教委教材样本26.docx

1、教委教材样本26第16章 允许对 Internet 资源的访问本章概述企业上网对企业信息的沟通带来了极大的便利。但是同时也带来了资源滥用的危险。诸如，访问一些非业务需要的站点从而下载了一些后门程序。还有这样的一些管理需求，不同的用户对网络访问需要有不同的权限。这些个性化需求都对管理员提出了挑战。Microsoft Internet Security and Acceleration (ISA) Server 2004 的主要部署场景之一，是为内部用户提供对Internet资源的安全访问。为了提供这种安全的访问，ISA Server 2004 提供了一套全面的解决方案。ISA Server管理员

2、需要了解ISA Server提供的功能以及 Internet资源安全访问的配置方法。教学目标 掌握 ISA Server 2004 作为代理服务器的工作原理 在 ISA Server 服务器上配置多网络 配置访问规则元素 配置 ISA Server 提供对 Internet 资源的安全访问教学重点 配置ISA Server作为代理服务器：正向、反向代理 通过ISA Server设置多网络：DMZ、网络规则 配置访问规则元素：协议、用户、内容类型、计划 通过ISA Server实现网络规则：工作原理、创建和修改 教学难点 学生对于ISA Server需要维护的网络环境没有认识，因此对于部署ISA

3、 Server的场景无法理解。 学生不一定对安全相关的术语有所了解，比如防火墙、NAT、多网络 学生对与安全相关的Windows 2000 Server服务没有深刻的了解，教师要引导他们通过课外阅读和在Internet上查阅相关资料进行学习。教学资源课本知识点16.1作为代理服务器的 ISA Server 200416.2在 ISA Server 上配置多网络16.3配置访问规则元素16.4配置 Internet 访问规则习题习题1-对应知识 (16.1.1)习题2-对应知识（16.1.7）习题3-对应知识（16.2.1）习题4-对应知识（16.2.3）习题5-对应知识（16.3.1）习题6-

4、对应知识（16.3.4）实验实验16-1：配置 ISA Server 作为 Web 代理服务器实验16-2：管理网络对象实验16-3：配置防火墙规则元素实验16-4：管理访问规则实验16-5：允许对 INTERNET 资源的访问教学指导手册包新版幻灯片教师光盘:/Powerpnt/2824A_16.ppt多媒体视频无习题解答教师光盘:/tPrep/answer/Answer16.doc先修知识在正式开始学习本章内容以前，学生须具备下列知识基础。知识基础推荐补充网络基本概念、服务器基本应用和知识网络常见协议的概念和使用Internet的使用和电子邮件服务ISA Server的安装和配置建议学时课

5、堂教学2课时+实验教学2课时教学过程16.1作为代理服务器的 ISA Server 2004教学提示 ：本节主要达到以下目的： 掌握 ISA Server 如何提供对 Internet 资源的安全访问 掌握使用代理服务器的原因和配置方法 掌握正向、反向Web代理服务器的工作原理 为 Internet 访问配置 DNS 配置 Web 链 配置拨号连接教学内容教学活动教学提示讲授：本章我们将讲授，如何使用ISA Server 2004控制对Internet的访问。在今天，Internet给企业带来了巨大的便利，很多企业习惯于通过Internet提供服务，企业的员工也习惯于通过Internet收集信

6、息和查找资料。但与此同时，Internet也给企业带了很大的风险，员工很可能在不知情的情况下将Internet上的病毒和木马程序带入内部网络。所有的企业都会有这样的困扰，它无法控制员工去使用Internet上的不当资源。更为严重的是，有些员工可能会从Internet上不断的进行大量的下载，严重的占用了企业有限的连接带宽，类似于BT这样的软件同时还会产生大量的上传。这样作的结果是Internet上的用户想要访问企业内部的Web网站时，会因为网络的拥塞变的异常困难。甚至于还会出现这种情况 ：某公司总部设在上海，在武汉和广州拥有分公司，公司租用了10M的链路用于连接Internet，同时在总部和分部

7、之间通过VPN传输公司的业务数据。10M本来应当是足够业务的展看的，但是由于大量员工无限制的下载，导致公司的业务数据在传输的时候，因为带宽的耗尽，无法在指定时间内完成，以至于公司的正常业务无法展开。这种情况是灾难性的。因此控制对于Internet的访问，就成为目前每个企业必须要解决的问题。而ISA Server 2004可以利用多种技术实现这一目标。接下来我们会从多个方面来看看ISA Server 2004如何实现对Intenet资源的访问控制。阅书：16.1.1幻灯：第6页使用 ISA Server 2004 控制安全的 Internet 访问讲授：ISA Server的主要功能之一是作为代

8、理服务器。首先，我们就要说明一下这个名词，代理服务器。代理服务器是目前Internet上非常重要的一种服务，简单的说，正如其名称，它是一个代理，就好像现在网上很流行的网上购物交易一样，比如eBay，网站本身是一个代理，你通过网站从另外一个人那买东西，换一个词描述我们可以这样形容：中介。这样的好处是，你不必要担心花了钱买了不值的东西，因为东西到了手，网站才把你支付的钱付给对方，同样的对方也不担心给了东西收不到钱，因为在交易开始的时候，钱已经付给了网站。当然，ISA Server所作的代理不是为了完成这样的功能。我们来看看ISA Server可以作什么事情呢？比如说学校在校园网和Internet间

9、安装了ISA Server，就会出现以下场景：学生A用自己的账户登陆到网络，他想使用IE访问Internet，这时ISA Server发现这个账户本月的上网费用没有交，因此该学生无法访问Internet；教师B某次来到一个学生自习教室用该教室的一台电脑上网，他想访问Internet，ISA Server发现这台电脑的IP属于自习教室，而学校的网络规定是自习教室的电脑不能连接到Internet，所以ISA Server禁止了访问。学生C想偷偷访问不良的网站，ISA Server发现他访问的网站中有不良的关键词，于是禁止了对该网站的访问。员工D在浏览一个网页的时候，这个网页含有一个恶意的脚本，会窃

10、取员工计算机上的信息，ISA Server可以发现这个脚本并阻止它的运行。从上面可见ISA Server可以实现很多的功能。讲解课本16.1.1代理虽然是网络常用的技术，但是很多学生并不会接触，需要通过举例进行说明。讲解：现在我门已经了解了ISA Server可以怎样控制Internet访问，不过有一点需要大家注意。ISA Server对于Internet访问的控制并不是他作为代理服务器的全部功能，使用代理服务器的最重要的原因是为了保证用户连接Internet的安全性和访问性能。这里我们进一步描述以下ISA Server作为代理服务器的工作流程。通常情况下，用户打开IE浏览器连接Web服务器的

11、时候，他们是直接交流信息的，如果中间使用了ISA Server作为代理服务器，用户会首先将对网页的请求提交给ISA Server，ISA Server确定该对该网页的访问是合法的，就会将这个请求发往Web服务器，Web服务器收到请求之后，会将所请求的网页发往ISA Server，ISA Server检查该网页会不会存在安全问题，然后将网页发往用户，这时用户才能在IE上查看网页的内容。有了这样的过程ISA Server就可以实现上面提到的两个功能。通过代理，内部网络实际上被ISA Server隐蔽了起来，外部网络无法直接和内部进行连接，连接是否能够建立，需要中间的ISA Server同意。讲解课

12、本16.1.2阅书：16.1.2幻灯：第7页讲授：接下来，我们看看ISA作为代理服务器的重要实现Web代理服务器。ISA Server作为代理服务器工作的时候，有两种方式：正向代理和反向代理。所谓正向反向，是相对于需要保护的内部网络而言，正向代理控制的是由处在内部网路的客户端向外部Web服务器发起的访问，反向代理控制的是向内部网络的Web服务器发起的访问。 演示：要实现Web代理，注意在客户端的IE浏览器上要添加额外的配置。讲授：下面我们来看看ISA Server实现Web代理的具体步骤：讲解课本16.1.3、16.1.4无论是正向代理还是反向代理，目的都是一个，保护内部网络，这一点请大家注意

13、。在这里我想强调一下反向代理，因为企业网络内部的Web服务器是需要进行保护的重要资源，很多的入侵往往也会针对它们。如果黑客可以直接访问Web服务器，他们可以通过诸如将可执行的有害文件设法上传到Web服务器、或者通过访问时提交恶意的代码等方法来进行入侵，还有一个比较流行的方法是DoS（拒绝服务）攻击，黑客会尝试和Web服务器建立数十万计（可能会更多）的连接，但是不进行响应，这样服务器就会在等待大量响应的过程中，被耗尽资源，结果是：Web服务垮掉了。在有代理服务器的情况下，即使发生攻击，攻击的对象不会是内部的Web服务器，而变成了这个代理服务器，这时，ISA Server可以通过防火墙功能和Web

14、筛选功能实现对攻击的防护。这些内容在后面的章节会讲述。阅书：16.1.1幻灯：第8页有的学生可能会对HTTP代理有所了解，可以引导他们进行描述。可以通过在IE浏览器中设置代理服务器进行演示说明。演示：将ISA Server配置为代理服务器。提问：SSL的功能是什么？答：提供基于HTTPS连接的加密Web通信。这里很多参数的内容前面的章节讲到过，引导学生进行回忆。讲授：除了Web代理以外，还可以配置ISA Server作为DNS代理，这里面的主要功能是可以提供DNS缓存。提问：DNS的主要功能是什么？答：提供IP地址和DNS名称之间的转换。讲授：DNS缓存主要的目的是加快DNS查询的速度，如果需

15、要查询的DNS条目存在于缓存之中，ISA Server将直接将该条目发给查询者，而不会继续将该DNS请求提交到DNS服务器。讲解课本：16.1.6阅书：16.1.6幻灯：第11页讲授：使用ISA Server作为代理服务器的另外一个用途是可以配置Web链。Web可以充分的提高Web缓存的性能，还有助于隔离内部的网络。例如：一个公司具有一个总部和多个分支机构，在总部和分支机构都分别部署了ISA Server。分支机构的一个用户正在浏览网页，当他浏览的时候，分支机构的Web缓存中没有该网页的内容，然后分支机构的ISA Server会将请求传到总部的ISA Server，总部的ISA Server发

16、现缓存中有相关网页的内容，然后直接将缓存内容传送给该用户。演示：配置Web链讲授： 关于分支机构或者一些敏感部门的连接，这里我们要谈一下拨号连接。虽然，拨号连接是一种速度较慢的连接方式，但是利用它的特点，并非是一种永久的连接，因此适合用于备用连接或者是一些特殊场合。比如：一个机密的实验室，为了安全起见没有直接和Internet相连，不过通过ISA Server配置了往企业总部的拨号连接，当需要访问Internet的时候，ISA Server会自动拨号建立连接，使用完毕，ISA Server也可以自动中断连接，这无疑提高恶劣网络的安全性。讲解课本16.1.7、16.1.8阅书：16.1.7幻灯：

17、第12页小结： 本节首先说明了ISA Server能怎样对Internet访问提供安全保护，然后重点说明了将ISA Server作为代理服务器的功能，以及使用ISA Server进行正向和反向Web代理的作用和原理。通过代理服务器，可以对内部网络进行多方面的保护同时提高网络的性能，如：Web、Web链、DNS缓存、拨号连接等等。在Microsoft部署安全防火墙、代理和Web缓存16.2 在 ISA Server 上配置多网络教学提示 ：本节主要达到以下目的。 掌握 ISA Server 2004 支持多网络的方法 掌握在 ISA Server 2004 中默认启用的网络 掌握默认网络对象 创

18、建和修改网络对象 掌握网络规则教学内容教学方法教学提示讲授：在介绍了使用ISA Server作为代理服务器的功能以后。我们来看看ISA Server管理到Internet访问的又一个功能，配置多网络，这也是ISA Server 2004的一个新特性。首先我们要谈一谈，什么是多网络，为什么要使用多网络。实际上，这里说的多网络，简单的说就是多个IP网络，当然要注意它们的连接方式。例如我们在一台安装了ISA Server的服务器配置三块（或者更多）网卡，一块网卡用于连接Internet，一块用于连接内部网络，一块用于连接服务器集群，这就是三个不同的网络了。可能大家还没有发现使用多网络的作用，不就是一

19、个三向连接么？当然，这就是ISA Server要起作用的地方。假设你在使用ISA Server来连接内部网络和外部网络，一个典型的两网络连接。我们来考察一下内部网络，这中间会有很多部门的用户，还有公司对外提供服务的各种服务器。这些由于是在一个网络中，那么ISA Server对他们提供的是相同的保护。但是，这些设备的安全特点是不一样的，显然，用户更多的是向外（正向）的访问，我们要保护他们不被外部网络上的用户直接访问；而对于那些服务器，情况就不同了，更多是向内（反向）的访问。这两种情况用同一种安全策略可能么？从另外一个角度讲，普通用户和应用服务器处在同一个网络，如果普通用户没有相应的安全意识，计算

20、机受到了诸如：木马、病毒的侵害，很有可能会危及到需要重点保护的服务器；同时，由于有大量的Internet用户访问服务器，如果服务器存在安全漏洞，黑客也有可能通过这些服务器来访问内部网络中的其他计算机。因此，使用多网络的模型在企业中是必须的。这里引入一个概念：DMZ（demilitarized zone，非军事化区）。DMZ是除了内部和外部网络的第三个网络，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。实现DMZ的标准策略是： 内网可以访问外网和DMZ； 外网可以访问DMZ，但是不能访问内网； DMZ不能访问内网；有了这样一个策略，我们就可以放心的

21、让Internet上面的用户访问DMZ上面的服务器，而不担心他们会威胁到内部网络上的计算机。实现上述场景的方法是首先用ISA Server支持多网络，然后在网络间定义相应的访问规则。讲解课本：16.2.1阅书：16.2.1幻灯：第17页使用ISA Server 部署三宿主的DMZ区域如果学有余力，建议增加对于DMZ的描述讲解：ISA Server对于多网络，除了IP网络以外，还有着更为广泛的划分方法。我们可以很方便的通过各种网络对象，对网络进行划分。这样给利用ISA Server组网带来了很多便利性。比如某公司的多个部门需要有不同的安全策略，比如说财务部可能需要更加严格的访问控制。这时，我们可

22、以利用ISA Server，通过地址范围来进行网络对象的划分。讲解课本16.2.2、16.2.3阅书：16.2.2幻灯：第18页演示16.2.4创建和修改网络对象讲授：正如前面提到的，在用ISA Server定义完多网络之后。我们还需要制定相应的网络规则和访问规则才能保证内部网络和服务器的安全。访问规则我们将在下一节详细说明。我们先来看看网络规则。ISA Server使用网络规则关系有两种，路由和网络地址转换。这两个概念在Window 2003 Server网络基础架构中学到过。这里是相同的。提问：Windows 2003 Server的路由服务的概念和功能是什么？网络地址转换的概念和功能是什

23、么?路由和网络地址转换相比，就好比你在公路上开车经过收费站可能交点钱很快就可以通过（路由），而如果要经过海关进入另外一个国家，手续就要麻烦很多（网络地址转换）。在用ISA Server实现多种网络间的规则关系时，务必记住，使用网络地址转换可以实现最基本的网络安全，它屏蔽了内部网络的细节，但与此同时，网络地址转换需要花费更多的设备资源（CPU和内存），也可能会造成一些点对点的应用程序以及内部网络的一些服务器无法正常工作。一个最典型的方法是，内部网络和外部网络之间使用NAT，以确保安全性；而服务器所在的网络和外部网络之间使用路由，保证性能。讲解16.2.5演示：创建网络规则阅书：16.2.5幻灯：

24、第21页路由网络地址转换教师通过提问回顾以上概念。小结： 本节主要讲解了，使用ISA Server连接多网络的概念和实现的功能，同时通过描述网络对象和网络规则说明了ISA Server如何对多个网络进行控制。16.3 配置访问规则元素教学提示 ：本节主要达到以下目的。 掌握什么是防火墙规则元素 配置协议元素、用户元素、内容类型元素以及计划元素 配置域名集与URL集教学内容教学方法教学提示讲授：在本节，我们继续来学习如何使用ISA Server保证Internet访问的安全。ISA Server有个默认的强安全规则在默认情况下，除了“本地主机”网络（ISA Server 服务器）和其他网络之间的

25、通信外，ISA Server 会拒绝网络之间的其他一切网络通信。使用访问规则实际上就是来说明什么样的数据可以从一个网络到达另外一个网络，而什么样的数据不能。比如说我想让内部网络中人事部的电脑都可以访问Internet，而档案部的电脑由于机密都不能访问Internet，这就是一个访问规则。而用来描述这个访问规则的就是访问元素。本节主要是讲解各种访问元素的内容。如果说访问规则是做菜，那么访问元素就是各式各样的菜谱。讲解课本16.3.1阅书：16.3.1幻灯：第25页使用 ISA Server 2004 控制安全的 Internet 访问讲授：下面我们来一一看看各个元素： 协议元素ISA Serve

26、r允许我们通过各种类型的协议来对访问规则进行控制。这里有一点我们需要注意，这里简单的回顾一下TCP/IP的协议模型：应用层HTTP、FTP、SMTPTFTP传输层TCPUDPInternet层IP注意这个层次关系，如果我们禁止了IP协议实际上所有的传输层和应用层的协议都不能通信，如果我们只控制了UDP协议，那么HTTP这些基于TCP的协议是不受影响的。讲解课本16.3.2 用户元素提问：用户和用户组的关系：禁止了用户组就禁止了组内的所有用户。RADIUS的工作原理大概是如何的？讲解课本16.3.3 内容类型元素当用户使用IE浏览器利用HTTP或者FTP协议下载的时候，我们可以通过ISA Ser

27、ver控制用户可以下载的文件类型。比如：学校为了避免校内人员有意或者无意的下载了包含木马的文件，通过分析，大部分木马是可执行文件，因此可以在ISA Server上配置禁止下载应用程序。讲解课本16.3.4 计划元素计划元素允许大家通过ISA Server定义特定时间的Internet访问规则，如：周六、日晚上作为维护时间，禁止一切Internet的访问。讲解课本：16.3.5 域名集和URL集如果我们有具体的Web站点，不希望用户访问，也可以直接通过URL进行控制。讲解课本16.3.6演示： 配置各种访问元素阅书：16.3.2幻灯：第26页协议、用户等相关概念在前面的学习中已经学过，这里可以通过提问进行回顾。小结： 本节说明ISA Server在配置访问规则的时候所要用的的各种网络元素。通过本节，大家可以了结到，ISA Server进行访问控制的手段的多种多样的。16.4 配置 Internet 访问规则教学提示 ：本节主要达到以下目的。 掌握访问规则的工作原理 掌握身份验证用于 Internet 访问的方式 创建和修改访问规则 配置 HTTP 筛选教学内容教学方法教学提示讲授：了解了访问元素，接下来我们就要来看看如何把这些访问元素应用到多个网络中