| ISA Server 2006高級應用指南 |
| 2009-4-15 16:38:42 哈爾濱百姓網(wǎng) 來源:51CTO.com 瀏覽 次 【大 中 小】【打印】【關閉】 |
|
引言:
ISA Server 2006是微軟公司在企業(yè)網(wǎng)絡邊界安全上的代表產(chǎn)品�����,ISA Server系列產(chǎn)品實現(xiàn)了集高級應用層防火墻����、虛擬專用網(wǎng)絡(VPN�,Virtual Private Network)和網(wǎng)絡緩存于一體的解決方案�����,能夠提高網(wǎng)絡安全和網(wǎng)絡性能從而最大化企業(yè)的IT投資收益��。ISA Server 2006通過增強的對HTTP協(xié)議和FTP協(xié)議以及遠程過程調(diào)用(RPC�,Remote Process Call)連接的過濾與控制實現(xiàn)對應用層的過濾;它提供了擴展的協(xié)議支持�、增強的用戶認證、增強的對用戶和用戶組的支持����、增強的FTP支持、增強的網(wǎng)絡發(fā)布等功能����,從而提高了企業(yè)的安全性�����。
應用層過濾����、高級防火墻以及企業(yè)級的VPN是ISA Server系列產(chǎn)品最為關鍵的應用����。本文將從實際應用出發(fā),針對ISA Server 2006在應用層過濾上的具體應用��,闡述ISA Server 2006口令變更功能配置優(yōu)化��、ISA Server 2006內(nèi)部客戶端Web訪問應用優(yōu)化以及Outlook Web Access應用優(yōu)化三個關鍵應用優(yōu)化�����。本文假設讀者已經(jīng)完成了ISA Server 2006的部署工作���,并熟悉ISA Server 2006的主要應用和操作��,本文不涉及ISA Server的安裝和管理�,僅提供ISA Server 2006在應用層過濾上最優(yōu)的應用方法。
一����、ISA Server 2006口令變更功能配置
ISA Server 2006提供了允許用戶通過基于表單的認證授權(quán)連接到Outlook Web訪問來修改他們的口令,ISA Server管理員可以提醒用戶其口令將會在一個指定的日期內(nèi)過期���、并允許用戶創(chuàng)建新的口令����,用戶同樣可以修改已經(jīng)過期的口令��。
1�����、口令變更功能基本配置
口令修改的功能在客戶端輸入基于表單的認證授權(quán)的授信時被啟用�,ISA Server將通過使用Windows授權(quán)認證(基于Active Directory)或者LDAP(Lightweight Directory Access Protocol�����,基于Active Directory)授權(quán)認證���,在進行配置之前�,注意以下的點:
1)、必須使用一個LDAPS鏈接到LDAP服務器或者域控制器���。為使用一個安全的LDAP鏈接�,一個服務器證書必須安裝在LDAP服務器上或者域控制器上����,證書名稱必須與用戶將要應用于授權(quán)認證服務器上的FQDN(Fully Qualified Domain Name)相匹配;
2)�、ISA Server計算機必須有一個CA的根證書,該根證書被置于服務器證書的本地計算機信任證書授權(quán)存儲目錄中��;
3)��、在使用LDAP授權(quán)認證的時候��,用戶必須創(chuàng)建一個LDAP服務器裝置����,該服務器將會被用以授權(quán)用戶,為使授權(quán)認證的功能很好地發(fā)揮功能��,為該LDAP服務器進行以下配置:
a��、啟用采用安全連接的連接到LDAP服務器的連接����;
b��、為LDAP服務器指定一個FQDN名稱�。確保FQDN與安裝在LDAP服務器上的或者域控制器上的證書的名稱一致�����,指定至少一個日志表達式用以分派LDAP服務器到一個特定的用戶組�����;
c�����、禁止使用全局日志(GC�����,Global Catalog)�;
d���、指定一個用以識別用戶帳號和帳號細節(jié)的域��,域中的帳號將會被用以綁定到LDAP服務器以及查詢登錄用戶的授信�����;
e�、必須要有一個帳號才能夠綁定到授權(quán)認證服務器,以及確認用戶名和口令狀態(tài)����。在域授權(quán)認證情況下,該帳號必須為一個具有修改Active Directory權(quán)限的域帳號���。
在創(chuàng)建的用以發(fā)布Outlook Web訪問的Web監(jiān)聽器的屬性欄�����,配置用戶修改口令的選項��,同時配置一個口令過期時間�。在正確配置Web發(fā)布規(guī)則以后�,用戶在使用基于表單的授權(quán)認證進行登錄的時候,如果口令過期時間臨近�,則會收到相應的警告。
以上屬于ISA Server 2006在口令管理上的基礎應用�����,為避免可能出現(xiàn)的問題,以下是一些優(yōu)化的配置方法�����。
2�����、優(yōu)化口令變更配置
1)口令變更前確保必要的證書已安裝
在進行口令變更的操作時����,如果必要的證書未被安裝,則會出現(xiàn)口令變更功能性失敗的問題����。不管是否使用LDAP授權(quán)認證或者Windows Active Directory授權(quán)認證,必須要有一個基于TPC端口636的到授權(quán)認證服務器的LDAPS連接�����。
在進行口令變更配置之前�,對于Windows授權(quán)認證����,首先獲取一個域控制器上的證書����;對于LDAP授權(quán)認證��,首先獲取一個LDAP服務器上的證書���。確保證書的通用名稱與授權(quán)認證服務器上的名稱一致��。
2)禁用證書的客戶端授權(quán)認證
如果用以Web發(fā)布的服務器證書采用默認的目的配置“服務器授權(quán)認證”和“客戶端授權(quán)認證”���,那么在客戶端進行登錄的時候則會出現(xiàn)緩慢的情況。其原因是在Windows Server 2003檢測到“客戶端授權(quán)認證”的默認目的設置時�����,操作系統(tǒng)將嘗試通過共有的授權(quán)認證的方式來連接域控制器執(zhí)行TLS的功能��。
共有的授權(quán)認證處理需要ISA Server能夠訪問啟用“客戶端授權(quán)認證”的服務器證書中的私鑰��,但是ISA Server并不(而且應該不)具備這樣的訪問權(quán)限�����。為優(yōu)化服務器證書應用,提高客戶端登錄速度����,ISA Server管理員應當禁用服務器證書中的默認“客戶端授權(quán)認證”。以下是具體的操作過程:
a�、打開Certificates Microsoft Management Console(mmc)面板,首先添加證書管理器(CM���,Certificate Manager)到mmc中:
① 點“開始”��,然后點“運行”����;
② 輸入“mmc”����,然后點“Enter”;
③ 選中“文件”菜單��,然后選擇“添加/刪除插件”��;
④ 在“添加/刪除插件”面板中�����,點“添加”按鈕����;
⑤ 雙擊“證書”插件,選中“計算機帳號”���,然后點“結(jié)束”
⑥ 選中“本地計算機”�����,然后點“結(jié)束”�;
⑦ 關閉對話框�����。
b���、在證書mmc中��,點擊以展開“證書”節(jié)點��,然后展開“專有”節(jié)點��;
c��、右鍵點擊相關的證書����,選擇“屬性”;
d���、在“細節(jié)”一欄中�����,點“編輯屬性”���;
e、選中“僅啟用以下目的地”�,然后清理掉“客戶端授權(quán)認證”目的地。
注意:在成功完成新口令的配置以后�,Active Directory允許新口令和舊口令同時使用一個小時的時間,在這段時間內(nèi)����,使用這兩個口令中的任意一個都可以成功登錄。
二��、ISA Server 2006內(nèi)部客戶端Web訪問應用指南
ISA Server的網(wǎng)絡訪問控制是ISA Server作為企業(yè)防火墻最重要的功能之一,因此在進行內(nèi)部客戶端網(wǎng)絡訪問的配置之前�����,首先要理解如何進行網(wǎng)絡配置才是最優(yōu)的��,能夠最大程度發(fā)揮ISA Server的功能而又不對網(wǎng)絡性能帶來影響���。
1、理解ISA Server網(wǎng)絡模型和默認規(guī)則
1)ISA 網(wǎng)絡模型
在進行網(wǎng)絡規(guī)則配置之前���,首先必須對ISA Server的網(wǎng)絡模型有比較透徹的理解�,然后再進行不同網(wǎng)絡配置以及啟用不同網(wǎng)絡之間的傳輸?shù)扰渲�����。ISA Server需要以下規(guī)則以進行不同網(wǎng)絡之間的數(shù)據(jù)傳輸:
a���、網(wǎng)絡規(guī)則
ISA Server的網(wǎng)絡邊界需要一個網(wǎng)絡規(guī)則以進行通信����。網(wǎng)絡規(guī)則決定了嘗試進行通信的兩個網(wǎng)絡之間的相互關系����,以及被定義的關系的類型�����。如果在兩個網(wǎng)絡之間沒有網(wǎng)絡規(guī)則的定義�����,ISA Server將會禁止所有的網(wǎng)絡間的通信�����。
b���、訪問規(guī)則
當網(wǎng)絡間的關系以網(wǎng)絡規(guī)則的方式進行定義以后,必須再定義一個特別允許處于不同網(wǎng)絡中的主機進行通信的訪問規(guī)則�,所有的網(wǎng)絡訪問必須依據(jù)該規(guī)則展開。
2)ISA Server默認規(guī)則
在ISA Server安裝以后���,采用的默認的安全規(guī)則�����,且客戶端訪問被阻止�����,具體定義了一下兩條規(guī)則:
a�、Internet Access規(guī)則
Internet Access定義了所有預定義的ISA Server網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡地址轉(zhuǎn)換(NAT,Network Address Translation)關系����。這意味著網(wǎng)絡之間能夠通信,而且網(wǎng)絡之間的數(shù)據(jù)傳輸并且應用NAT以實現(xiàn)�����。
b����、Last規(guī)則
Last規(guī)則阻止所有的傳輸�����,這一規(guī)則通常在規(guī)則列表的最后一個執(zhí)行�����,而且它不能夠被刪除���,ISA Server管理員必須特別地創(chuàng)建一個訪問規(guī)則以允許內(nèi)部用戶訪問Internet��。
2����、創(chuàng)建出界訪問規(guī)則
要實現(xiàn)內(nèi)部客戶端的出界訪問,必須首先創(chuàng)建一個訪問規(guī)則以允許內(nèi)部客戶端出界訪問到Internet�����,ISA Server提供了兩種創(chuàng)建出界訪問規(guī)則的方法:
1)�、應用網(wǎng)絡訪問規(guī)則模板
ISA Server 2006包含一系列網(wǎng)絡模板,這些模板與常見的網(wǎng)絡拓撲相匹配����。ISA Server管理員可以應用一個與其網(wǎng)絡配置最為接近的網(wǎng)絡規(guī)則模板,在應用一個網(wǎng)絡規(guī)則模板時��,可以選擇一系列的用以模板的策略以自動地創(chuàng)建訪問規(guī)則��。
當啟動網(wǎng)絡模板向?qū)б詰靡粋模板時�,ISA Server網(wǎng)絡管理員需要定義網(wǎng)絡IP地址,然后選擇一個與該模板相匹配的預定義的防火墻策略�,在應用模板以后,ISA Server管理員可以配置其他的網(wǎng)絡實體��、網(wǎng)絡規(guī)則和訪問規(guī)則。
應用網(wǎng)絡模板將會刪除除了預定義的系統(tǒng)策略之外的所有現(xiàn)有的規(guī)則�����,因此在應用模板之前對當前的配置進行備份��,而且在運行網(wǎng)絡模板向?qū)r���,ISA Server管理員仍有機會在應用一個新的模板之前保存當前的配置��。
2)�����、手動創(chuàng)建網(wǎng)絡訪問規(guī)則
除應用網(wǎng)絡模板以外,ISA Server管理員可以手動創(chuàng)建訪問規(guī)則����。以下是詳細的操作步驟:
a、在ISA Server管理器中�����,右鍵點擊“防火墻策略”節(jié)點��,點擊“新建”,然后點擊“訪問規(guī)則”���;
b�����、在新訪問規(guī)則向?qū)У摹皻g迎”頁面上���,輸入規(guī)則的名稱,然后點擊“下一步”���;
c��、在“規(guī)則執(zhí)行”頁面上����,點擊“允許”�,然后點擊“下一步”;
d����、在“協(xié)議”頁面上,放棄默認的“選中的協(xié)議”�,然后點“添加”�;
e��、在“添加協(xié)議”對話框中�,展開“Web”;
f��、選中需要的協(xié)議�����,如:允許HTTP�����、HTTPS���、以及FTP出界訪問��,首先選中FTP,然后點擊“添加”���;選中HTTP�,然后點擊“添加”��,選中HTTPS,然后點擊“添加”��。注意FTP服務器和HTTPS服務器協(xié)議不能被用以出界訪問�,然后點“關閉”,在“協(xié)議”頁面上��,點“下一步”���。
g�����、在“訪問規(guī)則源網(wǎng)絡”頁面上�����,點“添加”����;
h��、在“添加網(wǎng)絡實體”對話框中���,展開“網(wǎng)絡”�����;
i����、選中將會創(chuàng)建傳輸?shù)木W(wǎng)絡源。如���,如果想要允許位于內(nèi)部網(wǎng)絡的客戶端訪問Internet����,選中“內(nèi)部網(wǎng)絡”�,點擊“添加”,然后點擊“關閉”���。在“訪問規(guī)則源網(wǎng)絡”頁面上�,點擊“下一步”�����;
j����、在“訪問規(guī)則目的網(wǎng)絡”頁面上,點擊“添加”����;
k、在“添加網(wǎng)絡實體”對話框中�����,展開“網(wǎng)絡”�;
l、選中傳輸要到達的網(wǎng)絡����。例如,如果想要允許內(nèi)部網(wǎng)絡環(huán)境中的客戶端訪問Internet����,選中“外部網(wǎng)絡”,點擊“添加”�,然后點擊“關閉”。在“訪問規(guī)則目的網(wǎng)絡”頁面上�,點擊“下一步”;
m��、在“用戶設置”頁面上,制定能夠使用此規(guī)則進行Internet訪問的用戶���。如果要允許所有用戶的匿名訪問���,保留默認的“所有用戶”設置。要指定只有被授權(quán)用戶才能使用此規(guī)則進行Internet訪問��,點擊“添加”�,在“添加用戶”對話框中,選中“所有授權(quán)用戶”��,點擊“添加”�,然后點擊“關閉”。在“用戶設置”對話框中��,選中“所有用戶”�����,然后點擊“移除”����,然后點擊“下一步”���!八惺跈(quán)用戶”設置代表了所有可以被授權(quán)的用戶�,而并不需要考慮使用的授權(quán)認證方式。
n�、在“完成創(chuàng)建新訪問規(guī)則向?qū)А表撁嫔��,檢查所有的配置�����,然后點“完成”以結(jié)束向?qū)А?nbsp;
o�、在ISA Server管理器中,點“應用”以應用新的規(guī)則�����。
3��、檢查訪問規(guī)則
在創(chuàng)建完新的網(wǎng)絡訪問規(guī)則以后��,為確保網(wǎng)絡訪問能夠按照預期的目的開始數(shù)據(jù)傳輸�,需要按照以下步驟檢查訪問規(guī)則:
1)、全局阻止規(guī)則���,查看新創(chuàng)建的規(guī)則是否與該規(guī)則沖突�����;
2)�、全局允許規(guī)則,該規(guī)則允許所有用戶到特定站點的訪問�����;
3)�����、允許或阻止到特定計算機的訪問規(guī)則�����;
4)����、允許或阻止特定用戶、URLs�����、和多用途互聯(lián)網(wǎng)郵件擴展(MIME����,Multipurpose Internet Mail Extensions)等類型的規(guī)則�����;
5)���、其他相關的允許規(guī)則��;
6)����、默認阻止規(guī)則,這些規(guī)則位于規(guī)則列表的底層�,不符合其他任何規(guī)則的請求將會被此規(guī)則阻止。
經(jīng)過以上符合最優(yōu)網(wǎng)絡訪問規(guī)則創(chuàng)建和檢查過程的配置以后�,用戶可以實現(xiàn)利用ISA Server進行內(nèi)部客戶端的網(wǎng)絡訪問控制。
作為ISA Server在企業(yè)防火墻功能上最為重要的應用����,與內(nèi)部客戶端網(wǎng)絡訪問相關的應用非常之多,因此相應的可優(yōu)化的應用點也比較多�����,比如特定站點訪問配置優(yōu)化、客戶端配置優(yōu)化���、單個網(wǎng)絡適配器環(huán)境配置優(yōu)化���、基礎架構(gòu)優(yōu)化等,限于本文的篇幅�,將不再對其他的應用做深入的介紹,如果讀者需要了解相關應用及其最優(yōu)配置的話�,建議參考微軟TechNet的ISA Server知識中心。
三�����、ISA Server 2006 Outlook Web Access應用指南
1����、理解ISA Server默認發(fā)布規(guī)則
默認情況下,ISA Server會阻止內(nèi)部客戶端對網(wǎng)絡的訪問���,因此為實現(xiàn)最大程度實現(xiàn)網(wǎng)絡控制和網(wǎng)絡性能��,在ISA Server正式啟用之前�����,需要進行相應規(guī)則的創(chuàng)建和檢查�����。以下是具體操作過程:
1)����、確定制定發(fā)布規(guī)則
確定存在允許外部客戶端訪問Outlook Web Access站點的規(guī)則。新規(guī)則可以通過“新發(fā)布規(guī)則創(chuàng)建向?qū)А眲?chuàng)建���;
2)、檢查規(guī)則順序
如果存在阻止規(guī)則禁止了對站點的訪問���,而且該規(guī)則的順序在允許規(guī)則之前�,則該阻止規(guī)則的將會被首先處理��,ISA Server管理員應當按照以下順序檢查規(guī)則順序:
a�、全局阻止規(guī)則。該規(guī)則阻止到所有用戶的訪問�����;
b��、全局允許規(guī)則,該規(guī)則允許所有用戶到特定站點的訪問�����;
c����、允許或阻止到特定計算機的訪問規(guī)則;
d��、允許或阻止特定用戶���、URLs��、和多用途互聯(lián)網(wǎng)郵件擴展等類型的規(guī)則��;
e��、其他相關的允許規(guī)則��;
f��、默認阻止規(guī)則��,這些規(guī)則位于規(guī)則列表的底層����,不符合其他任何規(guī)則的請求將會被此規(guī)則阻止。
2���、優(yōu)化網(wǎng)絡連接設置
優(yōu)化網(wǎng)絡連接設置能夠確保符合網(wǎng)絡發(fā)布規(guī)則的連接都能夠順利建立�,并達到最優(yōu)的網(wǎng)絡傳輸�����,可采用以下具體步驟檢查網(wǎng)絡連接并優(yōu)化特定配置:
1)���、常用設置檢測
分別嘗試使用符合規(guī)則的客戶端和不符合規(guī)則的客戶端連接到Outlook Web Access站點����;如果沒有計算機能夠訪問Outlook Web Access站點�����,檢查站點是否在運行并且可用����。
2)、DNS檢測和確認
對于DNS的檢測可以發(fā)現(xiàn)DNS的設置是否達到了規(guī)則定義的需求����,從而確保在計算機名稱獲取和解析時得到正確的計算機位置,以下是具體操作步驟:
a����、外部Internet客戶端請求一個有效的公共DNS入口來實現(xiàn)請求。域名可以通過一個公共DNS服務器來實現(xiàn)從域名到ISA Server計算機IP地址的轉(zhuǎn)換(通常是外部適配器的IP地址)�;
b、外部客戶端請求指定的用以Outlook Web Access站點訪問的名稱必須與ISA Server使用的用以進行客戶端授權(quán)認證的服務器證書FQDN指定的通用名稱字段相匹配�;
c、為優(yōu)化應用�����,ISA Server管理員可以在主機文件中指定解決信息的名稱��,當成功連接到Outlook Web Access站點的時候�����,應當出現(xiàn)一個登錄界面��,允許用戶輸入授信信息����;
d�、使用Nslookup.exe命令行工具來檢測外部Web站點名稱是否按照預期被解析�����。
3)��、單個網(wǎng)絡適配器配置
ISA Server提供了對只有單個網(wǎng)絡適配器的Outlook Web Access站點發(fā)布的支持����,在相應的配置中,檢測以下配置以使應用效果最佳:
a����、確保ISA Server按照單個網(wǎng)絡適配器網(wǎng)絡模板進行了配置;
b����、當安裝ISA Server到只有單個網(wǎng)絡適配器的計算機上時,ISA Server只能夠識別兩個網(wǎng)絡:代表了ISA Server計算機本身的本地主機網(wǎng)絡和內(nèi)部網(wǎng)絡�,在內(nèi)部網(wǎng)絡中包括了所有不屬于本地主機網(wǎng)絡的IP地址��。確保選中的進行Outlook Web Access發(fā)布規(guī)則的Web監(jiān)聽器被配置以監(jiān)聽內(nèi)部網(wǎng)絡���。
如果網(wǎng)絡連接設置沒有按照預期的進行配置�,則可能在應用過程中出現(xiàn)連接相關的問題,在完成檢測以后�,應當根據(jù)需求調(diào)整相應的配置,本文將不詳細介紹配置過程���。
ISA Server Outlook Web Access發(fā)布應用部分同樣涉及了ISA Server相當重要的應用�,針對其應用的優(yōu)化同樣涉及證書設置優(yōu)化��、電子郵件配置優(yōu)化�����、授權(quán)和登錄配置優(yōu)化等�,限于本文的篇幅,將不再介紹詳細的設置過程����,如果讀者有需要可以參考微軟TechNet上ISA Server操作相關的知識。
四����、小 結(jié)
本文從實際應用的角度出發(fā),針對ISA Server 2006在應用層過濾上的實際操作�,闡述ISA Server 2006口令變更功能配置優(yōu)化�、ISA Server 2006內(nèi)部客戶端Web訪問應用優(yōu)化以及Outlook Web Access應用優(yōu)化三個關鍵應用優(yōu)化涉及到的知識�����。筆者希望能夠盡量帶給讀者在ISA Server應用程序過濾功能上的詳細操作指導�����。但限于本文篇幅�����,忽略了部分應用優(yōu)化的詳細操作過程�����,筆者建議對于想要深入了解ISA Server特定操作優(yōu)化的用戶�,可以參考微軟TechNet上相應的知識。 |
|
| [責任編輯:佚名] |
|
| 【信息發(fā)布】【論壇交流】【留言反饋】【打印網(wǎng)頁】【大 中 小】【↑頂部】 |
|
|
|
|
|
|
