ISA實戰
ISA幾大特點
一、 提供安全的Internet連接
1. 多層次的防火牆保護
2. 智能的應用程式過濾
3. 安全的伺服器發佈
4. 完整的VPN
二、 快速的Web訪問
1. 高效能的Web 快取
2. 可昇級的分佈式快取
3. 自動或者計劃工作的快取
三、 統一的管理
1. 細微的訪問控制
2. 豐富的系統管理工具
3. 企業級的安全標準管理
四、 可擴展、開放的平台
ISA實際操作
一、 包過濾和入侵檢測
在Access Policy中選項IP Packet Filters--Configure Packet Filtering and Intrusion Detection
可以設定防止Ping of death、UDP bomb等攻擊類型。
二、 可以按照用戶/組、應用程式、目標、連接類型、計劃工作等定制訪問控制
例子:限制上班時間不允許訪問足球網站
1、 Policy Elements—Schedules—Work Hours—Schedule—定義不能訪問的時間
2、 目標設定:Create a Destination Set—Sports—Add—目標—Football.com
3、 Site and content rules—Create a Site and Content Rule—Deny Football—Deny—Specified Destination Set—Name—Sports—Work Hours—Any Request—完成
例子:限制上班時間ICQ佔用的帶寬
1、Bandwidth Priorities—Low—OutBound(20)—InBound(20)
2、Bandwidth Rules—ICQ—Selected Protocol—Work Hours-- Any Request—All Destinations—All content –Custom—Low—完成
例子:不讓員工在上班時間訪問含MP3站點:
1、 Internet Groups—新增Content Group—名字--Mp3—Types—Mp3
2、 Site and content rules-- Create a Site and Content Rule—Deny Mp3—Deny—All Destinations—Always—Any Request
3、 Site and content rules—configure a site and content rule—選定Inactive時間範圍—Type—Mp3
三、 充分利用緩衝減輕壓力
例子:每天早上上班以前Down新浪的新聞
快取 Configuration—Scheduled content download—sina—確定日期和時間—daily—dailynews.sina.com.cn—完成
四、 使用報警功能:
例子:系統日誌錯誤時報警
Monitoring Configuration—Alert—Event log failure—輸入Email 位址—選項要進行的操作
其實大家可以自由發揮很多,這就要看自己的實際需要了。譬如想封OICQ,傳輸協定列表裡面沒有,可以在Protocol Definitions裡面定義一條傳輸協定,然後。。。不多說了,估計有的人該罵我了,我還告訴別人怎麼繞過去的方法呢。
另外,操作的步驟中可能寫的不是很詳細,參見我的另一篇文章ISA操作手冊。還要感謝網友Samsong對寫文章程序中的大力支持。
ISA實戰Ⅱ--進階篇
一、 使用ISA防止病毒
目前病毒右鍵很多,主要特徵有特定的標題,附帶有「.exe」、「vbs」的附件等等,下面就介紹一下針對病毒郵件在ISA裡面進行配置:Extensions--Application Filters--SMTP filters--內容
譬如右鍵內容包含「I Love You」的,在Keywords--Add--I Love you--Message Header or Body--Action--Forward message
to--momo@371.net(有點過分啊,或者直接Delete meaasge也可以啊。)
又譬如附件帶Readme.exe的,最近的Nimda病毒就是這樣,Attachment--Add-Attachment Name--readme.exe--Action--Delete meassage
二、 入侵檢測
ISA已經支持一些一般的攻擊手段,還支持自訂的套用過濾器。
譬如如果有人掃瞄10次以上連接埠就報警:IP Packet Filters--Configure Packet Filtering and Intrusion Detection--Enabled Intrusion Detection-- Intrusion Detection--Port Scan--Detect after attacks on 10 well-known ports--確定
三、 多台伺服器的發佈
譬如要發佈局內網IP為172.16.1.100,主機頭名稱
www.momo.com的一台伺服器,ISA伺服器IP為172.16.1.1,機器名為momo
ISA上面的設定:
Policy Elements--Destination sets--Create a Destination Set--Name:momo--Add--Destination -www.momo.com--OK
Web Publishing--create a web publishing rule--Rule name:momo--Specified destination set --Name:momo--Any request--Redirect the request to this internal Web server(name or IP address)--172.16.1.100--選Send the original host header to the publishing server instead of the actual one(specified above)--連接埠不需更改
重複上面的步驟,可以建立多個站點對外發佈,但是ISA的只能同時監聽一個Web連接埠,也就是說可以內部多個站點對外發佈,但是外面都要使用80連接埠進行訪問。
最後一步:點中ISA管理界面的機器名
momo--右鍵--內容--Incoming Web request--Configure listeners individually per IP address--Add--Server:momo--IP address:172.16.1.1
四、 ISA的Client的幾種方式
1、 Web Proxy Clients:
最簡單,不用修改客戶的網路配置,只需要把客戶的IP代理設成提供ISA服務的機器就可以了。
2、 Secure NAT Client:
把客戶的default gateway改成ISA伺服器的內部網路卡的位址,可以提供除Web以外的服務,工作量相對Firewall要小,但是不能夠提供任何認證。
3、 Firewall Client:
需要安裝ISA客戶端,工作量相對比較大,但是可以提供全方面的服務,並且利於統計各種資料。
五、 ISA的報表功能:
Proxy沒有提供報表功能,在ISA裡面可以提供豐富的報表,並且提供SDK軟體包,支持自訂的Web filters和可擴展的UI(女朋友C)。由於報表功能比較簡單,這裡就不詳細講述了。