如何进行ISA安全应用

利用ISA让你的网络安全的透明。ISA是微软公司推出的建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。与Proxy 2.0相比，ISA集成了Firewall的新功能，可以让内部网络在和外部Internet的通信中更安全。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且，通过本地而不是Internet为对象提供服务，其Web缓存服务器能够为用户提供更快的Web访问。

ISA服务器发布允许内部网上的计算机安全地把服务发布到Internet上。因为所有的传入请求和传出响应都经过ISA Server，所以不会危及到安全。因此，当我们需要在自己公司对外发布自己的服务器时，我们不再需要托管我们的主机，我们只需要一个外部的静态IP地址。外部的访问请求直接和ISA  Server进行通信，之后，ISA Server计算机代表用户向内部网络上适当的发布服务器提出该请求。外部用户通过ISA Server间接地与受到保护的发布服务器通信。 服务器发布时，所发布的IP地址就是ISA Server计算机的外部IP地址。也就是说，我们用ISA Server做防火墙，来阻隔外网与内网，让外部能访问我们内部网络中指定的服务器。
在安装时，要选择集成（Integrated）模式。配置完ISA Server后，我们不需再对发布的服务器做任何配置，只需将发布服务器的默认网关填成ISA Server的内部网络接口卡(NIC)的IP地址即可。

在ISA Server上，配置以下几项内容：
1.ISA Server的IP地址 ：就是ISA Server的外部网卡的IP；这是外部客户端可用的地址。外部客户端和发布服务器通信时，实际上就是在和该IP地址通信。
2.要发布的服务器的IP地址  所有到达ISA Server所指定IP地址的请求都被转发到该IP地址。
3.映射服务器协议  在这里指定你要发布的服务器的类型，如邮件服务器、数据库、FTP服务器等等。传送到内部服务器的数据取决于此处指定的协议。可以从ISA Server 中配置的，至少为入站方向的所有协议定义中选择。协议定义列在Policy Elements节点的Protocol Definitions文件夹中，并且在其中配置。
发布一般的服务器使用New Server Publishing Rule向导，发布Web服务器要使用New Web Publishing Rule向导，发布邮件服务器使用Mail Server Security向导。
要发布的服务器放在ISA Server的后面，如果要在ISA Server上同机发布服务器的话，还需要设置IP过滤。
当我们要发布服务器时，具体步骤按如下配置：
1.在ISA Management控制台树上，展开Publishing节点，右击Server Publishing Rules文件夹，指向New，然后单击Rule。
2.在New Server Publishing Rule向导中，输入名称，然后单击Next。
3.在Address Mapping选项卡中(如图 1所示)，输入要发布的内部服务器的IP地址。同时，输入ISA Server的外部IP地址。

4.在Protocol Settings选项卡中(如图2所示)，选择服务器协议指向要发布的服务器类型。

5.在Client Type选项卡中，指定能够访问的客户端地址集，是准许任何外部访问还是指定的地址段可以通过ISA Server访问要发布的服务器。该规则是应用到所有的客户端中，还是应用到特定的客户端地址集中。
要指定客户端，在Applies To选项卡上，选择操作以下步骤之一：
单击Any Request单选按钮，准许任何人访问。
单击Client Address Sets Specified Below单选按钮。指定准许访问的客户端IP地址段。
6.要指定特定的客户端，选择Client Address Sets Specified Below单选按钮，要将客户端添加到Applies To Requests Coming From区，单击相应的Add按钮。这是准许访问的IP地址段；要将客户端添加到Exceptions区，单击相应的Add按钮。这是禁止访问的IP地址段。
设置ISA Server在发布Web服务器时，使用New Web Publishing Rule向导，与发布其他服务器相比，稍复杂一些，这是因为安全性的考虑。
按以下步骤进行配置：
1.在ISA Management控制台树上（如图3），右击Web Publishing Rules，指向New，然后单击Rule。

2.在New Web Publishing Rule向导中，输入名称，然后单击Next。
3.在Destination Sets选项卡中，选择一个包含发布服务器IP地址的目的集，然后单击Next。目的集就是你想让外部访问的服务器，是一个域名，也可以是具体的目录或指定文件，该域名的IP地址要映射到ISA Server上。
4.在Client Type选项卡中，指定能够访问的客户端地址集，是准许任何外部访问还是指定的地址段可以通过ISA Server访问要发布的服务器，然后单击Next。
5.在Rule Action中，规定应该如何指引客户端请求。在此设置Web请求如何重定向（如图4）。

选择操作以下步骤之一：
要拒绝请求，单击Discard The Request单选按钮。
要将请求发送到用于Internet发布登服务器或服务器群，单击Redirect The Request To This Internal Web Server (Name Or IP Address)单选按钮。

6.如果单击了Redirect The Requests To This Internal Web Server (Name Or IP Address)单选按钮，按如下步骤操作：输入一个请求应重定向到的IP地址或者域名。在Connect To This Port When Bridging Request As HTTP中，输入用来处理HTTP请求的端口。默认情况下，HTTP端口配置为80。在Connect To This Port When Bridging Request As SSL中，输入用来处理S-HTTP请求的端口。默认情况下，S-HTTP端口配置为443。在Connect To This Port When Bridging Request As FTP中，输入用来处理TCP请求的端口。默认情况下，TCP端口配置为21。目的集和客户端地址集是在Policy Elements节点下的文件夹中创建和管理的。

为了提高安全性，可以启用ISA Server上的入侵检测功能，当ISA Server检测到攻击，就会往Windows 2000事件日志中发消息。也可以把ISA Server配置为对检测到的攻击做出其他的反应，例如给管理员发送电子邮件、启动一个特定的程序、以及启动或停止选定的ISA Server服务。

要提高安全性，不要在所发布的Web服务器上启用目录浏览。同样，也不要为Web服务器配置摘要或基本身份验证。这些身份验证方法会将Web服务器的内部名称或IP地址暴露给外部用户。
以上事例没有使用企业策略，如果企业策略禁止外部进入的访问，则不能发布任何服务器。

作者:刘怿华