第4章用访问策略配置Internet安全

第4章用访问策略配置Internet安全4.1用ISAServer创建访问策略..........................................................................................................................................814.2创建自定义的策略单元..................................................................................................................................................864.3配置协议规则..................................................................................................................................................................944.4配置站点和内容规则....................................................................................................................................................1034.5配置IP数据包筛选器..................................................................................................................................................1124.6配置ISAServer以检测外部攻击和入侵....................................................................................................................1224.7本章复习........................................................................................................................................................................126本章概要创建Internet安全策略需要考虑特定的网络配置和安全需要。安全需要可能会根据用户、计算机、源IP地址、目标IP地址、时期、协议、内容类型以及所要求的Web站点的不同而有所差别。要创建适合自己网络的访问策略，首先必须要了解ISAServer是如何处理客户请求的。然后，分别创建满足特定要求的策略单元，例如时间表和客户集等。接着，才能够开始配置访问策略的3种规则：协议规则、站点和内容规则，以及IP数据包筛选器。最后，为了防止有害的外部入侵破坏网络，可以选择启用防火墙的入侵检测功能。先决条件为了学习本章，您必须：达到“前言”所列的要求。Server1配置为域控制器，IP地址为192.168.0.1；Server2配置为该域中的一个成员，IP地址为192.168.0.2。Server1必须建立到Internet的拨号连接。完成本书第3章中所有的练习。第4章用访问策略配置Internet安全814.1用ISAServer创建访问策略ISAServer的一个主要功能就是将局域网连接到Internet中，并保护局域网免受外部信源的恶性内容的破坏。要定义适合自己网络的安全链接，可以用ISAServer来创建允许内部用户访问特定的Internet主机的访问策略。用户访问Internet的方式则由访问策略和路由规则一起决定。本节学习目标描述ISAServer如何处理传出请求说明ISAServer处理来自防火墙的通过身份验证的用户和Web代理客户的请求所需要的条件。选择ISAServer的系统安全级别估计学习时间：30分钟4.1.1控制传出请求ISAServer处理一个传出请求时，首先检测路由规则、站点和内容规则以及协议规则，以确定该访问是否得到规则许可。只有协议规则以及站点和内容规则都许可，同时没有一个规则明确地拒绝该请求时，它才能允许传出。ISAServer安装成防火墙模式或集成模式时，会激活一个预定义的站点和内容规则，允许对所有站点以及所有内容进行访问。但是，协议规则没有设置为默认状态的。协议规则以及站点和内容规则可用于源客户地址集(IP地址范围)或者是请求某一对象的特定的用户或组。根据客户端类型安全网络地址转换客户端、防火墙客户端、以及Web代理客户端)和ISAServer配置的不同，ISAServer处理请求的方法也不相同。对于一个传出请求，规则和数据包筛选器按如下次序处理：1.协议规则2.站点和内容规则3.IP数据包筛选器4.路由规则或防火墙链式配置图4.1所示为传出Web请求的处理流程图解。ISAServer在检测其他规则或数据包筛选器之前，先检测协议规则。ISAServer允许请求的条件是：有一个协议规则明确地允许该请求，同时没有其他的协议规则明确地拒绝该请求。检测完协议规则之后，ISAServer开始检测站点和内容规则。ISAServer允许该请求的条件是：有一个站点和内容规则明确地允许该请求，同时没有其他的站点和内容规则明确地拒绝该请求。检测完站点和内容规则之后，ISAServer通过检测判断是否是特定配置了IP数据包筛选器来阻塞该请求。需要说明的是，IP数据包筛选器和协议规则以及站点和内容规则不同，它并不一定要特定配置来允许客户机的请求。要点就Internet访问，ISAServer计算机和客户端的行为有很大的区别。来自ISAServer计算机的请求，IP数据包筛选器允许其有完全的Internet访问权限。和ISAServerMCSE制胜宝典——MicrosoftInternetSecurityandAccelerationServer200082客户端不同的是，ISAServer计算机一旦配置了允许类型的协议规则以及站点和内容规则，就不再具备完全的Internet访问权限。不过，IP数据包筛选器是静态的，规则是动态的，所以一般情况下不应经常使用ISAServer计算机作Internet访问。因此，对于位于ISAServer之后的客户端，本书将重点介绍如何配置安全的Internet访问(关于配置IP数据包筛选器详见本章4.5节)。来自内部客户端的请求是否有协议规则拒绝请求拒绝请求是否有协议规则允许请求是否有站点和内容规则拒绝请求是否有站点和内容规则允许请求IP数据包筛选器阻塞请求吗？路由规则指定该目的吗？该路由直接到Internet吗？检索对象路由到上游服务器吗？否是是是是否否否否是是是否图4.1处理访问请求最后，ISAServer通过检测路由规则(如果是Web代理客户向对象提出请求)或者FirewallChaining(防火墙链式)配置(如果是安全网络地址转换客户或防火墙客户向对象提出请求)，来决定如何为请求提供服务。例如，假设您是以集成模式或防火墙模式安装了ISAServer。您的计算机上有两个网卡，其中一个网卡与Internet相连，另一个与局域网相连。您公司允许所有的用户访问所有的站点。在这种情况下，您的策略应该包含以下访问策略规则：协议规则允许所有的内部客户能在任意时候使用任一种协议。站点和内容规则允许每个人能在任意时候访问任意站点上的内容。需要说明的是，该规则允许内部客户对Internet的访问，但不允许外部客户访问局域网。第4章用访问策略配置Internet安全834.1.1.1配置访问策略ISAServer中配置的访问策略包括站点和内容规则、协议规则、以及IP数据包筛选器。对于独立的服务器应创建独立的访问策略。对于阵列服务器，可以创建阵列级的访问策略、企业级的访问策略，或者将这二者结合起来。访问策略规则适用于所有的客户端类型：防火墙客户端、安全网络地址转换客户端和Web代理客户端。4.1.2规则和身份验证通过配置协议规则以及站点和内容规则来准许或拒绝特定用户对指定协议、Internet站点、或者内容的访问。规则配置好后并将其激活，每一个客户端请求都要先通过ISAServer的身份验证。然后，才能允许通过ISAServer的防火墙。对于安全网络地址转换客户端、防火墙客户端、以及Web代理客户端，ISAServer处理身份验证的方法也有区别。注意特定客户机规则和特定用户和组的策略规则不同，它是针对安全网络地址转换客户端、防火墙客户端、以及Web代理客户端而实施的。它是为客户端地址集配置的规则。客户端地址集根据IP地址范围而不是由计算机名来定义。所有的客户端类型都提供客户端机的IP地址，它们提供的信息对于成功地执行该规则很必要。4.1.2.1安全网络地址转换客户端与身份验证安全网络地址转换客户端请求包括所有非Web的Internet请求，且这些请求都来自于那些没有安装FirewallClient的客户端。例如，当做出邮件和新闻请求的客户端计算机的防火墙客户端软件没有激活时，这些请求就被当做安全网络地址转换会话处理。安全网络地址转换客户端提出请求时，不需要向ISAServer提供用户名或计算机名等信息。因此，访问策略规则要求身份验证时，ISAServer会拒绝让安全网络地址转换客户端的请求通过。例如，如果您的访问策略既包含协议规则，又包含站点和内容规则，它们允许域用户(DomainUsers)组的成员能够在任意时候访问所有的协议和所有的站点。当用户John以安全网络地址转换客户端身份向ISAServer提出邮件请求时，尽管他是DomainUsers组的一个成员，但他的请求还是会被拒绝。安全网络地址转换请求不能提供身份证明，而访问策略规则又要求身份验证。所以，所有的安全网络地址转换请求都会被无条件地拒绝。在这种访问策略下，John的非Web的Internet请求要得到准许，他必须在发出访问请求的计算机上安装防火墙客户端软件并激活它，同时他还必须是DomainUsers的成员。4.1.2.2防火墙客户端与身份验证防火墙客户端向ISAServer提出请求时，会提供用户名和计算机名等信息。因此，在FirewallClient会话中可以实施要求身份验证的访问策略规则。而且，来自Firewall客户端的非Web请求也不会被无条件地拒绝。如安全网络地址转换客户端所遇到的那种情况。例如，如果您的访问策略既包含协议规则，又包含站点和内容规则，它们允许DomainUsers组的用户在任意时候访问所有的协议和所有的站点。那么当(且仅当)John是该组的一个成员时，他的邮件请求才会被允许通过ISAServer的防火墙。同样，如果另有协议规则拒绝John的访问，那么他从Firewall客户端上所发的非Web请求将会被拒绝。MCSE制胜宝典——MicrosoftInternetSecurityandAccelerationServer2000844.1.2.3Web代理客户端与身份验证Web代理客户端请求默认情况下设置为匿名请求。但是，在两种情况下Web代理客户端必须提供身份标识。出现下述任一情况，Web代理客户端会话要执行为特定用户或组所配置的规则：默认ISAServer属性已经被修改，传出请求要求身份验证访问策略包含一个为特定用户或组所配置的允许类型规则(不论是协议规则还是站点和内容规则)任何为特定用户或组配置的允许类型规则都会提示Web代理客户端产生一个用户已经通过验证的会话。访问策略包含为特定用户或组定义的拒绝类型规则时