ISA防火墙优化方法及使用技巧.docxVIP

ISA防火墙优化方法及使用技巧下面就是ISA防火墙的优化方法及使用技巧，它们并没有按照任何规则进行排序，也不代表位于前面的步骤就比位于后面的步骤更为重要：　 　配置客户作为Web代理客户或者防火墙客户。如果你想让你的ISA防火墙提供比硬件防火墙更为高级的保护，你必须配置你的客户为Web代理客户或者防火 墙客户，否则，你会具有和使用硬件防火墙时同样的安全弱点。关于ISA防火墙的防火墙客户端更高级的保护特性，可以参见防火墙客户端是如何工作的：关于 ISA防火墙的应用层状态识别功能一文。　　DNS服务器设置 -- 配置ISA防火墙使用位于自己保护的网络中的DNS服务器；不要在多个网络适配器上配置相同的DNS服务器。这个是常见的问题，ISA防火墙应该只配置使 用一个DNS服务器，并且最好配置为使用被保护的网络中的DNS服务器。不要在ISA防火墙的任何一个网络适配器接口上配置使用外部的DNS服务器，也不 要多个网络适配器接口上配置使用相同的DNS服务器。　　使用/等来决定入侵者的位置。你想 知道发起攻击的数据包来自哪儿吗？你看到了ISA防火墙日志中的源IP地址，但是这个IP地址来自哪儿呢？访问 /然后对这个IP地址进行一下whois查询。当你在你的ISA防火墙日志中发现了非法的活动时，这应该是你首先进行检查的地方。　 　网络后面的网络场景。网络后面的网络通常是在你的ISA防火墙的同个网络适配器后具有多个网络的情况，这个一个简单的概念，但是ISA防火墙和ISA Server 2000有些不一样，详细的情况，请参见How to：在存在多条路由的内部网络中配置ISA Server 2004和理解ISA Server 2004中的网络。　　规划配置。你必须提前对如何在你的网络中部署ISA防火墙进行规划。请记住，ISA防火墙是网络的一个重要组成元素，在你部署ISA防火墙之前，请仔细的考虑你应该如何对你的网络加以保护。在规划配置时， 你应该考虑以下几点：　　确认使用的协议：你需要开放哪些协议？哪些协议是你的商业应用程序所需要的？　　确认基于用户/组的访问策略：考虑哪些用户需要访问什么资源，提前考虑如何创建你的ISA防火墙用户组以允许用户访问他们需要的资源。对每条策略都使用最小特权原则，并避免使用拒绝策略。　 　确认日志记录的需求：确认你需要什么类型的日志记录方式。当你位于一个控制严格的环境，你可能想要记录下所有的活动，那么你可以配置你的ISA防火墙为 域成员并部署Web代理客户和防火墙客户。这不仅仅增强了ISA防火墙提供的安全级别，并且也对你的日志记录能力有显著的帮助。　 　使用DMZ网络来区分安全区域：ISA防火墙支持无限 数量的网络接口，网络接口的数量只是受到物理硬件的限制。使用DMZ网络来对你的组织中进行安全区域的划分，在不同的安全区域间部署ISA防火墙并严格的 加以控制，这样就可以保护入侵者的攻击。关于如何部署DMZ网络，请参见How to ：在ISA Server 2004中配置DMZ网络一文。　 　不要在ISA防火墙安装其他的服务。ISA防火墙应该永远只是作为一个防火墙，而不再担当额外的服务器角色。不要把ISA防火墙作为文件服务器、Web 服务器、FTP服务器等等，唯一的例外是ISA防火墙安装在SBS 2003 SP1服务器之上，但是这样ISA防火墙的安全性会因为SBS服务器应用程序的安全性降低而降低。　　使用Windows server 2003的安全配置向导或者按照ISA防火墙强化指南来对服务器进行安全强化。ISA防火墙应该总是安装在一个健壮的操作系统之上，不要在Windows server 2000上安装ISA防火墙，你应该总是在Windows server 2003上进行安装。使用Windows server 2003的安全配置向导来对操作系统进行强化配置，如果你不愿意，也可以按照ISA防火墙安全强化指南来对服务器进行配置，参见ISA Server 2004 安全强化指南。　　安装网络分析软件用于故障调试。对于网络和防火墙调试的唯一方法是进行网络数据包分析。微软在 Windows server 2000和Windows server 2003中提供了网络监视器，当然你也可以自己去购买一个商业版本的网络分析软件，因为商业版本的网络分析软件往往提供了更多的高级特性及分析特性。你可 以在安装ISA防火墙之前或之后安装网络分析软件。　Figure 1　 　唯一的默认网关。ISA防火墙只支持一个默认网关， 一个常见的问题是防火墙管理员在ISA防火墙的多个网络适配器接口上都配置了默认网关。ISA防火墙只支持一条默认路由，并且默认网关应该总是在靠 Internet最近的网络适配器上进行设置。如果ISA防火墙需要访问不能通过默认网关访问的远程子