目录
摘要 (1)
1.引言 (2)
1.1背景知识 (2)
1.2实验目的 (2)
1.3实验内容 (2)
1.4实验环境 (2)
1.5实验要求 (3)
2.方案的设计和实施 (4)
2.1实验拓扑 (4)
2.2实验步骤 (5)
3.验证 (10)
4.结论 (11)
参考文献 (11)
三层交换机5526防火墙(ACL)的设置和管理
(德州学院计算机系,山东德州 253023)
摘要:ACL (Access Control Lists)是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。
本设计通过对三层交换机设置防火墙,并验证在防火墙开启前后数据通信的不同结果,充分理解并掌握三层交换机ACL数据过滤机制。基于网络中的特定信息和IP制定一组规则,每条规则都描述了对匹配一定信息的IP段所采取的动作,通过允许(permit)或者是拒绝(deny)特定的IP地址进出网络,并把这些规则应用到特定的交换机端口的入口或出口(如本实验中的三层交换机的1端口,和二层交换机的24端口),交换机可以为不同的IP地址进行控制,这样特定端口上的数据流就必须依照指定的ACL规则进出交换机。从数据控制进出的根本上掌握防火墙的工作原理,对交换机ACL过滤机制的允许通过和拒绝通过规则有了实际物理层次上的理解。
关键词:ACL过滤机制;交换机5526;防火墙
1.引言
1.1背景知识
交换机的各种命令及设置;交换IP地址配置;交换机的Vlan划分(二层交换机划分Vlan100和Vlan200后,分属于不同Vlan的测试机之间不能相互通信);通过设置Trunk口可以实现交换机之间的通讯,即交换机组成局域网的原理,使两台测试机通过三层交换机进行通讯;通过交换机之Ttrunk口上设置ACL过滤规则可以限制特定的IP通讯,测试机不能完成通讯;防火墙的原理——防火墙具有检测、限制、更改跨越防火墙的数据流、对外部屏蔽网络内部的信息、结构和运行状况等功能,这些功能有效地保护了网络的安全等等。
1.2 实验目的
通过本次课程设计实验了解并初步掌握三层交换机设置访问控制的方法及所需要的相关知识,使我们了解防火墙与三层交换机配合使用的配置方法,以及防火墙在网络安全中的基本应用和配置方法。理解三层交换机基于特定ACL规则下如特定条件下的允许通过或者是阻止通过规则等基本工作原理,从物理层面切实理解ACL过滤机制,掌握常用的命令。并通过本次试验加深对计算机网络课程的了解。
1.3 实验内容
以三层交换机5526为主,以二层交换机3926为辅,在两个交换机之间设置Trunk 口并在交换机之间的端口处设置ACL过滤规则,控制数据进出,实现防火墙的过滤机制。通过测试机A和B验证数据进出的通或不通,将防火墙的工作原理在实验中的具体环境中展示出来。
1.4 实验环境
PC机2台,分别为测试机A和B、二层交换机1台、三层交换机1台(主)、双绞线若干根、控制线1根、将测试机A和测试机B分别连接在二层交换机的Vlan100
和Vlan200端口上、通过控制线将两个交换机的特定端口连接。
1.5 实验要求
在交换机A和交换机B上分别划分两个基于端口的Vlan:Vlan100,Vlan100并设置成Trunk口。
表1 交换机A 5526的配置
VLAN IP Mask
100 192.168.1.1 255.255.255.0
200 192.168.2.1 255.255.255.0
Trunk 1
交换机B 3926的配制如下,端口24设置为Trunk口:
表2 交换机B 3926的配制
VLAN 端口成员
100 1-8
200 9-16
Trunk 24
PC1-PC2的网络设置为:
表3 PC1-PC2的网络设置
设置IP地址Getaway Mask
PC1 192.168.1.10 192.168.1.1 255.255.255.0
PC2 192.168.2.10 192.168.2.1 255.255.255.0
2.方案的设计和实施
2.1 实验拓扑
图1 实验拓扑逻辑图
图2 实验拓扑物理图
2.2实验步骤
第一步:
1.恢复交换机出厂设置。
2.给交换机划分Vlan100和Vlan200,并划分端口分别为1-8和9-16,见图3。
图3 交换机划分Vlan和端口
3.(1)分别将两台测试机A和B的IP地址设置为192.168.1.10和192.168.2.10;见图4。
图4 配置IP
(2) 通过测试机A ping B :不通,见图5。
图5 验证
第二步:
1.登陆三层交换机5526,恢复交换机出厂设置;
2.给交换机划分Vlan100和Vlan200,并划分端口分别为1-8和9-16;见图6。
图6 三层交换机划分Vlan和端口
分别配置端口IP地址为:192.168.1.1和192.168.2.1;见图7。
图7 端口配置IP
3.设置1号端口为Trunk端口,允许所有的Vlan通过;见图8。
图8 设置Trunk端口
到二层交换机上设置,将二层交换机的24端口设为trunk端口,同样允许所有的lan通过,见图9。
图9 二层交换机设置Trunk端口
4.用网线将两交换机通过Trunk口连接,进行验证:A ping B通;见图10。
图10 验证
第三步:
1.回到三层交换机,配置ACL防火墙,规定防火墙过滤地址,并启动防火墙;见图11。
图11 三层交换机配置ACL防火墙
2.验证防火墙,通过测试机A ping B不通,见图12。
图12 验证防火墙
说明防火墙起到预定效果,试验成功!
3.验证
测试机A和测试机B分别连接在二层交换机上划分好的Vlan100和Vlan200端口,通过测试机A ping 测试机B,不通,说明两台测试机之间不能相互通讯;通过设置Trunk口实现交换机之间的通讯后,再次ping命令,可以通讯,说明两台测试机之间通过二三层交换机之间的Trunk端口可以实现通讯;配制ACL后,测试机A和测试机B之间不能ping通,说明测试机之间因为设置了ACL后限制了特定IP的通讯。若实验结果和理论相符,则本实验完成。具体内容如下表:
表4 试验验证结果
PC 端口Ping 结果
PC A:192.168.1.10 0/0/1 192.168.2.10 不通
PC A:192.168.1.10 0/0/1 192.168.2.10 通
PC A:192.168.1.10 0/0/1 192.168.2.10 不通
结论
本次课程设计,通过对55226三层交换机ACL的设置,实现了对不同IP地址限制通信。理解并掌握了防火墙数据过滤规则,对防火墙的工作原理和机制有了更深层次更具体化的了解,熟悉了交换机实验常用的命令,了解并初步掌握了三层交换机设置访问控制的方法及所需要的相关知识,学会了防火墙与三层交换机配合使用的配置方法,以及防火墙在网络安全中的基本应用和配置方法。
另外,通过本次课程设计,我们进一步的了解了计算机网络的具体知识,细化了之前学过的内容,全面掌握了关于交换机的设置以及交换机之间通讯的知识,培养了对计算机网络课程的兴趣和爱好,锻炼了我们的动手设计能力和群组协作能力,对自己的学习和专业的发展有着很大的促进。
参考文献
[1] 谢希仁.计算机网路(第五版)[M].北京:电子工业出版社,2011.110-119.
[2] 陈向阳,谈宏华,巨修练.计算机网络与通信[M].北京:清华大学出版社,2005.23-25.
[3] 张新有.网络工程技术与实验教程[M].北京:清华大学出版社,2005.45-47.
[4] 陈鸣.网络工程设计教程:系统集成方法[M].北京:机械工业出版社,2008.34-36.
[5] 徐雅斌,李昕,李国义,褚丽莉.计算机网络原理[M].沈阳:辽宁科技出版社,2002.67-68.
[6] 杨延双.TCP/TP协议分析及应用[M].北京:机械工业出版社,2008.12-16.
[7] 张尧学,郭国强,王晓春,赵艳标.计算机网络与Interner教程(第2版)[M].北京:清华大学出版社,2006.78-82.
[8] 蔡开裕,朱培栋,徐明.计算机网络(第2版)[M].北京:机械工业出版社,2008.23-30.
[9] 李军怀,张璟.计算机网络实用教程[M].北京:电子工业出版社,2007.123-125.
[10] 郭秋萍.计算机网络技术[M].北京:清华大学出版社,2008.45-47.
[11] 吴功宜.计算机网络高级教程[M].北京:清华大学出版社,2007.96-100.
ISA Server防火墙策略设置 上传时间:2009-02-25 | 作者:盛后敏| 来源:新华3++网络学院| 点击:709 我们大家都知道防火墙的功能,它是对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 在网络专业级防火墙中有两种类型的防火墙,一种是软件防火墙,软件防火墙工作在OSI 七层模型的后五层,对封包加以过滤,软件防火墙需要用到CPU 的运算,它工作于系统接口与NDIS 之间,用于检查过滤由NDIS 发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU 资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失。另一种也就是我们许多企业里使用的硬件防火墙,硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU 资源去进行基于软件架构的NDIS 数据检测,可以大大提高工作效率。虽然硬件防火墙更稳定,性能更好,但是价格成为现在很多企业选择它的障碍。 我今天就给大家来介绍一款软件防火墙-----ISA Server 防火墙。那什么是ISA 呢?它是由Internet Security and Acceleration( 安全和加速) 的缩写得到的。它也能用于代理服务器。是一款强大的企业防火墙。是由微软公司提供的,与微软网络操作系统很好的接入,对于使用微软操作系统的服务器是一种不错的选择;那我现在就把它的功能给介绍一下吧! 1 、安全连接Internet 2 、加快Web 访问速度 3 、多网络支持 4 、网络之间的访问 5 、VPN 支持 6 、安全发布服务器 好的,刚才ISA 的功能已经给大家介绍过来,我们就来学习一下配置防火墙最基本的操作---- 策略设置,我们大家都知道在防火墙中有一个默认策略就是任何通讯都是拒绝的,我们要让网络能够通讯一定要建立一条规则,如下图: 我们在这里建立访问规则,如果要是发布Web 服务器就选择“ Web 服务器发布规则”,其他的根据相应的选择就可以了
ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web 站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有 Web 服务的单点登录;新增了服务器场功能,支持通过多个Web服务器组成服务器群集以实现负载均衡,并且此特性无需Windows的NLB 或群集支持;强化了DDOS防御功能,极大的增强了对于DDOS攻击的防范能力。下面让我们来看看如何搭建ISA Server 2006的实验环境。 一、实验环境: 按如图1所示拓扑图构建域环境,域名为https://www.sodocs.net/doc/7c9851892.html,。其中域控制器主机名为DC_Server。将主机ISA_Server加入到域中,成为域成员服务器,然后增加第2块网卡,连接内部网络的网卡标识为LAN,连接外部网络的网卡标识为WAN,该主机作为ISA防火墙。外部Internet客户机主机名为WAN_Client,它是工作组中的计算机。 二、查看域控制器和ISA防火墙的TCP/IP设置 1、ISA服务器网卡配置情况: ISA防火墙有2块网卡,更改网卡标识如图2所示。
使用命令【ipconfig/all】查看ISA防火墙的IP设置情况,如图3所示。 2、域控制器网卡配置情况:
使用命令【ipconfig/all】查看域控制器的IP设置情况,如图4所示。 本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装…… 【IT专家网独家】本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装…… 一、安装ISA Server 2006企业版 以域管理员身份登录到需要安装ISA Server 2006的主机(ISA_Server)上,放入光盘运行程序,出现如图1所示界面。
1.ISA Server 2006 说明 ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有Web 服务的单点登录;新增了服务器场功能,支持通过多个Web服务器组成服务器群集以实现负载均衡,并且此特性无需Windows的NLB或群集支持;强化了DDOS防御功能,极大的增强了对于DDOS攻击的防范能力。下面让我们来看看如何搭建ISA Server 2006的实验环境。 2. ISA Server 2006实验环境 按如图1所示拓扑图构建域环境,域名为https://www.sodocs.net/doc/7c9851892.html,。其中域控制器主机名为DC_Server。将主机ISA_Server加入到域中,成为域成员服务器,然后增加第2块网卡,连接内部网络的网卡标识为LAN,连接外部网络的网卡标识为WAN,该主机作为ISA防火墙。外部Internet客户机主机名为WAN_Client,它是工作组中的计算机。
3.查看域控制器和ISA防火墙的TCP/IP设置3.ISA 2006服务器的网络环境 3.1 ISA 2006服务器网卡配置情况 ISA防火墙有2块网卡,更改网卡标识如图2所示。
使用命令【ipconfig/all】查看ISA防火墙的IP设置情况,如图3所示。 3.2域控制器网卡配置情况 使用命令【ipconfig/all】查看域控制器的IP设置情况,如图4所示。 本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述
isa防火墙功能有哪些 isa防火墙功能介绍一: 首先看性能,因为hf是做网络层过滤,执行的检查过滤少的多,当然可以做到指令精简化,这个处理性能肯定比isa高。 isa执行的是应用层过滤,执行的指令数和hf相比,基本上是100:1这种级别,当然处理性能会比hf低。 其次看功能,这个是isa的优点了,可能有些hf可以实现isa 的部分功能,但是价位是isa的很多倍,在isa这个价位上,没有哪个硬件防火墙可以和它相比的;而且,isa很多功能都是全世界唯一的 况且,基于软件性质,isa的升级、更新的方便性都不是hf 可以相比的。对于用户的选择,如果需要isa的功能,那么肯定是选择isa,例如你需要isa的应用层过滤。 其次,要从性能考虑,最关键的是你需要什么样的性能?在测试中,isa可以达到 1.5 g的网络层流量和超过300m的应用层过滤流量,当然这个和服务器硬件有关了。 hf通常可以达到超过1 g的网络层流量,但是,不会具有应用层流量性能的说明,因为它通常不具有这个功能。还有一个很关键的,就是企业it系统的整合,这个isa和ad的结合是无敌的。 isa防火墙功能介绍二:
isa 默认阻止所有对外通讯, 只需添加策略使用户能访问允许的网站. 或者先加一条阻止禁止的网站, 在其后再加一条允许所有网站 isa防火墙功能介绍三: isa server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到internet,内部的lan我以192.168.0.0/24为例,不考虑接入internet的方式(拨号或固定ip均可)。 isa server 2004上的内部网络适配器作为内部客户的默认网关,根据惯例,它的ip地址要么设置为子网最前的ip(如192.168.0.1),或者设置为最末的ip(192.168.0.254),在此我设置为192.168.0.1;对于dns服务器,只要内部网络中没有域那么内部可以不建立dns服务器,不过推荐你建立。在此例中,我们假设外部网卡(或拨号连接)上已经设置了dns服务器,所以我们在此不设置dns服务器的ip地址;还有默认网关,内部网卡上切忌不要设置默认网关,因为windows主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么isa server可能会出现路由错误。 接下来是客户机的tcp/ip设置和代理设置。snat客户和web 代理客户有些区别,防火墙客户兼容snat客户和web代理客户的设置。在身份验证不是必需的情况下,请尽量考虑使用snat客户,因为它是标准的网络路由,兼容性是最好的。 snat客户的tcp/ip配置要求:
1、边缘防火墙模型 ISA Server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到Internet,内部的Lan我以192.168.0.0/24为例,不考虑接入Internet的方式(拨号或固定IP均可)。 ISA Server 2004上的内部网络适配器作为内部客户的默认网关,根据惯例,它的IP地址要么设置为子网最前的IP(如192.168.0.1),或者设置为最末的IP(192.168.0.254),在此我设置为192.168.0.1;对于DNS服务器,只要内部网络中没有域,那么内部可以不建立DNS服务器,不过推荐你建立,具体介绍可以见“建立内部的DNS服务器”一文。在此例中,我们假设外部网卡(或拨号连接)上已经设置了DNS服务器,所以我们在此不设置DNS服务器的IP地址;还有默认网关,内部网卡上切忌不要设置默认网关,因为Windo ws主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么ISA Server可能会出现路由错误。 接下来是客户机的TCP/IP设置和代理设置。SNAT客户和Web代理客户有些区别,防火墙客户兼容SNAT客户和Web代理客户的设置。在身份验证不是必需的情况下,请尽量考虑使用SNAT客户,因为它是标准的网络路由,兼容性是最好的。 SNAT客户的TCP/IP配置要求: 必须和ISA Server的内部接口在同个子网;在此,我可以使用192.16 8.0.2/24~192.168.0.254/24;
?配置ISA Server的内部接口为默认网关;此时默认网关是192.168.0. 1; ?DNS根据你的网络环境来设置,可以使用ISP的DNS服务器或者你自己在内部建立一台DNS服务器;但是,DNS服务器是必需的。 Web代理客户和SNAT客户相比,则要复杂一些: ?IP地址必须和ISA Server的内部接口位于同个子网;在此,我可以使用192.168.0.2/24~192.168.0.254/24; ?默认网关和DNS服务器地址都可以不配置; ?必须在IE的代理属性中配置ISA Server的代理,默认是内部接口的8 080端口,在此是192.168.0.1:8080; ?对于其他需要访问网络的程序,必须设置HTTP代理(ISA Server),否则是不能访问网络; 至于关闭SNAT客户的访问,在ISA Server的访问规则中不要允许所有用户访问,改为所有通过验证的用户即可。 防火墙客户默认会配置IE为web代理客户,然后对其他不能使用代理的Wins ock应用程序进行转换,然后转发到所连接的ISA防火墙。对于防火墙客户,你最好先按照SNAT客户进行设置,然后安装防火墙客户端,安装防火墙客户端后它会自动配置客户为Web代理客户。 在安装ISA Server时,内部网络配置为192.168.0.0/24。安装好后,你可以根据你的需要,自行配置访问规则。ISA Server中带了五个网络模型的模板,
ISA防火墙实验 一、实验内容 1、对防火墙进行基本配置,是内部客户机能够访问外网Internet。 2、对baidu进行过滤。 3、发布WEB网站。 4、VPN配置。 二、实验具体操作 (一)搭建基本网络 1)使用三台计算机,winxp为真机作为外部网络,其网络地址设置如下: 2)Win2003为虚拟机,将它设置成防火墙,并且该机器需要两张网卡,一张连接外网,一张连接内网,其地址设置如下: 连接外网的地址设置: 连接内网的地址设置:
3)Win2ks为虚拟机,作为内部网络,其网络地址设置如下: 4)设置完各台机器后,测试winxp和win2003内上Internet,win2ks能ping通win2003; Win2003上能够上网: Win2ks能ping通win2003:
(二)通过以上测试后,在win2003上安装isa2004防火墙,安装步骤如下:
添加内部网络地址:
在防火墙客户端连接设置页上,如果你的客户机上使用了ISA Server 2000的防火墙客户端,则可以勾选“允许运行早期版本的...”,点击“下一步” 开始安装
在安装向导完成页,选择“在向导关闭时运行ISA服务器管理”,然后点击“完成”。此时,会出现Microsoft Internet Security and Acceleration Server 2004 控制台。 (三)对ISA进行设置 在安装过程中,通过指定内部网络中的地址范围配置了内部网络。请确认该配置有效,在ISA上,执行下列步骤: 打开Microsoft ISA 服务器管理,展开“ISA”,再展开“配置”节点,然后单击“网络”。
详解ISA2006DMZ的部署与配置 DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博文中已经讨论了技术上的可能性。但把发布服务器放在内网并非最佳选择,因为内网中还有其他的计算机,这些计算机和发布服务器的安全设置并不相同。例如内网中的域控制器并不适合开放给外网用户,财务室人员使用的工作站更是要严加防护。但如果这些计算机和发布服务器都放在内网,对我们进行访问控制是不利的。一旦发布服务器出现安全问题,有可能会危及内网其他计算机的安全。因此比较安全的解决方法是把发布的服务器放在一个单独的隔离网络中,管理员针对隔离网络进行有别于内网的安全配置,这样一来的话显然对安全更加有利。 下面我们用一个实例来为大家介绍一下如何利用ISA2006部署和配置DMZ,拓扑如下图所示,Beijing是ISA2006服务器,Beijing有三块网卡,分别连接内网,外网和DMZ,DMZ在ISA中也被称为外围。Denver在内网,Perth是DMZ,Istanbul在外网。
一创建DMZ Beijing是一个有三块网卡的ISA服务器,我们准备在Beijing上手工创建DMZ网络,网络范围是23.1.1.0-23.1.1.255。这个工作我们也可以通过ISA2006自带的三向外围防火墙模板来进行,但这个模板和国内公司的网络环境不太匹配,因为国外公司的DMZ使用的往往是公网地址,而国内DMZ使用的大多是私网地址,这种环境上的差异会导致网络规则和防火墙策略配置上的差别,因此这个模板不太适合国内大多数公司使用,我们还是来手工创建并配置一个DMZ网络。 顺便介绍一个ISA中网络的一些基本原则,供大家创建网络时参考: 1、ISA防火墙上的每个网络适配器可以有单个或者多个IP地址,但是每个IP地址只能与一个网络适配器所关联(NLB的虚拟IP地址不在此讨论范围内)。 2、一个地址只能属于一个网络;ISA防火墙上任何一个网络适配器都必须并且只能属于一个网络,并且这个网络适配器上的所有地址都必须属于相同的网络;一个网络可以包含一个或者多个网络适配器。 3、在网络定义的地址范围中,应包含ISA防火墙对应网络适配器接口的IP地址。ISA将没有关联适配器的网络视为暂时断开连接,也就是说,ISA 服务器假定存在与该网络关联的适配器,但该适配器当前被禁用。当ISA服务器假定适配器断开连接时,ISA服务器将拒绝去往或来自属于断开的网络的IP地址的通讯,因为这些数据并没有通过和此网络相关联的网络适配器来进行转发,并认为这些数据包欺骗所有已启用的适配器。 4、对于除外部网络之外的其他网络的网络适配器后还有其他子网的情况(即可以通过此网络适配器所关联的网络中的某台路由器到达的其他的网络,称之为网络后面的网络),你必须在ISA 防火墙对应的网络的定义中,包含这些子网的地址,否则ISA防火墙会触发IP欺骗或者配置错误的警告。这是因为没有在此网络中定义的IP地址范围,不属于此网络,但是却又必须从此网络相关联的网络适配器进行数据的转发,ISA防火墙认为这是一种欺骗行为。 5、通常情况下,对于一个完整的网络定义,地址范围应该从网络地址起,到子网广播地址为止。例如一个C类网络192.168.0.0/24,那么完整的网络地址范围为192.168.0.0~192.168.0.255。对于网络地址是从A类网络地址、B类网络地址中划分的子网的情况,在网络地址范围中还需要包含对应的A类网络、B类网络的广播地址,例如一个A类子网10.1.1.0/24,那么内部网络地址中除了
isa防火墙如何配置 isa防火墙配置一: 配置isa server网络环境 网络环境中是否有必要安装isa、是否可以安装isa、安装前isa保护的内部网络中的客户如何进行配置、安装后的访问规则如何设置等问题,本文将具体阐述一下。文章导读 1、isa server 概述 2、边缘防火墙模型 3、单网络与多网络模型 isa server 2004是目前世界上最好的路由级软件防火墙,它可以让你的企业内部网络安全、快速的连接到internet,性能可以和硬件防火墙媲美,并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。 你可以在网络的任何地方,如两个或多个网络的边缘层(lan 到internet、lan到lan、lan到dmz、lan到等等)、单个主机上配置isa server 2004来对你的网络或主机进行防护。 isa server 2004对于安装的要求非常低,可以说,目前的服务器对于isa server 2004的硬件系统需求都是绰绰有余的。 isa server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、tcp/ip设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用。在安装isa server时,你需要对你内部网络中的路由及tcp/ip设置进行预先的规划和配置,这样才能做到安装isa server后即可很容易的使
用,而不会出现客户不能访问外部网络的问题。 再谈谈对在单机上安装isa server 2004的看法。isa server 2004可以安装在单网络适配器计算机上,它将会自动配置为cache only的防火墙,同时,通过isa server 2004强大的ids和应用层识别机制,对本机提供了很好的防护。但是,isa server 2004的核心是多网络,它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙,它太过于庞大了,这样会为服务器带来不必要的性能消耗。 所以,我不推荐在单机上安装isa server 2004。对于单机防火墙,我推荐sygate personal firewall pro(spf pro)、zonealarm、blackice等,它们都是非常好的单机防火墙。不过对于需要提供服务的主机,最好安装zonealarm或者blackice,spf pro因为太过于强大,反而不适合作为服务器使用。对于基于iis的web 服务器,你还可以安装iislockdown和urlscan工具,这样就可以做到比较安全了。对于单网络适配器的isa server,我会在后面的实例中介绍。 至于安装isa server前内部的客户如何进行配置,我以几个实例来进行介绍: 1、边缘防火墙模型 如下图,isa server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到internet,内部的lan 我以192.168.0.0/24为例,不考虑接入internet的方式(拨号或固定ip均可)。 isa server 2004上的内部网络适配器作为内部客户的默认网
ISA防火墙的配置实验报告(3) 实验目的:1、了解防火墙的概念;2、掌握防火墙软件的安装; 3、掌握防火墙软件的基本配置 实验内容:1、安装ISA2004;2、配置ISA2004 实验时间:2010年11月14日 实验设备:1、安装Windows Server2003 操作系统的计算机; 2、网络适配器; 3、DNS服务器; 4、网络正常工作 实验记录: 安装和配置ISA2004前准备: 1、确认安装DNS服务器。 2、确认安装DHCP 服务器。 3、采用NTFS 文件系统格式的本地硬盘。 4、为连接到ISA 服务器计算机的每个网络单独准备一个网络适配器。 5、设定相关的IP地址。 6、关闭所有的防火墙。 安装ISA2004 步骤: 1、在ISA Server 2004服务器上已经建立好了一个内部的DNS服务器,所有客户端以ISA Server机的内部接口(10.0.1.1)作为它的网关和DNS服务器。我们安装的版本是ISA Server 2004中文标准版(Build 4.0.2161.50)。运行已给目录下的ISAAutorun.exe开始ISA Server 2004的安装,如图点击“安装ISA Server 2004”,出现安装界面。 2、点击“下一步”,在“许可协议”页,选择“我接受许可协议中的条款”, 3、点击“下一步”,在客户信息页,输入个人信息和产品序列号,点击“下一步”继续。在安装类型页,如果你想改变ISA Server的默认安装选项,可以点击“自定义”,然后点击"下一步": 4、在“自定义”页你可以选择安装组件,默认情况下,会安装防火墙服务器、ISA服务器管理,防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序,需要先在ISA Server 2004服务器上安装IIS 6.0 SMTP服务 5、点击“下一步”,在内部网络页,点击“添加”按钮。内部网络和ISA Server 2000中使用的LAT已经大大不同了。在ISA Server 2004中,内部网络定义为ISA Server 2004必须进行数据通信的信任的网络。防火墙的系统策略会自动允许ISA Server 2004到内部网络的部分通信 6、在地址添加对话框中,点击“选择网卡”,出现“选择网卡”对话框 7、在“选择网卡”对话框中,移去“添加下列专用范围...”选项,保留“基于Windows路由表添加地址范围选项。选上连接内部网络的适配器,点击OK。
防火墙设计(ISA配置) ISA三向外围网络初级实验 任务十二:用ISA2006实现本方案的三个安全区域,并制订一些防火墙规划,实现内网所有的用户都可以上网浏览网页,访问FTP,使用聊天工具MSN。DMZ区域发布的网站可以从外部和内部正常访问,该网站服务器使用私网地址。从外部无法访问内部网络的任何数据。实验环境需要用到3台虚拟机,角色分别是:ISA主机、DMZ区域的WEB,和内网用户机器,外网用户的虚拟机可用物理机充当。实验成功后,需要保存如下图片:(1)内网用户正常访问https://www.sodocs.net/doc/7c9851892.html,网站;(2)外网用户成功访问DMZ中WEB服务器时,对页面截图。(3)外网用户访问内部主机时出错的提示信息(用Ping和远程桌面连接来测试)。 说明:本实验非项目内容,是对项目相关联的知识点的实践。 1、实验环境 VMware Workstation 6.0、Windows Server 2003 Enterprise Edition SP2、ISA Server 2006企业版或标准版、Windows XP Professional。
2、实验拓扑 WebSer ISASer PC1UserPC Bridge VMnet3 VMnet2DMZ LAN 图1 ISA Server 2006实验拓扑 3. 实验要求 (1)实验环境准备: WebSer : 操作系统:Windows Server 2003 Enterprise Edition ; 计算机名:webSer IP :172.16.1.2/24,GW :172.16.1.1,DNS :202.96.128.68(电信DNS ); 所在网络:DMZ 区,VMNet3 作用:安装Internet Information Services (IIS )的计算机,配置测试的Web 网站; ISA Server : 操作系统:Windows Server 2003 Enterprise Edition ; 计算机名:isaSer 要求本机有三个网卡,分别处于不同的网络:
详解防火墙策略元素 我们在前面的工作中已经实现了ISA2006的代理服务器功能,接下来我们要实现ISA的访问控制功能。很多公司都有控制员工访问外网的需求,例如有的公司不允许员工访问游戏网站,有的公司不允许员工使用QQ等即时通讯工具,有的公司禁止员工下载视频文件,还有的公司只允许访问自家的门户网站…..这些需求都可以通过ISA2006防火墙策略中的访问规则来加以实现。既然如此,那我们赶紧来写上几条访问规则测试一下吧。别急,访问规则是由策略元素构成的,我们要想写出访问规则,首先要掌握策略元素,还是让我们从学习策略元素开始吧。准备一下实验环境,拓扑如下图所示,Denver是https://www.sodocs.net/doc/7c9851892.html,的域控制器,Perth 是域内的工作站,Beijing是ISA2006服务器,Beijing也加入了域。 我们的目标是先写出一条访问规则:允许在午休时间(12:00-13:00),人事部和财务部的员工可以访问互联网上除百度之外的网站,而且访
问网站时不能访问视频和音频内容,我们通过这条规则的实现过程来学习策略元素。 如下图所示,打开ISA服务器管理,选中防火墙策略,此时右侧面板的工具箱中显示的就是策略元素,大家看到的有协议,用户,内容类型,计划,网络对象等,下面我们一一展开分析。 一协议 协议元素限制了用户访问外网时所使用的网络协议。例如我们此次实验的目标是只允许部分用户访问一些特定网站,那我们就可以在访问规则的协议元素中限定用户只可以使用HTTP和HTTPS,这样就保证了用户只能访问网站。当前ISA中有一个很宽泛的访问规则,如下图所示,允许内网和本地主机可以使用任何协议,
实验 ISA Server 2006防火墙的配置及应用 一、实验目的 掌握ISA Server 2006防火墙的配置和使用方法。 二、实验内容 1.了解ISA Server 2006的主要功能 2.掌握ISA Server 2006的安装 3.掌握ISA Server 2006的客户端应用 4.掌握ISA Server 2006在网络保护方面的配置 三、实验要求 1.局域网连通,多台计算机 2.WINDOWS Server 2000操作系统,ISA Server 2006防火墙 四、实验学时: 2学时 五、实验步骤 步骤1 安装ISA Server 2006防火墙 1.选择图1中的“ISA2K6EVLS_CN.exe”ISA Server 2006防火墙软件,安装ISA Server 2006防火墙 图 1
图2 2.单击【安装ISA Server 2006】,出现如图3所示对话框,开始安装ISA Server 206企业版。 图3 3.一直单击【下一步】按钮,直到出现【安装方案】对话框,在该对话框中选择安装方案,在此选择【同时安装ISA Server服务和配置存储服务器】选项,如图4所示。 图4
4.单击【下一步】按钮,,出现【组件选择】对话框,在此安装【ISA服务器】、【ISA 服务器治理】和【配置存储服务器】组件,如图5所示。 图5 5.单击【下一步】按钮,出现【企业安装选项】对话框,选择【创建新ISA服务器企业】选项,如图6所示。 图6 6.单击【下一步】按钮,出现【新建企业警告】对话框,显示将此计算机配置为配置存储服务器,如图7所示。 图7
ISA防火墙发布和访问规则 一、防火墙策略规则的工作原理 首先说下ISA的主要功能以及为什么需要创建规则:ISA Server 的主要功能是将内部网络连接到Internet中,并保护局域网免受外部网络的破坏,既然是保护,当然就需要对网络访问做出一点的规定和约束,用以限制外网对内部访问时的权限,当然也可以限制内部用户 下面说下其工作原理:1、当客户发出请求要访问Internet资源时,ISA首先检测网络规则。网络规则可以是路由或NAT。检查网络规则后,ISA Server 会检查访问规则,只有ISA Server访问规则中允许的协议才能通过,否则被拒绝。如果访问规则中没有定义任何协议,则客户的访问也会被拒绝。 2、如果ISA中设定了多个访问规则,若前面的规则拒绝了某个协议,则 此协议肯定被拒绝,无论后面的规则是否允许此协议通过(与NTFS权限中的拒绝大于一切相似)。 3、如果客户机是WEB代理客户端,ISA Server将还要检查路由规则。若 是SecureNAT或防火墙客户端,则检查防火墙配置,以决定是否提供服务。 注意:在安装ISA Server时系统将创建一条默认规则,用于拒绝所有出入网络的访问。不能修改或者删除,所以默认情况下,若不添加任何规则,客户的访问会被拒绝 二、创建访问规则 案例:BENET公司的局域网通过ISA防火墙与外部Internet相连,如何使内部局域网用户可以通过ISA防火墙访问Internet? 1、打开“ISA服务器管理”,单击“创建访问规则”输入访问规则名称,单击下一步
2、选择“允许”,单击“下一步”。 3、在“协议”页选择“所有出站通信”,“下一步”。 4、单击“添加”按钮,网络类型选择“内部”,单击“添加”。 5、添加访问规则目标为“外部”,“添加”。 6、制定用户为“所有用户”(当然也可以根据需要添加), 7、完成后,单击应用 三、发布规则 1、为什么要创建发布规则? 由于防火墙的存在,外部用户不能直接访问企业内部网络。如果企业申请了自己的Internet域名并通过自己的网站对外提供Web服务,但外部用户会应为ISA防火墙的存在而不能访问企业内网的Web服务器。要使外网用户能够访问内网的某些特定服务器,同时又能保证这些服务器的安全,就需要用到服务器发布技术 2、什么是发布? 将内部网络上的服务提供给外部网络用户访问的过程叫做发布(Publish)。发布企业内部网络中的服务时,ISA Server处理所有的外部客户向内部提出的请求,并将请求转发给内部网络中对应的服务器。 四、web服务器的发布。 1、发布原理:发布位于ISA之后的Web服务器后,ISA将代表内部Web服 务器接收请求。ISA上的Web发布规则将请求转发到内部Web服务器。 2、发布方法: ★Web服务器的网关指向ISA的内网网卡 ★Web服务器的DNS要设成能解析Internet域名的DNS服务器 3、发布Web服务器示例
部署防火墙策略的十六条守则 内容概述:在部署防火墙策略时,你需要遵守一些规则。以下是我总结出来的十六条守则,希望你能够认真的看一下,并且牢牢的记住,这样,你才能最有效的、最高效的、最安全的、最稳定的部署你的防火墙策略。如果你有些不能理解,请先参见站内其他技术文章,当你对ISA有了更深的认识时,你就能够彻底的理解了。 1、计算机没有大脑。所以,当ISA的行为和你的要求不一致时,请检查你的配置而不要埋怨ISA。 2、只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则,看规则的元素是否和你所需要的一致,尽量避免使用拒绝规则。 3、针对相同用户或含有相同用户子集的访问规则,拒绝的规则一定要放在允许的规则前面。 4、当需要使用拒绝时,显式拒绝是首要考虑的方式。 5、在不影响防火墙策略执行效果的情况下,请将匹配度更高的规则放在前面。 6、在不影响防火墙策略执行效果的情况下,请将针对所有用户的规则放在前面。 7、尽量简化你的规则,执行一条规则的效率永远比执行两条规则的效率高。 8、永远不要在商业网络中使用 Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks),这样只是让你的ISA形同虚设。 9、如果可以通过配置系统策略来实现,就没有必要再建立自定义规则。 10、ISA的每条访问规则都是独立的,执行每条访问规则时不会受到其他访问规则的影响。 11、永远也不要允许任何网络访问ISA本机的所有协议。内部网络也是不可信的。 12、SNat客户不能提交身份验证信息。所以,当你使用了身份验证时,请配置客户为Web代理客户或防火墙客户。 13、无论作为访问规则中的目的还是源,最好使用IP地址。 14、如果你一定要在访问规则中使用域名集或URL集,最好将客户配置为Web代理客户。 15、请不要忘了,防火墙策略的最后还有一条DENY 4 ALL。 16、最后,请记住,防火墙策略的测试是必需的。 深入剖析防火墙策略的执行过程:ISA2006系列 正确理解防火墙策略的执行过程 很多初次接触ISA的管理员,经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使用QQ聊天,可你看这个老兄正在和多个MM聊得热火朝天;早就禁止在上班时间访问游戏网站,可这个家伙不正在和别人下棋吗?最郁闷的是就连简单的禁止访问百度搜索引擎都做不到,照样有很多人用百度搜来搜去……不少深感智力受到侮辱的网管愤怒地发出了“ISA就是不灵”的吼声。ISA真是不灵吗?不是的,其实发生这些的主要原因是ISA管理员并没有真正理解防火墙策略的执行过程。今天我们就来好好地分析一下ISA防火墙策略的执行
I S A防火墙策略配置 文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
第九章I S A防火墙策略配置实验案例一: 实验环境 实验拓扑图如图,请发布位在内网的exchange2007建立的网站,发布到ISA上,内网的IP 为网段,外网的IP为网段,ISA的内网的IP为 为了实验完成,配置一个为外部网络解析域名的DNS服务器 需求描述 1在WEB服务器上建立网站 2配置为外网解析域名的DNS服务器 3在ISA计算机上发布为外网提供服务的DNS服务器 4在ISA计算机上发布WEB服务器中的网站 5从外网计算上用域名访问WEB网站 推荐步骤 1实验准备 1按图所示的拓扑图建立网络环境 2在ISA计算机上安装ISA server 2006企业版 3在WEB服务器上的计算机上建立网站 2配置DN服务器 配置为外网提供服务的DNS服务器 3发布DNS服务器 (1)在ISA计算机上发布为外网提供服务的DNS服务器 在防火墙策略中选择新建“访问规则”是内网用户可以ping同外网用户,选择非WEB服务器协议发布规则建立DNS服务 在服务器名称中输入DNS 服务器IP地址中输入服务器IP地址 选择的协议选择DNS服务器 侦听器IP地址选择外部 (2)使用”pipng ”命令测试发布是否正常 4发布WEB服务器 (1)在ISA计算机上建立网站发布规则 选择防火墙策略中的网站发布规则 (2)应用网站发布规则
5访问WEB网站 (1)在外网计算上使用域名访问网站 (2)在外网计算机上使用IP地址访问 实验案例二:发布Exchange 2007邮件服务器 实验环境 Benet公司的局域网通过ISA server2006的防火墙与外网相连。如何在ISA防火墙上发布局域网内部的Exchange2007邮件服务器,使公司员工在外出差时可以使用outlook Express访问局域网的邮件服务器,收发商务邮件benet公司的网络拓扑图如图 需求描述 建立Exchange2007邮件服务器 发布邮件服务器 验证邮件服务器的发布 推荐步骤 1实验准备 (1)按图所示的拓扑图建立网络环境 (2)在邮件服务器的计算机上安装Exchange2007 (3)在ISA计算上安装ISA Server 2006企业版 2发布邮件服务器 在ISA计算机上发布邮件服务器 为了实验成功最好在hosts文件中添加记录 3验证邮件服务器的发布 (1)登陆邮件服务器给邮件服务器的administrator发邮件 (2)使用owa收发邮件,测试服务器的发布是否成功