網(wǎng)絡(luò)安全維護與管理實驗報告ISA SERVER 的應(yīng)用配置

1、實驗報告課程名稱：網(wǎng)絡(luò)安全維護與管理 驗項目名稱：isa server 2006的應(yīng)用配置 學(xué)生姓名： 專業(yè)： 計算機網(wǎng)絡(luò)技術(shù) 學(xué)號： 實驗地點： 創(chuàng)新樓四樓一機房 實驗日期： 2011 年 10 月 21 日一、實驗?zāi)康募耙髮W(xué)會isa server 2006的安裝，掌握isa server 2006的配置及應(yīng)用。二、實驗的內(nèi)容1、利用vmware workstation搭建isa server 2006的運行環(huán)境，安裝部署isa server 2006；2、應(yīng)用isa server 2006，建立基于“單一網(wǎng)絡(luò)適配器”的web代理；3、創(chuàng)建訪問規(guī)則，開放或阻擋內(nèi)部網(wǎng)絡(luò)訪問internet；

2、 三、實驗的原理1、防火墻的主要功能：答：其主要功能是流量過濾，防止不希望的非法流量和未經(jīng)過授權(quán)的流量進出被保護的網(wǎng)絡(luò)。其任務(wù)是通過各種端口辨別從外部不安全網(wǎng)絡(luò)發(fā)送到內(nèi)部安全網(wǎng)絡(luò)中的計算機數(shù)據(jù)是否有害，盡可能對有害數(shù)據(jù)進行報警或攔截，從而保障網(wǎng)絡(luò)系統(tǒng)安全。2、防火墻的功能：答：強化安全策略，保障網(wǎng)絡(luò)的安全?？刂拼嫒?控制對特殊站點的訪問 安全策略的檢查和集中化的安全管理 對網(wǎng)絡(luò)訪問進行記錄和統(tǒng)計 隱藏用戶站點或網(wǎng)絡(luò)拓撲并防止內(nèi)部信息的外泄。3、防火墻采用的主要技術(shù)：答：包過濾技術(shù)：是在網(wǎng)絡(luò)中的網(wǎng)絡(luò)層和傳輸層中實現(xiàn)的。它是根據(jù)分組包的源/宿地址、端口號及協(xié)議類型、標(biāo)志確定是否允許分組包通過，只有

3、滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。而這些信息來源就是ip、tcp/udp數(shù)據(jù)包的包頭。 應(yīng)用代理技術(shù) ：也叫應(yīng)用網(wǎng)關(guān)，是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應(yīng)用層通信流的作用。它工作在osi模型的最高層（應(yīng)用層），掌握著應(yīng)用系統(tǒng)中可用做安全決策的全部信息。其特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。狀態(tài)檢測技術(shù)：采用了一個在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡(luò)正常工作的前提下，采用抽取相關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實施監(jiān)測，抽取部分數(shù)據(jù)，即狀態(tài)信息，并

4、動態(tài)地保存起來。 4、防火墻的體系結(jié)構(gòu)：答：有雙宿主堡壘主機體系結(jié)構(gòu)、被屏蔽主機體系結(jié)構(gòu)、被屏蔽子網(wǎng)體系結(jié)構(gòu)。5、防火墻配置的原則：答：簡單實用、全面深入、內(nèi)外兼顧。6、isa server 2006的主要功能：答：isa server 2006是isa server的最新版本，其主要功能主要表現(xiàn)在它可以安裝成防火墻、虛擬專用網(wǎng)（vpn）、web緩存服務(wù)器。isa server 2006安裝成專用防火墻，可以控制內(nèi)部網(wǎng)絡(luò)與internet 之間的通信，增強網(wǎng)絡(luò)的安全性。還可以利用它安全地發(fā)布企業(yè)內(nèi)部的服務(wù)器（例如網(wǎng)站、電子郵件服務(wù)器等），以便讓客戶與合作伙伴來分享內(nèi)部網(wǎng)絡(luò)的資源。作為防火墻，i

5、sa server 2006 允許設(shè)置一組廣泛的規(guī)則，以指定能夠通過isa server 2006的站點、協(xié)議和內(nèi)容，由此實現(xiàn)商業(yè)internet安全策略。通過監(jiān)視內(nèi)部客戶端和internet之間的請求和響應(yīng)，isa server 2006 可以控制哪些人能夠訪問公司網(wǎng)絡(luò)里的哪臺計算機。isa server 2006還能控制內(nèi)部客戶端能夠訪問internet上的哪臺計算機。虛擬專用網(wǎng)（cpn）可以讓遠程用戶與局域網(wǎng)（lan）之間，或者是分別位于兩地局域網(wǎng)之間，通過internet來建立一個安全的通道。通過將用戶經(jīng)常訪問的網(wǎng)頁保存到isa server 2006的硬盤與內(nèi)存，不但讓用戶更快地訪問

6、到所需的網(wǎng)頁，同時也可以提高網(wǎng)絡(luò)的效率，節(jié)省網(wǎng)絡(luò)的帶寬。7、isa server 2006中支持的網(wǎng)絡(luò)模板有邊緣防火墻、三向外圍網(wǎng)絡(luò)防火墻、前端防火墻、后端防火墻和單一網(wǎng)絡(luò)適配器，其中，“單一網(wǎng)絡(luò)適配器”是web代理和緩存服務(wù)器。8、isa server 2006內(nèi)建了5種網(wǎng)絡(luò),分別是本地主機、內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)、vpn客戶端、被隔離的vpn客戶端。四、實驗方法和步驟1、利用vmware workstation搭建isa server 2006的運行環(huán)境，安裝isa server 2006具體安裝步驟如下：如圖1-1所示，單擊【安裝isa server 2006】選項圖1-1 安裝isa se

7、rver 2006選擇安裝協(xié)議為【我接受?！浚螕簟鞠乱徊健咳鐖D1-2所示圖 1-2 選擇安裝協(xié)議使用向?qū)О惭b，并單擊【下一步】，如圖1-3所示圖 1-3 使用向?qū)О惭b 正在安裝isa server 2006的過程，如圖1-4所示圖 1-4 isa 的安裝過程指定內(nèi)部網(wǎng)絡(luò)的ip地址范圍，單擊【添加】按鈕，如圖1-5所示圖 1-5 【內(nèi)部網(wǎng)絡(luò)】對話框在彈出的【地址】對話框中單擊【添加適配器】按鈕，選擇內(nèi)部網(wǎng)絡(luò)的ip地址范圍（也可以通過【添加范圍】按鈕自行輸入），如圖1-6所示圖1-6【地址范圍屬性】對話框 單擊【安裝】按鈕，進行isa server 2006的安裝，如圖1-7所示 圖1-7 開

8、始【安裝】isa server 2006【安裝向?qū)瓿伞康慕Y(jié)果圖1-8如下所示圖1-8 【安裝向?qū)瓿伞堪惭b好以上步驟后，在開始菜單里打開，就可以看到如圖1-9所示的結(jié)果圖圖1-9 isa server 2006安裝完成的結(jié)果圖2、將網(wǎng)絡(luò)模板配置為“單一網(wǎng)絡(luò)適配器”模板配置的具體步驟如下：打開配置下的網(wǎng)絡(luò)，并單擊【網(wǎng)絡(luò)】選項，出現(xiàn)默認的“邊緣防火墻”，然后在右側(cè)的【模板】下選擇“單一網(wǎng)絡(luò)適配器”，如圖2-1所示圖 2-1 選擇【模板】下的“單一網(wǎng)絡(luò)適配器”選擇好模板后，單擊【下一步】按鈕，結(jié)果如圖2-2所示圖 2-2 【導(dǎo)出isa服務(wù)器的配置】對話框的結(jié)果圖接著再單擊【下一步】按鈕，彈出如圖2

9、-3所示的對話框，選擇【添加】按鈕，在彈出的地址范圍內(nèi)輸入起始地址和結(jié)束地址圖2-3 【ip 地址范圍屬性】對話框再次單擊【下一步】按鈕，得到結(jié)果如圖2-4所示的圖，規(guī)則為web代理默認的第一防火墻策略。圖 2-4 【選擇第一個防火墻策略】對話框在【網(wǎng)絡(luò)模板向?qū)А繉υ捒蛑?，選中“應(yīng)用默認web代理和緩存配置”，出現(xiàn)如圖2-5所示的“描述”。圖 2-5 選中“應(yīng)用默認web代理和緩存配置“接著再單擊【下一步】按鈕就形成如圖2-6所示的“正在完成網(wǎng)絡(luò)模板向?qū)А皩υ捒驁D 2-6 【正在完成網(wǎng)絡(luò)模板向?qū)А繉υ捒蜃詈?，單擊【完成】按鈕，并單擊【應(yīng)用】后形成的網(wǎng)絡(luò)模板，如圖2-7所示圖 2-7 單一網(wǎng)絡(luò)適

10、配器3、配置網(wǎng)絡(luò)集創(chuàng)建網(wǎng)絡(luò)后，可以將一個或多個網(wǎng)絡(luò)組成網(wǎng)絡(luò)集。網(wǎng)絡(luò)集可以包含一個或多個網(wǎng)絡(luò)，或者可以明確地排除一個或多個網(wǎng)絡(luò)，規(guī)則可以應(yīng)用于網(wǎng)絡(luò)或網(wǎng)絡(luò)集。安裝isa server時，默認創(chuàng)建兩個網(wǎng)絡(luò)集，即：所有網(wǎng)絡(luò)和所有受保護的網(wǎng)絡(luò)，這兩個網(wǎng)絡(luò)集不可以修改或刪除。所有網(wǎng)絡(luò)：此網(wǎng)絡(luò)集包含為isa server 定義的所有網(wǎng)絡(luò)，創(chuàng)建的新網(wǎng)絡(luò)將自動保存在此網(wǎng)絡(luò)集中。所有受保護的網(wǎng)絡(luò)：此網(wǎng)絡(luò)集包含除內(nèi)置外部網(wǎng)絡(luò)以外的所有網(wǎng)絡(luò)，創(chuàng)建的新網(wǎng)絡(luò)將自動包含在此網(wǎng)絡(luò)集中。4、創(chuàng)建防火墻策略在【isa服務(wù)器管理】窗口左側(cè)列表框中單擊【防火墻策略】，再單擊右邊【任務(wù)】選項卡的【創(chuàng)建訪問規(guī)則】選項。在【歡迎使用新建訪

11、問規(guī)則向?qū)А繉υ捒蛑袨榇嗽L問規(guī)則命名（例如“hzy”）。在【規(guī)則操作】對話框選擇【允許】單選按鈕，允許本機主機訪問外部網(wǎng)站，如圖4-1所示，單擊【下一步】按鈕。圖 4-1 【規(guī)則操作】對話框選擇規(guī)則要應(yīng)用到的協(xié)議為“所選的協(xié)議”，單擊【添加】按鈕，表示只開放連接網(wǎng)站的協(xié)議，如圖4-2所示圖 4-2 【協(xié)議】對話框在圖4-3中依次選擇并添加http、https，單擊【關(guān)閉】按鈕。如圖4-3所示圖 4-3 【添加協(xié)議】對話框單擊【下一步】按鈕，如圖2-4所示。圖 4-4 添加協(xié)議后的【協(xié)議】對話框在【訪問規(guī)則源】對話框中選擇此規(guī)則的應(yīng)用來源，在此，只是配置“單一網(wǎng)絡(luò)適配器”，因此單擊【添加】按鈕，

12、在【添加網(wǎng)絡(luò)實體】對話框中選擇【本地主機】并單擊【添加】按鈕，再單擊【訪問規(guī)則源】對話框的【下一步】按鈕，如圖4-5所示 圖 4-5 添加網(wǎng)絡(luò)到【訪問規(guī)則源】將此規(guī)則的應(yīng)用目的地設(shè)為“外部”，也就是允許訪問外部所有的網(wǎng)站，如圖 4-6所示。圖 4-6 添加網(wǎng)絡(luò)到【訪問規(guī)則目標(biāo)】在【用戶集】對話框中單擊【下一步】按鈕，以便將此原則應(yīng)用到所有的用戶，如圖 4-7所示。圖 4-7 【用戶集】對話框在【正在完成新建訪問規(guī)則向?qū)А繉υ捒蛑袉螕簟就瓿伞堪粹o，在【防火墻策略】配置窗口中單擊【應(yīng)用】按鈕，如圖4-8和4-9所示。圖 4-8 【正在完成新建訪問規(guī)則向?qū)А繉υ捒驁D 4-9 應(yīng)用新建的訪問規(guī)則完成設(shè)

13、置后，這些配置會保存到存儲服務(wù)器（css）內(nèi)，isa server會定期（默認為15秒）檢查與應(yīng)用css內(nèi)的最新更新（在此實驗中isa server與css是同一臺計算機），并保持與css同步。打開瀏覽器測試isa server 2006計算機是否能上網(wǎng)，如圖4-10所示圖 4-10 ie瀏覽器窗口5、啟用“web代理客戶端”的請求在【isa服務(wù)管理】窗口中選擇【配置】選項下的【網(wǎng)絡(luò)】選項，再雙擊【網(wǎng)絡(luò)】選項卡中的【內(nèi)部】選項。在【內(nèi)部 屬性】對話框中，選擇【web 代理】選項卡，選中【為此網(wǎng)絡(luò)啟用web代理客戶端連接】，web代理服務(wù)的連接端口為8080，如圖5-1所示。單擊【確定】按鈕。圖

14、5-1 【web 代理】選項卡6、對客戶端的“web代理”參數(shù)進行配置運行ie瀏覽器，再選擇【工具】/【internet選項】命令。選擇【連接】選項卡，單擊【局域網(wǎng)設(shè)置】按鈕，如圖6-1所示圖 6-1 【連接】選項卡在【局域網(wǎng)（lan）設(shè)置】對話框中，選中【為lan使用代理服務(wù)器】選項，將isa server內(nèi)網(wǎng)卡的ip地址81輸入到【地址】文本框中，將連接端口8080輸入到【端口】文本框中，如圖6-2所示。圖 6-2 【代理服務(wù)器】設(shè)置完成isa server的配置和本節(jié)web代理客戶端的配置后，就可以在web代理客戶端利用ie瀏覽器上網(wǎng)測試，此時可以通過isa s

15、erver下載所需網(wǎng)頁，這些下載的對象也會被保存到緩沖區(qū)。7、客戶端通過“web代理”進行internet的訪問答：要進行internet的訪問，需要在isa中開放以下規(guī)則：允許內(nèi)部到本地主機的netbios請求，讓內(nèi)部客戶端可以解析isa server主機的netbios計算機名稱。允許內(nèi)部到外部的dns請求，讓內(nèi)部所有客戶端可以向外部dns服務(wù)器查詢。允許內(nèi)部與本地主機訪問外部網(wǎng)站與ftp，讓內(nèi)部客戶端與本地主機可以連接位于internet的網(wǎng)站與ftp服務(wù)器。允許內(nèi)部到外部的smtp與pop3請求，讓內(nèi)部客戶端可以接收外部pop3服務(wù)器內(nèi)的郵件，也讓用戶可以通過外部smtp服務(wù)器來收發(fā)電子郵件。五、實驗結(jié)論與思考結(jié)論：本次實驗主要學(xué)習(xí)了isa server 2006的主要功能，防火墻的設(shè)置種類和網(wǎng)絡(luò)模板；isa網(wǎng)絡(luò)配置和網(wǎng)絡(luò)規(guī)則；安裝isa server 2006，isa防火墻策略，isa server客戶端的應(yīng)用等。思考：對isa server 2006的學(xué)習(xí)讓我有了新的了解和認識，豐