ISA及防火墙调试优化

1、ISA及防火墙调试优化,苏 亮 2009-04,集 团 现 状,集团：中兴us2010双机热备+ISA 二级公司：中兴us550+ISA 三级公司：中兴us120或juniper ssg-5或网神F3,防火墙（双机）,Internet接入switch,核心三层交换机,SDH专线,路由器,路由器,DDOS,九州通网络拓朴,三层交换机,应用服务器,终端,防火墙,2MB光纤,30MB光纤,10MB光纤,VPN,应用服务器,终端,集团总部,二级公司,三级公司,VPN,VPN,应用服务器,终端,防火墙,VPN,双三层交换机冗余,汇聚层交换机,三层交换机,防火墙/VPN,外部服务器,DMZ区,说明： 一级

2、骨干网络； 二级内部网络； 三级内部网络； 四级内部网络。,双防火墙冗余,双核心交换机冗余,汇聚层交换机,10MB光纤,ISA2004,硬件防火墙的调试,衡量硬件防火墙性能的指标,1、吞吐量 :在不丢包的情况下防火墙能够达到的最大速率。 2、最大并发连接数:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数。 3、每秒新建连接数 4、最大策略数 5、VPN性能（3DES+SHA-1/AES性能） 6、VPN 通道数 7、接口(数量、类型) 8、附加功能(IP及端口映射、动态路由、双机、WEB过滤、IPS、DDOS、时间限制、BT限制、流量管理等） 9、日志功能 10、操作管理性 1

3、1、售后支持,防火墙调试步骤,1、规划网络结构 2、统计和规划上网需求:有那些所有人都允许上的网站、那些不允许访问的网站、有那些领导允许上网、有那些用户带限制条件的上网、那些服务要映射到外网、VPN连接需求 3、学习说明文档 4、设管理IP并做测试 5、策略配置 6、硬件安装及相关设备的配合调试 7、排错及正式使用 8、日常维护,什么是NAT（网络地址转换）,网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet接入方式和备种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐

4、藏并保护网络内部的计算机。 借助于NAT，私有(保留)地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。 NAT将自动修改IP报文头中的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。,NAT实现方式,静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址

5、转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。,NAT策略截图（中兴防火墙）,如何做端口映射,1、保证需要映射的服务在内网访问正常，明确使用的IP及端口 2、要使用的外网IP（只能是硬件防火墙可以使用的）及对外的端口 3 、定义该端口并做端口映射 4 、做允许访问该服务的NAT规则 5 、测试

6、,端口映射策略截图（中兴防火墙）,防火墙配置使用技巧,1 、单独配置一个接口做管理口 2 、只允许可管理 IP能直接访问防火墙 3 、VPN和阻止策略放在最前面 4、尽量定义一组对象并对组做策略 5 、监控防火墙的CPU及内存使用率、连接数是否有 异常，熟悉并利用防火墙的各类日志信息进行相应管理 6 、对配置经常备份,防火墙相关网络问题判断,最常见问题：内网不能上网或上网不稳定可能原因：1 、防火墙2 、外网掉线3 、交换机问题4 、内网有病毒5 、线路问题 直接连一台笔记本到防火墙内网接口，并配置为可以上网，测试上网是否正常,ISA防火墙的调试,主要功能,Microsoft Internet

7、 Security and Acceleration (ISA) Server 2004（简称为ISA Server 2004），是微软推出的路由级网络防火墙软件，具有网络防火墙、上网代理、Web缓存、VPN连接等强大功能，能帮助企业组织控制在因特网及其内部网络间流通的信息，同时帮助企业加快网络访问的速度，加强管理人员对用户的上网控制。,ISA 2004的部署,配置ISA的基本步骤,1 确定网络 (内网外网DMZ.) 2 定义网络规则(路由/NAT） 3 定义防火墙策略,ISA客户端分类,ISAServer2004支持三种客户端类型： “防火墙客户”是安装并启用了“防火墙客户端”软件的客户端计

8、算机。 “安全网络地址转换 (SecureNAT) 客户”是没有安装“防火墙客户端”和配置Web代理的客户端计算机。 “Web 代理客户”是任何被配置为使用 ISA Server 的客户端 Web 应用程序。,不同 ISA 客户端之间的对比,ISA防火墙优化方法及使用技巧,1、配置客户作为Web代理客户或者防火墙客户 2、配置ISA防火墙使用位于自己保护的网络中的DNS服务器；不要在多个网络适配器上配置相同的DNS服务器 3、了解网络后面的网络场景。(在你的ISA防火墙的同个网络适配器后具有多个网络的情况) 4、提前对如何在你的网络中部署ISA防火墙进行规划：确认使用的协议、确认基于用户/组的

9、访问策略、确认日志记录的需求、 5、使用DMZ网络来区分安全区域,ISA防火墙优化方法及使用技巧,6、不要在ISA防火墙安装其他的服务 7、使用Windows server 2003的安全配置向导或者按照ISA防火墙强化指南来对服务器进行安全强化。（不要在Windows server 2000上安装ISA防火墙） 8、 ISA防火墙只支持一个默认网关。如果ISA防火墙需要访问不能通过默认网关访问的远程子网（如网络后面的网络），你可以通过手动添加路由来实现。 9、在ISA防火墙的外部接口上禁止NetBIOS over TCP/IP 10、在ISA防火墙的外部网络适配器上禁止服务器服务。 11、不

10、要通过ISA防火墙来浏览网页，也不要禁止ISA防火墙上的增强的IE安全性。,ISA防火墙优化方法及使用技巧,12、配置对本地地址进行直接访问 13、在安装ISA防火墙之前对操作系统进行更新在安装ISA防火墙之前，你应该把这台将要安装ISA防火墙的服务器放置在安全的内部网络中进行更新，当一切补丁都更新完成后，再安装ISA防火墙。只有当ISA防火墙配置完成后，你才能将这台服务器直接连接到Internet。 14、修改ISA防火墙网络适配器的名称 15、在Windows XP SP2客户环境下使用DHCP部署WPAD 16、不要允许访问本地主机网络 17、配置连接限制常规节点下的定义连接限制中配置连接限制,部署ISA防火墙策略的守则,当ISA的行为和你的要求不一致时，请检查你的配置而不要埋怨ISA。 针对相同用户或含有相同用户子集的访问规则，拒绝的规则一定要放在允许的规则前面。 在不影响防火墙策略执行效果的情况下，请将针对所有用户的规则放在前面。 尽量简化你的规则，执行一条规则的效率永远比执