使用ISA Server 2004 保护网络周边的安全(上)
采用网络模板对ISA Server 2004进行配置-->见下图:
应用网络模板: 使用网络模板将ISA Server 2004配置为边缘防火墙
我现在来到一台计算机名称叫做Florence.yejunsheng.com的计算机 它是第一台ISA Server 2004服务器并且是配置存储服务器 我已经把这台ISA服务器加入yejunsheng.com这个域中了 打开ISA服务器管理器--展开阵列--FLORENCE--配置--按网络 可以看到当前是一个3向外围网络 比如说我现在想把当前的3向外围网络配置成一个边缘防火墙也是就说只有二块网卡的防火墙怎么样配置呢? 在右边模板选项里面按边缘防火墙 接着下一步
此时你可以按导出把当前的三宿主边缘防火墙的配置导出去 我现在就把当前的三宿主边缘防火墙的配置导出去吧 按导出--文件名就叫做输入config part.xml吧--按导出 接着下一步
此时它需要你去指定内部网络IP地址--按添加适配器--把内部网卡沟上 接确定 可以看到我当前指定的是10.10.10.0--10.10.10.255这个网段的IP地址 接着下一步
一般建议在选择一个防火墙策略里面选择阻止所有访问 然后从0开始去定制策略 我就选择阻止所有访问吧 接着下一步
这是最后一步了 按完成
看到了吧? 这个时候防火墙模式就从原来的3向外围网络模式变成了边缘防火墙模式了 在ISA服务器管理里面按一下应用
部署ISA Server 2004: 最佳做法 要部署ISA Server以提供Internet访问: 规划DNS名称解析 创建必要的访问规则元素并配置访问规则 规划访问规则顺序 实践适当的身份验证机制 在部署前测试访问规则 部署防火墙客户端以获得最大的安全性与功能 使用ISA Server 的日志记录解决Internet连接问题
保护对内部服务器的访问的安全: 面临哪些问题? 问题取决于所要求的访问类型: 访问公共Web站点: 确保只有指定的Web站点才能被访问 在应用层筛选通信 隐藏内部网络的复杂性 访问安全Web站点: 启用身份验证 启用数据加密 访问非Web资源: 确保只有指定的服务器才能够被访问 在应用层筛选通信
什么是ISA Server发布? ISA Server支持三种类型的发布规则: 使用HTTP: 用于发布Web站点的Web发布规则 用于发布需要SSL加密的Web站点的安全Web发布规则 用于发布不使用HTTP或HTTPS的服务器发布规则
实施ISA Server Web发布规则: 要创建一个Web发布规则,请配置: 操作 名称或IP地址 用户 通信源 Publish name Web侦听器 路径映射 桥接 链接转换
实施ISA Server 安全Web发布规则: 要创建一个安全Web发布规则: 选择SSL桥接模式或SSL隧道 在ISA Server、Web服务器或这两者上安装一个数字证书 配置SSL Web侦听器 配置安全Web发布规则
实施服务器发布规则: 要创建服务器发布规则,请配置: 操作 通信 通信源 通信目标 网络 要启用安全服务器发布,可配置ISA Server发布一个安全协议,然后在发布服务器上安装一个服务器证书
保护对内部服务器的访问的安全: 最佳做法-->要启用对内部服务器的访问: 实施分离DNS用以从内部和外部访问资源 熟悉Web访问错误信息 正确实施SSL证书
防火墙要求: 多层筛选-->数据包筛选: 基于网络层和传输层报头中的信息筛选数据包 启用快速数据包检查,但无法检测较高级别的攻击 有状态筛选: 基于TCP会话信息筛选数据包 确保只接受有效会话中的数据包,但无法检查应用程序数据 应用程序筛选: 基于网络数据包中的应用程序有效负载筛选数据包 能够防止恶意攻击并实施用户策略
ISA Server 2004中的应用程序及Web筛选器-->应用程序筛选器: 是对防火墙服务的扩展 使防火墙能够处理复杂的网络协议 实现应用层的入侵检测 实现应用层的内容筛选 Web筛选器: 是基于ISAPI模型的DLL 实现请求和响应扫描与修改 实现对特定响应的阻塞 实现通信的日志记录和分析 实现数据的加密和压缩 实现自定义身份验证架构
在ISA Server 2004中实施HTTP Web筛选-->HTTP Web筛选用于: 筛选从内部客户端到其他网络的通信 筛选从内部客户端到内部Web服务器的通信 HTTP筛选是规则相关的--您可以为每个访问或发布规则配置不同的筛选器 HTTP Web筛选器能够基于信息阻塞HTTP数据包: 请头报头和有效负载的长度 URL的长度 HTTP请求方法 HTTP请求文件扩展名 HTTP请求或响应报头 响应报头或正文中的签名或模式
实施HTTP Web筛选器: 最佳做法-->要配置基准HTTP筛选器,请: 配置报头、有效负载、URL和查询的最大长度 选择"Verify normalization",不阻塞高位字符 只允许GET、HEAD、和POST 阻塞可执行文件夹和包含扩展的服务器端 阻塞潜在的恶意签名 使用ISA Server光盘中的HTTPFilterConfig.vbs脚本来导入和导出HTTP筛选器配置
如何配置内部Web服务器的安全Web发布规则呢?
我现在来到一台计算机名称叫做London的计算机 它是一台Web服务器同时是一台CA服务器 我已经在IIS管理器的默认网站里面申请一个证书了 通过开始--程序--管理工具--按Internet信息服务(IIS)管理器--展开网站--对着默认网站右键--选择属性--按目录安全性--按查看证书 可以看到这个证书是颁发给London.yejunsheng.com 也就是说London.yejunsheng.com是这台计算机的完全计算机名称(FQDN名称) 颁发者是London CA 这台计算机的IP地址是10.10.10.2 我就是希望待会Internet的计算机能够通过ISA服务器访问到这个Web站点
我来到一台计算机名称叫做Florence的计算机 它是第一台ISA服务器并且是配置存储服务器 我现在为这台ISA服务器申请一个证书 注意: 我已经在这台ISA服务器上创建了一条阵列访问规则允许本机主机(ISA服务器)到内部的HTTP协议了 打开IE浏览器--在地址里面输入 http://london.yejunsheng.com/certsrv 按回车键--输入用户名(administrator)和密码 按确定 在Microsoft 证书服务--London CA的选择一个任务里面按申请一个证书
在申请一个证书里面选择高级证书申请--在高级证书申请里面选择创建并向此CA提交一个申请
在证书模板里面选择Web服务器--在用于脱机模板的识别信息的姓名里面输入 www.yejunsheng.com 注意: 一定要把将证书保存在本地计算机存储中将证书保存在本地计算机存储而不是用户的证书存储。不是安装根CA的证书。您必须是管理员,才能生成或使用本地计算机存储中的密钥。沟上 按提交--此时弹出一个潜在的脚本冲突警告--它提示此网站正在代表您请求一个新的证书。您应该只允许信任的网站为您请求证书。您想现在请求证书吗? 你按是就ok了
在您申请的证书已颁发给您里面点击安装此证书--此时又弹出一个潜在的脚本冲突警告: 它提示您想让此程序现在添加证书吗? 如果您信任此网站,请单击"是"。否则,请单击"否"。你按是就ok了 此时可以看到证书已安装-->您的新证书已经成功安装。我来确认一下这个证书是否已经存在了 通过开始--运行--输入mmc按确定来打开控制台--在控制台里面按文件--按添加/删除管理单元--按添加--在添加独立管理单元里面按证书--按添加--在该管理单元将始终为下列账户管理证书里面选择计算机账户--按完成--在添加独立管理单元里面按关闭--在添加/删除管理单元里面按确定 展开证书(本地计算机)--个人--按证书--看到了吧? 在这台ISA服务器里面已经安装一个叫做 www.yejunsheng.com 的证书了
我现在创建一个在443端口上侦听外部的HTTPS的Web侦听器 打开ISA服务器管理--展开阵列--FLORENCE--按防火墙策略(FLORENCE)--在右边工具箱选项里面对着Web侦听器右键--选择新建网络侦听器--Web侦听器名称就叫做external 443吧 接着下一步
在侦听来自这些网络的请求里面把外部沟上 接着下一步
在端口指定里面把启用SSL沟上--按选择--可以看到我刚才申请的证书了,按 www.yejunsheng.com 这个证书--按确定 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
我现在来发布一个安全的Web服务器 按防火墙策略(FLORENCE)--在右边任务选项的阵列策略任务里面按发布安全的Web服务器--SSL Web发布规则名称就叫做Publish london ssl吧 接着下一步
在发布模式里面选择SSL隧道 接着下一步
在服务器IP地址里面输入10.2.1.2(计算机名称叫做london的那台Web服务器的IP地址) 接着下一步
在侦听来自这些网络的请求里面把外部沟上 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
我现在来到一台外部的计算机 这台计算机的名称叫做Internet 打开IE浏览器--在地址里面输入 https://www.yejunsheng.com/ 按回车键 看到了吗? 我现在是使用https这种方式访问的--可以访问到企业内部的那台Web服务器的网站了--按default.html--可以看到我在网站里面输入的内容了-->This is a Secure Web Site!
如何配置ISA Server实现Outlook Web Access呢? 要配置ISA Server 实现OWA访问,请: 1.使用"邮件服务器发布向导"来发布OWA服务器 2.配置桥接模式。为获得最佳的安全性,要保护从客户端到ISA Server以及从ISA Server到OWA服务器连接的安全 3.配置用于OWA发布的Web侦听器。在Web侦听器中选择基于窗体的身份验证 基于窗体的身份验证确保用户凭据不存储在客户端计算机中,可用于阻塞对附件的访问
我现在来发布一个邮件服务器 在ISA服务器管理里面按防火墙策略(FLORENCE)--在右边任务选项的阵列策略任务里面按发布一个邮件服务器--邮件服务器发布规则向导名称就叫做Publish London OWA吧 接着下一步
在选择访问类型里面选择Web客户端访问 接着下一步
在Web客户端邮件服务里面选择Outlook Web Access 接着下一步
在桥接模式里面选择仅标准连接 接着下一步
在Web邮件服务器里面输入企业内部Exchange服务器的IP地址(10.2.1.2) 接着下一步
公共名称就叫做 www.yejunsheng.com 吧 接着下一步
在Web侦听器里面选择external 80 接着下一步 注意: 我已经在ISA服务器里面新建一个叫做external 80的Web侦听器了 在此规则应用于来自下列用户集的请求里面保留默认值(所有用户) 接着下一步
这是最后一步了 按完成 在ISA服务器管理里面按一下应用
我现在来到一台外部的计算机 这台计算机的名称叫做Internet 打开IE浏览器--在地址里面输入 http://www.yejunsheng.com/exchange 按回车键--输入用户名(administrator)和密码 按确定 看到了吗? 现在通过防火墙(ISA服务器)可以访问到Administrator这个用户的邮箱了
我来到ISA服务器这边 在ISA服务器管理里面按防火墙策略(FLORENCE)--在右边工具箱里面展开Web侦听器--对着external 80右键--选择属性--在external 80属性的首选项里面按身份验证--可以看到默认情况下是沟上集成的--我把集成的沟去掉--把OWA Forms-Based 启用基于窗体的(cookie)身份验证,用于发布Outlook Web访问服务器沟上--在配置基于OWA窗体的身份验证里面按配置--可以看到默认情况下在公共计算机上的客户端是22分钟 在私有计算机上的客户端是36小时 我把在公共计算机上的客户端修改成3分钟 按确定 也就是说在公共计算机上的浏览器不动3分钟之后就自动把cookie值删除掉 这样就更加地安全了
我现在来到一台外部的计算机 这台计算机的名称叫做Internet 打开IE浏览器--在地址里面输入 http://www.yejunsheng.com/exchange 按回车键 可以看到现在的界面已经发生变化了 在域\用户名里面输入yejunsheng\administrator 在密码里面输入administrator的密码 我在安全设置里面保留默认值(公共或公用的计算机) 也就是说浏览器的窗口禁止3分钟之后 相应的cookie值就会自动删除掉了 按登录 可以看到也能够通过防火墙(ISA服务器)访问到Administrator的邮箱了 3分钟之后 如果你不动浏览器的话 相应的cookie值就会丢失了 当你你再次访问的时候 它就要求你输入用户名和密码了