|
|
| http://www.hbdxs.com 2006-8-18 13:45:49 来源:网络收集 点击 |
|
|
前言:这篇文章和“配置ISA Server计算机网络适配器的TCP/IP设置”是Wool-cool建议我翻译的,因为他希望通过这两篇文章,来减少论坛中出现的初级问题。但是我从来不觉得这些初级问题的出现是因为技术资料的缺乏,我认为这更多的是自学能力的缺乏。其实论坛出现的很多问题,都是可以在网站上找到相应的技术资料的。我们希望授人以渔,而非授人以鱼,也希望大家能够善于利用网站和论坛的搜索功能。
在这篇文章中,Tom介绍了部署和配置ISA防火墙中的一些优化方法和使用技巧,通过这篇文章,你可以了解到如何让你的ISA防火墙运行的更为安全、可靠和高效。
在最近的一次和用户的访谈中,对方提及我还没有在网站上提供ISA防火墙的优化方法及使用技巧。我仔细的回想了自己是如何正确配置ISA防火墙以让它获得最高的性能、安全性及可靠性,然后把这些步骤写了出来,下面就是这些步骤。
由于步骤太多,我只是简单的对每一步骤进行描述,更多的信息可以参阅我的书籍或者ISA中文站上的其他技术文章。
下面就是ISA防火墙的优化方法及使用技巧,它们并没有按照任何规则进行排序,也不代表位于前面的步骤就比位于后面的步骤更为重要:
配置客户作为Web代理客户或者防火墙客户。如果你想让你的ISA防火墙提供比硬件防火墙更为高级的保护,你必须配置你的客户为Web代理客户或者防火墙客户,否则,你会具有和使用硬件防火墙时同样的安全弱点。关于ISA防火墙的防火墙客户端更高级的保护特性,可以参见防火墙客户端是如何工作的:关于ISA防火墙的应用层状态识别功能一文。
DNS服务器设置 -- 配置ISA防火墙使用位于自己保护的网络中的DNS服务器;不要在多个网络适配器上配置相同的DNS服务器。这个是常见的问题,ISA防火墙应该只配置使用一个DNS服务器,并且最好配置为使用被保护的网络中的DNS服务器。不要在ISA防火墙的任何一个网络适配器接口上配置使用外部的DNS服务器,也不要多个网络适配器接口上配置使用相同的DNS服务器。
使用http://www.arin.net/等来决定入侵者的位置。你想知道发起攻击的数据包来自哪儿吗?你看到了ISA防火墙日志中的源IP地址,但是这个IP地址来自哪儿呢?访问http://www.arin.net/然后对这个IP地址进行一下whois查询。当你在你的ISA防火墙日志中发现了非法的活动时,这应该是你首先进行检查的地方。
网络后面的网络场景。网络后面的网络通常是在你的ISA防火墙的同个网络适配器后具有多个网络的情况,这个一个简单的概念,但是ISA防火墙和ISA Server 2000有些不一样,详细的情况,请参见How to:在存在多条路由的内部网络中配置ISA Server 2004和理解ISA Server 2004中的网络。
规划配置。你必须提前对如何在你的网络中部署ISA防火墙进行规划。请记住,ISA防火墙是网络的一个重要组成元素,在你部署ISA防火墙之前,请仔细的考虑你应该如何对你的网络加以保护。在规划配置时, 你应该考虑以下几点:
确认使用的协议:你需要开放哪些协议?哪些协议是你的商业应用程序所需要的?
确认基于用户/组的访问策略:考虑哪些用户需要访问什么资源,提前考虑如何创建你的ISA防火墙用户组以允许用户访问他们需要的资源。对每条策略都使用最小特权原则,并避免使用拒绝策略。
确认日志记录的需求:确认你需要什么类型的日志记录方式。当你位于一个控制严格的环境,你可能想要记录下所有的活动,那么你可以配置你的ISA防火墙为域成员并部署Web代理客户和防火墙客户。这不仅仅增强了ISA防火墙提供的安全级别,并且也对你的日志记录能力有显著的帮助。
使用DMZ网络来区分安全区域:ISA防火墙支持无限 数量的网络接口,网络接口的数量只是受到物理硬件的限制。使用DMZ网络来对你的组织中进行安全区域的划分,在不同的安全区域间部署ISA防火墙并严格的加以控制,这样就可以保护入侵者的攻击。关于如何部署DMZ网络,请参见How to :在ISA Server 2004中配置DMZ网络一文。
不要在ISA防火墙安装其他的服务。ISA防火墙应该永远只是作为一个防火墙,而不再担当额外的服务器角色。不要把ISA防火墙作为文件服务器、Web服务器、Ftp服务器等等,唯一的例外是ISA防火墙安装在SBS 2003 SP1服务器之上,但是这样ISA防火墙的安全性会因为SBS服务器应用程序的安全性降低而降低。
使用Windows server 2003的安全配置向导或者按照ISA防火墙强化指南来对服务器进行安全强化。ISA防火墙应该总是安装在一个健壮的操作系统之上,不要在Windows server 2000上安装ISA防火墙,你应该总是在Windows server 2003上进行安装。使用Windows server 2003的安全配置向导来对操作系统进行强化配置,如果你不愿意,也可以按照ISA防火墙安全强化指南来对服务器进行配置,参见ISA Server 2004 安全强化指南。
安装网络分析软件用于故障调试。对于网络和防火墙调试的唯一方法是进行网络数据包分析。微软在Windows server 2000和Windows server 2003中提供了网络监视器,当然你也可以自己去购买一个商业版本的网络分析软件,因为商业版本的网络分析软件往往提供了更多的高级特性及分析特性。你可以在安装ISA防火墙之前或之后安装网络分析软件。
Figure 1
唯一的默认网关。ISA防火墙只支持一个默认网关, 一个常见的问题是防火墙管理员在ISA防火墙的多个网络适配器接口上都配置了默认网关。ISA防火墙只支持一条默认路由,并且默认网关应该总是在靠Internet最近的网络适配器上进行设置。如果ISA防火墙需要访问不能通过默认网关访问的远程子网(如网络后面的网络),你可以通过手动添加路由来实现。
在ISA防火墙的外部接口上禁止NetBIOS over TCP/IP。通常在ISA防火墙的外部网络适配器上启用NetBIOS over TCP/IP没有什么意义,你可以禁止它。 对于国内最常见的ADSL拨号环境,连接ADSL Modem的网卡上也可以直接取消TCP/IP协议的绑定,详情参见在拨号上网环境中部署ISA防火墙可能会出现的兼容性问题。
Figure 2
在ISA防火墙的外部网络适配器上禁止服务器服务。服务器(Server)服务用于允许别人访问你的共享资源,通常情况下不应该允许外部客户访问ISA防火墙上的共享资源。ISA防火墙通过服务器服务来允许内部客户访问防火墙客户端软件安装共享,不过建议你最好把防火墙客户端软件安装共享 文件复制到企业内部的文件服务器上,然后在ISA防火墙上禁止文件共享。只是完全停止服务器服务还会带来其他的影响,如RRAS管理控制台不能正常访问,所以你最好在外部网络适配器上禁止服务器服务,而不是完全禁止服务器服务。
禁止Alerter和Messenger服务。在Windows server 2000中,Alerter和Messenger服务默认是开启的,Windows server 2003中这两个服务是默认禁止的,当然你也可以通过安全配置向导来禁止它们。
不要通过ISA防火墙来浏览网页,也不要禁止ISA防火墙上的增强的IE安全性。ISA防火墙不是客户机,也不是服务器,它是你网络基础的一个重要部分,也是你网络安全的重要组成部分。不要在ISA防火墙运行任何客户端软件,例如IE,也不要在ISA防火墙上取消增强的IE安全性。如果你需要在ISA防火墙上下载文件,请在某台客户机上进行下载, 然后对此文件进行病毒扫描,最后安装进行测试,确保没有问题后,通过可靠的方式例如加密的RDP会话将此文件复制到ISA防火墙上。
配置Web代理客户通过代理连接使用HTTP 1.1。我常听人说通过ISA防火墙后,Web浏览的性能降低了,其实这只是配置的问题。你可以通过两种配置来为你的用户增强Web浏览性能:1. 配置客户为客户代理客户;2. 配置Web浏览器通过代理使用HTTP 1.1。你可以在Internet Explorer的Internet选项的高级标签中进行设置。
Figure 3
|
|
|
|
|
|
