ISASERVER2004對多重網路支援功能簡述
一、ISA SERVER 2000的網路設計侷限
ISA SERVER 2000實際上只支援三個網路,既外部網路、內部網路和DMZ區。它認為內部網路是一個完全安全的網路,因此其內網路卡是不受防火牆保護的,預設情況下,凡是來自於內部和外部計算機都可以訪問ISA SERVER內網上監聽的任何服務。如果內部網路,還分為多個子網路,子網路間的通訊亦不受ISA SERVER 2000的保護。
ISA SERVER 2000使用靜態和動態IP包過濾、應用層過濾來來保護內網到外網的及DMZ區之間的資料通訊,而使用靜態IP包過濾規則來保護DMZ區和外部網路之間的通訊。由於DMZ網路的配置複雜,安全性欠妥,較少使用。
ISA SERVER 2000的這種網路設計對使用者的實際應用具有一定的侷限性,主要表現以下幾個方面:
A、實際上,內部網路並不安全,很多病毒和網路攻擊來自於內部,它們通過不受任何保護的ISA SERVER內網路卡到達ISA SERVER,會給ISA SREVER造成破壞,並以此影響整個網路的通訊。
B、很多公司將內部網路分為多個安全級別的子網,並希望通過使用防火牆來控制這些網路間的通訊,以達到安全管理的要求,而ISA SERVER不加區地認為所有內部網路都是安全的。
C、ISA SERVER僅僅使用IP包過濾規則來保護DMZ區的伺服器,由於IP包過濾是一種靜態的過濾,顯然,這種保護力度還不夠強大。
D、ISA SERVER 2000可將自身配置為VPN伺服器,但所有撥入的VPN計算機深視為內部網路的一員,也就是說,一旦VPN使用者撥入以後,就可不受限制地訪問內部網路,由於用哀悼可能在外部網路使用任何一臺不符合安全要求的計算機上進行VPN撥入,如,出差的員工可能會使用網咖的計算機,這些計算機上很可能存在病毒和惡決軟體,如果不對VPN用哀悼加以限制的話,就有可能會通過這些VPN通道帶來危險,從而影響整個內部網路。
二、ISA SERVER 2004的多重網路支援功能
A、多重網路分隔
ISA SERVER 2004包括內部網路、外部網路,外圍網路(DMZ)、VPN客戶端網路、本地主機和VPN隔離客戶端網路這6個內建網路,此外使用者可以自行新增其他網路。ISA SERVER 2004將各個網路分離開來,控制它們之間的資料通訊。
同時ISA SERVER 2004也不再認為內部網路是安全的,受信任的網路,內部網路和其他網路處於平等的地位,ISA ISA SERVER 2004預設不信任任何網路,而任何網路之間也是互不信任的。ISA SERVER 2004的每個網路卡都受防火牆保護,且所有IP地址的所有埠都是關閉的。其他任何計算機都無法訪問ISA SERVER 2004的任何一個IP地址上的任何服務。要使ISA SERVER 2004伺服器以及各個網路間進行資料通訊,管理員需要建立相應的防火牆策略。
B、獨立的VPN網路
考慮到VPN客戶端造成的安全隱患,ISA SERVER 2004將VPN客戶端分到獨立的網路——VPN客戶端網路,如果啟用了VPN隔離,那麼還有另一個VPN隔離客戶端網路。預設VPN客戶端不再能夠無限制的訪問內部網路,管理員可以通過建立防火牆策略來控制VPN客戶端對內部網路資源的防問要限,這對提高內部網路安是非常重要的。
WINDOWS 2003 的路由和遠端訪問服務(RRAS)和ISA SERVER 2004都提供了VPN隔離的功能,如果啟用該功能,當VPN客戶端撥入時,RRAS或ISA SERVER 2004服務會檢查客戶端計算機的配置是否已經達到了伺服器端所要求的標準,如是否啟用了訪火牆客戶端,是否安裝了防病毒軟體,是否安裝了WINDOWS 補丁等。只有符合伺服器所規定的標準的VPN客戶端才會被加入VPN客戶端網路,否則將被加入VPN隔離客戶端網路。管理員一般會給VPN客戶端網路更多的防問要限,而對於VPN客戶端網路,可能不會給於任何要限或只給於其很少的許可權。
C、網路規則
當ISA SERVER 2004安裝完成以後,如果沒有設定相應的規則,ISA SERVER本機以及其連線的各個網路都如同孤島,網路通訊只能在各個網路內進行。
為了將各個網路以及ISA SERVER本機連線起來,管理員首先需要建立網路規則。網路規則定義了網路間資料通訊的方式。
有兩種型別的網路規則:路由和NAT。
路由網路關係是雙向的,NAT網路關係是單向的
路由網路關係具有以下特點:
1、路由網路關係使用路由器的功能轉發資料包。如果一個網路是以網路的方式訪問另一個網路的,如DMZ的伺服器也使用公網IP,它與INERNET網路的關係就是路由的關係。那麼ISA SERVER是使用路由器的功能轉發資料包的,它並沒有改變資料包的IP源/目標地以及源/目標埠。
2、路由網路關係是雙向的。如果網路A到網路B的關係是路由,那麼網路B到網路A的關係也是路由。
NAT網路關係具有以下特點:
1、使用NAT技術轉發資料包,如果一個網路是以NAT的方式訪問另一個網路的,如內部網路訪問INTERNET網路,那麼ISA SERVER會轉換該資料包的IP源/目標地以及源/目標埠。以進行地址對映。
2、NAT網路關係是單向的。如果網路A到網路B的關係是NAT,那麼網路B到網路A的關係慨不能是NAT,也不能是路由。
ISA SERVER 2000實際上只支援三個網路,既外部網路、內部網路和DMZ區。它認為內部網路是一個完全安全的網路,因此其內網路卡是不受防火牆保護的,預設情況下,凡是來自於內部和外部計算機都可以訪問ISA SERVER內網上監聽的任何服務。如果內部網路,還分為多個子網路,子網路間的通訊亦不受ISA SERVER 2000的保護。
ISA SERVER 2000使用靜態和動態IP包過濾、應用層過濾來來保護內網到外網的及DMZ區之間的資料通訊,而使用靜態IP包過濾規則來保護DMZ區和外部網路之間的通訊。由於DMZ網路的配置複雜,安全性欠妥,較少使用。
ISA SERVER 2000的這種網路設計對使用者的實際應用具有一定的侷限性,主要表現以下幾個方面:
A、實際上,內部網路並不安全,很多病毒和網路攻擊來自於內部,它們通過不受任何保護的ISA SERVER內網路卡到達ISA SERVER,會給ISA SREVER造成破壞,並以此影響整個網路的通訊。
B、很多公司將內部網路分為多個安全級別的子網,並希望通過使用防火牆來控制這些網路間的通訊,以達到安全管理的要求,而ISA SERVER不加區地認為所有內部網路都是安全的。
C、ISA SERVER僅僅使用IP包過濾規則來保護DMZ區的伺服器,由於IP包過濾是一種靜態的過濾,顯然,這種保護力度還不夠強大。
D、ISA SERVER 2000可將自身配置為VPN伺服器,但所有撥入的VPN計算機深視為內部網路的一員,也就是說,一旦VPN使用者撥入以後,就可不受限制地訪問內部網路,由於用哀悼可能在外部網路使用任何一臺不符合安全要求的計算機上進行VPN撥入,如,出差的員工可能會使用網咖的計算機,這些計算機上很可能存在病毒和惡決軟體,如果不對VPN用哀悼加以限制的話,就有可能會通過這些VPN通道帶來危險,從而影響整個內部網路。
二、ISA SERVER 2004的多重網路支援功能
A、多重網路分隔
ISA SERVER 2004包括內部網路、外部網路,外圍網路(DMZ)、VPN客戶端網路、本地主機和VPN隔離客戶端網路這6個內建網路,此外使用者可以自行新增其他網路。ISA SERVER 2004將各個網路分離開來,控制它們之間的資料通訊。
同時ISA SERVER 2004也不再認為內部網路是安全的,受信任的網路,內部網路和其他網路處於平等的地位,ISA ISA SERVER 2004預設不信任任何網路,而任何網路之間也是互不信任的。ISA SERVER 2004的每個網路卡都受防火牆保護,且所有IP地址的所有埠都是關閉的。其他任何計算機都無法訪問ISA SERVER 2004的任何一個IP地址上的任何服務。要使ISA SERVER 2004伺服器以及各個網路間進行資料通訊,管理員需要建立相應的防火牆策略。
B、獨立的VPN網路
考慮到VPN客戶端造成的安全隱患,ISA SERVER 2004將VPN客戶端分到獨立的網路——VPN客戶端網路,如果啟用了VPN隔離,那麼還有另一個VPN隔離客戶端網路。預設VPN客戶端不再能夠無限制的訪問內部網路,管理員可以通過建立防火牆策略來控制VPN客戶端對內部網路資源的防問要限,這對提高內部網路安是非常重要的。
WINDOWS 2003 的路由和遠端訪問服務(RRAS)和ISA SERVER 2004都提供了VPN隔離的功能,如果啟用該功能,當VPN客戶端撥入時,RRAS或ISA SERVER 2004服務會檢查客戶端計算機的配置是否已經達到了伺服器端所要求的標準,如是否啟用了訪火牆客戶端,是否安裝了防病毒軟體,是否安裝了WINDOWS 補丁等。只有符合伺服器所規定的標準的VPN客戶端才會被加入VPN客戶端網路,否則將被加入VPN隔離客戶端網路。管理員一般會給VPN客戶端網路更多的防問要限,而對於VPN客戶端網路,可能不會給於任何要限或只給於其很少的許可權。
C、網路規則
當ISA SERVER 2004安裝完成以後,如果沒有設定相應的規則,ISA SERVER本機以及其連線的各個網路都如同孤島,網路通訊只能在各個網路內進行。
為了將各個網路以及ISA SERVER本機連線起來,管理員首先需要建立網路規則。網路規則定義了網路間資料通訊的方式。
有兩種型別的網路規則:路由和NAT。
路由網路關係是雙向的,NAT網路關係是單向的
路由網路關係具有以下特點:
1、路由網路關係使用路由器的功能轉發資料包。如果一個網路是以網路的方式訪問另一個網路的,如DMZ的伺服器也使用公網IP,它與INERNET網路的關係就是路由的關係。那麼ISA SERVER是使用路由器的功能轉發資料包的,它並沒有改變資料包的IP源/目標地以及源/目標埠。
2、路由網路關係是雙向的。如果網路A到網路B的關係是路由,那麼網路B到網路A的關係也是路由。
NAT網路關係具有以下特點:
1、使用NAT技術轉發資料包,如果一個網路是以NAT的方式訪問另一個網路的,如內部網路訪問INTERNET網路,那麼ISA SERVER會轉換該資料包的IP源/目標地以及源/目標埠。以進行地址對映。
2、NAT網路關係是單向的。如果網路A到網路B的關係是NAT,那麼網路B到網路A的關係慨不能是NAT,也不能是路由。
預設DMZ網路與INTERNET網路是路由關係,VPN客戶端、VPN受隔離的客戶端和內部網路間的關係是路由。VPN客戶端、VPN受隔離的客戶端、內部網路間到DMZ網路、INTERNET網路的關係是NAT
本文轉自 rickyfang 51CTO部落格,原文連結:http://blog.51cto.com/rickyfang/127071,如需轉載請自行聯絡原作者
相關文章
- RNN與LSTM網路簡述RNN
- oracle備份功能簡述Oracle
- 詳述網路中ARP安全的綜合功能
- 簡述 Polkadot 和區塊鏈網際網路區塊鏈
- 簡述對Vuex的理解Vue
- 萬字綜述之生成對抗網路(GAN)
- MODBUS協議整理——功能碼簡述協議
- SqueezeNet/SqueezeNext簡述 | 輕量級網路
- 多重對映
- 新功能初探 | MySQL 8.0 Multi-Valued Indexes功能簡述MySqlIndex
- 簡述脈衝神經網路SNN:下一代神經網路神經網路
- three.js UV對映簡述JS
- 網路廣告研究綜述
- 網路資訊保安論述
- Fedora 20:新的網路配置功能、支援 ARM 裝置
- SAP Marketing Cloud功能簡述(二) : Target GroupCloud
- ShuffleNetV1/V2簡述 | 輕量級網路
- 生成對抗網路綜述:從架構到訓練技巧架構
- 讓Nginx支援if多重判斷方法Nginx
- win7電腦多重網路怎麼辦Win7
- 實戰生成對抗網路[1]:簡介
- RNN神經網路模型綜述RNN神經網路模型
- SAP Marketing Cloud功能簡述(一) : Contacts和ProfilesCloud
- 用C語言實現簡易的shell程式,支援多重管道及重定向C語言
- Akamai推出全新託管服務,助力線上企業應對多重網路效能挑戰AI
- CNN 簡述CNN
- 簡述HTTPHTTP
- MobileNetV1/V2/V3簡述 | 輕量級網路
- 請簡述OSI七層網路模型有哪些層及各自的含義?模型
- Amazon Global Accelerator 的新增功能 — 網際網路協議版本 6(IPv6)支援協議
- SAP Marketing Cloud功能簡述(五) 銷售計劃管理Cloud
- 王一博手機號被粉絲打爆,網際網路時代網路安全多重要?
- 簡述網站建設技術難點網站
- 谷歌公司提出的卷積神經網路GoogLeNet 系列作品簡述谷歌卷積神經網路Go
- 網際網路開放平臺應用綜述
- 連結相關性對網站最佳化有多重要網站
- SAP Marketing Cloud功能簡述(四) : 線索和客戶管理Cloud
- Java代理簡述Java