论文部分内容阅读
摘 要: 网络安全是网络工程涉及的一个重要分支,网络和系统在满足客户需求的同时,还需要具有抵御入侵和恶意破坏的能力。ISA Server是微软推出的企业级软件防火墙产品,拥有强大的功能,可以有效的保护企业网络环境安全,在全球有广泛的应用。主要介绍如何使用ISA Server配置策略保护企业网络安全, 通过 Microsoft的网路安全产品 Microsoft ISA Server,可以实现以最低的管理成本满足企业网络安全的各种需要。
关键词: ISA Server;企业网络安全; 防火墙
1 什么是ISA Server
Microsoft Internet Security and Acceleration(ISA)Server是高级应用程序层防火墙、虚拟专用网(VPN)和Web缓存解决方案,它使客户能够通过提高网络安全和性能轻松地从现有的IT投资获得最大收益。ISA Server为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行Microsoft应用程序(如Microsoft Outlook Web Access(OWA)、Microsoft Internet信息服务、Office Share Point Portal Server、路由和远程访问服务、Active Directory目录服务等)的网络。ISA Server提供强大的基于策略的安全管理。这样,管理者就能将访问和带宽控制应用于他们所设置的任何策略单元,如用户、计算机、协议、内容类型、时间 表和站点。
2 ISA Server功能介绍
2.1 多网络架构支持
2.4 强大的报告功能
报告是ISA Server日志系统中一个划时代的改进。简单的操作、丰富的选项和发布的容易,让ISA Server的报告功能成为了让网管选择ISA Server的一大杀手锏。
2.5 基于每个策略的HTTP过滤
ISA Server中的HTTP过滤策略是基于每条防火墙策略进行配置的,只要这防火墙策略中包含了HTTP协议,就可以配置该防火墙的HTTP策略。
2.6 阻止对所有可执行文件的访问
对于Windows2000/XP/2003下的攻击,很多时候是以得到服务器的Shell为目标的,这就需要执行服务器上的Cmd.exe。ISA Server中可以明确禁止访问服务器上的Exe可执行文件,这样类似的攻击就不防而灭了。
2.7 系统和网络监控
通过ISA控制台的“监视”节点,可以了解到ISA的日志、内部客户和ISA服务器之间的会话、ISA系统服务运行情况,还可以通过日志来查询当前的网络活动的报告。ISA Server的日志系统采用的是SQLServer的简化版进行存储,不但高效,而且性能卓越,在日志中可用于查询的条件到达了几十项,如ClientIP、连接状态等等。
3 ISA Server在企业网络安全方面的应用
3.1 配置策略规范人员上网行为
随着互联网应用的不断发展,绝大多数企业都接入了互联网或建立了自己的内部局域网,但企业在享受互联网所带来的方便、快捷的同时,也带来了企业上网管理的烦恼。应在企业网络使用中对上班人员使用电脑进行严格限制,比如不允许登录某些网站,不允许使用聊天工具,限制下载速度和禁止玩游戏等等。
3.1.1 配置策略过滤不良网站
对于企业来说,上班员工访问一些不良网站不利于企业的发展,很多企业会选择Web sense或者surf control以及一些国内的应用层网关设备,管理者可以通过域名及对应的IP手动维护这个列表,但是不良网站就像病毒一样会不断增长,如果企业内部本身部署了ISA Server,结合黑名单服务,ISA自身也可很好的屏蔽这些不良网站。黑名单服务维护着一个不良网站的列表,包括色情、恶言、暴力、黑客工具或其他被禁查的内容。
3.1.2 配置策略禁用聊天工具
企业管理员工如果想禁止一些通信聊天软件(如QQ和MSN)及一些BT下载软件,可以在ISA Server中修改下面这样一条规则。
1)打开ISA Server,单击“防火墙策略”。在右边的窗口中,右键单击创建的访问规则,从弹出的快捷菜单中选择“配置HTTP”命令,打开“为规则配置HTTP策略”对话框。
2)单击“签名”选项卡,然后单击“添加”按钮,在“签名”对话框中添加签名。还可以用同样的方法继续添加其他签名。
3.1.3 配置策略限制在线观看电影
企业网络管理者建立ISA规则之前确定可以正常登录在线电影,填写策略名称“deny Online Movie”,选择拒绝。选择所选规则在流媒体中添加相应选项,“目的”选择外部默认所有用户后完成。
3.3 企业选用ISA的优势
ISA属于软件防火墙,特别是中小型企业中选用ISA Server是企业发展的理想选择,选用ISA投入少见效好。ISA Server有如下几点优势:
3.3.1 基于应用层的高级防护
目前互联网上70%的WEB攻击发生在应用层,而传统防火墙只对数据包的包头进行检查,因此往往对成熟的应用层攻击(如“缓冲区溢出”)无能为力。而ISA Server是工作在应用层的,正是由于这个设计原理,它能检查数据包里面的信息,有效防范基于应用层的攻击。
3.3.2 传统防火墙无法防范成熟的应用层攻击
ISA Server 包含一个功能完善的应用程序层感知防火墙,它会对 Internet 协议(如超文本传输协议 (HTTP))执行深入检查,这使它能检测到许多传统防火墙检测不到的威胁。
3.3.3 集成代理服务器和缓存功能,实现快速访问
4 总结
综上所述,ISA Server防火墙作为一种基于访问控制的网络安全技术,是防范外部攻击行为的一道重要屏障。ISA Server 是高级的状态数据包与应用程序层检查防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案,使得企业客户可以通过提高网络安全性和性能来从现有信息技术投资轻松获得最大回报。它是一种集成的边界安全网关产品,在使用户对应用系统和数据进行快速而安全的远程访问的同时,有助于保护您的 IT 环境免受来自基于 Internet 的威胁。企业应用ISA Server后VPN服务的安全性和可管理性有大幅度提升、数据中心服务器的安全性显著提高、内部网络中恶意软件事件大幅减少,与此同时也降低了企业网络安全管理成本。
参考文献:
[1]电脑报编,网管实战,电脑报电子音像出版社,P275.
[2]ISA Server2006防火墙安装与管理指南,戴有炜译,科学出版社.
[3]ISA中文站,http://www.isacn.org.
作者简介:
陈桦楠,本科学历,讲师/高级技师,就职于广东省潮州市高级技工学校。
关键词: ISA Server;企业网络安全; 防火墙
1 什么是ISA Server
Microsoft Internet Security and Acceleration(ISA)Server是高级应用程序层防火墙、虚拟专用网(VPN)和Web缓存解决方案,它使客户能够通过提高网络安全和性能轻松地从现有的IT投资获得最大收益。ISA Server为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行Microsoft应用程序(如Microsoft Outlook Web Access(OWA)、Microsoft Internet信息服务、Office Share Point Portal Server、路由和远程访问服务、Active Directory目录服务等)的网络。ISA Server提供强大的基于策略的安全管理。这样,管理者就能将访问和带宽控制应用于他们所设置的任何策略单元,如用户、计算机、协议、内容类型、时间 表和站点。
2 ISA Server功能介绍
2.1 多网络架构支持
2.4 强大的报告功能
报告是ISA Server日志系统中一个划时代的改进。简单的操作、丰富的选项和发布的容易,让ISA Server的报告功能成为了让网管选择ISA Server的一大杀手锏。
2.5 基于每个策略的HTTP过滤
ISA Server中的HTTP过滤策略是基于每条防火墙策略进行配置的,只要这防火墙策略中包含了HTTP协议,就可以配置该防火墙的HTTP策略。
2.6 阻止对所有可执行文件的访问
对于Windows2000/XP/2003下的攻击,很多时候是以得到服务器的Shell为目标的,这就需要执行服务器上的Cmd.exe。ISA Server中可以明确禁止访问服务器上的Exe可执行文件,这样类似的攻击就不防而灭了。
2.7 系统和网络监控
通过ISA控制台的“监视”节点,可以了解到ISA的日志、内部客户和ISA服务器之间的会话、ISA系统服务运行情况,还可以通过日志来查询当前的网络活动的报告。ISA Server的日志系统采用的是SQLServer的简化版进行存储,不但高效,而且性能卓越,在日志中可用于查询的条件到达了几十项,如ClientIP、连接状态等等。
3 ISA Server在企业网络安全方面的应用
3.1 配置策略规范人员上网行为
随着互联网应用的不断发展,绝大多数企业都接入了互联网或建立了自己的内部局域网,但企业在享受互联网所带来的方便、快捷的同时,也带来了企业上网管理的烦恼。应在企业网络使用中对上班人员使用电脑进行严格限制,比如不允许登录某些网站,不允许使用聊天工具,限制下载速度和禁止玩游戏等等。
3.1.1 配置策略过滤不良网站
对于企业来说,上班员工访问一些不良网站不利于企业的发展,很多企业会选择Web sense或者surf control以及一些国内的应用层网关设备,管理者可以通过域名及对应的IP手动维护这个列表,但是不良网站就像病毒一样会不断增长,如果企业内部本身部署了ISA Server,结合黑名单服务,ISA自身也可很好的屏蔽这些不良网站。黑名单服务维护着一个不良网站的列表,包括色情、恶言、暴力、黑客工具或其他被禁查的内容。
3.1.2 配置策略禁用聊天工具
企业管理员工如果想禁止一些通信聊天软件(如QQ和MSN)及一些BT下载软件,可以在ISA Server中修改下面这样一条规则。
1)打开ISA Server,单击“防火墙策略”。在右边的窗口中,右键单击创建的访问规则,从弹出的快捷菜单中选择“配置HTTP”命令,打开“为规则配置HTTP策略”对话框。
2)单击“签名”选项卡,然后单击“添加”按钮,在“签名”对话框中添加签名。还可以用同样的方法继续添加其他签名。
3.1.3 配置策略限制在线观看电影
企业网络管理者建立ISA规则之前确定可以正常登录在线电影,填写策略名称“deny Online Movie”,选择拒绝。选择所选规则在流媒体中添加相应选项,“目的”选择外部默认所有用户后完成。
3.3 企业选用ISA的优势
ISA属于软件防火墙,特别是中小型企业中选用ISA Server是企业发展的理想选择,选用ISA投入少见效好。ISA Server有如下几点优势:
3.3.1 基于应用层的高级防护
目前互联网上70%的WEB攻击发生在应用层,而传统防火墙只对数据包的包头进行检查,因此往往对成熟的应用层攻击(如“缓冲区溢出”)无能为力。而ISA Server是工作在应用层的,正是由于这个设计原理,它能检查数据包里面的信息,有效防范基于应用层的攻击。
3.3.2 传统防火墙无法防范成熟的应用层攻击
ISA Server 包含一个功能完善的应用程序层感知防火墙,它会对 Internet 协议(如超文本传输协议 (HTTP))执行深入检查,这使它能检测到许多传统防火墙检测不到的威胁。
3.3.3 集成代理服务器和缓存功能,实现快速访问
4 总结
综上所述,ISA Server防火墙作为一种基于访问控制的网络安全技术,是防范外部攻击行为的一道重要屏障。ISA Server 是高级的状态数据包与应用程序层检查防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案,使得企业客户可以通过提高网络安全性和性能来从现有信息技术投资轻松获得最大回报。它是一种集成的边界安全网关产品,在使用户对应用系统和数据进行快速而安全的远程访问的同时,有助于保护您的 IT 环境免受来自基于 Internet 的威胁。企业应用ISA Server后VPN服务的安全性和可管理性有大幅度提升、数据中心服务器的安全性显著提高、内部网络中恶意软件事件大幅减少,与此同时也降低了企业网络安全管理成本。
参考文献:
[1]电脑报编,网管实战,电脑报电子音像出版社,P275.
[2]ISA Server2006防火墙安装与管理指南,戴有炜译,科学出版社.
[3]ISA中文站,http://www.isacn.org.
作者简介:
陈桦楠,本科学历,讲师/高级技师,就职于广东省潮州市高级技工学校。