| ISA Server 2006高级应用指南 |
| 2009-4-15 16:38:42 哈尔滨百姓网 来源:51CTO.com 浏览 次 【大 中 小】【打印】【关闭】 |
|
引言:
ISA Server 2006是微软公司在企业网络边界安全上的代表产品,ISA Server系列产品实现了集高级应用层防火墙、虚拟专用网络(VPN,Virtual Private Network)和网络缓存于一体的解决方案,能够提高网络安全和网络性能从而最大化企业的IT投资收益。ISA Server 2006通过增强的对HTTP协议和FTP协议以及远程过程调用(RPC,Remote Process Call)连接的过滤与控制实现对应用层的过滤;它提供了扩展的协议支持、增强的用户认证、增强的对用户和用户组的支持、增强的FTP支持、增强的网络发布等功能,从而提高了企业的安全性。
应用层过滤、高级防火墙以及企业级的VPN是ISA Server系列产品最为关键的应用。本文将从实际应用出发,针对ISA Server 2006在应用层过滤上的具体应用,阐述ISA Server 2006口令变更功能配置优化、ISA Server 2006内部客户端Web访问应用优化以及Outlook Web Access应用优化三个关键应用优化。本文假设读者已经完成了ISA Server 2006的部署工作,并熟悉ISA Server 2006的主要应用和操作,本文不涉及ISA Server的安装和管理,仅提供ISA Server 2006在应用层过滤上最优的应用方法。
一、ISA Server 2006口令变更功能配置
ISA Server 2006提供了允许用户通过基于表单的认证授权连接到Outlook Web访问来修改他们的口令,ISA Server管理员可以提醒用户其口令将会在一个指定的日期内过期、并允许用户创建新的口令,用户同样可以修改已经过期的口令。
1、口令变更功能基本配置
口令修改的功能在客户端输入基于表单的认证授权的授信时被启用,ISA Server将通过使用Windows授权认证(基于Active Directory)或者LDAP(Lightweight Directory Access Protocol,基于Active Directory)授权认证,在进行配置之前,注意以下的点:
1)、必须使用一个LDAPS链接到LDAP服务器或者域控制器。为使用一个安全的LDAP链接,一个服务器证书必须安装在LDAP服务器上或者域控制器上,证书名称必须与用户将要应用于授权认证服务器上的FQDN(Fully Qualified Domain Name)相匹配;
2)、ISA Server计算机必须有一个CA的根证书,该根证书被置于服务器证书的本地计算机信任证书授权存储目录中;
3)、在使用LDAP授权认证的时候,用户必须创建一个LDAP服务器装置,该服务器将会被用以授权用户,为使授权认证的功能很好地发挥功能,为该LDAP服务器进行以下配置:
a、启用采用安全连接的连接到LDAP服务器的连接;
b、为LDAP服务器指定一个FQDN名称。确保FQDN与安装在LDAP服务器上的或者域控制器上的证书的名称一致,指定至少一个日志表达式用以分派LDAP服务器到一个特定的用户组;
c、禁止使用全局日志(GC,Global Catalog);
d、指定一个用以识别用户帐号和帐号细节的域,域中的帐号将会被用以绑定到LDAP服务器以及查询登录用户的授信;
e、必须要有一个帐号才能够绑定到授权认证服务器,以及确认用户名和口令状态。在域授权认证情况下,该帐号必须为一个具有修改Active Directory权限的域帐号。
在创建的用以发布Outlook Web访问的Web监听器的属性栏,配置用户修改口令的选项,同时配置一个口令过期时间。在正确配置Web发布规则以后,用户在使用基于表单的授权认证进行登录的时候,如果口令过期时间临近,则会收到相应的警告。
以上属于ISA Server 2006在口令管理上的基础应用,为避免可能出现的问题,以下是一些优化的配置方法。
2、优化口令变更配置
1)口令变更前确保必要的证书已安装
在进行口令变更的操作时,如果必要的证书未被安装,则会出现口令变更功能性失败的问题。不管是否使用LDAP授权认证或者Windows Active Directory授权认证,必须要有一个基于TPC端口636的到授权认证服务器的LDAPS连接。
在进行口令变更配置之前,对于Windows授权认证,首先获取一个域控制器上的证书;对于LDAP授权认证,首先获取一个LDAP服务器上的证书。确保证书的通用名称与授权认证服务器上的名称一致。
2)禁用证书的客户端授权认证
如果用以Web发布的服务器证书采用默认的目的配置“服务器授权认证”和“客户端授权认证”,那么在客户端进行登录的时候则会出现缓慢的情况。其原因是在Windows Server 2003检测到“客户端授权认证”的默认目的设置时,操作系统将尝试通过共有的授权认证的方式来连接域控制器执行TLS的功能。
共有的授权认证处理需要ISA Server能够访问启用“客户端授权认证”的服务器证书中的私钥,但是ISA Server并不(而且应该不)具备这样的访问权限。为优化服务器证书应用,提高客户端登录速度,ISA Server管理员应当禁用服务器证书中的默认“客户端授权认证”。以下是具体的操作过程:
a、打开Certificates Microsoft Management Console(mmc)面板,首先添加证书管理器(CM,Certificate Manager)到mmc中:
① 点“开始”,然后点“运行”;
② 输入“mmc”,然后点“Enter”;
③ 选中“文件”菜单,然后选择“添加/删除插件”;
④ 在“添加/删除插件”面板中,点“添加”按钮;
⑤ 双击“证书”插件,选中“计算机帐号”,然后点“结束”
⑥ 选中“本地计算机”,然后点“结束”;
⑦ 关闭对话框。
b、在证书mmc中,点击以展开“证书”节点,然后展开“专有”节点;
c、右键点击相关的证书,选择“属性”;
d、在“细节”一栏中,点“编辑属性”;
e、选中“仅启用以下目的地”,然后清理掉“客户端授权认证”目的地。
注意:在成功完成新口令的配置以后,Active Directory允许新口令和旧口令同时使用一个小时的时间,在这段时间内,使用这两个口令中的任意一个都可以成功登录。
二、ISA Server 2006内部客户端Web访问应用指南
ISA Server的网络访问控制是ISA Server作为企业防火墙最重要的功能之一,因此在进行内部客户端网络访问的配置之前,首先要理解如何进行网络配置才是最优的,能够最大程度发挥ISA Server的功能而又不对网络性能带来影响。
1、理解ISA Server网络模型和默认规则
1)ISA 网络模型
在进行网络规则配置之前,首先必须对ISA Server的网络模型有比较透彻的理解,然后再进行不同网络配置以及启用不同网络之间的传输等配置。ISA Server需要以下规则以进行不同网络之间的数据传输:
a、网络规则
ISA Server的网络边界需要一个网络规则以进行通信。网络规则决定了尝试进行通信的两个网络之间的相互关系,以及被定义的关系的类型。如果在两个网络之间没有网络规则的定义,ISA Server将会禁止所有的网络间的通信。
b、访问规则
当网络间的关系以网络规则的方式进行定义以后,必须再定义一个特别允许处于不同网络中的主机进行通信的访问规则,所有的网络访问必须依据该规则展开。
2)ISA Server默认规则
在ISA Server安装以后,采用的默认的安全规则,且客户端访问被阻止,具体定义了一下两条规则:
a、Internet Access规则
Internet Access定义了所有预定义的ISA Server网络与外部网络之间的网络地址转换(NAT,Network Address Translation)关系。这意味着网络之间能够通信,而且网络之间的数据传输并且应用NAT以实现。
b、Last规则
Last规则阻止所有的传输,这一规则通常在规则列表的最后一个执行,而且它不能够被删除,ISA Server管理员必须特别地创建一个访问规则以允许内部用户访问Internet。
2、创建出界访问规则
要实现内部客户端的出界访问,必须首先创建一个访问规则以允许内部客户端出界访问到Internet,ISA Server提供了两种创建出界访问规则的方法:
1)、应用网络访问规则模板
ISA Server 2006包含一系列网络模板,这些模板与常见的网络拓扑相匹配。ISA Server管理员可以应用一个与其网络配置最为接近的网络规则模板,在应用一个网络规则模板时,可以选择一系列的用以模板的策略以自动地创建访问规则。
当启动网络模板向导以应用一个模板时,ISA Server网络管理员需要定义网络IP地址,然后选择一个与该模板相匹配的预定义的防火墙策略,在应用模板以后,ISA Server管理员可以配置其他的网络实体、网络规则和访问规则。
应用网络模板将会删除除了预定义的系统策略之外的所有现有的规则,因此在应用模板之前对当前的配置进行备份,而且在运行网络模板向导时,ISA Server管理员仍有机会在应用一个新的模板之前保存当前的配置。
2)、手动创建网络访问规则
除应用网络模板以外,ISA Server管理员可以手动创建访问规则。以下是详细的操作步骤:
a、在ISA Server管理器中,右键点击“防火墙策略”节点,点击“新建”,然后点击“访问规则”;
b、在新访问规则向导的“欢迎”页面上,输入规则的名称,然后点击“下一步”;
c、在“规则执行”页面上,点击“允许”,然后点击“下一步”;
d、在“协议”页面上,放弃默认的“选中的协议”,然后点“添加”;
e、在“添加协议”对话框中,展开“Web”;
f、选中需要的协议,如:允许HTTP、HTTPS、以及FTP出界访问,首先选中FTP,然后点击“添加”;选中HTTP,然后点击“添加”,选中HTTPS,然后点击“添加”。注意FTP服务器和HTTPS服务器协议不能被用以出界访问,然后点“关闭”,在“协议”页面上,点“下一步”。
g、在“访问规则源网络”页面上,点“添加”;
h、在“添加网络实体”对话框中,展开“网络”;
i、选中将会创建传输的网络源。如,如果想要允许位于内部网络的客户端访问Internet,选中“内部网络”,点击“添加”,然后点击“关闭”。在“访问规则源网络”页面上,点击“下一步”;
j、在“访问规则目的网络”页面上,点击“添加”;
k、在“添加网络实体”对话框中,展开“网络”;
l、选中传输要到达的网络。例如,如果想要允许内部网络环境中的客户端访问Internet,选中“外部网络”,点击“添加”,然后点击“关闭”。在“访问规则目的网络”页面上,点击“下一步”;
m、在“用户设置”页面上,制定能够使用此规则进行Internet访问的用户。如果要允许所有用户的匿名访问,保留默认的“所有用户”设置。要指定只有被授权用户才能使用此规则进行Internet访问,点击“添加”,在“添加用户”对话框中,选中“所有授权用户”,点击“添加”,然后点击“关闭”。在“用户设置”对话框中,选中“所有用户”,然后点击“移除”,然后点击“下一步”。“所有授权用户”设置代表了所有可以被授权的用户,而并不需要考虑使用的授权认证方式。
n、在“完成创建新访问规则向导”页面上,检查所有的配置,然后点“完成”以结束向导。
o、在ISA Server管理器中,点“应用”以应用新的规则。
3、检查访问规则
在创建完新的网络访问规则以后,为确保网络访问能够按照预期的目的开始数据传输,需要按照以下步骤检查访问规则:
1)、全局阻止规则,查看新创建的规则是否与该规则冲突;
2)、全局允许规则,该规则允许所有用户到特定站点的访问;
3)、允许或阻止到特定计算机的访问规则;
4)、允许或阻止特定用户、URLs、和多用途互联网邮件扩展(MIME,Multipurpose Internet Mail Extensions)等类型的规则;
5)、其他相关的允许规则;
6)、默认阻止规则,这些规则位于规则列表的底层,不符合其他任何规则的请求将会被此规则阻止。
经过以上符合最优网络访问规则创建和检查过程的配置以后,用户可以实现利用ISA Server进行内部客户端的网络访问控制。
作为ISA Server在企业防火墙功能上最为重要的应用,与内部客户端网络访问相关的应用非常之多,因此相应的可优化的应用点也比较多,比如特定站点访问配置优化、客户端配置优化、单个网络适配器环境配置优化、基础架构优化等,限于本文的篇幅,将不再对其他的应用做深入的介绍,如果读者需要了解相关应用及其最优配置的话,建议参考微软TechNet的ISA Server知识中心。
三、ISA Server 2006 Outlook Web Access应用指南
1、理解ISA Server默认发布规则
默认情况下,ISA Server会阻止内部客户端对网络的访问,因此为实现最大程度实现网络控制和网络性能,在ISA Server正式启用之前,需要进行相应规则的创建和检查。以下是具体操作过程:
1)、确定制定发布规则
确定存在允许外部客户端访问Outlook Web Access站点的规则。新规则可以通过“新发布规则创建向导”创建;
2)、检查规则顺序
如果存在阻止规则禁止了对站点的访问,而且该规则的顺序在允许规则之前,则该阻止规则的将会被首先处理,ISA Server管理员应当按照以下顺序检查规则顺序:
a、全局阻止规则。该规则阻止到所有用户的访问;
b、全局允许规则,该规则允许所有用户到特定站点的访问;
c、允许或阻止到特定计算机的访问规则;
d、允许或阻止特定用户、URLs、和多用途互联网邮件扩展等类型的规则;
e、其他相关的允许规则;
f、默认阻止规则,这些规则位于规则列表的底层,不符合其他任何规则的请求将会被此规则阻止。
2、优化网络连接设置
优化网络连接设置能够确保符合网络发布规则的连接都能够顺利建立,并达到最优的网络传输,可采用以下具体步骤检查网络连接并优化特定配置:
1)、常用设置检测
分别尝试使用符合规则的客户端和不符合规则的客户端连接到Outlook Web Access站点;如果没有计算机能够访问Outlook Web Access站点,检查站点是否在运行并且可用。
2)、DNS检测和确认
对于DNS的检测可以发现DNS的设置是否达到了规则定义的需求,从而确保在计算机名称获取和解析时得到正确的计算机位置,以下是具体操作步骤:
a、外部Internet客户端请求一个有效的公共DNS入口来实现请求。域名可以通过一个公共DNS服务器来实现从域名到ISA Server计算机IP地址的转换(通常是外部适配器的IP地址);
b、外部客户端请求指定的用以Outlook Web Access站点访问的名称必须与ISA Server使用的用以进行客户端授权认证的服务器证书FQDN指定的通用名称字段相匹配;
c、为优化应用,ISA Server管理员可以在主机文件中指定解决信息的名称,当成功连接到Outlook Web Access站点的时候,应当出现一个登录界面,允许用户输入授信信息;
d、使用Nslookup.exe命令行工具来检测外部Web站点名称是否按照预期被解析。
3)、单个网络适配器配置
ISA Server提供了对只有单个网络适配器的Outlook Web Access站点发布的支持,在相应的配置中,检测以下配置以使应用效果最佳:
a、确保ISA Server按照单个网络适配器网络模板进行了配置;
b、当安装ISA Server到只有单个网络适配器的计算机上时,ISA Server只能够识别两个网络:代表了ISA Server计算机本身的本地主机网络和内部网络,在内部网络中包括了所有不属于本地主机网络的IP地址。确保选中的进行Outlook Web Access发布规则的Web监听器被配置以监听内部网络。
如果网络连接设置没有按照预期的进行配置,则可能在应用过程中出现连接相关的问题,在完成检测以后,应当根据需求调整相应的配置,本文将不详细介绍配置过程。
ISA Server Outlook Web Access发布应用部分同样涉及了ISA Server相当重要的应用,针对其应用的优化同样涉及证书设置优化、电子邮件配置优化、授权和登录配置优化等,限于本文的篇幅,将不再介绍详细的设置过程,如果读者有需要可以参考微软TechNet上ISA Server操作相关的知识。
四、小 结
本文从实际应用的角度出发,针对ISA Server 2006在应用层过滤上的实际操作,阐述ISA Server 2006口令变更功能配置优化、ISA Server 2006内部客户端Web访问应用优化以及Outlook Web Access应用优化三个关键应用优化涉及到的知识。笔者希望能够尽量带给读者在ISA Server应用程序过滤功能上的详细操作指导。但限于本文篇幅,忽略了部分应用优化的详细操作过程,笔者建议对于想要深入了解ISA Server特定操作优化的用户,可以参考微软TechNet上相应的知识。 |
|
| [责任编辑:佚名] |
|
| 【信息发布】【论坛交流】【留言反馈】【打印网页】【大 中 小】【↑顶部】 |
|
|
|
|
|
|
