项目一、分析网络安全需求
任务3、了解防火墙的基本概念
防火墙(Firewall)通常是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合(包括硬件和软件)。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网Internet之间的任何活动,保证了内部网络的安全。
图1.2防火墙逻辑位置示意图
由于防火墙设定了网络边界和服务,因此更适合于相对独立的网络,例如Intranet 等。防火墙成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严格,安全性较强的一种方式,任何关键性的服务器,都应放在防火墙之后。
1.3.1防火墙的功能
防火墙能增强内部网络的安全性,加强网络间的访问控制,防止外部用户非法使用内部网络资源,保护内部网络不被破坏,防止内部网络的敏感数据被窃取。防火墙系统可决定外界可以访问哪些内部服务,以及内部人员可以访问哪些外部服务。
一般来说,防火墙应该具备以下功能:
1)支持安全策略。即使在没有其他安全策略的情况下,也应该支持“除非
特别许可,否则拒绝所有的服务”的设计原则。
2)易于扩充新的服务和更改所需的安全策略。
3)具有代理服务功能(例如FTP、Telnet等),包含先进的鉴别技术。
4)采用过滤技术,根据需求允许或拒绝某些服务。
5)具有灵活的编程语言,界面友好,且具有很多过滤属性,包括源和目的
IP地址、协议类型、源和目的TCP/UDP端口以及进入和输出的接口地址。
6)具有缓冲存储的功能,提高访问速度。
7)能够接纳对本地网的公共访问,对本地网的公共信息服务进行保护,并
根据需要删减或扩充。
8)具有对拨号访问内部网的集中处理和过滤能力。
9)具有记录和审计功能,包括允许等级通信和记录可以活动的方法,便于
检查和审计。
10)防火墙设备上所使用的操作系统和开发工具都应该具备相当等级的安全性。
11)防火墙应该是可检验和可管理的。
1.3.3防火墙的工作方式
所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头,根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图,两个网段之间隔了一个防火墙,防火墙的一端有台UNIX计算机,另一边的网段则摆了台PC客户机。
图1.5 防火墙的工作方式示意图
总的来说,防火墙可以以硬件方式、软件方式以及软硬件混合的方式工作,下面进行简单介绍。
1.3.3.1 硬件方式
图1.6 硬件防火墙
硬件防火墙是在内部网与Internet之间放置一台硬件设备,以隔离或过滤外部人员对内部网络的访问,如图1-5所示。
采用上述安装,可以根据自己的网络设计及应用配置防火墙,阻止来自外部的破坏性攻击。
1.3.3.2 软件方式
采用软件方式也可以保护内部网络不受外来用户的攻击。在Web主机上或单独
一台计算机上运行一类软件,监测、侦听来自网络上的信息,对访问内部网的数据起到过滤作用,从而保护内部网免受破坏。这类软件中,最常用的是代理服务器软件。
在代理方式下,私有网络的数据包从来不能直接进入互联网,而是需要经过代理的处理。同样,外部网的数据也不能直接进入私有网,而是要经过代理处理以后
才能到达私有网,
因此在代理上就可以进行访问控制,地址转换等功能。下图是是用代理服务器的工作示意图:
图1.7软件方式
1.3.4 防火墙分类
(一)分组过滤型防火墙
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因
为它不针对各具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。
包过滤在网络层和传输层起作用。它根据分组包的源、宿地址,端口号及协议类型、标志确定是否允许分组包通过。所根据的信息来源于IP、TCP或UDP包头。
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的
数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。
(二)应用代理型防火墙
图1.8
应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
(三)复合型防火墙
由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结
合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。
◆屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与Internet 相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
◆屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个
分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。
任务4、体验ISA Server 2006
图 1.10 ISA Management界面
项目二、安装和部署ISA SERVER 2006
任务1、规划ISA Server安装
2.1. 1 容量规划
您应该规划ISA Server的硬件配置和Internet连通性,以满足预期的网络负载要求。以下部分是用于各种使用方案的推荐的系统配置。
2.1.1.1 最低要求
ISA Server要求有一台运行Microsoft Windows 2000 Server某个版本的计算机。除了内部网络中Windows 2000用于通信的网络适配器以外,ISA Server还需要一个外部网络适配器、调制解调器或者综合服务数字网(ISDN)适配器来连接Internet。
2.1.3 ISA Server模式
作为安装过程的一部分,需要选择采用哪一种ISA Server模式:防火墙模式、缓存模式,或者集成模式。
如果采用防火墙或集成模式,可以通过配置控制企业网和Internet之间的通信规则来保证网络通信的安全。在防火墙和集成模式下,还可以发布内部服务器,由此将内部服务器上的数据共享给Internet用户。
如果采用缓存或集成模式,可以通过存储经常访问的Internet对象,使它们在地理上离用户更近,来改善网络性能并且节省带宽。您还可以将Internet用户的请求发送到适当的内部Web服务器上。
选择的模式不同,可用的功能就不同。表2.5列出了采用防火墙和缓存模式时可用的功能。在集成模式下所有的功能都可用。
2.1.4 Internet连接考虑事项
提供Internet访问的第一步是找到合适的ISP。当发布内部服务器时,必须获得IP地址,用它来关联域名或服务器名。当外部客户访问您的Web站点或域时,ISP的DNS服务器会找到与要求访问的Web站点名称相关联的IP地址——通常是ISA Server计算机或边界网络(DMZ)上的IP地址。或者,可以用内部DNS服务器解析外部客户的请求。
2.1.6 ISA Server网络拓扑结构方案
ISA Server可以安装在各种各样的网络拓扑结构中。本部分将说明一些典型的网络配置。尽管实际的网络配置可能与这里说明的有区别,但是一些基本的概念和配置逻辑会对规划网络拓扑结构有帮助。
2.1.7 小型办公室方案
对于小型办公室的网络配置,ISA Server计算机可以置于公司局域网/广域网和Internet 之间。一个小型办公室的网络在单个局域网段的客户数可能少于250人。它使用IP网络协议和拨号连接ISP。一台ISA Server计算机就能够为整个网络提供连接和安全,如图2.1所示。
局域网
ISA Server
计算机
图 2.1 小型办公室方案
图2.1所描绘的是一个小型组织的情况,其阵列只包含一台ISA Server计算机。为了将来能进行扩展,服务器应安装成阵列成员。
在稍大一点的组织中,可以配置一个ISA Server计算机阵列。假定大部分客户都位于单一的站点和域中,可以安装一个ISA Server阵列为整个组织服务。根据带宽和缓存要求,这个阵列可以包含一台或多台ISA Server计算机。
2.1.8 企业方案
图2-2描绘的是一家大公司的情况,它的总部在美国,两个分支机构设在加拿大和英国。这3个地方都安装了一台或多台ISA Server计算机的阵列。在总部创建了企业策略,为所有客户端定义一个访问策略。总部的网络管理员负责执行公司策略,并保证所有的分支机构遵循该策略规定的准则。总部网络管理员允许分支机构的管理员创建更多的限制规则。
英国
总部
加拿大
(美国)
图 2.2 企业网配置
任务2、安装ISA SERVER 2006
为了在服务器计算机上完成ISA Server的安装,首先必须安装网络并且根据选择的网络拓扑结构配置连接。如果采用阵列或企业策略,还必须初始化企业,将阵列架构信息安装到Active Directory存储器中。在ISA Server的实际安装过程中,需要构造本地地址表(LAT),列出内部网络地址的范围。
2.2.1 安装ISA Server之前
安装ISA Server之前,必须安装硬件并配置将要运行ISA Server的计算机的软件。2.2.1.1 安装网络适配器
一般来说,ISA Server只有一个IP默认网关。应当只在外部网络适配器上配置默认网关的IP地址,而不是在内部网络适配器上。内部网卡的Default Gateway设置为空即可。
2.2.1.2 TCP/IP设置
为任何网络适配器设置TCP/IP属性时,都应该为ISA Server计算机输入一个永久保留的IP地址,并为局域网输入一个适当的子网掩码。既然网络内部客户会把ISA Server计算机的地址指定作为默认网关,而且DHCP可以重新设置ISA Server计算机的地址,就不能对服务器内部网络适配器使用DHCP来分配地址。然而,外部NIC的地址可以是启用DHCP 的,也可以是静态定义的,再加上默认网关和DNS设置。
Windows 2000根据适配器的单一MAC地址识别加载到系统上的各个适配器。可以运行ipconfig /all命令,以得到ISA Server计算机的两个网络适配器的媒介访问控制(MAC)地址,并确定各个网卡配置正确。
配置完适配器和IP地址后,应该使用Ping程序以测试与其他计算机的连通性。如果可以成功地从ISA Server计算机ping到内部网络客户,内部网络适配器配置就是正确的。如
果可以从ISA Server计算机ping到您的上游Internet网关、ISP的DNS服务器或任何Internet 地址,外部网络适配器的配置就是正确的。检验网络连通性后,可以通过nslookup 实用程序查找与网络地址相关的IP地址来检验域名解析。
2.2.2 Windows 2003路由表
安装ISA Server之前,先配置ISA Server计算机的路由表,其中包括内部网络中的所有IP地址范围。可以用Windows 2003路由程序来浏览并配置路由表。还可以使用Windows 2003 Routing and Remote Access控制台。
2.2.3安装ISA Server
实验1:ISA Server 2006的安装
本次实验将会在一个具备两块卡的虚拟机上安装ISA 2006 防火墙的服务器端。让大家了解ISA Server 2006的基本安装。实验拓扑图如下
图 2.3实验拓扑图
由于本实验是在虚拟机中进行模拟的,所以先要为服务器端添加一块虚拟网卡,形成双网卡。首先,点击虚拟机【设置】,打开如下界面,选择【添加】
选择【网络适配器】,点击【下一步】
网络适配器类型选择【桥接】,单击【完成】,就成功的添加了另一个网卡
图 2.6
网卡添加好后,启动虚拟机进入系统界面(这里选择Windows sever2003 sp2,BA低于此版本的系统需要更新补丁后才可安装),将要安装ISA Server 2006防火墙的电脑网卡配置如下,在可以使用【ipconfig】命令查看其两块网卡的ip地址。
图 2.7
下面进行ISA Server 2006的安装
(1)、首先将ISA Server 2006的光盘放入光驱中,然后让光盘自动播放,或找到光盘文件中的setup文件双击运行。然后会弹出如下界面。点击【安装ISA Server 2006】。之后按默认操作进行(即点击【下一步】)。
图 2.8
图 2.9
(2)、选择【我接受许可协议中的条款】并单击【下一步】。
图 2.10
(3)、安装到这步需要输入用户名和单位,并输入正确的序列号,单击【下一步】继续安装进行。
图 2.11
(4)、安装方案选择【同时安装ISA Server 服务和配置存储服务器】,单击【下一步】继续。组件选择我们按默认全选,然后单击【下一步】。
图 2.12
图 2.13
(5)企业安装选项中我们选择【创建先ISA服务企业】,单击【下一步】,会出现单击出现【新建企业警告对话框】,显示将此计算机配置为配置存储服务器。继续单击【下一步】
图 2.14
图 2.15
(6)、出现【内部网络】对话框,选择【添加】,会出现【地址】对话框,选择【添加范围】,如图所示将我们本次实验设定的内部网络地址【192.168.1.1——92.168.1.200】添加到里面。单击【确定】。
图 2.16
图 2.17
(7)、添加好内部网络的地址后,单击【下一步】继续ISA Server 2006的安装。
图 2.18
(8)、出现【防火墙客户端连接】对话框,在该对话框中指定ISA是否将接受来自不支持加密的防火墙客户端的连接,在此不选择【允许不加密的防火墙客户端连接】。
注意:如果你使用的客户端是防火墙客户,而且,客户端的安装程序是ISA 2000的客户端的话,一定要把【允许运行早期版本的防火墙客户端软件的计算机连接】这项选中。这里我们不选择,点击【下一步】:
图 2.19
(9)、出现如下图的警告,显示在安装ISA Server 2006过程中将要重启和禁用的服务。
图 2.20