基于ISA校园网管理解决的方案.docVIP

基于ISA校园网管理解决的方案 　　摘 要 　　Microsoft? Internet Security and Acceleration （ISA） Server 2006（以下简称为ISA）是微软公司开发的一款路由级网络防火墙，集高级应用程序层防火墙、虚拟专用网络 （VPN） 和 Web 缓存解决方案于一身。ISA在企业级控制访问使用中是非常方便和人性化的，规则设置也非常简单明了，不仅降低了网络的复杂性和成本，而且通过灵活方便的网络规则、访问规则及防火墙策略，使基于ISA的校园网管理起来更加快捷、稳定及安全、可靠。 　　【关键词】ISA 校园网 防火墙 访问规则 　　1 校园网 　　1.1 概述 　　对很多学校来说，硬件防火墙、核心级路由器等网络设备整个校园网络预算投入中占了不小的比重，对于校园网的高昂投入，加之更新速度的不断刷新，令不少领导望而却步，那么如何在有限的条件下让校园网更安全、更易管理？微软的ISA为我们提供了一个很好的校园网管理解决方案。 　　1.2 校园网的需求 　　校园网连接包括办公楼、教学楼等大量的信息点，并通过电信宽带接入Internet。整个校园的网络需求比较复杂且在物理位置上各种功能需求混合在一起，比如教学楼就混合办公、教学及机房等不同网络功能的需求，校园有如下基本需求： 　　1.2.1 网络的高可靠、高性能、高安全的需求 　　首先要保证网络及设备的高吞吐能力，特别是校园主干网络的高吞吐能力，保证各种信息的高质量传输，才能使校园网络不成为业务开展的瓶颈；其次对网络系统的稳定可靠提出要求，在网络设计中要求选用高可靠性网络产品。 　　1.2.2 管理为先、应用为本的需求 　　与Internet网类似，校园网用户存在潜在的攻击者，也会存在非法占用资源和盗用的可能性，所以要求对用户进行接入管理、身份认证、带宽许可、地址管理和服务质量保证（QoS），并针对不同的业务提供灵活的上网方式。 　　2 配置ISA服务器 　　ISA安装完毕后默认的是拒绝一切访问，所以第一步应该设置内部到内部的访问规则。为了管理的方便性，我们经常将客户端网络设置为自动获取方式，亦即ISA服务器还兼当DHCP服务器及DNS服务器。在ISA中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络间如何访问，而访问规则则定义了用户（内、外网）的访问，服务器发布规则则定义了如何让用户访问服务器。 　　2.1 ISA的作用及特点 　　ISA 服务器是可扩展的企业防火墙以及构建在 Microsoft Windows Server? 2003操作系统安全、管理和目录上的 Web 缓存服务器，以实现基于策略的网际访问控制、加速和管理。 ISA 不仅能满足通过 Internet 与外界联系，而且ISA 能提供多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。通过组合防火墙和高性能的 Web 缓存功能，ISA 提供了有助于降低网络复杂度和减少成本的公共管理基础结构。 　　2.2 ISA的安装 　　ISA 防火墙需要一台装有两个网卡的计算机，需要强调的一点是，在配置完成之前，请不要将其连接到外网，以避免病毒感染、木马攻击，ISA服务器只有当ISA防火墙安装完成后，它才是安全的，然而这个小问题却经常被忽视。 　　2.3 定义网络规则 　　网络规则确定两个网络之间是否存在连接， 路由网络关系是双向的，NAT 关系则是唯一的和单向的，基于校园网络安全考虑，建议采用ISA默认安装网络规则。 　　3 ISA的控制及管理 　　ISA在企业级控制访问使用中是非常方便和人性化的，规则设置也非常简单明了，从实际使用效果和经验来看，合理的设置访问规则是有效防范未知病毒的途经之一，同时也杜绝了一些客户端非恶意的非法操作和莫明奇妙的网络故障。 　　3.1 确保 Internet 连接的安全性 　　众所周知，将校园网络和用户连接到 Internet 会引入安全性和效率问题。ISA 为组织提供了在每个用户的基础上控制访问和监视使用的综合能力。ISA 服务器保护网络免受未经授权的访问、执行状态筛选和检查，并在防火墙或受保护的网络受到攻击时向管理员发出警报。 ISA 服务器是防火墙，通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络 （VPN）、系统坚固、集成的入侵检测、智能的第 7 层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等方法，增强安全性。 　　3.2 网络策略的建立及管理 　　ISA在企业级控制访问使用中是非常方便和人性化的，规则设置也非常简单明了，合理的设置访问规则是有效防范未