Microsoft ISA简体中文版2文档格式.docx
《Microsoft ISA简体中文版2文档格式.docx》由会员分享,可在线阅读,更多相关《Microsoft ISA简体中文版2文档格式.docx(19页珍藏版)》请在冰豆网上搜索。
运行环境:
Win2003,WinXP,Win2000,NT,WinME,Win9x
作为着名路由级网络防火墙Microsoft®
InternetSecurityandAccelerationServer2000(以下简称为ISAServer2000)的升级版,微软已经在2004年7月13日发布了Microsoft®
InternetSecurityandAcceleration(ISA)Server2004(以下简称为ISAServer2004)。
它和ISAServer2000相比,到底有哪些值得我们期待的新功能呢?
本文详细地介绍ISAServer2004的新特性,并且图文并茂的介绍了ISAServer2004中新增加的重要功能。
新功能概述
和ISAServer2000相比,ISAServer2004中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能(包括配置导入和导出)。
ISAServer2004新特性一览
应用层过滤
功能描述
基于每个策略的HTTP过滤允许防火墙执行更深层次的HTTP协议状态检查,并且可以基于每个策略来配置。
阻止访问可执行文件禁止用户通过HTTP协议访问Windows下的可执行文件(比如Cmd.exe)
通过文件扩展名来控制HTTP策略可以基于文件扩展名来定义准许或者禁止访问
HTTP过滤应用到所有的客户连接通过HTTP策略,你可以控制所有的ISAServer2004客户连接
HTTP签名可以建立“HTTP签名”来和客户请求的URL进行比较,从而精确地控制内部和外部用户
控制允许的HTTP方式控制用户HTTP访问的方式。
例如,你可以限制HTTPPOST来阻止用户向Web站点上传数据
支持Outlook的RPC连接ISAServer2004允许Internet用户通过Outlook访问内部Exchange服务器。
FTP策略FTP策略甚至可以让用户只能下载数据
安全与防火墙
协议支持支持对任何协议(包括IP等级协议)访问和使用的控制。
支持需要多个主连接的复杂协议许多流媒体和音频/视频应用这种复杂协议在ISAServer2004中也提供了支持。
你可以管理它们,也可以通过易于使用的协议向导轻松建立协议。
可自定义的协议允许控制任何协议的源和目的端口,这让你可以从更高级别上管理允许进入和流出的数据包。
方便的Hotmail支持通过简单的防火墙设置即可访问Hotmail而不需要其他在客户端或者防火墙上进行特殊设置
防火墙规则向导ISAServer2004包含的新规则向导集,让你建立策略更轻松。
OWA发布向导OutlookWebAccess发布向导可以很方便地建立Exchange服务器的SSL访问规则。
FTP支持允许访问非标准端口的InternetFTP服务。
多网络
多网络配置可以配置一个或多个网络,并使每个网络都与其他网络有明确的关系。
访问策略是相对于多个网络而定义的,而不必相对于给定的内部网络。
唯一的基于网络的策略ISA服务器的多网络功能使您可以限制客户端(甚至您自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。
网络模板ISA服务器包含与常见网络拓扑对应的网络模板。
可以使用网络模板来为网络之间的通讯配置防火墙策略。
NAT和路由网络关系ISAServer2004中可以根据网络之间所允许的访问和通讯类型来定义网络关系。
主要包括NAT和路由两种关系。
监视和报告
实时日志监控可以实时监控防火墙、WebProxy和SMTP邮件的日志。
内建日志查询工具支持使用内建的日志查询工具来查询日志文件。
对防火墙会话的实时监控和过滤可以即时监控所有活动的防火墙会话,也可以使用内建的会话过滤工具来对会话进行过滤
连接验证器你可以通过连接验证器来验证到一个指定的计算机或者URL之间是否连通。
你可以通过以下方式来决定连通性:
Ping、连接到特定端口的TCP或者HTTPGET。
你可以通过IP地址、计算机名字或者URL来指定验证的对象。
自定义ISAServer2004报告ISAServer2004包含了一个增强的报告自定义特性,允许你在报告中记录更多信息。
报告发布ISAServer2004报告生成工具可以自动保存一个副本在本地目录或者网络共享文件目录,方便其他用户访问。
报告完成后的E-mail通知你可以配置报告生成工具在某个报告完成后给你发送一个电子邮件。
可以自定义报告跨越的时限ISAServer2004可以让你自定义报告所跨越的时限,这给你更多的可扩展性。
增强的SQL服务器记录你可以把日志记录在内部网络中另外一台运行SQLServer数据库的计算机上。
记录到MSDE数据库日志可以存储为MSDE格式,记录在本地数据库增强了速度和扩展性。
管理
管理ISAServer2004包含了新的管理特性,新的用户界面包含任务面板、帮助面板、一个改进的开始向导和和全新的防火墙策略编辑器。
导入和导出ISAServer2004引入了导入和导出配置信息的能力,从而大大简化了重复的配置工作。
防火墙管理员权限委派向导防火墙管理员权限委派向导帮助你给用户或用户组分配管理角色。
这些预定义的角色可以让你委派不同级别的管理任务到用户。
VPN网络
VPN状态过滤和检测VPN客户端被配置为单独的网络,你可以为VPN客户端创建单独的策略。
规则引擎会有区别地检查来自VPN客户端的请求,对这些请求进行状态检查,并基于访问策略动态地打开连接。
Site-to-Site的VPN隧道的通信状态检查和过滤ISAServer2004对Site-to-Site的VPN隧道连接引入了状态检查和过滤机制。
VPN隔离控制在确认符合公司的安全要求前,可以将VPN客户端隔离到“被隔离的VPN客户端”网络中。
发布VPN服务器使用ISAServer2004服务器发布策略来发布VPN服务器,让ISAServer2004中智能的PPTP应用过滤器执行负责的连接管理。
支持Site-to-SiteVPN链路上的IPSec隧道模式ISAServer2004中可以使用IPSec隧道模式作为VPN协议,而且它可以和许多第三方VPN解决方案一同工作。
从ISA2000的发布到现在,已经过去了4个年头,且不论网络应用和防火墙在这期间都发生了很大变化,就连微软最新的服务器操作系统WindowsServer2003,ISAServer2000在不安装补丁的情况下都是不支持的。
经过了长时间的测试,微软ISAServer2000的继任者ISAServer2004,已经在2004年7月13日正式发布了。
MicrosoftInternetSecurityandAcceleration(ISA)Server2004是高级应用程序层防火墙、虚拟专用网络(VPN)和Web缓存解决方案,它使客户能够通过提高网络安全和性能轻松地从现有的IT投资获得最大收益。
ISAServer2004摘要
ISAServer2004为各种类型的网络提供了高级保护、易用性和快速、安全的访问。
它尤其适合于保护运行Microsoft应用程序(如MicrosoftOutlookWebAccess(OWA)、MicrosoftInternet信息服务、OfficeSharePointPortalServer、路由和远程访问服务、ActiveDirectory目录服务等)的网络。
ISAServer2004包含一个功能完善的应用程序层感知防火墙,有助于保护各种规模的组织免遭外部和内部威胁的攻击。
ISAServer2004对Internet协议(如超文本传输协议(HTTP))执行深入检查,这使它能检测到许多传统防火墙检测不到的威胁。
ISAServer的集成防火墙和VPN体系结构支持对所有VPN通信进行有状态筛选和检查。
该防火墙还为基于MicrosoftWindowsServer2003的隔离解决方案提供了VPN客户端检查,帮助保护网络免遭通过VPN连接进入的攻击。
此外,全新的用户界面、向导、模板和一组管理工具可以帮助管理员避免常见的安全配置错误。
一、ISA2004王者归来
1、新功能概述
2、全新的多网络架构支持
3、增强的虚拟专用网络(VPN)
4、更方便的管理
(1)全新的管理界面
(2)策略模板支持
(3)配置的导出和导入
(4)其他管理增强
5、全面的协议支持
6、让网络更安全
(1)基于每个策略的HTTP过滤
(2)阻止对所有可执行文件的访问
(3)扩展名决定是否可以下载
(4)“HTTP签名”控制HTTP访问
(5)FTP只读策略
二、安装ISAServer2004
一、系统及网络需求
二、建立内部的DNS服务器
(1)安装内部的DNS服务器
2、配置内部客户使用内部的DNS服务器
四、配置允许所有内部用户访问Internet的所有服务的访问规则
1、网络规则
2、访问规则
(1)防火墙系统策略
(2)建立访问策略
3、配置请求拨号
五、使用边缘防火墙模板:
五步建立访问策略
六、两步启用HTTP缓存
1、设置缓存所用的驱动器
2、设置缓存规则
七、ISAServer的系统和网络监控、报告
1、系统和网络监控
2、报告
八、使用访问规则向导来禁止某些内部用户访问某些网站
1、新建网络对象
2、建立访问规则
九、禁止使用P2P软件—QQ
十、发布内部网络中的服务器
1、使用Web发布向导发布内部的Web站点
2、使用服务器发布向导发布非标端口的内部ftp站点
3、使用邮件服务器发布向导发布内部的邮件服务器
十一、利用ISAServer2004,四步建立你自己的VPN服务器
1、启用VPN服务器
2、配置远程访问属性
3、给予用户拨入权限
4、建立访问规则
十二、ISAServer2004的无人值守安装
十三、远程管理ISAServer2004
1、允许计算机可以远程控制ISAServer2004
2、授权用户远程管理ISAServer2004
十四、ISAServer2004的故障恢复
两个小时成为ISA2004专家:
全新的多网络架构支持
通常来说,内部网络的概念是指公司内部网络中的所有计算机,外部网络是指公司内部网络以外的所有计算机(通常指Internet)。
但是由于使用移动计算机访问公司内部网络的用户的出现,从而使用户实际上成为了独立于网络的部分。
分支办公室连接到总部,并希望像公司总部的内部网络组成部分一样使用总部的资源。
许多公司使其公司网络中的服务器(尤其是Web服务器)可接受公开访问,但希望将这些服务器组织成一个单独的网络(DMZ网络)。
ISAServer2004服务器新增的多网络功能使你可以通过很简单的配置来为这些复杂的网络方案提供保护。
多网络支持影响到大部分ISAServer2004服务器的防火墙功能。
使用ISAServer2004服务器的多网络功能可以限制客户端(甚至你自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。
可以通过在ISAServer2004服务器中定义各个网络之间的关系,从而确定各个网络中的计算机如何通过ISAServer2004服务器相互进行通信。
还可以将计算机组织成ISAServer2004服务器网络对象(如计算机集和地址范围),并针对各个网络对象配置相应的访问策略。
在常见的服务器发布方案中,您可能要将发布的服务器隔离在其自己的网络(如DMZ网络)中。
ISAServer2004服务器的多网络功能支持这样的方案,让你可以很方便的配置公司网络中的客户端如何访问DMZ网络,以及Internet上的客户端如何访问DMZ网络。
你也可以配置各个不同网络之间的关系,从而在各个网络之间定义不同的访问策略。
ISAServer2004服务器中新增了网络模板和网络模板向导的功能,使得你可以很方便的配置你的网络拓扑结构。
在该图中,ISAServer2004服务器连接Internet(外部网络)、公司网络(内部网络)和DMZ网络。
ISAServer2004服务器上有三个网络适配器,每个网络适配器都连接到其中的一个网络。
通过使用ISAServer2004服务器,你可以在任何网络之间配置不同的访问策略,也可以确定各个网络中的计算机是否可以相互进行通讯,以及如果是,将采用什么方式。
网络间是独立的,只有在你配置了允许通讯的规则时才是可访问的。
为了实施多网络方案,ISAServer2004服务器引入了下列概念:
·
网络:
从ISAServer2004服务器的角度看,网络是可以包含一个或多个IP地址范围或域的元素。
网络包含一台或多台计算机,并且始终对应于ISAServer2004服务器上的特定网络适配器。
您可以对一个或多个网络应用规则。
•网络对象:
创建网络后,可以将其组织成网络对象集(子网、地址范围、计算机集、URL集或域名集)。
规则可以应用于网络或网络对象。
•网络规则:
可以配置网络规则,以定义并描述网络拓扑。
网络规则确定了两个网络之间是否存在连接关系,以及将使用哪一种连接。
可以通过下列方式之一连接网络:
网络地址转换(NAT)或路由(Route)。
增强的虚拟专用网络(VPN)
ISAServer2004服务器改进后的VPN管理功能可以帮助您轻松的设置虚拟专用网络(VPN),并且由于支持产业标准Internet协议安全(IPSec),所以ISAServer2004可以加入到其他供应商提供的已有VPN基础结构的环境中,其中包括那些对站点到站点连接采用IPSec隧道模式配置的环境。
图注ISAServer2004中全面增强了VPN功能
在ISAServer2004中,有两种类型的VPN连接:
•远程访问VPN连接。
客户端建立远程访问VPN连接,以连接到专用网络。
ISAServer2004服务器作为VPN接入服务器,远程客户通过连接它来进入内部网络。
•站点到站点的VPN连接。
两个VPN服务器之间建立站点到站点的VPN连接,将专用网络的两个部分安全地连接起来。
将ISAServer2004服务器作为VPN服务器的好处是可以防止公司网络受到恶意VPN连接的威胁。
通过新增的多网络支持和对VPN监控状态的检查,ISAServer2004能很好的保证VPN的安全。
同时VPN服务器集成到了防火墙功能中,所以为预配置的VPN客户端网络定义的ISAServer2004服务器访问策略都适用于VPN用户。
所有VPN客户端都属于VPN客户端网络,并且受到防火墙策略的限制。
ISAServer2004服务器中新增的隔离模式,可以确保在允许客户端加入VPN客户端网络(通常具有不受限制的内部网络访问权限)之前,先检查其是否符合公司的软件策略。
通过使用隔离控制,可以在真正地允许远程(VPN)客户端访问网络之前,将其限定为隔离模式,从而为其提供了阶段性的网络访问权限。
在客户端计算机配置被调整或被断定为符合组织的特定隔离限制后,会依照您指定的隔离类型对连接应用标准的VPN策略。
例如,隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。
尽管隔离控制并不防范攻击者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也可以得到更正。
还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时间即断开其连接。
可以为每个VPN客户端网络创建两个不同的策略:
•被隔离的VPN客户端网络。
将访问限制在某些服务器的范围内,客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。
•VPN客户端网络。
可以允许访问所有公司(内部网络)资源,或者根据需要限制访问。
VPN客户端网络将拥有与外部网络的NAT关系。
系统将配置一个定义VPN网络与外部网络之间的NAT关系的网络规则。
更方便的管理
ISAServer2004在管理方面,使用起来更加方便。
1.全新的管理界面
为了方便管理,ISAServer2004的管理主界面看上去更加简洁,给用户一种亲切感。
图注ISAServer2004管理控制台的监视节点界面,清爽易用
2.策略模板支持
ISAServer2004在网络方面一个重要的新增功能是提供了网络配置模板,可以让你轻松的设置防火墙策略。
ISAServer2004提供了5个预定义的网络模板:
边缘防火墙、3向外围网络(含DMZ)、前端防火墙、背部防火墙、单网络适配器。
图注ISAServer2004中的模板大大降低了配置难度
配置的导出和导入
ISAServer2004服务器新增了配置的导出和导入功能,您可以使用该功能将服务器配置参数保存到一个.xml文件中,然后将该信息从文件导入到另一台服务器中。
你可以将配置保存到您拥有写入权限的任何目录和文件中。
图注备份、还原可以免除你重装系统之后的重复配置之苦
仪表板
仪表板是ISAServer2004中的一个新颖的设计,通过它,你可以对ISAServer2004当前的状态一清二楚
实时的日志监控
ISAServer2004的日志系统是通过简化版的SQLServer来实现的,不但高效,而且可用于查询的条件达到了几十项,如ClientIP、连接状态等等。
强大的报告功能
报告是ISAServer2004日志系统中一个划时代的改进。
简单的操作、丰富的选项和报告发布的容易,让ISAServer2004的报告功能成为了让网管选择ISAServer2004的一大杀手锏。
ISAServer2004生成的报告是纯html文件,非常方便你共享给其他用户观看。
而且报告内容的详细程度,会令你大吃一惊。
全面的协议支持
ISAServer2004中定义了绝大部分的通用协议,有上百种之多。
不过毕竟是泊来品,ISAServer2004把QQ定义为ICQ。
让网络更安全
基于每个策略的HTTP过滤
ISAServer2004中的HTTP过滤策略是基于每条防火墙策略的,只要这防火墙策略中包含了HTTP协议,就可以配置该防火墙策略的HTTP策略。
如下面两张图,第二条和第三条两个不同的策略都包含有HTTP协议(协议为所有出站通讯,包含HTTP协议),所以都可以“配置HTTP”。
阻止对所有可执行文件的访问
我们知道,对于Windows2000/XP/2003下的攻击,很多时候是以得到服务器的Shell为目标的,这就需要执行服务器上的Cmd.exe。
ISAServer2004中可以明确禁止访问服务器上的Exe可执行文件,这样类似的攻击就不防而灭了……
扩展名决定是否可以下载
通过配置HTTP过滤,你可以通过文件的扩展名来控制用户可以访问的Web内容。
.“HTTP签名”控制HTTP访问
ISAServer2004的深层HTTP检查机制可以让你建立“HTTP签名”来和客户请求的URL进行比较,这样可以让你精确的控制通过ISAServer2004防火墙进行访问的内部和外部用户,例如微软安全公告MS04-013中的OE溢出漏洞,是通过在HTTP头中的路径名来进行。
你可以在“配置HTTP”中阻止带有这个特征的HTTP数据。
图注“HTTP签名”可以防止类似“Download.Jet”的蠕虫攻击
FTP策略
在ISAServer2004提供了一个FTP策略,可以设置是否允许用户上传数据到FTP服务器中。
图注如果选择只读,则用户只能从FTP服务器上下载数据而不能上传
升级会员 