ISA Server Firewall简介 Internet为公司提供了联系客户 合作者和雇员的新机遇 但是在提供良好机遇的同时 它也给安全 性能和可管理性等领域带来了新的风险 由于Internet的运用不断扩展 安全和性能所面临的挑战也不断加大 许多安全问题都可以利用ISA Server F
ISA Server Firewall简介
Internet为公司提供了联系客户
合作者和雇员的新机遇
但是在提供良好机遇的同时
它也给安全
性能和可管理性等领域带来了新的风险
由于Internet的运用不断扩展
安全和性能所面临的挑战也不断加大
许多安全问题都可以利用ISA Server Firewall服务来解决
它允许通过基于任意数量可配置的策略单元规则
控制进出网络资源的访问
本节学习目标
l 描述ISA Server如何提供
层筛选方法
l 描述ISA Server的内置应用程序筛选器
l 描述ISA Server可以检测到的数据包级或应用程序级攻击的种类
估计学习时间
分钟
筛选方法
防火墙可以使用各种筛选方法
包括数据包筛选
线路级(协议)筛选和应用程序筛选
以此增强安全性
高级企业防火墙
例如ISA Server
综合了这些方法在多个网络层提供保护
IP数据包筛选
数据包筛选器可用来控制进出ISA Server的IP数据包的流量
如图
所示
当启用Packet Filtering特性时(该设置可以在IP Packet Filters Propereies对话框中查看或修改)
所有在外部接口上的数据包都会被丢弃
除非明确许可它们通过
利用IP数据包筛选
您的系统可以在数据包传递到防火墙引擎的更高层或者应用程序筛选器之前
对它们进行拦截和测定
如果在配置IP数据包筛选器时
只允许某些指定的数据包通过ISA Server
就可以大大提高网络的安全
IP数据包筛选器也允许您阻塞来源于指定的Internet主机的数据包
以及拒绝与许多常见攻击有关的数据包
利用IP数据包筛选器
您还可以阻塞针对您内部网络的任何服务的数据包
包括Web Proxy服务
Web服务器
或SMTP服务器
线路级(协议)筛选
您可以通过访问策略规则和发布规则在ISA Server上设置线路级或协议筛选
如图
所示
这个特性能够让您检查会话而不是连接或者数据包
一个会话可以包括多个连接
为基于Windows运行Firewall Client软件的客户端提供了诸多益处
动态筛选
ISA Server通过访问策略规则和发布规则支持动态筛选
利用动态筛选
端口只在需要通信时自动打开
通信结束后就关闭
这样
可以最小化传出和传入方向上暴露的端口数目
并且为网络提供了高层次的安全
免受骚扰
支持基于会话的协议
线路级筛选提供内建支持辅助连接的协议
例如FTP与流媒体
它还允许在用户界面内定义协议的主要和辅助连接
而无需任何编程或第三方工具
可以通过指定端口数或端口范围
协议类型
TCP或UDP
以及入站或出站方向实现这一点
应用程序筛选
应用程序级的安全性是防火墙通信检查中最为复杂的一环
好的应用程序筛选器允许分析个别应用程序的数据流
以及提供指定应用程序的处理
包括检查
筛选或阻塞
重定向
或者当数据通过该防火墙修改该数据
如图
所示
这一机制是用来防止发生危险
例如不安全的SMTP命令或者对内部域名系统(DNS)服务器的攻击
用于内容筛选的第三方工具
包括用于病毒检测
词法分析以及站点分类的工具
全都使用应用程序和Web筛选器
以增强防火墙的功能
ISA Server包括以下内置的应用程序筛选器
l HTTP重定向筛选器 HTTP重定向筛选器将来自防火墙和安全网络地址转换客户端的HTTP请求转送到Web代理服务
这为没有把浏览器配置为指向Web代理服务的客户端建立了透明的缓存
l FTP访问筛选器 FTP筛选器拦截然后核对FTP数据
对于许可的通信
内核模式数据泵提供高性能的数据传送
l SMTP筛选器 SMTP筛选器拦截并核对SMTP电子邮件通信
保护邮件服务器免受攻击
该筛选器识别不安全的命令并且可以筛选电子邮件信息的内容或者大小
在未经同意的电子邮件到达邮件服务器之前将其拒绝
l SOCKS筛选器 对于没有防火墙客户端软件的客户端
SOCKS筛选器将请求从SOCKS
的应用程序转发到ISA防火墙服务
访问策略规则决定SOCKS客户端应用程序是否与Internet通信
与Winsock不同
SOCKS可以支持任何客户端平台
包括UNIX操作系统
Macintosh和非标准的计算机设备
l RPC筛选器 RPC筛选器允许对基于指定接口的RPC请求进行复杂筛选
您可以选择暴露RPC接口
l H
筛选器 H
筛选器指向用于多媒体通信和电话会议的H
数据包
它提供呼叫控制
包括处理传入呼叫和连接指定的H
gatekeeper的能力
l 流媒体筛选器 流媒体筛选器支持工业标准媒体协议
包括Microsoft Windows Media Technologies
以及RealNetworks
Progressive Networks Audio(PNA)和实时流协议RTSP两者的流媒体协议
它还允许用户分割实况Windows Media流
由此来节约带宽
l POP和DNS入侵检测筛选器 这两个筛选器识别并阻塞针对内部服务器的攻击
包括DNS主机名溢出
DNS区域传送和POP缓冲区溢出
H
Gatekeeper
H
Gatekeeper同H
协议筛选器协作
从而为向H
注册过的客户端提供完全的通信能力
这些客户端使用H
Gatekeeper允许的应用程序
例如NetMeeting
x
H
Gatekeeper为已注册的客户端提供呼叫路由以及目录服务
并且使其他客户端能够用熟知别名访问已注册客户端
已注册H
Gatekeeper的客户端可以利用H
Gatekeeper跨越多层防火墙并且通过Internet
参加局域网和广域网内的视频
音频和数据会议
如图
所示
H
Gatekeeper通过H
Gatekeepers节点在ISA Management内配置
广泛的应用程序支持
ISA Server预先定义大约
个应用程序协议
并且允许管理员基于端口数
类型
TCP或者UDP和方向定义附加协议
使用防火墙客户端软件或者应用程序筛选器支持带有辅助连接的协议
带宽规则
带宽规则决定连接的优先级
ISA Server带宽控制不限定能使用多少带宽
相反
它告诉Windows
QoS数据包调度服务如何区分网络连接的优先级
任何与带宽规则无关联的连接都会收到一个默认的优先级
另一方面
任何与带宽规则有关联的连接都将比默认安排的连接优先
综合虚拟专用网络
ISA Server帮助管理员建立并保护虚拟专用网络(VPN)的安全
如图
所示
VPN是一个专用网的延伸
包括跨越共享的或者公用网络(如Internet)的连接
VPN用模拟点对点专用连接属性的方式
能够使您跨越一个共享的或公用的Intranet在两个计算机之间传送数据
ISA Server可以配置成VPN服务器来支持安全的
网关对网关的通信或者通过Internet的客户端对网关的远程访问通信
本地VPN向导在局域网的ISA Server上运行
本地ISA VPN计算机连接到它的Internet服务提供商(ISP)上
远程VPN向导在远程网络的ISA Server上运行
远程ISA ServerVPN计算机连接到它自己的ISP上
当局域网中的一台计算机与远程网络中的一台计算机通信时
数据将封装起来并通过VPN隧道发送
基于Windows
标准的VPN支持PPTP和L
TP/IPSec隧道技术
隧道协议是用来管理隧道和封装专用数据的协议
如PPTP或者L
TP
隧道中传输的数据必须加密
VPN连接隧道也是如此
综合入侵检测
ISA Server具有综合侵入检测机制
可以识别何时有人企图攻击您的网络
防火墙管理员可以设置检测到入侵时启动警报
您还可以利用警报指定识别到攻击时系统应该采取什么样的措施
这可能包括向管理员发送电子邮件信息或者网页
停止Firewall服务
在Windows
事件日志中记录事件
或者运行任何程序或脚本
ISA Server在数据包筛选和应用程序筛选器级别都执行入侵 检测
注意 ISA Server的入侵检测功能基于Internet Security Systems ( ISS)
Inc
Atlanta
GA许可的技术
其网址为
数据包筛选器入侵
在数据包筛选器级别
ISA Server可以检测到以下攻击
l 全部端口扫描攻击 企图访问超过预设端口的数目
l 枚举端口扫描攻击 企图通过检测各端口的响应来统计计算机上运行的服务
l IP半扫描攻击 不断企图连接目标计算机
但是没有建立相应的连接
这表明攻击者正在检测开放式端口
逃避系统登录
l 登录攻击 登录攻击使用与目标IP地址和端口号相匹配的伪IP源地址和端口号请求TCP连接
如果攻击成功
它可以导致一些TCP执行过程陷入死循环
使计算机瘫痪
l Ping of Death攻击 大量的信息被添加到Internet控制报文协议( ICMP)回应请求和ping数据包中
如果攻击成功
当计算机试图响应时核心缓冲器就会溢出
使计算机崩溃
l UDP炸弹攻击 这是指尝试发送非法的UDP包
UDP数据包的某些字段含有非法值
当收到数据包时会造成一些早期的操作系统瘫痪
l Windows Out of Band攻击 这是指对由ISA Server保护的电脑进行OOB
denial
of
service(拒绝服务)的攻击
如果攻击成功
就会使计算机崩溃或者造成易受攻击的电脑失去网络连接
POP和DNS应用程序筛选器
