电子商务安全技术与实训信息传输安全技术

1、电子商务安全技术与实训信息(xnx)传输安全技术共一百零二页第5章 信息传输安全(nqun)技术知识教学目标：了解黑客攻击的目的及步骤、常用(chn yn)的黑客攻击方法掌握防黑措施了解信息加密技术熟悉防火墙技术、掌握防火墙创建步骤技能培养目标：能够掌握X-scan 3.3扫描工具的使用能够掌握PGP加密软件的使用能够掌握ISA Server 2004防火墙的使用共一百零二页5.1 黑客攻击常用(chn yn)的步骤5.1.1网络(wnglu)黑客概述黑客，英文名为Hacker，是指对计算机信息系统进行非授权访问的人员。人们通常认为黑客是指在计算机技术上有一定特长，并凭借自己掌握的技术知识，采

2、用非法的手段逃过计算机网络系统的存取控制，而获得进入计算机网络进行未授权的或非法的访问的人。共一百零二页5.1.2 黑客攻击的目的(md)及步骤1. 黑客攻击的目的（1）窃取(qiq)信息。（2）获取口令。（3）控制中间站点。（4）获得超级用户权限。共一百零二页2. 黑客攻击的步骤(bzhu)（1）攻击前奏：锁定目标、了解目标的网络结构、搜集系统信息、利用信息服务（2）实施攻击：控制目标系统、拒绝服务攻击（3）巩固控制：清除记录和留下后门(humn)。（4）继续深入：窃取主机上的各种敏感信息共一百零二页5.1.3 常用(chn yn)的黑客攻击方法1. 端口扫描（1）扫描器的定义(dngy)

3、（2）扫描器的工作原理 （3）扫描器的功能 共一百零二页2. 口令(kulng)破解（1）猜解简单口令（2）字典攻击（3）暴力猜解共一百零二页3. 特洛伊木马先通过一定的方法把木马执行文件(wnjin)复制到被攻击者的电脑系统里当服务端程序在被感染的机器上成功运行以后，攻击者就可以使用客户端与服务端建立连接，并进一步控制被感染的机器。共一百零二页（1） 特洛伊木马的工作(gngzu)原理 木马服务端程序(chngx)的植入。木马将入侵主机信息发送给攻击者。木马程序启动并发挥作用。共一百零二页（2）特洛伊木马程序的存在(cnzi)形式 1）Win.ini：run=、load=项目(xingm)中

4、的程序名。2）System.ini：Shell=Explorer.exe项后的程序名。3）注册表：Run项中的程序。共一百零二页（3） 特洛伊木马的特性(txng) 1）隐蔽性2）自动运行性3）功能的特殊性4）自动恢复功能5）能自动打开(d ki)特别的端口共一百零二页（4）特洛伊木马的入侵(rqn) 1）集成到程序中 2）隐藏在配置文件中 3）潜伏在Win.ini中 4）伪装在普通文件中 5）内置到注册表中 6）在System.ini中藏身 7）隐形(yn xn)于启动组中 8）隐蔽在Winstart.bat中 9）捆绑在启动文件中 10）设置在超链接中 共一百零二页4. 缓冲区溢出(y c

5、h)攻击（1） 缓冲溢出攻击的原理指的是一种系统攻击的手段，通过(tnggu)往程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。共一百零二页（2）缓冲区溢出(y ch)攻击的方法 1）植入法2）利用已经存在的代码共一百零二页（3）缓冲区溢出攻击(gngj)的防范技术 1）编写正确的代码(di m)2）非执行的缓冲区3）数组边界检查4） 程序指针完整性检查共一百零二页5. 拒绝服务攻击(gngj)（1）拒绝服务攻击原理 利用TCP/IP中的某种漏洞(ludng)，或者系统存在的某些漏洞(ludng)，对目标系统发起大规模的攻击，使

6、攻击目标失去工作能力，使系统不可访问因而合法用户不能及时得到应得的服务或系统资源共一百零二页（2）拒绝服务攻击(gngj)分类 1）死亡(swng)之Ping2）SYN Flood3）land攻击4）Smurf攻击5）Teardrop攻击6）UKP Flood拒绝服务攻击共一百零二页（3）分布式拒绝服务攻击(gngj) 1）分布式拒绝服务攻击概述(i sh)2）被分布式拒绝服务攻击时的现象3）分布式拒绝服务攻击的原理共一百零二页（4） 分布式拒绝服务攻击(gngj)的防范1） 在服务上关闭不必要的服务2）在防火墙方面，禁止对主机(zhj)的非开放服务的访问3）在路由器方面，使用访问控制列表(A

7、CL)过滤4）SP/ICP要注意自己管理范围内的客户托管主机不要成为傀儡机5）骨干网络运营商在自己的出口路由器上进行源IP地址的验证共一百零二页6. 网络(wnglu)监听（1）网络监听的基本原理 1）网络监听 用来监视网络的状态(zhungti)、数据流动情况以及网络上传输的信息等2）在局域网实现监听的基本原理 共一百零二页（2）网络监听的简单实现(shxin) （3）网络监听的检测 1）用正确的IP地址和错误的物理地址Ping2）向网上发大量不存在的物理地址的包3）使用反监听工具如Antisniffer等进行检测共一百零二页（4） 对网络(wnglu)监听的防范措施 1）从逻辑或物理上对网

8、络分段 2）以交换式集线器代替(dit)共享式集线器 3）使用加密技术 4）划分VLAN 共一百零二页5.1.4 防黑措施(cush)1. 防范黑客入侵的措施（1） 安全口令（2） 实施存取控制（3） 确保数据的安全（4） 定期分析系统日志（5） 不断完善服务器系统的安全性能（6） 进行动态(dngti)站点监控（7） 用安全管理软件测试自己的站点（8） 做好数据的备份工作（9） 使用防火墙 共一百零二页2. 防范黑客(hi k)入侵的步骤 （1）选好操作系统 （2）补丁升级 （3）关闭无用的服务 （4）隐藏IP地址 （5）查找本机漏洞(ludng) （6）防火墙软件保平安 共一百零二页5.2

9、信息(xnx)加密技术5.2.1 加密技术概述(i sh)图5-2 加密技术示意图图5-3 加密和解密的一般过程共一百零二页5.2.2对称(duchn)加密技术加密密钥与解密密钥是相同(xin tn)的计算开销小，加密速度快。确保密钥安全交换的问题，无法鉴别贸易发起方或贸易最终方，也不能保证信息传递的完整性。图5-4对称密码技术图共一百零二页5.2.3 非对称加密技术加密密钥可以公开(gngki)，而只需秘密保存解密密钥即可缺点是计算量大，加密速度慢。图5-5非对称密码(m m)技术如图共一百零二页表5-1对称(duchn)加密技术与非对称(duchn)加密技术对比表对比项目对称加密技术非对称

10、加密技术技术描述在对数据加密的过程中，使用同样的密匙进行加密和解密 公开密匙/私有密匙使用相互关联的一对算法对数据进行加密和解密常见加密算法DES、IDEARSA共一百零二页5.2.4 PGP加密(ji m)软件基于RSA公匙加密体系的邮件加密软件PGP包含(bohn)：一个对称加密算法（IDEA）、一个非对称加密算法 （RSA）、一个单向散列算法（MD5）以及一个随机数产生器（从用户击键频率产生伪 随机数序列的种子）。共一百零二页5.3 防火墙技术(jsh)1. 网络防火墙基本概念（1）什么是防火墙为了防止林中的山火把房子烧毁，每座房子在其周围用石头砌一座墙作为(zuwi)隔离带，这就是本意

11、上的防火墙。共一百零二页网络(wnglu)防火墙指在两个网络之间加强访问控制的一整套装置，即防火墙是构造在一个可信网络(一般指内部网)和不可信网络(一般指外部网)之间的保护装置，强制所有的访问和连接都必须经过这个保护层，并在此进行连接和安全检查。只有(zhyu)合法的数据包才能通过此保护层，从而保护内部网资源免遭非法入侵。共一百零二页（2）与防火墙相关(xinggun)概念1）主机：2）堡垒(boli)主机：3）双宿主主机：4）包：5）包过滤：6）参数网络：7）代理服务器：共一百零二页2网络(wnglu)防火墙的目的与作用（1）构建网络防火墙的主要目的1）限制访问者进入一个被严格控制的点。2）

12、防止进攻者接近防御设备。3）限制访问者离开(l ki)一个被严格控制的点。4）检查、筛选、过滤和屏蔽信息流中的有害服务，防止对计算机系统进行蓄意破坏。共一百零二页（2）网络防火墙的主要作用1）有效地收集和记录互联网上的活动和网络误用情况。2）能有效隔离网络中的多个网段，防止一个网段的问题传播到另外网段。3）防火墙作为一个安全检查站，能有效地过滤、筛选和屏蔽(pngb)有害的信息和服务。4）防火墙作为一个防止不良现象发生的“警察”，能执行和强化网络的安全策略。共一百零二页5.3.1 防火墙的类型(lixng)包过滤型；代理服务器型；电路(dinl)层网关；混合型；应用层网关；自适应代理技术共一百

13、零二页1. 包过滤(gul)型防火墙一般安装在路由器上，工作在网络层一般允许网络内部的主机直接(zhji)访问外部网络，而外部网络上的主机对内部网络的访问则要受到限制。简单、方便、速度快、透明性好，对网络性能影响不大安全性较差。共一百零二页2. IP级包过滤(gul)型防火墙对每一个到来的报文根据其报头进行过滤，按一组预定义的规则来判断该报文是否可以继续转发，不考虑报文之间的前后关系(gun x)。这些过滤规则称为Packet Profile。共一百零二页案例(n l)：设网络/16不愿其他因特网主机访问其站点；但它的一个子网/24和某大学/16有合作项目，因此允许该大学访问该子网；然而/24

14、是黑客天堂，需要禁止，为此在网络防火墙上设置(shzh)表5-3所示规则。共一百零二页注：指任何任意(如所指的表示为任意的协议类型)，其他的类推。注意这些规则之间并不是互斥的，因此要考虑顺序。另外这里建议(jiny)的规则只用于讨论原理，因此在形式上并非是最佳的。表5-3 规则(guz)一DirectionTypeSrcPortDestPortAction1In*/24*/16*Deny2Out*/16*/24*Deny3In*/16*/24*Allow4Out*/24*/16*Allow5Both*Deny共一百零二页（2）SMTP处理(chl)SMTP是一个(y )基于TCP的服务，服务器

15、使用端口25，客户机使用任何大于1023的端口。如果防火墙允许电子邮件穿越网络边界DirectionTypeSrcPortDestPortAction1InTCP外部1023内部25Allow2OutTCP内部25外部1023Allow3OutTCP内部1023外部25Allow4InTCP外部25内部1023Allow5Both*Deny共一百零二页（3） HTTP处理(chl)HTTP是一个基于TCP的服务，大多数服务器使用端口80，也可使用其他非标准端口，客户机使用任何(rnh)大于1023的端口。如果防火墙允许WWW穿越网络边界DirectionTypeSrcPortDestPortA

16、ction1InTCP外部1023内部80Allow2OutTCP内部80外部1023Allow3OutTCP内部1023外部80Allow4InTCP外部80内部1023Allow5both*Deny共一百零二页3. 代理服务器型防火墙一个代理(dil)服务器和一个代理(dil)客户。代理服务器是一个运行代理服务程序的双宿主主机代理客户是普通客户程序共一百零二页4. 其他(qt)类型的防火墙（1）电路层网关（2）混合型防火墙（3）应用层网关（4）自适应(shyng)代理技术共一百零二页表5-6 各种防火墙性能(xngnng)比较 类型性能 包过滤应用网关代理服务电路层网关自适应代理技术工作层

17、次网络层应用层应用层网络层网络层或应用层效率最高低最低高自适应安全最低高最高低自适应根本机制过滤过滤代理代理过滤成代理内部信息无无有有有高层数据理解无有有无有支持应用所有标准应用(易扩展)标准应用(易扩展)所有标准应用(易扩展)UDP支持无有有无有共一百零二页5.3.2 防火墙设计(shj)的安全要求与准则1. 防火墙设计的安全要求（1）应由多个构件(gujin)组成（2）能抵抗网络黑客的攻击（3）一旦失效、重启动或崩溃，则应完全阻断内、外部网络站点的连接（4）应提供强制认证服务（5）对内部网络应起到屏蔽作用共一百零二页2. 防火墙安全策略基本准则（1）一切(yqi)未被允许的访问就是禁止的。

18、（2）一切未被禁止的访问就是允许的。共一百零二页5.3.3典型(dinxng)的防火墙结构（1）使用多堡垒主机。（2）合并内部路由器与外部路由器。（3）合并堡垒主机与外部路由器。（4）合并堡垒主机与内部路由器。（5）使用多台内部路由器。（6）使用多台外部路由器。（7）使用多个周边网络。（8）使用双重宿主(szh)主机与屏蔽子网。共一百零二页目前(mqin)典型的防火墙结构图5-6 典型(dinxng)防火墙结构共一百零二页5.3.4 创建(chungjin)防火墙步骤1. 制定安全策略2. 搭建安全体系结构3. 制定规则(guz)次序4. 落实规则集5. 注意更换控制6. 做好审计工作共一百零

19、二页实训一 X-scan 3.3扫描(somio)工具的使用【实训条件】1. 硬件环境要求：CPU：至少550 MHz，最多支持四个CPU；内存：至少256 MB；硬盘空间：150 MB以上，不含缓存使用的磁盘空间。2. 软件环境要求：操作系统：Windows Server 2003 或 Windows 2000 Server 操作系统。X-scan3.3软件。3. 网络环境：每台主机联入局域网；局域网内必须有一台服务器模拟(mn)为电子商务网站。共一百零二页【实训内容(nirng)】1. 使用(shyng)X-scan3.3检测系统漏洞。2. 使用X-scan3.3扫描系统端口。3. 使用X

20、-scan3.3检测系统用户以及共享信息。共一百零二页【实训步骤(bzhu)】1. 使用X-scan3.3检测(jin c)系统漏洞1）打开Xscan_gui.exe，在菜单栏中选择设置，首先在检测范围中设置要扫描的主机IP地址，也可以设置IP地址范围，如图5-7所示。图5-7 设置检测范围 共一百零二页（2）选择扫描(somio)参数，弹出扫描(somio)参数设置框，然后在全局设置中选择扫描(somio)模块，在扫描(somio)模块选中“IIS编码/解码漏洞”和“漏洞检测脚本”，如图5-8所示。 图5-8 选择扫描(somio)模块共一百零二页（3）全局设置中的其它选项可以(ky)按照默

21、认，然后展开插件设置，选择“漏洞检测脚本设置”，如图5-9所示。（4）用户可以根据自己需要扫描的信息来选择脚本，所以取消全选，然后点击选择脚本，在出现的脚本选择框中选择需要检测的脚本，如图5-10所示。 图5-9设置(shzh)插件 图5-10 选择漏洞脚本文件共一百零二页（5）选择好后点击两次确定退出(tuch)扫描设置。然后点击开始扫描，如图5-11所示。（6）扫描完成后会生成一个报告并以网页形式显示在IE浏览器中，如图5-12所示。 图5-11 检测(jin c)过程 图5-12检测报告共一百零二页2. 使用X-scan3.3扫描(somio)开放的端口（1）打开X-scan3.3主界面

22、(jimin)，选择设置-扫描参数，在弹出的设置框中选择检测范围，然后输入要检测的主机地址或者某个网段地址范围，然后展开全局设置，在全局设置下选择“扫描模块”，选中“开放服务”，如图5-13所示。（2）展开插件设置，在端口设置中输入需要检测的端口，这里默认设置好了一些常用的服务端口，所以可以不用进行设置，如图5-14所示。 图5-13选择扫描模块 图5-14设置端口共一百零二页（3）然后点击确定返回到主界面(jimin)，点击开始扫描，如图5-15所示。（4）扫描完成后查看生成的报告，如图5-16所示。 图5-15扫描(somio)过程 图5-16检测报告共一百零二页3. 使用(shyng)X

23、-scan3.3检测系统用户以及共享信息（1）打开主界面，选择设置-扫描模块，在弹出的设置界面选择全局设置-扫描模块，然后在右边列表中选中“NT-Server弱口令”、“NetBios信息”、“SNMP信息”、“远程操作系统”这三项（2）设置完扫描模块后，选择插件设置，在SNMP相关设置中选择“获取(huq)WINS用户列表”，再在NETBIOS相关设置中选择要检测的选项，如图5-18所示。 图5-17选择扫描模块 图5-18设置NETBIOS信息共一百零二页（3）设置完成后点击确定(qudng)，在主界面选择菜单栏中的文件-开始扫描来扫描主机，如图5-19所示。（4）从生成的报告中可以看到主

24、机的安全信息，如图5-20、5-21、5-22所示。共一百零二页 图5-19扫描过程 图5-20检测(jin c)报告 图5-21扫描(somio)结果 图5-22扫描结果图5-21扫描结果 图5-22扫描结果共一百零二页实训二 PGP加密(ji m)软件的使用【实训条件】1. 硬件环境要求：CPU：至少550 MHz，最多支持(zhch)四个CPU；内存：至少256 MB；硬盘空间：150 MB以上，不含缓存使用的磁盘空间。2. 软件环境要求：操作系统：Windows Server 2003 或 Windows 2000 Server 操作系统。 PGP软件。3. 网络环境：每台主机联入局域

25、网； 共一百零二页【实训内容(nirng)】1. 了解电子邮件加密软件(run jin)。2. 掌握其使用方法，实现电子邮件的加密解密过程。共一百零二页【实训步骤(bzhu)】1加密软件PGP安装（1）运行PGP安装程序“setup.exe”首先安装程序会对系统进行检测，都符合安装要求后，就到安装向导的欢迎(hunyng)界面，如图5-23所示。 （2）和其他软件一样，下一步也是使用协议，必须接受协议，再下一步是软件的介绍，看下就可以按下一步继续。 （3）再下面一步输入用户信息，如图5-24所示。 图5-23 PGP安装向导欢迎界面 图5-24 PGP安装向导用户信息界面共一百零二页（4）正确

26、输入后按下一步，下面一步是安装位置选择和别的软件一样，选择一个目标地址和按下一步继续安装。再下一步是需安装的模块选择，如图5-25所示，默认即可。（5）选好之后按下一步继续安装，下面一步是安装前的最后一步，陈列出了之前(zhqin)几步设置的信息如果都无误，按下一步开始安装。（6）安装完成后，如图5-26所示，安装向导的完成界面。 图5-25PGP安装(nzhung)向导安装(nzhung)模块选择 图5-26PGP安装向导完成界面共一百零二页2生成(shn chn)密钥（1）进入创建密钥向导窗口(chungku)，按下一步，在窗口(chungku)中输入姓名和Email地址，如图5-27所示

27、。（2）下一步是选择加密类型，我们选“RSA”，如图5-28所示。 图5-27输入用户信息图5-28加密类型选择窗口共一百零二页（3）下一步(y b)选择密钥长度，我们选2048位，如图5-29所示。（4）再下一步是定义密钥过期时间，根据需要选择即可，再下一步输入私钥，如图5-30所示，这里注意点输入是不回显的。 图5-29密钥长度(chngd)选择图5-30输入私钥共一百零二页（5）按下一步，就是一个创建过程(guchng)，然后就能完成密钥创建了。完成之后，在密钥的管理窗口里就会有个刚刚创建的密钥，如图5-31所示。图5-31密钥管理(gunl)窗口共一百零二页3导出、导入密钥（1）打开(

28、d ki)密钥管理窗口，右击要导出的密钥，选择“export”菜单，如图5-32所示。（2）然后选择保存的位置即可，如图5-33所示。 图5-32密钥导出图5-33密钥保存(bocn)位置共一百零二页4密钥导入（1）如图5-34所示，在菜单栏的“keys”菜单(ci dn)下有个“Import”菜单，点击这个菜单。（2）点这个菜单后，找到密钥所在的位置，选择密钥即可，如图5-35所示。 图5-34密钥导入图5-35选择(xunz)密钥共一百零二页5文件(wnjin)加密（1）PGP软件可以对文件进行了加密，操作如下，首先(shuxin)打开PGPtools工具栏，选择第二个图标为加密，如图5-

29、36所示。图5-36 选择加密图标共一百零二页（2）选择一个加密文件，打开文件，可以看到加密前文件的内容(nirng)，如图5-37所示。（3）打开加密图标，选择需要加密的文件，如图5-38所示。 图5-37打开(d ki)测试文件图5-38 选择测试文件共一百零二页（4）选择相应的文件后，要求选择用于加密文件的密钥，如图5-39所示。（5）选取加密密钥后，文件被加密，加密后会生成一个密文(m wn)，文件加密完成，如图5-40所示。 图5-39选择(xunz)加密密钥图5-40 生成加密后的文件共一百零二页（6）解密(ji m)，选择解密(ji m)图标，如图5-41所示。图5-41 选择(

30、xunz)解密图标共一百零二页（7）选择(xunz)需要解密的文件，如图5-42所示。（8）输入解密密钥，如图5-43所示。 图5-42 选择需要(xyo)解密的文件图5-43输入解密密钥共一百零二页（9）解密完成后，生成一个(y )文件，如图5-44所示。（10）打开解密后的文件，对比加密前的文件，解密过程完成，如图5-45所示。 图5-44生成解密(ji m)文件图5-45 打开解密后的文件共一百零二页6. 文件(wnjin)签名（1）选择(xunz)签名图标，如图5-46所示。图5-46选择签名图标共一百零二页（2）选择需要签名(qin mng)的文件，如图5-47所示。（3）选择签名的

31、用户，并输入私钥，如图5-48所示。 图5-47选择(xunz)签名文件图图5-48 输入私钥密码共一百零二页（4）完成签名后，生成一个签名文件，如图5-49所示。（5）签名解密(ji m)，选择解密(ji m)图标，如图5-50所示。 图5-49 生成(shn chn)签名文件图5-50选择解密图标共一百零二页（6）选择(xunz)签名文件，如图5-51所示。（7）完成解密后，可以看到这个文件是谁进行了的签名，如图5-52所示。 图5-51 选择(xunz)签名文件图5-52 生成签名记录共一百零二页7加密(ji m)邮件（1）如图5-53所示，为未加密的邮件，我们点击工具栏上的“Encry

32、pt（PGP）”按钮，然后点击发送。（2）点击发送后，会让用户选择(xunz)加密的密钥，选择(xunz)刚刚创建的密钥进行加密，如图5-54所示。 图5-53未加密邮件图5-54选择加密密钥共一百零二页8邮件(yujin)解密（1）打开收到的加密邮件，如图5-55所示，为未解密(ji m)的邮件。（2）点击工具栏上的“decrypt PGP message”按钮，来解密，如图5-56所示，正确输入私钥来解密。图5-55未解密邮件图5-56解密邮件共一百零二页（3）如图5-57所示为解密后的邮件(yujin)原文。图5-57解密(ji m)后的邮件原文共一百零二页实训三 ISA Server

33、2004【实训条件】1. 硬件环境要求：CPU：至少(zhsho)550 MHz，最多支持四个CPU；内存：至少256 MB；硬盘空间：150 MB以上，不含缓存使用的磁盘空间。2. 软件环境要求：操作系统：Windows Server 2003 或 Windows 2000 Server 等操作系统。ISA Server 2004安装光盘。3. 网络环境：至少有两台主机构成局域网，相互间能连通，并能访问互联网。共一百零二页【实训内容(nirng)】在域环境中配置ISA防火墙实现(shxin)以下三条策略：1. 允许内部网络客户访问外部网络（Internet）。.2. 禁止内部用户访问某些网站

34、。共一百零二页【实训步骤(bzhu)】1. ISA Server 2004安装（1）运行ISA Server 2004安装光盘(un pn)根目录下的ISAAutorun.exe开始ISA Server 2004的安装，如图5-58所示。（2）点击“安装 ISA Server 2004”，出现安装界面，如图5-59所示。 图5-58 ISA server 2004安装界面1图5-59ISA server 2004安装界面2共一百零二页（3）点击“下一步”，在授权画面上选择“我接受许可协议中的条款”，然后点击“下一步”。在客户信息页，输入个人信息和产品序列号，点击“下一步”继续。在安装类型(li

35、xng)页，如果你想改变ISA Server 的默认安装选项，可以点击“自定义”，然后点击“下一步”，如图5-60所示。（4）在“自定义”页你可以选择安装的组件，默认情况下，会安装防火墙服务器和ISA 服务器管理，而防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序，需要先在ISA Server 2004 服务器上安装IIS 6.0 SMTP服务。点击“下一步”继续，如图5-61所示。共一百零二页（5）添加内部网络。内部网络和ISA Server 2000中使用的LAT 已经大大不同了。在ISA Server 2004中，内部网络定义为ISA Se

36、rver 2004必须进行数据通信的信任的网络。防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信，如图5-62所示。（6）在地址(dzh)添加对话框中，点击“选择网卡”，出现“选择网卡”对话框，如图5-63所示。 图5-62 添加内容(nirng)网络 图5-63 选择网卡共一百零二页（7）在内部网络地址对话框中点击(din j)“确定”，如图5-64所示。（8）完成内部网络页的设置，如图5-65所示。 图5-64 设置(shzh)内部网络地址 图5-65 设置内部网络地址共一百零二页（9）在“可以(ky)安装程序了”页点击安装，如图5-66所示。图5-66设置(s

37、hzh)完成 共一百零二页2. 允许内部网络(wnglu)客户访问外部网络(wnglu)（Internet）（1）查看ISA Server 2004默认(mrn)的访问策略，如图5-67所示。 图5-67 查看ISA Server 2004默认策略共一百零二页（2）以下为该ISA Server 2004的内部策略，如图5-68所示。（3）新建一条访问规则：在防火墙策略上点击右键，指向(zh xin)“新建”，然后点击“访问规则”，如图5-69所示。 图5-68 ISA Server 2004默认(mrn)策略 图5-69 新建访问规则共一百零二页（4）在新建访问规则向导(xingdo)页的访问

38、规则名称文本框中，输入“访问规则-允许访问”，然后点击“下一步”。然后在“规则操作”页，选择“允许”，点击“下一步”，如图5-70、图5-71所示。 图5-70新建访问(fngwn)规则向导1 图5-71 新建访问规则向导2共一百零二页（5）在协议页，选择“所有出站通讯”，点击“下一步”，如图5-72所示。（6）在访问规则源页，点击“添加(tin ji)”，在“添加网络实体”对话框，双击“内部”，然后点击“关闭”，点击“下一步”，如图5-73所示。 图5-72 选择(xunz)出站通讯 图5-73 添加网络实体1共一百零二页（7）在访问规则目标页，点击“添加”，在“添加网络实体”对话框，双击“

39、外部”，然后点击“关闭”，点击“下一步”，如图5-74所示。（8）在用户集页，接受(jishu)默认的所有用户，点击“下一步”，如图5-75所示。（9）在完成新建访问规则向导页，点击“完成”。 图5-74 添加网络(wnglu)实体2 图5-75 添加网络实体3共一百零二页3. 禁止内部用户访问某些(mu xi)网站（1）首先在防火墙策略右边(yu bian)的工具箱里面点开“网络对象”，然后右击“计算机集”，然后选择“新建计算机集”，如图5-76所示。（2）在“新建计算机集规则元素”对话框上点击“添加”，然后选择“计算机”，如图5-77所示。 图5-76 新建计算机集 图5-77 添加计算机

40、共一百零二页（3）在“添加计算机规则元素”对话框，输入该计算机名字和IP地址，点击(din j)”确定”，如图5-78所示。（4）建立好计算机群，如图5-79所示。 图5-78计算机网络设置(shzh) 图5-79 建立计算机集共一百零二页（5）为需要为禁止用户访问的网站建立一个域名集（以sohu网站为例），同样在“网络对象”中，右击“域名集”，选择“新建域名集”，如图5-80所示。（6）在“新建域名集策略(cl)元素”对话框中，点一次“新建”按钮，然后把域名修改为“*.”，然后点击“确定”，如图5-81所示。 图5-80设置禁止(jnzh)访问的域名图5-81设置新建域名集策略共一百零二页（7）在访问规则源页，点击“添加