緩存服務(wù)器 </p><p>　　Internet 提高了組織的工作效率，但這是以內(nèi)容可訪問、訪問速度快且成本合理為前提的。ISA Server

41、 2006 緩存通過提供本地緩存的Web內(nèi)容將性能瓶頸控制在最少，并節(jié)省網(wǎng)絡(luò)帶寬。ISA Server可實(shí)現(xiàn)下列功能：</p><p>　　·通過從Web緩存（而不是擁擠的Internet）提供對象來提高用戶的Web訪問速度；</p><p>　　·通過減少鏈路上的網(wǎng)絡(luò)通訊來減少Internet帶寬成本；</p><p>　　·分布We

42、b服務(wù)器內(nèi)容和電子商務(wù)應(yīng)用程序，從而有效地覆蓋了全世界的客戶并有效地控制了成本；</p><p>　　·從 ISA Server Web緩存中提供常用的Web內(nèi)容，并將節(jié)省出來的內(nèi)部網(wǎng)絡(luò)帶寬用于其他內(nèi)容請求。</p><p>　　3.3 虛擬專用網(wǎng)絡(luò)（VPN）支持代理服務(wù)器、防火墻服務(wù)器與VPN服務(wù)器可以共存 </p><p>　　ISA Server 2

43、006 支持安全的虛擬專用網(wǎng)絡(luò) (VPN) 訪問，分支機(jī)構(gòu)或遠(yuǎn)程用戶可以通過這種類型的訪問連接到公司網(wǎng)絡(luò)。ISA Server防火墻策略應(yīng)用于 VPN 連接，以控制 VPN 用戶可以訪問的資源和協(xié)議。ISA Server 2006支持的功能在表3-1中列出。</p><p>　　表3-1 ISA Server 2006支持的VPN功能列表</p><p>　　3.4 安全發(fā)布服務(wù)器——將內(nèi)

44、部網(wǎng)絡(luò)中的多臺服務(wù)器發(fā)布到Internet對外提供服務(wù) </p><p>　　ISA Server 2006可以發(fā)布局域網(wǎng)內(nèi)的多臺服務(wù)器 和多種服務(wù)到Internet，用來為Internet網(wǎng)絡(luò)上的用戶提供相應(yīng)的服務(wù)。ISA Server 2006可以用一個或多個指定的地址(公網(wǎng)地址)同時發(fā)布受ISA Server 2006保護(hù)的網(wǎng)絡(luò)內(nèi)的多臺服務(wù)器或多種服務(wù)，ISA Server 2006可以真正發(fā)布安全的We

45、b站點(diǎn)，這些都是其他軟件或硬件防火墻所不能比擬的情況會很普遍。</p><p>　　3.5 ISA Server 2006的防火墻功能 </p><p>　　在安裝ISA Server 2006的計算機(jī)中，系統(tǒng)中的每塊網(wǎng)卡都連接一個網(wǎng)絡(luò)。</p><p>　　ISA Server 2006中的網(wǎng)絡(luò)分為“內(nèi)部”、“外部”、“本地主機(jī)”、“VPN客戶端”、“被隔離的VP

46、N客戶端”，如果ISA Server 2006配置為“3向外圍網(wǎng)絡(luò)”，還將包括“外圍”網(wǎng)絡(luò)，下面分別介紹。</p><p>　?。?） “內(nèi)部”，代表企業(yè)內(nèi)部局域網(wǎng)，此網(wǎng)絡(luò)的地址范圍在ISA Server 2006安裝的過程中指定，并且在安裝以后可以更改。建議你總是通過添加適配器來添加內(nèi)部網(wǎng)絡(luò)地址。ISA防火墻認(rèn)為此默認(rèn)的內(nèi)部網(wǎng)絡(luò)來代表受信任的受保護(hù)的網(wǎng)絡(luò)。ISA防火墻的默認(rèn)防火墻策略會通過系統(tǒng)策略允許本地主機(jī)訪

47、問此內(nèi)部網(wǎng)絡(luò)上的資源，但是拒絕所有其他網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問，您必須自行創(chuàng)建規(guī)則來允許到內(nèi)部網(wǎng)絡(luò)的訪問。你不能刪除默認(rèn)內(nèi)部網(wǎng)絡(luò) 。</p><p>　?。?） “本地主機(jī)”，此網(wǎng)絡(luò)代表ISA防火墻本身計算機(jī)，與ISA防火墻之間的所有通訊都被認(rèn)為是和本地主機(jī)網(wǎng)絡(luò)之間的通訊，你不能修改或刪除本地主機(jī)網(wǎng)絡(luò)。</p><p>　?。?） “外部”，指連接到Internet的網(wǎng)絡(luò)，此網(wǎng)絡(luò)包含未明確包含

48、在其他任何網(wǎng)絡(luò)中的所有IP地址，通常被視為不受信任的網(wǎng)絡(luò)。在剛結(jié)束ISA防火墻的安裝時，外部網(wǎng)絡(luò)包含所有未包含在內(nèi)部網(wǎng)絡(luò)中的地址、本地主機(jī)網(wǎng)絡(luò)的IP地址(127.0.0.1)以及ISA防火墻上其他所有網(wǎng)絡(luò)適配器的IP地址。通常情況下，設(shè)置了“網(wǎng)關(guān)地址”的網(wǎng)卡被認(rèn)為“默認(rèn)的外部網(wǎng)絡(luò)”。</p><p>　　（4） “VPN 客戶端”，它代表通過VPN連接到ISA服務(wù)器的客戶端計算機(jī)，由ISA防火墻動態(tài)生成 ，不能刪

49、除 VPN 客戶端網(wǎng)絡(luò)。</p><p>　?。?） “被隔離的VPN客戶端”，此網(wǎng)絡(luò)包含尚未解除隔離的VPN客戶端的地址，由ISA防火墻動態(tài)生成 ，不能刪除被隔離的 VPN 客戶端網(wǎng)絡(luò)。</p><p>　　在通常情況下，ISA Server 2006包含上面的5部分網(wǎng)絡(luò)，如果ISA Server被配置成“3向外圍網(wǎng)絡(luò)”，還包括“外圍”網(wǎng)絡(luò)。</p><p>　　

50、“外圍”網(wǎng)絡(luò)也稱為DMZ(Demilitarized Zone)、第三區(qū)域和被篩選的子網(wǎng)，DMZ是放置公共信息的最佳位置，這樣用戶、潛在用戶和外部訪問者都可以直接獲得他們所需的關(guān)于公司的一些信息，而不用通過內(nèi)網(wǎng)。通常把公司中的機(jī)密的和私人的信息存放在內(nèi)網(wǎng)中，DMZ中的服務(wù)器不應(yīng)包含任何商業(yè)機(jī)密、資源代碼或是私人信息。DMZ服務(wù)器上的破壞最多只可能造成在你恢復(fù)服務(wù)器時的一段時間中斷服務(wù)。 目前許多的硬件防火墻都集成了DMZ接口。ISA S

51、erver 2006也可以在安裝三塊網(wǎng)卡(甚至三塊以上網(wǎng)卡)的情況下，配置成“3向外圍網(wǎng)絡(luò)”。</p><p>　　3.6 ISA Server2006的訪問控制規(guī)則及策略 </p><p>　　在ISA Server 2006中定制的策略、規(guī)則，都是針對上一節(jié)中的各個網(wǎng)絡(luò)來定義和創(chuàng)建的。</p><p>　　在ISA Server 2006的防火墻策略中，主要包括

52、“訪問規(guī)則”和“服務(wù)器發(fā)布規(guī)則”。“訪問規(guī)則”類似于“過濾”，就是允許使用指定的“協(xié)議”從規(guī)定的“源網(wǎng)絡(luò)”能訪問“目的網(wǎng)絡(luò)”，而“服務(wù)器發(fā)布規(guī)則”類似于“映射”，指的是把允許使用指定的“協(xié)議”通過ISA Server 2006“轉(zhuǎn)發(fā)”給指定的“計算機(jī)”或“服務(wù)器”。從這點(diǎn)來看，“訪問規(guī)則”象一個通道，允許經(jīng)過身份驗(yàn)證的人通過，而“服務(wù)器發(fā)布規(guī)則”則象郵遞員送信，把他人寄給你的信送到你的單位傳達(dá)室，而由傳達(dá)室的負(fù)責(zé)人轉(zhuǎn)交給你。</p

53、><p>　　在創(chuàng)建“訪問規(guī)則”時，通常是在“內(nèi)網(wǎng)”、“外網(wǎng)”、“本地主機(jī)”等ISA Server 2006定義的“網(wǎng)絡(luò)”之間，允許指定的“協(xié)議”通過，如允許“內(nèi)網(wǎng)”的計算機(jī)能上網(wǎng)，就是創(chuàng)建如下的一條訪問規(guī)則：允許“內(nèi)網(wǎng)”使用“HTTP、DNS”協(xié)議訪問“外部”。如果允許“內(nèi)網(wǎng)”的計算機(jī)能訪問Internet上的FTP服務(wù)器，則是允許“內(nèi)網(wǎng)”的用戶使用FTP協(xié)議訪問“外部”。</p><p>

54、　　在創(chuàng)建”訪問規(guī)則”時，創(chuàng)建的規(guī)則包括“允許”和“禁止”，這很容易理解?！霸试S”就是允許指定的協(xié)議通過，而“禁止”則是“不允許”指定的協(xié)議通過。</p><p>　　創(chuàng)建“服務(wù)器發(fā)布規(guī)則”時，ISA Server 2006集成了“Web服務(wù)器發(fā)布規(guī)則”、“安全Web服務(wù)器發(fā)布規(guī)則”、“郵件服務(wù)器發(fā)布規(guī)則”，實(shí)際上，這些都與“服務(wù)器發(fā)布規(guī)則”相同，都是“端口映射”或“端口轉(zhuǎn)發(fā)”。在創(chuàng)建“服務(wù)器發(fā)布規(guī)則”時，都是把

55、對ISA Server 2006的指定”協(xié)議”(每種協(xié)議代表一種服務(wù))轉(zhuǎn)發(fā)到ISA Server 2006所保護(hù)的網(wǎng)絡(luò)中的一臺計算機(jī)(甚至ISA Server 2006本身，網(wǎng)絡(luò)名稱“本地主機(jī)”)。</p><p>　　例如：ISA Server 2006的“內(nèi)網(wǎng)”中有一臺Web服務(wù)器，需要把這臺Web服務(wù)器發(fā)布到Internet，則需要創(chuàng)建“服務(wù)器發(fā)布規(guī)則”，把內(nèi)網(wǎng)的這臺Web服務(wù)器安全發(fā)布到Internet。

56、</p><p>　　3.7 ISA Server2006的客戶端 　</p><p>　　ISA Server 2006包括三種類型的客戶端，分別為“防火墻客戶端”、“SecureNAT客戶端”和“Web代理客戶端”，如圖3-1所示ISA Server 2006的三種客戶端示意圖：</p><p>　　圖3-1 三種客戶端示意圖</p><p

57、>　　3.7.1 下面介紹這三種客戶端的意義</p><p>　　“SecureNAT客戶端”是指尚未安裝防火墻客戶端軟件的計算機(jī)。來自 SecureNAT 客戶端的請求首先會定向到網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 驅(qū)動程序。該驅(qū)動程序?qū)⒂肐nternet上有效的全局 IP 地址替換 SecureNAT 客戶端的內(nèi)部 IP 地址。然后，該客戶端請求會定向到防火墻服務(wù)，以確定是否允許訪問。最后，可以使用應(yīng)用程序篩選器

58、和其他擴(kuò)展組件對該請求進(jìn)行篩選。防火墻服務(wù)還可以緩存所請求的對象，或者從 ISA Server緩存提供對象。通常情況下，大多數(shù)的客戶端、以及將要使用ISA Server發(fā)布的服務(wù)器，都必須是“SecureNAT 客戶端”。</p><p>　　“Web代理客戶端”是指與CERN兼容的Web應(yīng)用程序。來自Web代理客戶端的請求會定向到 ISA Server計算機(jī)上的防火墻服務(wù)，以確定是否允許訪問。防火墻服務(wù)還可以緩

59、存所請求的對象，或者從ISA服務(wù)器緩存提供對象。“防火墻客戶端”和“SecureNAT”客戶端必須是ISA Server“內(nèi)網(wǎng)”中的計算機(jī)，而“Web代理客戶端”可以是Internet上的計算機(jī)。</p><p>　　無論客戶端的類型如何，當(dāng) ISA Server接收到 HTTP 請求時，客戶端都被視為Web代理客戶端。即使是防火墻客戶端或 SecureNAT 客戶端發(fā)出HTTP請求，該客戶端仍然被視為Web代理

60、客戶端。這對于驗(yàn)證該客戶端身份的方式具有特定的含義。</p><p>　　防火墻客戶端計算機(jī)和 SecureNAT 客戶端計算機(jī)都可以作為Web代理客戶端。如果將計算機(jī)上的Web應(yīng)用程序明確配置為使用 ISA Server，則所有Web請求將直接發(fā)送到防火墻服務(wù)，包括 HTTP、FTP 和安全 HTTP (HTTPS)。防火墻服務(wù)將首先處理所有其他請求。</p><p>　　3.7.2 I

61、SA Server客戶端進(jìn)行了比較</p><p>　　表3-2 ISA Server 2006各客戶端對比</p><p>　　第4章 ISA的配置要求與安裝</p><p>　　4.1 配置ISA 服務(wù)器的基本要求</p><p>　　1．550 兆赫 (MHz) 或更快處理器的個人計算機(jī)。</p><p>　　2

62、．帶有 Service Pack 1 (SP1) 的 Microsoft Windows Server? 2003 或 Microsoft Windows Server 2003 R2 操作系統(tǒng)。 </p><p>　　4.2 配置ISA服務(wù)器的基本事項(xiàng)</p><p>　　1.不能在 64 位版本的 Windows Server 2003 操作系統(tǒng)上安裝 ISA Server 2006。

63、</p><p>　　如果 ISA Server 2006 是作為域成員安裝的，則 ISA 服務(wù)器企業(yè)版僅可以安裝在 Windows Server 2003 或 Windows Server&reg; 2000 Server 域中。 </p><p>　　2．256 兆 (MB) 或更大內(nèi)存。 </p><p>　　3．150 MB 可用硬盤空間。這是專門用

64、于緩存的硬盤空間。 </p><p>　　4．與計算機(jī)的操作系統(tǒng)兼容的網(wǎng)絡(luò)適配器，以便與內(nèi)部網(wǎng)絡(luò)通訊。 </p><p>　　5．對于連接到 ISA 服務(wù)器計算機(jī)的每個網(wǎng)絡(luò)均需要一個額外的網(wǎng)絡(luò)適配器。 </p><p>　　6．一個采用 NTFS 文件系統(tǒng)格式的本地硬盤分區(qū)。</p><p>　　4.3 ISA Server 2006的基本安

65、裝</p><p>　　Isa server 2006安裝有兩種方式：一種是無人安裝，一種是光盤安裝。下面是光盤安裝的一些截圖：</p><p>　　將isa server 2006安裝盤放入光驅(qū)，會顯示如下界面</p><p>　　圖4-1 isa server 2006安裝界面</p><p>　　點(diǎn)擊安裝isa server 2006下

66、一步：</p><p>　　圖4-2 isa server 2006 許可協(xié)議界面</p><p>　　選擇我接受許可協(xié)議中的條款，進(jìn)入下一步：</p><p>　　圖4-3 isa server 2006 客戶信息填寫界面</p><p>　　填入用戶名，單位，和產(chǎn)品序列號，進(jìn)入下一步：</p><p>　　圖4-4

67、 isa server 2006安裝方案選擇界面</p><p>　　選擇安裝isa 服務(wù)器服務(wù)選項(xiàng)，如果還需要安裝和配置存儲服務(wù)器的話就選擇第三個選項(xiàng)，根據(jù)用戶的需要進(jìn)行選擇，下一步：</p><p>　　圖4-5 isa server 2006內(nèi)部網(wǎng)卡選擇界面</p><p>　　添加自己網(wǎng)絡(luò)的內(nèi)部網(wǎng)絡(luò)，下一步：</p><p>　　圖4

68、-6 isa server 2006選擇加密防火墻客戶端連接界面</p><p>　　允許不加密的防火墻客戶端連接，選擇的話防火墻客戶端支持?jǐn)?shù)據(jù)加密，安全性更好，由于是實(shí)驗(yàn)環(huán)境可以不用選擇，接下來等十幾分鐘后，isa server 2006就安好了：</p><p>　　圖4-7 isa server 2006安裝完成示意圖</p><p>　　第五章 ISA Se

69、rver 2006在實(shí)際中的應(yīng)用</p><p><b>　　5.1 實(shí)驗(yàn)背景</b></p><p>　　下面是模擬某公司網(wǎng)絡(luò)的一些安全隱患及需求，isa server 2006所要實(shí)現(xiàn)的一系列功能和配置相應(yīng)的策略、規(guī)則。</p><p><b>　　公司網(wǎng)絡(luò)的基本結(jié)構(gòu)</b></p><p>　

70、　公司總部設(shè)在上海，在北京設(shè)有分公司?？偛恐饕M(jìn)行國內(nèi)外市場銷售，北京分公司主要進(jìn)行產(chǎn)品研發(fā)和產(chǎn)品生產(chǎn)。公司使用windows server 2003建立了域，在上?？偛拷⒘烁赣騛aa.com，在北京分公司建立了子域zy.aaa.com，在上海有兩臺域控制器（主域控制器和備份域控制器），在北京有一臺域控制器。 上?？偣就ㄟ^ISA防火墻和Internet建立連接，北京分公司通過VPN和上?？偣窘⒘诉B接。 上?？偣炯茉O(shè)了一系列應(yīng)用

71、服務(wù)器，用于對公司內(nèi)部和Internet上的用戶提供各類服務(wù)。</p><p>　　公司的基本網(wǎng)絡(luò)拓?fù)鋱D如下：</p><p>　　圖5-1 公司網(wǎng)絡(luò)基本拓?fù)涫疽鈭D</p><p><b>　　公司的網(wǎng)絡(luò)需求</b></p><p><b>　　場景一：</b></p><p&

72、gt;　　上?？偣竞捅本┓止居胕sa server 2006創(chuàng)建基于PPTP站點(diǎn)到站點(diǎn)vpn連接。</p><p><b>　　場景二：</b></p><p>　　為了提高公司員工訪問外網(wǎng)的網(wǎng)速，配置一個單網(wǎng)卡的isa server 的web緩存功能</p><p><b>　　場景三：</b></p>

73、<p>　　限制策略。最近公司管理人員發(fā)現(xiàn)員工在上班時間使用MSN等聊天工具軟件進(jìn)行聊天，訪問一些不正規(guī)網(wǎng)站下載一些可疑程序，給公司網(wǎng)絡(luò)的安全帶來隱患和威脅。需要采取限制策略來限制公司員工上網(wǎng)的行為。</p><p><b>　　場景四：</b></p><p>　　上海公司總部采用ISA作為網(wǎng)絡(luò)防火墻和網(wǎng)關(guān)，公司提供了一個內(nèi)部Web網(wǎng)站，由于intern

74、et的用戶的需求，需要將內(nèi)部web站點(diǎn)發(fā)布到internet中。</p><p>　　5.2 ISA Server 2006初步規(guī)劃如下</p><p>　　實(shí)驗(yàn)場景的說明。上?？偣炯锤赣騛aa.com包括以下實(shí)驗(yàn)服務(wù)器：dc-1擔(dān)任主域控制器，其安有dns（域名解析）;exch2003-1擔(dān)任郵件服務(wù)器，提供公司的郵件服務(wù)；web-1和web-2分別擔(dān)任公司的門戶網(wǎng)站和公司的管理網(wǎng)站；

75、isa-1是上海總公司的防火墻，處于工作組環(huán)境下未加入域環(huán)境。北京分公司的分布基本相似。北京即子域zy.aaa.com包括以下主要服務(wù)器：</p><p>　　Dc-2擔(dān)任子域的域控制器，安有dns（域名解析）；exch2003-2擔(dān)任郵件服務(wù)器，提供公司的郵件服務(wù)器；web-3作為子域的web服務(wù)器。</p><p>　　實(shí)驗(yàn)的配置說明：以下實(shí)驗(yàn)除了第一場景外，其余場景主要是以上海總公司

76、即主域上（aaa.com）為例實(shí)施，子域（zyaaa.com）不予考慮。</p><p>　　5.2.1 公司ip地址規(guī)劃 </p><p>　　表5-1 公司上海總部和分部ip地址的規(guī)劃</p><p>　　5.2.2 公司的邏輯拓?fù)鋱D</p><p>　　圖5-1 公司網(wǎng)絡(luò)的邏輯拓?fù)涫疽鈭D</p><p&g

77、t;　　5.3 ISA Server 2006的實(shí)驗(yàn)和測試截圖</p><p>　　5.3.1 場景一 站點(diǎn)到站點(diǎn)的vpn連接</p><p>　　（1）上?？偣竞捅本┓止镜氖疽鈭D：</p><p>　　圖5-2 上海總部和北京分部用isa部署點(diǎn)到點(diǎn)vpn的示意圖</p><p>　?。?）上?？偣緄sa-1的ip地址如圖：<

78、/p><p>　　圖5-3 isa-1的內(nèi)網(wǎng)和外網(wǎng)ip地址截圖</p><p>　　北京分公司isa-2的ip地址如圖:</p><p>　　圖5-4 isa-2的內(nèi)網(wǎng)和外網(wǎng)ip地址截圖</p><p>　　(3) 上?？偣緄sa-1服務(wù)器上配置的基于pptp站點(diǎn)到站點(diǎn)的vpn連接:</p><p>　　圖5-5

79、isa-1上基于isa的vpn連接截圖</p><p>　　北京總公司isa-2服務(wù)器上配置的基于pptp站點(diǎn)到站點(diǎn)的vpn連接：</p><p>　　圖5-6 isa-2上基于isa的vpn連接截圖</p><p>　?。?）測試基于pptp站點(diǎn)到站點(diǎn)vpn連接（方法是ping操作）：</p><p>　　用上海總公司的域控制器（dc-1

80、）分別ping北京分公司域控制器（dc-2）的ip</p><p>　　地址（192.168.2.1）和域名（zy.aaa.com）如圖所示： </p><p>　　圖5-7 上海內(nèi)網(wǎng)ping北京內(nèi)網(wǎng)的ip地址和域名截圖</p><p>　　從上圖可以看出上?？偣灸軌騪ing通北京分公司。</p><p>　　用同樣的方法在北京分公司的域

81、控制器dc-2上分別ping上?？偣镜挠蚩刂破鞯膇p地址（192.168.1.1）和域名（aaa.com）如圖所示：</p><p>　　圖5-8 北京內(nèi)網(wǎng)ping上海內(nèi)網(wǎng)的ip地址和域名截圖</p><p>　　從上圖可以看出北京分公司能夠ping通上海總公司。</p><p>　　綜上：場景一的基于pptp站點(diǎn)到站點(diǎn)的vpn連接配置和測試完成。</p&

82、gt;<p>　　5.3.2 場景二 單網(wǎng)卡緩存服務(wù)器</p><p>　　實(shí)驗(yàn)說明：由于用isa2006配置單網(wǎng)卡緩存服務(wù)器，我們需要了解一下幾點(diǎn)：</p><p>　　確認(rèn)擔(dān)任緩存服務(wù)器的ISA SERVER主機(jī)，在現(xiàn)有防火墻的保護(hù)網(wǎng)絡(luò)范圍中;確認(rèn)在目前的防火墻訪問規(guī)則配置中，已開放緩存服務(wù)器的對外訪問協(xié)議，這些包含了HTTP、HTTPS以及FTP。對于單網(wǎng)卡的緩存服務(wù)器

83、來說，它將無法使用下列功能：</p><p>　　1   防火墻客戶端程序安裝</p><p>　　2   VPN網(wǎng)絡(luò)的架設(shè)</p><p>　　3   IP數(shù)據(jù)包篩選</p><p>　　4   多重網(wǎng)絡(luò)架構(gòu)的防火墻策略</p><p>

84、　　5   企業(yè)內(nèi)部服務(wù)器的發(fā)布功能</p><p>　　6   應(yīng)用程序級的數(shù)據(jù)包過濾   </p><p>　　我們具體的實(shí)驗(yàn)環(huán)境如下圖所示，shanghai是內(nèi)網(wǎng)的單網(wǎng)卡ISA2006服務(wù)器，我們準(zhǔn)備把shanghai部署成ISA緩存服務(wù)器，大致需要進(jìn)行下列操作：</p><p>　　1 &

85、#160; 使用模板配置</p><p>　　2   創(chuàng)建訪問規(guī)則</p><p>　　3 啟用Web代理</p><p>　　4 啟用緩存功能</p><p>　　5   創(chuàng)建緩存規(guī)則</p><p>　　6 創(chuàng)建計劃內(nèi)容下載作業(yè)</p>

86、<p><b>　　1 使用模板配置</b></p><p><b>　　打開網(wǎng)絡(luò)模版如圖</b></p><p>　　圖5-9 網(wǎng)絡(luò)模板配置界面</p><p>　　點(diǎn)擊下一步，配置isa 的內(nèi)部網(wǎng)絡(luò)ip地址，因?yàn)樗挥幸粔K網(wǎng)卡所以內(nèi)部的網(wǎng)絡(luò)ip地址為除了172.0.0.1以外所有的ip地址,配置如下：<

87、;/p><p>　　圖5-10 內(nèi)部網(wǎng)絡(luò)ip配置界面</p><p>　　點(diǎn)擊下一步，選擇系統(tǒng)應(yīng)用默認(rèn)web代理和緩存配置：</p><p>　　圖5-11 默認(rèn)web代理和存儲選擇界面</p><p>　　網(wǎng)絡(luò)模板配置完成如圖：</p><p>　　圖5-12 網(wǎng)絡(luò)模板配置完成界面</p><p

88、>　　2 創(chuàng)建訪問規(guī)則（防火墻策略）</p><p>　　創(chuàng)建名稱為允許訪問http的訪問規(guī)則如圖</p><p>　　圖5-13 創(chuàng)建http訪問規(guī)則界面</p><p>　　配置web代理選擇系統(tǒng)默認(rèn)的選項(xiàng)保證http端口為8080</p><p>　　圖5-14 http訪問規(guī)則內(nèi)部屬性界面</p><p&

89、gt;<b>　　3 啟用web代理</b></p><p>　　再在客戶端上啟用web代理，點(diǎn)擊ie游覽器(右擊),在internet屬性選項(xiàng)里配置連接選項(xiàng)，代理服務(wù)器地址填內(nèi)網(wǎng)dns地址，端口填：8080端口：</p><p>　　圖5-15 客戶端啟用web代理截圖</p><p><b>　　4 啟用緩存功能</b&g

90、t;</p><p>　　在緩存選項(xiàng)點(diǎn)擊右鍵配置緩存服務(wù)器磁盤的空間大小,本實(shí)驗(yàn)設(shè)置c盤最大緩存為200mb</p><p>　　圖5-16 配置緩存功能界面</p><p><b>　　5 創(chuàng)建緩存規(guī)則</b></p><p>　　圖5-17 配置緩存規(guī)則界面</p><p>　　圖5-18

91、 緩存規(guī)則配置完成截圖(一)</p><p>　　圖5-19 緩存規(guī)則配置完成截圖(二)</p><p>　　6 創(chuàng)建內(nèi)容下載作業(yè)（截圖）：</p><p>　　圖5-20 啟用計劃內(nèi)容下載作業(yè)選項(xiàng)界面</p><p>　　圖5-21 內(nèi)容下載作業(yè)名稱填寫界面</p><p>　　圖5-22 作業(yè)下載的頻率選

92、擇界面</p><p>　　圖5-23 作業(yè)下載起始時間填寫界面</p><p>　　圖5-24 內(nèi)容下載的鏈接網(wǎng)址填寫界面</p><p>　　。圖5-25 計劃內(nèi)容下載作業(yè)完成界面</p><p>　　5.3.3場景三 用戶限制策略</p><p>　　首先在active directory 上創(chuàng)建一個int

93、ernter access的全局安全組，創(chuàng)建允許訪問internet的兩個用戶user1，user2</p><p>　　圖5-26 創(chuàng)建internet access組的兩個用戶截圖</p><p>　　在防火墻策略選項(xiàng)的工具箱里創(chuàng)建用戶限制規(guī)則</p><p>　　圖5-27 創(chuàng)建用戶集名稱截圖</p><p><b>　　

94、創(chuàng)建完成如圖:</b></p><p>　　圖5-28 創(chuàng)建用戶集完成界面</p><p>　　創(chuàng)建名稱為用戶上網(wǎng)限制策略的訪問規(guī)則：</p><p>　　圖5-29 創(chuàng)建訪問規(guī)則名稱截圖</p><p>　　圖5-30 用戶上網(wǎng)策略的行為限制截圖</p><p>　　圖5-31 用戶限制策略的協(xié)議

95、選擇截圖</p><p>　　圖5-32 上網(wǎng)限制策略的用戶范圍</p><p>　　圖5-33 限制策略中選擇限制協(xié)議截圖</p><p>　　設(shè)置thhtp協(xié)議，限制用戶從internet上下載可運(yùn)行程序</p><p>　　圖5-34 限制用戶從網(wǎng)上下載可運(yùn)行程序截圖</p><p>　　限制用戶使用msn

96、等聊天工具：</p><p>　　圖5-35 阻止用戶使用msn聊天工具截圖</p><p>　　測試結(jié)果：使用user1 上網(wǎng)進(jìn)入一個下載頁面如圖：</p><p>　　圖5-36 用戶在網(wǎng)上打開的一個下載界面</p><p>　　點(diǎn)擊下載按鈕之后，我們可以看到不能進(jìn)行下載說明規(guī)則生效</p><p>　　圖5-

97、37 點(diǎn)擊下載按鈕后的效果截圖</p><p>　　使用user2登錄window messenger 結(jié)果會出現(xiàn)下面的結(jié)果:</p><p>　　圖5-38 user2試圖登錄msn后的效果截圖</p><p>　　場景三的實(shí)驗(yàn)測試完成。</p><p>　　5.3.4場景四 內(nèi)部web的發(fā)布</p><p>　

98、　首先我們要確保內(nèi)網(wǎng)的用戶能夠ping通外網(wǎng)的用戶，如圖設(shè)置一條允許內(nèi)部用戶ping通外網(wǎng)的訪問規(guī)則。</p><p>　　圖5-39 創(chuàng)建名為ping外網(wǎng)的訪問規(guī)則截圖</p><p>　　圖5-40 訪問規(guī)則的協(xié)議編輯截圖</p><p>　　測試結(jié)果表明內(nèi)部用戶能夠ping通外網(wǎng)用戶</p><p>　　圖5-41 內(nèi)部客戶端pi

99、ng外網(wǎng)主機(jī)的效果截圖</p><p>　　開始創(chuàng)建web發(fā)布規(guī)則</p><p>　　圖5-42 創(chuàng)建web發(fā)布規(guī)則界面</p><p>　　圖5-43 完成web發(fā)布規(guī)則截圖(上)</p><p>　　圖5-44 完成web發(fā)布規(guī)則截圖(下)</p><p>　　在外網(wǎng)上的用戶ping isa的外網(wǎng)卡ip地址

100、，結(jié)果表明我們的內(nèi)部web發(fā)布成功！</p><p>　　圖5-45 外網(wǎng)用戶訪問內(nèi)網(wǎng)web的效果圖</p><p>　　當(dāng)然發(fā)布多個網(wǎng)站和其他服務(wù)器與此方法類似，不再演示了。場景四的測試完成。</p><p>　　ISA Server 2006未來發(fā)展前景</p><p>　　ISA Server 2006是高級的狀態(tài)數(shù)據(jù)包與應(yīng)用程序?qū)訖z

101、查防火墻、虛擬專用網(wǎng)絡(luò) (VPN) 和 Web 緩存解決方案，使得企業(yè)客戶可以通過提高網(wǎng)絡(luò)安全性和性能來從現(xiàn)有信息技術(shù) (IT) 投資輕松獲得最大回報。ISA Server 2006 是可擴(kuò)展的企業(yè)防火墻以及構(gòu)建在 Microsoft Windows Server? 2003 操作系統(tǒng)安全、管理和目錄上的 Web 緩存服務(wù)器，以實(shí)現(xiàn)基于策略的訪問控制、加速和網(wǎng)際管理。它是一種集成的邊界安全網(wǎng)關(guān)產(chǎn)品，在使用戶對應(yīng)用系統(tǒng)和數(shù)據(jù)進(jìn)行快速而安全

102、的遠(yuǎn)程訪問的同時，有助于保護(hù)您的 IT 環(huán)境免受來自基于 Internet 的威脅</p><p>　　Internet 為組織提供與客戶、合作伙伴和員工連接的機(jī)會。這種機(jī)會的存在，同時也帶來了與安全、性能和管理等有關(guān)的風(fēng)險和問題。ISA 服務(wù)器旨在滿足當(dāng)前通過 Internet 開展業(yè)務(wù)的公司的需要。ISA 服務(wù)器提供了多層企業(yè)防火墻，可幫助防止網(wǎng)絡(luò)資源遭受病毒、黑客的攻擊以及被未經(jīng)授權(quán)訪問。ISA Serve

103、r 2006 Web 緩存使得組織可以通過從本地提供對象（而不是通過擁擠的 Internet）來節(jié)省網(wǎng)絡(luò)帶寬并提高 Web 訪問速度。</p><p>　　目前，隨著企業(yè)信息化的大力推廣應(yīng)用，對網(wǎng)絡(luò)的要求也越來越多，同時，由此造成的網(wǎng)絡(luò)安全的問題也在不斷地發(fā)生著變化。特別是近幾年計算機(jī)硬件的快速發(fā)展，為企業(yè)的移動辦公創(chuàng)造了條件，如何為移動用戶提供訪問企業(yè)資源成就了VPN的市場前途。</p><

104、p>　　綜上所述，ISA Server 2006防火墻作為一種基于訪問控制的網(wǎng)絡(luò)安全技術(shù)，是防范外部攻擊行為的一道重要屏障。它是網(wǎng)絡(luò)安全的有效工具，并并不是無懈可擊的，特別是它不能防范不經(jīng)過防火墻即ISA Server的攻擊，例如內(nèi)部網(wǎng)絡(luò)用戶、通過專用IP地址上網(wǎng)的用戶以及通過Modem上網(wǎng)的用戶，這些計算機(jī)用戶完全有可能經(jīng)過一條繞過防火墻的途徑來達(dá)到入侵，其中最可怕的是來自內(nèi)部用戶的攻擊。網(wǎng)絡(luò)的安全建設(shè)并不是僅僅依靠防火墻的防范

105、外部的攻擊，或者內(nèi)容過濾，網(wǎng)絡(luò)安全還企業(yè)內(nèi)部的安全隱患、病毒的傳播，以及入侵的檢測等諸多因素，需要采取多種綜合措施配合盡最大的可能將隱患降到最低，才能更好地保障網(wǎng)絡(luò)的安全。</p><p><b>　　致 謝</b></p><p>　　論文選題到搜集資料，從寫稿到反復(fù)修改，期間經(jīng)歷了喜悅、聒噪、痛苦和彷徨，在寫作論文的過程中心情是如此復(fù)雜。如今，伴隨著這篇畢業(yè)論文

106、的最終成稿，復(fù)雜的心情煙消云散，自己甚至還有一點(diǎn)成就感。那種感覺就宛如在一場盛大的頒獎晚會上，我在晚會現(xiàn)場看著其他人一個接著一個上臺領(lǐng)獎，自己卻始終未能被念到名字，經(jīng)過了很長很長的時間后，終于有位嘉賓高喊我的大名，這時我忘記了先前漫長的無聊的等待時間，欣喜萬分地走向舞臺，然后迫不及待地開始抒發(fā)自己的心情，發(fā)表自己的感想。這篇畢業(yè)論文的就是我的舞臺，以下的言語便是有點(diǎn)成就感后在舞臺上發(fā)表的發(fā)自肺腑的誠摯謝意與感想： </p>

107、<p>　　我要感謝，非常感謝我的指導(dǎo)老師楊占敏老師。他為人隨和熱情，治學(xué)嚴(yán)謹(jǐn)細(xì)心。在閑聊中他總是能像知心朋友一樣鼓勵你，在論文的寫作和措辭等方面他也總會以“專業(yè)標(biāo)準(zhǔn)”嚴(yán)格要求你，從選題、定題開始，一直到最后論文的反復(fù)修改、潤色，楊老師始終認(rèn)真負(fù)責(zé)地給予我深刻而細(xì)致地指導(dǎo)，幫助我開拓研究思路，精心點(diǎn)撥、熱忱鼓勵。正是楊老師的無私幫助與熱忱鼓勵，我的畢業(yè)論文才能夠得以順利完成，謝謝楊老師。 </p><

108、p>　　我要感謝，非常感謝我的學(xué)長。正在為自己找工作的他，在百忙之中抽出時間幫助我搜集文獻(xiàn)資料，幫助我理清論文寫作思路，對我的論文提出了諸多寶貴的意見和建議。對學(xué)長的幫助表示真摯的感謝。 </p><p>　　我要感謝，非常感謝我的寢室管理老師。他們?yōu)槲姨峁┝藢懽髡撐牡闹匾h(huán)境。由于我天天晚上回寢室比較晚，宿舍都點(diǎn)過了名，宿舍的門到點(diǎn)之后也必須關(guān)。為了讓我方便進(jìn)出宿舍樓，專門為我開了綠色通道，每晚回宿舍的

109、時候都有一名老師為我開門，不光與此，有時候宿舍關(guān)燈比較早為了讓我多上網(wǎng)學(xué)習(xí)，搜集資料特意為我所在的寢室推遲關(guān)燈時間，這讓我很非常感動。對寢室管理老師的支持和幫助表示萬分感謝。 </p><p><b>　　參 考 文 獻(xiàn)</b></p><p>　　1 ISA Server2006防火墻安裝與管理指南</p><p>　　2 ISA Serve