薛　紅

〔摘 要〕本文簡(jiǎn)要介紹了ISA Server的特點(diǎn)，指出了它在圖書館網(wǎng)絡(luò)安全中的具體運(yùn)用，給出了一個(gè)較為通用的拓?fù)浣Y(jié)構(gòu)圖。

〔關(guān)鍵詞〕ISA Server；圖書館；網(wǎng)絡(luò)安全

〔中圖分類號(hào)〕TP393.08 〔文獻(xiàn)標(biāo)識(shí)碼〕A 〔文章編號(hào)〕1008-0821(2009)02-0099-03

The Application of ISA Server in Library Network SecurityXue Hong

(Sichuan University of Science and Engineering，Zigong 643000，China)

〔Abstract〕This paper simply introduced feature of ISA Server，and pointed out application of it in library network security.Finally this paper put porward a topology picture.

〔Key words〕ISA Server；library；network security

目前網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，黑客軟件泛濫，攻擊隨處可見(jiàn)，安全事件層出不窮。2006年6月，公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局舉辦了2006年度信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查活動(dòng)。調(diào)查顯示：2005年5月至2006年5月，54%的被調(diào)查單位發(fā)生過(guò)信息網(wǎng)絡(luò)安全事件，其中發(fā)生過(guò)3次以上的占22%。感染計(jì)算機(jī)病毒、蠕蟲和木馬程序仍然是最突出的網(wǎng)絡(luò)安全情況，占發(fā)生安全事件總數(shù)的84%；“遭到端口掃描或網(wǎng)絡(luò)攻擊”占36%，“垃圾郵件”占35%。圖書館的網(wǎng)絡(luò)安全形勢(shì)也日益嚴(yán)峻，加強(qiáng)圖書館網(wǎng)絡(luò)安全已成為了保障圖書館正常運(yùn)行的一項(xiàng)重要任務(wù)。Microsoft Internet Security and Acceleration(ISA)Server擁有國(guó)際權(quán)威機(jī)構(gòu)ICSA(互聯(lián)網(wǎng)計(jì)算機(jī)安全聯(lián)盟)安全產(chǎn)品認(rèn)證，它集成了可識(shí)別應(yīng)用程序?qū)忧夜δ芡晟频亩鄬悠髽I(yè)防火墻和高性能的Web緩存，可以幫助保護(hù)圖書館網(wǎng)絡(luò)免受Internet威脅的影響，并提供快速安全的遠(yuǎn)程數(shù)據(jù)訪問(wèn)。

1 ISA Server的特點(diǎn)

ISA Server是由微軟開發(fā)的集成化的邊緣安全網(wǎng)關(guān)，最新版本ISA Server 2006能提供安全、快速、可管理的Internet連接。它構(gòu)建在Microsoft Windows網(wǎng)絡(luò)操作系統(tǒng)安全、管理和目錄上，以實(shí)現(xiàn)網(wǎng)際互聯(lián)的安全性(基于策略)、加速和管理，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時(shí)向管理員發(fā)出警報(bào)。其主要特點(diǎn)如下：

1.1 功能強(qiáng)大，能夠防范常見(jiàn)的攻擊行為

ISA Server擁有完整的入侵監(jiān)測(cè)系統(tǒng)，它通過(guò)數(shù)據(jù)包級(jí)別、電路級(jí)別和應(yīng)用程序級(jí)別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅(jiān)固、集成的入侵檢測(cè)、智能的第7層應(yīng)用程序篩選器、對(duì)所有客戶端的防火墻透明性、高級(jí)身份驗(yàn)證、安全的服務(wù)器發(fā)布等等增強(qiáng)安全性。通過(guò)狀態(tài)數(shù)據(jù)包篩選、線路篩選、應(yīng)用程序篩選和狀態(tài)檢查，ISA Server能夠監(jiān)測(cè)、防護(hù)所有的端口掃描攻擊、IP半掃描攻擊、Land攻擊、連續(xù)Ping攻擊、UDP炸彈攻擊、Windows帶外攻擊、DNS攻擊、POP緩沖區(qū)溢出、蠕蟲攻擊等常見(jiàn)的入侵行為。

1.2 安全性高

一般說(shuō)來(lái)，軟件防火墻是作為服務(wù)啟動(dòng)的。但是在完成啟動(dòng)以前，網(wǎng)絡(luò)不會(huì)受到它們的保護(hù)，這時(shí)網(wǎng)絡(luò)仍然是不安全的；同時(shí)，當(dāng)服務(wù)停止的時(shí)候，軟件防火墻也會(huì)喪失了它應(yīng)有的檢查防護(hù)功能。目前很多病毒或木馬作為服務(wù)啟動(dòng)，并且有比其他服務(wù)有更高的啟動(dòng)優(yōu)先級(jí)。它們能夠先于軟件防火墻啟動(dòng)，因此不會(huì)受到防火墻的阻止。ISA Server 2004解決了這個(gè)問(wèn)題。ISA Server 2004的核心驅(qū)動(dòng)是作為硬件設(shè)備驅(qū)動(dòng)來(lái)安裝的，它運(yùn)行在Windows內(nèi)核模式，獲得了比所有的軟件服務(wù)更高的優(yōu)先權(quán)。所以，就算ISA Server的服務(wù)沒(méi)有啟動(dòng)，它的核心驅(qū)動(dòng)也會(huì)隨著硬件驅(qū)動(dòng)的裝載提前運(yùn)行，保證網(wǎng)絡(luò)和主機(jī)的安全。這種核心驅(qū)動(dòng)運(yùn)行模式被稱之為鎖定模式(Lockdown Mode)。如果出現(xiàn)了因攻擊而導(dǎo)致ISA Server服務(wù)停止的情形，它就會(huì)進(jìn)入鎖定模式，這時(shí)只有最基本的系統(tǒng)策略生效，所有非信任的訪問(wèn)都會(huì)被阻止，從而保障了網(wǎng)絡(luò)安全。因?yàn)槲④洓](méi)有開放Windows的源代碼，所以在該平臺(tái)下，沒(méi)有任何一款軟件防火墻可以做到這一點(diǎn)。

1.3 完善的監(jiān)視功能

ISA Server提供了儀表板、警報(bào)、會(huì)話、服務(wù)、報(bào)告、連接性、日志等一系列監(jiān)視工具，用于幫助管理人員跟蹤網(wǎng)絡(luò)狀態(tài)和 ISA Server通訊，從而使管理人員能夠更輕松地保證網(wǎng)絡(luò)的正常運(yùn)行，并在必要的時(shí)候進(jìn)行故障排除。當(dāng)ISA Server監(jiān)測(cè)到入侵行為時(shí)，可以自動(dòng)記錄入侵事件，也可以從一個(gè)預(yù)先定義好的事件和條件列表中選擇觸發(fā)警告的事件和條件，還可以指定發(fā)出警告時(shí)所要采取的行動(dòng)，如：發(fā)送電子郵件、執(zhí)行指定的應(yīng)用程序、腳本或批處理文件、停止或啟動(dòng)某個(gè)ISA Server服務(wù)等。

1.4 簡(jiǎn)單易用

ISA Server的所有操作都可以通過(guò)ISA服務(wù)器管理來(lái)完成。ISA服務(wù)器管理是Microsoft管理控制臺(tái)(MMC)中的管理單元控制臺(tái)，它提供了一種一致而有效的途徑來(lái)管理用戶訪問(wèn)和防火墻規(guī)則的配置。即使用戶對(duì)ISA Server不怎么熟悉，也能通過(guò)ISA服務(wù)器管理的提示和詳盡的幫助來(lái)完成訪問(wèn)和防火墻規(guī)則的配置。

1.5 一定的可擴(kuò)展性

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性和不可預(yù)見(jiàn)性，沒(méi)有任何產(chǎn)品能夠滿足所有的安全和性能需求。為此ISA Server提供了很強(qiáng)的可擴(kuò)展性。ISA服務(wù)器包含一個(gè)可用于自定義開發(fā)的綜合軟件開發(fā)工具包(SDK)。此外，大量的獨(dú)立供應(yīng)商也提供了兼容的補(bǔ)充性解決方案，以便擴(kuò)展ISA服務(wù)器并與其集成在一起。這些第三方產(chǎn)品包括內(nèi)容安全工具(如病毒掃描和詞法分析)以及管理工具，如實(shí)時(shí)監(jiān)視、遠(yuǎn)程管理、站點(diǎn)阻止、統(tǒng)一資源定位器(URL)分類、報(bào)告等等。ISA Server采用的可擴(kuò)展性機(jī)制包括：可擴(kuò)展的管理、應(yīng)用程序篩選器、Web篩選器、可擴(kuò)展的用戶界面、可擴(kuò)展的警報(bào)和可擴(kuò)展的存儲(chǔ)。

1.6 企業(yè)版支持CARP和NLB

ISA Server企業(yè)版支持CARP(Cache Array Routing Protocol緩存陣列路由協(xié)議)和NLB(Network Load Balancing網(wǎng)絡(luò)負(fù)載平衡)，使其具備了負(fù)載平衡、故障轉(zhuǎn)移和容錯(cuò)的功能，從而確保了ISA服務(wù)器資源的有效利用，避免了因一臺(tái)ISA服務(wù)器發(fā)生故障而導(dǎo)致整個(gè)陣列崩潰這種情形出現(xiàn)。

2 ISA Server在圖書館網(wǎng)絡(luò)安全中應(yīng)用

網(wǎng)絡(luò)的日益發(fā)展既為圖書館工作帶來(lái)了極大的便利，同時(shí)也增加了諸多不安全因素。作為一款安全性高、管理方便、功能強(qiáng)大的多層企業(yè)級(jí)防火墻，ISA Server必將在圖書館網(wǎng)絡(luò)安全防護(hù)中發(fā)揮重要作用。

2.1 發(fā)布圖書館內(nèi)部服務(wù)器

圖書館內(nèi)部服務(wù)器主要包括WEB服務(wù)器、FTP服務(wù)器、電子資源本地鏡像服務(wù)器等需要公開到Internet的服務(wù)器。其中任何一個(gè)服務(wù)器受到攻擊都可能為圖書館帶來(lái)無(wú)法挽回的損失。通過(guò)創(chuàng)建包含一組發(fā)布規(guī)則和訪問(wèn)規(guī)則的防火墻策略，ISA Server可以使圖書館內(nèi)部服務(wù)器安全地接受來(lái)自其他網(wǎng)絡(luò)客戶端的訪問(wèn)，降低受到攻擊的可能性。

使用Web發(fā)布規(guī)則、安全Web發(fā)布規(guī)則可以發(fā)布WEB服務(wù)器和電子資源本地鏡像服務(wù)器等使用HTTP或HTTPS請(qǐng)求的服務(wù)器；使用服務(wù)器發(fā)布規(guī)則可以發(fā)布FTP服務(wù)器等其它服務(wù)器。ISA Server將根據(jù)發(fā)布策略和WEB鏈規(guī)則率先處理傳入內(nèi)部服務(wù)器的請(qǐng)求，只有合法的請(qǐng)求才會(huì)被轉(zhuǎn)發(fā)到位于其后面的內(nèi)部服務(wù)器。因?yàn)樗袀魅胝?qǐng)求和傳出響應(yīng)都要通過(guò)ISA Server，用戶發(fā)出的訪問(wèn)請(qǐng)求都是指出ISA Server的IP地址，因此內(nèi)部服務(wù)器的IP不會(huì)暴露到Internet上。另外，ISA Server還提供了入侵檢測(cè)篩選器、流媒體應(yīng)用程序篩選器、RPC篩選器等應(yīng)用程序篩選器，可以修改協(xié)議流，能夠處理各種復(fù)雜協(xié)議的安全訪問(wèn)。這些都極大地增強(qiáng)了圖書館內(nèi)部服務(wù)器的安全，防止它們受到惡意的訪問(wèn)地攻擊。

2.2 集成VPN，實(shí)現(xiàn)圖書館電子資源的遠(yuǎn)程訪問(wèn)

因?yàn)橹R(shí)產(chǎn)權(quán)等原因，圖書館購(gòu)買的電子資源一般限制了訪問(wèn)的IP地址范圍。當(dāng)讀者的IP地址不在指定的范圍內(nèi)時(shí)，則被視為非法用戶，不能訪問(wèn)電子資源。由于種種原因，當(dāng)讀者需要在其它IP地址不在指定范圍內(nèi)的地點(diǎn)訪問(wèn)電子資源(在高校，這種情況十分普遍)時(shí)，目前最常用的解決方案是使用VPN(Virtual Private Network 虛擬專用網(wǎng)絡(luò))。在Windows網(wǎng)絡(luò)操作系統(tǒng)中，遠(yuǎn)程和路由訪問(wèn)提供了VPN功能，從而使用戶可以通過(guò)Internet獲得對(duì)遠(yuǎn)程服務(wù)器的訪問(wèn)連接。這雖然一種廉價(jià)的VPN實(shí)現(xiàn)方式，但卻存在著以下問(wèn)題：(1)VPN網(wǎng)關(guān)與防火墻是各自獨(dú)立的，防火墻只能提供有限的保護(hù)；(2)只要VPN連接成功，客戶端可以全權(quán)訪問(wèn)整個(gè)內(nèi)部網(wǎng)絡(luò)資源。

使用ISA Server可以配置安全的VPN，實(shí)現(xiàn)讀者遠(yuǎn)程訪問(wèn)圖書館電子資源。將ISA Server用作VPN服務(wù)器有以下優(yōu)點(diǎn)：(1)VPN網(wǎng)關(guān)和防火墻有機(jī)地結(jié)合在一起，能保障電子資源服務(wù)器的安全；(2)使用網(wǎng)絡(luò)規(guī)則及訪問(wèn)規(guī)則來(lái)管理VPN客戶端，能確保訪問(wèn)只能具有指定的權(quán)限；(3)支持PPTP、L2TP/IPSec遠(yuǎn)程客戶端訪問(wèn)隧道協(xié)議，能確保數(shù)據(jù)傳遞的安全、可靠；(4)支持活動(dòng)目錄、RADIUS和SecurID進(jìn)行身份驗(yàn)證，確保了VPN客戶端賬號(hào)的安全性；(5)能夠通過(guò)會(huì)話查看器監(jiān)視連接到電子資源服務(wù)器的VPN客戶端。

2.3 保護(hù)圖書館內(nèi)部網(wǎng)絡(luò)

ISA Server使用不同的通信層來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。在數(shù)據(jù)包層，它實(shí)施防火墻策略以在網(wǎng)絡(luò)接口上控制數(shù)據(jù)，從而在通訊到達(dá)任何資源之前對(duì)其加以評(píng)估，只有合法的數(shù)據(jù)才被允許通過(guò)。這樣，圖書館內(nèi)部網(wǎng)絡(luò)中的所有計(jì)算機(jī)都可以得到ISA Server的有效保護(hù)。ISA Server可以對(duì)圖書館內(nèi)部網(wǎng)絡(luò)實(shí)施以下保護(hù)：

2.3.1 WEB代理服務(wù)

各工作站在訪問(wèn)Internet網(wǎng)頁(yè)和請(qǐng)求FTP對(duì)象時(shí)，ISA Server都會(huì)由防火墻服務(wù)來(lái)判定訪問(wèn)是否合法，而且ISA Server還可以緩存請(qǐng)求的對(duì)象，加速客戶端對(duì)Internet的訪問(wèn)；

2.3.2 監(jiān)控上網(wǎng)行為

綜合利用訪問(wèn)規(guī)則、防火墻策略和各種應(yīng)用程序篩選器，能夠控制圖書館各工作站的上網(wǎng)行為，防止他們?cè)L問(wèn)不安全站點(diǎn)，限制使用實(shí)時(shí)通訊和P2P軟件。另外，ISA Server還可以根據(jù)客戶端主機(jī)名稱、客戶端IP或客戶端用戶名監(jiān)視并記錄其上網(wǎng)行為。

3 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

圖1是筆者設(shè)計(jì)的ISA Server在圖書館網(wǎng)絡(luò)安全應(yīng)用的一個(gè)基本拓?fù)浣Y(jié)構(gòu)。因?yàn)槊總€(gè)圖書館的情況不同，需求也不同，所以不可能設(shè)計(jì)出一個(gè)適合所有館的網(wǎng)絡(luò)拓?fù)洹５谒幕A(chǔ)上，能夠比較容易地設(shè)計(jì)出符合本館實(shí)際的網(wǎng)絡(luò)拓?fù)洹?/p>

本網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)思路如下：

(1)采用背對(duì)背防火墻，提供雙重保護(hù)，具有較高的安全性；

(2)在前端防火墻的DMZ(隔離區(qū))放置需公開到Internet的服務(wù)器，如WEB服務(wù)器、電子資源服務(wù)器、FTP服務(wù)器等。這樣做既解決了外部網(wǎng)絡(luò)訪問(wèn)這些服務(wù)器的問(wèn)題，又通過(guò)這樣一個(gè)DMZ區(qū)域，更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò)；

(3)前端防火墻配置為VPN服務(wù)器，這樣做解決了外網(wǎng)用戶訪問(wèn)電子資源受到IP地址限制的問(wèn)題，確保了電子資源的有效利用；

(4)圖書館的各工作站和不允許公開到Internet的服務(wù)器，如業(yè)務(wù)工作服務(wù)器(采、編、典、流通等日常業(yè)務(wù)工作的服務(wù)器)等置于后端防火墻的內(nèi)部網(wǎng)絡(luò)中，同時(shí)通過(guò)3層路由交換機(jī)和2層交換機(jī)進(jìn)行VLAN劃分和路由。這樣既能合理地利用網(wǎng)絡(luò)資源，又能有效地管理和監(jiān)控網(wǎng)絡(luò)流量，更能加強(qiáng)圖書館內(nèi)部網(wǎng)絡(luò)的安全。

總之，ISA Server具有安全性高、功能多樣、管理方便等優(yōu)點(diǎn)，能夠在圖書館網(wǎng)絡(luò)安全上發(fā)揮出巨大的作用。

參考文獻(xiàn)

[1]微軟公司.ISA Server 2006幫助文檔[Z].2008.

[2]CBINews.信息網(wǎng)絡(luò)安全狀況與計(jì)算機(jī)病毒疫情調(diào)查報(bào)告[R].http：∥www.cbinews.com/channel/showcontent.jsp?articleid=45256

[3]朱春.ISA Server入侵監(jiān)測(cè)技術(shù)的研究與應(yīng)用[J].浙江萬(wàn)里學(xué)院學(xué)報(bào)，2005，18(2)：45-48.

[4]張大鵬.ISA Server在圖書館數(shù)字化方面的應(yīng)用：作為代理服務(wù)器[J].現(xiàn)代圖書情報(bào)技術(shù)，2003，(5)：39-40.

[5]張德楊，等.Microsoft ISA Server在網(wǎng)絡(luò)管理中的應(yīng)用[J].鄭州輕工業(yè)學(xué)院學(xué)報(bào)，2006，21(1)：58-60.