摘 要 ：Microsoft? Internet Security and Acceleration (ISA) Server 2006(以下簡稱為ISA)是微軟公司開發(fā)的一款路由級網(wǎng)絡(luò)防火墻，集高級應(yīng)用程序?qū)臃阑饓�、虛擬專用網(wǎng)絡(luò) (VPN) 和 Web 緩存解決方案于一身。ISA在企業(yè)級控制訪問使用中是非常方便和人性化的，規(guī)則設(shè)置也非常簡單明了，不僅降低了網(wǎng)絡(luò)的復(fù)雜性和成本，而且通過靈活方便的網(wǎng)絡(luò)規(guī)則、訪問規(guī)則及防火墻策略，使基于ISA的校園網(wǎng)管理起來更加快捷、穩(wěn)定及安全、可靠。

　　【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)論文,ISA,校園網(wǎng),防火墻,訪問規(guī)則

　　1 校園網(wǎng)

　　1.1 概述

　　對很多學(xué)校來說，硬件防火墻、核心級路由器等網(wǎng)絡(luò)設(shè)備整個(gè)校園網(wǎng)絡(luò)預(yù)算投入中占了不小的比重，對于校園網(wǎng)的高昂投入，加之更新速度的不斷刷新，令不少領(lǐng)導(dǎo)望而卻步，那么如何在有限的條件下讓校園網(wǎng)更安全、更易管理?微軟的ISA為我們提供了一個(gè)很好的校園網(wǎng)管理解決方案。

　　1.2 校園網(wǎng)的需求

　　校園網(wǎng)連接包括辦公樓、教學(xué)樓等大量的信息點(diǎn)，并通過電信寬帶接入Internet。整個(gè)校園的網(wǎng)絡(luò)需求比較復(fù)雜且在物理位置上各種功能需求混合在一起，比如教學(xué)樓就混合辦公、教學(xué)及機(jī)房等不同網(wǎng)絡(luò)功能的需求，校園有如下基本需求：

　　1.2.1 網(wǎng)絡(luò)的高可靠、高性能、高安全的需求

　　首先要保證網(wǎng)絡(luò)及設(shè)備的高吞吐能力，特別是校園主干網(wǎng)絡(luò)的高吞吐能力，保證各種信息的高質(zhì)量傳輸，才能使校園網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸;其次對網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠提出要求，在網(wǎng)絡(luò)設(shè)計(jì)中要求選用高可靠性網(wǎng)絡(luò)產(chǎn)品。

　　1.2.2 管理為先、應(yīng)用為本的需求

　　與Internet網(wǎng)類似，校園網(wǎng)用戶存在潛在的攻擊者，也會存在非法占用資源和盜用的可能性，所以要求對用戶進(jìn)行接入管理、身份認(rèn)證、帶寬許可、地址管理和服務(wù)質(zhì)量保證(QoS)，并針對不同的業(yè)務(wù)提供靈活的上網(wǎng)方式。

　　2 配置ISA服務(wù)器

　　ISA安裝完畢后默認(rèn)的是拒絕一切訪問，所以第一步應(yīng)該設(shè)置內(nèi)部到內(nèi)部的訪問規(guī)則。為了管理的方便性，我們經(jīng)常將客戶端網(wǎng)絡(luò)設(shè)置為自動獲取方式，亦即 ISA服務(wù)器還兼當(dāng)DHCP服務(wù)器及DNS服務(wù)器。在ISA中，防火墻策略是由網(wǎng)絡(luò)規(guī)則、訪問規(guī)則和服務(wù)器發(fā)布規(guī)則三者的結(jié)合。網(wǎng)絡(luò)規(guī)則定義了不同網(wǎng)絡(luò)間如何訪問，而訪問規(guī)則則定義了用戶(內(nèi)、外網(wǎng))的訪問，服務(wù)器發(fā)布規(guī)則則定義了如何讓用戶訪問服務(wù)器。

　　2.1 ISA的作用及特點(diǎn)

　　ISA 服務(wù)器是可擴(kuò)展的企業(yè)防火墻以及構(gòu)建在 Microsoft Windows Server? 2003操作系統(tǒng)安全、管理和目錄上的 Web 緩存服務(wù)器，以實(shí)現(xiàn)基于策略的網(wǎng)際訪問控制、加速和管理。 ISA 不僅能滿足通過 Internet 與外界聯(lián)系，而且ISA 能提供多層企業(yè)防火墻，來幫助防止網(wǎng)絡(luò)資源受到病毒、黑客的攻擊以及未經(jīng)授權(quán)的訪問。通過組合防火墻和高性能的 Web 緩存功能，ISA 提供了有助于降低網(wǎng)絡(luò)復(fù)雜度和減少成本的公共管理基礎(chǔ)結(jié)構(gòu)。

　　2.2 ISA的安裝

　　ISA 防火墻需要一臺裝有兩個(gè)網(wǎng)卡的計(jì)算機(jī)，需要強(qiáng)調(diào)的一點(diǎn)是，在配置完成之前，請不要將其連接到外網(wǎng)，以避免病毒感染、木馬攻擊，ISA服務(wù)器只有當(dāng)ISA防火墻安裝完成后，它才是安全的，然而這個(gè)小問題卻經(jīng)常被忽視。

　　2.3 定義網(wǎng)絡(luò)規(guī)則

　　網(wǎng)絡(luò)規(guī)則確定兩個(gè)網(wǎng)絡(luò)之間是否存在連接， 路由網(wǎng)絡(luò)關(guān)系是雙向的，NAT 關(guān)系則是唯一的和單向的，基于校園網(wǎng)絡(luò)安全考慮，建議采用ISA默認(rèn)安裝網(wǎng)絡(luò)規(guī)則。

　　3 ISA的控制及管理

　　ISA在企業(yè)級控制訪問使用中是非常方便和人性化的，規(guī)則設(shè)置也非常簡單明了，從實(shí)際使用效果和經(jīng)驗(yàn)來看，合理的設(shè)置訪問規(guī)則是有效防范未知病毒的途經(jīng)之一，同時(shí)也杜絕了一些客戶端非惡意的非法操作和莫明奇妙的網(wǎng)絡(luò)故障。

　　3.1 確保 Internet 連接的安全性

　　眾所周知，將校園網(wǎng)絡(luò)和用戶連接到 Internet 會引入安全性和效率問題。ISA 為組織提供了在每個(gè)用戶的基礎(chǔ)上控制訪問和監(jiān)視使用的綜合能力。ISA 服務(wù)器保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時(shí)向管理員發(fā)出警報(bào)。 ISA 服務(wù)器是防火墻，通過數(shù)據(jù)包級別、電路級別和應(yīng)用程序級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò) (VPN)、系統(tǒng)堅(jiān)固、集成的入侵檢測、智能的第 7 層應(yīng)用程序篩選器、對所有客戶端的防火墻透明性、高級身份驗(yàn)證、安全的服務(wù)器發(fā)布等方法，增強(qiáng)安全性。

　　3.2 網(wǎng)絡(luò)策略的建立及管理

　　ISA在企業(yè)級控制訪問使用中是非常方便和人性化的，規(guī)則設(shè)置也非常簡單明了，合理的設(shè)置訪問規(guī)則是有效防范未知病毒的途經(jīng)之一，同時(shí)也杜絕了一些客戶端非惡意的非法操作和莫明奇妙的網(wǎng)絡(luò)故障。

　　基于安全的考慮，應(yīng)該永遠(yuǎn)也不要允許到本機(jī)主機(jī)網(wǎng)絡(luò)或者從本地主機(jī)網(wǎng)絡(luò)的訪問，除非你有特殊的需求。比如ISA兼做DHCP及DNS的話，則必需增加內(nèi)部到本地主機(jī)的訪問規(guī)則，否則可能客戶端將無法獲得IP及DNS服務(wù)。

　　4 ISA常見故障分析及解決

　　4.1 ISA服務(wù)停止故障的自我恢復(fù)

　　在使用ISA的過程中，難免會碰到ISA服務(wù)停止的情況，其實(shí)Microsoft已經(jīng)為我們考慮到了這點(diǎn)，在ISA中，已經(jīng)提供了這種功能，關(guān)于根據(jù)事件性質(zhì)觸發(fā)防火墻重新啟動服務(wù)ISA自己就有這個(gè)功能，在調(diào)整警報(bào)設(shè)置即可。

　　4.2 部分網(wǎng)頁無法正常訪問的修復(fù)

　　碰到此類問題處理方法非常簡單，只需將http協(xié)議中web篩選前面的勾去掉即可，則一切恢復(fù)正常。

　　5 總結(jié)

　　ISA為校園網(wǎng)提供安全、可靠、快速和可控的 Internet 鏈接，為校園網(wǎng)提供更強(qiáng)大的安全和網(wǎng)絡(luò)性能， 通過組合防火墻和高性能的 Web 緩存功能，ISA可以在節(jié)省網(wǎng)絡(luò)帶寬的同時(shí)加速網(wǎng)絡(luò)存取，結(jié)合Bandwidth Splitter的應(yīng)用，使得控制網(wǎng)絡(luò)帶寬更是得心應(yīng)手，其強(qiáng)大的功能和靈活性能受到眾多網(wǎng)管的青睞。

　　從ISA校園網(wǎng)管理方案投入使用后的實(shí)際效果來看，ISA不僅降低了網(wǎng)絡(luò)的復(fù)雜性和成本，而且通過靈活方便的網(wǎng)絡(luò)規(guī)則、訪問規(guī)則及防火墻策略，使基于ISA的校園網(wǎng)管理起來更加快捷、穩(wěn)定及安全、可靠。

　　參考文獻(xiàn)

　　[1]王其金，卞春蘭.ISA2006代理在校園網(wǎng)上網(wǎng)控制中的應(yīng)用[M].北京：北京教育音像報(bào)刊總社，2006.

　　[2]陳樺楠.ISA Server在企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用[Z].中國科技新聞學(xué)會，2012.

---

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/dianzijishulw/46643.html