ISA SERVER 2004 对多重网络支持功能简述
一、ISA SERVER 2000的网络设计局限
2X;C-r%f9o0Z0Z3U网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术ISA SERVER 2000实际上只支持三个网络,既外部网络、内部网络和DMZ区。它认为内部网络是一个完全安全的网络,因此其内网卡是不受防火墙保护的,默认情况下,凡是来自于内部和外部计算机都可以访问ISA SERVER内网上监听的任何服务。如果内部网络,还分为多个子网络,子网络间的通信亦不受ISA SERVER 2000的保护。- 畅通网络 因为有我0[!Q&p$}%A+}$A"w-m
ISA SERVER 2000使用静态和动态IP包过滤、应用层过滤来来保护内网到外网的及DMZ区之间的数据通信,而使用静态IP包过滤规则来保护DMZ区和外部网络之间的通信。由于DMZ网络的配置复杂,安全性欠妥,较少使用。我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!){3D&M*Y4r#b"g;i3e!p&D
ISA SERVER 2000的这种网络设计对用户的实际应用具有一定的局限性,主要表现以下几个方面:
7`6t*d'E!F(v7E我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!A、实际上,内部网络并不安全,很多病毒和网络攻击来自于内部,它们通过不受任何保护的ISA SERVER内网卡到达ISA SERVER,会给ISA SREVER造成破坏,并以此影响整个网络的通信。
5p"L3U(}$G+?.O6C我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!B、很多公司将内部网络分为多个安全级别的子网,并希望通过使用防火墙来控制这些网络间的通信,以达到安全管理的要求,而ISA SERVER不加区地认为所有内部网络都是安全的。
!z)I9_5A&G5y v我是网管论坛C、ISA SERVER仅仅使用IP包过滤规则来保护DMZ区的服务器,由于IP包过滤是一种静态的过滤,显然,这种保护力度还不够强大。!T;D&M)M-r#R%i H&H
D、ISA SERVER 2000可将自身配置为VPN服务器,但所有拨入的VPN计算机深视为内部网络的一员,也就是说,一旦VPN用户拨入以后,就可不受限制地访问内部网络,由于用哀悼可能在外部网络使用任何一台不符合安全要求的计算机上进行VPN拨入,如,出差的员工可能会使用网吧的计算机,这些计算机上很可能存在病毒和恶决软件,如果不对VPN用哀悼加以限制的话,就有可能会通过这些VPN通道带来危险,从而影响整个内部网络。我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!!\6|/j4J5S'i:N:p
.r0T.c&Y4i6~'d;X- 畅通网络 因为有我二、ISA SERVER 2004的多重网络支持功能
]$i7{"E$e'Ibbs.54master.comA、多重网络分隔bbs.54master.com2{$K.^%e5a+c O*X&{
ISA SERVER 2004包括内部网络、外部网络,外围网络(DMZ)、VPN客户端网络、本地主机和VPN隔离客户端网络这6个内置网络,此外用户可以自行添加其他网络。ISA SERVER 2004将各个网络分离开来,控制它们之间的数据通信。- 畅通网络 因为有我(y5_8~#l9n
同时ISA SERVER 2004也不再认为内部网络是安全的,受信任的网络,内部网络和其他网络处于平等的地位,ISA ISA SERVER 2004默认不信任任何网络,而任何网络之间也是互不信任的。ISA SERVER 2004的每个网卡都受防火墙保护,且所有IP地址的所有端口都是关闭的。其他任何计算机都无法访问ISA SERVER 2004的任何一个IP地址上的任何服务。要使ISA SERVER 2004服务器以及各个网络间进行数据通信,管理员需要创建相应的防火墙策略。(X!?2D"w.V4M0h$[/U3h
B、独立的VPN网络
0w1H0\.S#^6F3H&I8@'|*y我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛! 考虑到VPN客户端造成的安全隐患,ISA SERVER 2004将VPN客户端分到独立的网络——VPN客户端网络,如果启用了VPN隔离,那么还有另一个VPN隔离客户端网络。默认VPN客户端不再能够无限制的访问内部网络,管理员可以通过创建防火墙策略来控制VPN客户端对内部网络资源的防问要限,这对提高内部网络安是非常重要的。
2z3Q,N&`*t(I9Z.P$ybbs.54master.com WINDOWS 2003 的路由和远程访问服务(RRAS)和ISA SERVER 2004都提供了VPN隔离的功能,如果启用该功能,当VPN客户端拨入时,RRAS或ISA SERVER 2004服务会检查客户端计算机的配置是否已经达到了服务器端所要求的标准,如是否启用了访火墙客户端,是否安装了防病毒软件,是否安装了WINDOWS 补丁等。只有符合服务器所规定的标准的VPN客户端才会被加入VPN客户端网络,否则将被加入VPN隔离客户端网络。管理员一般会给VPN客户端网络更多的防问要限,而对于VPN客户端网络,可能不会给于任何要限或只给于其很少的权限。
3b&C.M$d3\*?,n我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!C、网络规则
%~.{/A.u$G3d:s我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!当ISA SERVER 2004安装完成以后,如果没有设置相应的规则,ISA SERVER本机以及其连接的各个网络都如同孤岛,网络通信只能在各个网络内进行。
&J)I#H"c;P*t-b0\5d为了将各个网络以及ISA SERVER本机连接起来,管理员首先需要创建网络规则。网络规则定义了网络间数据通信的方式。
/U:H0_#V"\+i4V-v5c我是网管论坛有两种类型的网络规则:路由和NAT。我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!)O:g(t9u2S,v,U9f
路由网络关系是双向的,NAT网络关系是单向的
9^1f0~3C.d N7W)I#V `我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!路由网络关系具有以下特点:
(D$V(W/s.Q"L4Z2O- 畅通网络 因为有我1、路由网络关系使用路由器的功能转发数据包。如果一个网络是以网络的方式访问另一个网络的,如DMZ的服务器也使用公网IP,它与INERNET网络的关系就是路由的关系。那么ISA SERVER是使用路由器的功能转发数据包的,它并没有改变数据包的IP源/目标地以及源/目标端口。我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!%u!u6K2P6X6_ o"s8[1z3U
2、路由网络关系是双向的。如果网络A到网络B的关系是路由,那么网络B到网络A的关系也是路由。
:s4n K3v Y)`- 畅通网络 因为有我 我是网管论坛*\#K$F8^"e
NAT网络关系具有以下特点:- 畅通网络 因为有我6w)m$f.H$o-f W
1、使用NAT技术转发数据包,如果一个网络是以NAT的方式访问另一个网络的,如内部网络访问INTERNET网络,那么ISA SERVER会转换该数据包的IP源/目标地以及源/目标端口。以进行地址映射。
$f)T8U#R1W2J+],@- 畅通网络 因为有我2、NAT网络关系是单向的。如果网络A到网络B的关系是NAT,那么网络B到网络A的关系慨不能是NAT,也不能是路由。
+a%_5['M*n-a9k$|默认DMZ网络与INTERNET网络是路由关系,VPN客户端、VPN受隔离的客户端和内部网络间的关系是路由。VPN客户端、VPN受隔离的客户端、内部网络间到DMZ网络、INTERNET网络的关系是NAT
|
