创建隔离区 用ISA保护服务器.docxVIP

PAGE 1 PAGE 1 创建隔离区 用ISA保护服务器  服务器是企业数据信息的核心，现代企业中也部署了各种用途的服务器。但是，在当前传统的路由网络中企业局域网通过“路由器”与Internet连接。这种网络接入方式可以阻挡Internet的用户直接访问“服务器”，从而对服务器供应了一定的保护能力。  服务器是企业数据信息的核心，现代企业中也部署了各种用途的服务器。但是，在当前传统的路由网络中企业局域网通过“路由器”与Internet连接(见图1)。这种网络接入方式可以阻挡Internet的用户直接访问“服务器”，从而对服务器供应了一定的保护能力。(图1)  图1  一、服务器面临的安全威逼  但是，这种网络模式下服务器没有得到很好的安全保护，存在很大的安全隐患。这些安全隐患主要来自一下两个方面：  1、来自恶意用户的主动攻击：局域网中的全部的工作站可以“直接”访问服务器，假如服务器没有准时打补丁或者存在某些漏洞，很简单被内网上的工作站攻击。  2、来自病毒木马的攻击：这种攻击有时候并不是由使用工作站的用户发起的，而可能是这些工作站上感染了某些病毒或者木马而“自动”形成的到内网服务器的攻击。  二、安全方案  1、改造要求  那么，怎样才能既让内部用户高速访问内部服务器，又可以保护服务器不受内部、外部(Internet)用户的攻击呢?我们的网络改造，要在安全和成本之间做好平衡，另外还要实现平滑过度。笔者认为至少要满意如下要求：  (1).加固服务器的安全性，进行UAC(用户访问掌握)掌握。  (2).尽量不对当前的网络结构进行大的调整，实现网络的平滑改造，因为网络投入也是企业要面对的一个问题。  (4).不转变员工的使用体验，假如转变的话无疑会增加培训成本。  2、改造思路  一个牢靠的方案是部署一个ISA服务器，将企业服务器放在ISA防火墙的DMZ(DemilitarizedZone，隔离区)中，通过ISA防火墙策略实施对服务器的保护。结合上面传统的网络拓扑我们的思路是，部署一台ISA服务器来代替原来的“路由器”连接Internet。服务器和各个子网分别通过交换机连接到ISA服务器，进行网络隔离，然后在ISA服务器中对客户端访问服务器进行UAC掌握，改造后的网络拓扑见图2。  图2   服务器是企业数据信息的核心，现代企业中也部署了各种用途的服务器。但是，在当前传统的路由网络中企业局域网通过“路由器”与Internet连接。这种网络接入方式可以阻挡Internet的用户直接访问“服务器”，从而对服务器供应了一定的保护能力。  服务器是企业数据信息的核心，现代企业中也部署了各种用途的服务器。但是，在当前传统的路由网络中企业局域网通过“路由器”与Internet连接(见图1)。这种网络接入方式可以阻挡Internet的用户直接访问“服务器”，从而对服务器供应了一定的保护能力。(图1)  图1  一、服务器面临的安全威逼  但是，这种网络模式下服务器没有得到很好的安全保护，存在很大的安全隐患。这些安全隐患主要来自一下两个方面：  1、来自恶意用户的主动攻击：局域网中的全部的工作站可以“直接”访问服务器，假如服务器没有准时打补丁或者存在某些漏洞，很简单被内网上的工作站攻击。  2、来自病毒木马的攻击：这种攻击有时候并不是由使用工作站的用户发起的，而可能是这些工作站上感染了某些病毒或者木马而“自动”形成的到内网服务器的攻击。  二、安全方案  1、改造要求  那么，怎样才能既让内部用户高速访问内部服务器，又可以保护服务器不受内部、外部(Internet)用户的攻击呢?我们的网络改造，要在安全和成本之间做好平衡，另外还要实现平滑过度。笔者认为至少要满意如下要求：  (1).加固服务器的安全性，进行UAC(用户访问掌握)掌握。  (2).尽量不对当前的网络结构进行大的调整，实现网络的平滑改造，因为网络投入也是企业要面对的一个问题。  (4).不转变员工的使用体验，假如转变的话无疑会增加培训成本。  2、改造思路  一个牢靠的方案是部署一个ISA服务器，将企业服务器放在ISA防火墙的DMZ(DemilitarizedZone，隔离区)中，通过ISA防火墙策略实施对服务器的保护。结合上面传统的网络拓扑我们的思路是，部署一台ISA服务器来代替原来的“路由器”连接Internet。服务器和各个子网分别通过交换机连接到ISA服务器，进行网络隔离，然后在ISA服务器中对客户端访问服