11.1 ISA Server功能概述
Microsoft Internet Security and Acceleration (ISA) Server 2006是可扩展的企业防火墙和Web缓存服务器,它构建在Microsoft Windows Server 2003和Windows 2000 Server操作系统安全、管理和目录上,以实现基于策略的访问控制、加速和网际管理。
当企业网络接入Internet时,Internet为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在,同时也带来了与安全、性能和可管理性等有关的风险和问题。ISA Server旨在满足当前通过Internet开展业务的公司的需要。ISA Server提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA Server Web缓存使得组织可以通过从本地提供对象(而不是通过拥挤的Internet)来节省网络带宽并提高Web访问速度。
无论是部署成专用的组件还是集成式防火墙和缓存服务器,ISA Server都提供了有助于简化安全和访问管理的统一管理控制台。ISA Server为Windows Server 2003和Windows 2000 Server平台而构建,它通过强大的集成式管理工具来提供安全而快速的Internet连接性。
ISA Server 的版本包括ISA Server 2000、ISA Server 2004、ISA Server 2006,当前最新版本是ISA Server 2006。ISA Server提供了“代理服务器”、“缓存服务器”、“防火墙”等三个方面的功能。
11.1.1 代理服务器功能——提供安全性非常高的共享Internet服务
将网络和用户连接到Internet会引入安全性和效率问题。ISA Server 2006为组织提供了在每个用户的基础上控制访问和监视使用率的综合能力。ISA Server保护网络免受未经授权的访问、执行状态筛选和检查,并在防火墙或受保护的网络受到攻击时向管理员发出警报。
ISA Server是防火墙,通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络(VPN)、系统坚固、集成的入侵检测、智能的第7层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等等增强安全性。ISA Server 2006 可实现下列功能:
·保护网络免受未经授权的访问;
·保护Web和电子邮件服务器防御外来攻击;
·检查传入和传出的网络通讯以确保安全性;
·接收可疑活动警报。
11.1.2 加快Web访问速度——业界最好的缓存服务器
Internet 提高了组织的工作效率,但这是以内容可访问、访问速度快且成本合理为前提的。ISA Server 2006 缓存通过提供本地缓存的Web内容将性能瓶颈控制在最少,并节省网络带宽。ISA Server可实现下列功能:
·通过从Web缓存(而不是拥挤的Internet)提供对象来提高用户的Web访问速度;
·通过减少链路上的网络通讯来减少Internet带宽成本;
·分布Web服务器内容和电子商务应用程序,从而有效地覆盖了全世界的客户并有效地控制了成本;
·从 ISA Server Web缓存中提供常用的Web内容,并将节省出来的内部网络带宽用于其他内容请求。
11.1.3 虚拟专用网络(VPN)支持——代理服务器、防火墙服务器与VPN服务器可以可以共存
ISA Server 2006 支持安全的虚拟专用网络 (VPN) 访问,分支机构或远程用户可以通过这种类型的访问连接到公司网络。ISA Server防火墙策略应用于 VPN 连接,以控制 VPN 用户可以访问的资源和协议。ISA Server 2006支持的功能在表11-1中列出。
表11-1 ISA Server 2006支持的VPN功能列表
功 能 描 述
VPN 管理 ISA Server包含一种完全集成的虚拟专用网络机制,该机制基于 Microsoft Windows Server 2003 和 Windows 2000 Server 功能。
对 VPN 的状态筛选和检查 由于 VPN 客户端配置为独立的网络,因此可以为 VPN 客户端创建单独的策略。防火墙策略引擎有差别地检查来自 VPN 客户端的请求,对这些请求进行状态筛选和检查,并根据访问策略动态地打开连接。
SecureNAT 客户端支持连接到 ISA Server VPN 服务器的 VPN 客户端 ISA Server允许 SecureNAT 客户端即便在客户端系统上未安装防火墙客户端软件的情况下也访问 Internet,从而扩展了 VPN 客户端支持。还可以通过在 VPN SecureNAT 客户端上强制实施基于用户或组的防火墙策略来增强公司网络的安全性。
通过站点到站点的 VPN 隧道进行状态筛选和检查 ISA Server针对通过站点到站点的 VPN 连接移动的所有通讯引入了状态筛选和检查。可以控制资源,以便特定的主机或网络能够在对方进行访问。基于用户或组的访问策略可以用来精细地控制通过链路的资源利用。
VPN 隔离控制 可以在独立的网络上隔离 VPN 客户端,直到它们满足预定义的一组安全要求。VPN 客户端传递安全性测试是基于 VPN 客户端防火墙策略的所允许的网络访问。可以为未通过安全性测试的 VPN 客户端提供有限的服务器访问权限,有利于满足网络安全需求。
对站点到站点 VPN 链接的 IPSec 隧道模式支持 ISA Server通过允许将 IPSec 隧道模式用作 VPN 协议来提供站点到站点的链接支持。IPSec 隧道模式支持大大地增强了 ISA Server与大量第三方 VPN 解决方案的互操作性。
VPN 监视和日志记录 可以监视 VPN 客户端和远程 VPN 网络的活动,就像监视其他任何 ISA Server客户端的活动一样。
11.1.4 安全发布服务器——将内部网络中的多台服务器发布到Internet对外提供服务
ISA Server 2006可以发布局域网内的多台服务器和多种服务到Internet,用来为Internet网络上的用户提供相应的服务。ISA Server 2006可以用一个或多个指定的地址(公网地址)同时发布受ISA Server 2006保护的网络内的多台服务器或多种服务,ISA Server 2006可以真正发布安全的Web站点,这些都是其他软件或硬件防火墙所不能比拟的。图11-1是使用ISA Server 2006发布服务器的一个例子,在以后的使用中,这种情况会很普遍。
图11-1 用ISA Server 2006发布多台服务器的网络拓扑图
11.2 防火墙与代理服务器的基础知识
本节将要讲述一些代理服务器、防火墙、ISA Server 2006的相关知识,这涉及到一些名词或术语,如内网、外网、公网、私网、合法IP、端口、映射、代理、NAT、转发等。
许多人觉得代理服务器很难配置,也有人认为很简单,也有一些人不明白,为什么要用代理服务器。而对于防火墙,大多数人认为安装了防火墙,网络就安全了,至于为什么安全、怎么安全就说不清了。还有一些人认为防火墙要比代理服务器“复杂”,因为网络出口配置了防火墙后,有些网络服务或通讯(如QQ、BT等)会出现一些问题。要解决这些问题,需要了解上网或网络通讯的实质,也就需要了解下面这些名词及来历。
11.2.1 网络服务与端口的关系
对于Internet、Intranet或单位局域网(LAN)来说,一台计算机要想为其他计算机提供“服务”,例如把这台计算机作为打印共享服务器,除了要在这台计算机上安装“硬件”打印机外,还要开启“打印服务”这一功能。提供不同的“服务”,需要开启与之相应的“服务功能”,而“服务”和“服务功能”或“服务功能的实现”,是由安装在计算机(或称为服务器的计算机)上的操作系统和应用程序软件来提供的。换句话说,一台计算机要为外部提供WWW浏览服务,则需要在这台计算机上安装能提供WWW浏览的“服务器端软件”。在网络中,每一项功能(或服务)都是由安装在计算机上的操作系统(系统软件)和运行在操作系统之上的应用程序(称为服务软件)来提供的。这是从“系统级”应用来说的,而对于目前的基于TCP/IP的网络来说,用来提供各种服务的计算机来说,为了方便网络上(包括LAN、Intranet、Internet)的其他用户(通常是一些计算机)来访问或使用这些服务,都需要提供服务的地址,具体的说,就是需要TCP/IP地址、协议(TCP或UDP)、端口号这三部分内容。
当一台计算机(称为A)访问另一台计算机(称为B)提供的服务时,这两台计算机(A与B)需要建立一个连接。建立连接时,A计算机使用一个随机端口与B计算机提供服务的端口建立一个连接,当连接建立后,A与B之间就可以互相通讯(发送与接收数据)。例如,A计算机的IP地址为202.206.203.229,B计算机的IP地址为202.206.192.227,A计算机访问B计算机提供的Web站点,大家知道,默认的Web站点为TCP协议的80端口。此时,A计算机会从TCP的1024到65535之间选择一个没有使用的端口(假设这个端口为19876)与B计算机的TCP协议的80端口建立一个连接,当连接建立成功后,A计算机就可以访问B提供的Web服务了。
每一项服务,都有一个端口(或多个端口)与之对应,可以使用的端口号从1到65535之间选择,系统服务通常使用1024以下的端口。使用哪个端口号提供服务都可以,但对于一些常见的服务,通常使用一些固定的端口,例如Web服务使用TCP的80端口,FTP服务使用TCP的21端口,Windows终端服务使用TCP的3389端口等,要使用防火墙及代理服务器,首先要记住一些常见的端口号,表11-2列出了常见服务及对应的端口号,请大家参考。
表11-2 常见服务与对应端口号一览表
服务名称 协议类型 端口号 服务简介
FTP TCP 21 文件传送协议
Telnet TCP 23 Telnet服务
SMTP TCP 25 简单邮件传输协议
DHCP请求 UDP 67 DHCP请求
DHCP答复 UDP 68 DHCP答复
DNS TCP 53 DNS服务
DNS UDP 53 DNS服务
HTTP TCP 80 Web服务
POP3 TCP 110 邮局协议 V.3
RDP TCP 3389 远程桌面协议(终端服务)
【说明】关于一些服务与协议的端口号,在安装ISA Server 2006后,可以参看“防火墙策略”页中的“工具箱”选项卡中的“协议”页。
.
分页: [1] [2]
- 上一篇:如何评估、购买和实施Web应用防火墙
- 下一篇:黑客常用技术工具完全解析