 |
帖子主题: [推荐]第十章 配置防火墙 |
头衔:论坛总管理员
|
Admin   |
荣誉:管理员
职务:总版主
级别:圣骑士
积分:547
经验:3330
文章:271
注册:03-01-20 23:27
|
|
|
 发表: 2006-06-08 17:20:23 人气:12466   | 楼主 |
[推荐]第十章 配置防火墙
前一阵子彭彭看报纸得知中美黑客在互联网上又进行大战,好多计算机系统都被黑客入侵了,想想老总前些天还说过:咱们公司网络虽小,可安全一定要注意。是啊!公司内部还有对外发布的网站,万一被黑客入侵了,那公司的形象可就全毁了,对外业务联系也会被中断。彭彭原来只是在机器上安装了几个杀毒软件,现在看来,那是不怎么管用的了,必须加装一个重量级的防火墙。
10.1 初涉防火墙
那什么是防火墙呢?打个形象的比喻吧,网络防火墙就像两排房屋之间的一堵隔火墙,如果其中一排房屋不小心着火了,通过隔火墙可以避免殃及另一排房屋。
网络防火墙实际上是一种放置在网络内部连接处的设备,用来控制内部网络与外部世界间的通信流量。在防火墙所处的位置可以看到每一个通过的数据包,并且它能够识别数据包是来自内部、信任的网络还是外部、不信任的网络。并通过自身设置的策略筛选可通过的数据包,以保护网络内部的资源免受外部的入侵。
从刚才那个比喻可以看出,防火墙已经减慢了火势的蔓延,但在许多情况下,火势还是能越过防火墙或另觅它路蔓延。所以我们必须牢记:防火墙是网络安全防范的一个重要组成部分,但它并不能免除每一个危险。
如果把防火墙配置成阻断所有传入传出的通信,虽然几乎是绝对安全了,但也就达不到网络连接的目的了。
理想的解决方案是首先启动防火墙阻断所有的通信,然后再打开一个门,允许得到信任的信息进入或离开。例如,要让内部网络的用户不受限制地访问互联网,就可以对防火墙内部的任何请求打开Web(TCP 80端口)服务的端口,这时如果一个用户尝试使用QQ进行网络聊天的话就不能实现,因为QQ使用的默认端口(UDP4000端口)并没有被打开。
一、防火墙的任务
防火墙在实现安全的过程中至关重要。一个防火墙要完成的任务主要有四个 :
1.实现网络管理员制订的公司安全策略,比如限制邮件服务器的SMTP流量。
2.创建一个阻塞点,即是在公司网络与Internet之间建立一个检查点,所有的信息都必须通过它的检查。
3.记录网络活动,比如记录内部网络访问Internet的日志。
4.限制网络暴露,防火墙的一个重要功能就是隐藏内部网络的所有信息,包括IP、主机名等等,当外部节点侦测公司网络的时候,只能看到防火墙。
二、 选择防火墙
按照实现技术划分标准,防火墙可分为包过滤防火墙、应用代理防火墙以及状态包检测防火墙;按照防火墙不同操作平台则可划分为软件防火墙、硬件防火墙以及软硬结合防火墙;此外,还可根据适用对象的不同划分为企业级防火墙和个人防火墙。
对于像彭彭所在公司这样的一个中小型的企业来说,从财力上来讲,Microsoft ISA是不错的选择(主要是可以从网上免费下载)。它可以部署在中小型网络中,提供给安全的网络连接的内部客户端。由于其多用途的功能性,ISA Server还可以作为内部客户端的缓存服务器使用以代替一般的代理服务(图10.1.1)。
图 10.1.1 防火墙部署示意图
10.2 微软ISA防火墙的配置
对像彭彭所在的这种属于中小型的企业用户来说,ISA不仅能发挥其作为防火墙提供的对公司内部网络提供的安全保护的功能,而且通过缓存服务器的功能还可以加速大家对互联网的访问,这下就没有人再抱怨网速太慢了。彭彭对内部员工的上网管理也会更加方便自如。下面我们就以彭彭所在的公司为例通过制定策略到实施一步步来熟悉ISA Server的使用和配置吧。
10.2.1 整体策略的分析与部署
要对一个公司的网络进行安全体系的部署,必须先对公司的需求进行细致的分析,公司需要什么服务、不需要什么服务以及怎样监控提供的服务等。下面我们需要首先对彭彭所在的这种中小型公司进行需求分析以及整体策略的制定。
彭彭所在的公司是通过中国电信提供的宽带上网,公司规定员工可以在工作时间浏览Internet上的Web站点,以便于查找资料,但不允许浏览一些与工作无关的站点,更不允许进行其他的如QQ聊天和FTP下载电影等与工作不相关的行为发生。同时公司还有自己的Web主页需要在Internet上发布。
了解了公司的网络需求,就需要彭彭对需求进行分析和制定防火墙的部署策略了。ISA的功能与特点无疑是彭彭的首选,作为保护内部网络的屏障,它应该处于内部网络与外部Internet之间,将它们隔离开,以便于控制进出的数据按照议定的策略进行传输。但是公司还有自己的Web主页服务器,那又将它放在哪里呢?通常对外发布的一些应用系统不应与内部网络处于同一个安全级别,但它又不能直接放在并不安全的Internet上,这时通常把它们放在一个称为DMZ区的隔离地带,这样不但能与外网进行隔离保护,而且也可以防止内部员工肆意访问外部网络,起到了一定的集中管理的作用,因为通常DMZ区服务器的安全策略与内网的安全策略是不尽相同的(图10.2.1)。
DMZ区
DMZ区也叫做非军事化区或边界网络。它是一个小型的网络,与公司的专用网络、Internet分开安装。边界网络允许外部用户访问位于边界网络内特定的服务器,但是禁止对企业内部网的访问。公司也可以允许边界网络内的计算机对内部网络的计算机进行非常有限的访问。
图 10.2.1 网络防火墙部署图
彭彭最终根据不同的数据流向制定了公司的整体安全策略 :
1.从内部网络到Internet的访问方向
1)只允许员工上班时间访问Internet上的Web站点,拒绝访问FTP、QQ以及其他与工作不相干的服务。
2)在不上班的时间内对员工提供Internet上的所有服务。
2.从Internet到DMZ区的访问方向
允许所有地址访问公司的Web服务器提供的主页服务。
3.从内部网络到DMZ区的访问方向
允许内部员工访问公司的Web主页服务,且仅能访问Web服务。
公司整体的安全策略已经制定了,下面就赶紧开始熟悉和配置ISA防火墙吧。
10.2.2 ISA的硬件需求
ISA Server有两个版本:企业版和标准版。ISA Server企业版是为了满足大容量Internet通信环境对性能、管理和扩展能力的要求而推出的。此版本提供集中式服务器管理、多级访问策略、服务器阵列群集以及容错能力等。ISA Server标准版具备为小型企业、工作组和部门环境提供企业级防火墙安全和Web缓存的能力。对于关键业务环境来说,标准版具有极高的性价比。这两个版本的安全、缓存、管理、性能和扩展能力是相同的。但是,标准版作为独立的ISA Server计算机运行,它只支持本地策略,最多可以支持四个处理器。企业版是集中管理的多服务器阵列,它支持企业级和阵列级策略以及无限的伸缩性。彭彭找来了这两个版本,分别用了一下,感觉两者之间的差别很小。
下面是彭彭使用企业版的心得体会,这可是他用大量时间和精力才换来的啊,真不简单!企业版的配置和标准版差不多,有区别的地方彭彭也会特别提到。
为了满足ISA Server的最低要求,至少需要以下硬件:
1.300MHz或者更高主频的奔腾Ⅱ兼容CPU,运行包含Service Pack 1或更高版本的Windows 2000 Server或者Microsoft Windows 2000 Advanced Server操作系统,或者运行Microsoft Windows 2000 Datacenter Server操作系统。
2.256 MB内存。
3.20 MB可用磁盘空间。
4.与Windows 2000兼容的网络适配器,用于内部网络通信。
5.与Windows 2000兼容的外部网络适配器、调制解调器或者ISDN适配器,用于Internet通信。
6.一个格式化成Windows NT文件系统( NTFS)的本地硬盘分区。
当然还要根据网络流量的多少来选择合适的配置以提高防火墙的吞吐量,这也是软件防火墙的局限所在,因为要发挥它的高性能需要较高的硬件配置。
10.2.3 软件的安装和调试
作为安装过程的一部分,还需要选择采用哪一种ISA Server模式:防火墙模式、缓存模式或者集成模式。如果采用防火墙或集成模式,则可以通过配置控制企业网和Internet之间的通信规则来保证网络通信的安全。在防火墙和集成模式下,还可以发布内部服务器,由此将内部服务器上的数据共享给Internet用户。如果采用缓存或集成模式,则可以通过存储经常访问的Internet对象,使它们在地理上离用户更近,以改善网络性能并且节省带宽。此外还可以将Internet用户的请求发送到适当的内部Web服务器上。
根据彭彭分析后确定的公司网络安全策略,需要在安装ISA防火墙之前先做一些准备工作,那就是提供承载ISA防火墙的硬件平台和软件环境,在服务器上安装Windows 2000 Server操作系统,并以NTFS格式分区。由于增加了一个DMZ区,所以我们需要在服务器上配置三块与系统兼容的网卡,分别提供内网、外网(Internet)以及DMZ区的连接,并测试到上面三个网络的连通性。Windows 2000根据适配器的单一MAC地址识别加载到系统上的各个适配器,可以运行ipconfig /all命令,以确定各个网卡配置正确。
配置完适配器和IP地址后,彭彭使用了Ping程序测试与其他计算机的连通。首先是成功地从ISA Server计算机Ping到了内部网络客户,证明内部网络适配器配置正确。接着又从ISA Server计算机Ping通了ISP提供的DNS服务器和诸如新浪、天极等外部站点,证明了外部网络适配器的配置正确。最后是Ping通了位于DMZ区的Web、Mail服务器的地址。检验网络连通性后,彭彭还不放心,又用了nslookup www.microsoft.com检验了一次域名解析,结果证明全部正确。
彭彭安装ISA Server企业版的详细操作步骤如下:
1.启动ISA的安装程序,开始安装(图10.2.2)。
图10.2.2 ISA安装界面
2.在弹出的对话框中输入CD Key,并单击OK按钮(图10.2.3)。
图10.2.3 输入CD Key窗口
3.接受许可证协议(图10.2.4)。
图10.2.4 显示ISA产品ID号
4.进入ISA的安装选项界面(图10.2.5),在这里修改ISA的安装目录,也可以选择典型(Typical)安装、完全(Full)安装,或自定义(Custom)安装。
图10.2.5 ISA安装选项
5.点击“Custom Installation”图标,在自定义选项中可以选择必要的安装组件(图10.2.6),选择默认安装(Typical Installation)。
图10.2.6 用户自定义安装窗口
6.在没有选择阵列的情况下,为实现最高的安全性,应在一台独立计算机上运行 ISA Server,将ISA安装成独立的服务器,选择Yes继续(图10.2.7)。
图10.2.7 将ISA安装成独立的服务器
7.进入ISA安装模式对话框(图10.2.8),将ISA Server安装成集成模式(Integrated Mode)。
图10.2.8 ISA安装模式对话框
8.根据实际情况设置自己Cache的大小,必须设为NTFS。再选择使用哪个缓存驱动器以及缓存的大小 (图10.2.9)。
图10.2.9 缓存配置
9.配置本地地址表LAT,必须配置包含在本地地址表中的地址范围(图10.2.10)。LAT表格列出了ISA Server计算机后内部网络使用的所有内部IP地址范围,要控制内网到DMZ区的访问就不要把DMZ区的IP添加进去。ISA Server利用LAT来控制内部网络的机器如何与外部网络通信。
图10.2.10 配置本地地址表LAT
10.配置LAT完成后,安装ISA程序会出现成功窗口(图10.2.11)。
图10.2.11 安装成功窗口
11. 确认ISA 2000 Server是否成功。
a. 检查自己网卡是否有问题,Ping 127.0.0.1;
b. 检查外网网络是否通畅 ;
c. 检查DNS域名是否能Ping通 ;
d. 点击“开始→管理工具→服务”,查看以下几个进程是否启动 :
Microsoft Firewall:当启用有关防火墙相关功能时,此服务必须处于启动状态。
Microsoft H.23 GateKeeper:H.23 GateKeeper相关服务功能服务。
Microsoft ISA Server Contorl:此服务为ISA Server 2000的整体服务核心。
Microsoft Schedules Cache Content Download:当启用有关任务计划时去下载相关网站页面内容到服务器中(与Cache功能相联系)。
Microsoft Web Proxy:凡是客户端的浏览器设置要通过此ISA Server 连接至Internet时,此服务必须激活!否则客户端将无法连接至Internet。
如果上述情况都正常就可以进行策略设置了。
【小提示】ISA安装完成后,还需安装最新的针对ISA漏洞的补丁程序,目前微软提供的是SP1。安装完补丁程序后重启ISA服务器。
10.2.4 ISA的基本操作与界面
彭彭原来对防火墙的管理还是怀有很大的畏惧心理的,但第一眼看到ISA Management就爱上它了,原因无它,主要是它有一个操作简单的图形化的使用界面(图10.2.12)。ISA Management内的图形化任务面板提供了对普通任务的单击访问,而一步一步进行的向导又简化了最常用的管理步骤。其中包含性能监控(Monitoring)、访问策略(Access Policy)、服务器发布(Publishing)、带宽规则(Bandwidth Rules)、策略单元(Policy Elements)、缓存配置(Cache Configuration)、监控配置(Monitoring Configuration)、扩展配置(Extensions)、网络配置(Network Configuration)等配置选项。
图10.2.12 ISA的配置管理界面
要配置防火墙,关键还是要理解清楚这几个主要的配置选项的意义,为此,彭彭花了很长的时间来看菜单中的英文帮助。
一、访问策略(Access Policy)
该策略决定了内部用户访问Internet的方式,它包含了站点和内容规则(Site and Content Rules)、协议规则 (Protocol Rules)、IP包过滤(IP Packet Filters)配置单元(图10.2.13)。
图10.2.13 访问策略配置界面
其中,站点和内容规则允许根据与客户端请求相关的目的及内容类型来指定Internet访问策略。通过创建站点和内容规则,可以根据既定请求的目的或内容类型来决定允许或拒绝该Internet访问。站点和内容规则决定用户或客户端地址集能否访问特定目的集的特定内容以及何时可以访问。协议规则指定来自哪些客户端的特定的协议可以允许通过ISA Server以及在什么时候IP数据包过滤器允许或者阻塞数据包通过指定的端口。在简单的网络环境下,通常不需要为客户机创建IP数据包过滤器来提供安全的Internet访问。只有在特殊的环境下,才必须使用IP数据包筛选器允许或者阻塞特定的通信从外部传输到局域网服务器的内部。
对于是否允许用户访问,ISA通过protocol→site and content→ip filter→routing rule的次序进行考察,首先考察是否有protocol rules拒绝访问,如果没有,再考察是否有明确的允许,如果有,则通过,否则拒绝。Site and content/ip filter也是这样进行判断的。
一般来说,如果想访问外部网站,必须要有两个条件,一个是protocol rule许可,另外一个是site and content许可,在缺省条件下,ISA会自动建立一个site and content许可供用户使用,在protocol rule集中,没有先后次序的概念,但是deny比permit的权限要高。
二、服务器发布(Publishing)
服务器发布规则筛选所有的传入请求,然后把这些请求映射到适当的受ISA Server服务保护的服务器上,它包含Web发布规则(Web Publishing Rules)和服务器发布规则(Server Publishing Rules)(图10.2.14)。Web发布规则把进入请求映射到ISA Server之后的适当的Web服务器上。服务器发布允许内部网上的计算机安全地把服务发布到Internet上。因为所有的传入请求和传出响应都经过ISA Server,所以不会危及到安全。服务器在由ISA Server计算机发布时,所发布的IP地址就是该ISA Server计算机的外部IP地址。远程用户请求发布的服务、文件或者对象,直接和ISA Server计算机进行通信——该ISA Server计算机的名称或IP地址由请求者指定。之后,ISA Server计算机代表用户向内部网络上适当的发布服务器提出该请求。外部用户通过ISA Server间接地与受到保护的发布服务器通信。
图10.2.14 服务器发布配置界面
三、策略单元(Policy Elements)
策略单元是策略规则的参数或构造块(图10.2.15),它包含时间表 (Schedules)、带宽优先级 (Bandwidth Priorities)、目的集(Destination Sets)、客户端地址集(Client Address Sets)、协议定义(Protocol Definitions)、内容组(Content Groups)以及拨号项(Dial-up Entries)等配置元素。例如,拒绝一个客户集对某个Web内容的访问时,这个客户集、Web内容以及这些特定的时间就是所谓的策略单元。ISA Server允许创建策略单元,且这些策略单元可以在定义的任何规则中使用。
图10.2.15 策略单元配置界面
10.2.5 如何实施拟定的安全策略
已经安装了ISA Server防火墙,并且大致了解了ISA的一些主要设置后,下面彭彭就要开始实施已经拟定好的公司安全策略。首先确定预定的IP地址:
1.公司内部网络的IP地址为10.99.1.1-10.99.1.255。
2.DMZ区的IP地址为192.168.1.1-192.168.1.255;Web服务器的地址为192.168.1.3。
3.ISA Server的IP地址:外网卡IP由ISP分配,这里我们假设外网卡静态IP为211.100.100.2,外网卡网关IP为211.100.100.1,外部DNS IP为211.100.100.3;DMZ网卡IP设为192.168.1.2;内网卡地址为10.1.1.2。
注:以上子网掩码都假定为255.255.255.0。
ISA Server IP配置完成后的画面如图10.2.16所示。
图10.2.16 ISA ServerIP设置
一、实现从内部网络到Internet的访问方向的策略
策略重点:允许内部员工在工作时间(9:00~17:00)访问Internet的Web站点,包括公司Web服务器,且仅能访问Web服务,其它业余时间可以访问Internet上的所有服务。
实现步骤如下:
首先要先定义工作时间和非工作时间表,为下面的策略制定做好准备。
1.打开“Policy Elements”下的“Schedules”,可以看到系统已经制定了工作时间(Work hours)和周末时间(Weekends),右键点击“Schedules”文件夹选择“新建Schedule”(图10.2.17)。
图10.2.17 新建Schedule
2.在New schedule对话框中的“Name”中输入Other hours。并在下面的时间表内将非工作时间显示为“Active”(图10.2.18)。
图10.2.18 Schedule设置
然后进入Access Policy,设置公司对外访问策略中Protocol的策略。分别设置工作时间和其它非工作时间允许通过的不同策略。下面只介绍新建工作时间Protocol Rule,与新建非工作时间的Protocol Rules的区别会在后面指出。
1.删除所有其它存在的Protocol Rules,并右键点击“Protocol Rules”选择“新建Rules”(图10.2.19)。
图10.2.19 新建Protocol Rules
2.按照向导首先在工作时间的Rule Name 下输入“WWW”,选择下一步。新建非工作时间Rules时输入“All”(图10.2.20)。
图10.2.20 输入Rule Name
3.选择“Allow”,该协议规则允许通过(图10.2.21)。
图10.2.21 允许或拒绝协议请求设置
4.应用规则选择“Selected protocols”,并在下面指定“HTTP”协议(打钩指定),只允许HTTP协议通过(图10.2.22)。非工作时间的Protocol Rules设置在应用规则时选择“All IP trafic”,允许所有IP协议通过。
图10.2.22 选择应用的协议
5.进入策略应用的时间设置,选择已经在Schedules存在的“Work hours”(图10.2.23)。新建非工作时间Protocol Rules时在此选择“Other hours”。
图10.2.23 Protocol 策略执行时间设置
6.在客户类型中选择“Any request”,选择“下一步”(图10.2.24)。
图10.2.24 客户类型选择
7.显示策略摘要,完成新建Protocol Rules(图10.2.25)。
图10.2.25 策略摘要
【小提示】协议规则不像路由规则,它没有优先级之分,只有拒绝类型协议规则比允许类型规则优先。例如,如果创建了两个规则,一个允许所有的请求进行访问,另一个则拒绝销售部门的所有用户访问,那么销售部门将不能访问Internet。
设置了公司内部网络可以访问Web后,接下来就要在Access Policy的站点和内容规则(Site and Content Rules)配置中,删除所有存在的策略,建立适合公司需要的Web访问策略。
1.在Access Policy目录下右键点击“Site and Content Rules”,选择“新建Rule”(图10.2.26)。
图10.2.26 新建站点和内容规则
2.在Rule Name输入“Web ALL”(用户可以自定义)(图10.2.27)。
图10.2.27 输入Rule Name
3.选择“Allow”,进入下一步(图10.2.28)。允许客户端访问Web的请求。
图10.2.28 允许Web请求
4.在规则配置中选择“Allow access based on destination”,允许基于目的的访问(图10.2.29)。
图10.2.29 规则配置
5.将目的组设置为所有的目的,选择“All destinations”(图10.2.30)。
图10.2.30 目的组设置
6.显示设置摘要,完成新建站点和内容规则(图10.2.31)。
图10.2.31 显示配置摘要
在Access Policy设置IP包过滤(IP Packet Filters),删除所有存在的策略,建立适合公司需要的IP包过滤策略。从内网到DMZ区的访问就是在这里进行控制的,即只允许内网用户访问DMZ区的Web服务器的Web服务,而不能访问其它服务,这样就可以防止内部员工对DMZ区的服务器进行错误或带有恶意的操作了。在此需要建立DNS、WWW和ICMP的过滤规则,这里先介绍ICMP包过滤规则的建立,它与DNS过滤和WWW过滤的建立之间的区别将在后面专门指出。
7.在Access Policy目录下右键点击“IP Packet Filters”,选择“新建Rule”(图10.2.32)。
图10.2.32 新建IP Packet Filters Rules
8.在Rule Name输入“ICMP”(图10.2.33)。DNS过滤可将Rule Name设置成DNS;WWW过滤可将Rule Name设置为WWW。
图10.2.33 输入Rule Name
9.在过滤模式选项中选择“Allow packet transmission”,允许包传输(图10.2.34)。
图10.2.34 过滤模式选项
10.在过滤类型选项中,选择“Custom”,自定义ICMP的过滤(图10.2.35)。DNS过滤设置时可直接选择预定义(Predefined)为DNS lookup。
图10.2.35 过滤类型选项
11.在过滤设置中的IP Protocol里选择“ICMP”,Direction选择“Both”,Type和Code都选择“All types”,允许双向的Ping(图10.2.36)。在WWW过滤设置中的IP Protocol里可选择“TCP”,Direction选择“Outbound”,Local port选择“All ports”,Remote port选择“Fixed port”,并且在Port number中填写“80”。
图10.2.36 过滤设置选项
12.在本地计算机选项中选择“Default IP addresses for each external interface on the ISA Server computers”(图10.2.37)。
图10.2.37 本地计算机选项
13.在远端计算机选项中选择“All remote computers”(图10.2.38)。WWW的过滤在这里需要选择“Only this remote computer”,并将DMZ区Web服务器的IP地址192.168.1.3添加进去。
图10.2.38 远端计算机选项
14.显示设置摘要,完成IP Packet Filters设置(图10.2.39)。
图10.2.39 完成IP Packet Filters设置
至此就完成了所有由内网到外部的访问设置。
【小提示】如果没有将DMZ区和内网的地址添加到本地地址表将会影响正常访问。本地地址表可以在ISA配置界面的Network Configuration的LAT中进行添加。
二、在Internet到DMZ区的访问方向实现公司Web服务器的发布策略
策略重点:允许所有外部地址对公司的Web服务器的Web服务进行访问。
实现步骤如下:
1.进入ISA管理界面的Publishing目录,右键点击“Web Publish Rules”选择“新建Rule”(图10.2.40)。
图10.2.40 新建Rule
2.设置Rules Name为Web(图10.2.41)。
图10.2.41 输入Rule Name
3.在目的集设置中选择“All Destinations”(图10.2.42)。
图10.2.42 目的集设置
4.在客户类型选择中选择“Any request”(图10.2.43)。
图10.2.43 客户类型选择
5.在活动规则中选择“Redirect the request to this internal Web server”,并输入要进行发布的Web服务器的DMZ的IP地址192.168.1.3,并选择下面的辅选项将默认的端口进行重定向(图10.2.44)。
图10.2.44 规则设置
6.显示设置摘要,完成发布设置(图10.2.45)。
图10.2.45 完成设置
到这里还没有成功发布,还需要对ISA服务器的监听端口进行设置,以便能够接受来自外部网络的Web请求。
7.为ISA管理目录下以计算机名命名的总目录(也就是Access Policy等设置的上一级目录)选择属性,打开“Incoming Web Requests”标签页(图10.2.46)。
图10.2.46 Incoming Web Requests标签页
8.选择“Configure listeners individually per IP addredd”,并点击“Add”按钮进行添加设置。Server选择ISA主机名,IP address选择ISA服务器的外网卡地址(211.100.100.2),取消其它所有选项(图10.2.47)。
图10.2.47 添加监听
9.设置完成后的画面如下图10.2.48所示,TCP port一定要设置为“80”。
图10.2.48 添加完成
10.保存并重启ISA Server(图10.2.49)。还可以通过重新启动ISA的相关服务实现策略快速执行。
图10.2.49 保存设置
【小提示】要提高安全性,不要在发布Web服务器上启用目录浏览,同样,也不要为Web服务器配置摘要或基本身份验证。这些身份验证方法会将Web服务器的内部名称或IP地址暴露给外部用户。
三、公司内部网络客户端主机配置
如果公司内部员工都将网关设为防火墙的内网卡地址(10.1.1.2)则将不用再进行代理的设置。如果网关不是ISA的内网卡地址,则需要进行以下操作才能够对外进行访问: 打开IE,然后打开“工具→Internet选项→连接→局域网设置→代理服务器”将ISA的内部网卡IP地址10.1.1.2填写进去,然后端口填写8080。这个时候,客户端就可通过ISA代理对Internet进行访问了。
10.2.6 防火墙监控与日志
ISA Server的一个很重要的功能就是入侵检测,可以通过配置ISA Server来检测常见的网络攻击。默认状态下,启用入侵检测后,ISA Server只要检测到攻击,就会往Windows 2000事件日志中发消息。也可以把ISA Server配置为对检测到的攻击做出其他的反应,例如给管理员发送电子邮件、启动一个特定的程序以及启动或停止选定的ISA Server服务。要启用这个功能,只需要选择“IP Packet Filters Properties”对话框上的“Enable Intrusion Detection”复选框即可。该复选框包含了端口扫描攻击、IP 半扫描攻击、登录攻击、Ping of Death攻击、UDP轰炸攻击、Windows out-of-band攻击的监测等(图10.2.50)。
图10.2.50 入侵检测选项
详细的安全和访问日志也是ISA Server的主要特征。它们能以标准数据格式(比如W3C、ODBC等)生成。ISA Server内置有三种日志:防火墙服务活动监视、Web代理服务以及数据包筛选器。新日志可以按年、月、周、日创建。
ISA Server记录数据包筛选器、防火墙服务和Web代理服务的活动。在默认情况下,每天为每项服务生成新日志文件。每一个新日志文件都保存在ISA Server安装文件夹下的ISA logs文件夹中。该文件的典型路径是:%programfiles%\microsoft ISA Server\ISAlogs\。
这三种服务日志的许多默认设置可以修改。例如,可以修改记录格式。默认情况下,ISA Server以W3C格式记录日志文件,但也可以选择以ISA格式记录日志文件。第三种选择是以ODBC格式记录到数据库。另一个可以修改的属性是日志报告的频率。ISA Server可以配置成每天、每周、每月或每年生成一个日志报告。ISA Server日志中其他可以修改的属性包括指定产生日志记录的区域或保存日志文件的位置。日志文件属性修改是在ISA Management中的Monitoring Configuration节点的Logs文件夹中进行的,也可以通过在详细信息窗格中双击一个服务日志图标来配置服务的日志属性。
防火墙的设置终于告一段落了,通过对ISA Server的设置,彭彭对以前比较空洞、难于理解的安全知识又有了一些具体的认识。经过这段时间的努力,老总对彭彭的工作很是满意,终于决定给彭彭加工资了。
|
|
9 7 1 8 : 此主题共有1帖 此页1帖 每页100帖 |
|
|
|
回复帖子 注意: *为必填项 |
|
|
Copyright © 2018 外贸网站建设,SOHO英文网页制作,网站设计公司--伊路网络工作室 版权所有
本论坛内容纯属发表个人意见,与雪风伊路网络科技立场无关
论坛域名:bbs.elut.cn
页面执行时间:52毫秒
