ISA+防火墙部署与设置.ppt

ISA 防火牆部署與設置 一、ISA Server介紹 二、ISA Server的優點 三、ISA Server安裝 四、ISA的配置 一、ISA Server介紹 隨著互聯網應用的不斷發展，絕大多數企業都接入了互聯網或建立了自己的內部局域網，但企業在享受互聯網所帶來的方便、快捷的同時，也帶來了企業上網管理的煩惱： 1、如何禁止員工上班時間在網上看電影，用QQ聊天，玩遊戲？ 2、如何查看員工上班時間訪問了什麼網站？ 3、如何應對日益猖獗的病毒及駭客攻擊，保證企業內部資訊的安全？ 4、如何加快網路訪問速度？ 5、公司有眾多分支機搆，如何讓他們能夠通過 Internet 與總部安全地通信？等等…… ISA Server的出現 為了解決企業對網路管理和網路安全的需求，實現可管理的互聯網，微軟公司推出了企業級防火牆ISA Server 2004。作為最優秀的微軟平臺防火牆和最高效的緩存伺服器，ISA Server 2004能有效的幫助企業組織管理內部的互聯網訪問行為，為企業網路搭建了快速、安全、可管理的的上網通道，保護企業網路資源免受病毒、駭客及未授權訪問侵襲。 ISA 是什麼 Internet Security and Accleration Server 防火牆技術 緩存技術 二、ISA Server的優點 基於應用層的高級防護 目前互聯網上70%的WEB攻擊發生在應用層，而傳統防火牆只對資料包的包頭進行檢查，因此往往對成熟的應用層攻擊（如“緩衝區溢出”）無能為力。而ISA Server 2004是工作在應用層的，正是由於這個設計原理，它能檢查資料包裏面的資訊，有效防範基於應用層的攻擊。 傳統防火牆無法防範成熟的應用層攻擊 ISA 防火牆的防護 集成代理伺服器和緩存功能，實現快速訪問 三、ISA Server安裝 網路環境的配置: ISA Server作為一個路由級的軟體防火牆，要求管理員要熟悉網路中的路由設置、TCP/IP設置、代理設置等等，它並不像其他單機防火牆一樣，只需安裝一下就可以很好的使用。在安裝ISA Server時，你需要對你內部網路中的路由及TCP/IP設置進行預先的規劃和配置，這樣才能做到安裝ISA Server後即可很容易的使用，而不會出現客戶不能訪問外部網路的問題。 SNAT 客戶的TCP/IP配置要求： 必須和ISA Server的內部介面在同個子網；在此，我可以使用/24~54/24; 配置ISA Server的內部介面為默認閘道；此時默認閘道是; DNS根據你的網路環境來設置，可以使用ISP的DNS伺服器或者你自己在內部建立一台DNS伺服器；但是DNS伺服器是必需的 Web代理客戶 必須和ISA Server的內部介面在同個子網；在此，我可以使用/24~54/24; 默認閘道和DNS伺服器位址都可以不配置； 必須在IE的代理屬性中配置ISA Server的代理，默認是內部介面的8080埠，在此是:8080； 對於其他需要訪問網路的程式，必須設置HTTP代理（ISA SERVER），否則是不能訪問網路； 2. 多網路模型中的邊緣防火牆 3. 單網路適配器的環境 (2) 訪問策略 新建一條允許內部客戶訪問外部網路的所有服務的訪問規則： 在防火牆策略上點右鍵，指向“新建”， 然後點擊“訪問規則”。 在“新建訪問規則嚮導”的訪問規則名稱文本框中，輸入“Allow all outbound traffic”，然後點擊“下一步”。然後在“規則操作”而，選擇“允許”，點擊“下一步” 部屬防火牆策略的十六條守則 電腦沒有大腦。所以，當ISA的行為和你的要求不一致時，請檢查你的配置而不要埋怨 ISA。 只允許你想要允許的客戶、源位址、目的地和協議。仔細的檢查你的每一條規則，看規則的元素是否和你所需要的一致。 針對相同用戶或含有相同用戶子集的訪問規則，拒絕的規則一定要放在允許的規則前面。 當需要使用拒絕時，顯示拒絕是首要考慮的方式。 在不影響防火牆策略執行效果的情況下，請將匹配度更高的規則放在前面。 在不影響防火牆策略執行效果的情況下，請將針對所有用戶的規則放在前面。 儘量簡化你的規則，執行一條規則的效率永遠比執行兩條規則的效率高。 永遠不要在商業網絡中使用Allow 4 All 規則（Allow all users use all protocols from all networks to all networks), 這樣只是讓你的ISA形同虛設。 如果可以通過配置系統策略來實現，就沒有必要再建立自定義規則。 ISA的每條訪問規則都是獨立的，執行每條訪問規則時不會受到其他訪問規則的影響 永遠也不要允許任何網路訪問ISA本機的所有協議。內部網路也是不可信的。 SNAT客戶不能提交身份驗證資訊。所以，當你使用了身份驗