第一学期课程
第八章 ISA 2006安装和配置
—— 理论部分
内容回顾
网络安全有哪些特性?
常见的网络攻击方式有哪些?
如何进行主机安全防护?
网络安全的特性:机密性、完整性、可用性、可控性、可审查性
常见网络攻击方式:端口扫描、安全漏洞攻击、口令入侵、木马程序、电子邮件攻击、Dos攻击。
主机安全防护:物理安全防护、主机安全防护、应用程序和服务安全防护
技能展示
理解防火墙的体系结构和工作原理
理解ISA Server 2006的主要功能
理解ISA Server 2006的版本
掌握ISA Server 2006的安装和配置
掌握ISA客户端的配置
教员简单介绍本章的技能展示(目标)。
本章结构
教员介绍本章大致内容,强调红色字体的是重点内容。
本章的总体思路是:防火墙基础知识->ISA 2006概述->安装ISA 2006->配置ISA 2006客户端
防火墙概述
什么是防火墙
防火墙的主要功能
防火墙分类
防火墙体系结构
常见防火墙简介
引入:上一章介绍了网络安全的概念、特性、网络攻击方式和单主机安全防护。本章将介绍如何使用防火墙实现整个网络的安全。
教师介绍本小节概述,简单介绍即可,不要详细介绍。
什么是防火墙
网络防火墙是指隔离本地网络和外界网络的安全防御系统
防火墙已成为网络安全中最重要的防护设施,它是保护网络并连接网络到外部的最有效方法
教员介绍防火墙概念时可以结合PPT中的图来介绍,显得更直观。
防火墙的主要功能
强化安全策略
记录用户上网活动
隐藏用户站点或网络拓扑
安全策略的检查
防火墙的分类
包过滤型防火墙:工作在OSI参考模型的网络层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过
引入:根据防火墙工作方式的不同,防火墙大致可以分为:包过滤防火墙、代理型防火墙、状态检测防火墙。下面首先介绍包过滤防火墙的特性。
扩展内容:
(1)在路由器中配置ACL就可以实现包过滤防火墙的功能,但不推荐这么做,因为这会降低路由器的性能
(2)包过滤防火墙的缺点:由于其只能根据源地址、目的地址、端口过滤数据包,因此不能查看数据包的内容,不能对某些含有威险内容的数据包实施过滤。
防火墙的分类
代理型防火墙:主要工作在OSI的应用层。代理服务在确认客户端连接请求有效后接管连接,代为向服务器发出连接请求
代理型防火墙可以允许或拒绝特定的应用程序或服务,还可以实施数据流监控、过滤、记录和报告功能
为了使学员更好地理解代理型防火墙的特点,教员最好结合PPT中的拓扑图进行介绍。图中的ISA防火墙即为代理型防火墙,它具有转发内外网数据包,监控、过滤、记录进出的数据的功能。另外,其缓存功能还可以加快内网访问外网的速度。ISA 2006就是一款代理型防火墙。
另外,教员也可以特别归纳一下代理型防火墙的特点:主要工作在应用层(也可以处理其他层的信息,如传输层、网络层)、可以对特定应用程序或服务进行过滤、具有缓存功能。
防火墙的分类
代理服务器通常具有高速缓存功能
代理型防火墙的最大缺点是速度较慢
防火墙的分类
状态检测型防火墙:可以动态地根据实际应用需求,自动生成或删除包过滤规则
这种防火墙不但能根据数据包的源地址、目标地址、协议类型、源端口、目标端口等对数据包进行控制,而且能记录通过防火墙的连接状态,直接对包里的数据进行处理
状态检测防火墙具有一定的智能,能根据实际情况动态生成包过滤规则、能记录进出的连接状态,强调其智能性。
防火墙的分类
状态检测型防火墙:
介绍完三种防火墙后,教师需要对三种防火墙作一下对比:
(1)包过滤防火墙:工作在网络层,通过源IP地址、目标IP地址、端口进行过滤,不能根据数据包的具体内容进行过滤。
(2)代理型防火墙:工作在应用层,可以对特定的应用程序和服务进行过滤,具有缓存功能。
(3)状态检测型防火墙:具有一定的智能,可以自动生成防火墙规则和记录连接状态。
介绍完以上三种防火墙后,教师也可以从硬件防火墙和软件防火墙的角度对防火墙作一下对比:
(1)硬件防火墙实际上是软硬件结合体(表面是硬件设备,但其中运行了操作系统或相关软件),其特点是效率高、配置复杂。
(2)软件防火墙是纯软件,需要安装在特定的计算机上。其运行效率比硬件防火墙低,但配置起来相对简单。
(3)在选择防火墙产品时可以根据具体的网络需求来选择,而不一定是硬件或软件产品。
防火墙体系结构
双宿主堡垒主机:
引入:前面介绍了防火墙的分类及特点。下面介绍在企业网中如何放置防火墙,即防火墙的体系结构。
双宿主保垒主机防火墙多应用于网络结构较简单的网络环境中。多数中小型企业的防火墙拓扑都采用这种形式。
防火墙体系结构
三宿主堡垒主机:
与前一种体系结构相比,三宿主保垒主机多了一个DMZ区,该区通常放置一些供外网访问的服务器,如Web服务器、邮件服务器等。DMZ区的安全等级比内网要低一些。许多中大型网络多采用这种结构。
防火墙体系结构
背靠背连接:
教员应强调背靠背连接为网络提供了双重保护。
常见的防火墙简介
NetScreen 系列防火墙
是一种硬件防火墙。它集成了防火墙、VPN、入侵检测和流量管理功能,可以无缝地部署到任何网络,而且管理起来非常容易
Cisco ASA 5500系列防火墙
是一种硬件防火墙。它集成了多种安全技术和VPN技术,提供了丰富的应用安全、Anti-x防御、网络控制和抑制,以及安全连接等特性,可以最大限度地为企业提供安全防御
引入:前面从理论角度介绍了防火墙的分类。下面介绍一下目前市场中常见的防火墙产品,使大家在实际组网时可以根据实际情况时行选择。接下来教师介绍常见的防火墙产品及特点。
常见的防火墙简介
天融信防火墙
天融信网络卫士防火墙属于国产硬件防火墙,它集成了防火墙、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵检测、内容过滤等多种安全功能
Check Point防火墙
是世界上应用较广泛的防火墙之一,该产品包含了防火墙、入侵防御、防间谍软件、网络应用防毒、VoIP安全、Web过滤、URL过滤等技术,是一款安全性极高的防火墙
常见的防火墙简介
ISA Server 2004/2006
是微软推出的面向企业级应用的高级应用层防火墙,融合了状态检测和代理型防火墙的特点。ISA防火墙 可以为各种类型的网络提供高级保护和快速、安全的Internet访问
在介绍完目前常见的防火墙后,教师可以给学员推荐将来工作中使用哪种防火墙。硬件防火墙可以推荐天融信和ASA,软件防火墙推荐ISA 2006。另外,教师也可以给学员留作业,让学员去电子卖场询问目前市场中各种防火墙的主要功能、价格等。
ISA Server 2006功能概述
ISA Server 2006功能概述
Internet防火墙
安全服务器发布
Web缓存服务器
引入:前面介绍了许多防火墙的相关内容,下面介绍一下实际的防火墙是如何应用的。本课程主要介绍微软的ISA 2006防火墙,因为该防火墙功能强大,配置简单,而且与微软的Windows的兼容性非常好。接下来教员介绍ISA 2006防火墙的主要功能。
在介绍完ISA 2006的主要功能后,教师也可以简单介绍一下其与ISA2004相比存在哪些变化:
(1)ISA 2006增加了对Sharepoint站点的发布功能,并对Exchange OWA客户端进行了修改,可以支持多种版本的Exchange服务器。
(3)ISA 2006增加了对LDAP身份验证的支持。
(3)ISA 2006增加了服务器场的概念,可以同时发布多台Web服务器。
(4)ISA 2006可以在发布服务器时,针对不同的IP地址绑定不同的服务器证书。
(5)ISA 2006简化了ISA 2004中站点到站点VPN的配置步骤。
(6)ISA 2006集成了ISA 2004 SP2所提供的BITS缓存、HTTP压缩支持和基于DifferServ协议的QoS功能,同时极大地强化了抵御拒绝服务攻击的能力。
ISA Server 2006版本
ISA Server 2006标准版
为小型企业、工作组和部门环境提供企业级防火墙和Web缓存的能力
ISA Server 2006企业版
用于大容量Internet通信环境,提供了集中式服务器管理、多级访问策略、服务器阵列群集,以及容错能力等。功能更强大,部署更复杂
目前ISA防火墙的最新版本是TMG(Threat Management Gateway),即ISA 2008。TMG可以部署在Windows 2008平台上,而ISA 2006不行。
在介绍两种防火墙的不同时,教员可以强调企业防火墙的阵列和容错优势。
小结
请思考:
防火墙主要分为哪几类,各有何特点?
防火墙体系结构有哪几类,分别用于何种场合?
ISA 2006主要包括哪些功能?
防火墙的分类及特点:
(1)包过滤防火墙:工作在网络层,通过源IP地址、目标IP地址、端口进行过滤,不能根据数据包的具体内容进行过滤。
(2)代理型防火墙:工作在应用层,可以对特定的应用程序和服务进行过滤,具有缓存功能。
(3)状态检测型防火墙:具有一定的智能,可以自动生成防火墙规则和记录连接状态。
防火墙的体系结构:
(1)双宿主保垒主机,用于小型企业。
(2)三宿主保垒主机,用于有对外提供服务器的网络环境。
(3)背靠背连接:用于需要提供双重保护的环境。
ISA 2006的主要功能:
(1)Internet防火墙
(2)安全服务器发布
(3)Web缓存服务器
规划ISA Server 2006的安装
ISA Server 2006安装注意事项
综合解决方案
引入:介绍了ISA 2006的版本后,下面来看一下如何在企业网中安装ISA 2006防火墙。首先介绍安装注意事项,然后介绍综合解决方案。
ISA Server 2006安装注意事项
ISA硬件要求:
综合解决方案
小型企业解决方案
对于小型企业而言,ISA 2006可以放在公司局域网和Internet之间
在小型企业中,ISA防火墙部署在公司局域网和Internet之间。其中ISA 防火墙安装比网卡,一个连接外部(配置公网IP地址),一个连接内部(配置私网IP地直)。
综合解决方案
中型企业解决方案
在中型网络中,可以部署成三宿主机外围网络形式
中型企业网中的防火墙部署中,ISA安装三块网卡,分别连接内部、外部和DMZ区。其中DMZ区放置对外网提供服务的服务器,如Web、Mail服务器等。
安装ISA Server 2006
ISA Server 2006的组件
阵列:是对一组ISA 2006服务器的统一管理方式。阵列中所有服务器共享同样的配置
配置存储服务器:用于存储企业中全部阵列的配置信息,是ISA组件中最重要的部分
ISA服务器服务:运行防火墙、VPN和缓存服务的ISA服务器
ISA服务器管理:用于管理企业和阵列成员的管理终端
域环境安装ISA 2006
ISA 2006安装拓扑:
教员需要特别强调ISA计算机需要安装两块网卡。
域环境安装ISA 2006
安装ISA 2006
教员需要事先准备好ISA 2006的安装程序。在安装时,需要在计算机上安装两块网卡。
在完成安装后,教员可以给学员展示ISA的管理界面。另外,教员需要强调,安装ISA防火墙后,外网将不能访问内网。
安装ISA 2006客户端
ISA 2006支持以下3种类型的客户端:
Firewall Client
SecureNAT Client
Web Proxy Client
引入:介绍完ISA服务器的安装后,接下来介绍如何配置ISA 2006客户端。ISA 2006支持3种类型的客户端。
3种客户端的比较
名读解释:
(1)Winsock是Windows下的网络编程接口,主要用于开发Windows平台的应用程序。
(2)Gopher是Internet上的一种信息查询系统,它将Internet上的文件组成某种索引,以方便用户查找。目前这种协议已经很少用了。
教师应强调推荐使用Firewall客户端,因为该种客户端可以充分发挥ISA 防火墙的功能。
配置SecureNAT Client
SecureNAT Client不需要安装特定软件,但必须正确设置默认网关地址
在介绍NAT客户端配置时,教师需要强调对于简单网络,客户端的默认网关地址设置为ISA计算机内网卡的地址,而对于复杂网络(客户端与ISA计算机之间连接有路由器),默认网关设置为与客户端计算机所在网段相连的路由器的接口的地址。
配置Firewall Client
Firewall Client是安装并启用防火墙客户端软件的计算机
防火墙客户端可以把Windows用户信息发送给ISA Server,提供身验证功能
如果希望最大化ISA的功能,最好使用Firewall Client
配置Firewall Client
安装Firewall Client
配置Web Proxy Client
Web Proxy Client不需要安装任何的软件,只要将客户端计算机上的代理设置为ISA Server内网卡的地址,同时指定端口号
总结
教师总结本章内容,也可以提问以下问题进行总结:
防火墙主要分为哪几类,各有何特点?
防火墙体系结构有哪几类,分别用于何种场合?
ISA 2006主要包括哪些功能?
ISA客户端有几种类型,有何区别?
第一学期课程
第八章 ISA 2006安装和配置
—— 上机部分
实验案例1:在域环境中部署ISA 2006
需求描述:
安装ISA Server
2006
配置ISA客户端
阶段一:指导子阶段
教师介绍案例需求。
教师告知学员先安装两台虚拟机,一台充当ISA计算机,一台充当ISA客户端。
实验案例1:在域环境中部署ISA 2006
阶段划分:
阶段一:安装ISA Server 2006
阶段二:配置ISA 2006客户端
阶段一:指导子阶段(续)
教师介绍阶段划分。划分阶段的目和是更好的控制实验进度。
阶段一:安装ISA Server 2006
实现思路:
配置网络参数
将ISA 2006计算机加入域
安装配置存储服务器和ISA服务器服务
熟悉ISA 2006企业版操作界面
学员练习:
阶段一:指导子阶段(续)
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
阶段二:配置ISA 2006客户端
实现思路:
将计算机配置为防火墙客户端
将计算机配置为代理客户端
将计算机配置为NAT客户端
学员练习:
阶段一:指导子阶段
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
网络安全的特性:机密性、完整性、可用性、可控性、可审查性
常见网络攻击方式:端口扫描、安全漏洞攻击、口令入侵、木马程序、电子邮件攻击、Dos攻击。
主机安全防护:物理安全防护、主机安全防护、应用程序和服务安全防护
教员简单介绍本章的技能展示(目标)。
教员介绍本章大致内容,强调红色字体的是重点内容。
本章的总体思路是:防火墙基础知识->ISA 2006概述->安装ISA 2006->配置ISA 2006客户端
引入:上一章介绍了网络安全的概念、特性、网络攻击方式和单主机安全防护。本章将介绍如何使用防火墙实现整个网络的安全。
教师介绍本小节概述,简单介绍即可,不要详细介绍。
教员介绍防火墙概念时可以结合PPT中的图来介绍,显得更直观。
引入:根据防火墙工作方式的不同,防火墙大致可以分为:包过滤防火墙、代理型防火墙、状态检测防火墙。下面首先介绍包过滤防火墙的特性。
扩展内容:
(1)在路由器中配置ACL就可以实现包过滤防火墙的功能,但不推荐这么做,因为这会降低路由器的性能
(2)包过滤防火墙的缺点:由于其只能根据源地址、目的地址、端口过滤数据包,因此不能查看数据包的内容,不能对某些含有威险内容的数据包实施过滤。
为了使学员更好地理解代理型防火墙的特点,教员最好结合PPT中的拓扑图进行介绍。图中的ISA防火墙即为代理型防火墙,它具有转发内外网数据包,监控、过滤、记录进出的数据的功能。另外,其缓存功能还可以加快内网访问外网的速度。ISA 2006就是一款代理型防火墙。
另外,教员也可以特别归纳一下代理型防火墙的特点:主要工作在应用层(也可以处理其他层的信息,如传输层、网络层)、可以对特定应用程序或服务进行过滤、具有缓存功能。
状态检测防火墙具有一定的智能,能根据实际情况动态生成包过滤规则、能记录进出的连接状态,强调其智能性。
介绍完三种防火墙后,教师需要对三种防火墙作一下对比:
(1)包过滤防火墙:工作在网络层,通过源IP地址、目标IP地址、端口进行过滤,不能根据数据包的具体内容进行过滤。
(2)代理型防火墙:工作在应用层,可以对特定的应用程序和服务进行过滤,具有缓存功能。
(3)状态检测型防火墙:具有一定的智能,可以自动生成防火墙规则和记录连接状态。
介绍完以上三种防火墙后,教师也可以从硬件防火墙和软件防火墙的角度对防火墙作一下对比:
(1)硬件防火墙实际上是软硬件结合体(表面是硬件设备,但其中运行了操作系统或相关软件),其特点是效率高、配置复杂。
(2)软件防火墙是纯软件,需要安装在特定的计算机上。其运行效率比硬件防火墙低,但配置起来相对简单。
(3)在选择防火墙产品时可以根据具体的网络需求来选择,而不一定是硬件或软件产品。
引入:前面介绍了防火墙的分类及特点。下面介绍在企业网中如何放置防火墙,即防火墙的体系结构。
双宿主保垒主机防火墙多应用于网络结构较简单的网络环境中。多数中小型企业的防火墙拓扑都采用这种形式。
与前一种体系结构相比,三宿主保垒主机多了一个DMZ区,该区通常放置一些供外网访问的服务器,如Web服务器、邮件服务器等。DMZ区的安全等级比内网要低一些。许多中大型网络多采用这种结构。
教员应强调背靠背连接为网络提供了双重保护。
引入:前面从理论角度介绍了防火墙的分类。下面介绍一下目前市场中常见的防火墙产品,使大家在实际组网时可以根据实际情况时行选择。接下来教师介绍常见的防火墙产品及特点。
在介绍完目前常见的防火墙后,教师可以给学员推荐将来工作中使用哪种防火墙。硬件防火墙可以推荐天融信和ASA,软件防火墙推荐ISA 2006。另外,教师也可以给学员留作业,让学员去电子卖场询问目前市场中各种防火墙的主要功能、价格等。
引入:前面介绍了许多防火墙的相关内容,下面介绍一下实际的防火墙是如何应用的。本课程主要介绍微软的ISA 2006防火墙,因为该防火墙功能强大,配置简单,而且与微软的Windows的兼容性非常好。接下来教员介绍ISA 2006防火墙的主要功能。
在介绍完ISA 2006的主要功能后,教师也可以简单介绍一下其与ISA2004相比存在哪些变化:
(1)ISA 2006增加了对Sharepoint站点的发布功能,并对Exchange OWA客户端进行了修改,可以支持多种版本的Exchange服务器。
(3)ISA 2006增加了对LDAP身份验证的支持。
(3)ISA 2006增加了服务器场的概念,可以同时发布多台Web服务器。
(4)ISA 2006可以在发布服务器时,针对不同的IP地址绑定不同的服务器证书。
(5)ISA 2006简化了ISA 2004中站点到站点VPN的配置步骤。
(6)ISA 2006集成了ISA 2004 SP2所提供的BITS缓存、HTTP压缩支持和基于DifferServ协议的QoS功能,同时极大地强化了抵御拒绝服务攻击的能力。
目前ISA防火墙的最新版本是TMG(Threat Management Gateway),即ISA 2008。TMG可以部署在Windows 2008平台上,而ISA 2006不行。
在介绍两种防火墙的不同时,教员可以强调企业防火墙的阵列和容错优势。
防火墙的分类及特点:
(1)包过滤防火墙:工作在网络层,通过源IP地址、目标IP地址、端口进行过滤,不能根据数据包的具体内容进行过滤。
(2)代理型防火墙:工作在应用层,可以对特定的应用程序和服务进行过滤,具有缓存功能。
(3)状态检测型防火墙:具有一定的智能,可以自动生成防火墙规则和记录连接状态。
防火墙的体系结构:
(1)双宿主保垒主机,用于小型企业。
(2)三宿主保垒主机,用于有对外提供服务器的网络环境。
(3)背靠背连接:用于需要提供双重保护的环境。
ISA 2006的主要功能:
(1)Internet防火墙
(2)安全服务器发布
(3)Web缓存服务器
引入:介绍了ISA 2006的版本后,下面来看一下如何在企业网中安装ISA 2006防火墙。首先介绍安装注意事项,然后介绍综合解决方案。
在小型企业中,ISA防火墙部署在公司局域网和Internet之间。其中ISA 防火墙安装比网卡,一个连接外部(配置公网IP地址),一个连接内部(配置私网IP地直)。
中型企业网中的防火墙部署中,ISA安装三块网卡,分别连接内部、外部和DMZ区。其中DMZ区放置对外网提供服务的服务器,如Web、Mail服务器等。
教员需要特别强调ISA计算机需要安装两块网卡。
教员需要事先准备好ISA 2006的安装程序。在安装时,需要在计算机上安装两块网卡。
在完成安装后,教员可以给学员展示ISA的管理界面。另外,教员需要强调,安装ISA防火墙后,外网将不能访问内网。
引入:介绍完ISA服务器的安装后,接下来介绍如何配置ISA 2006客户端。ISA 2006支持3种类型的客户端。
名读解释:
(1)Winsock是Windows下的网络编程接口,主要用于开发Windows平台的应用程序。
(2)Gopher是Internet上的一种信息查询系统,它将Internet上的文件组成某种索引,以方便用户查找。目前这种协议已经很少用了。
教师应强调推荐使用Firewall客户端,因为该种客户端可以充分发挥ISA 防火墙的功能。
在介绍NAT客户端配置时,教师需要强调对于简单网络,客户端的默认网关地址设置为ISA计算机内网卡的地址,而对于复杂网络(客户端与ISA计算机之间连接有路由器),默认网关设置为与客户端计算机所在网段相连的路由器的接口的地址。
教师总结本章内容,也可以提问以下问题进行总结:
防火墙主要分为哪几类,各有何特点?
防火墙体系结构有哪几类,分别用于何种场合?
ISA 2006主要包括哪些功能?
ISA客户端有几种类型,有何区别?
阶段一:指导子阶段
教师介绍案例需求。
教师告知学员先安装两台虚拟机,一台充当ISA计算机,一台充当ISA客户端。
阶段一:指导子阶段(续)
教师介绍阶段划分。划分阶段的目和是更好的控制实验进度。
阶段一:指导子阶段(续)
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
阶段一:指导子阶段
教师介绍实现思路。
阶段二:练习子阶段
学员独立完成实验
教师需要提供实验软件
