教育城域网的安全防护探析.doc

教育城域网的安全防护探析 绍兴县教育局-冯荣标 教育城域网建设是教育信息化的重要组成部分，其中城域网的网络安全工作一直是各地教育行政部门比较重视的问题，本文作者通过对ISA的安装使用，介绍了利用ISA进行教育城域网网络安全防护方面的经验。 ISA Server是微软公司推出的一款重量级的边缘网络安全产品，被公认为X86 架构下最优秀的企业级路由软件防火墙。凭借其灵活的多网络支持、易于使用且高度集成的VPN 配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能等在许多领域有着广泛的应用。 通过在绍兴县教育城域网的全面部署，总体性能感觉与思科ASA系列防火墙不分伯仲。ISA Server完全支持七层网络协议的管理，可以对客户端应用程序（如：QQ）进行控制,还可以对网站URL关键字进行过滤，整体建设成本却非常低（一台一万五的服务器+正版ISA+正版Win2003 R2的整体费用不到二万元，却可以管理全县19个镇街22所初中上网，并且直接充当防火墙，而同级别的一个上网行为管理产品至少需要十多万）。ISA同传统上网行为管理产品的最大区别是可以实现与活动目录结合进行上网认证及客户端计算机的远程管理功能，可以为每一位上网教师分配一个上网帐户，将安全事故、上网行为落实到个人。其升级版Forefront Threat Management Gateway 2010中文版（简称TMG 2010），全面支持64位操作系统。 由于目前TMG 2010我县还在测试（主要测试对恶意代码、木马防控及64位系统的性能提升方面），本次将围绕以Windows 2003 R2+ISA 2006标准版为基础重点讲述ISA的网站发布与管理功能，结合IIS来加强网站安全防护。 一、ISA的安装 以上是方案的网络拓扑图，非常简单，要注意的问题是服务器不管有多少块网卡，DNS只能在其中一块网卡中设置，一般情况下为连接外网的网卡上写上ISP的DNS服务器。 例1：服务器配置，具体看各地财政情况，有钱可以买个专业服务器，没钱搞个PC机代替也行，关键是内存需要1GB以上（最大不要超过2GB，因为超过这个，ISA是不支持的，TMG2010由于是64位的，可以支持4GB以上），我县教育城域网上用于网站发布的服务器为一台普通PC（P4 3.0/1GB/160G），配置了二块网卡分别连接内外网 例2：ISA双网卡的IP地址设置： 内网卡： IP：54，子网掩码：，网关：无，DNS：无 外网卡： IP:41，子网掩码：24，网关：25，DNS：7（绍兴电信的DNS） 安装非常简单，选择自定义安装，除下面给出的安装顺序图例需要选择外，其它的全部选下一步就行了 二、网站的发布 安装完成后可以直接进行网站的发布，如果是进行内部客户端上网，还需要设置相应的访问策略 1、右键单击ISA“防火墙策略”，选择“新建”中的“网站发布规则”，出现发布向导 2、为规则取一个名称，如“发布初中网站”（可以一次性将同一个WEB服务器上的所有网站发布出去）后点“下一步”选择“允许”，再点“下一步”，出现选择发布类型（见图1），一般选择前二项，其中第二项“发布负载平衡Web服务器的一个服务器场”主要实现多台WEB服务器负载平衡，并且在其中一台死机情况下，自动将访问请求转到其它服务器，保证网站的正常访问。在本方案中我们选择第一项“发布单个网站或负载平衡器”后点“下一步”，由于我们不是HTTPS方式的网站，所以在下一选择中选“使用不安全的连接连接发布的WEB服务器或服务器场”。点“下一步”后出现要求提供内部网站详细信息的对话框。 图1 3、设置内部发布详细信息（见图2），输入内部网站名称，如，若担心ISA无法解析，可以输入域名对应的IP地址，如。 图2 3、点“下一步”后选中“转发原始主机头而不是前一页的内部网站名称字段中指定的实际主机头”，这里主要是为了实现某些服务器是按主机头存放多个网站时（如服务器上存放着、等多个网站时，是通过主机头的方式来判别的），再点下一步，出现要求输入此网站的公共名称窗口，即允许外部访问的名称，如（注意与前一步设置名称在概念上的区别，前一步是让内部用户访问，这步是让互联网用户访问），这样互联网用户访问此域名的时候，就可以通过DNS解析到ISA服务器的外网地址，WEB侦听器会自动侦听并引导用户访问此域名对应的内部网站（若有多个网站指向此外网地址时，在设置完成后要进行进一步设置，具体后面讲述）。 4、接着设置Web侦听器，由于一般网站默认使用80端口，所以安装ISA 时不能有进程监听80端口（一般只要不在服务器上安装IIS或其它Web服务器就可以了）。由于默认没有可用的侦听器，通过点击“新建”，开始创建一个侦听器，首先为侦听器设置一个名称，如“侦听80端口”后点“下一步”，