ISA Server在校园机房网络管理中的应用
吴观全 陈榕利
摘要:在创新学院校园公共机房网络数据交换通过ISA Server与网络中心来完成,使局域网和互联网从物理上断开,首先要符合ISA Serveri访问规则的数据才能够进行交换,从而有效地控制客户端的上网行为。对于民办学院而言,在某个区域网络的管理需要购买动辄数十万的路由器和防火墙等网络管理设备是不切实际的,采用ISA Server4代理软件管理局域网可以达到维护机房网络学生上网安全的目的。文章提出了机房网络管理方面的一些问题,并给出了ISA Server在管理校园网络中的一些应用。
关键词:ISA Server;访问规则;机房网络管理;
1 ISA Server功能概述
ISA Server是可进行扩展的软件防火墙和Web缓存服务器,主要是构建在Microsoft Windows Server 2008和Windows 2003 Server操作系统的安全和目录以及管理上,主要实现基于对访问控制策略的提速和网络之间的管理。
2 ISA Serve^基本配置
ISA Server安装完成后,在默认情况下,ISA Server会隔离内、外网的通讯,任何通过ISA Server进行通讯的行为都要经过设置。在ISA Server中,任何未经明确“允许”的行为,都默认为不能访问外网,要让网络正常通迅,需要相应网络规则、访问规则的配置和策略。
2.1 网络规则设置
在不同的网络之间是否能够访问以及应该怎样去访问的关键在于对网络规则的设置,ISA Server的网络规则是有2种不同的关系,就是路由网络关系和NAT网络关系。
路由网络关系主要通过路由器自身的功能来转发数据包,是双向关系。一般情况下,路由关系主要有:(1)互联网与DMZ(隔离区)网络(内部的公共IP)之间的关系。(2)VPN(虚拟专用网络)受隔离的客户端和自身客户端以及内部网络之间的关系。
NAT网络关系使用NAT技术转发数据包,NAT关系是单向的。一般情况下,NAT关系主要有:(1)VPN自身客户端和受隔离的客户端同内部网络之间到互联网之间的关系。(2)VPN(虚拟专用网络)受隔离的客户端和自身客户端以及内部网络间到DMZ(隔离区)网络。
2.2 访问规则配置
ISA Server使用需要进行正确的配置,而访问规则是基础配置中的重要环,具体操作如下:(1)用户设置是在对用户对象一个或者更多的权限设置,主要包括全部经过认证的用户以及系统和网络服务等另外自定义的用户集。(2)ISAServer在访问规则中主要通过连接端口范围来定义出站方向,同时可以有一个或多个的协议。(3)内容类型通过配置Mime和文件扩展名来指定,当所有类型和规则的内容类型不匹配时,对于不是HTTP协议以及已进行封装的FTP协议,这条访问的规则不能够执行。只有在客户的连接请求与某个允许规则完全匹配的情况下才检查过滤标准。(4)ISA Server计划设置,主要是对特定的时间表内激活相关内网上网时间。
3 访问策略
访问策略配置是ISA Server通过配置和管理ISA的访问策略,能够控制客户端上网人员的账户信息以及客户端的上网时间限制,同时可以控制客户端要使用的相关协议以及客户端要访问的相关网站的内容,还包括如何防止黑客攻击和病毒进行数据包筛选器的配置。ISA Server访问策略配置也提供外部供给和入侵的检测功能,从而让ISA Server拥有防止攻击的能力,可以采取自动报警和自动采取措施,图1就是一个访问请求通过访问策略的进程。
4 ISA Serve机房网络管理中的实际应用
目前,学院公共机房规划在教学楼南面,总共24间机房1400多台电脑,7个系的学生使用。根据网络规划和楼层划分了多个VLAN。
4.1 设置所需要的子网数量
需要在汇聚的交换机上,设置所需要的子网数量。通过默认路由指向其中一个IP地址,下例案例的命令集中指向的IP地址为172.20.1.5,具体的操作如下:
-sys
vlan 100
desc"Moren wungguanuquan"
port el/20
-inte vlan 120
-ip addr 172.20.1.1 255.255.255.0
-ip route-static 0.0.0.0 0.0.0.0 172.20.1.5
根据操作步骤使用的命令进行设置,设置的网段的端口20的IP是172.20.1.5,172.20.1.5为默认路由地址。
4.2 静态路由添加到其他的网段
对于安装好ISA Server软件的服务器上需要有双网卡,其中一块网卡和交换机的el/20端口连接,并将172.20.1.5的地址绑定到这块网卡上。另一块外连的网卡设置10.0.0.112的地址、子网掩码10.0.0.5。为了让IP为172.20.1.5网卡能够访问另外其他子网,在命令提示符添加到其他VLAN的静态路由,其命令格式如下:
Route
-p add 172.20.11.0 mask 255.255.255.0172.20.1.1
Route
-p add 172.20.12.0 mask 255.255.255.0172.20.1.1…
根据在计算机上述的格式逐行命令运行即可,可以运行route print命令查看到静态路由的添加清单。
服务器软件防火墙在支持多个网段时,除了需要在3层交换机和网络设置好,必须在安装好的软件防火墙服务器上运行“route”这条命令,才能够在局域网中对其他网段的静态路由进行正确的配置,支持多个网段。
4.3 机房网络访问策略具体实施步骤
(1)学院教学楼公共机房全部计算机都可以有固定IP地址,并且要求每个IP登记造册,进行统一管理,例如:机房电脑IP段为172.20.0.100-172.20.0.250。(2)安装ISAserver网关防火墙:ISA Server要求安装在双网卡的电脑上做网关,其中一张网卡连接网络中心,另一张网卡连接到教学楼的汇聚交换机。(3)由于互联网上通过端口完成各种服务,例如80的端口是浏览网页使用,8080的端口是QQ软件使用等。在学校公共机房的主要使用人员是学生,针对学生上课需求向学生开放HTTP服务、FTP服务、邮件服务以及教学软件所需要的端口。(4)学生在机房上网的时间,通过在ISA的访问规则里配置工作时间规则,允许学生上网时间。对于机房管理员,可以根据要求随时定义、更改用户的IsA访问规则,开放不同的权限。
因此,配置防火墙策略和发布服务器规则,根据IP分段严格控制所有电脑的进出站协议。
4.4 使用ISA Server设置学生机房上课时间,禁止QQ软件上网
4.4.1 禁用QQ的思路
由于腾讯QQ可以支持3种主要登录方式:UDP协议、HTTP协议和HTTPS协议,同时QQ软件也可以使用HTTP协议的代理功能登录,在设置不变的情况下,QQ软件首先会向服务器群的端口8000发送UDP数据包,QQ软件在选择登录服务器后,会在服务器群选择一个回复速度最快的。如果没有服务器回复UDP数据包,另外会采用TCP的端口80/443登录。QQ软件能够使用HTTP协议直连,一般情况下不能够封锁HTTP协议,要封锁QQ软件上网的关键是封锁其服务器IP地址,同时在ISAserver的HTTP协议检查机制中设置禁止使用QQ软件通过HTTP连接。
4.4.2 QQ软件禁用步骤
首先需要建立Internet访问规则选择为HTTP~DNS协议,让教职工能够成功地访问公网,并能成功地使用QQ软件,然后再通过ISA Server的深层检测功能实现对QQ的过滤。QQ软件签名默认使用是tencent.com。当该签名无法生效时,QQ数据包的签名则需要使用数据分析工具抓紧数据包具体分析。最后点击“确定”关闭窗口,这样学生在上课时间就会无法登录QQ软件。
关于禁止其他聊天工具和使用HTTP代理登录的方法是一样的,根据该软件数据包中所包含的特征关键字,在ISAServer防火墙的“签名”功能中选择对应的配置。同时在ISAServer防火墙策略窗口中选中“允许用户访问外部网络”规则,点击窗口上方“应用”按钮,签名配置立即生效,能够彻底禁用聊天工具使用HTTP代理上网。