亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        ISA Server的企業(yè)級(jí)應(yīng)用研究與實(shí)現(xiàn)方案

        2011-08-08 12:48:16熊建輝孫桂煌
        電腦與電信 2011年12期
        關(guān)鍵詞:網(wǎng)卡IP地址防火墻

        熊建輝 孫桂煌

        (1.福州海峽職業(yè)技術(shù)學(xué)院,福建 福州 350014;2.福建工程學(xué)院國脈信息學(xué)院,福建 福州 350014)

        1.引言

        Internet中有這樣一種說法:Internet世界的美妙之處在于我可以跟任何人相連,Internet世界的可拍之處因?yàn)槿魏稳丝梢愿蚁噙B。如何有效控制這種連接是每個(gè)處于Internet之中的企事業(yè)網(wǎng)絡(luò)必須所面對(duì)的,從技術(shù)方法上講防火墻技術(shù)是一種行之有效的方法。防火墻既可以分成針對(duì)個(gè)人用戶的個(gè)人版和針對(duì)企業(yè)級(jí)應(yīng)用的企業(yè)版;也可以分成硬件型的和軟件型的;也有單機(jī)型的和網(wǎng)絡(luò)型的。通常硬件型防火墻價(jià)格比較貴,而且在功能上一般只能對(duì)處于TCP/IP中的下三層數(shù)據(jù)進(jìn)行篩選過濾,配置部署及集成應(yīng)用時(shí)上也顯得繁瑣和容易出錯(cuò);軟件防火墻速度方面會(huì)遜色,但是一般可以針對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行篩選。ISA Server作為一款微軟公司產(chǎn)品與微軟公司的網(wǎng)絡(luò)操作系統(tǒng),其集成度高,通過緩存等機(jī)制實(shí)現(xiàn)了訪問速度的提高,通過訪問規(guī)則和發(fā)布規(guī)則保障了企業(yè)內(nèi)網(wǎng)和DMZ區(qū)域的安全,同時(shí)還能很容易地實(shí)現(xiàn)虛擬專用網(wǎng)和企業(yè)負(fù)載均衡等功能,并且與活動(dòng)目錄服務(wù)集成方便。本文主要探討ISA Server的應(yīng)用研究,并給出了具體的實(shí)現(xiàn)方案。

        2.ISA Server的特點(diǎn)和功能

        ISA Server的全稱為Microsoft Internet Security and Acceleration Server,有兩層含義:安全、加速。常見的應(yīng)用版本有ISA Server 2000、ISA Server 2004、ISA Server 2006,以及最新的TMG2010。本文中主要討論的是ISA Server 2006企業(yè)版,該版本功能實(shí)用性高,性能穩(wěn)定。ISA Server中根據(jù)需要可以定義多個(gè)網(wǎng)絡(luò),如內(nèi)網(wǎng)、外部、DMZ區(qū)域,ISA Server服務(wù)器本身也被定義成“本地主機(jī)”這個(gè)網(wǎng)絡(luò),同時(shí)還可以根據(jù)實(shí)際需要定義更多的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)之間存在的關(guān)系稱為網(wǎng)絡(luò)關(guān)系,具體類型有NAT關(guān)系、路由關(guān)系。NAT關(guān)系即網(wǎng)絡(luò)地址轉(zhuǎn)換關(guān)系,一般用在當(dāng)兩個(gè)網(wǎng)絡(luò)間訪問時(shí)需要發(fā)生IP地址轉(zhuǎn)換的場合,如私有IP地址轉(zhuǎn)換為公共IP地址。而路由關(guān)系中兩個(gè)網(wǎng)絡(luò)間通信的數(shù)據(jù)是可以直接被路由的而不需要被轉(zhuǎn)換。一般可以理解為NAT關(guān)系為單向的,路由關(guān)系為雙向的。

        2.1 保障網(wǎng)絡(luò)安全

        ISA Server與網(wǎng)絡(luò)操作系統(tǒng)如Windows Server 2003、Windows Server 2008、Windows Server 2008R2 兼容性好。ISA Server的防火墻引擎就是工作在系統(tǒng)的內(nèi)核模式。即使ISA Server被攻破了,致使服務(wù)器宕機(jī),該防火墻引擎還能有效保障網(wǎng)絡(luò)信息安全。

        在ISA Server中,通過訪問規(guī)則來實(shí)現(xiàn)企業(yè)對(duì)企業(yè)外部服務(wù)器的訪問。訪問規(guī)則是防火墻策略的一種,主要用在網(wǎng)絡(luò)關(guān)系為路由關(guān)系時(shí)實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)間的互訪;當(dāng)網(wǎng)絡(luò)關(guān)系為NAT關(guān)系的時(shí)候?qū)崿F(xiàn)兩個(gè)網(wǎng)絡(luò)間的單向訪問。具體是在定義訪問規(guī)則時(shí),首先需要確定網(wǎng)絡(luò)并且確定各網(wǎng)絡(luò)間的關(guān)系,然后可以通過右鍵單擊“防火墻策略”,選擇“新建”,再選擇“訪問規(guī)則”,如圖2-1所示,然后根據(jù)向?qū)Х謩e設(shè)置訪問規(guī)則名稱、設(shè)置規(guī)則操作:允許或拒絕、設(shè)置該規(guī)則將影響的的協(xié)議(數(shù)據(jù)類型)、設(shè)置數(shù)據(jù)的發(fā)起源、設(shè)置數(shù)據(jù)的發(fā)起目標(biāo)以及設(shè)置數(shù)據(jù)請(qǐng)求的發(fā)起者(用戶集)。規(guī)則創(chuàng)建完畢還需要單擊“應(yīng)用”方可生效。

        圖2-1 新建規(guī)則

        通過發(fā)布規(guī)則可以實(shí)現(xiàn)外部對(duì)企業(yè)內(nèi)部服務(wù)器的訪問。對(duì)于一些中大型企業(yè),通常有自己的服務(wù)器需要被Internet用戶訪問,此時(shí)就可以通過發(fā)布規(guī)則來實(shí)現(xiàn),并且ISA Server中對(duì)于微軟的相關(guān)技術(shù)如Exchange制定專門的發(fā)布規(guī)則,實(shí)施起來更加方便。具體在定義發(fā)布規(guī)則時(shí),通過右鍵單擊“防火墻策略”,選擇“新建”,如圖2-1所示,在該圖中上面5個(gè)均為發(fā)布規(guī)則,并且可以分為兩類:Web類型和非Web類型。微軟公司為了發(fā)布其相關(guān)產(chǎn)品如Exchange郵箱、Sharepoint站點(diǎn)等,單獨(dú)為其產(chǎn)品指定了發(fā)布向?qū)?。根?jù)需要選擇具體某種發(fā)布類型,然后同樣是按照向?qū)Р僮骷纯?。?duì)于發(fā)布Web類型的服務(wù),還需要?jiǎng)?chuàng)建偵聽器。

        2.2 提高網(wǎng)絡(luò)速度

        軟件防火墻的突出缺點(diǎn)就是網(wǎng)絡(luò)訪問速度不及硬件防火墻。ISA Server為了克服這一缺點(diǎn),通過緩存的機(jī)制和負(fù)載均衡的機(jī)制來提高網(wǎng)絡(luò)訪問的速度。

        ISA Server中的緩存機(jī)制如圖2-2、2-3所示,當(dāng)企業(yè)內(nèi)網(wǎng)中出現(xiàn)第一次訪問某一網(wǎng)站時(shí),如圖2-2中所示:用戶1在內(nèi)網(wǎng)第一次訪問http://www.aaa.com網(wǎng)站,請(qǐng)求首先被發(fā)送到ISA Server服務(wù)器,然后由ISA Server服務(wù)器發(fā)送給Internet中的服務(wù)器www.aaa.com,www.aaa.com將請(qǐng)求的頁面內(nèi)容發(fā)給ISA Server,ISA Server收到內(nèi)容之后一方面會(huì)發(fā)送給用戶1,另一方面會(huì)寫入到緩存(服務(wù)器硬盤)中去。

        圖2-2 首次訪問某一網(wǎng)站

        當(dāng)企業(yè)內(nèi)網(wǎng)中出現(xiàn)第二次訪問該網(wǎng)站時(shí),如圖2-3所示:用戶2再訪問http://www.aaa.com網(wǎng)站,請(qǐng)求同樣被發(fā)送到ISA Server服務(wù)器,然后ISA Server直接會(huì)從緩存(服務(wù)器硬盤)中讀取內(nèi)容直接返回給用戶2。

        圖2-3 第二次訪問某一網(wǎng)站

        緩存通常有正向緩存、鏈?zhǔn)骄彺?、分布式緩存、反向緩存。正向緩存就是上面講到的情形:在一定條件下可以提高內(nèi)網(wǎng)對(duì)外網(wǎng)的響應(yīng)速度;反向緩存與正向緩存相反:緩存的內(nèi)容為公司內(nèi)部服務(wù)器的內(nèi)容,可以提高外網(wǎng)對(duì)公司內(nèi)網(wǎng)服務(wù)器的響應(yīng)速度;鏈?zhǔn)骄彺鎰t是,存在多臺(tái)ISA Server,并且之間形成一個(gè)鏈?zhǔn)降恼?qǐng)求;分布式緩存所緩存的內(nèi)容是分布式地存在于多臺(tái)服務(wù)器中??赏ㄟ^“配置”列表中的“緩存”來實(shí)現(xiàn),如圖2-4所示,可以設(shè)置緩存的位置(位于哪個(gè)磁盤驅(qū)動(dòng)器)以及緩存規(guī)則(緩存的時(shí)間多長等等)。

        圖2-4 設(shè)置緩存

        負(fù)載均衡是通過多臺(tái)ISA Server構(gòu)成企業(yè)陣列來實(shí)現(xiàn)的,陣列中ISA Server共同承擔(dān)任務(wù),每臺(tái)ISA Server所承擔(dān)任務(wù)的分量根據(jù)CARP屬性來設(shè)置,如圖2-5所示,陣列中主機(jī)ID號(hào)為2的ISA Server承擔(dān)50%任務(wù)。

        圖2-5 負(fù)載均衡

        3.ISA Server的常見實(shí)現(xiàn)方案

        基于上面的研究和討論,接下來主要是以企事業(yè)單位中常見的應(yīng)用場景給出具體實(shí)現(xiàn)方案。ISA Server部署的詳細(xì)要求見安裝光盤,現(xiàn)在一般服務(wù)器都能滿足。需要注意的是:服務(wù)器需要兩張以上的網(wǎng)卡。

        3.1 實(shí)現(xiàn)對(duì)Internet的訪問

        某企業(yè)根據(jù)對(duì)各網(wǎng)絡(luò)安全產(chǎn)品的調(diào)研,最終選擇了ISA Server 2006作為企業(yè)防火墻,企業(yè)拓?fù)鋱D如圖3-1所示,內(nèi)網(wǎng)IP地址為10.1.0.0/16網(wǎng)段,ISA Server含有兩張網(wǎng)卡,內(nèi)網(wǎng)卡地址為10.1.1.1/16,外網(wǎng)卡IP地址由ISP提供(如果為ADSL上網(wǎng),則不需要設(shè)置,開啟ADSL鏈接即可)。本方案就是具體來說如何實(shí)現(xiàn)這一需求。

        圖3-1 某企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

        首先在服務(wù)器上安裝ISA Server,安裝后默認(rèn)是阻斷企業(yè)內(nèi)網(wǎng)對(duì)外的一切通信的,而訪問Internet是企業(yè)的一個(gè)根本需求。確保企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)的網(wǎng)關(guān)為ISA Server的內(nèi)網(wǎng)卡IP地址,為了管理方便可以通過配置企業(yè)內(nèi)部的DHCP服務(wù)器來實(shí)現(xiàn)。然后創(chuàng)建防火墻策略(訪問規(guī)則):規(guī)則操作選擇允許,協(xié)議選擇DNS、HTTP、HTTPS,訪問規(guī)則源為內(nèi)部,訪問規(guī)則目標(biāo)為外部,并且單擊“應(yīng)用”。設(shè)置完畢后,企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)即可訪問Internet網(wǎng)站。如果想讓內(nèi)網(wǎng)訪問其它類型服務(wù)如FTP,只需要在該規(guī)則中協(xié)議中添加相關(guān)協(xié)議即可。

        3.2 實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部的訪問

        某企業(yè)根據(jù)企業(yè)需求,選擇了ISA Server 2006作為防火墻,企業(yè)拓?fù)鋱D如圖3-2所示,為三向外圍結(jié)

        圖3-2 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

        構(gòu):企業(yè)內(nèi)部網(wǎng)絡(luò)為活動(dòng)目錄域模式,網(wǎng)絡(luò)DMZ區(qū)域中的Web需要被外部訪問,內(nèi)網(wǎng)中的Exchange Server也需要被外部訪問,同時(shí)ISA Server還承擔(dān)了VPN服務(wù)角色,要求域用戶中的市場部員工能通過該VPN登錄到公司內(nèi)網(wǎng)。企業(yè)網(wǎng)絡(luò)IP地址規(guī)劃如下:內(nèi)網(wǎng)IP地址網(wǎng)段為10.1.0.0/16,DMZ區(qū)域IP地址網(wǎng)段為192.168.1.0/24,ISA服務(wù)器外網(wǎng)卡IP地址由ISP分配。本方案就是具體來說如何實(shí)現(xiàn)這一需求。

        部署過程如下:

        (1)在ISA服務(wù)器上安裝ISA Server 2006,然后根據(jù)“3向外圍網(wǎng)絡(luò)”模板向?qū)нM(jìn)行設(shè)置,設(shè)置過程中會(huì)自動(dòng)創(chuàng)建外圍網(wǎng)絡(luò),并且修改名為“外圍配置”的網(wǎng)絡(luò)規(guī)則關(guān)系為“路由”,修改名為“外圍訪問”的網(wǎng)絡(luò)規(guī)則關(guān)系為“NAT”;

        (2)創(chuàng)建Internet訪問規(guī)則,使得內(nèi)網(wǎng)用戶能訪問Internet,具體配置與“3.1實(shí)現(xiàn)對(duì)Internet的訪問”中的配置相同;

        (3)創(chuàng)建Exchange Web客戶端訪問發(fā)布規(guī)則來發(fā)布位于公司內(nèi)網(wǎng)中的Exchange Server;

        (4)創(chuàng)建網(wǎng)絡(luò)發(fā)布規(guī)則發(fā)布位于DMZ區(qū)中的Web服務(wù)器;

        (5)創(chuàng)建RADIUS服務(wù)器:在活動(dòng)目錄域內(nèi)網(wǎng)的某臺(tái)服務(wù)器(已加入域)上創(chuàng)建Internet驗(yàn)證服務(wù),并且創(chuàng)建RADIUS客戶端,該客戶端IP地址指向ISA服務(wù)器的內(nèi)網(wǎng)IP地址,并設(shè)置“共享的機(jī)密”;

        (6)創(chuàng)建VPN服務(wù)器:在“虛擬專用網(wǎng)絡(luò)(VPN)”中選擇“VPN客戶端”,在“任務(wù)欄”中先定義地址分配,由于本企業(yè)網(wǎng)需求中要求活動(dòng)目錄域中的市場部員工能登陸該VPN服務(wù)器,所以需要設(shè)置RADIUS服務(wù)器IP及“共享的機(jī)密”(要求與步驟5中的設(shè)置的一致),然后“配置VPN客戶端訪問”設(shè)置“組”為市場部,最后“啟用VPN客戶端訪問”;

        (7)授予市場部員工的撥入權(quán)限:在活動(dòng)目錄域服務(wù)器上打開“Active Directory用戶和計(jì)算機(jī)”為市場部員工逐一授予“允許撥入”的權(quán)限。

        至此創(chuàng)建完畢。

        4.結(jié)束語

        ISA Server作為企業(yè)級(jí)軟件防火墻,其引擎工作在操作系統(tǒng)的內(nèi)核模式,能對(duì)應(yīng)用層數(shù)據(jù)包進(jìn)行篩選,并且通過緩存的技術(shù)及多臺(tái)ISA Server形成陣列來實(shí)現(xiàn)負(fù)載均衡及故障轉(zhuǎn)移,能很好地保障企業(yè)整體網(wǎng)絡(luò)安全及內(nèi)外網(wǎng)互訪速度。特別是對(duì)于一些部署了活動(dòng)目錄域及Exchange郵箱服務(wù)的大中型企業(yè),極大方便了域中某些用戶對(duì)VPN的訪問。另外,隔離的VPN客戶端也是很有應(yīng)用前景的技術(shù)。

        [1]顧武雄.Microsoft ISA Server 2004系統(tǒng)安全管理寶典[M].中國鐵道出版社,2007.

        [2]微軟公司.網(wǎng)絡(luò)服務(wù)架構(gòu)實(shí)現(xiàn)和管理--以Windows Server 2003為例[M].高等教育出版社,2005.

        [3]劉淵等.因特網(wǎng)防火墻技術(shù)[M].機(jī)械工業(yè)出版社,1998.

        猜你喜歡
        網(wǎng)卡IP地址防火墻
        在DDS 中間件上實(shí)現(xiàn)雙冗余網(wǎng)卡切換的方法
        鐵路遠(yuǎn)動(dòng)系統(tǒng)幾種組網(wǎng)方式IP地址的申請(qǐng)和設(shè)置
        構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
        Server 2016網(wǎng)卡組合模式
        基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
        黑龍江電力(2017年1期)2017-05-17 04:25:16
        挑戰(zhàn)Killer網(wǎng)卡Realtek網(wǎng)游專用Dragon網(wǎng)卡
        下一代防火墻要做的十件事
        筑起網(wǎng)吧“防火墻”
        中國火炬(2010年10期)2010-07-25 07:43:49
        真正強(qiáng)力四大防火墻
        巧識(shí)劣質(zhì)水晶頭
        天下第二社区在线视频| 欧美一性一乱一交一视频| 青青操视频手机在线免费观看| 日韩AV无码一区二区三| 国产成人精品无码一区二区老年人| 99在线视频这里只有精品伊人| 人妻少妇精品一区二区三区| 无码人妻久久一区二区三区蜜桃| 久久精品国产亚洲av日韩精品 | 日本50岁丰满熟妇xxxx| 蜜桃视频在线看一区二区三区 | 国产自产21区激情综合一区| 丝袜AV在线一区二区三区| 日本高清视频xxxxx| 黑人老外3p爽粗大免费看视频| 在线亚洲精品一区二区三区| 揄拍成人国产精品视频肥熟女| 最近中文字幕视频高清| 中国人妻与老外黑人| 亚洲av毛片在线免费观看| 国产一区二区三区在线观看免费版| 日韩AV无码一区二区三不卡| 婷婷综合缴情亚洲| 精品久久香蕉国产线看观看亚洲| 国产精品国产三级国产av品爱| 亚洲hd高清在线一区二区| 蜜桃视频中文在线观看| 激情综合一区二区三区| 成人试看120秒体验区| 精品露脸熟女区一粉嫩av| 91亚洲夫妻视频网站| 青青青国产免A在线观看| 无码一区二区三区AV免费换脸| 亚洲av无码第一区二区三区| 精品久久久久久成人av| 亚洲熟妇av一区二区三区| 国语对白精品在线观看| 97超碰中文字幕久久| 白白青青视频在线免费观看| 国模无码视频专区一区| 大地资源网更新免费播放视频|