超好的ISA讲解-初学必备PPT学习课件.ppt

1、P,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,防火墙介绍及安装,ISA Server 2006,P,本章目标,了解三种防火墙的基本原理,了解防火墙的体系结构,理解,ISA Server 2006,相关组件的作用,掌握,ISA Server 2006,在域环境下的安装方法,P,本章结构,防火墙介绍和安装,ISA Server 2006,安装注意事项,ISA Server,的版本,防火墙概述,安装,ISA Server 2006,ISA Server 2006,概述,规划,ISA Server,的安装,防火墙的主要功能,防火墙分类,防火墙体系结构,常见防火

2、墙介绍,ISA Server,的功能,综合解决方案,ISA Server,的组件,域环境下的安装,P,什么是防火墙,2-1,古代人们在房屋之间修建的一道防止火灾发生时火势蔓延的砖墙,对黑客来说，只要有一点系统漏洞就足够了,保护网络安全的手段就是安装防火墙,P,什么是防火,墙2-2,防火墙的定义,隔离内部网络与外界网络的一道安全防御系统,网络安全最主要和最基本的基础设施,不会妨碍人们对风险区域的访问,内部网络,Internet,P,防火墙的主要功能,强化安全策略,防火墙通过仅允许“认可的”和符合规则的请求通过的方式来强化安全策略,有效的记录网上的活动,所有经过防火墙的流量都可以被记录下来，包括企

3、业用户上网情况,隐藏用户站点或网络拓扑,防火墙隔离了内网和外网的同时利用NAT来隐藏内网的各种细节,安全策略的检查,所有信息都必须经过防火墙，防火墙就成为一个安全检查点,P,防火墙分类,包过滤型防火墙,代理型防火墙,状态检测型防火墙,P,包过滤型防火墙,根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配,过滤规则是根据数据包的报头信息进行定义的,“没有明确允许的都被禁止”,7,应用层,6,表示层,3,网络层,防火墙检查模块,4,传输层,5,会话层,2,数据链路层,1,物理层,IP,TCP,Session,Application Data,与过滤规则匹配吗,审计,/,报警,

4、还有另外的规则吗,转发包吗,发送,NACK,丢弃包,结束,P,代理型防火墙,代理型防火墙也被称为代理服务器,代理服务器位于客户机与服务器之间,完全阻挡二者间的数据流,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒十分有效,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,P,状态检测型防火墙,状态检测型防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙,应用层,表示层,会话层,传输层,

5、网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,应用层,表示层,会话层,传输层,网络层,链路层,物理层,连接状态表,P,防火墙三种类型的比较,包过滤型,代理型,状态检测型,优点,速度快,防火墙是透明的，用户端不需要进行设置,针对应用层数据进行过滤，增强了可控性,日志功能加强了对不安全因素的追踪与排查,屏蔽了内网细节,减少了传统的包过滤防火墙的大量开放端口等一些安全问题,降低了管理员配置访问规则的难度,缺点,无法过滤审核数据包的内容,无法详细记录细致的日志,速度较慢,新的网络协议和应用都需要一套代理程序,无法

6、过滤审核数据包的内容,无法详细记录细致的日志,P,Internet,堡垒主机,服务器,局域网,路由器,防火墙体系结构,3-1,双宿主堡垒主机,两块网卡，分别连接内外网,P,Internet,堡垒主机,服务器,局域网,DMZ,防火墙体系结构,3-2,被屏蔽主机,三块网卡，分别连接内网、,DMZ,区域和外网（,Internet,）,P,Internet,内部防火墙,服务器,局域网,DMZ,防火墙体系结构,3-3,被屏蔽子网,两台防火墙，中间形成,DMZ,，内部防火墙连接内网，外部防火墙连接外网,外部防火墙,P,常见防火墙产品介绍,NetScreen 系列防火墙,Juniper公司出品,硬件防火墙,

7、具有低延时、高效的IPSec加密和防火墙功能,安装和操控容易,Cisco Secure PIX 系列,Cisco 公司出品,硬件防火墙,适合于那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供Web服务的情况,ISA Server 2006,微软公司出品,面向企业级应用的高级应用层防火墙,融合了状态检测和代理型防火墙的种种特点,提供了高级保护、易用性和快速、安全的访问,P,阶段总结,防火墙是隔离企业内网和外网的安全屏障,防火墙具有以下功能,强化安全策略,有效的记录网上的活动,隐藏用户站点或网络拓扑,安全策略的检查,防火墙的三种类型,包过滤型,代理型,状态检测型,防

8、火墙的体系结构,双宿主堡垒主机,被屏蔽主机,被屏蔽子网,P,阶段练习,防火墙按照功能可以划分为哪几类？,举出除教材中你所知道的防火墙的产品？,P,ISA Server 2006,介绍,ISA Server,的版本介绍,标准版,企业版,ISA Server,在域环境下的安装,安装前的准备,可选方案,ISA Server,的组件,安装过程,ISA Server,的功能介绍,P,ISA Server 2006,功能介绍,Internet,防火墙,Web缓存服务器,安全服务器发布,ISA Server 2006,可以部署成一台专用防火墙,，,作为内部用户接入,Internet,的安全网关,企业内部用户

9、能够向Internet发布Web服务、邮件服务等，避免这些务器直接暴露在Internet上而受到攻击,通过把曾经使用过的内容直接给再次要求访问此资源的用户的缓存方式可以节约带宽，加快响应速度,Internet,ISA Server,Internet,ISA Server,Cache,用户,1,用户,2,Internet,ISA Server,WEBSrv,FTPSrv,内部网络,P,ISA Server,的版本,版本,特点,标准版,（,1,）具备为小型企业、工作组和部门环境提供企业级防火墙安全和,Web,缓存的能力,（,2,）支持快速的,Web,访问,（,3,）直观的管理界面,企业版,（1）满

10、足大容量Internet通信环境对性能、管理和扩展能力的要求而推出的,（2）提供集中式服务器管理、多级访问策略、服务器阵列群集，以及容错能力等,（3）还可以架设多台服务器形成阵列模式,P,ISA Server 2006,ISA Server,的版本介绍,标准版,企业版,ISA Server,在域环境下的安装,安装前的准备,可选方案,ISA Server,的组件,安装过程,ISA Server,的功能介绍,P,ISA Server,安装注意事项,对象,要求,CPU,至少550MHz以上，推荐2.0G以上,内存,至少256MB，推荐512MB,硬盘空间,至少150MB，如果使用缓存模式，需要NTF

11、S分区,操作系统,Windows Server 2003或 Windows 2000 Server（如果是Windows 2000 Server，必须安装Service Pack4 或更高版本，还要求打KB821887补丁）,网络适配器,必须为连接到 ISA Server 2006,2006,的每个网络单独准备一个适配器，如果只有一个单适配器会自动作为缓存模式,P,ISA Server,综合解决方案,2-1,小型企业应用方案,对于有几十台计算机，使用一条专线上网的小型企业,ISA Server,放在公司局域网和,Internet,之间,为整个网络提供共享连接和安全性,Internet,ISA

12、Server,P,ISA Server,综合解决方案,2-2,中型企业应用方案,可以部署成三,宿,主机外围网络形式,单个的,ISA Server,计算机上安装了三块网卡,分别连接,Internet,、,DMZ,和内部网络,Internet,ISA Server,内部网络,WEBSrv,FTPSrv,DMZ,区域,P,ISA Server,的组件,用于存储企业中全部阵列的配置信息,对一组ISA Server服务器的统一管理方式。阵列中所有的服务器共享同样的配置,ISA服务器服务：运行防火墙和缓存服务的ISA服务器,ISA服务器管理：用于管理企业和阵列成员的管理终端,P,案例背景,某公司网络架构为

13、单域环境，其中一台Windows Server 2003服务器，准备安装ISA Server 2006 企业版，用以连接内部用户和外网用户,安装ISA Server 2006的计算机首先加入到域中，安装两块网卡，分别连接内网和外网,拓扑结构如图所示,P,ISA Server,在域环境下的安装,启动安装程序：光盘安装,“ISA Autorun.exe”,选择安装方案,选择企业安装选项,配置存储服务器设置帐号,对,DC,有控制权的用户才有权配置存储服务器,指定网络,选择网卡,指定内部网络地址范围,设置防火墙客户端连接,启动安装过程至完毕,ISA Server,安装过程,安装,ISA,服务器服务,安

14、装配置存储服务器,同时安装,ISA,服务器服务和配置存储服务器,安装,ISA,服务器管理,创建新,ISA,服务器企业,创建企业配置的副本,P,ISA Server,界面介绍,启动界面,全部可供管理的模块，按企业和阵列进行组织,选中某模块时，在此处可看该模块的明细,可对该模块执行的任务,学习的重点,P,本章总结,防火墙介绍和安装,ISA Server 2006,防火墙的主要功能,防火墙分类,防火墙体系结构,安装注意事项,防火墙概述,ISA Server 2006,概述,强化安全策略,有效的记录网上的活动,隐藏用户站点或网络拓扑,安全策略的检查,规划,ISA Server,的安装,安装,ISA S

15、erver 2006,ISA Server,的功能,ISA Server,的版本,ISA Server,的组件,域环境下的安装,综合解决方案,包过滤型防火墙,代理型防火墙,状态检测型防火墙,双宿主堡垒主机,被屏蔽主机,被屏蔽子网,Internet防火墙,安全服务器发布,Web,缓存,标准版,企业版,满足软硬件基本要求,需要内部或者外部,DNS,需要合格域名,ISA Server,服务器,配置存储服务器,ISA Server,远程管理终端,P,实验拓扑,实验背景,经常会受到不明身份用户连接,从安全角度出发，使内部用户可以连接到Internet，而外部用户如果没有特别许可不可以访问内部网络,任务1：安装一台ISA Server 2006作为防火墙,网络结构为单域环境,IP,地址以及拓扑如图中所示,任务,2,：熟悉,ISA,工作窗口,P,完成标准,能够在,Windows Server 2003,单域环境中成功安装,ISA Server 2006,，启动正常,找到并使用,ISA Server 2006,界面中常用的功能,