第一学期课程
第十章 ISA典型应用
—— 理论部分
内容回顾
ISA防火墙包含哪些常用的网络结构?
ISA防火墙包含哪些策略元素?
ISA防火墙包含哪几种策略规则?
ISA的网络结构:内部网络、外部网络、本地主机网络。
ISA防火墙的策略元素:协议、用户、时间、网络、内容元素。
ISA防火墙的策略规则:网络规则、访问规则、服务器发布规则。
技能展示
掌握通过ISA限制Internet访问
掌握发布内部SSL网站
掌握发布内部Exchange SSL OWA
掌握ISA Server系统维护
教员简单介绍本章的技能展示(目标)。
本章结构
教员介绍本章大致内容,强调红色字体的是重点内容。
限制Internet访问
案例:BENET公司所有用户通过ISA防火墙访问Internet。公司希望内网用户只能在9:00-17:00上网,同时不能在线播放音频和视频
引入:上一章介绍了如何配置ISA访问规则和服务器发布规则。本章将介绍ISA的更深层应用:限制Internet访问、发布内部SSL网站、发布Exchange SSL OWA网站。
为顺利完成实验,教员需要按PPT中的网络拓扑建立实验环境。在实验环境中安装4台虚拟机,一台充当域控制器/证书服务器/内网DNS服务器/网站服务器/邮件服务器,一台充当外网DNS服务器,一台充当ISA计算机,一台充当外网客户机。教员也可以将对外提供服务的DNS服务器放在ISA防火墙的外面,这样就不用在ISA上发布DNS服务器了。另外,也可以在外部计算机中通过修改Hosts文件实现域名解析功能。
限制Internet访问
创建访问规则,限制上网时间和访问音频与视频
教员演示建立策略规则的守程。如果ISA Server预定义的内容类型中没有实际需要的类型,用户可以自己定义内容类型。
开放访问内部网络资源
发部内部SSL网站
发布内部Exchange SSL OWA网站
引入:上一章介绍了在ISA中发布普通Web服务器和邮件服务器。某些企业中的Web服务器中可能启用了SSL加密功能,或者希望外部用户可以访问内网的Exchange SSL OWA。由于这些服务器启用了SSL加密,使用普通方法发布服务器是无法使外部用户访问的。接下来介绍如何在ISA中发布这类服务器。
发布内部SSL网站
案例:BENET公司的局域网通过ISA防火墙与外网相连。管理员在ISA防火墙上发布了网站。现在,公司网站中增加一个安全页面,如何使外网用户可以通过https协议访问该安全页面?
教员介绍案例需求。为顺利完成实验,教员需要按PPT中的网络拓扑建立实验环境。在实验环境中安装4台虚拟机,一台充当内网DNS服务器/网站服务器,一台充当外网DNS服务器兼证书服务器,一台充当ISA计算机,一台充当外网客户机。所有计算机的网络参数按拓扑图进行配置。
发布内部SSL网站
在Web站点中建立SEC虚拟目录,并启用SSL
教员需要在Web主目录中建立SEC文件夹,并在其中建立Web页面。然后在IIS管理器中建立虚拟目录,并启用SSL。在本地访问Web网站和SSL页面,确保正常。
发布内部SSL网站
配置对外DNS服务器
配置对内DNS服务器
教员展示DNS服务器的配置。注意:在配置DNS记录时,对外DNS中WWW记录对应的IP地址是ISA计算机外网卡的地址,而不是Web服务器的地址。
发布内部SSL网站
发布DNS服务器
在ISA上发布外部DNS服务器(也可以在外部计算机的hosts文件中增加对应的主机记录)
发布内部SSL网站
建立证书服务器
教员演示建立证书服务器。将证书服务器安装为独立CA。也可以安装为企业CA,但后续的配置会稍有不同。
发布内部SSL网站
在Web服务器上建立证书申请文件
注意:在申请证书时,证书公用名称至关重要,它一定要和外网用户访问网站时所使用的域名完全匹配,如果不匹配,会出现错误提示信息,此处输入“”。
如果向企业CA申请证书,需要选择证书模板类型为“Web服务器”。另外,企业CA会自动发放证书,不需要手动颁发。
发布内部SSL网站
提交证书申请到证书服务器,颁发并下载证书
教员演示将证书申请文件提交到证书服务器。在证书服务器中颁发该证书。如果前面安装的是企业CA,可以不用颁发证书,因为企业CA能自动发放证书。然后在Web服务器上下载证书。
发布内部SSL网站
在Web服务器中安装证书
发布内部SSL网站
让Web服务器和ISA计算机信任CA
下载CA证书链
将证书链文件导入到Web服务器“受信任的根证书颁发机构”
执行同样的步骤,使ISA计算机信任CA
注意:如果上述步骤没有执行,客户端将无法访问网站。
发布内部SSL网站
将网站证书导出存文件
发布内部SSL网站
将网站证书导入到ISA计算机
证书导入成功后,在ISA计算机上使用“”和“
发布内部SSL网站
发布内部SSL网站
发布内部SSL网站
测试网站发布是否成功
如果所有设置都正确,但无法出现正确结果,可以尝试以下操作:
使用“ipconfig /flushdns”清除DNS缓存。
检查是否已将CA证书导入ISA计算机。
发布内部Exchange SSL OWA网站
案例:BENET公司的局域网通过ISA防火墙与外网相连。如何在ISA上发布局域网内部Exchange服务器,使公司员工在外出差时也可以通过OWA方式访问该服务器,收发商业邮件
教员介绍案例需求。为顺利完成实验,教员需要按PPT中的网络拓扑建立实验环境。在实验环境中安装4台虚拟机,一台充当内网DNS服务器/邮件服务器,一台充当外网DNS服务器,一台充当ISA计算机,一台充当外网客户机。
教员在演示该实验时,也可以不架设针对外网的DNS服务器,而是在外网计算机中修改HOSTS文件,实现域名解析功能。这样也不用在ISA上发布DNS服务器了。
发布内部Exchange SSL OWA网站
建立Exchange 2007邮件服务器
安装Exchange 2007,确保用户可以通过OWA方式访问邮件服务器
教员展示建立好的邮件服务器。为节省时间,教师需要事先安装好Exchange 2007邮件服务器。
发布内部Exchange SSL OWA网站
配置DNS服务器(外网DNS)
配置DNS服务器(内网DNS)
教员展示DNS服务器的配置。
发布内部Exchange SSL OWA网站
发布DNS服务器
在ISA防火墙上发布外网DNS
建立证书服务器
以administrator身份登录邮件服务器
安装并配置证书服务器(“企业CA”)
教员演示发布DNS服务器的过程。
教员演示建立证书服务器的过程。在安装证书服务器时选择“企业CA”
发布内部Exchange SSL OWA网站
配置Web服务器证书并导出证书
发布内部Exchange SSL OWA网站
将证书导入ISA服务器
将证书复制到ISA计算机。
将证书导入到ISA计算机
发布内部Exchange SSL OWA网站
配置ISA访问规则
发布内部Exchange SSL OWA网站
建立证书信任
发布内部Exchange SSL OWA网站
发布邮件服务器
发布内部Exchange SSL OWA网站
验证邮件服务器发布
小结
请思考:
简述发布内部SSL网站的主要步骤
简述发布内部Exchange SSL OWA网站的步骤?
发布SSL网站的主要步骤:
(1)配置Web网站。
(2)配置DNS服务器
(3)发布DNS服务器
(4)建立证书服务器。
(5)在Web服务器上建立证书申请文件
(6)提交证书申请在证书服务器
(7)在Web服务器中安装证书。
(8)让Web服务器和ISA计算机信任CA
(9)将网站证书导出存文件
(10)将网站证书导入到ISA计算机
(11)发布SSL网站
(12)测试网站发布是否成功
发布内部Exchange SSL OWA网站的主要步骤:
(1)配置邮件网站。
(2)配置DNS服务器
(3)发布DNS服务器
(4)建立证书服务器。
(5)在Web服务器上建立证书申请文件
(6)提交证书申请在证书服务器
(7)在Web服务器中安装证书。
(8)让Web服务器和ISA计算机信任CA
(9)将网站证书导出存文件
(10)将网站证书导入到ISA计算机
(11)发布OWA网站
(12)测试OWA访问是否成功
ISA系统维护
ISA Server的备份与恢复
ISA Server日志管理
ISA Server警报
ISA Server报告
引入:前面介绍了ISA 2006的典型应用。接下来介绍一下如何恢复ISA服务器,包括ISA的备份和恢复、日志管理、警报、报告等。
ISA Server的备份与恢复
ISA提供了备份与恢复特性,允许保存系统信息,以便在系统失败时能够恢复配置信息
可以备份的内容
整个ISA服务器配置
所有网络,或选定的某个网络
所有网络规则,或选定的某个网络规则
缓存配置中的所有内容下载作业,或选定的一个或多个内容下载作业
整个防火墙策略,或选定的某个规则
…
备份防火墙策略时,默认不能备份系统策略规则。要备份系统策略,可以通过“导出系统策略”任务来完成。
ISA Server的备份与恢复
何时做备份
更改缓存大小或位置
更改防火墙策略
更改规则基础
更改系统规则
更改网络,例如更改网络定义或网络规则
委派管理权限或删除委派
引入:管理员应定期对网络中ISA Server的特定配置进行备份,如本地的应用程序过滤器、性能参数、缓存内容以及日志文件。这些信息ISA Server本身不能备份,但可以通过Windows操作系统的Backup程序来进行备份。
ISA Server的备份与恢复
执行ISA备份
教员演不执行备份的过程。在演示时需要强调:必须是企业管理员或企业审核员才能去备份企业配置。要备份机密信息,必须是企业管理员。由于备份的配置文件包含了敏感信息,所以需要保护该文件的安全。指定强密码,以确保对加密的信息进行适当的保护。如果密码可提供有效的防御功能以防止未授权的访问,则可将该密码视为强密码。
ISA Server的备份与恢复
利用备份恢复ISA配置
ISA Server日志管理
ISA提供了一系列监视工具,用于跟踪网络状态和ISA通讯
ISA的监视功能包括:
警报
会话
服务
报告
连接性
日志
引入:在管理ISA防火墙过程中,需要随时了解ISA的运行情况,为此ISA专门为管理员提供了相关的监视工具。接下来教员介绍监视工具的主要功能。
ISA Server日志管理
ISA日志是对ISA运行情况的记录
日志存储格式
MSDE 数据库
SQL 数据库
文件
引入:在监视ISA时,经常需要看ISA日志。ISA日志是对ISA运行情况的记录。其中包括ISA何时启动,何时停止,ISA服务器运行状况等
ISA Server日志管理
日志内容的设定
编辑筛选器
配置防火墙
日志
配置Web代
理日志
引入:管理员可以设置ISA在日志中记录哪些内容,具体包括编辑筛选器、配置防火墙日志、配置Web代理日志。下面演示具体的实现过程。
(1)编辑筛选器:可以设定主要记录管理员关心的内容。
(2)配置防火墙日志:设置在日志中记录哪些与防火墙有关的字段。
(3)配置Web代理日志:配置日志中记录的Web代理的内容。
ISA Server警报
“警报”用于监视特定事件的发生。如果发生了预先设定的事件,系统会以管理员指定的方式通知管理员采取相应措施
ISA Server警报
创建和配置新警报
ISA Server报告
除了通过日志对安全事件进行追踪,还可以使用ISA报告对ISA事件进行跟踪
ISA报告可以显示的内容:
正在访问站点的用户和正在被访问的站点
目前最常用的协议和应用程序
常规通信模式
缓存比率
引入:ISA的报告功能非常强大,可以把ISA的摘要信息、Web应用状况、应用程序使用状况等集中体现在报告中,使管理员可以一目了然了解ISA的运行状态,非常方便。接下来教员介绍如何生成ISA报告。
ISA Server报告
报告的工作方式
ISA报告机制将ISA的日志组合到每台ISA计算机的数据库中
当创建报告时,会将所有相关的摘要数据库合并成一个报告数据库。报告就是根据这些合并的摘要创建而成的
ISA Server报告
生成报告
ISA Server报告
查看报告
总结
教师总结本章内容,也可以提问以下问题进行总结:
在ISA上发布SSL网站时应注意什么?
在ISA上发布Exchange SSL OWA网站时应注意什么?
第一学期课程
第十章 ISA典型应用
—— 上机部分
实验案例1:限制Internet访问
需求描述:
配置ISA访问规则,使内网用户可以跨过防火墙访问外网,但是不能访问音频和视频的相关内容
阶段一:指导子阶段
教师介绍案例需求。
学员需要建立实验环境。在实验环境中安装3台虚拟机,一台充当内网计算机,一台充当ISA计算机,一台充当外网Web服务器。
实验案例1:限制Internet访问
实现思路:
实验准备(建立实验环境)
配置防火墙策略
学员练习:
阶段一:指导子阶段(续)
教师介绍实现思路,在介绍时应说明如何构建实验环境,完成实验。
阶段二:练习子阶段
学员独立完成实验
实验案例2:发布Exchange SSL OWA
需求描述:
发布内部Exchange 2007邮件服务器,使外网用户可以通过OWA方式访问内网邮件服务器,收发电子邮件
阶段一:指导子阶段
教师介绍案例需求。
学员需要按PPT中的网络拓扑建立实验环境。
在实验环境中安装4台虚拟机,一台充当内网DNS服务器/邮件服务器,一台充当外网DNS服务器,一台充当ISA计算机,一台充当外网客户机。
实验案例2:发布Exchange SSL OWA
实现思路:
实验准备(建立实验环境)
配置发布规则
以OWA方式访问邮件服务器,收发邮件
学员练习:
阶段一:指导子阶段(续)
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
实验案例3:ISA系统维护
需求描述:
备份ISA服务器的配置信息,以便在ISA重装后能顺利恢复原有配置
通过ISA日志了解ISA的运行情况
生成并查看ISA报告,了解ISA的运行状态
阶段一:指导子阶段
教师介绍案例需求。
实验案例3:ISA系统维护
实现思路:
备份ISA的配置信息
利用备份恢复ISA的配置
查看ISA日志,了解ISA运行情况
生成并查看ISA报告,了解ISA运行情况
学员练习:
阶段一:指导子阶段(续)
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
ISA的网络结构:内部网络、外部网络、本地主机网络。
ISA防火墙的策略元素:协议、用户、时间、网络、内容元素。
ISA防火墙的策略规则:网络规则、访问规则、服务器发布规则。
教员简单介绍本章的技能展示(目标)。
教员介绍本章大致内容,强调红色字体的是重点内容。
引入:上一章介绍了如何配置ISA访问规则和服务器发布规则。本章将介绍ISA的更深层应用:限制Internet访问、发布内部SSL网站、发布Exchange SSL OWA网站。
为顺利完成实验,教员需要按PPT中的网络拓扑建立实验环境。在实验环境中安装4台虚拟机,一台充当域控制器/证书服务器/内网DNS服务器/网站服务器/邮件服务器,一台充当外网DNS服务器,一台充当ISA计算机,一台充当外网客户机。教员也可以将对外提供服务的DNS服务器放在ISA防火墙的外面,这样就不用在ISA上发布DNS服务器了。另外,也可以在外部计算机中通过修改Hosts文件实现域名解析功能。
教员演示建立策略规则的守程。如果ISA Server预定义的内容类型中没有实际需要的类型,用户可以自己定义内容类型。
引入:上一章介绍了在ISA中发布普通Web服务器和邮件服务器。某些企业中的Web服务器中可能启用了SSL加密功能,或者希望外部用户可以访问内网的Exchange SSL OWA。由于这些服务器启用了SSL加密,使用普通方法发布服务器是无法使外部用户访问的。接下来介绍如何在ISA中发布这类服务器。
教员介绍案例需求。为顺利完成实验,教员需要按PPT中的网络拓扑建立实验环境。在实验环境中安装4台虚拟机,一台充当内网DNS服务器/网站服务器,一台充当外网DNS服务器兼证书服务器,一台充当ISA计算机,一台充当外网客户机。所有计算机的网络参数按拓扑图进行配置。
教员需要在Web主目录中建立SEC文件夹,并在其中建立Web页面。然后在IIS管理器中建立虚拟目录,并启用SSL。在本地访问Web网站和SSL页面,确保正常。
教员展示DNS服务器的配置。注意:在配置DNS记录时,对外DNS中WWW记录对应的IP地址是ISA计算机外网卡的地址,而不是Web服务器的地址。
教员演示建立证书服务器。将证书服务器安装为独立CA。也可以安装为企业CA,但后续的配置会稍有不同。
注意:在申请证书时,证书公用名称至关重要,它一定要和外网用户访问网站时所使用的域名完全匹配,如果不匹配,会出现错误提示信息,此处输入“”。
如果向企业CA申请证书,需要选择证书模板类型为“Web服务器”。另外,企业CA会自动发放证书,不需要手动颁发。
教员演示将证书申请文件提交到证书服务器。在证书服务器中颁发该证书。如果前面安装的是企业CA,可以不用颁发证书,因为企业CA能自动发放证书。然后在Web服务器上下载证书。
注意:如果上述步骤没有执行,客户端将无法访问网站。
证书导入成功后,在ISA计算机上使用“”和“
如果所有设置都正确,但无法出现正确结果,可以尝试以下操作:
使用“ipconfig /flushdns”清除DNS缓存。
检查是否已将CA证书导入ISA计算机。
教员介绍案例需求。为顺利完成实验,教员需要按PPT中的网络拓扑建立实验环境。在实验环境中安装4台虚拟机,一台充当内网DNS服务器/邮件服务器,一台充当外网DNS服务器,一台充当ISA计算机,一台充当外网客户机。
教员在演示该实验时,也可以不架设针对外网的DNS服务器,而是在外网计算机中修改HOSTS文件,实现域名解析功能。这样也不用在ISA上发布DNS服务器了。
教员展示建立好的邮件服务器。为节省时间,教师需要事先安装好Exchange 2007邮件服务器。
教员展示DNS服务器的配置。
教员演示发布DNS服务器的过程。
教员演示建立证书服务器的过程。在安装证书服务器时选择“企业CA”
将证书复制到ISA计算机。
将证书导入到ISA计算机
发布SSL网站的主要步骤:
(1)配置Web网站。
(2)配置DNS服务器
(3)发布DNS服务器
(4)建立证书服务器。
(5)在Web服务器上建立证书申请文件
(6)提交证书申请在证书服务器
(7)在Web服务器中安装证书。
(8)让Web服务器和ISA计算机信任CA
(9)将网站证书导出存文件
(10)将网站证书导入到ISA计算机
(11)发布SSL网站
(12)测试网站发布是否成功
发布内部Exchange SSL OWA网站的主要步骤:
(1)配置邮件网站。
(2)配置DNS服务器
(3)发布DNS服务器
(4)建立证书服务器。
(5)在Web服务器上建立证书申请文件
(6)提交证书申请在证书服务器
(7)在Web服务器中安装证书。
(8)让Web服务器和ISA计算机信任CA
(9)将网站证书导出存文件
(10)将网站证书导入到ISA计算机
(11)发布OWA网站
(12)测试OWA访问是否成功
引入:前面介绍了ISA 2006的典型应用。接下来介绍一下如何恢复ISA服务器,包括ISA的备份和恢复、日志管理、警报、报告等。
备份防火墙策略时,默认不能备份系统策略规则。要备份系统策略,可以通过“导出系统策略”任务来完成。
引入:管理员应定期对网络中ISA Server的特定配置进行备份,如本地的应用程序过滤器、性能参数、缓存内容以及日志文件。这些信息ISA Server本身不能备份,但可以通过Windows操作系统的Backup程序来进行备份。
教员演不执行备份的过程。在演示时需要强调:必须是企业管理员或企业审核员才能去备份企业配置。要备份机密信息,必须是企业管理员。由于备份的配置文件包含了敏感信息,所以需要保护该文件的安全。指定强密码,以确保对加密的信息进行适当的保护。如果密码可提供有效的防御功能以防止未授权的访问,则可将该密码视为强密码。
引入:在管理ISA防火墙过程中,需要随时了解ISA的运行情况,为此ISA专门为管理员提供了相关的监视工具。接下来教员介绍监视工具的主要功能。
引入:在监视ISA时,经常需要看ISA日志。ISA日志是对ISA运行情况的记录。其中包括ISA何时启动,何时停止,ISA服务器运行状况等
引入:管理员可以设置ISA在日志中记录哪些内容,具体包括编辑筛选器、配置防火墙日志、配置Web代理日志。下面演示具体的实现过程。
(1)编辑筛选器:可以设定主要记录管理员关心的内容。
(2)配置防火墙日志:设置在日志中记录哪些与防火墙有关的字段。
(3)配置Web代理日志:配置日志中记录的Web代理的内容。
引入:ISA的报告功能非常强大,可以把ISA的摘要信息、Web应用状况、应用程序使用状况等集中体现在报告中,使管理员可以一目了然了解ISA的运行状态,非常方便。接下来教员介绍如何生成ISA报告。
教师总结本章内容,也可以提问以下问题进行总结:
在ISA上发布SSL网站时应注意什么?
在ISA上发布Exchange SSL OWA网站时应注意什么?
阶段一:指导子阶段
教师介绍案例需求。
学员需要建立实验环境。在实验环境中安装3台虚拟机,一台充当内网计算机,一台充当ISA计算机,一台充当外网Web服务器。
阶段一:指导子阶段(续)
教师介绍实现思路,在介绍时应说明如何构建实验环境,完成实验。
阶段二:练习子阶段
学员独立完成实验
阶段一:指导子阶段
教师介绍案例需求。
学员需要按PPT中的网络拓扑建立实验环境。
在实验环境中安装4台虚拟机,一台充当内网DNS服务器/邮件服务器,一台充当外网DNS服务器,一台充当ISA计算机,一台充当外网客户机。
阶段一:指导子阶段(续)
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
阶段一:指导子阶段
教师介绍案例需求。
阶段一:指导子阶段(续)
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
