【正文】 er 上的哪臺計(jì)算機(jī)。作為防火墻， ISA Server 允許設(shè)置一組廣泛的規(guī)則，以指定能夠通過 ISA Server 的站點(diǎn)、協(xié)議和內(nèi)容，由此實(shí)現(xiàn)您的商業(yè) Inter 安全策略。在信道里 ISA Server 計(jì)算機(jī)對其他方來說是透 明的。組織可以有多種聯(lián)網(wǎng)方案來部署 ISA Server，包括以下所述的幾種方法。 ISA Server 有 3 種不同的安裝模式：防火墻 (Firewall)模式、緩存(Cache)模式和集成 (Integrated)模式。總之， ISA Server是一個(gè)擁有自己的軟件開發(fā)工具包和腳本示例的高擴(kuò)展性平臺，利用它您可以根據(jù)自身業(yè)務(wù)需要量身定制 Inter 安全解決方案。 ISA Server 也提供強(qiáng)大的基于策略的安全管理。 利用 ISA Management 控制臺， ISA Server 使防火墻和緩存管理變得很容易。 ISA Server 企業(yè)版是為大型組織設(shè)計(jì)的，支持多服務(wù)器陣列和多層策略，提供更易伸縮的防火墻和 Web 緩存服務(wù)器。 ISA Server 有兩個(gè)版本，以滿足您對業(yè) 務(wù)和 網(wǎng) 絡(luò)的不同需求。 ISA Server 提供一個(gè)企業(yè)級 Inter 連接解決方案，它不僅包括特性豐富且功能強(qiáng)大的防火墻，還包括用于加速 Inter 連接的可伸縮的 Web 緩存。 ISA Server 提供直觀而強(qiáng)大的管理工具，包括 Microsoft 管理控制臺管理單元、圖形化任務(wù)板和逐步進(jìn)行的向?qū)А６?，通過本地而不是 Inter 為對象提供服務(wù)，其 Web緩存服務(wù)器允許組織能夠?yàn)橛脩籼峁└斓?Web訪問。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 8 2 ISA Server ISA Server 簡介 ISA Server 是建立在 Windows 2021 操作系統(tǒng)上的一種可擴(kuò)展的企業(yè)級防火墻和 Web 緩存服務(wù)器。通過 VPN ，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的 DNS 信息，這樣一臺主機(jī)的域名和 IP 地址就不會被外界所了解。但是 Finger 顯示的信息非常容易被攻擊者所獲悉。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如 Finger ， DNS 等服務(wù)。 （ 4）防止內(nèi)部信息的外泄： 通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。當(dāng)發(fā)生可疑動作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。 （ 2）防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略： 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 7 通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如 IP 選項(xiàng)中的源路由攻擊和 ICMP 重定向中的重定向路徑。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng) 絡(luò)環(huán)境變得更安全。給人的感覺就是網(wǎng)絡(luò)內(nèi)部的主機(jī)都站在了網(wǎng)絡(luò)的邊緣，但實(shí)際上他們都躲在代理的后面，露面的不過是代理這個(gè)假面具。它本身就提供公共和專用的 DNS、郵件服務(wù)器等多種功能。 所謂代理服務(wù)器 ，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的服務(wù)器。只要你允許 DNS 查詢和反饋包進(jìn)入網(wǎng)絡(luò)這個(gè)問題就必然存在。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？ 有些新型路由器可以通過 “ 記憶 ” 出站 UDP 包來解決這個(gè)問題：如果入站UDP 包匹配最近出站 UDP 包的目標(biāo)地址和端口號就讓它進(jìn)來。還有 IRC 這樣的客戶程序也使用 UDP，如果要讓你的用戶使用它，就同樣要讓他們的 UDP 包進(jìn)入網(wǎng)絡(luò)。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來自內(nèi)部接口的 UDP 包，來自外部接口的 UDP 包則不轉(zhuǎn)發(fā)。 NFS、 DNS、WINS、 NetBIOSoverTCP/IP 和 NetWare/IP 都使用 UDP。剛才說了， UDP 包沒有ACK 位所以不能進(jìn)行 ACK 位過濾。通常只有高級的、也就是夠聰明的防火墻才能看出客戶機(jī)剛才告訴服務(wù)器的端口，然后才許可對該端口的入站連接。一旦用戶請求服務(wù)器發(fā)送數(shù)據(jù)， FTP 服務(wù)器就用其 20 端口 (數(shù)據(jù)通道 )向客戶的數(shù)據(jù)端口發(fā)起連接。第一對端口號用于 FTP 的 “ 命令通道 ” 提供登錄和執(zhí)基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 6 行命令的通信鏈路，而另一對端口號則用于 FTP 的 “ 數(shù)據(jù)通道 ” 提供客戶機(jī)和服務(wù)器之間的文件傳送。還有一些 TCP應(yīng)用程序，比如 FTP，連接就必須由這些服務(wù)器程序自己發(fā)起。 這套機(jī)制還不能算是無懈可擊，簡單地舉個(gè)例子，假設(shè)我們有臺內(nèi)部 Web服務(wù)器，那么端口 80 就不得不被打開以便外部請求可以進(jìn)入網(wǎng)絡(luò)。通過監(jiān)視 ACK 位，我們就可以將進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。當(dāng)服務(wù)器響應(yīng)該請求時(shí)，服務(wù)器就發(fā)回一個(gè)設(shè)置了 ACK 位的數(shù)據(jù)包，同時(shí)在包里標(biāo)記從客戶機(jī)所收到的字節(jié)數(shù)。連接會話的第一個(gè)包不用于確認(rèn)，所以它就沒有設(shè)置 ACK 位，后續(xù)會話交換的 TCP 包就要設(shè)置 ACK 位了。但并不是對每個(gè) TCP 包都非要采用專門的 ACK包來響 應(yīng)，實(shí)際上僅僅在 TCP 包頭上設(shè)置一個(gè)專門的位就可以完成這個(gè)功能了。為了實(shí)現(xiàn)其可靠性，每個(gè) TCP 連接都要先經(jīng)過一個(gè) “ 握手 ” 過程來交換連接參數(shù)。對策還是有的，不過這個(gè)辦法只能用于 TCP 協(xié)議。如果你這樣設(shè)置防火墻，你就沒法訪問哪些沒采用標(biāo)準(zhǔn)端口號的的網(wǎng)絡(luò)站點(diǎn)了！反過來，你也沒法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號 80的就一定來自 Web服務(wù)器。比如，如果你知道用戶要訪問 Web 服務(wù)器，那就只讓具有源端口號 80 的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)： 圖 15 雙向過濾 不過新問題又出現(xiàn)了。 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 4 圖 14 客戶 端的 TCP/UDP 端 口過濾 雙向過濾 OK，咱們換個(gè)思路。由于很多服務(wù)使用的端口都大于 1023，比如 X client、基于 RPC 的 NFS 服務(wù)以及為數(shù)眾多的非 UNIX IP 產(chǎn)品等（ NetWare/IP）就是這樣的。因?yàn)榉?wù)器發(fā)出響應(yīng)外部連接請求的入站（就是進(jìn)入防火墻的意思）數(shù)據(jù)包都沒法經(jīng)過防火墻的入站過濾。所以，除非我們讓所有具有大于 1023 端口號的數(shù)據(jù)包進(jìn) 入網(wǎng)絡(luò)，否則各種網(wǎng)絡(luò)連接都沒法正常工作。同時(shí)tel 客戶機(jī)也有一個(gè)端口號，否則客戶機(jī)的 IP 棧怎么知道某個(gè)數(shù)據(jù)包是屬于哪個(gè)應(yīng)用程序的呢？ 由于歷史的原因，幾乎所有的 TCP/IP 客戶程序都使用大于 1023 的隨機(jī)分配端口號。地址和端口都具備了才能建立客戶機(jī)和服務(wù)器的各種應(yīng)用之間的有效通信聯(lián)系。 客戶機(jī)也有 TCP/UDP 端口 TCP/IP 是一種端對端協(xié)議，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都具有唯一的地址。假如我們不許 PC 客戶機(jī)建立對 UNIX 計(jì)算機(jī)（在這時(shí)我們當(dāng)它是服務(wù)器）的 tel 連接，那么我們只需命令防火墻檢查發(fā)送目標(biāo)是 UNIX 服務(wù)器的數(shù)據(jù)包，把其中具有 23 目標(biāo)端口號的包過濾就行了。 服務(wù)器 TCP/UDP 端口過 濾 僅僅依靠地址進(jìn)行數(shù)據(jù)過濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說，我們不想讓用戶采用 tel 的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用 SMTP/POP 郵件服務(wù)器吧？所以說，在地址之外我們還要對服務(wù)器的 TCP/ UDP 端口進(jìn)行過濾。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。這正是防火墻最基本的功能：根據(jù) IP 地址做轉(zhuǎn)發(fā)判斷。 圖 12 防火墻阻止 IP 流量 現(xiàn)在我們 “ 命令 ” （用專業(yè)術(shù)語來說就是配制）防火墻把所有發(fā)給 UNIX 計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后， “ 心腸 ” 比較好的防火墻還會通知客戶程序一聲呢！既然發(fā)向目標(biāo)的 IP 數(shù)據(jù) 沒法轉(zhuǎn)發(fā)，那么只有和 UNIX 計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問 UNIX 計(jì)算機(jī)了。接下來，協(xié)議棧將這個(gè) TCP包 “ 塞 ” 到一個(gè) IP 包里，然后通過 PC 機(jī)的 TCP/IP 棧所定義的路徑將它發(fā)送給UNIX 計(jì)算機(jī)?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻 的一端有臺 UNIX 計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺 PC 客戶機(jī)。 所有的防火墻都具有 IP 地址過濾功能。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 的定義 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的 組合。因此企業(yè)必須加筑安全的 戰(zhàn)壕 ，而這個(gè) 戰(zhàn)壕 就是防火墻。他們正努力通過利用 Inter 來提高辦事效率和市場反應(yīng)速度，以便更具競爭力。本文應(yīng)用ISA Server 2021 來實(shí)現(xiàn)防火墻在企業(yè)網(wǎng)絡(luò)中的重要作用，通過講述 ISA 的安裝和配置使其成為邊界防火墻并簡單介紹 ISA Server 2021， VPN 對現(xiàn)在人們的需求特別是對于那些小型企業(yè)的用戶來說追求安全而又實(shí)惠的方法只有用 ISA Server 來構(gòu)建 VPN，本文通過介紹 VPN、 搭建 VPN 來為大家講解 VPN 的使用方法，然后通過使用 ISA 構(gòu)建 VPN 來實(shí)現(xiàn)兩個(gè)總公司與分公司之間的安全通信，并運(yùn)用模擬網(wǎng)絡(luò)環(huán)境測試網(wǎng)絡(luò)的連通性和防火墻系統(tǒng)。 鄭州輕院輕工職業(yè)學(xué)院 專科畢業(yè)設(shè)計(jì)（論文） 題 目 基于 ISA Server 防火墻的設(shè)計(jì)和實(shí)現(xiàn) 學(xué)生姓名 專業(yè)班級 學(xué) 號 系 別 指導(dǎo)教師 (職稱 )