ISA防火墙部署与设置
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SNAT 客戶的TCP/IP配置要求:
• 必須和ISA Server的內部介面在同個子網;在此,我可以使用 192.168.0.2/24~192.168.0.254/24;
• 配置ISA Server的內部介面為默認閘道;此時默認閘道是192.168.0.1; • DNS根據你的網路環境來設置,可以使用ISP的DNS伺服器或者你自
部屬防火牆策略的十六條守則
1. 電腦沒有大腦。所以,當ISA的行為和你的要求不一致時,請檢查你的配置而不要埋 怨 ISA。
2. 只允許你想要允許的客戶、源位址、目的地和協議。仔細的檢查你的每一條規則,看 規則的元素是否和你所需要的一致。
3. 針對相同用戶或含有相同用戶子集的訪問規則,拒絕的規則一定要放在允許的規則前 面。
ISA Server 2004不僅僅是防火牆,而是集防火牆、代理伺服器、緩存伺服器 三大功能於一體。ISA Server 2004 使用高性能的緩存來加快內部用戶的 WEB訪問速度。如果用戶有對外的WEB伺服器,那麼在利用ISA進行對外 WEB發佈時,ISA的緩存功能也將提高外部 Internet 用戶的 Web 訪問性能。
来自百度文库
ISA Server 2004上的內部網路適配器作為內部客戶的默認閘道,根據慣例,它的 IP 位址要麼設置為子網最前的IP(如192.168.0.1),或者設置為最末的IP (192.168.0.254),在此例中設置為192.168.0.1;對於DNS伺服器,在此例中, 我們假設外部網卡上已設置了DNS伺服器,所以我們在此不設置DNS伺服器的IP 位址;還有默認閘道,內部網卡上切忌不要設置默認閘道,因為Windows主機同 時只能使用一個默認閘道,如果在外部和內部網路適配器上都設置了默認閘道, 那麼ISA Serve?ň?$
Web代理客戶或防火牆客戶。 13. 無論作為訪問規則中的目的還是源,最好用IP位址。 14. 如果你一定要在訪問規則中使用功能變數名稱集或URL集,最好將客戶配置為Web代
理客戶。 15. 請不要忘了,防火牆策略的最後還有一條DENY 4 ALL 16. 最後,請記住,防火牆策略的測試是必需的。
谢谢观赏
2. 多網路模型中的邊緣防火牆
3. 單網路適配器的環境
ISA系統安裝的基本需求
安裝ISA Server 2004
四、ISA的配置
ISA 安裝時,會創建下列默認規則:
➢本地主機訪問:此規則定義了在本地主機網路與其他所有網路之間存在的路由關係。 ➢VPN用戶端到內部網路:此規則指定在兩個VPN用戶端網路(“VPN用戶端”和
己在內部建立一台DNS伺服器;但是DNS伺服器是必需的
Web代理客戶
• 必須和ISA Server的內部介面在同個子網;在此,我可以使用 192.168.0.2/24~192.168.0.254/24;
• 默認閘道和DNS伺服器位址都可以不配置; • 必須在IE的代理屬性中配置ISA Server的代理,默認是內部介面的
from all networks to all networks), 這樣只是讓你的ISA形同虛設。
9. 如果可以通過配置系統策略來實現,就沒有必要再建立自定義規則。 10. ISA的每條訪問規則都是獨立的,執行每條訪問規則時不會受到其他訪問規則的影響 11. 永遠也不要允許任何網路訪問ISA本機的所有協議。內部網路也是不可信的。 12. SNAT客戶不能提交身份驗證資訊。所以,當你使用了身份驗證時,請配置客戶為
傳統防火牆無法防範成熟的應用層攻擊
ISA 防火牆的防護
ISA Server 2004 包含一個功能完善的應用程式層感知防火牆,它會對 Internet 協定 (如超文本傳輸協定 (HTTP))執行深入檢查,這使它能檢測到許多傳統防火牆檢測 不到的威脅。
集成代理伺服器和緩存功能,實現快速訪問
8080埠,在此是192.168.0.1:8080; • 對於其他需要訪問網路的程式,必須設置HTTP代理(ISA
SERVER),否則是不能訪問網路;
在內網中還有其他子網的 內部客戶。此時,首先得 將這些子網的位址包含在 ISA Server的內部網路中, 然後在ISA Server上配置 到這些子網的路由,其他 的就和單內部網路的配置 一致了。
4. 當需要使用拒絕時,顯示拒絕是首要考慮的方式。 5. 在不影響防火牆策略執行效果的情況下,請將匹配度更高的規則放在前面。 6. 在不影響防火牆策略執行效果的情況下,請將針對所有用戶的規則放在前面。 7. 儘量簡化你的規則,執行一條規則的效率永遠比執行兩條規則的效率高。 8. 永遠不要在商業網絡中使用Allow 4 All 規則(Allow all users use all protocols
三、ISA Server安裝
網路環境的配置: ISA Server作為一個路由級的軟體防火牆,要求管理員要熟悉網路中的 路由設置、TCP/IP設置、代理設置等等,它並不像其他單機防火牆一樣, 只需安裝一下就可以很好的使用。在安裝ISA Server時,你需要對你內 部網路中的路由及TCP/IP設置進行預先的規劃和配置,這樣才能做到安 裝ISA Server後即可很容易的使用,而不會出現客戶不能訪問外部網路 的問題。
“被隔離的VPN用戶端”)與內部網路之間存在著路由關係。 ➢Internet訪問:此規則定義了在內部網路與外部網路之間存在的NAT關係。
(2) 訪問策略 新建一條允許內部客戶訪問外部網路的所有服務的訪問規則: 在防火牆策略上點右鍵,指向“新建”, 然後點擊“訪問規則”。
在“新建訪問規則嚮導”的訪問規則名稱文本框中,輸入“Allow all outbound traffic”, 然後點擊“下一步”。然後在“規則操作”而,選擇“允許”,點擊“下一步”