使用默认的端口号,只是为了方便访问这些服务,实际上,也可以不使用默认的端口号而使用自定的端口号,但要通知访问者。例如,Web站点通常使用TCP的80端口,如果使用80端口以外的号码例如使用TCP的8001端口,则用户在访问的时候,需要在IE浏览器中键入类似于http://www.xxx.yyy:8001之类格式,其中www.xxx.yyy是提供Web服务的计算机的域名或其IP地址,8001是对应的Web服务的端口号。
11.2.2 TCP/IP地址的意义
对于TCP/IP地址,一般人都知道是由4个字节、32位长的二进制数字组成,通常还会常听到公网地址、私网地址、内网、外网等名词,那这些名词代表什么意义呢?
通常所说的私网地址,是指TCP/IP地址在10.0.0.1到10.255.255.254、172.16.0.1到172.31.255.254与192.168.0.1到192.168.255.254范围以内的地址。而所说的公网地址,是指TCP/IP地址排除私网地址段与127.0.0.0地址段以后的地址段。合法IP,就是指公网网络使用的IP地址,这些地址在Internet上是可以直接被访问的。
通常所说的“内网”是相对“外网”来说的,通常指局域网或经过防火墙保护的网络;而“外网”通常是指直接连接在Internet上的网络,或者指通过广域链路连接企业内部局域网以外的网络,或者指不受防火墙保护的、可以连接到外部网络的网络。
要想访问“公网”上的计算机,必须有能直接连接到“公网”的设备并且有合法的IP地址,私网内的计算机是不能直接访问公网的计算机(或设备)的。而“公网”上的设备也不能直接访问“私网”中的计算机,或不能直接访问“私网”中的计算机提供的某项服务。可以这样举例,具有公网地址的计算机或设备,就像在主干路两侧的、具有门牌号的单位,通过主干路可以进入这些有门牌号的单位。而一些没有门牌号和没有在主干路上的单位或村庄,是不能直接到达的。
11.2.3 代理与转换
为什么使用代理服务器,估计大家都知道是为了解决IP地址的不足。但是大家要清楚一个问题,通常所说的“代理服务器”,有两个方面的含义,或者说有两种功能。一个功能就是,代理服务器用于局域网内计算机共享上网,为局域网内的计算机提供访问Internet各种服务的功能。另一个功能就是为已经能上网的计算机提供“二次代理”功能。举例来说,在教育网内的网站,有许多资料与数据,但教育网内的服务器通常都加了限制,禁止教育网外的用户使用或访问,如果是通过公网(这里指不包括教育网IP地址段的公网)访问教育网的服务器,是不能浏览这些资料的。这时候,就可以使用教育网内提供的代理来访问教育网的服务器,这时,通过公网访问的机器在教育网的服务器“看”来,是其允许的教育网的IP地址在访问,可以为其提供服务。对于这些“二次代理”的服务器来说,通常都要有“教育网”及“公网”的IP地址,“公网用户”只是把“二次代理”服务器作为一个“跳板”来使用。或者这样举例,目前,从我国的台湾是不允许直接坐飞机到北京的,如果坐飞机从台湾到北京,可以先坐飞机从台湾到香港或澳门,然后再从香港或澳门到北京。这里的香港或澳门就起到了代理服务器的作用。
用于局域网内的代理服务器,有三种实现方式,分别为网关型(NAT)、代理型及代理软件型,对于网关型和代理型,不需要在局域网内的计算机上安装软件,而代理软件型,需要在局域网内的计算机上安装代理服务器的客户端软件。网关型(NAT)型,也叫“网络地址转换”或“网络地址翻译”,只需要在局域网内的计算机上正确设置网关地址即可,除此以外,不需要其他设置。代理型软件,需要在访问Internet的软件上如IE或Outlook上设置代理服务器的地址及端口(如果需要用户名,还要一并设置,这取决于代理服务器软件服务器端的设置与要求)。代理型软件与代理软件型,如果局域网内的计算机与代理服务器不在同一网段,也要正确设置网关地址。
11.2.4 端口映射与端口转发
端口映射与端口转发,用于发布防火墙内部的服务器或者防火墙内部的客户端计算机,有的路由器也有端口映射与端口转发功能。端口映射与端口转发实现的功能类似,但又不完全一样。端口映射是将外网的一个端口完全映射给内网一个地址的指定端口,而端口转发是将发往外网的一个端口的通讯完全转发给内网一个地址的指定端口。端口映射可以实现外网到内网和内网到外网双向的通讯,而映射转发只能实现外网到内网的单向通讯。
例如:一台防火墙有两个端口,一个端口用于外网,设置的IP地址为202.206.197.229,另一个端口用于内网,设置的IP地址为172.23.1.20,一台Web服务器放置在内网,其IP地址为172.22.100.100,如果想让这台服务器对外提供Web服务,则可以在防火墙上将202.206.197.229的TCP的80端口映射到172.22.100.100的80端口,这样,当外网用户访问202.206.197.229的Web服务时,实际上访问的是内网服务器上提供的服务。如果在内网的172.22.100.100服务器上提供Web服务的端口不是80而是另外的端口如3333,则需要在防火墙上将TCP的80端口映射到内网172.22.100.100的3333端口。
11.2.5 理解ISA Server 2006中的网络
在安装ISA Server 2006的计算机中,系统中的每块网卡都连接一个网络。
ISA Server 2006中的网络分为“内部”、“外部”、“本地主机”、“VPN客户端”、“被隔离的VPN客户端”,如果ISA Server 2006配置为“3向外围网络”,还将包括“外围”网络,下面分别介绍。
(1) “内部”,代表企业内部局域网,此网络的地址范围在ISA Server 2006安装的过程中指定,并且在安装以后可以更改。建议你总是通过添加适配器来添加内部网络地址。ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络。ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源,但是拒绝所有其他网络到内部网络的访问,您必须自行创建规则来允许到内部网络的访问。你不能删除默认内部网络 。
(2) “本地主机”,此网络代表ISA防火墙本身计算机,与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯,你不能修改或删除本地主机网络。
(3) “外部”,指连接到Internet的网络,此网络包含未明确包含在其他任何网络中的所有IP地址,通常被视为不受信任的网络。在刚结束ISA防火墙的安装时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(127.0.0.1)以及ISA防火墙上其他所有网络适配器的IP地址。通常情况下,设置了“网关地址”的网卡被认为“默认的外部网络”。
(4) “VPN 客户端”,它代表通过VPN连接到ISA服务器的客户端计算机,由ISA防火墙动态生成 ,不能删除 VPN 客户端网络。
(5) “被隔离的VPN客户端”,此网络包含尚未解除隔离的VPN客户端的地址,由ISA防火墙动态生成 ,不能删除被隔离的 VPN 客户端网络。
在通常情况下,ISA Server 2006包含上面的5部分网络,如果ISA Server被配置成“3向外围网络”,还包括“外围”网络。
“外围”网络也称为DMZ(Demilitarized Zone)、第三区域和被筛选的子网,DMZ是放置公共信息的最佳位置,这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息,而不用通过内网。通常把公司中的机密的和私人的信息存放在内网中,DMZ中的服务器不应包含任何商业机密、资源代码或是私人信息。DMZ服务器上的破坏最多只可能造成在你恢复服务器时的一段时间中断服务。 目前许多的硬件防火墙都集成了DMZ接口。ISA Server 2006也可以在安装三块网卡(甚至三块以上网卡)的情况下,配置成“3向外围网络”。
11.2.6 理解ISA Server2004的规则
在ISA Server 2006中定制的策略、规则,都是针对上一节中的各个网络来定义和创建的。
在ISA Server 2006的防火墙策略中,主要包括“访问规则”和“服务器发布规则”。“访问规则”类似于“过滤”,就是允许使用指定的“协议”从规定的“源网络”能访问“目的网络”,而“服务器发布规则”类似于“映射”,指的是把允许使用指定的“协议”通过ISA Server 2006“转发”给指定的“计算机”或“服务器”。从这点来看,“访问规则”象一个通道,允许经过身份验证的人通过,而“服务器发布规则”则象邮递员送信,把他人寄给你的信送到你的单位传达室,而由传达室的负责人转交给你。
在创建“访问规则”时,通常是在“内网”、“外网”、“本地主机”等ISA Server 2006定义的“网络”之间,允许指定的“协议”通过,如允许“内网”的计算机能上网,就是创建如下的一条访问规则:允许“内网”使用“HTTP、DNS”协议访问“外部”。如果允许“内网”的计算机能访问Internet上的FTP服务器,则是允许“内网”的用户使用FTP协议访问“外部”。
在创建”访问规则”时,创建的规则包括“允许”和“禁止”,这很容易理解。“允许”就是允许指定的协议通过,而“禁止”则是“不允许”指定的协议通过。
创建“服务器发布规则”时,ISA Server 2006集成了“Web服务器发布规则”、“安全Web服务器发布规则”、“邮件服务器发布规则”,实际上,这些都与“服务器发布规则”相同,都是“端口映射”或“端口转发”。在创建“服务器发布规则”时,都是把对ISA Server 2006的指定”协议”(每种协议代表一种服务)转发到ISA Server 2006所保护的网络中的一台计算机(甚至ISA Server 2006本身,网络名称“本地主机”)。
例如:ISA Server 2006的“内网”中有一台Web服务器,需要把这台Web服务器发布到Internet,则需要创建“服务器发布规则”,把内网的这台Web服务器安全发布到Internet。
11.2.7 理解ISA Server2004的客户端
ISA Server 2006包括三种类型的客户端,分别为“防火墙客户端”、“SecureNAT客户端”和“Web代理客户端”,如图11-2所示。
图11-2 ISA Server 2006的三种客户端示意图
下面介绍这三种客户端的意义。
“防火墙客户端”是已经安装并启用防火墙客户端软件的计算机。来自防火墙客户端的请求会定向到 ISA Server计算机上的防火墙服务,以确定是否允许访问。此后,可以使用应用程序筛选器和其他插件对这些请求进行筛选。防火墙服务还可以缓存所请求的对象,或者从 ISA Server缓存提供对象。
“SecureNAT客户端”是指尚未安装防火墙客户端软件的计算机。来自 SecureNAT 客户端的请求首先会定向到网络地址转换 (NAT) 驱动程序。该驱动程序将用Internet上有效的全局 IP 地址替换 SecureNAT 客户端的内部 IP 地址。然后,该客户端请求会定向到防火墙服务,以确定是否允许访问。最后,可以使用应用程序筛选器和其他扩展组件对该请求进行筛选。防火墙服务还可以缓存所请求的对象,或者从 ISA Server缓存提供对象。通常情况下,大多数的客户端、以及将要使用ISA Server发布的服务器,都必须是“SecureNAT 客户端”。
“Web代理客户端”是指与CERN兼容的Web应用程序。来自Web代理客户端的请求会定向到 ISA Server计算机上的防火墙服务,以确定是否允许访问。防火墙服务还可以缓存所请求的对象,或者从ISA服务器缓存提供对象。“防火墙客户端”和“SecureNAT”客户端必须是ISA Server“内网”中的计算机,而“Web代理客户端”可以是Internet上的计算机。
无论客户端的类型如何,当 ISA Server接收到 HTTP 请求时,客户端都被视为Web代理客户端。即使是防火墙客户端或 SecureNAT 客户端发出HTTP请求,该客户端仍然被视为Web代理客户端。这对于验证该客户端身份的方式具有特定的含义。
防火墙客户端计算机和 SecureNAT 客户端计算机都可以作为Web代理客户端。如果将计算机上的Web应用程序明确配置为使用 ISA Server,则所有Web请求将直接发送到防火墙服务,包括 HTTP、FTP 和安全 HTTP (HTTPS)。防火墙服务将首先处理所有其他请求。
表11-3对各种 ISA Server客户端进行了比较。
表11-3 ISA Server 2006各客户端对比
功能 SecureNAT 客户端 防火墙客户端 Web 代理客户端
是否安装 是,需要对网络配置进行一些更改 是 否,需要配置Web浏览器
操作系统支持 支持 TCP/IP 的任何操作系统 仅限 Windows 平台 所有平台,但采用的是Web应用程序方式
协议支持 适用于多连接协议的应用程序筛选器 所有的 Winsock 应用程序 HTTP、安全 HTTP (HTTPS) 和 FTP
用户级身份验证支持 是,仅限 VPN 客户端 是 是.
分页: [1] [2]
- 上一篇:如何评估、购买和实施Web应用防火墙
- 下一篇:黑客常用技术工具完全解析