|
查看80端口是否允许使用
ISA SERVER2000 学习笔记
一:Microsoft Internet Security and Acceleration Server 2000 介绍
ISA包括两个版本:标准版和企业版。包括三种模式:防火墙模式,CACHE模式和集成模式,可以与WIN2K集成,根据计算机,用户,组来定义策略,它通过MMC界面进行管理,可以在本地和远程管理ISA。
ISA的防火墙分为三个层次,最底层为IP packet filters,这是静态的,对于指定的端口,不是允许就是阻止通过,然后为POLICY RULES,这可以理解为动态的包过滤,允许在二次连接的时候,动态打开相应的端口(即只有在使用的时候,才会打开这一端口,而不像IP packet filters是一直开放的),最后为应用层的过滤,可以对诸如电子邮件的内容进行过滤。
ISA的CACHE功能十分强大,可以定义为自动下载定义计划,可以根据访问频率的高低自动下载,可以在多台ISA上分布CACHE.
当使用ISA企业版的阵列方式时,为企业的管理提供更大的灵活性,你可以统一定义企业策略,也可以对每个阵列分别定义策略
二:安装Microsoft Internet Security and Acceleration Server 2000
在安装前,必须首先考虑ISA的安装模式(防火墙模式,CACHE模式和集成模式),同时对客户端也要有所考虑,因为客户端可以分为防火墙客户端,WEB客户端和SNAT客户端。对于一个小公司来说,典型的安装是一台ISA安装两块网卡,隔断企业内部局域网和INTERNET,对于一个大型公司,则可能需要多台ISA组成阵列。同时对于防火墙后面的WEB,MAIL服务器的发布也要有所考虑,你是将它们直接安装在ISA上,混合域(perimeter network.),还是在企业的内部。
如果要安装ISA企业版,必须首先安装Enterprise Initialization utility,在AD中加入SCHEMA,如果是安装ISA标准版,它的信息是保存在SERVER本身的注册表中的。
如果企业以前使用Proxy Server 2.0,可以考虑直接升级到ISA
三:设定INTERNET访问
ISA的客户端分为防火墙客户端,WEB客户端和SNAT客户端,它们的使用场合是不同的,主要的区别有以下几点:
1. SNAT用户的访问只能通过IP地址来进行控制,它是匿名访问,无法使用基于USER的规则控制,而防火墙用户和WEB用户可以(在缺省情况下,ISA允许WEB匿名访问,但是你可以通过设置,在访问前要求用户认证)
2. 防火墙用户只能在WINX的机器上安装(需要客户端安装程序),而SNAT客户和WEB客户可以跨越操作系统平台,WEB只有浏览器要求
3. 如何内部有WEB/FTP/MAIL之类的服务器提供对外服务,则它们必须作为SNAT用户
4. SNAT用户不支持需要二次连接的网络运用,除非在IP FILTER中指定
5. SNAT用户需要解决DNS解析问题,这就意味着你的INTRANET要有DNS服务器或者在IP FILTER中允许DNS Query operation。
6. SNAT用户和防火墙用户同时也可以是WEB用户,不过WEB用户只支持HTTP/HTTPS/FTP服务。
7. 对于SNAT用户来说,即使Protocol Rule allows "Any IP traffic.",它也只是开放了ISA预先定义的那些Protocol,至于如QQ之类还要你自己定义。注意如果这一应用只使用了单一端口,那只要直接定义即可,如果使用了多个端口,则须在IP FILTER中加以定义。
如果你的网络对外连接是通过拨号方式,则只有Web Proxy and firewall clients可以使用按需拨号,对于NAT用户,必须首先建立连接。WEB用户和防火墙用户还可以配置使用自动发现ISA。你需要在DHCP(a special Web Proxy Autodiscovery Protocol entry)和DNS(both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.)中进行相应设置
四:设置Access Policies
对于用户访问是否允许,ISA通过PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序进行考察,首先考察是否有PROTOCOL RULES拒绝访问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。SITE AND CONTENT/IP FILTER也是这样判断。ROUTING RULE主要用来判断是将访问要求转交给上一级ISA还是直接发到INTERNET上。特别的:
1. 对于一个指定的PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的拒绝指得是IP地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对IP的,如果客户端在这一IP地址范围内,则PROTOCOL这一层过滤通过。
2. 对以WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下它是允许匿名的,他允许跑的协议为HTTP/HTTPS/FTP。对于这种情况,我们可以在ISA的设置中要求出站WEB需要认证,或者在PROTOCOL中加一条允许协议,因为WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行匹配,他就会因为不匹配而遭到拒绝。
3. 对于FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进行管理,在ISA上观察,FIREWALL/ SNAT CLIENT均属于FIRWALL SESSION,但是FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。
一般来说,你如果想访问外部网站,必须要有两个条件,一个是PROTOCOL RULE许可,另外一个是SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个SITE AND CONTENT许可供你使用,在PROTOCOL RULE集中,没有先后次序的概念,但是DENY比PERMIT的权力要高
在ISA的控制元素中包括:计划schedules, 带宽优先级bandwidth priorities, 目标集destination sets, 客户集client address sets, 协议定义protocol definitions, 内容组content groups, and 拨号dial-up entries。你可以将它们组合各种规则(access policy rules, routing rules, publishing rules, 和bandwidth rules)
对于包含路径的目标地址,ISA不同的客户端有不同的处理
如果想在ISA服务器本身上发布服务器,必须使用IP FILTER,它本身还可以用来阻止外界的某些IP攻击
五:设置ISA Server Cache
CACHE可以加快用户的INTERNET访问速度,你可以使用routing rules来指定何者需要CACHE,何者从INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的CACHE,你可以控制它的大小(必须安装在NTFS上);是否CACHE动态内容;是否CACHE HTTP和FTP内容;自动更新的频率以及定义计划来自动下载频繁访问的INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给CACHE的内存大小以提高性能。
六:发布内部SERVER
如果想发布内部的SERVER,则使用PUBISHING RULES(这实际上也就是PROTOCOL RULES,只有在需要的时候才会开放),如果SERVER就在ISA上,则应使用IP PACKET FILTERS。在SERVER的发布上,最重要的是WEB SERVER和MAIL SERVER
七:ISA的安全性
控制ISA,你必须有相应权限(Enterprise Admins),如果为了提高性能,在企业中有多台ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用round robin distribution即可,对于SNAT客户,则需要设置Network Load Balancing (这需要高级服务器版和数据中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通过它们进行恢复。
利用ISA你可以在公司两地搭建VPN,并可以让移动用户通过VPN访问公司的信息,这实际上是利用了WIN2K的Routing and Remote Access服务(ISA只不过在IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置,例如增加DHCP中续代理使远端用户得到正确的局域网DNS/WINS配置,远端用户实际上并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可以删除由WIZARD建立的4条IP FILTERS,然后DISABLE Routing and Remote Access,最后由WIZARD重新建立。
八:使用H.323 Gatekeeper
不懂,请高人指点。
九:监视和优化ISA
ISA有45种报警,当报警触发时,写入WIN2K的事件记录器,并可选择E-MAIL传递和停止启动ISA服务。ISA的LOG分为IP FILTERS,防火墙,WEB代理三个文件,每天产生(当然你可以限制其总数量),缺省条件下放在ISA的LOG目录下。对于ISA的运行效率观察,最简单的办法是审查ISA的运行报告(事先你要设定ISA如何产生报告),对于ISA的带宽分配,你也可以加以定义,ISA是一种所谓的动态分配,优先满足优先权高的访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。
十:排错
基本的,你可以使用ISA Server Reports(性能) /Event Viewer (警告出错信息)/Performance Monitor (性能)/Netstat (网络状态)/Telnet (服务状态)/Network Monitor(网络状况) /The Routing Table (路由信息)来排除错误。
对于复杂的错误,可以先将ISA设置到最简单的模式,观察是否能连通内外网络,然后再一步步添加设置,找出问题的根源。最简单的形式如下:
1. 激活packet filtering enabled, 设定一个最简单的filter,允许双向的IP包
2. 建立一条protocol rule,允许所有的IP traffic,
3. 建立一条SITE AND CONTENT,允许访问所有的网站和内容
4. 将application filters 和routing rules 恢复成缺省设置
5. 检查LAT表包含了所有的客户端
6. 在IP Packet Filters中激活IP Routing,保证有二次连接的协议被顺利路由
7. 检查ISA的外部网卡,确保正确的网关,而内部网卡应该不设置网关
8. 客户端作为SNAT连接ISA,确定其网关地址为ISA的内网卡地址
|
shanghai12
发表于 2004-1-29 13:30:00
转播
分享
淘帖
分享到新浪微博
