ISA Server 2004 常规部署方案

深度安全防护: 防火墙是您的第一道防线: 数据包过滤  状态检查  入侵检测   应用层防火墙日益重要: HTTP隧道  SSL加密  匿名连接

传统防火墙对数据包的处理: 只检查数据包标头-->应用层内容以"黑箱"形式出现  IP数据头: TTL  Checksum源地址  目标地址  TTL 校验和   TCP数据头: Checksum顺序号  源端口  目标端口  校验和   Application Layer Content: 应用层内容   根据端口号决定转发: 合法通信和应用层攻击都使用相同的端口

ISA Server 对数据包的处理: 数据包标头和应用内容都要检查  IP数据头: Checksum源地址  目标地址  TTL  校验和   TCP数据头: Checksum顺序号  源端口  目标端口  校验和   应用层内容   根据内容决定转发: 只处理合法的及经允许的通信  

保护网络周边的安全有那些设计选项 -->见下图:

   配置ISA Server保护网络周边的安全: ISA Server用于: 提供防火墙功能  发布内部资源(如Web或Exchange服务器)  实施多层数据包检查和筛选  为远程用户和站点提供VPN访问  提供代理和缓存服务 -->见下图:

我现在来到一台计算机名称叫做Florence的计算机  它是一台ISA Server 2004企业版服务器  打开外部网卡--按属性--可以看到默认情况下Microsoft网络客户端和Microsoft网络的文件和打印机共享这两个选项是被选中的  那么现在它就可以去提供一些基于微软网络的访问  如果大家认为是不安全的  我建议你在你的公司里面把这两项的沟都去掉  只保留Internet 协议(TCP/IP)就ok了  这样的话对于一个公网的一个用户来讲 它对于ISA的访问就不能看到它是基于Windows的应用 这样就能提高安全性了 

ISA Server 2004的默认配置是什么?  ISA Server的默认配置阻塞连接到ISA Server的网络间的所有网络通信: 只有本地管理员组的成员具有管理权限  创建默认网络  访问规则包括系统策略规则和默认访问规则  不发布任何服务器  禁用缓存  可访问Firewall Client Installation Share(如果已安装)

  配置访问规则: 用以创建访问规则的访问规则元素类型为: 协议  用户集  内容类型  计划  网络对象 

访问规则始终定义-->见下图:

部署ISA Server 2004: 最佳做法   要部署ISA Server以提供Internet访问: 规划DNS名称解析  创建必需的访问规则元素并配置访问规则  规划访问规则顺序  实施适当的身份验证机制  在部署前测试访问规则  部署防火墙客户端以获得最大的安全性与功能  使用ISA Server的日志记录解决Internet连接问题

保护对内部服务器的访问的安全: 面临哪些问题? 问题取决于所要求的访问类型: 访问公共Web站点: 确保只有指定的Web站点才能被访问  在应用层筛选通信  隐藏内部网络的复杂性   访问安全Web站点: 启用身份验证  启用数据加密   访问非Web资源: 确保只有指定的服务器才能被访问  在应用层筛选通信 

什么是ISA Server发布? ISA Server启用三种类型的发布规则: 使用HTTP: 用于发布Web站点的Web发布规则  用于发布需要SSL加密的Web站点的安全Web发布规则  用于发布不使用HTTP或HTTPS的服务器的服务器发布规则

实施ISA Server Web发布规则: 要创建一个Web发布规则,请配置: 操作  名称或IP地址  用户  通信源  Public name  Web侦听器  路径映射  桥接  链接转换

实施ISA Server Web发布规则: 要创建一个安全Web发布规则: 选择SSL桥接模式或SSL隧道  在ISA Server  Web服务器或这两者上安装一个数字证书  配置SSL Web侦听器  配置安全Web发布规则 

实施服务器发布规则: 要创建服务器发布规则,请配置: 操作  通信  通信源  通信目标  网络  要启用安全服务器发布,可配置ISA Server发布一个安全协议,然后在发布服务器上安装一个服务器证书 -->见下图:

保护对内部服务器的访问安全: 最佳做法: 要启用对内部服务器的访问: 实施分离DNS用以从内部和外部访问资源  熟悉Web访问错误信息  正确实施SSL证书 

防火墙要求: 多层筛选   数据包筛选: 基于网络层和传输层标头中的信息筛选数据包  启用快速数据包检查,但无法检测较高级别的攻击  有状态筛选: 基于TCP会话信息筛选数据包  确保只接受有效会话中的数据包,但无法检查应用程序数据   应用程序筛选: 基于网络数据包中的应用程序有效负载筛选数据包  能够防止恶意攻击并实施用户策略

ISA Server 2004中的应用程序及Web筛选器: 应用程序筛选器: 是防火墙服务的附件  使防火墙能够跨越复杂的网络协议  实现应用层的入侵检测  实现应用层的内容筛选   Web筛选器: 是基于ISAPI模型的DLL  实现请求和响应扫描与修改  实现对特定响应的阻塞  实现通信的日志记录和分析  实现数据的加密和压缩  实现自定义身份验证架构  

在ISA Server 2004中实施HTTP Web筛选: HTTP Web筛选用于: 筛选从内部客户端到其他网络的通信  筛选从内部客户端到内部Web服务器的通信  HTTP Web筛选是规则特定的--您可以为每个访问或发布规则配置不同的筛选器   HTTP Web筛选能够基于以下信息阻塞HTTP数据包: 请求标头和有效负载的长度  URL的长度  HTTP请求方法  HTTP请求文件扩展名  HTTP请求或响应标头  响应标头或正文中的签名或模式

实施HTTP Web筛选器: 最佳做法: 要配置基准HTTP筛选器,请: 配置标头 有效负载 URL和查询的最大长度  选择"Verify nonmalization",不阻塞高位字符  只允许GET HEAD和POST  阻塞可执行文件和包含扩展的服务器端  阻塞潜在的恶意签名   使用ISA Server光盘中的HTTPFilterConfig.vbs脚本来导入和导出HTTP筛选器配置 

实现虚拟专用网络: 面临哪些问题? VPN提供了一个在公用网络上通信的安全选择  VPN主要用于两种情况: 为远程客户端提供网络访问  提供站点之间的网络访问   通过在允许VPN客户端机器访问组织网络之前检查其配置的功能,VPN隔离控制提供了一个额外的安全级别

使用ISA Server实现虚拟专用网络: ISA Server实现VPN访问: 实现个人客户端的远程客户端VPN访问和连接多站点的站点到站点的VPN访问  实现VPN特定的网络,包括: VPN客户端网络  隔离的VPN客户端网络  远程站点网络   使用网络和访问规则限制VPN网络和其他具有运行ISA Server的服务器的网络之间的网络通信   扩展RRAS功能 

实现VPN客户端连接: 要实现VPN客户端连接,请: 选择隧道协议  选择身份验证协议: 如果可能,使用MS-CHAP v2或EAP  在"ISA Server Management'中启用VPN客户端访问  配置远程访问用户账户  配置远程访问设置  配置VPN客户端网络防火墙访问规则 

实施站点到站点VPN连接: 要实现站点到站点VPN连接,请: 选择隧道协议  配置远程站点网络  配置网络规则和访问规则以实现: 网络之间的开放通信或网络之间的控制通信  配置远程站点VPN网关 

网络隔离的工作原理是什么? -->见下图:

实施网络隔离: 要在ISA Server上实施隔离控制,请: 1.创建验证客户端配置的客户端脚本  2.使用CMAK创建远程访问客户端的CM配置文件  3.创建并安装侦听器组件  4.启用ISA Server的隔离控制  5.配置隔离的VPN客户端网络的网络规则和访问规则

使用ISA Server配置VPN访问: 最佳做法: 使用尽可能严格的身份验证协议  使用PPTP时强制使用强密码  避免使用预共享的L2TP/IPSec密钥  配置访问规则以便控制对VPN客户端和站点到站点VPN连接的访问  使用访问规则以便为隔离的VPN客户端提供满足安全要求的方法

安装ISA Server 2004时的一些要求: CPU: 至少550MHz,最多支持四个CPU  内存: 至少256MB(不过在实际情况中,64MB的内存都可以运行ISA Server 2004,只是性能没有那么好)  硬盘空间: 150MB,不含缓存使用的磁盘空间  操作系统: Windows Server 2003或Windows 2000 Server 操作系统,强烈推荐在Windows Server 2003上安装. 如果在运行Windows 2000 Server的计算机上安装ISA Server 2004服务器,那么必须达到以下要求:

必须安装Windows 2000 Service Pack 4或更高版本  必须安装Internet Explorer 6或更高版本  如果您使用的是Windows 2000 SP4整合安装,还要求打KB821887补丁

网络适配器: 必须为连接到ISA Server 2004服务器的每个网络单独准备一个网络适配器,至少需要一个网络适配器  网络: 在安装ISA Server 2004服务器以前,应保证网络正常工作,这样可以避免一些未知的问题

迁移的操作: 在ISA Server 2000上安装ISA Server 2004: 防火墙策略会自动迁移  在一台新的机器上安装ISA Server 2004: 使用迁移向导来迁移防火墙策略  ISA Server 2004 SE的迁移向导只能对ISA Server 2000 SE版本进行操作 

防火墙策略: 在ISA Server 2004中,防火墙策略是由网络规则 访问规则 和服务器发布规则三者的结合  网络规则定义了不同网络间是否能访问.以及如果可以访问则该如何进行访问  访问规则则定义了用户(内.外网)的访问  服务器发布规则则定义了如何让用户访问服务器

缓存的设定: 小企业一般没有Publish需求,更多的是cache,防火墙等,且一般仅有一台服务器  启用缓存有两个条件,首先是设置了缓存所用的驱动器,其次是设置缓存规则.在ISA Server 2004中,有对应的缓存规则设置向导,让这一切都变得非常的容易

发布内部网络中的服务器: 对于中型企业,他们需要防火墙,缓存功能,更多的还要发布他们的内部网络中的服务器  发布对象: Web服务器  FTP服务器  邮件服务器 

ISA Server 2004对于VPN的支持: VPN状态过滤和检测: VPN客户端被配置单独的网络,你可以为VPN客户端创建单独的策略.规则引擎会有区别地检查来自VPN客户端的请求,对这些请求进行状态检查,并基于访问策略动态地打开连接   Site-to-Site的VPN隧道的通信状态检查和过滤: ISA Server 2004对Site-to-Site的VPN隧道连接引入了状态检查和过滤机制   VPN隔离控制: 在确认符合公司的安全要求前,可以将VPN客户端隔离到"被隔离的VPN客户端"网络中   发布VPN服务器: 使用ISA Server 2004服务器发布策略来发布VPN服务器,让ISA Server 2004中智能的PPTP应用过滤器执行负责的连接管理.   支持Site-to-Site VPN链路上的IPSec隧道模式: ISA Server 2004中可以使用IPSec隧道模式作为VPN协议,而且它可以和许多第三方VPN解决方案一同工作 

VPN部署方案--远程访问VPN -->ISA Server 2004与VPN: "单击几次"即可完成配置  客户端集成到Windows中  通过Windows 2003连接管理器管理工具包(Connection Manager Administration Kit,CMAK)进行高度自定义  将VPN客户端视为一个网络,并受策略的限制  对VPN客户端通信进行身份验证,并且能够通过日志查看器进行查看  VPN隔离! 

本文转自 叶俊生 51CTO博客，原文链接:http://blog.51cto.com/yejunsheng/162401