5ISA2006_网络防火墙.pptVIP

一、 Microsoft路由级网络防火墙Microsoft? Internet Security and Acceleration Server 内容提要 ISA2006介绍 ISA2006部署方案 利用ISA2006组网 ISA2006访问控制的配置 ISA2006服务器发布的配置 ISA2006VPN的配置 ISA2006 Bandwidth Splitter插件 一、 ISA2006简介 微软公司推出的一款重量级的网络安全产品 X86架构下最优秀的企业级路由软件防火墙 ISA特点 灵活的多网络支持 易于使用且高度集成的VPN配置 可扩展的用户身份验证模型 深层次的HTTP过滤功能 经过改善的管理功能 一、 ISA2006简介 相关概念 网络 是一个规则元素，它可以包含一个或多个 Internet 协议 (IP) 地址范围。 网络包含一台或多台计算机，并通常对应于物理网络。 内部网 单位内部的可信任的网络 外围网 单位内用于向外部提供服务的直通区域，一般是服务器区 外部网 单位以外的不信任的网络 VPN客户端网 远程接入方式进入的客户端组成的网络 被隔离的VPN客户端网 远程接入方式进入的由于没有满足条件而隔离的客户端组成的网络 网络规则 定义网络之间是否存在连接性以及定义何种类型的连接性 NAT 网络地址转化，网络之间通讯时ISA作NAT，它是单向的 路由 网络之间通讯时ISA进行路由，它是双向的 二、 ISA2006部署方案 二、 ISA2006部署方案 二、 ISA2006部署方案 二、 ISA2006部署方案 二、 ISA2006部署方案 二、 ISA2006部署方案 三、利用ISA2006组网举例 三、利用ISA2006组网举例 四、 ISA2006访问控制的配置 五、 ISA2006服务器发布的配置 六、 ISA2006 VPN的配置 六、 ISA2006 VPN的配置 六、 ISA2006 VPN的配置 六、 ISA2006 VPN的配置 七、 ISA2006 Bandwidth Splitter插件 七、 ISA2006 Bandwidth Splitter插件 江苏省市、县级教师网管人员培训 1．边缘防火墙（堡垒主机） * ISA Server 2006 使用两块网卡，一个连接“内部网络”，一个连接“外部网络”。 * “内部网络”代表单位的内部网络，使用私有IP地址。“本地主机”代表ISA Server 2006。“外部网络”代表Internet，使用公共IP地址。 * 配置简单，容易部署。 * 单点防护。 2．三向防火墙 * ISA Server 2006 使用三块网卡，一个连接“内部网络”，一个连接“外围网络”，一个连接“外部网络”。 * “内部网络”代表公司中不希望被Internet访问的网络资源，使用私有IP地址。“本地主机”代表ISA Server 2006。 “外围网络”（非军事化区，DMZ）代表公司中希望被Internet访问的网络资源（如：Web服务器，FTP服务器，邮件服务器），可以使用公共IP地址或私有IP地址。“外部网络”代表Internet，使用公共IP地址。 * 比“边缘防火墙”方案更安全。 * 单点防护。 3．背对背防火墙（Back to Back） * 有两台ISA Server 2006，一个作为“前端防火墙”，一个作为“后端防火墙”。 * “前端防火墙”的外网卡连接Internet，内网卡连接“外围网络”。 * “后端防火墙”的外网卡连接“外围网络”，内网卡连接“内部网络”。 * 多点防护，更安全。 确定网络拓扑类型 在服务器上安装相应的网卡并配置IP地址 选择部署方案 添加网络 网络-新建-网络，按向导建一个网络 添加网络规则 网络-新建-网络规则，按向导建网络规则，将新建网络和其它网络连接起来，按拓扑构建网络 防火墙策略- 新建-访问规则 按向导建立防火墙的访问规则 防火墙策略- 新建-xx发布规则 按向导建立网站等服务器的发布规则，使服务器可被外部网络直接访问 VPN的全称是 “虚拟专用网络”(Virtual Private Network)。它通过特殊的加密的通讯协议在Internet上建立一条专有的通讯线路，把位于不同地方的两个或多个企业内部网连接起来，使用起来就好比是一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。 ISA 服务器支持两种类型的 VPN 连接： 远程访问 VPN 连接 远程访问客户端可以建立连接到专用网络的远程访问 VPN 连接。ISA 服务器可以提供对 VPN 服务器所连接到的整个网络的访