ISA Server实验环境搭建与企业VPN配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISAServer是微软在企业网络边界防护上的代表产品。从ISAServer2000到现在被广泛应用的ISAServer2004和ISAServer2006以及即将推出的ISAServer2008,都标志着ISAServer在企业边界安全防护上的技术积累和不断成熟。本文将通过详细介绍如何部署一个企业级的基于微软发布的ISAServer2006Hands-OnLabs的多虚拟机实验环境,并通过该实验环境详细描述企业VPN的配置过程,希望能够给想要应用微软ISAServer的安全架构师和安全实施人员在产品选择、实验环境搭建以及实际应用上以详细的指导。
一、ISAServer产品概述
微软已形成了较为完善的ISAServer产品家族以及相应的技术支持,而且以非常开放的姿态提供了ISAServer2004和ISAServer2006的评估版本软件的下载,并在微软官方技术支持网站TechNet上提供了从ISAServer起步、计划和架构、开发、部署、运营、安全和防护以及技术参考七大方面的技术支持。通过详尽的技术文档和与评估版产品配套的操作手册,给希望了解和应用ISAServer以进行企业网络边界安全防护的技术人员以可操作的指导。
本文将简单介绍ISAServer产品家族中的ISAServer2004和ISAServer2006在企业网络边界防护上的主要功能,企业安全架构师和安全实施人员可以根据企业在网络边界防护上的具体需求和产品的功能进行有针对性的选择:
1、ISAServer2004
ISAServer2004是一款集高级应用层防火墙、虚拟专用网络(VPN)和网络缓存于一体的解决方案,它能够通过提高网络安全和性能来最大化IT投资收益,ISAServer2004具有以下功能或改进:
1)、高级防护
a、应用层过滤ﻫ增强的对HTTP协议和FTP协议以及FPC(RemoteProcessCall)连接的过滤与控制;
b、安全性和防火墙
在此功能上ISAServer2004提供了扩展的协议支持、增强的用户认证、增强的对用户和用户组的支持、增强的FTP支持、增强的网络发布等功能。
2)、简单使用
a、多网络环境
提供了多网络环境配置、制定网络策略、路由和NAT网络关系以及网络模板、网络负载平衡(仅针对企业版)等新功能;
b、监控和报告
提供了实时日志监控、构建的日志查询、实时监控和防火墙会话过滤、连接重定向、报告发布、邮件提醒、定制日志时间以及写入日志到MSDE数据库等新功能,增强了定制报告和SQLServer日志功能;
c、安全管理
提供了导入导出、定制授权向导、集中存储防火墙策略(只针对企业版)、自动化阵列配置(只针对企业版)等新功能,以及增强的管理、集中式日志、针对MicrosoftOperationsManager的管理包。
3)、快速安全连接
a、对基于微软服务器的快速安全的远程访问ﻫ提供了基于表单授权的防火墙表单生成、使用SSL到终端服务的远程连接两大新功能;
b、虚拟专用网络(VPN)
提供了全状态的VPN过滤和视察、安全的NAT到ISAServer2004VPN连接支持、全状态的基于站到站VPN通道交流过滤和监控、VPN治理、VPN服务器发布、IPSec模式下的站到站VPN链接支持等新功能,以及增强的VPN管理。
c、Web缓存和Web代理
提供了对网络代理客户端授权的RADIUS支持、基本授权策略、Web发布规则中的源I P保存、实现CARP的Web缓存阵列(只针对企业版)等新功能,以及增强的缓存规则、Web发布规则路径匹配功能。
2、ISAServer2006
与ISAServer2004类似,ISAServer2006也提供了企业版和标准版两个版本,在ISAServer2004提供的功能的基础上,ISAServer2006提供了以下新增或增强的功能:
1)、对内部基于微软服务器的安全远程访问
提供了SharePoint服务器发布向导和对Exchange2007集成的支持两大新功能,以及增强的OutlookWeb访问发布向导;
2)、虚拟专用网络(VPN)ﻫ提供了分支办公室VPN连接向导新功能;
3)、安全管理
增强的简单使用向导、认证管理、基于硬件的ISAServer连接、企业范围内的策略拷贝等功能;
4)、高级防火墙防护
提供了峰值弹性、攻击救助等新功能,以及增强的防火墙规则向导;
5)、授权认证ﻫ提供了单点登录功能(SSO)、LDAP授权支持等新功能,以及增强的授权认证、基于表单的授权认证、会话管理等功能;
6)、服务器发布ﻫ提供了跨阵列链接传输新功能和增强的链接传输功能;
7)、性能ﻫ提供了BITS缓存、Web发布负载平衡、HTTP压缩、Diffserv(QoS)等新功能。
二、ISAServer2006Hands-OnLabs部署
在一个应用软件(尤其是安全相关应用软件)引入到企业整体IT架构之前,安全架构师和安全实施人员必须要充分考虑所有可能潜在的风险以及应对方案,并在实际部署之前进行严格的测试和实验,并对相关的操作人员进行全面的技术培训,以期把潜在的威胁和风险降到最低。
直接把软件部署到生产环境无疑要面对很大的风险,而且本文读者的操作系统环境可能存在着较大的差异,而ISAServer与其对应的组件只能安装在Server版的操作系统上,因此本文采用虚拟机作为实验环境的搭建方式。
1、ISAServer2006Hands-OnLabs简介
微软提供了一整套的包括ISAServer2006企业版和标准版以及Exchange、SharePo int的虚拟机在内的虚拟机套件,用以简单搭建企业级的ISAServer实验环境。
1)、包含软件具体版本ﻫ在ISAServer2006Hands-On实验环境中,包含以下具体版本的软件:
a、ISAServer2006StandardEdition(RTM)ﻫb、ISAServer2006EnterpriseEdition(RTM)
c、SharePointServices2.0
d、ExchangeServer2003SP2
e、Outlook2003
2)、提供的实验环境ﻫ按照测试环境进行划分,该套件包括以下三个测试环境:ﻫa、出界访问和分支办公室测试环境(OutboundAccessandBranchOffice);ﻫb、发布和VPN连接测试环境(PublishingandVPNconnections);
c、企业版测试环境三个实验环境(EnterpriseEditionFeatures)。
3)、包含的具体模块
按照模块进行划分,该实验环境包括以下九个模块:ﻫ模块A:ISAServer简介;ﻫ模块B:配