1、Chapter,1,ISA Server 2004介绍,ISA Server的版本介绍 标准版 企业版 ISA Server在域环境下的安装 安装前的准备 可选方案 ISA Server的组件 安装过程,ISA Server的功能介绍,Chapter,2,ISA Server 2004功能介绍,Internet防火墙 Web缓存服务器 安全服务器发布,ISA Server 2004可以部署成一台专用防火墙,作为内部用户接入Internet的安全网关,企业内部用户能够向Internet发布Web服务、邮件服务等,避免这些务器直接暴露在Internet上而受到攻击,通过把曾经使用过的内容直接给再次
2、要求访问此资源的用户的缓存方式可以节约带宽,加快响应速度,Chapter,3,ISA Server的版本,Chapter,4,ISA Server 2004,ISA Server的版本介绍 标准版 企业版 ISA Server在域环境下的安装 安装前的准备 可选方案 ISA Server的组件 安装过程,ISA Server的功能介绍,Chapter,5,ISA Server安装注意事项,Chapter,6,ISA Server综合解决方案2-1,小型企业应用方案 对于有几十台计算机,使用一条专线上网的小型企业 ISA Server放在公司局域网和Internet之间 为整个网络提供共享连接和
3、安全性,Chapter,7,ISA Server综合解决方案2-2,中型企业应用方案 可以部署成三宿主机外围网络形式 单个的ISA Server计算机上安装了三块网卡 分别连接Internet 、DMZ和内部网络,Chapter,8,ISA Server的组件,用于存储企业中全部阵列的配置信息,对一组ISA Server服务器的统一管理方式。阵列中所有的服务器共享同样的配置,ISA服务器服务:运行防火墙和缓存服务的ISA服务器,ISA服务器管理:用于管理企业和阵列成员的管理终端,Chapter,9,案例背景,某公司网络架构为单域环境,其中一台Windows Server 2003服务器,准备安
4、装ISA Server 2004 企业版,用以连接内部用户和外网用户 安装ISA Server 2004的计算机首先加入到域中,安装两块网卡,分别连接内网和外网 拓扑结构如图所示,Chapter,10,ISA Server在域环境下的安装,启动安装程序:光盘安装 “ISA Autorun.exe” 选择安装方案 选择企业安装选项 配置存储服务器设置帐号 对DC有控制权的用户才有权配置存储服务器 指定网络 选择网卡 指定内部网络地址范围 设置防火墙客户端连接 启动安装过程至完毕,ISA Server安装过程,安装ISA服务器服务 安装配置存储服务器 同时安装ISA服务器服务和配置存储服务器 安装
5、ISA服务器管理,创建新ISA服务器企业 创建企业配置的副本,Chapter,11,ISA Server界面介绍,启动界面,全部可供管理的模块,按企业和阵列进行组织,选中某模块时,在此处可看该模块的明细,可对该模块执行的任务,学习的重点,Chapter,12,本章目标,了解ISA Server策略元素理解ISA Server 访问策略的作用掌握ISA Server访问策略的设置掌握ISA Server的3种客户端配置,Chapter,13,本章结构,确保Internet 连接安全性,访问规则,邮件发布规则,本地主机网络,外部网络,防火墙策略元素,网络结构,企业和阵列,多网络环境,防火墙策略规则
6、,内部网络,Web发布规则,Chapter,14,企业和阵列,企业与阵列,企业: 一个逻辑的组织概念,类似Windows2003中的域和OU,是一个企业管理模型在防火墙软件中的体现,阵列: 一组ISA Server 计算机的组合,全体成员共享相同的配置,从而简化了管理。修改阵列配置时,阵列中的所有 ISA 服务器计算机也同时修改,包括所有访问策略和缓存策略,Chapter,15,网络结构2-1,Chapter,16,网络结构2-2,本地主机网络,外部网络,内部网络,Chapter,17,网络模板2-1,作用 为了方便管理员设置防火墙策略 提供了5个预定义的网络模板, 包含了常用与复杂的网络拓扑
7、 使用方法 【阵列】【网络】,点击右侧的【模板】,网络模板,Chapter,18,网络模板2-2,边缘防火墙 3向外围网络 前端防火墙 后端防火墙,Chapter,19,策略元素,ISA Server通过策略来控制网络访问 每条策略规则就要由一些特定的参数来达到规定的要求 策略元素就是策略规则的参数 ISA Server允许创建多种策略元素在定义的任何规则中使用 策略元素 协议、用户集、内容类型、计划、网络对象,Chapter,20,协议,协议类型 TCP、UDP、ICMP和IP 方向 UDP:包括“发送”、“接收”、“发送接收”或“接收发送”TCP:包括“入站”和“出站” ICMP 和 IP
8、 :包括“发送”和“发送接收”出站 端口范围 1-65535 协议号 0-254,Chapter,21,用户集,定义 可以将用户归入相应的集合中 用户集可以包括来自任何身份验证方案的一个或多个用户 例如,用户集可以包括 所有Windows 用户 默认用户集 所有经过认证的用户 所有用户 系统和网络服务,Chapter,22,内容类型,当数据包经过防火墙时,可以根据定义的规则来检查数据包内容,达到限制或过滤的目的 视频 音频 图像 压缩文件,Chapter,23,计划,定义 可以根据企业的需求将一天24小时分成许多时段 例如:“工作时段”、“午休时段”、“全天时段” 默认时段 周末 星期六与星期
9、日全天 工作时间 周一至周五上午9:0017:00,Chapter,24,网络对象,定义 应用防火墙规则的源和目的网络 种类 网络:一定范围的IP地址 网络集:一个或多个网络 计算机: 一个IP地址 地址范围、子网、计算机集 :一定范围的IP地址,网络对象,Chapter,25,阶段总结,ISA Server主要网络结构 提供了相关网络防火墙模板 防火墙策略 防火墙策略元素 协议 用户集 内容类型 计划 网络对象,Chapter,26,阶段练习,防火墙策略包括哪些元素?,Chapter,27,防火墙策略规则,Chapter,28,常用访问规则,访问规则 源网络上的客户端如何访问目标网络上的资源
10、 Web发布规则 让外部用户访问企业的Web服务器。同时又不危及内部网络的安全性 邮件发布规则 让外部用户访问企业邮件服务器。同时又不危及内部网络的安全性,Chapter,29,访问规则工作原理,动作 on 协议 from 使用者 from 来源 to 目的地 with 条件,允许 拒绝,源网络 源IP,目的网络 目的IP 目的站点,协议 IP端口/类型,发布服务器 发布Web站点 计划 过滤属性,任何用户认证用户指定用户,Chapter,30,创建访问规则2-1,应用实例 公司财务部有一台计算机是专门用来作财务报表的,要求这台计算机任何时间都不可以连接到外部网络 这台计算机的IP地址是192
11、.168.2.182/24,Chapter,31,创建访问规则2-2,新建新主机192.168.2.182/24 新建访问规则 设定规则动作与通讯协议 设定规则应用的源和目的 设定规则的应用对象 完成设置及应用,创建访问规则,Chapter,32,部署客户端,Chapter,33,客户端类型,Chapter,34,SecureNAT Client,SecureNAT Client不需要安装指定的软件 配置SecureNAT Client不需要使用路由器 设置ISA Server内部网卡为网关 配置SecureNAT Client需要使用路由器 设置离ISA Server最近的路由器为网关,Ch
12、apter,35,FireWall Client,FireWall Client需要安装指定的防火墙软件 使用“clients”共享文件夹 指定ISA Server,Chapter,36,Web Proxy Client,Web Proxy Client不需要安装指定的防火墙软件 客户端计算机上的代理设置必须将ISA Server作为代理服务器使用,同时制定相关的端口号,设置代理服务器,Chapter,37,本章结构,确保Internet 连接安全性,访问规则,邮件发布规则,本地主机网络,外部网络,防火墙策略元素,网络结构,企业和阵列,多网络环境,防火墙策略规则,内部网络,Web发布规则,Ch
13、apter,38,实验拓扑,背景 ISA服务器作为边缘防火墙连接企业内部和外部网络;内部网络中的客户端1的IP地址址为10.2.1.10/24,客户端2的IP地址为10.2.1.20/24,外部客户端的IP为61.139.0.9/24。ISA Server内网地址为10.2.1.254/24,外网地址为61.139.0.5/24。,Chapter,39,任务1,使用身份验证来禁止内部用户访问外网 完成标准 从内网任何一台机器上用wang帐户都不能访问外网的网站 用liu帐户可以访问,Chapter,40,任务2,使用IP地址来禁止内部用户访问外网 完成标准 从内网客户端1上不能访问外网的网站 从客户端2上可以访问外网网站,
