基于ISA Server 的防火墻技術應用

邵春林

（安徽新華電腦專修學院，安徽 合肥 230012）

一、防火墻的概念

防火墻指由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、局域網(wǎng)與外網(wǎng)之間的保護屏障，就像架起了一面墻，它能使網(wǎng)絡之間建立起一個安全網(wǎng)關，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入。

二、防火墻的分類

根據(jù)物理特性，防火墻分為兩大類：硬件防火墻和軟件防火墻。

（一）軟件防火墻

軟件防火墻是一種安裝在負責內(nèi)外網(wǎng)絡轉(zhuǎn)換的網(wǎng)關服務器或者獨立的個人計算機上的特殊程序，它以邏輯形式存在，防火墻程序跟隨系統(tǒng)啟動，通過運行在Ring0 級別的特殊驅(qū)動模塊把防御機制插入系統(tǒng)關于網(wǎng)絡的處理部分和網(wǎng)絡接口設備驅(qū)動之間，形成一種邏輯上的防御體系。

（二）硬件防火墻

硬件防火墻是一種以物理形式存在的專用設備，通常架設于兩個網(wǎng)絡的駁接處，直接從網(wǎng)絡設備上檢查過濾有害的數(shù)據(jù)報文，位于防火墻設備后端的網(wǎng)絡或者服務器接收到的是經(jīng)過防火墻處理的相對安全的數(shù)據(jù)，不必另外分出CPU 資源去進行基于軟件架構的NDIS 數(shù)據(jù)檢測，可以大大提高工作效率。

三、防火墻技術

傳統(tǒng)意義上的防火墻技術分為三大類：包過濾、應用代理和狀態(tài)監(jiān)視，無論防火墻的實現(xiàn)過程多么復雜，歸根結底都是在這三種技術的基礎上進行功能擴展。

（一）包過濾防火墻

包過濾防火墻是最早使用的一種防火墻技術，它對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進行分析，并與預先設定好的防火墻過濾規(guī)則進行核對，一旦發(fā)現(xiàn)某個包的某個或多個部分與過濾規(guī)則匹配并且條件為阻止時，這個包就會被丟棄。其優(yōu)點是簡單快速，行效率非常高。其缺點是對信息處理能力有限，只能訪問包頭中的部分信息，不能理解通信的上下文，控制層次較低，不能實現(xiàn)用戶級的控制。

（二）應用代理防火墻

應用代理防火墻工作于OSI 的應用層上。應用代理防火墻實際上并不允許在它連接的網(wǎng)絡之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡特定用戶應用程序的通信，然后建立于公共網(wǎng)絡服務器單獨的連接。其優(yōu)點是易于配置，能靈活、完全地控制進出的流量、內(nèi)容，能過濾數(shù)據(jù)內(nèi)容，能為用戶提供透明的加密機制，可以方便地與其他安全手段集成。其缺點是速度較慢，對用戶不透明，不能保證免受所有協(xié)議弱點的限制，不能改進底層協(xié)議的安全性。

（三）狀態(tài)監(jiān)測防火墻

狀態(tài)監(jiān)測防火墻根據(jù)連接的狀態(tài)進行檢查，當一個初始數(shù)據(jù)的報文到達防火墻時，首先檢查該報文是否符合安全過濾規(guī)則的規(guī)定。如果符合，將這條連接記錄下來并且添加允許這條連接通過的過濾規(guī)則，之后向目的地址轉(zhuǎn)發(fā)報文。以后凡是屬于這個連接的數(shù)據(jù)防火墻一律通過，主要工作在傳輸層。其優(yōu)點是具有檢查IP 包的每個字段的能力，并遵從基于包中信息的過濾規(guī)則，具有基于應用程序信息驗證一個包的狀態(tài)的能力。其缺點是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡連接的遲滯。

四、基于ISA Server 的防火墻配置應用

（一）ISA Server 的特點

ISA Server 是建立在Windows Server 操作系統(tǒng)上的一種可擴展的企業(yè)級防火墻和Web 緩存服務器。ISA Server 的多層防火墻可以保護網(wǎng)絡資源免受病毒、黑客的入侵和未經(jīng)授權的訪問。而且，通過本地而不是Internet 為對象提供服務，其Web 緩存服務器允許組織能夠為用戶提供更快的Web 訪問。

（二）ISA Server 的功能

ISA Server 有3 種不同的安裝模式：防火墻模式、緩存模式和集成模式。集成模式能夠在同一臺計算機上實現(xiàn)前兩種模式?？梢杂卸喾N聯(lián)網(wǎng)方案來部署ISA Server，包括以下所述的幾種方法。

1.Internet 代理防火墻

ISA Server 可以安裝成專用防火墻，作為內(nèi)部用戶接入Internet 的安全網(wǎng)關。ISA Server 允許設置一組廣泛的規(guī)則，以指定能夠通過ISA Server 的站點、協(xié)議和內(nèi)容，由此實現(xiàn)您的商業(yè)Internet 安全策略。

2.安全服務器發(fā)布

使用ISA Server 您能夠向Internet 發(fā)布服務，而且不會損害內(nèi)部網(wǎng)絡的安全。要實現(xiàn)這一點，只需讓ISA Server 計算機代表內(nèi)部發(fā)布服務器來處理外部客戶端的請求即可。

3.正向Web 緩存服務器

作為正向Web 緩存服務器，ISA Server 保存集中緩存內(nèi)經(jīng)常受到請求的Internet 內(nèi)容，專用網(wǎng)絡內(nèi)的任何Web 瀏覽器都可以訪問這些內(nèi)容。

4.反向Web 緩存服務器

ISA Server 可以作為Web 服務器。它用緩存中的Web 內(nèi)容來滿足傳入的客戶端請求。只有緩存中的內(nèi)容不能滿足請求時，它才會把請求轉(zhuǎn)發(fā)給Web服務器。

5.VPN 虛擬專用網(wǎng)

ISA Server 支持安全的虛擬專用網(wǎng)（VPN）訪問，分支機構或遠程用戶可以通過這種類型的訪問連接到公司網(wǎng)絡。