ISA防火墙在中小型企业中的综合应用(下)

VPN服务: ISA防火墙中的集成VPN服务: 依赖于RRAS并且和RRAS紧密集成 可以对VPN用户实现访问控制  VPN连接类型: 远程访问VPN: PPTP L2TP/IPSec  站点到站点VPN: PPTP  L2TP/IPSec  IPSec Tunnel

配置远程访问VPN: 定义地址范围 授权VPN客户访问 选择访问网络-->外部(默认) 选择VPN协议-->PPTP(默认) L2TP/IPSec: 身份验证证书 IPSec共享密钥  选择身份验证方法: MS-CHAP2(默认)  创建防火墙策略允许VPN客户访问

VPN客户地址分配: 分配方式: DHCP 静态IP地址池  地址类型: 子网内地址(内部网络中的地址范围): ISA防火墙针对VPN客户代理ARP 无需配置内部网络和VPN客户之间的路由  子网外地址(不位于内部网络的地址范围): 需要配置内部网络和VPN客户之间的路由  容易区分VPN 客户

授权VPN客户访问: 非域环境-->在用户账户拨入属性中显示允许  域环境-->在用户账户拨入属性中显示允许  允许域用户组的访问

站点到站点的VPN连接: VPN连接类型: PPTP  L2TP/IPSec: 需配置远程访问VPN服务 如果连接请求中的用户名匹配本地VPN服务器上的某个站点到站点VPN连接的名字,则认为是站点到站点VPN连接。IPSec Tunnel: 和第三方的VPN服务连接时使用

配置站点到站点的VPN连接: 创建远程站点: PPTP: 配置远程访问VPN服务 创建匹配的用户账户并授权其拨入  L2TP/IPSec: 配置远程访问VPN服务 创建匹配的用户账户并授权其拨入 配置身份验证证书或使用共享密钥  IPSec Tunnel: 配置IPSec证书或使用共享密钥  创建网络规则和访问规则

Web服务发布: ISA防火墙具有强大的应用层过滤特性,可以按照域名和路径来进行Web服务发布  配置Web服务发布: 需要注意: Web侦听器需要占用相应的端口: IIS Socket Pooling  默认情况下: 桥接到内部Web服务器的80端口-->如果Web服务器使用其他端口则需要修改  访问请求显示为来自ISA防火墙-->Web服务器不知道发起请求的原始客户  阻止高位字符和验证正规化-->URL地址中不能使用高位字符  URL地址解码后不能再出现"%"

安全Web服务发布: 发布模式: 桥接模式 隧道模式  桥接模式: 类似于Web服务发布  ISA防火墙对客户发起的SSL连接进行应用层过滤;然后将其重新加密后转发到被发布的Web服务器: 加密到客户端的连接 加密到Web服务器的连接 加密到客户端和Web服务器的连接隧道模式: ISA防火墙直接将客户发起的SSL连接转发到被发布的Web服务器,不进行应用层过滤

发布安全Web服务: 在Web侦听器上绑定有效的服务器身份验证(信任其CA并具有私钥): 导出安全Web服务器的证书 使用其他公共名称的证书-->申请通配符证书  ISA防火墙访问内部的安全Web服务时,不能出现任何错误提示。 发布安全Web服务-->类似于发布Web服务

Exchange服务发布: OWA发布  在将客户请求转发到Exchange服务器之前,ISA防火墙对它进行身份验证和应用层过滤,从而保证了Exchange服务器的安全。OWA发布: OWA身份验证和安全Web服务发布的结合: 满足安全Web发布的要求 Exchange服务器上不能同时启用OWA验证 仅发布以下三个路径: /exchange/*  /exchweb/*  /public/*

RPC通讯原理: 1.Client: 1131 -->Server: 135  Request UUID Port  2.Client:1131<--Server:135  UUID Port 5678(1024~65535) 3.Client: 1132-->Server: 5678  Application Data

Exchange RPC发布: 对于基于状态过滤的防火墙而言,为了允许RPC协议通讯需要开放所有高端端口(1024~65535);因此很多防火墙管理员关闭了RPC协议通讯  ISA防火墙具有强大的RPC应用层过滤功能,确保了RPC协议通讯的安全: 识别客户所发起的RPC通讯并进行应用层过滤  动态开放RPC协议通讯所需要的高端端口。可以强制要求加密RPC协议通讯(将禁止DCOM访问)

其他服务发布: ISA防火墙自带了24种常用的服务器协议  可自定义服务器协议用于发布  发布服务需要使用入站协议定义  默认情况下,访问请求显示为来自原始客户: 被发布的服务器回复给客户的响应数据包必须通过ISA防火墙转发  配置ISA防火墙作为被发布服务器的默认网关  通讯重定向问题: 不要对某个网络发布位于相同网络中的服务

本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/161001

上一篇:Linux防火墙示例
下一篇:Linux 下的(防火墙)iptables