王　峰

摘要:筆者結(jié)合工作實(shí)踐,談?wù)処SA2008在配置校園網(wǎng)實(shí)踐過(guò)程中的應(yīng)用,利用它為校園網(wǎng)提供了安全保護(hù)。

關(guān)鍵詞:ISA2008;校園網(wǎng)配置;應(yīng)用

中圖分類號(hào):G434 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1673-8454(2009)16-0080-03

ISA2008是微軟公司最新最強(qiáng)的路由級(jí)防火墻軟件,也是我們學(xué)校常用的軟件之一,如果正確的配置和劃分我們的網(wǎng)絡(luò),它將為我們的校園網(wǎng)提供高級(jí)保護(hù)和較大實(shí)用性。下面就在校園網(wǎng)中的實(shí)踐操作談一談ISA2008在校園網(wǎng)中的配置與實(shí)踐應(yīng)用。

一、Vlan的劃分

劃分Vlan的作用主要是為了減小廣播域,提高交換機(jī)的數(shù)據(jù)傳輸效率,如果網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)量較多,通過(guò)劃分Vlan可以提高上網(wǎng)及數(shù)據(jù)傳輸?shù)乃俣?。根?jù)校園內(nèi)各虛擬網(wǎng)的連接端口在主交換機(jī)上劃分Vlan的配置如下:

VlanID

Dstination

Subnet mask

Gateway

Vlan1

172.1.0.0

255.255.0.0

172.1.255.254

Vlan2

172.2.0.0

255.255.0.0

172.2.255.254

Vlan3

172.3.0.0

255.255.0.0

172.3.255.254

Vlan4

172.4.0.0

255.255.0.0

172.4.255.254

可以看出172.1.0.1—172.5. 255.255都是作為校園內(nèi)部的IP地址,由于是通過(guò)ISA代理上網(wǎng),所有計(jì)算機(jī)共享一個(gè)城域網(wǎng)地址,所以內(nèi)部和外部并不會(huì)有IP地址沖突。

二、ISA代理服務(wù)器的設(shè)置

代理服務(wù)器選用Win Server2003作為操作系統(tǒng),ISA選用最新的2008版本。它支持的協(xié)議更全面,采取基于每個(gè)策略的HTTP過(guò)濾、阻止對(duì)所有可執(zhí)行文件的訪問(wèn)、擴(kuò)展名決定是否可以下載、“HTTP簽名”控制HTTP訪問(wèn)、FTP只讀等策略讓網(wǎng)絡(luò)更安全,ISA2008可以說(shuō)是在所有代理軟件中功能最強(qiáng)大的一種。

在代理服務(wù)器上安裝兩塊網(wǎng)卡,分別設(shè)置如下:

網(wǎng)卡一IP:172.1.1.1,Mask:255.255.0.0 ,為代理內(nèi)部接口。

網(wǎng)卡二IP:172.20.1.1(此IP地址為城域網(wǎng)分配)Mask:255.255.0.0,Gateway:172.20.255. 254,DNS:202.102.128.68,為城域網(wǎng)接口,校園內(nèi)部上因特網(wǎng)都是通過(guò)千兆內(nèi)外接口進(jìn)行的。

在ISA2008安裝過(guò)程中一定要設(shè)置好內(nèi)部的IP地址范圍,即:172.1.0.1—172.5.255.255,ISA2008安裝成功以后,會(huì)自動(dòng)識(shí)別內(nèi)外接口。

三、ISA代理軟件的配置

ISA2008安裝成功以后需要加以配置才能使用,筆者主要做了以下幾方面的配置:

1.內(nèi)部網(wǎng)絡(luò)的設(shè)置

建立一條訪問(wèn)規(guī)則允許所有內(nèi)部網(wǎng)絡(luò)能訪問(wèn)到Internet,啟動(dòng)ISA2008, 在“ISA 服務(wù)器管理”的控制臺(tái)樹(shù)中,右鍵單擊“防火墻策略”,選擇“新建”——“訪問(wèn)規(guī)則”,輸入訪問(wèn)規(guī)則的名字,比方說(shuō)是“內(nèi)部訪問(wèn)因特網(wǎng)”,單擊“下一步”,在“規(guī)則操作”中選擇“允許”后單擊“下一步”,在“協(xié)議”中選擇“所有出站通訊”后再單擊“下一步”,在“訪問(wèn)規(guī)則源”對(duì)話框中單擊“添加”,彈出“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框,展開(kāi)“網(wǎng)絡(luò)”雙擊“內(nèi)部”,也就是說(shuō)這一規(guī)則應(yīng)用于來(lái)自內(nèi)部源的通訊,單擊“下一步”,在“訪問(wèn)規(guī)則目標(biāo)”中添加上“外部”,也就是說(shuō)這一規(guī)則應(yīng)用于發(fā)送到外部目標(biāo)的通訊,單擊“下一步”在“用戶集”中按默認(rèn)的“所有用戶”即可,單擊“下一步”完成了內(nèi)部到外部也就是校內(nèi)計(jì)算機(jī)訪問(wèn)Internet規(guī)則的建立。此時(shí)對(duì)于ISA2008來(lái)說(shuō)如果城域網(wǎng)連接正常,則已經(jīng)允許內(nèi)部計(jì)算機(jī)訪問(wèn)因特網(wǎng)了。但由于ISA服務(wù)器內(nèi)部接口屬于Vlan1,為了同其它虛擬網(wǎng)通信,所以還需加上Vlan1到其他虛擬網(wǎng)的路由,在ISA服務(wù)器的DOS命令提示符下,分別執(zhí)行以下四條命令:

route add –p 172.2.0.0 mask 255.255.0.0 172.1.255.254

route add –p 172.3.0.0 mask 255.255.0.0 172.1.255.254

route add –p 172.4.0.0 mask 255.255.0.0 172.1.255.254

啟動(dòng)一臺(tái)內(nèi)部計(jì)算機(jī),設(shè)置好對(duì)應(yīng)虛擬網(wǎng)的IP地址、掩碼、網(wǎng)關(guān)以后,右擊IE圖標(biāo),在“Internet屬性”對(duì)話框中選擇“連接”選項(xiàng)卡,單擊“局域網(wǎng)設(shè)置”按鈕,在“局域網(wǎng)設(shè)置”對(duì)話框中勾選“使用代理服務(wù)器”和“對(duì)于本地地址不使用代理服務(wù)器”,在地址中輸入ISA服務(wù)器內(nèi)網(wǎng)接口IP,即:172.1.1.1, 端口輸入:8080,單擊“確定”應(yīng)用即可上因特網(wǎng)。

如果說(shuō)我們想禁止內(nèi)部某些子網(wǎng)的一些網(wǎng)站的訪問(wèn),我們可以在“防火墻策略”右邊窗口的工具箱中,展開(kāi)“網(wǎng)絡(luò)對(duì)象”,新建幾個(gè)計(jì)算機(jī)集如:辦公樓、高一教學(xué)樓、高二教學(xué)樓、高三教學(xué)樓實(shí)驗(yàn)樓、行政辦公樓、家屬區(qū)、微機(jī)室,在建立計(jì)算機(jī)集的時(shí)候分別把各計(jì)算機(jī)集對(duì)應(yīng)子網(wǎng)的IP地址范圍設(shè)置好,再建立一個(gè)域名集,把禁止訪問(wèn)的網(wǎng)站添加到此域名集中,然后再添加一條訪問(wèn)規(guī)則,比方說(shuō)規(guī)則名取為“禁止網(wǎng)站”,在“規(guī)則操作”中選擇“拒絕”,在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話框把“內(nèi)部”換成要禁止的計(jì)算機(jī)集,在“訪問(wèn)規(guī)則目標(biāo)”中把“外部”換成設(shè)置好要禁止的域名集即可。建完以后,我們右擊“禁止網(wǎng)站”訪問(wèn)規(guī)則選擇“屬性”,在其屬性對(duì)話框的“操作”選項(xiàng)卡中我們可以設(shè)置當(dāng)訪問(wèn)到禁止網(wǎng)站時(shí)導(dǎo)向的頁(yè)面。另外我們?cè)凇坝?jì)劃”選項(xiàng)卡中還能夠設(shè)置某一計(jì)算機(jī)集上網(wǎng)的時(shí)間段限制。

2.ISA2008緩存的設(shè)置

為提高利用ISA代理上網(wǎng)的速度,必須設(shè)置緩存。在“ISA 服務(wù)器管理”的控制臺(tái)樹(shù)中,展開(kāi)“網(wǎng)絡(luò)”,右鍵單擊“緩存”,選擇“新建”——“設(shè)置緩存驅(qū)動(dòng)器”,按提示進(jìn)行設(shè)置,對(duì)我們學(xué)校來(lái)說(shuō),筆者設(shè)置的緩存大小為300M。然后我們按提示步驟再建立一條緩存規(guī)則,啟用HTTP和FTP緩存。

3.學(xué)校網(wǎng)站對(duì)外發(fā)布設(shè)置

需要另外安裝一臺(tái)ISA服務(wù)器。ISA2008的安全性很重要的一點(diǎn)就是把內(nèi)部的服務(wù)器發(fā)布到外部,外部在訪問(wèn)的時(shí)候?qū)嶋H上是ISA把請(qǐng)求轉(zhuǎn)到內(nèi)部的服務(wù)器上,也可以說(shuō)ISA充當(dāng)了防火墻,隔離了內(nèi)部服務(wù)器與外部的直接接觸。所以說(shuō)學(xué)校網(wǎng)站可以在內(nèi)部服務(wù)器上以一個(gè)內(nèi)部的IP地址發(fā)布,然后通過(guò)ISA發(fā)布到Internet上。在ISA2008中,要想發(fā)布內(nèi)部的網(wǎng)站,必須建立一條Web服務(wù)器發(fā)布規(guī)則,步驟為:右鍵單擊“防火墻策略”,選擇“新建”——“Web服務(wù)器發(fā)布規(guī)則”,輸入訪問(wèn)規(guī)則的名字,比方說(shuō)是“網(wǎng)站發(fā)布”,單擊“下一步”,在“規(guī)則操作”中選擇“允許”后單擊“下一步”,在“定義要發(fā)布的網(wǎng)站”對(duì)話框中輸入內(nèi)部網(wǎng)站IP地址”,單擊“下一步”,在“公共名稱細(xì)節(jié)”對(duì)話框中輸入學(xué)校網(wǎng)站的域名,比如www.bxez.com,單擊“下一步”,出現(xiàn)“選擇Web偵聽(tīng)器”對(duì)話框,單擊“新建”,輸入偵聽(tīng)器的名字,比方說(shuō)是“網(wǎng)站發(fā)布偵聽(tīng)”,單擊“下一步”,在IP地址對(duì)話框中選擇“外部”,單擊“地址”,選擇“在此網(wǎng)絡(luò)上的IP地址”,添加“218.56.25.18”,單擊“下一步”按默認(rèn)設(shè)置,最后單擊“完成”完成,網(wǎng)站發(fā)布規(guī)則的設(shè)置。

我們?cè)谛陆ǖ木W(wǎng)站發(fā)布規(guī)則“網(wǎng)站發(fā)布”上單擊鼠標(biāo)右鍵,選擇“屬性”,在“橋接”選項(xiàng)卡中我們還可以定義ISA發(fā)布的內(nèi)部服務(wù)器的端口。由此可見(jiàn),ISA服務(wù)器的Web發(fā)布規(guī)則可以有效地隔離內(nèi)外部網(wǎng)絡(luò)的直接接觸。當(dāng)你具備了一個(gè)Internet域名和一個(gè)外部IP地址后,可以通過(guò)你的ISP或?qū)?yīng)好的域名和外部IP地址,然后在ISA服務(wù)器上設(shè)置好Web服務(wù)器發(fā)布規(guī)則即可。按以上建立完成以后,線路連接正常的話,Internet就能夠訪問(wèn)學(xué)校的網(wǎng)站了。

為了提高校內(nèi)訪問(wèn)本學(xué)校主頁(yè)的速度,沒(méi)有必要和訪問(wèn)外部一樣還需要經(jīng)過(guò)外部DNS的解析,那樣速度肯定要慢,我們?cè)贗SA服務(wù)器上建立一條訪問(wèn)規(guī)則,當(dāng)內(nèi)部的計(jì)算機(jī)訪問(wèn)域名 www.bxez.com的時(shí)候,由ISA直接轉(zhuǎn)到Web服務(wù)器的內(nèi)部發(fā)布地址即可,具體步驟和上面建立訪問(wèn)規(guī)則的步驟差不多,不同之處是:我們首先建立一個(gè)“URL集”,比方說(shuō)取名為“學(xué)校網(wǎng)站”,在此“URL集”中加入www.bxez.com,在建立訪問(wèn)規(guī)則的時(shí)候和建立一條規(guī)則允許所有內(nèi)部網(wǎng)絡(luò)能訪問(wèn)到Internet的操作步驟基本是一樣的,不同的是在“規(guī)則操作”中不是選擇“允許”而是選擇“拒絕”,在“訪問(wèn)規(guī)則目標(biāo)”中不是添加“外部”而是添加剛才建立的URL集中的 “學(xué)校網(wǎng)站”,建立完成以后還需要調(diào)整規(guī)則屬性,在“操作”選項(xiàng)卡中選擇“將HTTP請(qǐng)求重定向到此Web頁(yè)”,在下面的文本框中輸入Web服務(wù)器的內(nèi)部IP地址和端口號(hào),比如說(shuō)http://172.1.1.1:9000,這樣我們?cè)谛?nèi)訪問(wèn)本校網(wǎng)站的時(shí)候就通過(guò)ISA直接轉(zhuǎn)到內(nèi)部的IP,使得訪問(wèn)速度加快。

4.其它設(shè)置

ISA在初始安裝成功以后,我們是Ping不通內(nèi)部接口的,ISA服務(wù)器本身也不能上網(wǎng),我們需要自己在“防火墻策略”中添加一條允許“內(nèi)部訪問(wèn)本地主機(jī)”的訪問(wèn)規(guī)則。為了讓ISA服務(wù)器上網(wǎng),還需要添加一條允許“本地主機(jī)訪問(wèn)外部”的訪問(wèn)規(guī)則。為使內(nèi)部互相訪問(wèn),還需增加一條允許“內(nèi)部訪問(wèn)內(nèi)部”的訪問(wèn)規(guī)則。雖然ISA2008要求的規(guī)則很多,但是設(shè)置步驟都非常清晰明了,明白了它的道理以后可以隨心所欲的設(shè)置。

我們?cè)谛@網(wǎng)中通過(guò)劃分Vlan,減小了廣播域的范圍,提高了校園網(wǎng)的傳輸效率;通過(guò)設(shè)置ISA緩存提高了內(nèi)部上互聯(lián)網(wǎng)的速度;通過(guò)ISA做代理可以控制內(nèi)部的上網(wǎng)時(shí)間,阻止對(duì)某些網(wǎng)站的訪問(wèn);可以對(duì)外發(fā)布內(nèi)部的服務(wù)器,實(shí)現(xiàn)域名的重定向,使內(nèi)部服務(wù)器的安全有了保障等,總之通過(guò)Vlan劃分和使用ISA2008軟件做代理使得校園網(wǎng)的實(shí)用性和安全性都得到了提高。

(編輯:劉軒)