论文部分内容阅读
摘要:笔者结合工作实践,谈谈ISA2008在配置校园网实践过程中的应用,利用它为校园网提供了安全保护。
关键词:ISA2008;校园网配置;应用
中图分类号:G434 文献标识码:A 文章编号:1673-8454(2009)16-0080-03
ISA2008是微软公司最新最强的路由级防火墙软件,也是我们学校常用的软件之一,如果正确的配置和划分我们的网络,它将为我们的校园网提供高级保护和较大实用性。下面就在校园网中的实践操作谈一谈ISA2008在校园网中的配置与实践应用。
一、Vlan的划分
划分Vlan的作用主要是为了减小广播域,提高交换机的数据传输效率,如果网络内的计算机数量较多,通过划分Vlan可以提高上网及数据传输的速度。根据校园内各虚拟网的连接端口在主交换机上划分Vlan的配置如下:
VlanID
Dstination
Subnet mask
Gateway
Vlan1
172.1.0.0
255.255.0.0
172.1.255.254
Vlan2
172.2.0.0
255.255.0.0
172.2.255.254
Vlan3
172.3.0.0
255.255.0.0
172.3.255.254
Vlan4
172.4.0.0
255.255.0.0
172.4.255.254
可以看出172.1.0.1—172.5. 255.255都是作为校园内部的IP地址,由于是通过ISA代理上网,所有计算机共享一个城域网地址,所以内部和外部并不会有IP地址冲突。
二、ISA代理服务器的设置
代理服务器选用Win Server2003作为操作系统,ISA选用最新的2008版本。它支持的协议更全面,采取基于每个策略的HTTP过滤、阻止对所有可执行文件的访问、扩展名决定是否可以下载、“HTTP签名”控制HTTP访问、FTP只读等策略让网络更安全,ISA2008可以说是在所有代理软件中功能最强大的一种。
在代理服务器上安装两块网卡,分别设置如下:
网卡一IP:172.1.1.1,Mask:255.255.0.0 ,为代理内部接口。
网卡二IP:172.20.1.1(此IP地址为城域网分配)Mask:255.255.0.0,Gateway:172.20.255. 254,DNS:202.102.128.68,为城域网接口,校园内部上因特网都是通过千兆内外接口进行的。
在ISA2008安装过程中一定要设置好内部的IP地址范围,即:172.1.0.1—172.5.255.255,ISA2008安装成功以后,会自动识别内外接口。
三、ISA代理软件的配置
ISA2008安装成功以后需要加以配置才能使用,笔者主要做了以下几方面的配置:
1.内部网络的设置
建立一条访问规则允许所有内部网络能访问到Internet,启动ISA2008, 在“ISA 服务器管理”的控制台树中,右键单击“防火墙策略”,选择“新建”——“访问规则”,输入访问规则的名字,比方说是“内部访问因特网”,单击“下一步”,在“规则操作”中选择“允许”后单击“下一步”,在“协议”中选择“所有出站通讯”后再单击“下一步”,在“访问规则源”对话框中单击“添加”,弹出“添加网络实体”对话框,展开“网络”双击“内部”,也就是说这一规则应用于来自内部源的通讯,单击“下一步”,在“访问规则目标”中添加上“外部”,也就是说这一规则应用于发送到外部目标的通讯,单击“下一步”在“用户集”中按默认的“所有用户”即可,单击“下一步”完成了内部到外部也就是校内计算机访问Internet规则的建立。此时对于ISA2008来说如果城域网连接正常,则已经允许内部计算机访问因特网了。但由于ISA服务器内部接口属于Vlan1,为了同其它虚拟网通信,所以还需加上Vlan1到其他虚拟网的路由,在ISA服务器的DOS命令提示符下,分别执行以下四条命令:
route add –p 172.2.0.0 mask 255.255.0.0 172.1.255.254
route add –p 172.3.0.0 mask 255.255.0.0 172.1.255.254
route add –p 172.4.0.0 mask 255.255.0.0 172.1.255.254
启动一台内部计算机,设置好对应虚拟网的IP地址、掩码、网关以后,右击IE图标,在“Internet属性”对话框中选择“连接”选项卡,单击“局域网设置”按钮,在“局域网设置”对话框中勾选“使用代理服务器”和“对于本地地址不使用代理服务器”,在地址中输入ISA服务器内网接口IP,即:172.1.1.1, 端口输入:8080,单击“确定”应用即可上因特网。
如果说我们想禁止内部某些子网的一些网站的访问,我们可以在“防火墙策略”右边窗口的工具箱中,展开“网络对象”,新建几个计算机集如:办公楼、高一教学楼、高二教学楼、高三教学楼实验楼、行政办公楼、家属区、微机室,在建立计算机集的时候分别把各计算机集对应子网的IP地址范围设置好,再建立一个域名集,把禁止访问的网站添加到此域名集中,然后再添加一条访问规则,比方说规则名取为“禁止网站”,在“规则操作”中选择“拒绝”,在“添加网络实体”对话框把“内部”换成要禁止的计算机集,在“访问规则目标”中把“外部”换成设置好要禁止的域名集即可。建完以后,我们右击“禁止网站”访问规则选择“属性”,在其属性对话框的“操作”选项卡中我们可以设置当访问到禁止网站时导向的页面。另外我们在“计划”选项卡中还能够设置某一计算机集上网的时间段限制。
2.ISA2008缓存的设置
为提高利用ISA代理上网的速度,必须设置缓存。在“ISA 服务器管理”的控制台树中,展开“网络”,右键单击“缓存”,选择“新建”——“设置缓存驱动器”,按提示进行设置,对我们学校来说,笔者设置的缓存大小为300M。然后我们按提示步骤再建立一条缓存规则,启用HTTP和FTP缓存。
3.学校网站对外发布设置
需要另外安装一台ISA服务器。ISA2008的安全性很重要的一点就是把内部的服务器发布到外部,外部在访问的时候实际上是ISA把请求转到内部的服务器上,也可以说ISA充当了防火墙,隔离了内部服务器与外部的直接接触。所以说学校网站可以在内部服务器上以一个内部的IP地址发布,然后通过ISA发布到Internet上。在ISA2008中,要想发布内部的网站,必须建立一条Web服务器发布规则,步骤为:右键单击“防火墙策略”,选择“新建”——“Web服务器发布规则”,输入访问规则的名字,比方说是“网站发布”,单击“下一步”,在“规则操作”中选择“允许”后单击“下一步”,在“定义要发布的网站”对话框中输入内部网站IP地址”,单击“下一步”,在“公共名称细节”对话框中输入学校网站的域名,比如www.bxez.com,单击“下一步”,出现“选择Web侦听器”对话框,单击“新建”,输入侦听器的名字,比方说是“网站发布侦听”,单击“下一步”,在IP地址对话框中选择“外部”,单击“地址”,选择“在此网络上的IP地址”,添加“218.56.25.18”,单击“下一步”按默认设置,最后单击“完成”完成,网站发布规则的设置。
我们在新建的网站发布规则“网站发布”上单击鼠标右键,选择“属性”,在“桥接”选项卡中我们还可以定义ISA发布的内部服务器的端口。由此可见,ISA服务器的Web发布规则可以有效地隔离内外部网络的直接接触。当你具备了一个Internet域名和一个外部IP地址后,可以通过你的ISP或对应好的域名和外部IP地址,然后在ISA服务器上设置好Web服务器发布规则即可。按以上建立完成以后,线路连接正常的话,Internet就能够访问学校的网站了。
为了提高校内访问本学校主页的速度,没有必要和访问外部一样还需要经过外部DNS的解析,那样速度肯定要慢,我们在ISA服务器上建立一条访问规则,当内部的计算机访问域名 www.bxez.com的时候,由ISA直接转到Web服务器的内部发布地址即可,具体步骤和上面建立访问规则的步骤差不多,不同之处是:我们首先建立一个“URL集”,比方说取名为“学校网站”,在此“URL集”中加入www.bxez.com,在建立访问规则的时候和建立一条规则允许所有内部网络能访问到Internet的操作步骤基本是一样的,不同的是在“规则操作”中不是选择“允许”而是选择“拒绝”,在“访问规则目标”中不是添加“外部”而是添加刚才建立的URL集中的 “学校网站”,建立完成以后还需要调整规则属性,在“操作”选项卡中选择“将HTTP请求重定向到此Web页”,在下面的文本框中输入Web服务器的内部IP地址和端口号,比如说http://172.1.1.1:9000,这样我们在校内访问本校网站的时候就通过ISA直接转到内部的IP,使得访问速度加快。
4.其它设置
ISA在初始安装成功以后,我们是Ping不通内部接口的,ISA服务器本身也不能上网,我们需要自己在“防火墙策略”中添加一条允许“内部访问本地主机”的访问规则。为了让ISA服务器上网,还需要添加一条允许“本地主机访问外部”的访问规则。为使内部互相访问,还需增加一条允许“内部访问内部”的访问规则。虽然ISA2008要求的规则很多,但是设置步骤都非常清晰明了,明白了它的道理以后可以随心所欲的设置。
我们在校园网中通过划分Vlan,减小了广播域的范围,提高了校园网的传输效率;通过设置ISA缓存提高了内部上互联网的速度;通过ISA做代理可以控制内部的上网时间,阻止对某些网站的访问;可以对外发布内部的服务器,实现域名的重定向,使内部服务器的安全有了保障等,总之通过Vlan划分和使用ISA2008软件做代理使得校园网的实用性和安全性都得到了提高。
(编辑:刘轩)
关键词:ISA2008;校园网配置;应用
中图分类号:G434 文献标识码:A 文章编号:1673-8454(2009)16-0080-03
ISA2008是微软公司最新最强的路由级防火墙软件,也是我们学校常用的软件之一,如果正确的配置和划分我们的网络,它将为我们的校园网提供高级保护和较大实用性。下面就在校园网中的实践操作谈一谈ISA2008在校园网中的配置与实践应用。
一、Vlan的划分
划分Vlan的作用主要是为了减小广播域,提高交换机的数据传输效率,如果网络内的计算机数量较多,通过划分Vlan可以提高上网及数据传输的速度。根据校园内各虚拟网的连接端口在主交换机上划分Vlan的配置如下:
VlanID
Dstination
Subnet mask
Gateway
Vlan1
172.1.0.0
255.255.0.0
172.1.255.254
Vlan2
172.2.0.0
255.255.0.0
172.2.255.254
Vlan3
172.3.0.0
255.255.0.0
172.3.255.254
Vlan4
172.4.0.0
255.255.0.0
172.4.255.254
可以看出172.1.0.1—172.5. 255.255都是作为校园内部的IP地址,由于是通过ISA代理上网,所有计算机共享一个城域网地址,所以内部和外部并不会有IP地址冲突。
二、ISA代理服务器的设置
代理服务器选用Win Server2003作为操作系统,ISA选用最新的2008版本。它支持的协议更全面,采取基于每个策略的HTTP过滤、阻止对所有可执行文件的访问、扩展名决定是否可以下载、“HTTP签名”控制HTTP访问、FTP只读等策略让网络更安全,ISA2008可以说是在所有代理软件中功能最强大的一种。
在代理服务器上安装两块网卡,分别设置如下:
网卡一IP:172.1.1.1,Mask:255.255.0.0 ,为代理内部接口。
网卡二IP:172.20.1.1(此IP地址为城域网分配)Mask:255.255.0.0,Gateway:172.20.255. 254,DNS:202.102.128.68,为城域网接口,校园内部上因特网都是通过千兆内外接口进行的。
在ISA2008安装过程中一定要设置好内部的IP地址范围,即:172.1.0.1—172.5.255.255,ISA2008安装成功以后,会自动识别内外接口。
三、ISA代理软件的配置
ISA2008安装成功以后需要加以配置才能使用,笔者主要做了以下几方面的配置:
1.内部网络的设置
建立一条访问规则允许所有内部网络能访问到Internet,启动ISA2008, 在“ISA 服务器管理”的控制台树中,右键单击“防火墙策略”,选择“新建”——“访问规则”,输入访问规则的名字,比方说是“内部访问因特网”,单击“下一步”,在“规则操作”中选择“允许”后单击“下一步”,在“协议”中选择“所有出站通讯”后再单击“下一步”,在“访问规则源”对话框中单击“添加”,弹出“添加网络实体”对话框,展开“网络”双击“内部”,也就是说这一规则应用于来自内部源的通讯,单击“下一步”,在“访问规则目标”中添加上“外部”,也就是说这一规则应用于发送到外部目标的通讯,单击“下一步”在“用户集”中按默认的“所有用户”即可,单击“下一步”完成了内部到外部也就是校内计算机访问Internet规则的建立。此时对于ISA2008来说如果城域网连接正常,则已经允许内部计算机访问因特网了。但由于ISA服务器内部接口属于Vlan1,为了同其它虚拟网通信,所以还需加上Vlan1到其他虚拟网的路由,在ISA服务器的DOS命令提示符下,分别执行以下四条命令:
route add –p 172.2.0.0 mask 255.255.0.0 172.1.255.254
route add –p 172.3.0.0 mask 255.255.0.0 172.1.255.254
route add –p 172.4.0.0 mask 255.255.0.0 172.1.255.254
启动一台内部计算机,设置好对应虚拟网的IP地址、掩码、网关以后,右击IE图标,在“Internet属性”对话框中选择“连接”选项卡,单击“局域网设置”按钮,在“局域网设置”对话框中勾选“使用代理服务器”和“对于本地地址不使用代理服务器”,在地址中输入ISA服务器内网接口IP,即:172.1.1.1, 端口输入:8080,单击“确定”应用即可上因特网。
如果说我们想禁止内部某些子网的一些网站的访问,我们可以在“防火墙策略”右边窗口的工具箱中,展开“网络对象”,新建几个计算机集如:办公楼、高一教学楼、高二教学楼、高三教学楼实验楼、行政办公楼、家属区、微机室,在建立计算机集的时候分别把各计算机集对应子网的IP地址范围设置好,再建立一个域名集,把禁止访问的网站添加到此域名集中,然后再添加一条访问规则,比方说规则名取为“禁止网站”,在“规则操作”中选择“拒绝”,在“添加网络实体”对话框把“内部”换成要禁止的计算机集,在“访问规则目标”中把“外部”换成设置好要禁止的域名集即可。建完以后,我们右击“禁止网站”访问规则选择“属性”,在其属性对话框的“操作”选项卡中我们可以设置当访问到禁止网站时导向的页面。另外我们在“计划”选项卡中还能够设置某一计算机集上网的时间段限制。
2.ISA2008缓存的设置
为提高利用ISA代理上网的速度,必须设置缓存。在“ISA 服务器管理”的控制台树中,展开“网络”,右键单击“缓存”,选择“新建”——“设置缓存驱动器”,按提示进行设置,对我们学校来说,笔者设置的缓存大小为300M。然后我们按提示步骤再建立一条缓存规则,启用HTTP和FTP缓存。
3.学校网站对外发布设置
需要另外安装一台ISA服务器。ISA2008的安全性很重要的一点就是把内部的服务器发布到外部,外部在访问的时候实际上是ISA把请求转到内部的服务器上,也可以说ISA充当了防火墙,隔离了内部服务器与外部的直接接触。所以说学校网站可以在内部服务器上以一个内部的IP地址发布,然后通过ISA发布到Internet上。在ISA2008中,要想发布内部的网站,必须建立一条Web服务器发布规则,步骤为:右键单击“防火墙策略”,选择“新建”——“Web服务器发布规则”,输入访问规则的名字,比方说是“网站发布”,单击“下一步”,在“规则操作”中选择“允许”后单击“下一步”,在“定义要发布的网站”对话框中输入内部网站IP地址”,单击“下一步”,在“公共名称细节”对话框中输入学校网站的域名,比如www.bxez.com,单击“下一步”,出现“选择Web侦听器”对话框,单击“新建”,输入侦听器的名字,比方说是“网站发布侦听”,单击“下一步”,在IP地址对话框中选择“外部”,单击“地址”,选择“在此网络上的IP地址”,添加“218.56.25.18”,单击“下一步”按默认设置,最后单击“完成”完成,网站发布规则的设置。
我们在新建的网站发布规则“网站发布”上单击鼠标右键,选择“属性”,在“桥接”选项卡中我们还可以定义ISA发布的内部服务器的端口。由此可见,ISA服务器的Web发布规则可以有效地隔离内外部网络的直接接触。当你具备了一个Internet域名和一个外部IP地址后,可以通过你的ISP或对应好的域名和外部IP地址,然后在ISA服务器上设置好Web服务器发布规则即可。按以上建立完成以后,线路连接正常的话,Internet就能够访问学校的网站了。
为了提高校内访问本学校主页的速度,没有必要和访问外部一样还需要经过外部DNS的解析,那样速度肯定要慢,我们在ISA服务器上建立一条访问规则,当内部的计算机访问域名 www.bxez.com的时候,由ISA直接转到Web服务器的内部发布地址即可,具体步骤和上面建立访问规则的步骤差不多,不同之处是:我们首先建立一个“URL集”,比方说取名为“学校网站”,在此“URL集”中加入www.bxez.com,在建立访问规则的时候和建立一条规则允许所有内部网络能访问到Internet的操作步骤基本是一样的,不同的是在“规则操作”中不是选择“允许”而是选择“拒绝”,在“访问规则目标”中不是添加“外部”而是添加刚才建立的URL集中的 “学校网站”,建立完成以后还需要调整规则属性,在“操作”选项卡中选择“将HTTP请求重定向到此Web页”,在下面的文本框中输入Web服务器的内部IP地址和端口号,比如说http://172.1.1.1:9000,这样我们在校内访问本校网站的时候就通过ISA直接转到内部的IP,使得访问速度加快。
4.其它设置
ISA在初始安装成功以后,我们是Ping不通内部接口的,ISA服务器本身也不能上网,我们需要自己在“防火墙策略”中添加一条允许“内部访问本地主机”的访问规则。为了让ISA服务器上网,还需要添加一条允许“本地主机访问外部”的访问规则。为使内部互相访问,还需增加一条允许“内部访问内部”的访问规则。虽然ISA2008要求的规则很多,但是设置步骤都非常清晰明了,明白了它的道理以后可以随心所欲的设置。
我们在校园网中通过划分Vlan,减小了广播域的范围,提高了校园网的传输效率;通过设置ISA缓存提高了内部上互联网的速度;通过ISA做代理可以控制内部的上网时间,阻止对某些网站的访问;可以对外发布内部的服务器,实现域名的重定向,使内部服务器的安全有了保障等,总之通过Vlan划分和使用ISA2008软件做代理使得校园网的实用性和安全性都得到了提高。
(编辑:刘轩)