机房防火墙_域环境下架构ISA防火墙加强网络机房管理初探

域环境下架构ISA防火墙加强网络机房管理初探

1 问题的产生 现在，学校机房的标准配制是一台教师用机、一台服 务器、50台学生用机、两个26口的交换机，网络化连接。服 务器上只是安装一个Sgate这类的上网代理软件或直接连接 到学校的核心交换机，代理自己教室的上网，别的什么都不 做，功能单一、代理速度慢、无法管理，对于有7～8个机房 的较大规模学校，每个教室一台高性能的服务器只是做一下 代理上网，是很大的浪费。另外，现在的学校都是可以直接 上外网，教师通过Sgate软件控制学生的上网，但对学生上 网的管理和有效监督明显无能为力，只要教室上课时连接网 络，那么问题就出现了，学生会下载一些聊天工具、在线小 游戏，或者通过搜索网站搜索一些不健康的信息进行浏览， 大量地下载歌曲或游戏软件还造成教室网络速度变慢，影响 正常的教学秩序。此时，教师一般的解决方法就是拔网线或 是关了代理服务器，大家都不能上网，可是这样做却会影响 学生们正常自主学习，也浪费了学校为学生提供的宝贵网络 资源。这是一个两难的问题，对信息技术教师来说是一个新的课题和挑战。

2 解决方法 在学校内使用的网络管理系统部署，既不能太复杂价格 也不能太昂贵，部署后又要比较方便于教师使用。综合各方 面因素这里选择了使用域环境下架构ISA防火墙的做法。在 Win2003环境下先部署域，域的特点是能很好的管理域内网 络的各台主机，在域内再加上ISA网络防火墙，就可使原来 教师上课时无法控制的学生无序上网行为得到最有效的控 制。

ISA是微软开发的一套网络管理软件，全称Microsoft Internet Security and Acceleration。指的是Internet安 全和代理。ISA的优势在于对内部网络起到保护作用，对常 见的攻击行为进行防范，如在应用层的攻击，一些蠕虫病毒 的攻击，一些微软的漏洞的攻击都是可以做到有效防范的。

ISA非常便于我们去管理，操作起来就像我们在WINDOWS中一 样。ISA在性能和安全上做到了最佳的平衡，在不影响性能 安全的前提下尽量去提高上网性能。相对于传统防火墙，它 可以做到对应用层的防护。而传统防火墙只能看到OSI七层 协议的下三层，只能看到MAC地址IP地址和一些简单的协议， 而看不到协议中传的是什么内容。但ISA可以看到上三层的 内容，它可以拆解数据包，看看里面是什么，再决定发不发。

对于ISA的客户端而言可以很高效的去访问外网，还有强大 的VPN功能和身份验证机制。3 ISA的安装 安装ISA2004的企业版在win2003平台上，最多支持四个 CPU，内存256 M，最好1 G内存，硬盘40 G。安装环境是在 Win2003域环境中，有DNS支持。两个网卡，两台服务器，三 间机房。一台服务器已经是Win2003域服务器，一台用来安 装ISA。在安装过程中，安装类型我们选择自定义，在自定 义中我们把“客户端软件安装共享”和“消息筛选程序”勾 选后进行安装，不过要正常安装上这两个组件，之前一定要 先安装IIS中的SMTP。接着是内部网络的设定，点击“添加” 设置我们自己的可靠的内部网络，可以手工添加IP地址也可 以选择捆绑的网卡。以本校为例，三个网络教室分别以不同 网段安装，教师机相应单独设置在相关网段内。

4 ISA的调试篇 ISA安装完毕后，开始进入设置阶段。ISA的核心就是防 火墙策略，在ISA2004中，防火墙策略是网络规则、访问规 则和服务器发布规则三者的结合。网络规则定义了不同网络 之间是否能访问，以及如果可以访问，该规则如何进行网络 访问，通过网络规则来定义并描述网络的拓扑结构。访问规 则是定义了两个网络之间是否存在连接以及连接的方式，连 接的方式有两种，一种是路由一种是NAT。路由是来自原网 络客户端的请求被直接发到目标端的网络中去，是双向的。

在采用NAT连接时ISA会把自己的IP地址替换到原网络客户 端的IP地址，内部网络和外部网络联系时可以采用NAT来保护自己的内部网络，是单向的。在ISA的安装过程中还建立 了一些默认的规则，如本地主机的访问，建立了本地主机和 其他网络的路由关系。

打开ISA后，展开配置会看到网络设置，其中看到网络 内部设置的四个网络段，ISA本地主机IP和DNS主机IP。

第一步：封QQ 1）新建通信协议。要封QQ必需先了解QQ通讯的原理， 根据目前QQ登录的三种不同方式所采用的协议和端口，新建 三条协议，协议名依次为UDP-8000、TCP-443、TCP-80。为 什么要建立这三条通讯协议？这是因为，QQ登录时，主要使 用的QQ服务器的UDP的8000端口、TCP协议的443端口、TCP协 议的80端口，定义好这些协议，方便于建立禁用QQ的防火墙 策略。

2）新建计算机集。计算机集也是ISA中提出的一个概念， 可以把一些特殊的IP地址定义起来。由于QQ服务器很多，我 们将QQ服务器划分为三类，UDP_8000、QQ-Server TCP_443 和QQ-Server VIP。划分QQ服务器类型，也是为了方便建立 禁用QQ的规则。点击ISA 2004管理控制台右侧框体中的“网 络对象”标签页，点“新建→计算机集”，弹出“新建计算 机集规则元素”对话框。在该对话框的名称栏中输入 “QQ-Server”，然后点击下方的“添加”按钮，选择“计 算机”，将QQ服务器的IP地址一个个添加进去，QQ服务器很 多可以上网去查找。3）创建访问规则。定义好通信协议和QQ计算机集后， 我们就可创建禁止QQ上网的防火墙策略了。在ISA 2004控制 台窗口中，右击“防火墙策略”，选择“新建→访问规则”， 进入“新建访问规则向导”对话框，在名称栏中输入“Deny QQ”。点击“下一步”，在“规则操作”对话框中选中“拒 绝”，点击“下一步”。在“协议”对话框中选择“所选的 协议”，添加已经建立的协议UDP-8000、TCP-443和TCP-80 协议。

然后，指定访问规则源，点击“添加”按钮，在“添加 网络实体”对话框中选中“内部”并添加。点“下一步”， 设置禁止访问的QQ服务器，点击“添加”按钮，在“添加网 络实体”对话框中，将新建的计算机集“QQ-Server”添加 到列表框中。进入“用户集”设置对话框，选择“所有用户” 后点击“完成”按钮。

最后，在“防火墙策略”窗口中选中“Deny QQ”规则， 点击上方的“应用”按钮。这样就完成了“禁止QQ上网”规 则的创建，教室内的学生电脑就不能通过正常登录上QQ了。

但现在的QQ还有一种登陆方式，就是通过HTTP：80端口 代理。在教室内，为了保证学生能正常上网浏览网站是不能 禁用HTTP协议的。这样一来，一些聪明的学生还是可以通过 HTTP代理上QQ。如何禁用HTTP代理，又能保证学生能够正常 上网浏览网页，现在可以利用ISA 2004中的“签名”功能来 禁止QQ使用HTTP代理进行登录。右键配置HTTP，增加一个签名。在“名称”栏中输入“QQ”，然后在“查找范围”下拉 列表框中选择“请求URL”，签名中加入“tencent.com”， 有时会是“qq.com”也可以添加进去。数据包在通过ISA时 会被查找，只要其中包含tencent.com或qq.com就会被ISA丢 弃。我们还可以做得更严格一些，用HTTP方法中选择“阻止 指定的方法”，添加connect。我们在截包分析后会发现所 有的代理软件都会出现connect字样。通过过滤connect把这 些要求通过代理出去的数据包阻止掉。

第二步：阻止下载软件 学生在教室上网时，很可能会 下载游戏、软件等网络上的资源。通过ISA可以有效地控制 什么可以下载、什么不可以下载。如何去做到呢？可以通过 ISA配置HTTP策略中的扩展名，选中阻止指定的扩展名，点 增加.exe、.rar、.zip等，可以阻止任意指定的扩展名文件 的下载和运行。这样就可以有效地控制学生在上课时间内下 载外网的大量与学习无关的资源。

第三步：阻止不良网站 学生在上课时如果网络开通， 总会有一些学生打开一些游戏网站，那么怎么能快速有效的 去封掉这些网站呢，可通过ISA控制面板右边的“工具箱”， 在其中增加URL集，建立一个URL集，名字叫game，如不想让 学生上这个小游戏网站，就在其中加入http：
//www.4399.com/*，做完后，在防火墙策略中加一条策略， 从内部到URL集的所有通讯拒绝，这样学生在访问这些网站 时会被ISA自动拒绝，同时在发现一些不良网站时，直接加入到game集中就行。

5 总结 www.4399.com