ISA Server 2006是高级的状态数据包与应用程序层检查防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案,使得企业客户可以通过提高网络安全性和性能来从现有信息技术 (IT) 投资轻松获得最大回报。ISA Server 2006 是可扩展的企业防火墙以及构建在 Microsoft Windows Server™ 2003 操作系统安全、管理和目录上的 Web 缓存服务器,以实现基于策略的访问控制、加速和网际管理。它是一种集成的边界安全网关产品,在使用户对应用系统和数据进行快速而安全的远程访问的同时,有助于保护您的 IT 环境免受来自基于 Internet 的威胁。
图1 ISA Server 2006网络拓扑图(此图片来自微软)
Internet 为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在,同时也带来了与安全、性能和管理等有关的风险和问题。ISA 服务器旨在满足当前通过 Internet 开展业务的公司的需要。ISA 服务器提供了多层企业防火墙,可帮助防止网络资源遭受病毒、黑客的攻击以及被未经授权访问。ISA Server 2006 Web 缓存使得组织可以通过从本地提供对象(而不是通过拥挤的 Internet)来节省网络带宽并提高 Web 访问速度。
目前,随着企业信息化的大力推广应用,对网络的要求也越来越多,同时,由此造成的网络安全的问题也在不断地发生着变化。特别是近几年计算机硬件的快速发展,为企业的移动办公创造了条件,如何为移动用户提供访问企业资源成就了VPN的市场前途。
图2 某企业应用ISA Server 2006网络拓扑图
下面用ISA Server 2006在某企业网络安全建设的过程案例,图2是某企业应用ISA Server 2006建设网络的拓扑结构图。本文将结合ISA Server和防火墙的基本原理,分别围绕代理服务、访问规则、内容过滤、VPN访问以及报表分析等五个方面来阐述ISA Server 2006在企业网络安全建设中的应用。
图3 ISA Server 2006应用范围
1.代理服务
代理服务是防火墙技术中使用最为普遍的技术,也是安全必能较高的技术。ISA Server 2006部署在内网出口的地方构成代理服务器,负责截获用户计算机的请求,并根据它的安全规则来决定这个请求是否允许。ISA Server 2006对于外部网络是唯一可以见到的实体,而对于内部计算机用户是透明的。并且它能应用协议特定的访问规则,执行基于用户身份的访问控制。
利用ISA的网络模板来建立ISA Server的网络,分别建立如下三个网段,内部网(Internal),外部网(External),外围(DMZ)。各网段的地址范围配置如下:
内网:10.5.8.0-10.5.8.255,定义内部网络的IP地址范围,只有在允许的地址范围才能通过ISA防火墙访问外部internet。
外围网:172.88.88.0-172.88.88.255,DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
2.建立访问规则
ISA Server 2006 的访问策略能够通过成熟的防火墙规则进行创建,这个规则使您能创建任何被请求的策略要素。使用 ISA Server 2006,可以创建包含一组发布规则和访问规则的防火墙策略。这些规则以及网络规则可以确定客户端如何跨网络段访问资源。
例如针对需要与外部通过Email联系的用户建立Email组,开通DNS、POP3和SMTP等协议端口,针对部门经理需要在上班时间访问Internet,开通DNS、HTTP、HTTPS等出站协议,针对不需要使用Internet的电脑,建立阻止所有出站通讯的规则,针对政府网站特别用途的接口则设置允许特殊端口出站的方式达到工作需要的目的,如图4为某企业ISA Server访问规则列表。
图4 ISA Server 2006访问规则
3.设置内容过滤
分组过滤或包过滤,是一种通用、廉价且有效的安全手段。它在网络层和传输层起作用,它根据分组包的源、宿地、端口号以及协议类型,标志确定是否允许包通过,所依据的信息来源于IP、TCP或UDP包头。
更多内容参考eworks网站 http://articles.e-works.net.cn/512/Article46909.htm