这两天一直钻研isa,没法咱以前是学思科出身的,对于微软的东西咱是外行,没法子,这不最近qq聊天,一哥们是微软的MVP,这才在他的影响下,才钻研起微软的东西来,以后会陆续给大家带来这方面的文章,让来我博客的饭饭们,也算没有白来,好了废话少说开讲:
isa是微软出的一个软件防火墙,功能主要有三,限制 代理 和发布。其中限制自然是控制内部主机上网行为,代理是代理内部主机上网,发布是发布内部主机web等对外服务。总之一句话管理内部主机上网,对外提供发布服务
一般新手安装isa指定好策略,如规定上班时间不可以上qq,发现规制指定出来等于没有用,从机房出来,看见四台机子有两对聊天的。其实我们在指定策略之前需要了解isa的一些习性,所谓知己知彼百战不殆。
ISA Server能对企业进行安全的防护,依靠的是它的防火墙策略规则,其实基本上分三类规则:
1. 网络规则:主要是指网络与网络之间的关系,分为路由和NAT两种。
2. 访问规则:源网络上的客户端如何访问目标网络上的资源。一般比如企业内部用户通过ISA访问互联网。
3. 发布规则:让外部用户访问企业的Web或邮件等服务器。同时又不危及内部网络的安全性。
2. 访问规则:源网络上的客户端如何访问目标网络上的资源。一般比如企业内部用户通过ISA访问互联网。
3. 发布规则:让外部用户访问企业的Web或邮件等服务器。同时又不危及内部网络的安全性。
其中我们先说网络规则这是isa首先检查的,网络规则不符合其他的都是白搭,我们打开isa -网络-可以看见有内部 访问外部是nat,而本地主机之间则是路由,其中nat是单向的,而路由是双向的,举个 例子
有一个管理员用ISA把DMZ区的一个FTP服务器发布到了外网和内网,结果外网用户访问正常,内网用户却无法访问。为什么,因为DMZ和外网是NAT关系,而DMZ和内网是路由关系。由于从DMZ到外网是NAT关系,外网用户无法通过访问规则直接访问,所以通过发布规则访问是合理的;而内网和DMZ是路由关系,因此内网用户就应该通过访问规则而不是发布规则来访问。
搞清楚网络规则后,我们再看系统策略,一般系统策略都是默认的是关于本地主机的,一般我们不去改动
再看防火墙策略,这个我们要好好说说:防火墙策略分为发布策略和访问策略,其中发布是团结一致对外的,访问策略则是一心对内的。在我们刚健好isa时,系统是默认全部禁止访问的无论对内对外。匹配规则和路由的acl控制策略一样从上往下执行,如果第一条就拉出去毙了其他的再好也没有用,我们还可以调整策略顺序按照自己的要求。
然后我们再说下工具箱,isa提供的工具箱包括协议,用户 内容,计划,网络对象,举例如我们要限制qq登陆
1.我们限制客户web代理上网
2.关掉snat上网
3.新建的协议我们命名为禁止qq上网,我们知道qq上网端口 tcp 443 udp8000
拒绝访问外网
4.再封杀死点就是运用网络协议封杀qq的服务器,qq的服务器我们可以自己用nslookup查下,添加到网络协议中,然后我们新建策略加上我们预先做好的网络协议,拒绝访问
这样我们就可以不让用户访问了,一些其他的软件我们也可以按照这个思路进行,就所谓好几人练葵花宝典,书就这么一本书,招式就这么点招式,就看你怎么运用了,难怪人家说武功的最高境界是无招胜有招,这个道理在IT这行业行得通!
我们可以自己制定策略,前提是你要明白这些工具的用法,而不是单单死记硬背一些案例应用
ok 结束
本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/367895,如需转载请自行联系原作者
