【文章內(nèi)容簡介】 對所有的通信都只使用一對端口號， FTP 程序在連接期間則使用兩對端口號。第一對端口號用于 FTP 的 “ 命令通道 ” 提供登錄和執(zhí)基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 6 行命令的通信鏈路，而另一對端口號則用于 FTP 的 “ 數(shù)據(jù)通道 ” 提供客戶機和服務(wù)器之間的文件傳送。 在通常的 FTP 會話過程中，客戶機首先向服務(wù)器的端口 21（命令通道）發(fā)送一個 TCP 連接請求，然后執(zhí)行 LOGIN、 DIR 等各種命令。一旦用戶請求服務(wù)器發(fā)送數(shù)據(jù)， FTP 服務(wù)器就用其 20 端口 (數(shù)據(jù)通道 )向客戶的數(shù)據(jù)端口發(fā)起連接。問題來了，如果服務(wù)器向客戶機發(fā)起傳送數(shù)據(jù)的連接，那么它就會發(fā)送沒有設(shè)置 ACK 位的數(shù)據(jù)包，防火墻則按照剛才的規(guī)則拒絕該數(shù)據(jù)包同時也就意味著數(shù)據(jù)傳送沒戲了。通常只有高級的、也就是夠聰明的防火墻才能看出客戶機剛才告訴服務(wù)器的端口，然后才許可對該端口的入站連接。 UDP 端口過濾 好了，現(xiàn)在我們回過頭來看看怎么解決 UDP 問題。剛才說了， UDP 包沒有ACK 位所以不能進行 ACK 位過濾。 UDP 是發(fā)出去不管的 “ 不可靠 ” 通信，這種類型的服務(wù)通常用于廣播、路 由、多媒體等廣播形式的通信任務(wù)。 NFS、 DNS、WINS、 NetBIOSoverTCP/IP 和 NetWare/IP 都使用 UDP。 看來最簡單的可行辦法就是不允許建立入站 UDP 連接。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的 UDP 包，來自外部接口的 UDP 包則不轉(zhuǎn)發(fā)。現(xiàn)在的問題是，比方說， DNS 名稱解析請求就使用 UDP，如果你提供 DNS 服務(wù)，至少得允許一些內(nèi)部請求穿越防火墻。還有 IRC 這樣的客戶程序也使用 UDP，如果要讓你的用戶使用它，就同樣要讓他們的 UDP 包進入網(wǎng)絡(luò)。我們能做的就是對那些從本地到可信任站點之間 的連接進行限制。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？ 有些新型路由器可以通過 “ 記憶 ” 出站 UDP 包來解決這個問題：如果入站UDP 包匹配最近出站 UDP 包的目標地址和端口號就讓它進來。如果在內(nèi)存中找不到匹配的 UDP 包就只好拒絕它了！但是，我們?nèi)绾未_信產(chǎn)生數(shù)據(jù)包的外部主機就是內(nèi)部客戶機希望通信的服務(wù)器呢？如果黑客詐稱 DNS 服務(wù)器的地址，那么他在理論上當(dāng)然可以從附著 DNS 的 UDP 端口發(fā)起攻擊。只要你允許 DNS 查詢和反饋包進入網(wǎng)絡(luò)這個問題就必然存在。辦法是采用代理服務(wù)器。 所謂代理服務(wù)器 ，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的服務(wù)器。代理服務(wù)器不允許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接。它本身就提供公共和專用的 DNS、郵件服務(wù)器等多種功能。代理服務(wù)器重寫數(shù)據(jù)包而不是簡單地將其轉(zhuǎn)發(fā)了事。給人的感覺就是網(wǎng)絡(luò)內(nèi)部的主機都站在了網(wǎng)絡(luò)的邊緣，但實際上他們都躲在代理的后面，露面的不過是代理這個假面具。 防火墻能做什么？ （ 1）防火墻是網(wǎng)絡(luò)安全的屏障： 一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng) 絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的 NFS 協(xié)議進出受保護網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項中的源路由攻擊和 ICMP 重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。 （ 2）防火墻可以強化網(wǎng)絡(luò)安全策略： 基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 7 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟 。例如在網(wǎng)絡(luò)訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。 （ 3）對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計： 如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅 分析等而言也是非常重要的。 （ 4）防止內(nèi)部信息的外泄： 通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如 Finger ， DNS 等服務(wù)。 Finger 顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用 shell 類型等。但是 Finger 顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS 信息，這樣一臺主機的域名和 IP 地址就不會被外界所了解。除了安全作用，防火墻還支持具有 Inter 服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN 。通過 VPN ，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。 基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 8 2 ISA Server ISA Server 簡介 ISA Server 是建立在 Windows 2021 操作系統(tǒng)上的一種可擴展的企業(yè)級防火墻和 Web 緩存服務(wù)器。 ISA Server 的多層防火墻可以保護網(wǎng)絡(luò)資源免受病毒、黑客的入侵和未經(jīng)授權(quán)的訪問。而且，通過本地而不是 Inter 為對象提供服務(wù)，其 Web緩存服務(wù)器允許組織能夠為用戶提供更快的 Web訪問。在網(wǎng)絡(luò)內(nèi)安裝 ISA Server 時，可以將其配置成防火墻，也可以配置成 Web 緩存服務(wù)器，或二者兼?zhèn)洹?ISA Server 提供直觀而強大的管理工具，包括 Microsoft 管理控制臺管理單元、圖形化任務(wù)板和逐步進行的向?qū)?。利用這些工具， ISA Server 能將執(zhí)行和管理一個堅固的防火墻和緩存服務(wù)器所遇到的困難減至最小。 ISA Server 提供一個企業(yè)級 Inter 連接解決方案，它不僅包括特性豐富且功能強大的防火墻，還包括用于加速 Inter 連接的可伸縮的 Web 緩存。根據(jù)組織網(wǎng)絡(luò)的設(shè)計和需要， ISA Server 的防火墻和 Web 緩存組件可以分開配置，也可以一起安裝。 ISA Server 有兩個版本，以滿足您對業(yè) 務(wù)和 網(wǎng) 絡(luò)的不同需求。 ISA Server 標準版可以為小型企業(yè)、工作組和部門環(huán)境提供企業(yè)級防火墻安全和 Web 緩存能力。 ISA Server 企業(yè)版是為大型組織設(shè)計的，支持多服務(wù)器陣列和多層策略，提供更易伸縮的防火墻和 Web 緩存服務(wù)器。 利用 Windows 2021 安全數(shù)據(jù)庫， ISA Server 允許您根據(jù)特定的通信類型，為 Windows 2021 內(nèi)定義的用戶、計算機和組設(shè)置安全規(guī)則，具有先進的安全特性。 利用 ISA Management 控制臺， ISA Server 使防火墻和緩存管理變得很容易。ISA Management 采用 MMC，并且廣泛使用任務(wù)板和向?qū)?，大大簡化了最常見的管理程序，從而集中統(tǒng)一了服務(wù)器的管理。 ISA Server 也提供強大的基于策略的安全管理。這樣，管理員就能將訪問和帶寬控制應(yīng)用于他們所設(shè)置的任何策略單元，如用戶、計算機、協(xié)議、內(nèi)容類型、時間表和站點?？傊?， ISA Server是一個擁有自己的軟件開發(fā)工具包和腳本示例的高擴展性平臺，利用它您可以根據(jù)自身業(yè)務(wù)需要量身定制 Inter 安全解決方案。 ISA Server 的作用 不管是什么規(guī)模的組織，只要它關(guān)心自己網(wǎng)絡(luò)的安全、性能、 管理和運營成本，對其 IT 管理者、網(wǎng)絡(luò)管理員和信息安全專業(yè)人員來說， ISA Server 都具備使用價值。 ISA Server 有 3 種不同的安裝模式：防火墻 (Firewall)模式、緩存(Cache)模式和集成 (Integrated)模式。集成模式能夠在同一臺計算機上實現(xiàn)前兩種模式。組織可以有多種聯(lián)網(wǎng)方案來部署 ISA Server，包括以下所述的幾種方法。 Inter 防火墻 ISA Server 可以安裝成專用防火墻，作為內(nèi)部用戶接入Inter 的安全網(wǎng)關(guān)。在信道里 ISA Server 計算機對其他方來說是透 明的。除非是違反了訪問或安全規(guī)則，那么任何用戶或應(yīng)用程序通過防火墻時都看不到基于 ISA Server 防火墻的設(shè)計和實現(xiàn) 9 ISA Server。作為防火墻， ISA Server 允許設(shè)置一組廣泛的規(guī)則，以指定能夠通過 ISA Server 的站點、協(xié)議和內(nèi)容，由此實現(xiàn)您的商業(yè) Inter 安全策略。通過監(jiān)視內(nèi)部客戶機和 Inter 之間的請求和響應(yīng)， ISA Server 可以控制哪些人能夠訪問公司網(wǎng)絡(luò)里的哪臺計算機。 ISA Server 還能控制內(nèi)部客戶端能夠訪問Inter 上的哪臺計算機。 安全服務(wù)發(fā)布 使用 ISA Server 您能夠向 Inter發(fā)布服務(wù)，而且不會損害內(nèi)部網(wǎng)絡(luò)的安全。要實現(xiàn)這一點，只需讓 ISA Server 計算機代表內(nèi)部發(fā)布服務(wù)器來處理外部客戶端的請求即可。 正向 Web 緩存服務(wù)器 作為正向 Web 緩存服務(wù)器， ISA Server 保存集中緩存內(nèi)經(jīng)常受到請求的Inter 內(nèi)容，專用網(wǎng)絡(luò)內(nèi)的任何 Web 瀏覽器都可以訪問這些內(nèi)容。這樣可以改善客戶端瀏覽器的性能，縮短響應(yīng)時間，并且減少 Inter 連接的帶寬消耗。 反向 Web 緩存服務(wù)器 ISA Server 可以作為 Web 服務(wù)器。它用緩存中的 Web 內(nèi)容來 滿足傳入的客戶端請求。只有緩存中的內(nèi)容不能滿足請求時，它才會