CourseOutline.doc

网络基本架构的实现和管理Windows 2000网络基本架构的实现和管理教学大纲网络安全的实现和管理以Windows Server 2003和ISA Server 2004为例教学大纲1.1 课程简介1.1.1 课程名称中文名：网络安全的实现和管理以Windows Server 2003和ISA Server 2004为例英文名：Implementing and Administering Security in a Microsoft Windows 2003 Server and ISA Server 2004 Network1.1.2 课程类别系统管理课程1.1.3 课程概览企业对网络连接特别是Internet连接的要求越来越高，以往80的网络流量在企业内部被替代为80的网络流量流向企业外部，与此同时信息安全也成为了日益严重的问题，公共网络中每天都充斥着大量的非法访问和攻击。本课程主要介绍了在Microsoft安全框架下如何进行安全策略的实现，包括安全组、帐户安全性、 身份验证、证书、IPSEC、应用程序服务器安全、入侵检测等多项服务的管理和优化。同时本书详细描述了ISA Server 2004的安装配置和管理，同时说明了如何将ISA防火墙和企业中其他服务进行集成。学完这些章节可以成为一名企业IT 部门的网络安全管理和服务器支持工程师，能够完成企业中上述服务的配置和管理。全书共分为二十三章，分为网络安全管理实现和ISA Server的配置管理两部分，具体内容如下：l 能够规划和配置授权和身份验证策略（第一章）l 能够安装配置和管理证书颁发机构（第二章）l 能够进行证书以及智能卡证书的规划、实现和故障诊断（第三、四章）l 能够进行加密文件系统的规划实现和故障排除（第五章）l 能够规划、配置和部署安全基线（第六、七、八章）l 能够规划和实现软件更新服务（第九章）l 能够实现数据安全性的规划、部署和故障排除（第十章）l 能够配置和管理SSL（第十一章）l 能够规划和实施无线网络的安全措施（第十二章）l 能够保护远程访问安全（第十三章）l 能够安装和维护ISA Server（第十五章）l 能够配置允许对Internet资源的访问（第十六章）l 能够设置ISA Server作为防火墙（第十七章）l 能够配置对内部网络的访问（第十八章）l 能够集成ISA Server和Exchange Server（第十九章）l 能够对高级应用程序和Web进行筛选（第二十章）l 能够为远程客户端和网络配置虚拟专用网（第二十一章）l 能够实现缓存（第二十二章）l 能够监视ISA Server 2004（第二十三章）本书内容主要考核基于Microsoft安全框架网络安全的部署和实施，Windows 2003网络安全管理、具体配置：帐户安全，服务器安全，身份验证、IPSec、PKI、安全基线，以及ISA Server的配置和管理等会贯穿整个考试内容。通过本课程的学习，学生具备了中小型企业网络安全的基本管理能力，能够管理用户安全和服务器安全，同时进行安全的网络连接，完成课程学习后还具备基本的安全防护和灾难恢复能力。1.1.4 课程定位图 1 时讯电子商务公司网络拓扑图如图1所示，这里我们使用时讯电子商务公司的 IT 职位来描述服务器网络管理员在公司 IT 系统中的位置，时讯电子商务公司是一个外贸公司，从原有的10台计算机发展到今天拥有200台计算机的规模，从原先基本的工作组环境发展到以 Nwtraders.msft 为域名的网络环境，公司发展初期都是简单在计算机上建立共享，来达到资源共享的目的，但是伴随着业务发展，需要进行资源的集中管理控制，公司现在拥有了专门的服务器角色、域控制器、文件服务器、打印服务器和相关备份设备，同时希望能够利用现有的服务器角色实现企业中DHCP、WINS、 DNS、IPSEC、CA、RRAS、路由器配置、网站服务器等服务器的搭建、管理、排查错误。由于网络环境逐渐复杂，特别是员工访问公共网络的需求越来越大，使网络不断的面临安全威胁，因此需要在现有的网络架构和各种服务的基础上部署相关的安全策略。学完本书的学生能够充当网络安全工程师的角色，掌握如何有效在企业中根据具体需求来完成相关服务的安全配置和安全策略的部署，进行相关日常管理。网络安全工程师在在整个公司中扮演着基础，但是很重要的角色，负责企业日常服务器、客户端进行安全维护，保护网络不被非法用户侵入，他是企业中必不可少的一个角色。MCSE系统工程师在公司中工作主要为“设计和规划”，按照时讯公司的业务需求来规划、搭建、管理基于Windows的网络和服务器。MCSA系统管理员在公司中的工作主要为“管理、实施和维护”，他们管理和维护着时讯公司的Windows网络和服务器，保证网络正常运行。MCDBA数据库管理员主要的任务是保证公司电子商务网站数据库中数据的安全和用户访问数据库时的畅通。MCSE+Messaging工程师负责搭建公司的邮件服务器，并按照公司的需求进行配置和维护。由于是刚发展成立的外贸公司，公司对于安全的要求等级还不是很高，如果有这方面规划可以咨询MCSE+安全工程师，他们在网络中负责着防火墙的架设和整个Windows网络和服务器的安全。1.1.5 学习路径图 2网络和系统人才培育学习路径图如图 2所示，本课程属于岗位应用技能课程，本门课是获得MCSE security、MCSA证书必须学习的课程。在学习本课程以前，需要具备下列计算机基础知识：l 熟练使用 Windows 界面来创建、定位和操作文件和文件夹。熟练配置桌面环境l 掌握计算机硬件基本知识，包括内存、硬盘和 CPUl 掌握基本网络基本知识，包括网络操作系统、服务器/客户端结构和局域网 l 完成学习网络服务器操作系统的管理Windows 2003管理课程l 完成学习操作系统的安装、配置和管理Window XP专业版的安装、配置和管理l 完成学习网络基础架构的实现和管理Windows 2003 Server网络基础架构的实现和管理如表 1所示，本课程的推荐先修课程为网络基础架构的实现和管理Windows 2003 Server网络基础架构的实现和管理，后修课程参见表1。学完本课程后可单独结业，参加ATA 组织的考试。学习好本课程对于后面进行数据库管理、服务器管理、开发方向方面更深层次的学习非常必要。它直接为微软认证数据库管理员（MCDBA）培养方向的后续课程和MCSE 的相关认证的后续课程在操作系统级别提供必要的实践基础。表 1先修课程本课程网络安全的实现和管理以Windows Server 2003和ISA Server 2004为例后修课程网络基础架构的实现和管理Windows 2003 Server网络基础架构的实现和管理活动目录的规划、实现和管理以Windows 2003 Server为例1.2 教学指导1.2.1 教学目标通过学习本课程，学生能够具备架构、管理和维护中小型企业网络系统安全的管理能力，能够管理网络中的常见安全服务并进行相关排错，具备一个网络基础工程师的基本素质。具体技能包括：l 设计和配置授权和验证策略：信任关系、ACL策略、身份验证协议l 安装、配置和管理CA：安装和管理CAl 设计、部署和故障排除：智能卡证书l 设计、部署和故障排除：EFS加密和文件共享l 设计、配置安全的成员服务器基线：安全模板l 为服务器角色设计、配置和部署安全基线：DNS、基本架构服务器、文件和打印服务器、IIS、IAS、Exchange以及SQL服务器的安全基线l 设计、配置和部署客户端计算机基线：组策略，软件限制l 设计和部署软件更新：MBSA、SUSl 设计、部署和故障排除数据传输安全：SSL、IPSecl 设计和部署无线网络安全：802.1x身份验证l 使用ISA Server 2004设计和部署周边网络安全l 安装和维护ISA Server 2004。安装和配置ISA Server客户端l 使用ISA Server 2004为网络客户端配置对Internet资源的安全访问l 将ISA Server 2004配置成为Internet和内部网络之间的防火墙l 为使用Web和服务器发布规则的Internet用户配置往内部网络的安全访问l 配置ISA Server 2004为Internet上的服务器和客户端提供到Exchange服务器的访问l 在ISA Server 2004上部署应用程序和Web过滤l 通过ISA Server 2004为远程客户端和远程网络部署VPNl 在ISA Server 2004上部署Web代理缓存l 在ISA Server 2004上监视服务器性能、安全和使用率l 设计和配置ISA Server 2004企业版l 在背靠背防火墙场景中部署ISA Server 2004企业版l 在站点到站点VPN场景中部署ISA Server 2004企业版1.2.2 教学方法本套教材的目标是培养学生成为一个能够管理中小型企业网络系统安全网络安全工程师。如何通过教学使得没有实际技能和支持经验的学生能达到这个目标？由于学生对于知识的学习是遵循理解、掌握、应用、经验积累这个过程的。按照这样的原则，本套教材配备了如下的教学资源，课本、习题、幻灯片、教学指导手册、多媒体视频录像、实验、课外阅读和综合训练。本套教材的目标是培养学生能够进行网络基础架构的实现、管理和排错，并为后续课程的开展奠定基础。如何达到这个预定目标呢？本套教材配备了如下的教学资源，课本、习题、幻灯片、实验、综合训练、教学指导手册和多媒体视频录像。教学资源和教学目的的具体对应关系见表2：表 3教学资源教师用学生用教学环节教学目的教学指导手册（教学大纲和教学详案）课堂教学教师：课前使用教学大纲对课程有总体的把握，用教学详案结合课本进行备课。课中根据教学详案的指引综合利用教学资源进行授课。课本课堂教学教师：课前结合课本和教学详案进行备课。课中通过对课本的讲解可以让学生了解网络安全的实现和管理（Windows Server 2003和ISA Server 2004)，并使学生具备排错的能力。学生：课前需对课本的内容进行预习。课中边听教师的讲授，并按照教师的要求阅读课本的相应部分。课后阅读课本进行复习。习题课堂教学教师：课后通过布置习题，了解学生接受知识点的程度，从而调整后阶段的教学。学生：课后通过习题来消化和巩固网络安全的实现和管理以Windows Server 2003和ISA Server 2004为例的相关内容幻灯片课堂教学教师：课中通过幻灯片的使用，使课堂教学更加具备趣味性，更能直观地表达如何实现和管理Windows 2003 网络安全学生：课中通过观看幻灯片，可以更好地掌握课本中的知识重点和难点 课后通过使用幻灯片，可以对于每章的学习重点进行总结和复习多媒体视频录像课堂教学教师：课中通过多媒体视频录像的观看，能为学生演示Windows 2003 网络安全管理中一些比较难于在教室中模拟的部分，帮助学生对其的难点和具体操作步骤有个直观印象学生：课中通过观看多媒体视频录像，可以较容易地理解在网络安全的实现和管理（Windows Server 2003和ISA Server 2004)中容易配置错误的地方或者理解比较困难的部分实验实验教学教师：通过给学生布置实验练习，可以让学生亲自动手进行实践学生：通过完成每章实验练习，可以实际演练所学的章节知识。综合训练综合练习教学教师：通过给学生布置一个综合训练，可以指导学生完整地综合使用所学的知识点来体会真实场景中的网络安全的实现和管理（Windows Server 2003和ISA Server 2004)学生：通过综合训练中可以在真实场景中操练所学的重要知识点，并能够灵活地使用这些知识点来解决实际问题。n 实验本课程提供真实环境的实验和虚拟实验环境，同时也可以建议使用VPC虚拟机环境进行实验。真实环境的实验需要教师授课前按照实验环境安装指南（教师光盘中webfilessetupguide.doc）上的要求预先安装和配置所有计算机，然后根据课本上每章后的实验步骤进行实验。VPC虚拟机实验环境需要教师根据自己学校实际情况使用虚拟机环境来保存各个小组的实验环境以及相关任务。n 案例教学案例教学的目的是帮助学生在学校期间理解在企业中一个网络安全工程师的基本工作，同时学会如何在企业中做一名网络安全工程师，帮助学生掌握在实际工作中使用到的技能和方法，缩短知识和实际工作能力之间的距离。同时对考点进行操练。案例概要如下：尚志通信公司决定使用Microsoft Windows Server 2003作为主要的网络服务器解决方案，通过选择Windows Server 2003，尚志通信公司希望拥有了一个冗余的、可伸缩的，并且可以很容易管理的解决方案。尚志通信公司希望通过部署企业的邮件方案来保证内外网络系统的安全， 并作一个安全评估及风险评定， 进面采取一些有效的措施来提高整个系统的安全及管理的高效性，希望利用 Windows Server 2003 提供的软件限制功能防范常见的公司内部安全问题，从而使我们的员工着重于为客户提供质量更加可靠的理财方案。同时尚志通信公司决定使用Microsoft Internet Security and Acceleration (ISA) ISA Server 2004 作为主要的防火墙解决方案，通过选择ISA Server 2004，尚志通信公司现在拥有了一个冗余的、可伸缩的，并且可以很容易管理的解决方案，用来弥补在公司的内部网络和Internet之间的鸿沟。案例教学需要学生应用的知识点如下：l 网络安全规划l 网络安全威胁分析l 网络边界安全l 数据传输安全l 物理资源安全l 计算机安全l 账户安全l 验证安全l 将ISA SERVER 2004安装并配置为防火墙和缓存服务器l ISA SERVER 2004的企业版本安装与配置l 配置访问策略，实现安全地互连网访问l 实现ISA SERVER 2004的虚拟专有网络l 将ISA SERVER 2004配置为防火墙l 配置对内部特定资源的安全访问l 使用报警器、日志、报告和实时监视器，监视ISA SERVER 2004的活动l Exchange 2003 邮件服务器的发布l 网站的发布1.2.3 建议学时数44课时课堂教学+40课时实验教学+ 6课时综合训练1.2.4 教学重点、难点以及考点概览 重难点分析 重难点及考点分布表在实际网络中，企业会采用多种网络访问方式和多种服务器为企业进行信息技术支持，为了保证这些服务的安全，会涉及大量场景和相关术语以及协议，由于很多服务器在学校使用比较少，所以学生会对于一些学习场景和学习内容比较迷惑，这里教室尽量通过演示和实验介绍给学生理解。第一章 规划和配置授权和身份验证策略 建议学时2课时课堂教学+2课时实验教学目标企业的安全策略中最关键且最被忽视的一部分是保护企业用户的安全，并为它们提供相应资源的访问权限。为了保护企业中的资源免受恶意和未授权用户的访问，并增强企业数据的完整性，评估企业的基本架构以及创建和编写一份允许不同的企业用户进行相应级别访问的授权和身份验证规划是非常重要的。通过本章的学习，能够掌握各种身份认证的过程，能熟练运用各类的组来对资源进行授权，以满足企业需求，同时教师需要补充说明信任关系、域和林的功能级别。知识点难点重点考点1.1Windows Server 2003中的组和基本组策略1.2在Windows Server 2003中创建信任1.3使用组来规划、实现和维护授权策略 1.4身份验证模型的组件 1.5规划和实现身份验证策略 1.6实验：规划和配置授权和身份验证策略第二章 安装、配置和管理证书颁发机构建议学时2课时课堂教学+2课时实验教学目标在信息互连的当今时代，一个公司的网络可能由 Intranet、Internet 站点和 Extranet 组成。所有这些都可能会被不怀好意、企图查看或篡改企业数字信息资产的未经授权者访问。因此，拥有确保企业数据和通信安全的手段是十分重要的。为了保证通信安全，有必要了解实现安全通信的系统的基本概念。PKI（Public Key Infrastructure，公钥基本架构）就是这样一种可以在网络上进行安全通信的方法，它可提供用户身份验证、不可抵赖性、数据保密性和数据完整性。 本章概要说明了CA、PKI的概念和指导方针，同时说明了备份和还原CA的方法。知识点难点重点考点2.1PKI和证书颁发机构简介2.2安装证书颁发机构2.3管理证书颁发机构 2.4备份和还原证书颁发机构 2.5实验：安装和配置证书颁发机构第三章配置、部署和管理证书建议学时2课时课堂教学+2课时实验教学目标企业依靠证书提供可靠性、保密性和不可抵赖性等好处。本章讲述了如何为了预期的目的将证书颁发给正确的安全主体，以及如何简单明了的为用户部署证书。此外，还应该掌握恢复数字证书的方法，以防用户或计算机丢失与数字证书关联的私钥。学习完本章后，希望大家能够掌握以上知识点，结合实验理解证书的管理。知识点难点重点考点3.1配置证书模板3.2部署与吊销用户和计算机证书3.3管理证书3.4实验：部署和管理证书第四章智能卡证书的规划、实现和故障诊断建议学时1课时课堂教学+1课时实验教学目标对于很多企业而言，单因素身份验证并没有提供足够的安全性。需要更高安全性的企业正在实现多因素身份验证，在这种验证中，用户必须有多种表明其身份的方法。实现多因素身份验证的一个最常见的选项就是部署智能卡。在本章中，您将学习到如何规划部署智能卡基本架构，以确保该基本架构满足组织的安全性要求。学习完本章后，希望大家能够掌握以上知识点，掌握多因素身份验证的概念。知识点难点重点考点4.1多因素身份验证简介 4.2规划和实现智能卡基本架构4.3智能卡基本架构的管理和故障诊断 4.4实验：实施智能卡第五章加密文件系统的规划、实现和故障排除建议学时2课时课堂教学+2课时实验教学目标系统管理员的任务之一就是管理组织网络上的数据。要有效地管理网络数据存储，除了其他知识之外，还必须了解加密。在本章中，你将学习加密文件系统（EFS，Encrypting File System），通过结合证书技术，EFS使你能安全地存储数据并有助于保护你的网络。学习完本章后，希望大家通过EFS的实验明确EFS的功能和管理方针。知识点难点重点考点5.1EFS简介5.2在独立的Windows XP环境中实现EFS5.3在使用PKI的域环境中规划和实现EFS5.4实现EFS文件共享5.5EFS故障排除5.6实验：加密文件系统的规划、部署和故障排除 第六章规划、配置和部署安全的成员服务器基线建议学时2课时课堂教学+2课时实验教学目标网络的安全依赖于组成网络的服务器的安全配置。攻破单台服务器上的任何安全防护可能危及网络中所有计算机的安全，由此危及网络本身的安全。默认安装的服务器往往不能适应安全需要。因此，安全基线和安全模板是一个便捷的途径，它们为管理员提供了一个简便的方法来为网络实现基本安全。本章通过概要说明安全基线和安全模板的概念，说明了在网络中部署和管理安全模板，统一网络的安全设置。知识点难点重点考点6.1成员服务器基线概述6.2规划安全的成员服务器基线6.3配置其他安全设置6.4部署安全模板 6.5安全模板故障诊断 6.6实验：规划、配置和部署成员服务器基线第七章为服务器角色规划、配置和部署安全基线建议学时2课时课堂教学+2课时实验教学目标在一个企业的网络中，存在着各种角色的服务器。诸如，DNS服务器、DHCP服务器、IIS服务器、文件打印服务器、数据库服务器、邮件服务器等等。每种服务器角色对于安全有着不同的要求。而网络的安全依赖于组成网络的各种服务器的安全配置。本章将教授如何为各种服务器角色规划和配置安全基线策略。学习完本章以后，希望大家能够区分不同服务器的安全需求，并有针对的部署安全基线。知识点难点重点考点7.1规划和配置域控制器安全基线7.2规划和配置DNS服务器安全基线7.3规划和配置基本架构服务器的安全基线7.4规划文件和打印服务器的安全基线7.5规划和配置IIS服务器的安全基线 7.6Internet验证服务器基线策略 7.7EXCHANGE SERVER服务器基线策略 7.8SQL SERVER服务器基线策略 7.9实验规划、配置和实现服务器角色的安全基线 第八章规划、配置、实现和部署安全客户端计算机基线建议学时2课时课堂教学+2课时实验教学目标对于网络管理员来说，安全规划是一项比较琐碎的工作。不仅要考虑服务器的安全，客户端的安全也是不可忽视的工作。例如，客户端安装了来历不明的软件可能会带来病毒和木马等等。在本章中，你将学习如何规划、实现和部署客户端计算机上的安全基线。还将学习如何在客户端计算机上规划和实现软件限制策略。最后，你将学习如何在移动计算机上实现安全性。在学习中，教师要重点加强实验和演示。知识点难点重点考点8.1规划和实现安全客户端计算机基线8.2配置和部署客户端计算机基线8.3规划和实现软件限制策略 8.4为移动客户端实现安全 8.5实验：规划、实现、配置和部署安全客户端计算机基线 第九章规划和实现软件更新服务建议学时2课时课堂教学+2课时实验教学目标随着 Microsoft 不断努力地减少代码漏洞，软件更新也在不断进行并成为了企业系统管理和安全战略的重要部分。病毒的存在也使得管理员的安全意识大大加强，软件更新也成为防范病毒的重要方法之一。在本章中，您要掌握用户需要在计算机上安装哪些更新，并且能快速而高效的在整个企业安装这些更新。学习完本章之后，重点要掌握Microsoft 软件更新服务（SUS，Software Update Service）和 Microsoft Baseline Security Analyzer（MBSA），能够企业更新管理战略提供框架。知识点难点重点考点9.1软件更新服务和更新管理介绍9.2规划更新管理战略9.3实现 SUS 基本架构9.4实验：安装、配置和维护更新管理基本架构第十章数据传输安全性的规划、部署和故障排除建议学时4课时课堂教学+2课时实验教学目标通过企业的网络传输数据时，数据就面临着各种各样的威胁。未经加密保护的网络通信，可能会被恶意用户读取或篡改。例如FTP和Telnet这些应用都以明文传输数据，如果有恶意用户截取相应的数据包就可以很容易的获得用户名和密码信息等等。在本章中详细说明了Windows Server 2003 提供的各种保护方法，使数据传输得以可靠进行，确保了敏感网络数据的可靠性和保密性。学习完本章以后，希望大家能够掌握加密数据传输的主要方法，教师应该对概念中的难点进行详细的讲解。知识点难点重点考点10.1安全数据传输方法10.2IPSEC 简介10.3规划数据传输安全性10.4实现安全数据传输方法10.5IPSEC 通信故障排除 10.6实验：数据传输安全性的规划、部署和故障排除 第十一章部署配置和管理SSL建议学时2课时课堂教学+1课时实验教学目标安全套接字层(SSL)保护着Internet上的数据传输，在很多场合企业依赖SSL验证服务器和保护信息的隐私。在本章中讲解了，作为一个安全管理员，如何在Windows 2003网络中部署和管理SSL证书使用该协议保护Active Directory目录服务域控制器通信、数据查询和电子邮件。本章着重介绍如何使用SSL实现通信加密和Windows Server 2003 网络应用程序的完整性。知识点难点重点考点11.1安全套接字层（SSL）概述11.2其他 SSL 应用程序第十二章规划和实施无线网络的安全措施建议学时1课时课堂教学+1课时实验教学目标由于无线网络的便利性，在企业中得到了越来越广泛的应用。但是，因为信号是以广播方式发送的，因此无法从物理上保护传输数据的介质。如果未对无线网络进行安全防护，入侵者可以利用此漏洞非法接入网络，在本章中概要说明了。在实现无线网络前精心规划保护数据的方法，保证有效的无线网络安全。学习完相关课程之后，学生需要重点掌握客户端无线安全的指导方针。知识点难点重点考点12.1保护无线网络安全简介12.2实现 802.1X 身份验证 12.3规划安全的 WLAN 策略12.4实现安全 WLAN 12.5无线网络故障排除 12.6实验：规划和实施无线网络的安全措施 第十三章保护远程访问安全建议学时2课时课堂教学+2课时实验教学目标很多大型企业都使用VPN接入方式让不在公司的员工能够连入企业网络，这给工作带来了方便，但是这也会带来潜在的安全隐患。如果未授权的远程用户获得对基于 Intranet 的资源的访问权限，网络的安全会受到损害。在本章中说明了远程访问的有效网络访问安全设计，通过确认尝试访问组织网络资源的客户端的身份、保护特定的资源免受用户不适当的访问。本章的核心内容是VPN，请结合IPSec一起进行理解。知识点难点重点考点13.1远程访问技术和漏洞简介13.2规划远程访问战略 13.3实现 VPN 服务器13.4部署网络访问隔离区控制组件 13.5实验：实现安全的 VPN 解决方案 第十四章Microsoft ISA Server概述建议学时1课时课堂教学+1课时实验教学目标随着Internet上黑客活动的日益频繁，网络防火墙已经成为企业网络安全的基本组件之一。企业需要使用防火墙来阻挡、监视、发现各种可能的攻击，并且管理对内外网资源的访问。同时，企业还使用代理服务器来管理用户对外网的访问，同时提供缓存来使得用户获得更好的上网体验。ISA Server 2004是一个将上述两个功能合二为一的产品。本章是后续章节的一个概要说明知识点难点重点考点14.1介绍 ISA SERVER 200414.2ISA SERVER 2004 的部署场景14.3实验：设计 ISA SERVER 2004 实现第十五章安装和维护 ISA Server建议学时2课时课堂教学+2课时实验教学目标正确安装ISA Server 2004是企业网络安全管理员的一项重要工作。在大部分情况下，公司还会在客户端计算机上部署 ISA 防火墙客户端或在网络上配置 Web 代理服务客户端，因此管理员还需要知道如何安装和配置这些 ISA Server 客户端。此外，在完成部署后，ISA Server 管理员还需要知道如何保护和维护 ISA Server。本章提供了有关如何执行所有这些任务的信息。知识点难点重点考点15.1安装 ISA SERVER 2004 15.2选择 ISA SERVER 客户端15.3安装和配置防火墙客户端15.4高级防火墙客户端配置 15.5保护 ISA SERVER 2004 15.6维护 ISA SERVER 200415.7实验：安装和配置 ISA SERVER 2004第十六章允许对 Internet 资源的访问建议学时2课时课堂教学+2课时实验教学目标企业上网对企业信息的沟通带来了极大的便利。但是同时也带来了资源滥用的危险。诸如，访问一些非业务需要的站点从而下载了一些后门程序。还有这样的一些管理需求，不同的用户对网络访问需要有不同的权限。这些个性化需求都对管理员提出了挑战。本章讲解了通过ISA Server 2004为内部用户提供对 Internet 资源的安全访问。学习完本章，希望大家了解 ISA Server 提供的功能以及 Internet 资源安全访问的配置方法。知识点难点重点考点16.1作为代理服务器的 ISA SERVER 200416.2在 ISA SERVER 上配置多网络16.3配置访问规则元素 16.4配置 INTERNET 访问规则16.5实验：允许对 INTERNET 资源的访问 第十七章配置 ISAServer 作为防火墙建议学时2课时课堂教学+2课时实验教学目标防火墙是企业中对外网络安全的第一道防线。使用防火墙，可以阻挡不符合公司规定的对外访问和连接。本章讲述了如何将ISA Server 2004 配置成在Internet和内部网络之间的防火墙，从而限制从一个网络到另一个网络的网络通信传输。在理想状态下，除明确允许的通信外，防火墙应该阻止其他所有通信。学习完本章，大家要掌握防火墙的概念，掌握如何将 ISAServer 2004 配置为防火墙。知识点难点重点考点17.1使用 ISA SERVER 作为防火墙17.2检查外围网络和模板17.3配置系统策略17.4配置入侵检测和 IP 首选项17.5实验：将 ISA SERVER 配置为防火墙 第十八章配置对内部资源的访问建议学时3课时课堂教学+2课时实验教学目标公司内部经常会有一些资源需要对公网进行发布，诸如位于内网中的FTP服务器，Web服务器，还有Real或者Windows media服务器等等。由此带来的是相应的安全问题，一旦服务器受到入侵，则无疑会给内部网络带来重大的安全隐患。本章讲解了如何配置ISA Server 2004，在不损害内部网络安全性的情况下使用 Web 发布规则和服务器发布规则以便将内部网络资源发布到 Internet。学习完本章，希望大家通过对概念的理解和实验，掌握如何使用安全规则将内部网络资源安全地发布到 Internet。知识点难点重点考点18.1介绍发布18.2配置 WEB 发布18.3配置安全 WEB 发布简介18.4配置服务器发布 18.5配置 ISA SERVER 身份验证 18.6实验：配置对内部资源的访问 第十九章集成 ISAServer 2004和Microsoft ExchangeServer建议学时2课时课堂教学+1课时实验教学目标Exchange Server 提供的电子邮件服务是很多企业中的重要网络服务。由于电子邮件也可能是Internet可访问的网络服务之一，对于电子邮件也有各种各样的安全威胁，诸如垃圾邮件，还有嵌入在邮件中的恶意代码等等。本章讲述了如何通过ISA Server 2004保护 Exchange Server 的安全，ISA Server 2004 提供了几个选项来保护 Exchange Server，其中包括保护客户端到 Exchange Server 的连接等功能。可以在攻击到达Exchange Server之前就被阻止。学习完本章，希望大家了解电子邮件的安全威胁，教师需要对Exchange Server进行概要的描述。知识点难点重点考点19.1电子邮件安全问题19.2配置ISA SERVER来保护SMTP通信19.3配置ISA SERVER来保护WEB客户端连接的安全 19.4配置 ISA SERVER 来保护客户端连接的安全19.5实验：集成 ISA SERVER 2004 和 MICROSOFT EXCHANGE SERVER 第二十章高级应用程序和Web筛选建议学时2课时课堂教学+2课时实验教学目标ISA Server 2004 中提供的最重要的功能是应用程序和 Web 筛选器。通过使用这些筛选器，ISAServer 管理员能配置非常有效的筛选规则，对通过运行ISAServer 的计算机的通信进行筛选。例如，可以根据文件扩展名或特定病毒特征码来允许或阻止通信。要提供对组织网络的高级保护，ISAServer 管理员需要能配置应用程序和 Web 筛选。知识点难点重点考点20.1高级应用程序和 WEB 筛选概述20.2配置 HTTP WEB 筛选器20.3其他应用程序和 WEB 筛选20.4实验：配置 HTTP WEB 筛选器第二十一章为远程客户端和网络配置虚拟专用网络访问建议学时2课时课堂教学+2课时实验教学目标由于业务的需求，很多公司要求远程用户能够安全地访问内部网络。很多公司还需要一种安全方法来连接到多个位置。比如一个公司总部和多个分支办公室之间共享数据。在本章中，结合第十三章的讲解，说明了如何利用VPN满足这两种要，ISA Server 2004提供了结合防火墙安全过滤功能的VPN解决方案。学习完本章后，希望大家能够掌握以上知识点，实践VPN配置和管理的方法。知识点难点重点考点21.1虚拟专用网络概述21.2为远程客户端配置虚拟专用网络21.3为远程站点配置虚拟专用网络 21.4使用 ISA SERVER 2004 配置隔离控制第二十二章实现缓存建议学时1课时课堂教学+1课时实验教学目标在企业中，管理员可以配ISA Serve的缓存功能，缓存客户端请求的内容。从而，使得用户在故障发生时，还能使用缓存中的内容完成他们的工作。同时还可以使用ISA Server的内容下载功能将网站的部分内容预下载到本地，从而提供相关内容的高可用性。在本章中说明了，ISA Server 2004如何通过缓，使ISAServer 能更快地响应客户端的 Internet 信息请求。缓存是 ISAServer 2004 的重要功能，学习完本章之后，希望大家通过实验掌握这一重要功能。知识点难点重点考点22.1缓存概述22.2配置通用缓存属性22.3配置缓存规则22.4配置内容下载任务22.5实验：配置缓存 第二十三章监视ISAServer2004建议学时1课时课堂教学+1课时实验教学目标监视服务器上的活动是管理ISA Server 2004 的重要组成部分之一。本章通过概要说明实时监视和配置警报，提供了运行 ISAServer 的计算机上的当前活动的即时信息。监视还包括配置日志记录和报告，它们提供 ISAServer上活动的详尽或汇总信息。通过监视相应的日志记录和报告，管理员可以及时发现恶意攻击或者一些潜在的网络连接故障。学习完本章之后，希望大家认识到监视和警报的重要性，并通过实验能够在运行ISAServer的计算机上配置监控。知识点难点重点考点23.1监视概述23.2配置警报23.3配置会话监视23.4配置日志记录 23.5配置报告 23.6监视连接23.7监视服务和性能23.8实验：监视 ISA SERVER 20041.2.5 考核 考试科目本课程内容所对应的认证考试为微软认证考试在Windows 2003 Server网络中部署网络安全和部署Microsoft Internet安全策略和ISA Server 2004。通过该考试可获得微软公司颁发的MCP证书，该证书可以证明考生掌握 Windows 2003和ISA Server 2004 基本安全管理和操作的能力。关于认证考试的官方信息，可以参考：/learning/exams/70-299.asp/learning/exams/70-350.asp 考试形式MCP认证考试的形式为单/多项选择题，实际操作题目，考题内容。下面是题型范例。The administrator for the ShiXun OU is named Tess. Tess is responsible for the user accounts and computer accounts in the OU. Tess submits a list of configurations that he wants to be applied to ShiXun in the ShiXun OU by means of a GPO. You create a GPO that complies with Tesss request.You want to give Tess the ability to link the GPO to the ShiXun OU, but you need to ensure that Tess cannot create GPOs.What should you do?A. Add Tesss user account to the Group Policy Creator Owners group.B. Run the Delegation of Control wizard on the ShiXun OU and assign Tesss user account the Manage Group Policy links task.C. Move Tesss user account to the North OU.D. Configure t