isa服务器的应用研究

isa服务器的应用研究

1.工作机制上的应用互联网上有一句谚语：我可以联系任何人。互联网世界的美丽在于我可以联系任何人。如何有效控制这种连接是每个处于Internet之中的企事业网络必须所面对的,从技术方法上讲防火墙技术是一种行之有效的方法。防火墙既可以分成针对个人用户的个人版和针对企业级应用的企业版;也可以分成硬件型的和软件型的;也有单机型的和网络型的。通常硬件型防火墙价格比较贵,而且在功能上一般只能对处于TCP/IP中的下三层数据进行筛选过滤,配置部署及集成应用时上也显得繁琐和容易出错;软件防火墙速度方面会逊色,但是一般可以针对应用层数据进行筛选。ISAServer作为一款微软公司产品与微软公司的网络操作系统,其集成度高,通过缓存等机制实现了访问速度的提高,通过访问规则和发布规则保障了企业内网和DMZ区域的安全,同时还能很容易地实现虚拟专用网和企业负载均衡等功能,并且与活动目录服务集成方便。本文主要探讨ISAServer的应用研究,并给出了具体的实现方案。2.网络关系定义ISAServer的全称为MicrosoftInternetSecurityandAccelerationServer,有两层含义:安全、加速。常见的应用版本有ISAServer2000、ISAServer2004、ISAServer2006,以及最新的TMG2010。本文中主要讨论的是ISAServer2006企业版,该版本功能实用性高,性能稳定。ISAServer中根据需要可以定义多个网络,如内网、外部、DMZ区域,ISAServer服务器本身也被定义成“本地主机”这个网络,同时还可以根据实际需要定义更多的网络。这些网络之间存在的关系称为网络关系,具体类型有NAT关系、路由关系。NAT关系即网络地址转换关系,一般用在当两个网络间访问时需要发生IP地址转换的场合,如私有IP地址转换为公共IP地址。而路由关系中两个网络间通信的数据是可以直接被路由的而不需要被转换。一般可以理解为NAT关系为单向的,路由关系为双向的。2.1服务器的访问规则ISAServer与网络操作系统如WindowsServer2003、WindowsServer2008、WindowsServer2008R2兼容性好。ISAServer的防火墙引擎就是工作在系统的内核模式。即使ISAServer被攻破了,致使服务器宕机,该防火墙引擎还能有效保障网络信息安全。在ISAServer中,通过访问规则来实现企业对企业外部服务器的访问。访问规则是防火墙策略的一种,主要用在网络关系为路由关系时实现两个网络间的互访;当网络关系为NAT关系的时候实现两个网络间的单向访问。具体是在定义访问规则时,首先需要确定网络并且确定各网络间的关系,然后可以通过右键单击“防火墙策略”,选择“新建”,再选择“访问规则”,如图2-1所示,然后根据向导分别设置访问规则名称、设置规则操作:允许或拒绝、设置该规则将影响的的协议(数据类型)、设置数据的发起源、设置数据的发起目标以及设置数据请求的发起者(用户集)。规则创建完毕还需要单击“应用”方可生效。通过发布规则可以实现外部对企业内部服务器的访问。对于一些中大型企业,通常有自己的服务器需要被Internet用户访问,此时就可以通过发布规则来实现,并且ISAServer中对于微软的相关技术如Exchange制定专门的发布规则,实施起来更加方便。具体在定义发布规则时,通过右键单击“防火墙策略”,选择“新建”,如图2-1所示,在该图中上面5个均为发布规则,并且可以分为两类:Web类型和非Web类型。微软公司为了发布其相关产品如Exchange邮箱、Sharepoint站点等,单独为其产品指定了发布向导。根据需要选择具体某种发布类型,然后同样是按照向导操作即可。对于发布Web类型的服务,还需要创建侦听器。2.2企业内部服务器存储型缓冲机sds软件防火墙的突出缺点就是网络访问速度不及硬件防火墙。ISAServer为了克服这一缺点,通过缓存的机制和负载均衡的机制来提高网络访问的速度。缓存通常有正向缓存、链式缓存、分布式缓存、反向缓存。正向缓存就是上面讲到的情形:在一定条件下可以提高内网对外网的响应速度;反向缓存与正向缓存相反:缓存的内容为公司内部服务器的内容,可以提高外网对公司内网服务器的响应速度;链式缓存则是,存在多台ISAServer,并且之间形成一个链式的请求;分布式缓存所缓存的内容是分布式地存在于多台服务器中。可通过“配置”列表中的“缓存”来实现,如图2-4所示,可以设置缓存的位置(位于哪个磁盘驱动器)以及缓存规则(缓存的时间多长等等)。负载均衡是通过多台ISAServer构成企业阵列来实现的,阵列中ISAServer共同承担任务,每台ISAServer所承担任务的分量根据CARP属性来设置,如图2-5所示,阵列中主机ID号为2的ISAServer承担50%任务。3.平台实现场景化部署基于上面的研究和讨论,接下来主要是以企事业单位中常见的应用场景给出具体实现方案。ISAServer部署的详细要求见安装光盘,现在一般服务器都能满足。需要注意的是:服务器需要两张以上的网卡。3.1实现内网成网方案某企业根据对各网络安全产品的调研,最终选择了ISAServer2006作为企业防火墙,企业拓扑图如图3-1所示,内网IP地址为/16网段,ISAServer含有两张网卡,内网卡地址为/16,外网卡IP地址由ISP提供(如果为ADSL上网,则不需要设置,开启ADSL链接即可)。本方案就是具体来说如何实现这一需求。首先在服务器上安装ISAServer,安装后默认是阻断企业内网对外的一切通信的,而访问Internet是企业的一个根本需求。确保企业内网计算机的网关为ISAServer的内网卡IP地址,为了管理方便可以通过配置企业内部的DHCP服务器来实现。然后创建防火墙策略(访问规则):规则操作选择允许,协议选择DNS、HTTP、HTTPS,访问规则源为内部,访问规则目标为外部,并且单击“应用”。设置完毕后,企业内网计算机即可访问Internet网站。如果想让内网访问其它类型服务如FTP,只需要在该规则中协议中添加相关协议即可。3.2部署方案见表1某企业根据企业需求,选择了ISAServer2006作为防火墙,企业拓扑图如图3-2所示,为三向外围结构:企业内部网络为活动目录域模式,网络DMZ区域中的Web需要被外部访问,内网中的ExchangeServer也需要被外部访问,同时ISAServer还承担了VPN服务角色,要求域用户中的市场部员工能通过该VPN登录到公司内网。企业网络IP地址规划如下:内网IP地址网段为/16,DMZ区域IP地址网段为/24,ISA服务器外网卡IP地址由ISP分配。本方案就是具体来说如何实现这一需求。部署过程如下:(1)在ISA服务器上安装ISAServer2006,然后根据“3向外围网络”模板向导进行设置,设置过程中会自动创建外围网络,并且修改名为“外围配置”的网络规则关系为“路由”,修改名为“外围访问”的网络规则关系为“NAT”;(2)创建Internet访问规则,使得内网用户能访问Internet,具体配置与“3.1实现对Internet的访问”中的配置相同;(3)创建ExchangeWeb客户端访问发布规则来发布位于公司内网中的ExchangeServer;(4)创建网络发布规则发布位于DMZ区中的Web服务器;(5)创建RADIUS服务器:在活动目录域内网的某台服务器(已加入域)上创建Internet验证服务,并且创建RADIUS客户端,该客户端IP地址指向ISA服务器的内网IP地址,并设置“共享的机密”;(6)创建VPN服务器:在“虚拟专用网络(VPN)”中选择“VPN客户端”,在“任务栏”中先定义地址分配,由于本企业网需求中要求活动目录域中的市场部员工能登陆该VPN服务器,所以需要设置RADIUS服务器IP及“共享的机密”(要求与步骤5中的设置的一致),然后“配置VPN客户端访问”设置“组”为市场部,最后“启用VPN客户端访问”;(7)授予市场部员工的拨入权限:在活动目录域服务器上打开“ActiveDirectory用户和计算机”为市场部员工逐一授予“允许拨入”的权限。至此创建完毕。4.实现并部署好生产生活服务器及服务对象ISAS