熊建辉 孙桂煌
(1.福州海峡职业技术学院,福建 福州 350014;2.福建工程学院国脉信息学院,福建 福州 350014)
Internet中有这样一种说法:Internet世界的美妙之处在于我可以跟任何人相连,Internet世界的可拍之处因为任何人可以跟我相连。如何有效控制这种连接是每个处于Internet之中的企事业网络必须所面对的,从技术方法上讲防火墙技术是一种行之有效的方法。防火墙既可以分成针对个人用户的个人版和针对企业级应用的企业版;也可以分成硬件型的和软件型的;也有单机型的和网络型的。通常硬件型防火墙价格比较贵,而且在功能上一般只能对处于TCP/IP中的下三层数据进行筛选过滤,配置部署及集成应用时上也显得繁琐和容易出错;软件防火墙速度方面会逊色,但是一般可以针对应用层数据进行筛选。ISA Server作为一款微软公司产品与微软公司的网络操作系统,其集成度高,通过缓存等机制实现了访问速度的提高,通过访问规则和发布规则保障了企业内网和DMZ区域的安全,同时还能很容易地实现虚拟专用网和企业负载均衡等功能,并且与活动目录服务集成方便。本文主要探讨ISA Server的应用研究,并给出了具体的实现方案。
ISA Server的全称为Microsoft Internet Security and Acceleration Server,有两层含义:安全、加速。常见的应用版本有ISA Server 2000、ISA Server 2004、ISA Server 2006,以及最新的TMG2010。本文中主要讨论的是ISA Server 2006企业版,该版本功能实用性高,性能稳定。ISA Server中根据需要可以定义多个网络,如内网、外部、DMZ区域,ISA Server服务器本身也被定义成“本地主机”这个网络,同时还可以根据实际需要定义更多的网络。这些网络之间存在的关系称为网络关系,具体类型有NAT关系、路由关系。NAT关系即网络地址转换关系,一般用在当两个网络间访问时需要发生IP地址转换的场合,如私有IP地址转换为公共IP地址。而路由关系中两个网络间通信的数据是可以直接被路由的而不需要被转换。一般可以理解为NAT关系为单向的,路由关系为双向的。
ISA Server与网络操作系统如Windows Server 2003、Windows Server 2008、Windows Server 2008R2 兼容性好。ISA Server的防火墙引擎就是工作在系统的内核模式。即使ISA Server被攻破了,致使服务器宕机,该防火墙引擎还能有效保障网络信息安全。
在ISA Server中,通过访问规则来实现企业对企业外部服务器的访问。访问规则是防火墙策略的一种,主要用在网络关系为路由关系时实现两个网络间的互访;当网络关系为NAT关系的时候实现两个网络间的单向访问。具体是在定义访问规则时,首先需要确定网络并且确定各网络间的关系,然后可以通过右键单击“防火墙策略”,选择“新建”,再选择“访问规则”,如图2-1所示,然后根据向导分别设置访问规则名称、设置规则操作:允许或拒绝、设置该规则将影响的的协议(数据类型)、设置数据的发起源、设置数据的发起目标以及设置数据请求的发起者(用户集)。规则创建完毕还需要单击“应用”方可生效。
图2-1 新建规则
通过发布规则可以实现外部对企业内部服务器的访问。对于一些中大型企业,通常有自己的服务器需要被Internet用户访问,此时就可以通过发布规则来实现,并且ISA Server中对于微软的相关技术如Exchange制定专门的发布规则,实施起来更加方便。具体在定义发布规则时,通过右键单击“防火墙策略”,选择“新建”,如图2-1所示,在该图中上面5个均为发布规则,并且可以分为两类:Web类型和非Web类型。微软公司为了发布其相关产品如Exchange邮箱、Sharepoint站点等,单独为其产品指定了发布向导。根据需要选择具体某种发布类型,然后同样是按照向导操作即可。对于发布Web类型的服务,还需要创建侦听器。
软件防火墙的突出缺点就是网络访问速度不及硬件防火墙。ISA Server为了克服这一缺点,通过缓存的机制和负载均衡的机制来提高网络访问的速度。
ISA Server中的缓存机制如图2-2、2-3所示,当企业内网中出现第一次访问某一网站时,如图2-2中所示:用户1在内网第一次访问http://www.aaa.com网站,请求首先被发送到ISA Server服务器,然后由ISA Server服务器发送给Internet中的服务器www.aaa.com,www.aaa.com将请求的页面内容发给ISA Server,ISA Server收到内容之后一方面会发送给用户1,另一方面会写入到缓存(服务器硬盘)中去。
图2-2 首次访问某一网站
当企业内网中出现第二次访问该网站时,如图2-3所示:用户2再访问http://www.aaa.com网站,请求同样被发送到ISA Server服务器,然后ISA Server直接会从缓存(服务器硬盘)中读取内容直接返回给用户2。
图2-3 第二次访问某一网站
缓存通常有正向缓存、链式缓存、分布式缓存、反向缓存。正向缓存就是上面讲到的情形:在一定条件下可以提高内网对外网的响应速度;反向缓存与正向缓存相反:缓存的内容为公司内部服务器的内容,可以提高外网对公司内网服务器的响应速度;链式缓存则是,存在多台ISA Server,并且之间形成一个链式的请求;分布式缓存所缓存的内容是分布式地存在于多台服务器中。可通过“配置”列表中的“缓存”来实现,如图2-4所示,可以设置缓存的位置(位于哪个磁盘驱动器)以及缓存规则(缓存的时间多长等等)。
图2-4 设置缓存
负载均衡是通过多台ISA Server构成企业阵列来实现的,阵列中ISA Server共同承担任务,每台ISA Server所承担任务的分量根据CARP属性来设置,如图2-5所示,阵列中主机ID号为2的ISA Server承担50%任务。
图2-5 负载均衡
基于上面的研究和讨论,接下来主要是以企事业单位中常见的应用场景给出具体实现方案。ISA Server部署的详细要求见安装光盘,现在一般服务器都能满足。需要注意的是:服务器需要两张以上的网卡。
某企业根据对各网络安全产品的调研,最终选择了ISA Server 2006作为企业防火墙,企业拓扑图如图3-1所示,内网IP地址为10.1.0.0/16网段,ISA Server含有两张网卡,内网卡地址为10.1.1.1/16,外网卡IP地址由ISP提供(如果为ADSL上网,则不需要设置,开启ADSL链接即可)。本方案就是具体来说如何实现这一需求。
图3-1 某企业网络拓扑图
首先在服务器上安装ISA Server,安装后默认是阻断企业内网对外的一切通信的,而访问Internet是企业的一个根本需求。确保企业内网计算机的网关为ISA Server的内网卡IP地址,为了管理方便可以通过配置企业内部的DHCP服务器来实现。然后创建防火墙策略(访问规则):规则操作选择允许,协议选择DNS、HTTP、HTTPS,访问规则源为内部,访问规则目标为外部,并且单击“应用”。设置完毕后,企业内网计算机即可访问Internet网站。如果想让内网访问其它类型服务如FTP,只需要在该规则中协议中添加相关协议即可。
某企业根据企业需求,选择了ISA Server 2006作为防火墙,企业拓扑图如图3-2所示,为三向外围结
图3-2 企业网络拓扑图
构:企业内部网络为活动目录域模式,网络DMZ区域中的Web需要被外部访问,内网中的Exchange Server也需要被外部访问,同时ISA Server还承担了VPN服务角色,要求域用户中的市场部员工能通过该VPN登录到公司内网。企业网络IP地址规划如下:内网IP地址网段为10.1.0.0/16,DMZ区域IP地址网段为192.168.1.0/24,ISA服务器外网卡IP地址由ISP分配。本方案就是具体来说如何实现这一需求。
部署过程如下:
(1)在ISA服务器上安装ISA Server 2006,然后根据“3向外围网络”模板向导进行设置,设置过程中会自动创建外围网络,并且修改名为“外围配置”的网络规则关系为“路由”,修改名为“外围访问”的网络规则关系为“NAT”;
(2)创建Internet访问规则,使得内网用户能访问Internet,具体配置与“3.1实现对Internet的访问”中的配置相同;
(3)创建Exchange Web客户端访问发布规则来发布位于公司内网中的Exchange Server;
(4)创建网络发布规则发布位于DMZ区中的Web服务器;
(5)创建RADIUS服务器:在活动目录域内网的某台服务器(已加入域)上创建Internet验证服务,并且创建RADIUS客户端,该客户端IP地址指向ISA服务器的内网IP地址,并设置“共享的机密”;
(6)创建VPN服务器:在“虚拟专用网络(VPN)”中选择“VPN客户端”,在“任务栏”中先定义地址分配,由于本企业网需求中要求活动目录域中的市场部员工能登陆该VPN服务器,所以需要设置RADIUS服务器IP及“共享的机密”(要求与步骤5中的设置的一致),然后“配置VPN客户端访问”设置“组”为市场部,最后“启用VPN客户端访问”;
(7)授予市场部员工的拨入权限:在活动目录域服务器上打开“Active Directory用户和计算机”为市场部员工逐一授予“允许拨入”的权限。
至此创建完毕。
ISA Server作为企业级软件防火墙,其引擎工作在操作系统的内核模式,能对应用层数据包进行筛选,并且通过缓存的技术及多台ISA Server形成阵列来实现负载均衡及故障转移,能很好地保障企业整体网络安全及内外网互访速度。特别是对于一些部署了活动目录域及Exchange邮箱服务的大中型企业,极大方便了域中某些用户对VPN的访问。另外,隔离的VPN客户端也是很有应用前景的技术。
[1]顾武雄.Microsoft ISA Server 2004系统安全管理宝典[M].中国铁道出版社,2007.
[2]微软公司.网络服务架构实现和管理--以Windows Server 2003为例[M].高等教育出版社,2005.
[3]刘渊等.因特网防火墙技术[M].机械工业出版社,1998.