熊建輝 孫桂煌

(1.福州海峽職業(yè)技術(shù)學(xué)院，福建 福州 350014；2.福建工程學(xué)院國脈信息學(xué)院，福建 福州 350014)

1.引言

Internet中有這樣一種說法：Internet世界的美妙之處在于我可以跟任何人相連，Internet世界的可拍之處因?yàn)槿魏稳丝梢愿蚁噙B。如何有效控制這種連接是每個(gè)處于Internet之中的企事業(yè)網(wǎng)絡(luò)必須所面對(duì)的，從技術(shù)方法上講防火墻技術(shù)是一種行之有效的方法。防火墻既可以分成針對(duì)個(gè)人用戶的個(gè)人版和針對(duì)企業(yè)級(jí)應(yīng)用的企業(yè)版；也可以分成硬件型的和軟件型的；也有單機(jī)型的和網(wǎng)絡(luò)型的。通常硬件型防火墻價(jià)格比較貴，而且在功能上一般只能對(duì)處于TCP/IP中的下三層數(shù)據(jù)進(jìn)行篩選過濾，配置部署及集成應(yīng)用時(shí)上也顯得繁瑣和容易出錯(cuò)；軟件防火墻速度方面會(huì)遜色，但是一般可以針對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行篩選。ISA Server作為一款微軟公司產(chǎn)品與微軟公司的網(wǎng)絡(luò)操作系統(tǒng)，其集成度高，通過緩存等機(jī)制實(shí)現(xiàn)了訪問速度的提高，通過訪問規(guī)則和發(fā)布規(guī)則保障了企業(yè)內(nèi)網(wǎng)和DMZ區(qū)域的安全，同時(shí)還能很容易地實(shí)現(xiàn)虛擬專用網(wǎng)和企業(yè)負(fù)載均衡等功能，并且與活動(dòng)目錄服務(wù)集成方便。本文主要探討ISA Server的應(yīng)用研究，并給出了具體的實(shí)現(xiàn)方案。

2.ISA Server的特點(diǎn)和功能

ISA Server的全稱為Microsoft Internet Security and Acceleration Server，有兩層含義：安全、加速。常見的應(yīng)用版本有ISA Server 2000、ISA Server 2004、ISA Server 2006，以及最新的TMG2010。本文中主要討論的是ISA Server 2006企業(yè)版，該版本功能實(shí)用性高，性能穩(wěn)定。ISA Server中根據(jù)需要可以定義多個(gè)網(wǎng)絡(luò)，如內(nèi)網(wǎng)、外部、DMZ區(qū)域，ISA Server服務(wù)器本身也被定義成“本地主機(jī)”這個(gè)網(wǎng)絡(luò)，同時(shí)還可以根據(jù)實(shí)際需要定義更多的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)之間存在的關(guān)系稱為網(wǎng)絡(luò)關(guān)系，具體類型有NAT關(guān)系、路由關(guān)系。NAT關(guān)系即網(wǎng)絡(luò)地址轉(zhuǎn)換關(guān)系，一般用在當(dāng)兩個(gè)網(wǎng)絡(luò)間訪問時(shí)需要發(fā)生IP地址轉(zhuǎn)換的場(chǎng)合，如私有IP地址轉(zhuǎn)換為公共IP地址。而路由關(guān)系中兩個(gè)網(wǎng)絡(luò)間通信的數(shù)據(jù)是可以直接被路由的而不需要被轉(zhuǎn)換。一般可以理解為NAT關(guān)系為單向的，路由關(guān)系為雙向的。

2.1 保障網(wǎng)絡(luò)安全

ISA Server與網(wǎng)絡(luò)操作系統(tǒng)如Windows Server 2003、Windows Server 2008、Windows Server 2008R2 兼容性好。ISA Server的防火墻引擎就是工作在系統(tǒng)的內(nèi)核模式。即使ISA Server被攻破了，致使服務(wù)器宕機(jī)，該防火墻引擎還能有效保障網(wǎng)絡(luò)信息安全。

在ISA Server中，通過訪問規(guī)則來實(shí)現(xiàn)企業(yè)對(duì)企業(yè)外部服務(wù)器的訪問。訪問規(guī)則是防火墻策略的一種，主要用在網(wǎng)絡(luò)關(guān)系為路由關(guān)系時(shí)實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)間的互訪；當(dāng)網(wǎng)絡(luò)關(guān)系為NAT關(guān)系的時(shí)候?qū)崿F(xiàn)兩個(gè)網(wǎng)絡(luò)間的單向訪問。具體是在定義訪問規(guī)則時(shí),首先需要確定網(wǎng)絡(luò)并且確定各網(wǎng)絡(luò)間的關(guān)系，然后可以通過右鍵單擊“防火墻策略”，選擇“新建”，再選擇“訪問規(guī)則”，如圖2-1所示，然后根據(jù)向?qū)Х謩e設(shè)置訪問規(guī)則名稱、設(shè)置規(guī)則操作：允許或拒絕、設(shè)置該規(guī)則將影響的的協(xié)議（數(shù)據(jù)類型）、設(shè)置數(shù)據(jù)的發(fā)起源、設(shè)置數(shù)據(jù)的發(fā)起目標(biāo)以及設(shè)置數(shù)據(jù)請(qǐng)求的發(fā)起者（用戶集）。規(guī)則創(chuàng)建完畢還需要單擊“應(yīng)用”方可生效。

圖2-1 新建規(guī)則

通過發(fā)布規(guī)則可以實(shí)現(xiàn)外部對(duì)企業(yè)內(nèi)部服務(wù)器的訪問。對(duì)于一些中大型企業(yè)，通常有自己的服務(wù)器需要被Internet用戶訪問，此時(shí)就可以通過發(fā)布規(guī)則來實(shí)現(xiàn)，并且ISA Server中對(duì)于微軟的相關(guān)技術(shù)如Exchange制定專門的發(fā)布規(guī)則,實(shí)施起來更加方便。具體在定義發(fā)布規(guī)則時(shí)，通過右鍵單擊“防火墻策略”，選擇“新建”，如圖2-1所示，在該圖中上面5個(gè)均為發(fā)布規(guī)則，并且可以分為兩類：Web類型和非Web類型。微軟公司為了發(fā)布其相關(guān)產(chǎn)品如Exchange郵箱、Sharepoint站點(diǎn)等，單獨(dú)為其產(chǎn)品指定了發(fā)布向?qū)?。根?jù)需要選擇具體某種發(fā)布類型，然后同樣是按照向?qū)Р僮骷纯?。?duì)于發(fā)布Web類型的服務(wù)，還需要?jiǎng)?chuàng)建偵聽器。

2.2 提高網(wǎng)絡(luò)速度

軟件防火墻的突出缺點(diǎn)就是網(wǎng)絡(luò)訪問速度不及硬件防火墻。ISA Server為了克服這一缺點(diǎn)，通過緩存的機(jī)制和負(fù)載均衡的機(jī)制來提高網(wǎng)絡(luò)訪問的速度。

ISA Server中的緩存機(jī)制如圖2-2、2-3所示，當(dāng)企業(yè)內(nèi)網(wǎng)中出現(xiàn)第一次訪問某一網(wǎng)站時(shí)，如圖2-2中所示：用戶1在內(nèi)網(wǎng)第一次訪問http：//www.aaa.com網(wǎng)站，請(qǐng)求首先被發(fā)送到ISA Server服務(wù)器，然后由ISA Server服務(wù)器發(fā)送給Internet中的服務(wù)器www.aaa.com，www.aaa.com將請(qǐng)求的頁面內(nèi)容發(fā)給ISA Server，ISA Server收到內(nèi)容之后一方面會(huì)發(fā)送給用戶1，另一方面會(huì)寫入到緩存（服務(wù)器硬盤）中去。

圖2-2 首次訪問某一網(wǎng)站

當(dāng)企業(yè)內(nèi)網(wǎng)中出現(xiàn)第二次訪問該網(wǎng)站時(shí)，如圖2-3所示：用戶2再訪問http：//www.aaa.com網(wǎng)站，請(qǐng)求同樣被發(fā)送到ISA Server服務(wù)器，然后ISA Server直接會(huì)從緩存（服務(wù)器硬盤）中讀取內(nèi)容直接返回給用戶2。

圖2-3 第二次訪問某一網(wǎng)站

緩存通常有正向緩存、鏈?zhǔn)骄彺?、分布式緩存、反向緩存。正向緩存就是上面講到的情形：在一定條件下可以提高內(nèi)網(wǎng)對(duì)外網(wǎng)的響應(yīng)速度；反向緩存與正向緩存相反：緩存的內(nèi)容為公司內(nèi)部服務(wù)器的內(nèi)容，可以提高外網(wǎng)對(duì)公司內(nèi)網(wǎng)服務(wù)器的響應(yīng)速度；鏈?zhǔn)骄彺鎰t是，存在多臺(tái)ISA Server，并且之間形成一個(gè)鏈?zhǔn)降恼?qǐng)求；分布式緩存所緩存的內(nèi)容是分布式地存在于多臺(tái)服務(wù)器中?？赏ㄟ^“配置”列表中的“緩存”來實(shí)現(xiàn)，如圖2-4所示，可以設(shè)置緩存的位置（位于哪個(gè)磁盤驅(qū)動(dòng)器）以及緩存規(guī)則（緩存的時(shí)間多長等等）。

圖2-4 設(shè)置緩存

負(fù)載均衡是通過多臺(tái)ISA Server構(gòu)成企業(yè)陣列來實(shí)現(xiàn)的，陣列中ISA Server共同承擔(dān)任務(wù)，每臺(tái)ISA Server所承擔(dān)任務(wù)的分量根據(jù)CARP屬性來設(shè)置，如圖2-5所示，陣列中主機(jī)ID號(hào)為2的ISA Server承擔(dān)50%任務(wù)。

圖2-5 負(fù)載均衡

3.ISA Server的常見實(shí)現(xiàn)方案

基于上面的研究和討論，接下來主要是以企事業(yè)單位中常見的應(yīng)用場(chǎng)景給出具體實(shí)現(xiàn)方案。ISA Server部署的詳細(xì)要求見安裝光盤，現(xiàn)在一般服務(wù)器都能滿足。需要注意的是：服務(wù)器需要兩張以上的網(wǎng)卡。

3.1 實(shí)現(xiàn)對(duì)Internet的訪問

某企業(yè)根據(jù)對(duì)各網(wǎng)絡(luò)安全產(chǎn)品的調(diào)研，最終選擇了ISA Server 2006作為企業(yè)防火墻，企業(yè)拓?fù)鋱D如圖3-1所示，內(nèi)網(wǎng)IP地址為10.1.0.0/16網(wǎng)段，ISA Server含有兩張網(wǎng)卡，內(nèi)網(wǎng)卡地址為10.1.1.1/16，外網(wǎng)卡IP地址由ISP提供（如果為ADSL上網(wǎng)，則不需要設(shè)置，開啟ADSL鏈接即可）。本方案就是具體來說如何實(shí)現(xiàn)這一需求。

圖3-1 某企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

首先在服務(wù)器上安裝ISA Server，安裝后默認(rèn)是阻斷企業(yè)內(nèi)網(wǎng)對(duì)外的一切通信的，而訪問Internet是企業(yè)的一個(gè)根本需求。確保企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)的網(wǎng)關(guān)為ISA Server的內(nèi)網(wǎng)卡IP地址，為了管理方便可以通過配置企業(yè)內(nèi)部的DHCP服務(wù)器來實(shí)現(xiàn)。然后創(chuàng)建防火墻策略（訪問規(guī)則）：規(guī)則操作選擇允許，協(xié)議選擇DNS、HTTP、HTTPS，訪問規(guī)則源為內(nèi)部，訪問規(guī)則目標(biāo)為外部，并且單擊“應(yīng)用”。設(shè)置完畢后，企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)即可訪問Internet網(wǎng)站。如果想讓內(nèi)網(wǎng)訪問其它類型服務(wù)如FTP，只需要在該規(guī)則中協(xié)議中添加相關(guān)協(xié)議即可。

3.2 實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部的訪問

某企業(yè)根據(jù)企業(yè)需求，選擇了ISA Server 2006作為防火墻，企業(yè)拓?fù)鋱D如圖3-2所示，為三向外圍結(jié)

圖3-2 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

構(gòu)：企業(yè)內(nèi)部網(wǎng)絡(luò)為活動(dòng)目錄域模式，網(wǎng)絡(luò)DMZ區(qū)域中的Web需要被外部訪問，內(nèi)網(wǎng)中的Exchange Server也需要被外部訪問，同時(shí)ISA Server還承擔(dān)了VPN服務(wù)角色，要求域用戶中的市場(chǎng)部員工能通過該VPN登錄到公司內(nèi)網(wǎng)。企業(yè)網(wǎng)絡(luò)IP地址規(guī)劃如下：內(nèi)網(wǎng)IP地址網(wǎng)段為10.1.0.0/16，DMZ區(qū)域IP地址網(wǎng)段為192.168.1.0/24，ISA服務(wù)器外網(wǎng)卡IP地址由ISP分配。本方案就是具體來說如何實(shí)現(xiàn)這一需求。

部署過程如下：

（1）在ISA服務(wù)器上安裝ISA Server 2006，然后根據(jù)“3向外圍網(wǎng)絡(luò)”模板向?qū)нM(jìn)行設(shè)置，設(shè)置過程中會(huì)自動(dòng)創(chuàng)建外圍網(wǎng)絡(luò)，并且修改名為“外圍配置”的網(wǎng)絡(luò)規(guī)則關(guān)系為“路由”，修改名為“外圍訪問”的網(wǎng)絡(luò)規(guī)則關(guān)系為“NAT”；

（2）創(chuàng)建Internet訪問規(guī)則，使得內(nèi)網(wǎng)用戶能訪問Internet，具體配置與“3.1實(shí)現(xiàn)對(duì)Internet的訪問”中的配置相同；

（3）創(chuàng)建Exchange Web客戶端訪問發(fā)布規(guī)則來發(fā)布位于公司內(nèi)網(wǎng)中的Exchange Server；

（4）創(chuàng)建網(wǎng)絡(luò)發(fā)布規(guī)則發(fā)布位于DMZ區(qū)中的Web服務(wù)器；

（5）創(chuàng)建RADIUS服務(wù)器：在活動(dòng)目錄域內(nèi)網(wǎng)的某臺(tái)服務(wù)器（已加入域）上創(chuàng)建Internet驗(yàn)證服務(wù)，并且創(chuàng)建RADIUS客戶端，該客戶端IP地址指向ISA服務(wù)器的內(nèi)網(wǎng)IP地址，并設(shè)置“共享的機(jī)密”；

（6）創(chuàng)建VPN服務(wù)器：在“虛擬專用網(wǎng)絡(luò)（VPN）”中選擇“VPN客戶端”，在“任務(wù)欄”中先定義地址分配，由于本企業(yè)網(wǎng)需求中要求活動(dòng)目錄域中的市場(chǎng)部員工能登陸該VPN服務(wù)器，所以需要設(shè)置RADIUS服務(wù)器IP及“共享的機(jī)密”（要求與步驟5中的設(shè)置的一致），然后“配置VPN客戶端訪問”設(shè)置“組”為市場(chǎng)部，最后“啟用VPN客戶端訪問”；

（7）授予市場(chǎng)部員工的撥入權(quán)限：在活動(dòng)目錄域服務(wù)器上打開“Active Directory用戶和計(jì)算機(jī)”為市場(chǎng)部員工逐一授予“允許撥入”的權(quán)限。

至此創(chuàng)建完畢。

4.結(jié)束語

ISA Server作為企業(yè)級(jí)軟件防火墻，其引擎工作在操作系統(tǒng)的內(nèi)核模式，能對(duì)應(yīng)用層數(shù)據(jù)包進(jìn)行篩選，并且通過緩存的技術(shù)及多臺(tái)ISA Server形成陣列來實(shí)現(xiàn)負(fù)載均衡及故障轉(zhuǎn)移，能很好地保障企業(yè)整體網(wǎng)絡(luò)安全及內(nèi)外網(wǎng)互訪速度。特別是對(duì)于一些部署了活動(dòng)目錄域及Exchange郵箱服務(wù)的大中型企業(yè)，極大方便了域中某些用戶對(duì)VPN的訪問。另外，隔離的VPN客戶端也是很有應(yīng)用前景的技術(shù)。

[1]顧武雄.Microsoft ISA Server 2004系統(tǒng)安全管理寶典[M].中國鐵道出版社,2007.

[2]微軟公司.網(wǎng)絡(luò)服務(wù)架構(gòu)實(shí)現(xiàn)和管理--以Windows Server 2003為例[M].高等教育出版社，2005.

[3]劉淵等.因特網(wǎng)防火墻技術(shù)[M].機(jī)械工業(yè)出版社,1998.