第4章用访问策略配置Internet安全.docVIP

第4章 用访问策略配置Internet安全 4.1 用ISA Server创建访问策略 81 4.2 创建自定义的策略单元 86 4.3 配置协议规则 94 4.4 配置站点和内容规则 103 4.5 配置IP数据包筛选器 106 4.6 配置ISA Server以检测外部攻击和入侵 106 4.7 本章复习 106 本章概要 创建Internet安全策略需要考虑特定的网络配置和安全需要。安全需要可能会根据用户、计算机、源IP地址、目标IP地址、时期、协议、内容类型以及所要求的Web站点的不同而有所差别。要创建适合自己网络的访问策略，首先必须要了解ISA Server是如何处理客户请求的。然后，分别创建满足特定要求的策略单元，例如时间表和客户集等。接着，才能够开始配置访问策略的3种规则：协议规则、站点和内容规则，以及IP数据包筛选器。最后，为了防止有害的外部入侵破坏网络，可以选择启用防火墙的入侵检测功能。 先决条件 为了学习本章，您必须： 达到“前言”所列的要求。Server1配置为域控制器，IP地址为；Server2配置为该域中的一个成员，IP地址为。Server1必须建立到Internet的拨号连接。 完成本书第3章中所有的练习。 4.1 用ISA Server创建访问策略 ISA Server的一个主要功能就是将局域网连接到Internet中，并保护局域网免受外部信源的恶性内容的破坏。要定义适合自己网络的安全链接，可以用ISA Server来创建允许内部用户访问特定的Internet主机的访问策略。用户访问Internet的方式则由访问策略和路由规则一起决定。 本节学习目标 描述ISA Server如何处理传出请求 说明ISA Server处理来自防火墙的通过身份验证的用户和Web代理客户的请求所需要的 条件。 选择ISA Server的系统安全级别 估计学习时间：30 分钟 4.1.1 控制传出请求 ISA Server处理一个传出请求时，首先检测路由规则、站点和内容规则以及协议规则，以确定该访问是否得到规则许可。只有协议规则以及站点和内容规则都许可，同时没有一个规则明确地拒绝该请求时，它才能允许传出。ISA Server安装成防火墙模式或集成模式时，会激活一个预定义的站点和内容规则，允许对所有站点以及所有内容进行访问。但是，协议规则没有设置为默认状态的。 协议规则以及站点和内容规则可用于源客户地址集(IP地址范围)或者是请求某一对象的特定的用户或组。根据客户端类型安全网络地址转换客户端、防火墙客户端、以及Web代理客户端)和ISA Server配置的不同，ISA Server处理请求的方法也不相同。 对于一个传出请求，规则和数据包筛选器按如下次序处理： 1. 协议规则 2. 站点和内容规则 3. IP数据包筛选器 4. 路由规则或防火墙链式配置 图4.1所示为传出Web请求的处理流程图解。 ISA Server在检测其他规则或数据包筛选器之前，先检测协议规则。ISA Server允许请求的条件是：有一个协议规则明确地允许该请求，同时没有其他的协议规则明确地拒绝该请求。 检测完协议规则之后，ISA Server开始检测站点和内容规则。ISA Server允许该请求的条件是：有一个站点和内容规则明确地允许该请求，同时没有其他的站点和内容规则明确地拒绝该请求。 检测完站点和内容规则之后，ISA Server通过检测判断是否是特定配置了IP数据包筛选器来阻塞该请求。需要说明的是，IP数据包筛选器和协议规则以及站点和内容规则不同，它并不一定要特定配置来允许客户机的请求。 要点 就Internet访问，ISA Server计算机和客户端的行为有很大的区别。来自ISA Server计算机的请求，IP数据包筛选器允许其有完全的Internet访问权限。和ISA Server客户端不同的是，ISA Server计算机一旦配置了允许类型的协议规则以及站点和内容规则，就不再具备完全的Internet访问权限。不过， IP数据包筛选器是静态的，规则是动态的，所以一般情况下不应经常使用ISA Server计算机作Internet访问。因此，对于位于ISA Server之后的客户端，本书将重点介绍如何配置安全的Internet访问(关于配置IP数据包筛选器详见本章4.5节)。 图 4.1 处理访问请求 最后，ISA Server通过检测路由规则(如果是Web代理客户向对象提出请求)或者Firewall Chaining(防火墙链式)配置(如果是安全网络地址转换客户或防火墙客户向对象提出请求)，来决定如何为请求提供服务。 例如，假设您是以集