基于ISA Server2006防火墙
网络安全问题随着Internet 宽带发展与电子商务的盛行变得日益重要。随着企业或个人利用互联网来进行交易越来越频繁,相对的网络安全性就成为一个重要的议题。因为一般个人会用信用卡在网络做交易、公司之间做信息交换,因此一些重要资料就会在网络上相互流动,这时个人或公司传送的资料就有可能会被拦截、修改或盗用。或者有些黑客为了试试他的技术而入侵别人的电脑,更严重的就将您公司的网站破坏并毁掉顾客资料,以致影响到公司的利益或顾客的隐私及权利,这时您就必须考虑网络的安全。防火墙的目的就是保护您的网络不被未经授权的使用者经由外界网络(如:Internet)不法侵入,或让黑客连上您公司的网络,而进行攻击。本文就是讨论如何Microsoft ISA Server 2006 来构建企业防火墙。
2010年最新网络安全事件
百度CEO依旧在为那个史无前例的“黑色星期二”感慨——1月12日上午7时,一个自称是“Iranian Cyber Army”的组织承认篡改了百度主页,并在百度首页留下了阿拉伯文字。至12时主页由瘫痪恢复过来,百度经过了成立以来最惊魂的五个多小时,而宕机6小时造成百度经济损失逾700万。
而与百度被黑的惊心动魄相比,2009年韩国多家网站的被攻击则堪称旷日持久。7月9日,继韩国16家主要网站前一晚刚刚遭受过第二次DDoS攻击后,不明身份的黑客向多家韩国主要网站发动第三次分布式拒绝服务(DDoS)攻击。在本次黑客攻击事件中,大约2.9万台个人电脑感染恶意代码,成为黑客最新捕获的“肉鸡”和发动DDoS攻击的丧尸军团。而美国媒体也表示,本次黑客的连续攻击目标,还包括了纽约证券交易所、纳斯达克股票市场公司等金融机构网站。
似乎是预示着新一轮网络安全攻防大战的开始,传统的DDoS攻击随着僵尸网络的持续壮大,在2010年伊始又再次成为主流的网络威胁,而除了发动传统攻击,犯罪份子们还利用僵尸网络不断增强网络犯罪功能,如垃圾邮件散发,服务阻断式攻击,恐吓软件,网络钓鱼,及恶意或非法的主机网站等,在过去的一年里,微软、谷歌、雅虎和美国在线等公司旗下的电子邮箱遭遇黑客“网络钓鱼”,至少3万邮箱账户信息失窃。
美国Fortinet(飞塔)公司技术总监Kevin解释说, DDOS攻击也即分布式拒绝服务攻击,是很多DOS攻击源一起攻击某台服务器而组成的。DOS的攻击方式有很多种,简单来说,就是通过消耗服务器的资源,使服务器达到物理上限,从而不能对需要服务的请求做出服务。
Kevin指出,单一的DoS攻击一般是采用一对一方式的,当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击手段演变为黑客利用大量捕获的傀儡机来发起规模化的攻击,成千上万的傀儡组成的僵尸网络,令在2005年至2008年几近销声匿迹的DoS攻击死灰复燃。因此,除了增强服务器系统的安全防御能力之外,各个用户和企业更应该加强安全防御常识,避免成为僵尸网络的一个单元,国内用户的安全自我防御建设还要逐步加强,企业应该全面部署UTM安全网关设备,避免内部主机大量被利用成为僵尸网络攻击宿主,这是一种真正解决DDOS攻击的最根本方式。
同时,Botnet僵尸网络对银行账户信息和个人信息的威胁日趋严重,不仅大型企业成为恶意邮件和蠕虫病毒侵袭的主要对象,网络钓鱼已经把窃取账户密码的诱饵伸向了众多的门户社交网站。
面对混合攻击模式的不断进化,网络安全专家普遍认为,传统的防火墙设备或者防病毒产品,已经无法做到“智能地分析出合理服务请求背后的阴谋”,对于全新的黑客攻击手段很多情况下显得束手无策乃至造成姑息养奸。
2010年的网络安全攻防大战无疑将再次升级,为了避免突发安全事件造成的重大损失,企业应当行动起来,选择构建安全高效的网络信息平台,将黑客的侵扰拒之门外。
Microsoft Internet Security and AccelerationServer 2006简称ISA Server2006,是微软公司推出的一款重量级的网络安全产品,被公认为X86架构下最优秀的企业级路由软件防火墙。ISA Server 2006具备着防火墙、应用层防护、VPN与网页缓存等优异功能,凭借其灵活的多网络支持、易于使用且高度集成的VPN配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能,在企业中有着广泛的应用。ISA Server 2006安装在Windows server2003 服务器上,可以说与Windows server 2003 是绝配搭档,是企业网络安全防护的极佳选择当前最新版本是ISA Server 2006。ISA Server提供了“代理服务器”、“缓存服务器”、“防火墙”等7个方面的功能,具体如下:
代理服务器功能——提供安全性非常高的共享Internet服务
将网络和用户连接到Internet会引入安全性和效率问题。ISA Server 2006为组织提供了在每个用户的基础上控制访问和监视使用率的综合能力。ISA Server保护网络免受未经授权的访问、执行状态筛选和检查,并在防火墙或受保护的网络受到攻击时向管理员发出警报。
ISA Server是防火墙,通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络(VPN)、系统坚固、集成的入侵检测、智能的第7层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等等增强安全性。
ISA Server 2006 可实现下列功能:
·保护网络免受未经授权的访问;
·保护Web和电子邮件服务器防御外来攻击;
·检查传入和传出的网络通讯以确保安全性;
·接收可疑活动警报。
加快Web访问速度——业界最好的缓存服务器 Internet 提高了组织的工作效率,但这是以内容可访问、访问速度快且成本合理为前提的。ISA Server 2006 缓存通过提供本地缓存的Web内容将性能瓶颈控制在最少,并节省网络带宽。ISA Server可实现下列功能:
·通过从Web缓存(而不是拥挤的Internet)提供对象来提高用户的Web访问速度;
·通过减少链路上的网络通讯来减少Internet带宽成本;
·分布Web服务器内容和电子商务应用程序,从而有效地覆盖了全世界的客户并有效地控制了成本;
·从 ISA Server Web缓存中提供常用的Web内容,并将节省出来的内部网络带宽用于其他内容请求。
虚拟专用网络(VPN)支持—代理服务器、防火墙服务器与VPN服务器可以共存
ISA Server 2006 支持安全的虚拟专用网络 (VPN) 访问,分支机构或远程用户可以通过这种类型的访问连接到公司网络。ISA Server防火墙策略应用于 VPN 连接,以控制 VPN 用户可以访问的资源和协议。ISA Server 2006支持的功能在表列出。
安全发布服务器——将内部网络中的多台服务器发布到Internet对外提供服务 ISA Server 2006可以发布局域网内的多台服务器和多种服务到Internet,用来为Internet网络上的用户提供相应的服务。ISA Server 2006可以用一个或多个指定的地址(公网地址)同时发布受ISA Server 2006保护的网络内的多台服务器或多种服务,ISA Server 2006可以真正发布安全的Web站点,这些都是其他软件或硬件防火墙所不能比拟的情况会很普遍。
ISA Server 2006的防火墙功能
在安装ISA Server2006的计算机中,系统中的每块网卡都连接一个网络。
ISA Server 2006中的网络分为“内部”、“外部”、“本地主机”、“VPN客户端”、“被隔离的VPN客户端”,如果ISA Server 2006配置为“3向外围网络”,还将包括“外围”网络,下面分别介绍。
(1) “内部”,代表企业内部局域网,此网络的地址范围在ISA Server 2006安装的过程中指定,并且在安装以后可以更改。建议你总是通过添加适配器来添加内部网络地址。ISA防火墙认为此默认的内部网络来代表受信任的受保护的网络。ISA防火墙的默认防火墙策略会通过系统策略允许本地主机访问此内部网络上的资源,但是拒绝所有其他网络到内部网络的访问,您必须自行创建规则来允许到内部网络的访问。你不能删除默认内部网络。
(2) “本地主机”,此网络代表ISA防火墙本身计算机,与ISA防火墙之间的所有通讯都被认为是和本地主机网络之间的通讯,你不能修改或删除本地主机网络。
(3) “外部”,指连接到Internet的网络,此网络包含未明确包含在其他任何网络中的所有IP地址,通常被视为不受信任的网络。在刚结束ISA防火墙的安装时,外部网络包含所有未包含在内部网络中的地址、本地主机网络的IP地址(127.0.0.1)以及ISA防火墙上其他所有网络适配器的IP地址。通常情况下,设置了“网关地址”的网卡被认为“默认的外部网络”。
(4) “VPN 客户端”,它代表通过VPN连接到ISA服务器的客户端计算机,由ISA防火墙动态生成 ,不能删除 VPN 客户端网络。
(5) “被隔离的VPN客户端”,此网络包含尚未解除隔离的VPN客户端的地址,由ISA防火墙动态生成 ,不能删除被隔离的 VPN 客户端网络。
在通常情况下,ISAServer 2006包含上面的5部分网络,如果ISAServer被配置成“3向外围网络”,还包括“外围”网络。
“外围”网络也称为DMZ(DemilitarizedZone)、第三区域和被筛选的子网,DMZ是放置公共信息的最佳位置,这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息,而不用通过内网。通常把公司中的机密的和私人的信息存放在内网中,DMZ中的服务器不应包含任何商业机密、资源代码或是私人信息。DMZ服务器上的破坏最多只可能造成在你恢复服务器时的一段时间中断服务。目前许多的硬件防火墙都集成了DMZ接口。ISA Server 2006也可以在安装三块网卡(甚至三块以上网卡)的情况下,配置成“3向外围网络”。