【文章內(nèi)容簡介】 對(duì)所有的通信都只使用一對(duì)端口號(hào)， FTP 程序在連接期間則使用兩對(duì)端口號(hào)。第一對(duì)端口號(hào)用于 FTP 的 “ 命令通道 ” 提供登錄和執(zhí)基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 6 行命令的通信鏈路，而另一對(duì)端口號(hào)則用于 FTP 的 “ 數(shù)據(jù)通道 ” 提供客戶機(jī)和服務(wù)器之間的文件傳送。 在通常的 FTP 會(huì)話過程中，客戶機(jī)首先向服務(wù)器的端口 21（命令通道）發(fā)送一個(gè) TCP 連接請(qǐng)求，然后執(zhí)行 LOGIN、 DIR 等各種命令。一旦用戶請(qǐng)求服務(wù)器發(fā)送數(shù)據(jù)， FTP 服務(wù)器就用其 20 端口 (數(shù)據(jù)通道 )向客戶的數(shù)據(jù)端口發(fā)起連接。問題來了，如果服務(wù)器向客戶機(jī)發(fā)起傳送數(shù)據(jù)的連接，那么它就會(huì)發(fā)送沒有設(shè)置 ACK 位的數(shù)據(jù)包，防火墻則按照剛才的規(guī)則拒絕該數(shù)據(jù)包同時(shí)也就意味著數(shù)據(jù)傳送沒戲了。通常只有高級(jí)的、也就是夠聰明的防火墻才能看出客戶機(jī)剛才告訴服務(wù)器的端口，然后才許可對(duì)該端口的入站連接。 UDP 端口過濾 好了，現(xiàn)在我們回過頭來看看怎么解決 UDP 問題。剛才說了， UDP 包沒有ACK 位所以不能進(jìn)行 ACK 位過濾。 UDP 是發(fā)出去不管的 “ 不可靠 ” 通信，這種類型的服務(wù)通常用于廣播、路 由、多媒體等廣播形式的通信任務(wù)。 NFS、 DNS、WINS、 NetBIOSoverTCP/IP 和 NetWare/IP 都使用 UDP。 看來最簡單的可行辦法就是不允許建立入站 UDP 連接。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的 UDP 包，來自外部接口的 UDP 包則不轉(zhuǎn)發(fā)?，F(xiàn)在的問題是，比方說， DNS 名稱解析請(qǐng)求就使用 UDP，如果你提供 DNS 服務(wù)，至少得允許一些內(nèi)部請(qǐng)求穿越防火墻。還有 IRC 這樣的客戶程序也使用 UDP，如果要讓你的用戶使用它，就同樣要讓他們的 UDP 包進(jìn)入網(wǎng)絡(luò)。我們能做的就是對(duì)那些從本地到可信任站點(diǎn)之間 的連接進(jìn)行限制。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？ 有些新型路由器可以通過 “ 記憶 ” 出站 UDP 包來解決這個(gè)問題：如果入站UDP 包匹配最近出站 UDP 包的目標(biāo)地址和端口號(hào)就讓它進(jìn)來。如果在內(nèi)存中找不到匹配的 UDP 包就只好拒絕它了！但是，我們?nèi)绾未_信產(chǎn)生數(shù)據(jù)包的外部主機(jī)就是內(nèi)部客戶機(jī)希望通信的服務(wù)器呢？如果黑客詐稱 DNS 服務(wù)器的地址，那么他在理論上當(dāng)然可以從附著 DNS 的 UDP 端口發(fā)起攻擊。只要你允許 DNS 查詢和反饋包進(jìn)入網(wǎng)絡(luò)這個(gè)問題就必然存在。辦法是采用代理服務(wù)器。 所謂代理服務(wù)器 ，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的服務(wù)器。代理服務(wù)器不允許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接。它本身就提供公共和專用的 DNS、郵件服務(wù)器等多種功能。代理服務(wù)器重寫數(shù)據(jù)包而不是簡單地將其轉(zhuǎn)發(fā)了事。給人的感覺就是網(wǎng)絡(luò)內(nèi)部的主機(jī)都站在了網(wǎng)絡(luò)的邊緣，但實(shí)際上他們都躲在代理的后面，露面的不過是代理這個(gè)假面具。 防火墻能做什么？ （ 1）防火墻是網(wǎng)絡(luò)安全的屏障： 一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng) 絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。 （ 2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略： 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 7 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì) 。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 （ 3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)： 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅 分析等而言也是非常重要的。 （ 4）防止內(nèi)部信息的外泄： 通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如 Finger ， DNS 等服務(wù)。 Finger 顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用 shell 類型等。但是 Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS 信息，這樣一臺(tái)主機(jī)的域名和 IP 地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有 Inter 服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN 。通過 VPN ，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 8 2 ISA Server ISA Server 簡介 ISA Server 是建立在 Windows 2021 操作系統(tǒng)上的一種可擴(kuò)展的企業(yè)級(jí)防火墻和 Web 緩存服務(wù)器。 ISA Server 的多層防火墻可以保護(hù)網(wǎng)絡(luò)資源免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪問。而且，通過本地而不是 Inter 為對(duì)象提供服務(wù)，其 Web緩存服務(wù)器允許組織能夠?yàn)橛脩籼峁└斓?Web訪問。在網(wǎng)絡(luò)內(nèi)安裝 ISA Server 時(shí)，可以將其配置成防火墻，也可以配置成 Web 緩存服務(wù)器，或二者兼?zhèn)洹?ISA Server 提供直觀而強(qiáng)大的管理工具，包括 Microsoft 管理控制臺(tái)管理單元、圖形化任務(wù)板和逐步進(jìn)行的向?qū)?。利用這些工具， ISA Server 能將執(zhí)行和管理一個(gè)堅(jiān)固的防火墻和緩存服務(wù)器所遇到的困難減至最小。 ISA Server 提供一個(gè)企業(yè)級(jí) Inter 連接解決方案，它不僅包括特性豐富且功能強(qiáng)大的防火墻，還包括用于加速 Inter 連接的可伸縮的 Web 緩存。根據(jù)組織網(wǎng)絡(luò)的設(shè)計(jì)和需要， ISA Server 的防火墻和 Web 緩存組件可以分開配置，也可以一起安裝。 ISA Server 有兩個(gè)版本，以滿足您對(duì)業(yè) 務(wù)和 網(wǎng) 絡(luò)的不同需求。 ISA Server 標(biāo)準(zhǔn)版可以為小型企業(yè)、工作組和部門環(huán)境提供企業(yè)級(jí)防火墻安全和 Web 緩存能力。 ISA Server 企業(yè)版是為大型組織設(shè)計(jì)的，支持多服務(wù)器陣列和多層策略，提供更易伸縮的防火墻和 Web 緩存服務(wù)器。 利用 Windows 2021 安全數(shù)據(jù)庫， ISA Server 允許您根據(jù)特定的通信類型，為 Windows 2021 內(nèi)定義的用戶、計(jì)算機(jī)和組設(shè)置安全規(guī)則，具有先進(jìn)的安全特性。 利用 ISA Management 控制臺(tái)， ISA Server 使防火墻和緩存管理變得很容易。ISA Management 采用 MMC，并且廣泛使用任務(wù)板和向?qū)?，大大簡化了最常見的管理程序，從而集中統(tǒng)一了服務(wù)器的管理。 ISA Server 也提供強(qiáng)大的基于策略的安全管理。這樣，管理員就能將訪問和帶寬控制應(yīng)用于他們所設(shè)置的任何策略單元，如用戶、計(jì)算機(jī)、協(xié)議、內(nèi)容類型、時(shí)間表和站點(diǎn)?？傊?ISA Server是一個(gè)擁有自己的軟件開發(fā)工具包和腳本示例的高擴(kuò)展性平臺(tái)，利用它您可以根據(jù)自身業(yè)務(wù)需要量身定制 Inter 安全解決方案。 ISA Server 的作用 不管是什么規(guī)模的組織，只要它關(guān)心自己網(wǎng)絡(luò)的安全、性能、 管理和運(yùn)營成本，對(duì)其 IT 管理者、網(wǎng)絡(luò)管理員和信息安全專業(yè)人員來說， ISA Server 都具備使用價(jià)值。 ISA Server 有 3 種不同的安裝模式：防火墻 (Firewall)模式、緩存(Cache)模式和集成 (Integrated)模式。集成模式能夠在同一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)前兩種模式。組織可以有多種聯(lián)網(wǎng)方案來部署 ISA Server，包括以下所述的幾種方法。 Inter 防火墻 ISA Server 可以安裝成專用防火墻，作為內(nèi)部用戶接入Inter 的安全網(wǎng)關(guān)。在信道里 ISA Server 計(jì)算機(jī)對(duì)其他方來說是透 明的。除非是違反了訪問或安全規(guī)則，那么任何用戶或應(yīng)用程序通過防火墻時(shí)都看不到基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 9 ISA Server。作為防火墻， ISA Server 允許設(shè)置一組廣泛的規(guī)則，以指定能夠通過 ISA Server 的站點(diǎn)、協(xié)議和內(nèi)容，由此實(shí)現(xiàn)您的商業(yè) Inter 安全策略。通過監(jiān)視內(nèi)部客戶機(jī)和 Inter 之間的請(qǐng)求和響應(yīng)， ISA Server 可以控制哪些人能夠訪問公司網(wǎng)絡(luò)里的哪臺(tái)計(jì)算機(jī)。 ISA Server 還能控制內(nèi)部客戶端能夠訪問Inter 上的哪臺(tái)計(jì)算機(jī)。 安全服務(wù)發(fā)布 使用 ISA Server 您能夠向 Inter發(fā)布服務(wù)，而且不會(huì)損害內(nèi)部網(wǎng)絡(luò)的安全。要實(shí)現(xiàn)這一點(diǎn)，只需讓 ISA Server 計(jì)算機(jī)代表內(nèi)部發(fā)布服務(wù)器來處理外部客戶端的請(qǐng)求即可。 正向 Web 緩存服務(wù)器 作為正向 Web 緩存服務(wù)器， ISA Server 保存集中緩存內(nèi)經(jīng)常受到請(qǐng)求的Inter 內(nèi)容，專用網(wǎng)絡(luò)內(nèi)的任何 Web 瀏覽器都可以訪問這些內(nèi)容。這樣可以改善客戶端瀏覽器的性能，縮短響應(yīng)時(shí)間，并且減少 Inter 連接的帶寬消耗。 反向 Web 緩存服務(wù)器 ISA Server 可以作為 Web 服務(wù)器。它用緩存中的 Web 內(nèi)容來 滿足傳入的客戶端請(qǐng)求。只有緩存中的內(nèi)容不能滿足請(qǐng)求時(shí)，它才會(huì)