教育城域网的安全防护探析

教育城域网的安全防护探析绍兴县教育局-冯荣标教育城域网建设是教育信息化的重要组成部分，其中城域网的网络安全工作一直是各地教育行政部门比较重视的问题，本文作者通过对ISA的安装使用，介绍了利用ISA进行教育城域网网络安全防护方面的经验。ISAServer是微软公司推出的一款重量级的边缘网络安全产品，被公认为X86架构下最优秀的企业级路由软件防火墙。凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能等在许多领域有着广泛的应用。通过在绍兴县教育城域网的全面部署，总体性能感觉与思科ASA系列防火墙不分伯仲。ISAServer完全支持七层网络协议的管理，可以对客户端应用程序（如：QQ）进行控制,还可以对网站URL关键字进行过滤，整体建设成本却非常低（一台一万五的服务器+正版ISA+正版Win2003R2的整体费用不到二万元，却可以管理全县19个镇街22所初中上网，并且直接充当防火墙，而同级别的一个上网行为管理产品至少需要十多万）。ISA同传统上网行为管理产品的最大区别是可以实现与活动目录结合进行上网认证及客户端计算机的远程管理功能，可以为每一位上网教师分配一个上网帐户，将安全事故、上网行为落实到个人。其升级版ForefrontThreatManagementGateway2010中文版（简称TMG2010），全面支持64位操作系统。由于目前TMG2010我县还在测试（主要测试对恶意代码、木马防控及64位系统的性能提升方面），本次将围绕以Windows2003R2+ISA2006标准版为基础重点讲述ISA的网站发布与管理功能，结合IIS来加强网站安全防护。一、ISA的安装以上是方案的网络拓扑图，非常简单，要注意的问题是服务器不管有多少块网卡，DNS只能在其中一块网卡中设置，一般情况下为连接外网的网卡上写上ISP的DNS服务器。例1：服务器配置，具体看各地财政情况，有钱可以买个专业服务器，没钱搞个PC机代替也行，关键是内存需要1GB以上（最大不要超过2GB，因为超过这个，ISA是不支持的，TMG2010由于是64位的，可以支持4GB以上），我县教育城域网上用于网站发布的服务器为一台普通PC（P43.0/1GB/160G），配置了二块网卡分别连接内外网例2：ISA双网卡的IP地址设置：内网卡：IP：10.1.1.254，子网掩码：255.255.255.0，网关：无，DNS：无外网卡：IP:122.224.8.241，子网掩码：255.255.255.224，网关：122.224.8.225，DNS：202.96.107.27（绍兴电信的DNS）安装非常简单，选择自定义安装，除下面给出的安装顺序图例需要选择外，其它的全部选下一步就行了二、网站的发布安装完成后可以直接进行网站的发布，如果是进行内部客户端上网，还需要设置相应的访问策略1、右键单击ISA“防火墙策略”，选择“新建”中的“网站发布规则”，出现发布向导2、为规则取一个名称，如“发布初中网站”（可以一次性将同一个WEB服务器上的所有网站发布出去）后点“下一步”选择“允许”，再点“下一步”，出现选择发布类型（见图1），一般选择前二项，其中第二项“发布负载平衡Web服务器的一个服务器场”主要实现多台WEB服务器负载平衡，并且在其中一台死机情况下，自动将访问请求转到其它服务器，保证网站的正常访问。在本方案中我们选择第一项“发布单个网站或负载平衡器”后点“下一步”，由于我们不是HTTPS方式的网站，所以在下一选择中选“使用不安全的连接连接发布的WEB服务器或服务器场”。点“下一步”后出现要求提供内部网站详细信息的对话框。图13、设置内部发布详细信息（见图2），输入内部网站名称，如，若担心ISA无法解析，可以输入域名对应的IP地址，如10.1.1.5。图23、点“下一步”后选中“转发原始主机头而不是前一页的内部网站名称字段中指定的实际主机头”，这里主要是为了实现某些服务器是按主机头存放多个网站时（如服务器上存放着、等多个网站时，是通过主机头的方式来判别的），再点下一步，出现要求输入此网站的公共名称窗口，即允许外部访问的名称，如（注意与前一步设置名称在概念上的区别，前一步是让内部用户访问，这步是让互联网用户访问），这样互联网用户访问此域名的时候，就可以通过DNS解析到ISA服务器的外网地址，WEB侦听器会自动侦听并引导用户访问此域名对应的内部网站（若有多个网站指向此外网地址时，在设置完成后要进行进一步设置，具体后面讲述）。4、接着设置Web侦听器，由于一般网站默认使用80端口，所以安装ISA时不能有进程监听80端口（一般只要不在服务器上安装IIS或其它Web服务器就可以了）。由于默认没有可用的侦听器，通过点击“新建”，开始创建一个侦听器，首先为侦听器设置一个名称，如“侦听80端口”后点“下一步”，由于此次设置的网站不是采用SSL/HTTPS技术进行防护的，所以选择“不需要与客户端建立SSL安全连接”后点“下一步”，选择此侦听器侦听来自哪儿的WEB请求，一般情况下选内部与外部二项或直接选外部一项，点“下一步”后选择身份验证方式，一般对外网站不需要进行身份验证，所以选择“没有身份验证”，一直点下一步直到完成后回到刚才的网站发布向导，可以在下拉列表框中选择此侦听器了，选中后一直点下一步直到完成，完成后点“应用”来启动此发布规则。5、发布一台WEB服务器上的多个对外网站：教育城域网上一台服务器一般不可能只存放一个网站，而是通过主机头的方式发布多个网站，如：、等，只要在刚才的发布向导完成后双击该发布规则，选择“公共名称”，添加在同一台WEB服务器上的多个对外网站的域名（见图3，强烈建议不要选择所有请求）。对应的网站管理员只要在域名解析中将域名指向此ISA服务器的外网地址即可。图36、发布不同WEB服务器上的网站，方法非常简单，只要按上面的方法再创建一条发布规则就可以了，唯一不同的是不用再创建WEB侦听器了，直接选择刚才创建的侦听器就可以了。三、发布非WEB服务器协议有时候我们需要将内部服务器上的MediaService、FTP、SMTP、POP3等服务协议发布出去，其方法与WEB发布差不多，只要在新建的时候选择新建“非WEB服务器协议发布规则”，按向导提示完成即可。由于ISA可以对发布的规则进行非常细致的设置，如可以对WEB规则进行HTTP协议的安全控制，采用该方式发布的服务器应用，比直接将IP设置成互联网地址发布要安全很多，下面将举例讲一下常见的SQL注入防护。四、SQL注入、跨网站脚本等攻击的防护WEB网站存在的系统安全漏洞、弱口令、SQL漏洞、网站代码漏洞等造成网站被攻击的主要原因，其中除了网站代码漏洞外，其它都较容易解决。而网站代码漏洞（包括网站所用的后台编辑器漏洞等）比较难解决。然而ISA很好的解决了这个问题，我们只要右单击刚才所建立的WEB发布规则，选择“配置HTTP”来打开HTTP过滤器的设置，限止一些HTTP请求的选项，让SQL注入、跨网站脚本等无法进行，大家可以根据下面一些主要设置图中的参数进行设置，即可以有效防护自己的WEB服务器免遭攻击。在“常规”选项卡的“URL保护”中，设置“最大URL长度（字节）”处，建议设置为150、查询长度设置为120，并启用“验证正则化”，取消“阻止高位字符”，同时选中“阻止包含Windows可执行文件内容的响应”，其中URL长度是指要Internet用户访问要保护的网站时，在IE浏览器中键入的网站的地址，例如，在本例中，假设要保护的网站是，用户要搜索isa，其访问的网址是=ISA&cl=3&ie=utf-8，其中是上面所说的URL长度，每个英文字母、标点符号占用一个字节，如果有中文字符，每个中文字符占用两个字节，而?号及?之后的为上面所说的查询长度。一般情况下，URL长度、查询长度要根据网址的最大长度（包括各个链接页）设置，一般设置最大URL长度150、查询120即可。启用“阻止包含Windows可执行文件内容的响应”选项时，即使黑客上传了木马程序到网站中，ISAServer也会阻止木马程序的运行。在“方法”选项卡中，对“指定HTTP方法要执行的操作”，选择“只允许指定的方法”，一般网站只要允许GET、POST方法就可以了。“签名”选项卡是防止各类SQL注入、跨站脚本等攻击最重要的设置。当我们通过WEB安全扫描工具查出SQL注入、跨网站脚本等安全漏洞后，如扫描到“'or'1'='1”为SQL注入关键字，只要点击“添加”，一定要选择签名的搜索条件为“请求URL”，然后在签名处输入这个签名“'or'1'='1”即可，下面给出常见的签名过滤关键字，只要将这些关键字（如果跟自己网站的URL冲突，可以不添加这个关键字）添加到签名中即可解决自己的网站SQL注入、跨网站脚本等安全问题。常见关键字（以后还可以根据自己对网站的安全扫描不断添加完善属于自己的过滤关键字）：CMD、1＝1、1＝2、and、exec、insert、delete、update、count、*、%、chr、mid、master、truncate、char、declare、upload、&、net、admin。在设置了URL长度、签名之后，如果在打开某个网站地址时，出现“错误代码500”等错误页，请检查设置的URL长度是否太短，地址栏中的字符是否在“签名”中被过滤掉，这些可以根据实际情况配置。通过上面的方法设置好ISA后，已可非常有效的防止黑客的攻击，然而正如上面所说，一台WEB服务器不可能只存在一个WEB网站，一般情况下都通过主机头的方式存放多个网站，万一有一个网站被黑客攻破，会殃及其它网站甚至整台服务器的网络安全，因此我们还要需要通过下面一招来防护WEB服务器的安全五、WEB服务器上IIS的安全防护原理非常简单，将同一WEB服务器上的各个网站的安全问题隔离开，即使一个网站被黑，也可以保证其它网站的安全。1、为每一个网站建立一个独立的用户（一定要禁用默认的Internet来宾帐户）。右键单击“我的电脑”选择“管理”，在“本地用户和组”为每一个网站建立一个独立的用户，建立完成后必须要删除此用户隶属于默认的Users组，只能隶属于Guest组。2、为每一个网站建立一个独立的“应用程序池”（一定要禁用默认的应用程序池）。在使用IIS管理器建立网站之前，必须先为每个网站建立一个应用程序池，方法为右键单击“应用程序池”，选择“新建”中的“应用程序池”，输入应用程序池名称后确定，然后右键单击刚才建立的应用程序池，选择属性进行更详细的设置，主要是进行每个网站点用系统CPU与内存的设置，建议将最大使用内存设置为50-80MB之间，最大CPU（双核的情况下）使用率设置在5%。通过这个设置，黑客就没办法疯狂地对网站发动攻击了，而且可以控制每个网站占用系统资源3、通过主机头方式建立各网站并对每个不同的网站分别进行安全设置。具体过程这里就不再重复讲了，主要讲一下按向导建立后的一些细节设置，右单击刚建立的网站，选择属性：A、更改默认的应用程序池：由于刚才已为每一个网站建立了应用程序池，所以要选择网站属性中的“主目录”选项卡中的对应建立的应用程序池，不同的网站选择自己对应的应用程序池，这样即使黑客对某一个网站发动攻击，由于不同的应用程序池占用内存与CPU受到了上面设置的严格限止，所以其它网站的性能不会受到影响，否则如果所有网站使用同一个应用程序池，那黑客一发动对一个网站攻击，所有网站速度等性能会受非常大的影响B、更改网站的目录安全。这项设置是将黑客攻破网站后将权限锁定在对应目录中，结合上面的ISA设置，可以限止其提升在整个操作系统中的用户权限进而控制整个服务