利用ISA Server，创建安全的网络环境.doc

利用ISA Server2004 创建平安学校网络 黄仲瑾 惠安高级中学 362100 摘 要：本文介绍了在学校如何使用ISA Server 代理软件对机房内上机的学生进行有效地管理，从而把机房建设成安全、可靠、防毒防黑的网络机房，并且对上机的学生按照机房、时间应用不同的策略使用不同的功能。 关键词：ISA Server；防火墙；规则；策略；网络安全 1 引言 当网络技术以越来越快的速度发展的同时，网络攻击的水平也在不断提高。在新的形势下，人们过去所依赖的防火墙技术问题也在不断的暴露出来，以笔者所在学校为例，共有计算机机房3间，上网计算机的多达300 余台，这些电脑要能保证同时正常稳定的上网浏览、收发电子邮件以及下载文件，并可根据学生上机学习的内容进行灵活配置，从而实现对机房的有效管理。基于以上考虑，采用了具有防火墙与网站缓存功能的ISA Server2004 企业服务器软件，全称Internet Security and Acceleration Server 2004（互联网安全和加速服务器，以下简称ISA Server），ISA Server 是基于 Windows server 平台的，相对于SyGate、Wingate 等简易的代理服务器软件，具有加速内部对内与对外的存取速度，节省Internet 网络频宽，提供给使用者更快的Web存取速度。另外ISA 还可通过内部IP地址来控制和限制上网机器与上网时间段，过滤一些不健康的网站，效果较好，功能更强大，特别适用于学校的局域网。下面具体谈谈如何利用ISA Server 来对学校机房进行有效地管理。 2 ISA Server的安装 笔者所在学校服务器现在采用的是DELL作为代理服务器接入Internet 。代理服务器上装有双网卡，集成的1000MB的网卡分配外部地址，通过超5类双绞线连在光纤交换机上，另一块Inter 网卡分配机房内部地址，通过5 类双绞线连在机房内部交换机上，三个机房的机器分别连在各机房的交换机柜中，各机房通过交换机互连。为了使ISA Server 发挥更大的作用，操作系统选用Microsoft Windows Server 2003简体中文版，ISA Server 2004 使用简体中文企业版，安装ISA过程，在“内部网络”配置窗口需要添加私有IP地址范围或者使用ISA已经定义好的范围。通常选择连接内部网络的网卡以构造“内部网络”。 3 ISA Server访问策略的配置 在安装完成后进入ISA Server 2004的管理控制台，可以看到此时防火墙策略只有默认的“拒绝所有通信”，它会阻断所有经过的网络通信，要让网络之间进行通信必须创建相应的规则，实际上各种防火墙都是通过规则来实现其“防火”功能的。通过配置和管理ISA 的访问策略，可以完全控制上网人员的帐户，控制每一个人员的上网时间，控制用户能够使用的协议，控制用户能够访问的站点和所访问的内容；以及如何配置IP 数据包的筛选器，防止黑客攻击和病毒，配置ISA Server外部供给和入侵的检测功能，使它具有自动报警和自动采取措施防止攻击的能力。首先了解一下一个访问请求在ISA的具体流程 。（如下图1 所示）在图1 中，当ISA Server 处理一个请求时，它将先检测协议规则、站点和内容规则以及路由规则，确定该请求是否得到规则许可。只有协议规则以及站点和内容规则都许可，同时没有规则拒绝请求，它才允许传出。协议规则以及站点和内容规则可用于源客户地址集或是请求某一对象的特定的用户和组。接下来我结合学校机房的实际情况，谈谈ISA防火墙的具体设置。 2.1 设置ISA使学生机能上网 ISA Server 2004安装后，默认不允许任何连接，可以通过5个预定的网络模板向导快速进行配置，但是对于HTTP访问，还有一个URL限制，默认情况下，ISA只允许*.等三个网站可以安全访问，若要进行其他站点的访问，必须手动添加新的URL站点，方法如下： (1）选择“防火墙策略”，在右侧的工具箱选择网络对象，点击“新建—URL” 名称任意取（本例假设取名为 “allow all” 在URL集包含的URL中输入http：//*）。（如图2所示） （图2）访问的URL集 (2） 选择“防火墙策略”左侧的任务，点击“ 编辑系统策略”，在“不同的”组下面选择“允许的站点”，右栏中选择“到”然后点击“填加”选择URL集中的“allow all”，然后确定。（如图3 所示） （图3）系统策略添加允许访问所有网站 (3）选择“防火墙策略”，右击选择“新建——访问规则”，名称任意取（本例假设取名为“允许从内网到外网的访问”，在“规则操作”页，选择“允许”，在“协议”页，选择“所有出站通讯”，在“访问规则源”页，选择“内部”，在“访问规则目标”页