1 / 65

ISA Server 2004 管理入門篇

ISA Server 2004 管理入門篇. 顧武雄 Jovi Ku jovi@cogate.com.tw. 講師介紹. 高傑信公司 - 技術顧問 Microsoft CTEC 教育中心講師 Microsoft MVP & 特約講師 Windows &.NET Magazine – 特約作者 Information Security Magazine - 專欄作家 網路資訊 、 Run!PC 、 NetAdmin 電腦雜誌 – 專欄作家 旗標、文魁以及碁鋒圖書作者 個人著作 : Microsoft ISA Server 建置與管理

kolya
Download Presentation

ISA Server 2004 管理入門篇

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISA Server 2004管理入門篇 顧武雄 Jovi Ku jovi@cogate.com.tw

  2. 講師介紹 • 高傑信公司-技術顧問 • Microsoft CTEC 教育中心講師 • Microsoft MVP & 特約講師 • Windows &.NET Magazine –特約作者 • Information Security Magazine -專欄作家 • 網路資訊、Run!PC、NetAdmin 電腦雜誌–專欄作家 • 旗標、文魁以及碁鋒圖書作者 • 個人著作: • Microsoft ISA Server 建置與管理 • SharePoint Portal Server徹底研究 • Microsoft Access Project with SQL Server • ISA SERVER 2004 系統安全整合實務 • Small Business Server 2003 系統整合管理實務 • Microsoft Operations Manager 2005 IT智慧整合管理實務

  3. 議程 • ISA Server 2004 技術概觀 • 安裝說明 • 用戶端部署指引 • 防火牆原則管理技巧 • 警示報表功能的使用

  4. ISA Server 2004 技術概觀

  5. 人員 管理暨安全 基礎建設 政策推行 安全監控 資料 個人電腦 伺服器 Microsoft 管理及安全防護解決方案

  6. 為什麼需要部署ISA Server? • 公司上網連線效能不彰 • 硬體防火牆功能延展性太差 • 硬體防火牆硬體擴充不易 • 需要更安全的應用層級防火牆 • 需要整合Active Directory 使用者驗證 • 需要沒有Session限制的防火牆系統 • 需要有強大VPN SERVER的服務 • 需要有VPN Client 隔離控管機制 • 需要有入侵偵測、郵件過濾、報表功能 • 需要集中控管企業中所有防火牆 • 希望全面中文化的管理介面與報表服務

  7. 防火牆主要特色 • 多重網路存取控管 • 整合Windows 2003 VPN SERVER • VPN Client 隔離控管機制 • 支援AD、Radius、SecurID身分驗證 • HTTP Content Filter • 記錄檔即時篩選監控、效能即時監控 • 整合Exchange Server 5.5/2000/2003 OWA SSL 表單驗證機制 • 整體或個別組態項目的匯入與匯出 • Administrator Delegation

  8. 只有被允許的應用程式封包可以通過。 IP標頭 Source Address,Dest. Address,TTL, Checksum TCP標頭 Sequence NumberSource Port,Destination Port,Checksum 應用層內容 <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" ISA Server 2004 應用層級防護能力 企業網路 網際網路 傳統防火牆 應用層防火牆

  9. 常見架構模式(一) • 唯一使用ISA Server做為邊緣防火牆

  10. 常見架構模式(二) • 整合企業現有硬體式防火牆架構

  11. Internet VPN CorpNet_1 DMZ_1 CorpNet_n Local HostNetwork DMZ_n Net A ISA Server 2004 多重網路架構 • 每一張網路介面卡均連接到每一個網路 • 每一個網路都與其他網路有所區隔 • 可以在每個網路間定義不同的存取原則 • 只有設定允許通訊的規則,才能加以存取 ISA 2004 • 互相連接可藉由網路位址轉譯 (NAT) 或路由關聯性設定網路規則

  12. 網站快取服務 • 加速用戶端連線、減少Internet頻寬的佔用。

  13. 常見架構模式 控管使用者層級的網站連線存取。 • 使用Web Proxy模式整合現有防火牆。

  14. 三種快取模式 • 正向快取:提供企業內部使用者,對於外部網際網路連線存取的快取服務。 • 反向快取:提供外部網際網路對於企業內部所發佈的網站,在進行連線存取時所提供對外的快取服務 。 • 分散式快取:在同一個Active Directory網域的多部ISA Server陣列主機上,結合成一個快取資訊內容不重複的高效能快取資料庫,來提供給用戶端電腦不間斷的快取服務。

  15. 企業版特色(一) • 集中式的管理:管理者可以從企業中任一的ISA Server管理介面,來集中管理佈署在企業中任何位置的ISA Server陣列以及旗下成員伺服器的設定。 • 企業原則的套用:在企業網路中所有ISA Server原則的設定,管理者都可以強制它們直接套用最上層指定的企業原則,以及授權給不同陣列層級的管理者適當的原則設定功能。 • 分散式快取:在擁有多部企業版的ISA Server快取伺服器的網路環境中,可以讓陣列中的每一部ISA Server主機透過快取陣列路由通訊協定(CARP,Cache Array Routing Protocol),來分享彼此的快取內容,以達到更快速提供快取資訊回應給用戶端的目的。

  16. 企業版特色(二) • 網路負載平衡:無論是面對內部或外部用戶端的連線存取,如今都可以在ISA Server 2004企業版的管理介面中,直接設定與啟用網路負載平衡(NLB,Network Load Balancing )的功能,不僅大幅提昇了系統運作的效能,還同時解決了相互備援的問題。 • 集中式的儲存區:ISA Server共用的組態設定資訊是以Active Directory應用程式模式(ADAM)存放。 • 集中式的監視:只要使用者擁有適當的權限,便可以從任何的位置來監視ISA Server的運作狀態。

  17. ISA Server 2004 安裝說明

  18. 安裝準備 • 256MB以上記憶體,至少150MB以上NTFS剩餘硬碟空間。 • 視需求預先安裝好兩片或三片以上網路卡,並且定義好內外網卡的TCP/IP設定。 • Windows 2003 Server或Windows 2000 Service Pack 4以上版本(須再加裝KB821887修正程式與IE6.0 SP1)。 • 安裝網際網路服務(IIS)中的SMTP服務(選用)

  19. 安裝ISA 2004標準版(一) • 點選[安裝ISA Server 2004]

  20. 選擇安裝類型與元件 • 一般安裝選項不包含[防火牆用戶端安裝共用] 、[訊息過濾程式] 。

  21. 設定內部網路IP區段 • 也可以直接點選[選擇網路卡] 。

  22. 防火牆用戶端連線設定 • 開始安裝期間系統將停止SNMP與IIS Admin服務。

  23. 中文ISA Server 2004管理主控台 • 全新改良設計的直覺化管理介面

  24. 請立即更新ISA Server 2004 SP2 • SP2提供哪一些新特色 • 支援BITS快取 • HTTP壓縮 • 提供流量優先權設定 • 支援Windows Server 2003 R2 • 支援SQL Server 2005 • 新的憑證警示機制 • 服務品質監控支援(SQM)

  25. ISA Server 2004 用戶端部署指引

  26. 三種用戶端支援 • SecureNAT Client:如同硬體防火牆一樣,用戶端設定只需要閘道IP即可,但是不提供使用者驗證。 • Firewall Client:不需要設定閘到IP位址,支援使用者驗證。 • Web Proxy Client:需要設定瀏覽器Proxy連線設定,使用者驗證僅限HTTP、HTTPS、FTP。

  27. SecureNAT Client • 在IP喜好設定中勾選[啟用IP路由]即可。 用戶端網路卡TCP/IP設定。

  28. Firewall Client • 系統預設會自動完成IE的Proxy設定

  29. Web Proxy Client • 確認啟用Web Proxy、手動設定IE Proxy連線。

  30. 啟用Web Proxy自動探索設定(一) • 請開啟內部網路的[內容]來完成設定。

  31. 啟用Web Proxy自動探索設定(二)完成DNS與DHCP必要設定 • 請預先在內部的DNS主機設定中,新增一筆WPAD的別名記錄指向ISA SERVER主機即可(需大寫)。

  32. 用戶端IE設定 • 自動偵測設定是IE預設值。

  33. 中場休息

  34. ISA Server 2004 防火牆原則管理技巧

  35. 基礎原則管理 通訊協定規則 站台與內容規則 靜態封包篩選 伺服器發佈規則 網站發佈規則 內容篩選設定 防火牆原則管理 目的地網路 目的地IP 目的地網站 任何使用者 已驗證使用者 指定的使用者或群組 允許 拒絕 動作 on 通訊協定 from 使用者 from 來源 to 目的地 with 條件 發佈伺服器 發佈網站 排程設定 篩選設定 來源網路 來源IP 來源連線使用者 通訊協定 IP 通訊埠 防火牆原則

  36. Server Client Web Client 外部網路 Mail Server 受保護網路 ISA Server 2004 Web Server

  37. 建立新存取原則 • 設定企業內部網路連線到網際網路的原則

  38. 設定規則動作與通訊協定 • 關於通訊協定的元素皆可以預先定義好

  39. 設定存取來源與目的 • 同樣可以預先或臨時新增與編輯網路來源元素。

  40. 設定套用對象

  41. 完成設定 • 點選[套用]後立即生效!

  42. 進階內容規則 • 不被允許瀏覽的網頁物件將無法顯示

  43. 原則套用排程設定 • 可以自訂排程項目

  44. HTTP篩選器設定 • 標頭長度的設限。 • 要求裝載長度的設限。 • URL與查詢長度的設限。 • 確認正規化與封鎖高位元字元 • 封鎖可執行Windows命令的封包通過。 • 封鎖指定的HTTP連線方法(Method)。 • 封鎖執行或下載指定的副檔名檔案。 • 封鎖指定的傳送標頭或回應標頭的內容。 • 封鎖包含的簽章內容。

  45. HTTP篩選器設定介紹

  46. HTTP連線保護 • 對於Exchange Server 2003 OWA的發佈不可勾選[封鎖高位元字元]選項。

  47. 封鎖特定檔案的執行 • 定義一些禁止執行或下載特定副檔名的檔案,例如:*.exe、*.vbs、*.js、*.com等等。

  48. 封鎖特定標頭

  49. 設定簽章內容篩選 • 在此以封鎖Windows Messenger連線為例。

  50. 如何得知簽章資訊 • 在ISA Server主機上加裝系統內建的網路監視器元件即可。

More Related