鸿 网 互 联 www.68idc.cn

ISAServerFirewall简介

来源:互联网 作者:佚名 时间:2015-06-17 09:34
ISA Server Firewall简介 Internet为公司提供了联系客户 合作者和雇员的新机遇 但是在提供良好机遇的同时 它也给安全 性能和可管理性等领域带来了新的风险 由于Internet的运用不断扩展 安全和性能所面临的挑战也不断加大 许多安全问题都可以利用ISA Server F

   ISA Server Firewall简介
  Internet为公司提供了联系客户合作者和雇员的新机遇但是在提供良好机遇的同时它也给安全性能和可管理性等领域带来了新的风险由于Internet的运用不断扩展安全和性能所面临的挑战也不断加大许多安全问题都可以利用ISA Server Firewall服务来解决它允许通过基于任意数量可配置的策略单元规则控制进出网络资源的访问
  
  本节学习目标
  l     描述ISA Server如何提供层筛选方法
  
  l     描述ISA Server的内置应用程序筛选器
  
  l     描述ISA Server可以检测到的数据包级或应用程序级攻击的种类
  
  估计学习时间分钟
   筛选方法
  防火墙可以使用各种筛选方法包括数据包筛选线路级(协议)筛选和应用程序筛选以此增强安全性高级企业防火墙例如ISA Server综合了这些方法在多个网络层提供保护
  
   IP数据包筛选
  数据包筛选器可用来控制进出ISA Server的IP数据包的流量如图所示当启用Packet Filtering特性时(该设置可以在IP Packet Filters Propereies对话框中查看或修改)所有在外部接口上的数据包都会被丢弃除非明确许可它们通过利用IP数据包筛选您的系统可以在数据包传递到防火墙引擎的更高层或者应用程序筛选器之前对它们进行拦截和测定
  
  如果在配置IP数据包筛选器时只允许某些指定的数据包通过ISA Server就可以大大提高网络的安全IP数据包筛选器也允许您阻塞来源于指定的Internet主机的数据包以及拒绝与许多常见攻击有关的数据包利用IP数据包筛选器您还可以阻塞针对您内部网络的任何服务的数据包包括Web Proxy服务Web服务器或SMTP服务器
   
   线路级(协议)筛选
  您可以通过访问策略规则和发布规则在ISA Server上设置线路级或协议筛选如图所示这个特性能够让您检查会话而不是连接或者数据包一个会话可以包括多个连接为基于Windows运行Firewall Client软件的客户端提供了诸多益处
   
   动态筛选
  ISA Server通过访问策略规则和发布规则支持动态筛选利用动态筛选端口只在需要通信时自动打开通信结束后就关闭这样可以最小化传出和传入方向上暴露的端口数目并且为网络提供了高层次的安全免受骚扰
  
   支持基于会话的协议
  线路级筛选提供内建支持辅助连接的协议例如FTP与流媒体它还允许在用户界面内定义协议的主要和辅助连接而无需任何编程或第三方工具可以通过指定端口数或端口范围协议类型TCP或UDP以及入站或出站方向实现这一点
  
   应用程序筛选
  应用程序级的安全性是防火墙通信检查中最为复杂的一环好的应用程序筛选器允许分析个别应用程序的数据流以及提供指定应用程序的处理包括检查筛选或阻塞重定向或者当数据通过该防火墙修改该数据如图所示这一机制是用来防止发生危险例如不安全的SMTP命令或者对内部域名系统(DNS)服务器的攻击用于内容筛选的第三方工具包括用于病毒检测词法分析以及站点分类的工具全都使用应用程序和Web筛选器以增强防火墙的功能
  
  ISA Server包括以下内置的应用程序筛选器
  
  l     HTTP重定向筛选器 HTTP重定向筛选器将来自防火墙和安全网络地址转换客户端的HTTP请求转送到Web代理服务这为没有把浏览器配置为指向Web代理服务的客户端建立了透明的缓存
  
  l     FTP访问筛选器 FTP筛选器拦截然后核对FTP数据对于许可的通信内核模式数据泵提供高性能的数据传送
  
  l     SMTP筛选器 SMTP筛选器拦截并核对SMTP电子邮件通信保护邮件服务器免受攻击该筛选器识别不安全的命令并且可以筛选电子邮件信息的内容或者大小在未经同意的电子邮件到达邮件服务器之前将其拒绝
   
  l     SOCKS筛选器 对于没有防火墙客户端软件的客户端SOCKS筛选器将请求从SOCKS 的应用程序转发到ISA防火墙服务访问策略规则决定SOCKS客户端应用程序是否与Internet通信与Winsock不同SOCKS可以支持任何客户端平台包括UNIX操作系统Macintosh和非标准的计算机设备
  
  l     RPC筛选器 RPC筛选器允许对基于指定接口的RPC请求进行复杂筛选您可以选择暴露RPC接口
  
  l     H筛选器 H筛选器指向用于多媒体通信和电话会议的H数据包它提供呼叫控制包括处理传入呼叫和连接指定的H gatekeeper的能力
  
  l     流媒体筛选器 流媒体筛选器支持工业标准媒体协议包括Microsoft Windows Media Technologies以及RealNetworksProgressive Networks Audio(PNA)和实时流协议RTSP两者的流媒体协议它还允许用户分割实况Windows Media流由此来节约带宽
  
  l     POP和DNS入侵检测筛选器 这两个筛选器识别并阻塞针对内部服务器的攻击包括DNS主机名溢出DNS区域传送和POP缓冲区溢出
  
   H Gatekeeper
  H Gatekeeper同H协议筛选器协作从而为向H注册过的客户端提供完全的通信能力这些客户端使用H Gatekeeper允许的应用程序例如NetMeeting xH Gatekeeper为已注册的客户端提供呼叫路由以及目录服务并且使其他客户端能够用熟知别名访问已注册客户端已注册H Gatekeeper的客户端可以利用H Gatekeeper跨越多层防火墙并且通过Internet参加局域网和广域网内的视频音频和数据会议如图所示H Gatekeeper通过H Gatekeepers节点在ISA Management内配置
  
   广泛的应用程序支持
  ISA Server预先定义大约个应用程序协议并且允许管理员基于端口数类型TCP或者UDP和方向定义附加协议使用防火墙客户端软件或者应用程序筛选器支持带有辅助连接的协议
   
  
   带宽规则
  带宽规则决定连接的优先级ISA Server带宽控制不限定能使用多少带宽相反它告诉Windows QoS数据包调度服务如何区分网络连接的优先级任何与带宽规则无关联的连接都会收到一个默认的优先级另一方面任何与带宽规则有关联的连接都将比默认安排的连接优先
  
   综合虚拟专用网络
  ISA Server帮助管理员建立并保护虚拟专用网络(VPN)的安全如图所示VPN是一个专用网的延伸包括跨越共享的或者公用网络(如Internet)的连接VPN用模拟点对点专用连接属性的方式能够使您跨越一个共享的或公用的Intranet在两个计算机之间传送数据ISA Server可以配置成VPN服务器来支持安全的网关对网关的通信或者通过Internet的客户端对网关的远程访问通信
  
  本地VPN向导在局域网的ISA Server上运行本地ISA VPN计算机连接到它的Internet服务提供商(ISP)上远程VPN向导在远程网络的ISA Server上运行远程ISA ServerVPN计算机连接到它自己的ISP上当局域网中的一台计算机与远程网络中的一台计算机通信时数据将封装起来并通过VPN隧道发送基于Windows 标准的VPN支持PPTP和LTP/IPSec隧道技术隧道协议是用来管理隧道和封装专用数据的协议如PPTP或者LTP隧道中传输的数据必须加密VPN连接隧道也是如此
   
   综合入侵检测
  ISA Server具有综合侵入检测机制可以识别何时有人企图攻击您的网络防火墙管理员可以设置检测到入侵时启动警报您还可以利用警报指定识别到攻击时系统应该采取什么样的措施这可能包括向管理员发送电子邮件信息或者网页停止Firewall服务在Windows 事件日志中记录事件或者运行任何程序或脚本ISA Server在数据包筛选和应用程序筛选器级别都执行入侵  检测
  
   注意 ISA Server的入侵检测功能基于Internet Security Systems ( ISS)IncAtlantaGA许可的技术其网址为
  
   数据包筛选器入侵
  在数据包筛选器级别ISA Server可以检测到以下攻击
  
  l     全部端口扫描攻击 企图访问超过预设端口的数目
  
  l     枚举端口扫描攻击 企图通过检测各端口的响应来统计计算机上运行的服务
  
  l     IP半扫描攻击 不断企图连接目标计算机但是没有建立相应的连接这表明攻击者正在检测开放式端口逃避系统登录
  
  l     登录攻击 登录攻击使用与目标IP地址和端口号相匹配的伪IP源地址和端口号请求TCP连接如果攻击成功它可以导致一些TCP执行过程陷入死循环使计算机瘫痪
  
  l     Ping of Death攻击 大量的信息被添加到Internet控制报文协议( ICMP)回应请求和ping数据包中如果攻击成功当计算机试图响应时核心缓冲器就会溢出使计算机崩溃
  
  l     UDP炸弹攻击 这是指尝试发送非法的UDP包UDP数据包的某些字段含有非法值当收到数据包时会造成一些早期的操作系统瘫痪
  
  l     Windows Out of Band攻击 这是指对由ISA Server保护的电脑进行OOBdenialofservice(拒绝服务)的攻击如果攻击成功就会使计算机崩溃或者造成易受攻击的电脑失去网络连接
  
   POP和DNS应用程序筛选器
网友评论
<