54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > ISA >

创建隔离区 用ISA保护服务器

时间:2010-10-28 21:31来源:编辑部 编辑:Jenny
      服务器是企业数据信息的核心,现代企业中也部署了各种用途的服务器。但是,在当前传统的路由网络中企业局域网通过“路由器”与Internet连接(见图1)。这种网络接入方式可以阻止Internet的用户直接访问“服务器”,从而对服务器提供了一定的保护能力。(图1)

图1

  一、服务器面临的安全威胁

  但是,这种网络模式下服务器没有得到很好的安全保护,存在很大的安全隐患。这些安全隐患主要来自一下两个方面:

  1、来自恶意用户的主动攻击:局域网中的所有的工作站可以“直接”访问服务器,如果服务器没有及时打补丁或者存在某些漏洞,很容易被内网上的工作站攻击。

  2、来自病毒木马的攻击:这种攻击有时候并不是由使用工作站的用户发起的,而可能是这些工作站上感染了某些病毒或者木马而“自动”形成的到内网服务器的攻击。

       二、安全方案

  1、改造要求

  那么,怎样才能既让内部用户高速访问内部服务器,又可以保护服务器不受内部、外部(Internet)用户的攻击呢?我们的网络改造,要在安全和成本之间做好平衡,另外还要实现平滑过度。笔者认为至少要满足如下要求:

  (1).加固服务器的安全性,进行UAC(用户访问控制)控制。

  (2).尽量不对当前的网络结构进行大的调整,实现网络的平滑改造,因为网络投入也是企业要面对的一个问题。

  (4).不改变员工的使用体验,如果改变的话无疑会增加培训成本。

  2、改造思路

  一个可靠的方案是部署一个ISA服务器,将企业服务器放在ISA防火墙的DMZ(Demilitarized Zone,隔离区)中,通过ISA防火墙策略实施对服务器的保护。结合上面传统的网络拓扑我们的思路是,部署一台ISA服务器来代替原来的“路由器”连接Internet。服务器和各个子网分别通过交换机连接到ISA服务器,进行网络隔离,然后在ISA服务器中对客户端访问服务器进行UAC控制,改造后的网络拓扑见图2。(图2)

图2

        三、改造实例

  下面笔者结合公司的网络拓扑(图2),在ISA Server 2006中进行演示。

  1、部署ISA服务器,代替路由器

  在图1所示的网络中,划分了60个VLAN,分别从192.168.1.0~192.168.1.60.0,子网掩码都是255.255.255.0,服务器区使用了192.168.100.0/24,每个VLAN的网关地址都是254(例如192.168.1.0的网关地址是192.168.1.254)。路由器的内网地址是10.10.10.20/24,路由器接三层交换机的端口地址是10.10.10.10/24。三层交换机上有一条静态路由:

  ip route-static 0.0.0.0 0.0.0.0 10.10.10.20

  在改造后,ISA Server内网的地址设置为10.10.10.20/24,在此块网卡上不添加网关地址(并将此网卡命名为“LAN”),外网网卡设置为路由器原来的外网地址、子网掩码、网关地址与DNS地址(并将此网卡命名为“Internet”)。并且在该ISA Server的命令提示符下键入:

  Route add –p 192.168.0.0 mask 255.255.192.0 10.10.10.10

  这条命令的意义,添加192.168.0.0~192.168.63.0/24这64个网段的静态路由,包括了原来的60个VLAN的内部地址。在该ISA Server上创建一条规则,允许“从内网到外部”,该规则允许“内网”中的计算机访问Internet,从而ISA Server完成了代替图1中“路由器”的功能。

  2、核心交换机的软硬设置

  改造后“核心交换机”做如下的调试:

  将图1中“服务器区”所在的VLAN的IP地址删除(在本例中,就是192.168.100.0/24),并且把所在VLAN删除;在ISA Server上再添加一块网卡,将新添加网卡接到新添加的千兆交换机上,原来服务器上的网线接到该千兆交换机上。

  3、设置ISA服务器,创建隔离区

  在ISA Server上主要做以下的调试:

  第一步:将新添加的网卡重命名为“DMZ”,设置IP地址为192.168.100.254(就是在核心交换机中删除的那个VLAN端口的IP地址),设置子网掩码为255.255.255.0,不要设置网关地址。

  第二步:进入ISA Server 2006管理控制台,在“配置→网络”中,在右侧的任务窗格中,选中“模板”,单击“3向外围网络”。在“内部网络IP地址”页中,单击“添加适配器”按钮,添加名为“LAN”的网卡。在“外围 网络IP地址”页中,单击“添加适配器”,选择名为“DMZ”的网卡。在“选择一个防火墙策略”页中,选择“阻止所有访问”,然后单击“下一步”按钮。在“正在完成网络模板向导”页中,单击“完成”按钮。(图3)

图3

        第三步:修改网络规则:在默认情况下,“外围”与“内部”的关系是“NAT”,“外围”与“外部”的关系是“路由”,如图4所示。在此,需要修改“外围”与“内部”的关系是“路由”,修改“外围”与“外部”的关系是“NAT”。(图4)

图4

  第四步:用鼠标双击“外围配置”,在弹出的“外围配置 属性”页中,在“网络关系”选项卡中,单击“路由”,然后单击“确定”按钮。同样,双击图4中的“外围访问”,将“网络关系”修改为“网络地址转换(NAT)”,单击“确定”按钮。然后,返回到“网络”项,确认“内部”、“外围”网络地址正确。(图5)

图5

  第五步:在ISA Server上创建规则,允许“内部”到“外围”区,一般使用HTTP、SMTP、FTP、POP3、DMZ、HTTPS协议即可,这样包括了大多数的协议,如果你的服务器区使用了其他的协议,例如SQL Server、非默认的Web端口(例如TCP的81),则添加这些协议即可,如图6所示。(图6)

图6

  总结:通过上面的改造、部署局域网中的服务器就置于ISA的保护之下,其安全性能、安全级别无疑将会得到极大的提升。笔者认为,加固服务器的安全其自身的设置固然重要,但在网络级别上的安全部署无疑来得更彻底、更高效。

[责任编辑:Lavy]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>