ISA防火墙在中小企业中的综合应用.doc

ISA防火墙在中小企业中的综合应用(上) 网络拓朴结构-->见下图: ??????????????????????????????????????? ? 正确配置网络基础结构: 配置网络基础结构: TCP/IP设置: 不同网络适配器必须连接到不同的网络? 只能配置一个默认网关? 多VLAN网络下的ISA防火墙配置-->使用Route add来添加到其他VLAN的路由? 使用添加网络适配器来添加网络地址范围-->保证其他VLAN和对应的网络适配器属于相同的网络? DNS: 内部网络中具有AD或其他的DNS服务-->配置使用内部的DNS服务器(DC)? 内部DNS服务器将针对其他域的DNS解析请求转发到ISP的DNS服务器? 内部网络中无AD或其他的DNS服务-->建立内部的缓存DNS服务器(推荐)? 配置客户使用ISP的DNS服务器?? 缓存DNS服务器: 通常指没有管理任何区域的DNS服务器-->缓存DNS解析请求并为其他客户服务? 具有转发功能的DNS服务器均具有缓存DNS解析记录的功能。缓存DNS解析记录的好处-->减少Internet连接上的DNS流量? 减少客户端DNS解析请求时延 ? 我来到一台计算机名称叫做florence的计算机? 现在我来添加到其他VLAN的路由? 通过开始--运行--输入cmd按确定来打开命令提示符? 在里面输入route add mask 54按回车键? 输入route print按回车键? 看到了吗?? 现在已经成功添加到其他VLAN的路由了? 接下来就需要安装一个缓存的DNS服务器了? ? 通过开始--设置--按控制面板--双击添加或删除程序--按添加/删除Windows组件--按网络服务--按详细信息--把域名系统(DNS)沟上--接确定? 接着下一步进行安装DNS服务 ? 通过开始--程序--管理工具--按DNS来打开DNS服务? 现在我来配置一下缓存DNS服务器? 对着FLORENCE(计算机名称)右键--选择属性--按接口? 我们不需要在外部接口上侦听一个DNS请求? 所以我只保留内部的接口()就可以了? 然后在转发器里面设置转发为到ISP的DNS服务器? 按转发器--在所选域的转发器的IP地址列表里面输入8? 8 按添加? 按确定? 这样配置就完成了? ? 现在我来测试一下缓存DNS服务器是否工作正常? 在命令提示符里面输入nslookup按回车键--输入 HYPERLINK "/" 按回车键? 可??看到解析正常了? 在DNS服务里面按查看--把高级沟上--展开缓存的查找--(根)--org--按isacn? 看到了吗?? 里面有一个www的记录--双击它--可以看到主机是www? 完全合格的域名是 HYPERLINK "/" ? IP地址是51? 这就是刚才我访问的请求解析的ISA中文站的域名? 就是DNS服务器把这个结果缓存下来? ? 我现在来安装ISA防火墙--按安装ISA Server 2004--到内部网络那一步按添加--按添加适配器? 把本地连接(内部网卡)沟上? 按确定? 看到了吗?? VLAN的地址范围()已经包含在内部网络中了? 接着下一步进行安装ISA防火墙 ? ISA防火墙安全强化: 保证ISA防火墙的物理安全性? 保证ISA防火墙管理员账户的安全? 在防火墙策略中严格限制到ISA防火墙的访问? 不要在ISA防火墙上运行其他不必要的服务和应用程序? 关闭不需要的网络协议? 停止不需要的系统服务 ? 部署防火墙策略: 防火墙策略执行方式: 从上到下对防火墙策略进行评估,执行第一条匹配的规则 位于最底部的默认规则拒绝所有通信? 部署防火墙策略的两种基本模型: 仅允许部分客户,禁止其他所有通信(默认) 仅禁止部分客户,允许其他所有通信? 根据自己的需要来决定具体的防火墙策略-->使用最少的防火墙策略来达到你的目的? ? 评估防火墙策略: 按照顺序评估防火墙策略的各个字段: 协议(主要连接端口) 源网络和源端口 计划时间 目的网络 用户 内容类型 应用层筛选? 完全匹配: 执行防火墙策略定义的操作? 不匹配: 评估下一条防火墙策略,直到默认策略(拒绝所有通信)为止? ? 目的网络: 基于IP地址的网络元素: 网络 网络集 计算机集 计算机 地址范围 子网? 基于FQDN的网络元素: 域名集 URL集 建议配置客户为Web代理客户? ? 区分不同的客户: 源网络(基于IP地址): MAC地址绑定 使用arp -s IP地址 MAC地址? 使用arp -a查看被绑定的IP地址 支持的客户类型: SNAT FWC WPC? 用户账户(需要身份验证): 身份验证数据库: AD? Local SAM? 支持的客户类型: FWC? W