现代网络安全解决方案(全面).ppt

Page 1/31,第3章内容回顾,三种防火墙的基本原理包过滤代理状态检测 防火墙的体系结构双宿主堡垒主机被屏蔽主机 被屏蔽子网 ISA Server 2004相关组件的作用 ISA Server 2004在域环境下的规划与安装方法,确保Internet连接安全性,第4章,Page 3/31,本章目标,了解ISA Server策略元素 理解ISA Server 访问策略的作用 掌握ISA Server访问策略的设置 掌握ISA Server的3种客户端配置,Page 4/31,本章结构,确保Internet 连接安全性,访问规则,邮件发布规则,本地主机网络,外部网络,防火墙策略元素,网络结构,企业和阵列,多网络环境,防火墙策略规则,内部网络,Web发布规则,Page 5/31,企业和阵列,企业与阵列,企业：一个逻辑的组织概念,类似Windows2003中的域和OU，是一个企业管理模型在防火墙软件中的体现,阵列：一组ISA Server 计算机的组合，全体成员共享相同的配置，从而简化了管理。修改阵列配置时，阵列中的所有 ISA 服务器计算机也同时修改，包括所有访问策略和缓存策略,Page 6/31,网络结构2-1,Page 7/31,网络结构2-2,本地主机网络,外部网络,内部网络,Page 8/31,网络模板2-1,作用为了方便管理员设置防火墙策略提供了5个预定义的网络模板，包含了常用与复杂的网络拓扑使用方法【阵列】【网络】，点击右侧的【模板】,网络模板,Page 9/31,网络模板2-2,边缘防火墙3向外围网络 前端防火墙 后端防火墙,Page 10/31,策略元素,ISA Server通过策略来控制网络访问 每条策略规则就要由一些特定的参数来达到规定的要求 策略元素就是策略规则的参数 ISA Server允许创建多种策略元素在定义的任何规则中使用 策略元素协议、用户集、内容类型、计划、网络对象,Page 11/31,协议,协议类型TCP、UDP、ICMP和IP方向UDP：包括“发送”、“接收”、“发送接收”或“接收发送”TCP：包括“入站”和“出站”ICMP 和 IP：包括“发送”和“发送接收”出站端口范围1-65535协议号0-254,Page 12/31,用户集,定义可以将用户归入相应的集合中用户集可以包括来自任何身份验证方案的一个或多个用户例如，用户集可以包括 所有Windows 用户默认用户集所有经过认证的用户 所有用户 系统和网络服务,Page 13/31,内容类型,当数据包经过防火墙时，可以根据定义的规则来检查数据包内容，达到限制或过滤的目的视频音频图像压缩文件,Page 14/31,计划,定义可以根据企业的需求将一天24小时分成许多时段例如：“工作时段”、“午休时段”、“全天时段”默认时段周末星期六与星期日全天工作时间周一至周五上午9：0017：00,Page 15/31,网络对象,定义应用防火墙规则的源和目的网络种类网络：一定范围的IP地址网络集：一个或多个网络计算机：一个IP地址地址范围、子网、计算机集：一定范围的IP地址,网络对象,Page 16/31,阶段总结,ISA Server主要网络结构提供了相关网络防火墙模板防火墙策略防火墙策略元素协议用户集内容类型计划网络对象,Page 17/31,阶段练习,防火墙策略包括哪些元素？,Page 18/31,防火墙策略规则,Page 19/31,常用访问规则,访问规则源网络上的客户端如何访问目标网络上的资源 Web发布规则让外部用户访问企业的Web服务器。同时又不危及内部网络的安全性 邮件发布规则让外部用户访问企业邮件服务器。同时又不危及内部网络的安全性,Page 20/31,访问规则工作原理,动作 on 协议 from 使用者 from 来源 to 目的地 with 条件,允许拒绝,源网络源IP,目的网络目的IP目的站点,协议IP端口/类型,发布服务器发布Web站点计划过滤属性,任何用户 认证用户 指定用户,Page 21/31,创建访问规则2-1,应用实例公司财务部有一台计算机是专门用来作财务报表的，要求这台计算机任何时间都不可以连接到外部网络这台计算机的IP地址是192.168.2.182/24,Page 22/31,创建访问规则2-2,新建新主机192.168.2.182/24新建访问规则设定规则动作与通讯协议设定规则应用的源和目的设定规则的应用对象完成设置及应用,创建访问规则,Page 23/31,部署客户端,Page 24/31,客户端类型,Page 25/31,SecureNAT Client,SecureNAT Client不需要安装指定的软件配置SecureNAT Client不需要使用路由器设置ISA Server内部网卡为网关配置SecureNAT Client需要使用路由器设置离ISA Server最近的路由器为网关,Page 26/31,FireWall Client,FireWall Client需要安装指定的防火墙软件使用“clients”共享文件夹指定ISA Server,Page 27/31,Web Proxy Client,Web Proxy Client不需要安装指定的防火墙软件客户端计算机上的代理设置必须将ISA Server作为代理服务器使用，同时制定相关的端口号,设置代理服务器,Page 28/31,本章结构,确保Internet 连接安全性,访问规则,邮件发布规则,本地主机网络,外部网络,防火墙策略元素,网络结构,企业和阵列,多网络环境,防火墙策略规则,内部网络,Web发布规则,Page 29/31,实验拓扑,背景ISA服务器作为边缘防火墙连接企业内部和外部网络；内部网络中的客户端1的IP地址址为10.2.1.10/24，客户端2的IP地址为10.2.1.20/24，外部客户端的IP为61.139.0.9/24。ISA Server内网地址为10.2.1.254/24，外网地址为61.139.0.5/24。,Page 30/31,任务1,使用身份验证来禁止内部用户访问外网完成标准从内网任何一台机器上用wang帐户都不能访问外网的网站用liu帐户可以访问,Page 31/31,任务2,使用IP地址来禁止内部用户访问外网 完成标准从内网客户端1上不能访问外网的网站从客户端2上可以访问外网网站,