开发学院网络安全防火墙 ISA Server 2006使用基础知识阅读

ISA Server 2006使用基础知识

　2010-09-30 12:23:56　来源：WEB开发网　　　

核心提示：Internet Security and Acceleration（简称ISA）Server是Microsoft推出的集防火墙、代理服务器于一身的服务器端软件，它同时有代理服务器（代理客户端共享上网）、防火墙（安全连接Internet、安全发布网络内各项服务如Web、FTP、E-mail到Internet上、提供安全

Internet Security and Acceleration（简称ISA）Server是Microsoft推出的集防火墙、代理服务器于一身的服务器端软件，它同时有代理服务器（代理客户端共享上网）、防火墙（安全连接Internet、安全发布网络内各项服务如Web、FTP、E-mail到Internet上、提供安全的VPN连接）功能。ISA Server的代理服务器中的“缓存”功能是业界最好、速度最快的，许多大型公司都使用ISA Server中的代理服务器功能作为缓存服务器。

11.1 ISA Server功能概述

Microsoft Internet Security and Acceleration (ISA) Server 2006是可扩展的企业防火墙和Web缓存服务器，它构建在Microsoft Windows Server 2003和Windows 2000 Server操作系统安全、管理和目录上，以实现基于策略的访问控制、加速和网际管理。

当企业网络接入Internet时，Internet为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在，同时也带来了与安全、性能和可管理性等有关的风险和问题。ISA Server旨在满足当前通过Internet开展业务的公司的需要。ISA Server提供了多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA Server Web缓存使得组织可以通过从本地提供对象（而不是通过拥挤的Internet）来节省网络带宽并提高Web访问速度。

无论是部署成专用的组件还是集成式防火墙和缓存服务器，ISA Server都提供了有助于简化安全和访问管理的统一管理控制台。ISA Server为Windows Server 2003和Windows 2000 Server平台而构建，它通过强大的集成式管理工具来提供安全而快速的Internet连接性。

ISA Server 的版本包括ISA Server 2000、ISA Server 2004、ISA Server 2006，当前最新版本是ISA Server 2006。ISA Server提供了“代理服务器”、“缓存服务器”、“防火墙”等三个方面的功能。

11.1.1 代理服务器功能——提供安全性非常高的共享Internet服务

将网络和用户连接到Internet会引入安全性和效率问题。ISA Server 2006为组织提供了在每个用户的基础上控制访问和监视使用率的综合能力。ISA Server保护网络免受未经授权的访问、执行状态筛选和检查，并在防火墙或受保护的网络受到攻击时向管理员发出警报。

ISA Server是防火墙，通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络(VPN)、系统坚固、集成的入侵检测、智能的第7层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等等增强安全性。ISA Server 2006 可实现下列功能：

·保护网络免受未经授权的访问；

·保护Web和电子邮件服务器防御外来攻击；

·检查传入和传出的网络通讯以确保安全性；

·接收可疑活动警报。

11.1.2 加快Web访问速度——业界最好的缓存服务器

Internet 提高了组织的工作效率，但这是以内容可访问、访问速度快且成本合理为前提的。ISA Server 2006 缓存通过提供本地缓存的Web内容将性能瓶颈控制在最少，并节省网络带宽。ISA Server可实现下列功能：

·通过从Web缓存（而不是拥挤的Internet）提供对象来提高用户的Web访问速度；

·通过减少链路上的网络通讯来减少Internet带宽成本；

·分布Web服务器内容和电子商务应用程序，从而有效地覆盖了全世界的客户并有效地控制了成本；

·从 ISA Server Web缓存中提供常用的Web内容，并将节省出来的内部网络带宽用于其他内容请求。

11.1.3 虚拟专用网络（VPN）支持——代理服务器、防火墙服务器与VPN服务器可以可以共存

ISA Server 2006 支持安全的虚拟专用网络 (VPN) 访问，分支机构或远程用户可以通过这种类型的访问连接到公司网络。ISA Server防火墙策略应用于 VPN 连接，以控制 VPN 用户可以访问的资源和协议。ISA Server 2006支持的功能在表11-1中列出。

表11-1 ISA Server 2006支持的VPN功能列表

功　　能

描　　　　　　　　述

VPN 管理

ISA Server包含一种完全集成的虚拟专用网络机制，该机制基于 Microsoft Windows Server 2003 和 Windows 2000 Server 功能。

对 VPN 的状态筛选和检查

由于 VPN 客户端配置为独立的网络，因此可以为 VPN 客户端创建单独的策略。防火墙策略引擎有差别地检查来自 VPN 客户端的请求，对这些请求进行状态筛选和检查，并根据访问策略动态地打开连接。

SecureNAT 客户端支持连接到 ISA Server VPN 服务器的 VPN 客户端

ISA Server允许 SecureNAT 客户端即便在客户端系统上未安装防火墙客户端软件的情况下也访问 Internet，从而扩展了 VPN 客户端支持。还可以通过在 VPN SecureNAT 客户端上强制实施基于用户或组的防火墙策略来增强公司网络的安全性。

通过站点到站点的 VPN 隧道进行状态筛选和检查

ISA Server针对通过站点到站点的 VPN 连接移动的所有通讯引入了状态筛选和检查。可以控制资源，以便特定的主机或网络能够在对方进行访问。基于用户或组的访问策略可以用来精细地控制通过链路的资源利用。

VPN 隔离控制

可以在独立的网络上隔离 VPN 客户端，直到它们满足预定义的一组安全要求。VPN 客户端传递安全性测试是基于 VPN 客户端防火墙策略的所允许的网络访问。可以为未通过安全性测试的 VPN 客户端提供有限的服务器访问权限，有利于满足网络安全需求。

对站点到站点 VPN 链接的 IPSec 隧道模式支持

ISA Server通过允许将 IPSec 隧道模式用作 VPN 协议来提供站点到站点的链接支持。IPSec 隧道模式支持大大地增强了 ISA Server与大量第三方 VPN 解决方案的互操作性。

VPN 监视和日志记录

可以监视 VPN 客户端和远程 VPN 网络的活动，就像监视其他任何 ISA Server客户端的活动一样。

11.1.4 安全发布服务器——将内部网络中的多台服务器发布到Internet对外提供服务

ISA Server 2006可以发布局域网内的多台服务器和多种服务到Internet，用来为Internet网络上的用户提供相应的服务。ISA Server 2006可以用一个或多个指定的地址(公网地址)同时发布受ISA Server 2006保护的网络内的多台服务器或多种服务，ISA Server 2006可以真正发布安全的Web站点，这些都是其他软件或硬件防火墙所不能比拟的。图11-1是使用ISA Server 2006发布服务器的一个例子，在以后的使用中，这种情况会很普遍。

ISA Server 2006使用基础知识

图11-1 用ISA Server 2006发布多台服务器的网络拓扑图

11.2 防火墙与代理服务器的基础知识

本节将要讲述一些代理服务器、防火墙、ISA Server 2006的相关知识，这涉及到一些名词或术语，如内网、外网、公网、私网、合法IP、端口、映射、代理、NAT、转发等。

许多人觉得代理服务器很难配置，也有人认为很简单，也有一些人不明白，为什么要用代理服务器。而对于防火墙，大多数人认为安装了防火墙，网络就安全了，至于为什么安全、怎么安全就说不清了。还有一些人认为防火墙要比代理服务器“复杂”，因为网络出口配置了防火墙后，有些网络服务或通讯(如QQ、BT等)会出现一些问题。要解决这些问题，需要了解上网或网络通讯的实质，也就需要了解下面这些名词及来历。

11.2.1 网络服务与端口的关系

对于Internet、Intranet或单位局域网(LAN)来说，一台计算机要想为其他计算机提供“服务”，例如把这台计算机作为打印共享服务器，除了要在这台计算机上安装“硬件”打印机外，还要开启“打印服务”这一功能。提供不同的“服务”，需要开启与之相应的“服务功能”，而“服务”和“服务功能”或“服务功能的实现”，是由安装在计算机(或称为服务器的计算机)上的操作系统和应用程序软件来提供的。换句话说，一台计算机要为外部提供WWW浏览服务，则需要在这台计算机上安装能提供WWW浏览的“服务器端软件”。在网络中，每一项功能(或服务)都是由安装在计算机上的操作系统(系统软件)和运行在操作系统之上的应用程序(称为服务软件)来提供的。这是从“系统级”应用来说的，而对于目前的基于TCP/IP的网络来说，用来提供各种服务的计算机来说，为了方便网络上(包括LAN、Intranet、Internet)的其他用户(通常是一些计算机)来访问或使用这些服务，都需要提供服务的地址，具体的说，就是需要TCP/IP地址、协议(TCP或UDP)、端口号这三部分内容。

当一台计算机(称为A)访问另一台计算机(称为B)提供的服务时，这两台计算机(A与B)需要建立一个连接。建立连接时，A计算机使用一个随机端口与B计算机提供服务的端口建立一个连接，当连接建立后，A与B之间就可以互相通讯(发送与接收数据)。例如，A计算机的IP地址为202.206.203.229，B计算机的IP地址为202.206.192.227，A计算机访问B计算机提供的Web站点，大家知道，默认的Web站点为TCP协议的80端口。此时，A计算机会从TCP的1024到65535之间选择一个没有使用的端口(假设这个端口为19876)与B计算机的TCP协议的80端口建立一个连接，当连接建立成功后，A计算机就可以访问B提供的Web服务了。

每一项服务，都有一个端口(或多个端口)与之对应，可以使用的端口号从1到65535之间选择，系统服务通常使用1024以下的端口。使用哪个端口号提供服务都可以，但对于一些常见的服务，通常使用一些固定的端口，例如Web服务使用TCP的80端口，FTP服务使用TCP的21端口，Windows终端服务使用TCP的3389端口等，要使用防火墙及代理服务器，首先要记住一些常见的端口号，表11-2列出了常见服务及对应的端口号，请大家参考。

表11-2 常见服务与对应端口号一览表

服务名称

协议类型

端口号

服务简介

FTP

TCP

21

文件传送协议

Telnet

TCP

23

Telnet服务

SMTP

TCP

25

简单邮件传输协议

DHCP请求

UDP

67

DHCP请求

DHCP答复

UDP

68

DHCP答复

DNS

TCP

53

DNS服务

DNS

UDP

53

DNS服务

HTTP

TCP

80

Web服务

POP3

TCP

110

邮局协议 V.3

RDP

TCP

3389

远程桌面协议(终端服务)

【说明】关于一些服务与协议的端口号，在安装ISA Server 2006后，可以参看“防火墙策略”页中的“工具箱”选项卡中的“协议”页。

使用默认的端口号，只是为了方便访问这些服务，实际上，也可以不使用默认的端口号而使用自定的端口号，但要通知访问者。例如，Web站点通常使用TCP的80端口，如果使用80端口以外的号码例如使用TCP的8001端口，则用户在访问的时候，需要在IE浏览器中键入类似于http://www.xxx.yyy:8001之类格式，其中www.xxx.yyy是提供Web服务的计算机的域名或其IP地址，8001是对应的Web服务的端口号。

11.2.2 TCP/IP地址的意义

对于TCP/IP地址，一般人都知道是由4个字节、32位长的二进制数字组成，通常还会常听到公网地址、私网地址、内网、外网等名词，那这些名词代表什么意义呢？

通常所说的私网地址，是指TCP/IP地址在10.0.0.1到10.255.255.254、172.16.0.1到172.31.255.254与192.168.0.1到192.168.255.254范围以内的地址。而所说的公网地址，是指TCP/IP地址排除私网地址段与127.0.0.0地址段以后的地址段。合法IP，就是指公网网络使用的IP地址，这些地址在Internet上是可以直接被访问的。

通常所说的“内网”是相对“外网”来说的，通常指局域网或经过防火墙保护的网络；而“外网”通常是指直接连接在Internet上的网络，或者指通过广域链路连接企业内部局域网以外的网络，或者指不受防火墙保护的、可以连接到外部网络的网络。

要想访问“公网”上的计算机，必须有能直接连接到“公网”的设备并且有合法的IP地址，私网内的计算机是不能直接访问公网的计算机(或设备)的。而“公网”上的设备也不能直接访问“私网”中的计算机，或不能直接访问“私网”中的计算机提供的某项服务。可以这样举例，具有公网地址的计算机或设备，就像在主干路两侧的、具有门牌号的单位，通过主干路可以进入这些有门牌号的单位。而一些没有门牌号和没有在主干路上的单位或村庄，是不能直接到达的。

11.2.3 代理与转换

为什么使用代理服务器，估计大家都知道是为了解决IP地址的不足。但是大家要清楚一个问题，通常所说的“代理服务器”，有两个方面的含义，或者说有两种功能。一个功能就是，代理服务器用于局域网内计算机共享上网，为局域网内的计算机提供访问Internet各种服务的功能。另一个功能就是为已经能上网的计算机提供“二次代理”功能。举例来说，在教育网内的网站，有许多资料与数据，但教育网内的服务器通常都加了限制，禁止教育网外的用户使用或访问，如果是通过公网(这里指不包括教育网IP地址段的公网)访问教育网的服务器，是不能浏览这些资料的。这时候，就可以使用教育网内提供的代理来访问教育网的服务器，这时，通过公网访问的机器在教育网的服务器“看”来，是其允许的教育网的IP地址在访问，可以为其提供服务。对于这些“二次代理”的服务器来说，通常都要有“教育网”及“公网”的IP地址，“公网用户”只是把“二次代理”服务器作为一个“跳板”来使用。或者这样举例，目前，从我国的台湾是不允许直接坐飞机到北京的，如果坐飞机从台湾到北京，可以先坐飞机从台湾到香港或澳门，然后再从香港或澳门到北京。这里的香港或澳门就起到了代理服务器的作用。

用于局域网内的代理服务器，有三种实现方式，分别为网关型(NAT)、代理型及代理软件型，对于网关型和代理型，不需要在局域网内的计算机上安装软件，而代理软件型，需要在局域网内的计算机上安装代理服务器的客户端软件。网关型(NAT)型，也叫“网络地址转换”或“网络地址翻译”，只需要在局域网内的计算机上正确设置网关地址即可，除此以外，不需要其他设置。代理型软件，需要在访问Internet的软件上如IE或Outlook上设置代理服务器的地址及端口(如果需要用户名，还要一并设置，这取决于代理服务器软件服务器端的设置与要求)。代理型软件与代理软件型，如果局域网内的计算机与代理服务器不在同一网段，也要正确设置网关地址。

11.2.4 端口映射与端口转发

端口映射与端口转发，用于发布防火墙内部的服务器或者防火墙内部的客户端计算机，有的路由器也有端口映射与端口转发功能。端口映射与端口转发实现的功能类似，但又不完全一样。端口映射是将外网的一个端口完全映射给内网一个地址的指定端口，而端口转发是将发往外网的一个端口的通讯完全转发给内网一个地址的指定端口。端口映射可以实现外网到内网和内网到外网双向的通讯，而映射转发只能实现外网到内网的单向通讯。

例如：一台防火墙有两个端口，一个端口用于外网，设置的IP地址为202.206.197.229，另一个端口用于内网，设置的IP地址为172.23.1.20，一台Web服务器放置在内网，其IP地址为172.22.100.100，如果想让这台服务器对外提供Web服务，则可以在防火墙上将202.206.197.229的TCP的80端口映射到172.22.100.100的80端口，这样，当外网用户访问202.206.197.229的Web服务时，实际上访问的是内网服务器上提供的服务。如果在内网的172.22.100.100服务器上提供Web服务的端口不是80而是另外的端口如3333，则需要在防火墙上将TCP的80端口映射到内网172.22.100.100的3333端口。

11.2.5 理解ISA Server 2006中的网络

在安装ISA Server 2006的计算机中，系统中的每块网卡都连接一个网络。

ISA Server 2006中的网络分为“内部”、“外部”、“本地主机”、“VPN客户端”、“被隔离的VPN客户端”，如果ISA Server 2006配置为“3向外围网络”，还将包括“外围”网络，下面分别介绍。

（1） “内部”，代表企业内部局域网，此网络的地址范围在ISA Server 2006安装的过程中指定，并且在安装以后可以更改。建议你总是通过添加适配器来添加内部网络地址。ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络。ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源，但是拒绝所有其他网络到内部网络的访问，您必须自行创建规则来允许到内部网络的访问。你不能删除默认内部网络。

（2） “本地主机”，此网络代表ISA防火墙本身计算机，与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯，你不能修改或删除本地主机网络。

（3） “外部”，指连接到Internet的网络，此网络包含未明确包含在其他任何网络中的所有IP地址，通常被视为不受信任的网络。在刚结束ISA防火墙的安装时，外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(127.0.0.1)以及ISA防火墙上其他所有网络适配器的IP地址。通常情况下，设置了“网关地址”的网卡被认为“默认的外部网络”。

（4） “VPN 客户端”，它代表通过VPN连接到ISA服务器的客户端计算机，由ISA防火墙动态生成，不能删除 VPN 客户端网络。

（5） “被隔离的VPN客户端”，此网络包含尚未解除隔离的VPN客户端的地址，由ISA防火墙动态生成，不能删除被隔离的 VPN 客户端网络。

在通常情况下，ISA Server 2006包含上面的5部分网络，如果ISA Server被配置成“3向外围网络”，还包括“外围”网络。

“外围”网络也称为DMZ(Demilitarized Zone)、第三区域和被筛选的子网，DMZ是放置公共信息的最佳位置，这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息，而不用通过内网。通常把公司中的机密的和私人的信息存放在内网中，DMZ中的服务器不应包含任何商业机密、资源代码或是私人信息。DMZ服务器上的破坏最多只可能造成在你恢复服务器时的一段时间中断服务。目前许多的硬件防火墙都集成了DMZ接口。ISA Server 2006也可以在安装三块网卡(甚至三块以上网卡)的情况下，配置成“3向外围网络”。

11.2.6 理解ISA Server2004的规则

在ISA Server 2006中定制的策略、规则，都是针对上一节中的各个网络来定义和创建的。

在ISA Server 2006的防火墙策略中，主要包括“访问规则”和“服务器发布规则”。“访问规则”类似于“过滤”，就是允许使用指定的“协议”从规定的“源网络”能访问“目的网络”，而“服务器发布规则”类似于“映射”，指的是把允许使用指定的“协议”通过ISA Server 2006“转发”给指定的“计算机”或“服务器”。从这点来看，“访问规则”象一个通道，允许经过身份验证的人通过，而“服务器发布规则”则象邮递员送信，把他人寄给你的信送到你的单位传达室，而由传达室的负责人转交给你。

在创建“访问规则”时，通常是在“内网”、“外网”、“本地主机”等ISA Server 2006定义的“网络”之间，允许指定的“协议”通过，如允许“内网”的计算机能上网，就是创建如下的一条访问规则：允许“内网”使用“HTTP、DNS”协议访问“外部”。如果允许“内网”的计算机能访问Internet上的FTP服务器，则是允许“内网”的用户使用FTP协议访问“外部”。

在创建”访问规则”时，创建的规则包括“允许”和“禁止”，这很容易理解。“允许”就是允许指定的协议通过，而“禁止”则是“不允许”指定的协议通过。

创建“服务器发布规则”时，ISA Server 2006集成了“Web服务器发布规则”、“安全Web服务器发布规则”、“邮件服务器发布规则”，实际上，这些都与“服务器发布规则”相同，都是“端口映射”或“端口转发”。在创建“服务器发布规则”时，都是把对ISA Server 2006的指定”协议”(每种协议代表一种服务)转发到ISA Server 2006所保护的网络中的一台计算机(甚至ISA Server 2006本身，网络名称“本地主机”)。

例如：ISA Server 2006的“内网”中有一台Web服务器，需要把这台Web服务器发布到Internet，则需要创建“服务器发布规则”，把内网的这台Web服务器安全发布到Internet。

11.2.7 理解ISA Server2004的客户端

ISA Server 2006包括三种类型的客户端，分别为“防火墙客户端”、“SecureNAT客户端”和“Web代理客户端”，如图11-2所示。

ISA Server 2006使用基础知识

图11-2 ISA Server 2006的三种客户端示意图

下面介绍这三种客户端的意义。

“防火墙客户端”是已经安装并启用防火墙客户端软件的计算机。来自防火墙客户端的请求会定向到 ISA Server计算机上的防火墙服务，以确定是否允许访问。此后，可以使用应用程序筛选器和其他插件对这些请求进行筛选。防火墙服务还可以缓存所请求的对象，或者从 ISA Server缓存提供对象。

“SecureNAT客户端”是指尚未安装防火墙客户端软件的计算机。来自 SecureNAT 客户端的请求首先会定向到网络地址转换 (NAT) 驱动程序。该驱动程序将用Internet上有效的全局 IP 地址替换 SecureNAT 客户端的内部 IP 地址。然后，该客户端请求会定向到防火墙服务，以确定是否允许访问。最后，可以使用应用程序筛选器和其他扩展组件对该请求进行筛选。防火墙服务还可以缓存所请求的对象，或者从 ISA Server缓存提供对象。通常情况下，大多数的客户端、以及将要使用ISA Server发布的服务器，都必须是“SecureNAT 客户端”。

“Web代理客户端”是指与CERN兼容的Web应用程序。来自Web代理客户端的请求会定向到 ISA Server计算机上的防火墙服务，以确定是否允许访问。防火墙服务还可以缓存所请求的对象，或者从ISA服务器缓存提供对象。“防火墙客户端”和“SecureNAT”客户端必须是ISA Server“内网”中的计算机，而“Web代理客户端”可以是Internet上的计算机。

无论客户端的类型如何，当 ISA Server接收到 HTTP 请求时，客户端都被视为Web代理客户端。即使是防火墙客户端或 SecureNAT 客户端发出HTTP请求，该客户端仍然被视为Web代理客户端。这对于验证该客户端身份的方式具有特定的含义。

防火墙客户端计算机和 SecureNAT 客户端计算机都可以作为Web代理客户端。如果将计算机上的Web应用程序明确配置为使用 ISA Server，则所有Web请求将直接发送到防火墙服务，包括 HTTP、FTP 和安全 HTTP (HTTPS)。防火墙服务将首先处理所有其他请求。

表11-3对各种 ISA Server客户端进行了比较。

表11-3 ISA Server 2006各客户端对比

功能

SecureNAT 客户端

防火墙客户端

Web 代理客户端

是否安装

是，需要对网络配置进行一些更改

是

否，需要配置Web浏览器