首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-安装和规划 > ISA防火墙优化方法及使用技巧(第一部分)
现在时间是: 2019-02-19 18:35
ISA防火墙优化方法及使用技巧(第一部分)

(2005-09-12 09:53)
来源:ISAServer.ORG

ISA防火墙优化方法及使用技巧(第一部分)
译自Thomas W Shinder MD, MVP,ISA Firewall Best Practices, Tips and Tricks (Part 1),有部分修改

 

前言:这篇文章和“配置ISA Server计算机网络适配器的TCP/IP设置”是Wool-cool建议我翻译的,因为他希望通过这两篇文章,来减少论坛中出现的初级问题。但是我从来不觉得这些初级问题的出现是因为技术资料的缺乏,我认为这更多的是自学能力的缺乏。其实论坛出现的很多问题,都是可以在网站上找到相应的技术资料的。我们希望授人以渔,而非授人以鱼,也希望大家能够善于利用网站和论坛的搜索功能。

在这篇文章中,Tom介绍了部署和配置ISA防火墙中的一些优化方法和使用技巧,通过这篇文章,你可以了解到如何让你的ISA防火墙运行的更为安全、可靠和高效。

 

在最近的一次和用户的访谈中,对方提及我还没有在网站上提供ISA防火墙的优化方法及使用技巧。我仔细的回想了自己是如何正确配置ISA防火墙以让它获得最高的性能、安全性及可靠性,然后把这些步骤写了出来,下面就是这些步骤。

由于步骤太多,我只是简单的对每一步骤进行描述,更多的信息可以参阅我的书籍或者ISA中文站上的其他技术文章。

下面就是ISA防火墙的优化方法及使用技巧,它们并没有按照任何规则进行排序,也不代表位于前面的步骤就比位于后面的步骤更为重要:

  1. 配置客户作为Web代理客户或者防火墙客户。如果你想让你的ISA防火墙提供比硬件防火墙更为高级的保护,你必须配置你的客户为Web代理客户或者防火墙客户,否则,你会具有和使用硬件防火墙时同样的安全弱点。关于ISA防火墙的防火墙客户端更高级的保护特性,可以参见防火墙客户端是如何工作的:关于ISA防火墙的应用层状态识别功能一文。

  2. DNS服务器设置 -- 配置ISA防火墙使用位于自己保护的网络中的DNS服务器;不要在多个网络适配器上配置相同的DNS服务器。这个是常见的问题,ISA防火墙应该只配置使用一个DNS服务器,并且最好配置为使用被保护的网络中的DNS服务器。不要在ISA防火墙的任何一个网络适配器接口上配置使用外部的DNS服务器,也不要多个网络适配器接口上配置使用相同的DNS服务器。

  3. 使用http://www.arin.net/等来决定入侵者的位置。你想知道发起攻击的数据包来自哪儿吗?你看到了ISA防火墙日志中的源IP地址,但是这个IP地址来自哪儿呢?访问http://www.arin.net/然后对这个IP地址进行一下whois查询。当你在你的ISA防火墙日志中发现了非法的活动时,这应该是你首先进行检查的地方。

  4. 网络后面的网络场景。网络后面的网络通常是在你的ISA防火墙的同个网络适配器后具有多个网络的情况,这个一个简单的概念,但是ISA防火墙和ISA Server 2000有些不一样,详细的情况,请参见How to:在存在多条路由的内部网络中配置ISA Server 2004理解ISA Server 2004中的网络

  5. 规划配置。你必须提前对如何在你的网络中部署ISA防火墙进行规划。请记住,ISA防火墙是网络的一个重要组成元素,在你部署ISA防火墙之前,请仔细的考虑你应该如何对你的网络加以保护。在规划配置时, 你应该考虑以下几点:

    确认使用的协议:你需要开放哪些协议?哪些协议是你的商业应用程序所需要的?
    确认基于用户/组的访问策略
    :考虑哪些用户需要访问什么资源,提前考虑如何创建你的ISA防火墙用户组以允许用户访问他们需要的资源。对每条策略都使用最小特权原则,并避免使用拒绝策略。
    确认日志记录的需求
    :确认你需要什么类型的日志记录方式。当你位于一个控制严格的环境,你可能想要记录下所有的活动,那么你可以配置你的ISA防火墙为域成员并部署Web代理客户和防火墙客户。这不仅仅增强了ISA防火墙提供的安全级别,并且也对你的日志记录能力有显著的帮助。
     

  6. 使用DMZ网络来区分安全区域:ISA防火墙支持无限 数量的网络接口,网络接口的数量只是受到物理硬件的限制。使用DMZ网络来对你的组织中进行安全区域的划分,在不同的安全区域间部署ISA防火墙并严格的加以控制,这样就可以保护入侵者的攻击。关于如何部署DMZ网络,请参见How to :在ISA Server 2004中配置DMZ网络一文。

  7. 不要在ISA防火墙安装其他的服务。ISA防火墙应该永远只是作为一个防火墙,而不再担当额外的服务器角色。不要把ISA防火墙作为文件服务器、Web服务器、Ftp服务器等等,唯一的例外是ISA防火墙安装在SBS 2003 SP1服务器之上,但是这样ISA防火墙的安全性会因为SBS服务器应用程序的安全性降低而降低。

  8. 使用Windows server 2003的安全配置向导或者按照ISA防火墙强化指南来对服务器进行安全强化。ISA防火墙应该总是安装在一个健壮的操作系统之上,不要在Windows server 2000上安装ISA防火墙,你应该总是在Windows server 2003上进行安装。使用Windows server 2003的安全配置向导来对操作系统进行强化配置,如果你不愿意,也可以按照ISA防火墙安全强化指南来对服务器进行配置,参见ISA Server 2004 安全强化指南

    作者:Thomas W Shinder MD, MVP
    责任编辑:风间子

[1] [2] [3] [4] 下一页>>
上一篇:配置ISA Server的网络适配器的TCP/IP设置
下一篇:How to :允许外部的VPN客户访问内部网络
相关信息:

How to : 如何配置ISA Server 的网络环境 v2.0
访问规则和服务发布规则的区别 v1.1
理解ISA 2004的连通性验证工具
浅谈ISA Server 2004的身份认证
ISA Server 2004中的MIME类型

热点信息 TOP 10
ISA Server 2004标准版安装指南
How to :在域环境中配置ISA Server 2004
How to :使用公共IP地址来访问DMZ中的服务器
ISA Server 2004 SP2 使用指南 v 1.06
How To :配置ISA防火墙作为网络间的路由器
How to :在ISA Server 2004中配置DMZ网络
How to:在存在多条路由的内部网络中配置ISA Server 2004
ISA2004 beta2 快速安装指南
How to : 如何配置ISA Server 的网络环境 v2.0
How to :在ISA Server 2004中同时使用多条路由

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..