【正文】 的防火墻都具有 IP 地址過濾功能。接下來，協(xié)議棧將這個(gè) TCP包 “ 塞 ” 到一個(gè) IP 包里，然后通過 PC 機(jī)的 TCP/IP 棧所定義的路徑將它發(fā)送給UNIX 計(jì)算機(jī)。這正是防火墻最基本的功能：根據(jù) IP 地址做轉(zhuǎn)發(fā)判斷。 服務(wù)器 TCP/UDP 端口過 濾 僅僅依靠地址進(jìn)行數(shù)據(jù)過濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說，我們不想讓用戶采用 tel 的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用 SMTP/POP 郵件服務(wù)器吧？所以說，在地址之外我們還要對(duì)服務(wù)器的 TCP/ UDP 端口進(jìn)行過濾。 客戶機(jī)也有 TCP/UDP 端口 TCP/IP 是一種端對(duì)端協(xié)議，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都具有唯一的地址。同時(shí)tel 客戶機(jī)也有一個(gè)端口號(hào)，否則客戶機(jī)的 IP 棧怎么知道某個(gè)數(shù)據(jù)包是屬于哪個(gè)應(yīng)用程序的呢？ 由于歷史的原因，幾乎所有的 TCP/IP 客戶程序都使用大于 1023 的隨機(jī)分配端口號(hào)。因?yàn)榉?wù)器發(fā)出響應(yīng)外部連接請(qǐng)求的入站（就是進(jìn)入防火墻的意思）數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 4 圖 14 客戶 端的 TCP/UDP 端 口過濾 雙向過濾 OK，咱們換個(gè)思路。如果你這樣設(shè)置防火墻，你就沒法訪問哪些沒采用標(biāo)準(zhǔn)端口號(hào)的的網(wǎng)絡(luò)站點(diǎn)了！反過來，你也沒法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號(hào) 80的就一定來自 Web服務(wù)器。為了實(shí)現(xiàn)其可靠性，每個(gè) TCP 連接都要先經(jīng)過一個(gè) “ 握手 ” 過程來交換連接參數(shù)。連接會(huì)話的第一個(gè)包不用于確認(rèn)，所以它就沒有設(shè)置 ACK 位，后續(xù)會(huì)話交換的 TCP 包就要設(shè)置 ACK 位了。通過監(jiān)視 ACK 位，我們就可以將進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。還有一些 TCP應(yīng)用程序，比如 FTP，連接就必須由這些服務(wù)器程序自己發(fā)起。一旦用戶請(qǐng)求服務(wù)器發(fā)送數(shù)據(jù)， FTP 服務(wù)器就用其 20 端口 (數(shù)據(jù)通道 )向客戶的數(shù)據(jù)端口發(fā)起連接。剛才說了， UDP 包沒有ACK 位所以不能進(jìn)行 ACK 位過濾。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的 UDP 包，來自外部接口的 UDP 包則不轉(zhuǎn)發(fā)。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？ 有些新型路由器可以通過 “ 記憶 ” 出站 UDP 包來解決這個(gè)問題：如果入站UDP 包匹配最近出站 UDP 包的目標(biāo)地址和端口號(hào)就讓它進(jìn)來。 所謂代理服務(wù)器 ，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的服務(wù)器。給人的感覺就是網(wǎng)絡(luò)內(nèi)部的主機(jī)都站在了網(wǎng)絡(luò)的邊緣，但實(shí)際上他們都躲在代理的后面，露面的不過是代理這個(gè)假面具。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如 Finger ， DNS 等服務(wù)。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS 信息，這樣一臺(tái)主機(jī)的域名和 IP 地址就不會(huì)被外界所了解。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 8 2 ISA Server ISA Server 簡(jiǎn)介 ISA Server 是建立在 Windows 2021 操作系統(tǒng)上的一種可擴(kuò)展的企業(yè)級(jí)防火墻和 Web 緩存服務(wù)器。 ISA Server 提供直觀而強(qiáng)大的管理工具，包括 Microsoft 管理控制臺(tái)管理單元、圖形化任務(wù)板和逐步進(jìn)行的向?qū)А? ISA Server 有兩個(gè)版本，以滿足您對(duì)業(yè) 務(wù)和 網(wǎng) 絡(luò)的不同需求。 利用 ISA Management 控制臺(tái)， ISA Server 使防火墻和緩存管理變得很容易?？傊?， ISA Server是一個(gè)擁有自己的軟件開發(fā)工具包和腳本示例的高擴(kuò)展性平臺(tái)，利用它您可以根據(jù)自身業(yè)務(wù)需要量身定制 Inter 安全解決方案。組織可以有多種聯(lián)網(wǎng)方案來部署 ISA Server，包括以下所述的幾種方法。作為防火墻， ISA Server 允許設(shè)置一組廣泛的規(guī)則，以指定能夠通過 ISA Server 的站點(diǎn)、協(xié)議和內(nèi)容，由此實(shí)現(xiàn)您的商業(yè) Inter 安全策略。要實(shí)現(xiàn)這一點(diǎn)，只需讓 ISA Server 計(jì)算機(jī)代表內(nèi)部發(fā)布服務(wù)器來處理外部客戶端的請(qǐng)求即可。它用緩存中的 Web 內(nèi)容來 滿足傳入的客戶端請(qǐng)求。不管組織如何配置 ISA Server，都能從集中化、集成的基于策略的管理中受益。 單擊下一步 按鈕，出現(xiàn)【安裝方案】對(duì)話框。單擊【下一步】按鈕，出現(xiàn)【新建企業(yè)警告】對(duì)話框，顯示將此計(jì)算機(jī)配置為配置存儲(chǔ)服務(wù)器。 圖 34 內(nèi)網(wǎng) IP 單擊【確定】按鈕，返回【地址】對(duì)話框，可以看到已經(jīng)添加了地址范圍。單擊【安裝】按鈕，開始安裝 ISA Server 2021。 圖 35 ISA 主界面 (2)ISA 的相關(guān)服務(wù) 在安裝 ISA 的服務(wù)器上，單擊【開始】【程 序】【管 理工具】【服務(wù)】，打開【服務(wù)】控制臺(tái)，如圖 36 所示，安裝 ISA Server 2021 以后，多出了【 Microsoft Firewall】、【 Microsoft ISA Server Control】、【 Microsoft ISA Server Job Schedler】以及【 Microsoft ISA Server Storage】服務(wù)。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 VPN 技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī)，防火墻設(shè)備或 Windows 2021 等軟件里也都支持VPN 功能，一句話， VPN 的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。目前為止， IKE 協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。此外， OpenSSL 的硬件加速也能提高它的性能。例如公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問就屬于遠(yuǎn)程訪問。有了數(shù)據(jù)加密，我們可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，就好像我們專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣。上述介紹的 VPN 應(yīng)用屬于 VPN 用戶的單 點(diǎn)撥入，VPN 還有一種常見的應(yīng)用是在兩個(gè)內(nèi)網(wǎng)之間架設(shè)站點(diǎn)到站點(diǎn)的 VPN。通過新增的多網(wǎng)絡(luò)支持和對(duì) VPN 監(jiān)控狀態(tài)的檢查，可以輕松的設(shè)置虛擬冬．用網(wǎng)絡(luò)。 ISAServer 支持兩種模式的 VPN： 1)遠(yuǎn)程訪問的 VPN 連接。 2)端對(duì)端的 VPN 連接。配置高性能的多核心 CPU 處理器．、大容量?jī)?nèi)存和雙千兆網(wǎng)卡的服務(wù)器硬件。關(guān)閉默認(rèn)的硬盤共享屬性、禁用不必要的網(wǎng)絡(luò)服務(wù)端 LI。 實(shí)驗(yàn)拓?fù)淙鐖D 41， Denver 是內(nèi)網(wǎng)的域控制器， DNS 服務(wù)器， CA 服務(wù)器，Beijing 是 ISA2021 服務(wù)器， Istanbul 模擬外網(wǎng)的客戶機(jī)。如果你的 VPN 服務(wù)器是用Win2021 的路由和遠(yuǎn)程實(shí)現(xiàn)的，那這么做是可以的，路由和遠(yuǎn)程訪問本身就只提供了 VPN 的基本功能，對(duì)地址管理并不嚴(yán)格。 圖 42 ISA Server 界面 分配地址可以使用靜態(tài)地址，也可以使用 DHCP，在此我們使用靜態(tài)地址池來為 VPN 用戶分配地址，點(diǎn)擊添加按鈕，為 VPN 用戶分配的地址范圍是－ ，如 圖 43 所示。 圖 44 VPN 最大連接數(shù) 切換到 VPN 客戶端屬性的“組”標(biāo)簽，配置允許遠(yuǎn)程訪問的域組，一般情況下，管理員會(huì)事先創(chuàng)建好一個(gè)允許遠(yuǎn)程訪問的組，然后將 VPN 用戶加入這個(gè)組，本次實(shí)驗(yàn)中我們就簡(jiǎn)單一些，直接允許 Domain Users 組進(jìn)行遠(yuǎn)程訪問。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 18 網(wǎng)絡(luò)規(guī)則 想讓 VPN 用戶訪問內(nèi)網(wǎng)，一定要設(shè)置網(wǎng)絡(luò)規(guī)則和防火墻策略， ISA 默認(rèn)已經(jīng)對(duì)網(wǎng)絡(luò)規(guī)則進(jìn)行了定義，從 VPN 客戶端到內(nèi)網(wǎng)是路由關(guān)系，這意味著 VPN客戶端和內(nèi)網(wǎng)用戶互相訪問是有可能的。 為訪問規(guī)則取個(gè)名字。訪問規(guī)則的目標(biāo)是內(nèi)網(wǎng)此規(guī)則適用于所有用戶。 ISA 支持 PPTP 和 L2TP 兩種隧道協(xié)基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 19 議，今天我們?cè)诳蛻魴C(jī)上先對(duì) PPTP 協(xié)議進(jìn)行測(cè)試。選擇創(chuàng)建“虛擬專用網(wǎng)絡(luò)連接”。 雙擊執(zhí)行剛創(chuàng)建出來的VPN 連接，輸入用戶名和密碼，點(diǎn)擊“連接”。虛擬專用網(wǎng)是 Inter 的重要應(yīng)用之一，在企業(yè)網(wǎng)、校園網(wǎng)、政務(wù)網(wǎng)、金融網(wǎng)等各類網(wǎng)絡(luò)中得到了廣泛的應(yīng)用。從課題的選擇到 論文 的最終完成， 路 老師都始終給予我細(xì)心的指導(dǎo)和 不懈的支持。 趙玉娟 《基于 ISA 構(gòu)建安全局域網(wǎng)》鄭州經(jīng)濟(jì)管理干部學(xué)院學(xué)報(bào) 2021, 2 [6] 張德楊，高俊，張勇 《 Microsoft ISA Server 在網(wǎng)絡(luò)管理中的應(yīng)用》鄭州輕工業(yè)學(xué)院學(xué)報(bào) 2021,1 。 在此，我還要感謝在一起愉快的度過 大學(xué) 生活的 同門，正是由于你們的幫助和支持，我才能克服一個(gè)一個(gè)的困難和疑惑，直至本文的順利完成。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 22 致 謝 本論文是在 路老師 的親切關(guān)懷和悉心指導(dǎo)下完 成的。 圖 49 VPN 連接后的信息 既然 VPN 用戶已經(jīng)通過 VPN 服務(wù)器進(jìn)行了撥入，看看能否訪問內(nèi)網(wǎng)的服務(wù)器資源，如圖 410 所示，在 Istanbul 上可以成功訪問內(nèi)網(wǎng)的 Exchange 服務(wù)器， VPN 撥入成功！ 圖 410 連接成功界面 在這里 只是搭建了一個(gè)簡(jiǎn)單的 VPN 服務(wù)器，測(cè)試了一下客戶機(jī)使用 PPTP協(xié)議進(jìn)行撥入，在下面的文章中我 將以今天的環(huán)境為基礎(chǔ)，把 VPN 的應(yīng)用推向深入。 輸入 VPN 服務(wù)器的域名或外網(wǎng) IP，此例中我們使用域名，注意此域名應(yīng)該解析到 ISA 的外網(wǎng) IP， 。 出現(xiàn)新建連接向?qū)?，點(diǎn)擊下一步。 用戶撥入權(quán)限 最后一步不要忘記，域用戶默認(rèn)是沒有遠(yuǎn)程撥