基于Microsoft ISA Server 校园网络平台构建和策略部署.docVIP

基于Microsoft ISA Server 校园网络平台构建和策略部署 　　摘要:学校建成了校园网,接下来入了城域网,购置了服务器,如何搭建一个安全高效的校园网络平台成为关键,而重中之重是为学校提供一个安全的信息入口和出口,一方面保护内部网络资源免受病毒、黑客的入侵,另一方面过滤Internet 上的不良信息,禁止未经授权的访问。 　　关键字:校园网 网络安全ISA Server防火墙 　　 　　一、安全方案分类及策略 　　硬件安全方案:硬件防火墙、其他硬件安全设备(智能卡、指纹扫描仪等) 　　软件安全方案:基于Windows 平台的安全特性和安全软件、基于UNIX / Linux平台的安全特性和安全软件。 　　需要根据实际情况和技术力量进行选择,值得注意的是国内不少所谓的硬件级防火墙其实就是一套Linux加上安全软件组成的系统,比起Cisco 的PIX和3COM的OfficeConnect 当然逊色不少。 　　二、ISA Server 的构建设计 　　(一)配置计划 　　考虑到实际网络规模和客户机构均采用SecureNAT(安全网络地址转换)方式,网络中没有采用域模式,没有设置专门的DNS服务和DHCP服务,所有工作站均使用ISP的DNS服务器。为了防止潜在的安全裂口,在ISA 服务器的外部接口上禁用文件和打印共享及Microsoft网络客户机,并禁用Net-BIOS overTCP/IP。在内部接口上将默认网关留为空白。为实现最高的安全性和运行要求,ISAServer本身不应该再充当Web服务器和执行其他服务功能以及安装任何其他的应用程序,也就是说不应当安装IIS和其他的Web代理软件及设置Internet共享,否则会引起运行冲突。 　　(二)ISAServer的安装 　　由于本网络不采用域模式,故安装成单机ISAServer和综合模式(同时具备防火墙和Web缓存)。如果是在域中,也不要把ISA安装在域控制器中,这样ISAServer的性能会有所提高,而且内网中将域控制器放置在ISAServer之后,域控制器的安全性能将会得到提高,这样ISAServer可以阻止未经授权的、对域控制器的访问。一个关键的步骤是建立LAT(本地访问表),目的是把当前内网中的所有逻辑IP网段包括进去,比如:～55,而不应该包括外部网络的IP。最后装上ISA的SP1。安装完后的ISAServer和外网的连接是关闭的,需要什么服务必须手工建立,很具有挑战性。为了让ISAServer轻装上阵,可以把一些无关紧要的服务停掉,比如:Print Spooler、Remote Registry Service、Routing and Remote Access。 　　(三)客户机配置 　　ISAServer客户机类型分为:SecureNAT客户机、防火墙客户机、Web代理客户机。根据网络规模、拓扑结构及实际需求,所有客户机均采用SecureNAT方式,其优越性在于SecureNAT客户机不需要安装其他软件,只需简单的设置:使用ISAServer的内部接口作为其默认网关;但也有局限性:访问所用的协议仅仅局限于协议定义集中预先定义好的协议,需要复杂协议的应用程序过滤器,对于网络访问是匿名的,无法使用基于用户或者基于组的规则控制。不过对于一个小型网络而言,Secure-NAT方式是比较适合的,也是微软推荐的。 　　(四)使用第三方插件增强ISA功能 　　一些第三方软件厂商开发用于自定义和增强ISA特性及功能的解决方案,这样的插件包括像查病毒工具,入侵检测过滤器工具,整合访问控制方案工具,更全面的报告和监视工具等。 　　具有自动查杀病毒(扫描和文件)基于或者上的关键字监视的使用(包括当用户文章不允许的站点时通知管理员或者阻塞对这些站点的访问)等特性。 　　三、ISA Server的策略部署 　　(一)创建安全外出访问策略 　　在其内部接口上使用8080端口(对于SSL连接使用8443端口)对内部用户的外出访问请求进行监听。 　　网络内存在两种客户机:一种是教师使用的客户机,一种是学生使用的客户机。因此有必要对这两种客户机分别设置外出访问策略。 　　首先设置两种客户机地址集:教师群和学生群。 　　为限制学生的访问内容,需要设置目标集,可以有两种设置方法:允许访问的站点或者禁止访问的站点。设置允许访问的站点相对而言比较安全。 　　对于学生机还需要设置禁止下载的几类文件,比如,zip、.rar及视频影音文件等,把他们归入一个自定义的内容组。 　　根据实际需要还可以设置时间限制:哪个时间段可以进行访问或者哪个时间段不可以进行访问。为了避免在使用QQ等娱乐软件时占用太多的带宽,可以进行带宽优先级设置,保证学校正常网络通讯的流