張睿 衛(wèi)志華 李雪梅

【摘要】 隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展，企業(yè)網(wǎng)絡(luò)面臨越來越多的應(yīng)用和挑戰(zhàn)，而防火墻技術(shù)是企業(yè)內(nèi)部網(wǎng)絡(luò)和外部Internet網(wǎng)絡(luò)溝通和交流的關(guān)鍵。本文通過介紹企業(yè)復(fù)雜網(wǎng)絡(luò)環(huán)境中應(yīng)用ISA防火墻技術(shù)的實(shí)現(xiàn)，分析了該技術(shù)的特點(diǎn)和優(yōu)勢，說明其在企業(yè)多重網(wǎng)絡(luò)信息管理中的實(shí)際意義。

【關(guān)鍵詞】 ISA 防火墻 多重網(wǎng)絡(luò)

ISA firewall technology in the enterprise application of multi-networking

Abstract： With the continuous development of network information technology， enterprise network is facing more and more applications and challenges， and firewall technology is the key to communication and communication between the internal network and the external Internet network. This paper introduces the realization of ISA firewall technology in the complex network environment， analyzes the characteristics and advantages of the technology， and explains its practical significance in the multi network information management.

Key Words：ISA； Firewall； Multi-networking

引言

對(duì)現(xiàn)代企業(yè)而言，互聯(lián)網(wǎng)已成為一個(gè)不可或缺的平臺(tái)，經(jīng)過幾十年的發(fā)展，Internet已將幾乎所有企業(yè)網(wǎng)絡(luò)直接或間接的聯(lián)接起來。在這個(gè)無處不在的網(wǎng)絡(luò)體系中，從使用范圍和安全角度來劃分，企業(yè)網(wǎng)絡(luò)的應(yīng)用一般可分為內(nèi)部網(wǎng)絡(luò)（Internal network）和外部網(wǎng)絡(luò)（External network）應(yīng)用。通過防火墻、路由器等軟硬件措施可保障各個(gè)應(yīng)用的安全運(yùn)行和相互聯(lián)系。隨著我國信息化進(jìn)程的進(jìn)一步加快，企業(yè)網(wǎng)絡(luò)應(yīng)用的環(huán)境也變得日益復(fù)雜、多樣和多變。許多企業(yè)需要通過Internet連接總公司網(wǎng)絡(luò)、各地分公司網(wǎng)絡(luò)、外地VPN（虛擬專用網(wǎng)絡(luò)）客戶端、DMZ（屏蔽子網(wǎng)絡(luò)）、各種受保護(hù)的專用網(wǎng)絡(luò)（如：電話會(huì)議、視頻會(huì)議網(wǎng)絡(luò)）等，如何將這些網(wǎng)絡(luò)聯(lián)接起來，并且確保網(wǎng)絡(luò)之間傳送數(shù)據(jù)的安全性，成為各級(jí)企業(yè)網(wǎng)絡(luò)管理人員所要解決的問題。也就是說，隨著業(yè)務(wù)規(guī)模的日益擴(kuò)大和應(yīng)用需求的不斷增多，原本形式單一的企業(yè)網(wǎng)絡(luò)面臨復(fù)雜多重網(wǎng)絡(luò)環(huán)境的挑戰(zhàn)。

一、多重網(wǎng)絡(luò)環(huán)境中的應(yīng)用需求

天華化工機(jī)械及自動(dòng)化研究設(shè)計(jì)院有限公司（天華院）是中國化工集團(tuán)公司旗下重要的集科技、研發(fā)、生產(chǎn)制造為一體的企業(yè)。該院的企業(yè)網(wǎng)絡(luò)與Internet的連接原本是由Windows Server2003提供代理服務(wù)器和防火墻管理，網(wǎng)絡(luò)系統(tǒng)僅滿足于本企業(yè)的Internet/Intranet應(yīng)用需求，提供較單一的內(nèi)網(wǎng)Web、E-mail以及其它網(wǎng)絡(luò)應(yīng)用服務(wù)。該網(wǎng)絡(luò)按照B類私用網(wǎng)絡(luò)編址，在局域網(wǎng)內(nèi)沒有劃分VLAN，僅按照分屬部門的不同劃分了IP地址段。

2012年起，集團(tuán)公司為逐步整合和加強(qiáng)對(duì)子公司的信息管理，統(tǒng)一規(guī)劃了其下屬企業(yè)的網(wǎng)絡(luò)布局，在全國各地為各個(gè)分支機(jī)構(gòu)提供SSL VPN接入服務(wù)，子公司、下屬各企業(yè)通過VPN專線安全的接入化工集團(tuán)內(nèi)部網(wǎng)絡(luò)，訪問集團(tuán)的Protal、OA、集團(tuán)郵箱、ERP、視頻會(huì)議等應(yīng)用系統(tǒng)。

從表1可以看出，根據(jù)新的網(wǎng)絡(luò)規(guī)劃，天華院企業(yè)內(nèi)部網(wǎng)絡(luò)需重新劃分為多個(gè)VLAN，以便為規(guī)范管理不同的設(shè)備、應(yīng)用服務(wù)。同時(shí)，由于管理的需要，院區(qū)內(nèi)不同的研究所、設(shè)計(jì)室和部門，甚至同一部門中的不同個(gè)人因?yàn)槁殑?wù)、職責(zé)的不同，也擁有不盡相同的內(nèi)外網(wǎng)（Intranet/Internet）訪問權(quán)限和對(duì)各類網(wǎng)絡(luò)應(yīng)用的使用權(quán)限，這些權(quán)限務(wù)必能夠通過隨時(shí)根據(jù)需要進(jìn)行調(diào)整和變更。為根據(jù)這些原則能夠方便的管理處于企業(yè)園區(qū)內(nèi)不同樓宇、不同物理節(jié)點(diǎn)上的計(jì)算機(jī)及其使用者，必須由服務(wù)器提供管控手段。另外，由于引入視頻會(huì)議的實(shí)際情況，需要同時(shí)引入兩個(gè)不同運(yùn)營商的網(wǎng)絡(luò)線路，中國電信20M帶寬光纜提供基礎(chǔ)的Internet接入服務(wù)，中國移動(dòng)2M光纜提供專線視頻會(huì)議服務(wù)。整個(gè)網(wǎng)絡(luò)環(huán)境由于應(yīng)用需求的猛增和管理控制的多樣變得愈加復(fù)雜，為網(wǎng)絡(luò)管理部門提出了新的要求和難題。

二、ISA Server的技術(shù)特點(diǎn)

ISA（Internet Security and Acceleration）Server是Microsoft推出的集防火墻、代理服務(wù)器于一身的服務(wù)器端軟件，它同時(shí)有代理服務(wù)器（代理客戶端共享上網(wǎng)）、防火墻（安全連接Internet、安全發(fā)布網(wǎng)絡(luò)內(nèi)各項(xiàng)服務(wù)如Web、FTP、E-mail到Internet上、提供安全的VPN連接）功能。當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet時(shí)，Internet為企業(yè)提供與客戶、合作伙伴和員工連接的機(jī)會(huì)。這種機(jī)會(huì)的存在，同時(shí)也帶來了與安全、性能和管理性等有關(guān)的風(fēng)險(xiǎn)和問題。ISA Server提供了多層企業(yè)防火墻，來幫助防止網(wǎng)絡(luò)資源受到病毒、黑客的攻擊以及未經(jīng)授權(quán)的訪問。ISA的代理服務(wù)器中的“緩存”功能是業(yè)界最好、速度最快的，使得企業(yè)網(wǎng)絡(luò)可以通過從本地提供對(duì)象（而不是通過擁擠的Internet）來節(jié)省網(wǎng)絡(luò)帶寬并提高Web訪問速度。

ISA Server為各種類型的網(wǎng)絡(luò)提供了高級(jí)保護(hù)、易用性和快速、安全的訪問。它尤其適合于保護(hù)需要為不同地域設(shè)置多重防火墻陣列的大型企業(yè)網(wǎng)絡(luò)，通過狀態(tài)信息包檢測、應(yīng)用層過濾、和全面的發(fā)布工具，穿越不同的網(wǎng)絡(luò)層面，保護(hù)您企業(yè)內(nèi)部網(wǎng)絡(luò)的應(yīng)用系統(tǒng)、服務(wù)、和數(shù)據(jù)的安全。相對(duì)于其他防火墻解決方案，Microsoft ISAServer的主要優(yōu)勢包括了它的高級(jí)應(yīng)用層檢測和保護(hù)功能，易于使用，提供快速、安全的Internet訪問的能力，分布式防火墻集中管理能力，以及易于與目前的防火墻和 VPN 結(jié)構(gòu)集成的功能。

三、ISA 在多重網(wǎng)絡(luò)中的技術(shù)實(shí)現(xiàn)

天華院原有的網(wǎng)絡(luò)系統(tǒng)即是由Windows Server2003提供簡單Web代理服務(wù)，由于網(wǎng)絡(luò)結(jié)構(gòu)形式比較簡單，僅僅使用二層交換設(shè)備。為在多重網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)新的服務(wù)功能，網(wǎng)絡(luò) 升級(jí)改造并引入了ISA Server企業(yè)版防火墻系統(tǒng)，同時(shí)增加三層交換設(shè)備解決網(wǎng)絡(luò)中的子網(wǎng)劃分問題。

3.1 外圍防火墻

首先，須將ISA Server設(shè)置為整個(gè)企業(yè)網(wǎng)絡(luò)的外圍防火墻（Perimeter Firewall），增加一個(gè)DMZ網(wǎng)絡(luò)區(qū)域來專門放置要發(fā)布的服務(wù)器。也就是說，在這個(gè)架構(gòu)中，ISA Server通過三個(gè)接口將三個(gè)網(wǎng)絡(luò)聯(lián)接起來：內(nèi)部網(wǎng)絡(luò)（Intranet）、互聯(lián)網(wǎng)（Internet）、邊界網(wǎng)絡(luò)（Perimeter network）。其中，邊界網(wǎng)絡(luò)又稱為DMZ（Demilitarized Zone，非軍事區(qū)）或是屏蔽子網(wǎng)絡(luò)（Screened subnet），在這個(gè)區(qū)域?qū)ｉT放一些重要的服務(wù)器。將企業(yè)內(nèi)部的Web、FTP、E-mail CNKI Server等放置在這個(gè)區(qū)域內(nèi)，最重要的作用是這些服務(wù)器不但現(xiàn)在可以服務(wù)于內(nèi)部網(wǎng)絡(luò)，將來可能要通過ISA安全的發(fā)布到互聯(lián)網(wǎng)上。

3.2 通過三層交換實(shí)現(xiàn)VLAN

根據(jù)集團(tuán)公司對(duì)企業(yè)網(wǎng)絡(luò)統(tǒng)一規(guī)劃要求和對(duì)子網(wǎng)分配方案，天華院的企業(yè)網(wǎng)絡(luò)需要重新劃分為多個(gè)VLAN。原有的二層交換機(jī)屬數(shù)據(jù)鏈路層設(shè)備，可以識(shí)別數(shù)據(jù)包中的MAC地址信息，根據(jù)MAC地址進(jìn)行轉(zhuǎn)發(fā)，并將這些MAC地址與對(duì)應(yīng)的端口記錄在自己內(nèi)部的一個(gè)地址表中。盡管基于MAC地址的VLAN能夠在二層交換機(jī)上實(shí)現(xiàn)，但這種方法通常所以這種劃分方法通常適用于小型局域網(wǎng)。是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLAN MAC的地址。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果網(wǎng)絡(luò)日趨擴(kuò)大，用戶日益增多，配置工作是非常累的，而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當(dāng)不容易。因此，有必要引入新的三層交換設(shè)備。三層交換機(jī)就是具有部分路由器功能的交換機(jī)，三層交換機(jī)的最重要目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，所具有的路由功能也是為這目的服務(wù)的，三層交換技術(shù)就是二層交換技術(shù)+三層轉(zhuǎn)發(fā)技術(shù)。在三層交換中可以采用基于端口的VLAN，這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。對(duì)于不同部門需要互訪時(shí)，可通過路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡單，只要將所有的端口都定義為相應(yīng)的VLAN組即可，適合于任何大小的網(wǎng)絡(luò)。

為在資源優(yōu)化的前提下劃分VLAN，天華院的網(wǎng)絡(luò)設(shè)備采用二、三層交換設(shè)備混搭的模式來實(shí)現(xiàn)。將一臺(tái)三層交換機(jī)作為中心交換設(shè)備，院區(qū)內(nèi)其它研究所、設(shè)計(jì)室、部門根據(jù)原有物理位置、工作職責(zé)分配和連接方式的不同劃分為多個(gè)VLAN。

3.3 路由、網(wǎng)絡(luò)規(guī)則

ISA Server作為企業(yè)網(wǎng)絡(luò)的外圍防火墻，其外接口直接通過光纖連到電信的20M固定專線上。所有的內(nèi)部網(wǎng)絡(luò)、服務(wù)器和用戶通過三層交換設(shè)備劃分的VLAN連接ISA的內(nèi)網(wǎng)接口。三層交換缺省路由指向ISA Server，這樣到外網(wǎng)（Internet）的路由就轉(zhuǎn)交給ISA。而ISA Server的內(nèi)網(wǎng)接口與三層交換中的VLAN1（表2）相連，其他的VLAN也需要路由定向。這個(gè)功能的實(shí)現(xiàn)即可以在ISA Server上，也可以在三層交換設(shè)備中通過手工添加靜態(tài)路由來完成。在這當(dāng)中，ISA Server既是VLAN1的網(wǎng)關(guān)，也是整個(gè)企業(yè)內(nèi)網(wǎng)的網(wǎng)關(guān)。

網(wǎng)絡(luò)規(guī)則是ISA Server進(jìn)行訪問控制時(shí)所要考慮的第一要?jiǎng)?wù)，一個(gè)數(shù)據(jù)包通過ISA時(shí)，ISA首先要檢查的就是網(wǎng)絡(luò)規(guī)則。ISA檢查數(shù)據(jù)包時(shí)首先要考慮的就是這個(gè)數(shù)據(jù)包是從哪個(gè)網(wǎng)絡(luò)到哪個(gè)網(wǎng)絡(luò)，這兩個(gè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)規(guī)則是什么?？紤]到多重網(wǎng)絡(luò)環(huán)境的應(yīng)用復(fù)雜性，最適合的網(wǎng)絡(luò)規(guī)則是內(nèi)部到外部均采用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）的方式，盡管ISA還為客戶端提供了防火墻、Web代理兩種模式，而且比NAT的安全性要好，但采用NAT的好處就是兼容性最好，用戶使用簡單，管理維護(hù)方便。于是ISA Server就有一張NAT表，那么不管ISA前面有沒有硬件防火墻，ISA Server都是通過NAT方式出去的，只要把ISA Server外網(wǎng)口的網(wǎng)關(guān)指向?qū)Χ说娜龑釉O(shè)備就好了。需要注意的是，DMZ區(qū)域與內(nèi)部網(wǎng)絡(luò)的規(guī)則是路由方式，這一點(diǎn)必須在ISA Server中與NAT規(guī)則同時(shí)存在。

網(wǎng)絡(luò)規(guī)則一旦確定，對(duì)內(nèi)外網(wǎng)（Intranet/Internet）和各類應(yīng)用系統(tǒng)的訪問規(guī)則和對(duì)不同用戶、使用者的控制策略就非常簡單容易了，由于本身就是軟件系統(tǒng)，ISA的使用界面遠(yuǎn)比其它硬件防火墻的控制操作界面要友好的多，可以根據(jù)用戶管理的需要實(shí)現(xiàn)非常復(fù)雜多樣、層次繁多的控制規(guī)則和策略。

三、應(yīng)用中的安全特性和優(yōu)點(diǎn)

ISA Server是目前世界上最好的路由級(jí)軟件防火墻，ISA Server的核心是多網(wǎng)絡(luò)，它可以讓企業(yè)內(nèi)部網(wǎng)絡(luò)安全、快速的連接到Internet，性能可以和硬件防火墻媲美，并且深層次的應(yīng)用層識(shí)別功能是目前很多基于包過濾的硬件防火墻都不具備的。而它作為企業(yè)多重網(wǎng)絡(luò)的邊緣防火墻，可以有機(jī)的將網(wǎng)絡(luò)中的其它設(shè)備和軟件，如二層交換設(shè)備、三層交換設(shè)備、路由器、DNS、DHCP等結(jié)合起來；而ISA Server對(duì)于安裝的要求非常低，中低端服務(wù)器對(duì)于ISA Server的硬件系統(tǒng)需求都是綽綽有余的，這就能夠最大限度利用企業(yè)的既有資源。

同時(shí)作為軟件防火墻，它的擴(kuò)展性遠(yuǎn)遠(yuǎn)高于一些硬件防火墻，對(duì)于制定和配置網(wǎng)絡(luò)規(guī)則、系統(tǒng)策略、管理控制手段都非常靈活多樣，無論網(wǎng)絡(luò)怎樣復(fù)雜多變和不斷擴(kuò)充，用戶如何變更管控規(guī)則和要求，使用ISA Server作為防火墻都能夠應(yīng)付自如。

另外，由于是基于Windows平臺(tái)的軟件防火墻， 它的掌握和使用非常方便，對(duì)于管理者來說，不必熟悉過于復(fù)雜的交換、路由和高級(jí)硬件防火墻技術(shù)，就能夠很快管理和應(yīng)用了。

四、結(jié)束語

通過以上的技術(shù)整合，ISA Server防火墻與三層交換技術(shù)等結(jié)合在一起，共同構(gòu)筑了應(yīng)對(duì)企業(yè)日益發(fā)展的復(fù)雜多重網(wǎng)絡(luò)環(huán)境的有效手段，成功的為企業(yè)網(wǎng)絡(luò)擴(kuò)充發(fā)展、連接Internet提供了安全、高效的保障。這一系統(tǒng)的應(yīng)用也對(duì)其他企事業(yè)單位改造網(wǎng)絡(luò)系統(tǒng)、擴(kuò)展網(wǎng)絡(luò)應(yīng)用有很好的借鑒和參考意義。

參 考 文 獻(xiàn)

[1] 戴有煒，《ISA Server防火墻安裝和管理指南》。

[2] 李劍勇，基于ISA Server防火墻的典型應(yīng)用，科學(xué)咨詢（科技管理），2012（3）。

[3] 賀武征，基于ISA的上網(wǎng)行為分析與應(yīng)用，天津大學(xué)，2012。