1.2
ISA Server Firewall简介
Internet为公司提供了联系客户、合作者和雇员的新机遇。但是在提供良好机遇的同时,它也给安全、性能和可管理性等领域带来了新的风险。由于Internet的运用不断扩展,安全和性能所面临的挑战也不断加大。许多安全问题都可以利用ISA Server Firewall服务来解决,它允许通过基于任意数量可配置的策略单元规则,控制进出网络资源的访问。
本节学习目标
l
描述ISA Server如何提供3层筛选方法
l
描述ISA Server的内置应用程序筛选器
l
描述ISA Server可以检测到的数据包级或应用程序级攻击的种类。
估计学习时间:35分钟
1.2.1
筛选方法
防火墙可以使用各种筛选方法,包括数据包筛选、线路级(协议)筛选和应用程序筛选,以此增强安全性。高级企业防火墙,例如ISA Server,综合了这些方法在多个网络层提供保护。
1.2.1.1 IP数据包筛选
数据包筛选器可用来控制进出ISA Server的IP数据包的流量,如图1.4所示。当启用Packet Filtering特性时(该设置可以在IP Packet Filters Propereies对话框中查看或修改),所有在外部接口上的数据包都会被丢弃,除非明确许可它们通过。利用IP数据包筛选,您的系统可以在数据包传递到防火墙引擎的更高层或者应用程序筛选器之前,对它们进行拦截和测定。
如果在配置IP数据包筛选器时,只允许某些指定的数据包通过ISA Server,就可以大大提高网络的安全。IP数据包筛选器也允许您阻塞来源于指定的Internet主机的数据包,以及拒绝与许多常见攻击有关的数据包。利用IP数据包筛选器,您还可以阻塞针对您内部网络的任何服务的数据包,包括Web Proxy服务、Web服务器,或SMTP服务器。
1.2.1.2 线路级(协议)筛选
您可以通过访问策略规则和发布规则在ISA Server上设置线路级或协议筛选。如图1.5所示,这个特性能够让您检查会话而不是连接或者数据包。一个会话可以包括多个连接,为基于Windows运行Firewall Client软件的客户端提供了诸多益处。
1. 动态筛选
ISA Server通过访问策略规则和发布规则支持动态筛选。利用动态筛选,端口只在需要通信时自动打开,通信结束后就关闭。这样,可以最小化传出和传入方向上暴露的端口数目,并且为网络提供了高层次的安全、免受骚扰。
2. 支持基于会话的协议
线路级筛选提供内建支持辅助连接的协议,例如FTP与流媒体。它还允许在用户界面内定义协议的主要和辅助连接,而无需任何编程或第三方工具。可以通过指定端口数或端口范围、协议类型、TCP或UDP,以及入站或出站方向实现这一点。
1.2.1.3 应用程序筛选
应用程序级的安全性是防火墙通信检查中最为复杂的一环。好的应用程序筛选器允许分析个别应用程序的数据流,以及提供指定应用程序的处理,包括检查、筛选或阻塞、重定向,或者当数据通过该防火墙修改该数据。如图1.6所示,这一机制是用来防止发生危险,例如不安全的SMTP命令或者对内部域名系统(DNS)服务器的攻击。用于内容筛选的第三方工具,包括用于病毒检测、词法分析以及站点分类的工具,全都使用应用程序和Web筛选器,以增强防火墙的功能。
ISA Server包括以下内置的应用程序筛选器:
l
HTTP重定向筛选器
HTTP重定向筛选器将来自防火墙和安全网络地址转换客户端的HTTP请求转送到Web代理服务。这为没有把浏览器配置为指向Web代理服务的客户端建立了透明的缓存。
l
FTP访问筛选器
FTP筛选器拦截然后核对FTP数据。对于许可的通信,内核模式数据泵提供高性能的数据传送。
l
SMTP筛选器
SMTP筛选器拦截并核对SMTP电子邮件通信,保护邮件服务器免受攻击。该筛选器识别不安全的命令并且可以筛选电子邮件信息的内容或者大小,在未经同意的电子邮件到达邮件服务器之前将其拒绝。
l
SOCKS筛选器
对于没有防火墙客户端软件的客户端,SOCKS筛选器将请求从SOCKS 4.3的应用程序转发到ISA防火墙服务。访问策略规则决定SOCKS客户端应用程序是否与Internet通信。与Winsock不同,SOCKS可以支持任何客户端平台,包括UNIX操作系统、Macintosh和非标准的计算机设备。
l
RPC筛选器
RPC筛选器允许对基于指定接口的RPC请求进行复杂筛选。您可以选择暴露RPC接口。
l
H.323筛选器
H.323筛选器指向用于多媒体通信和电话会议的H.323数据包。它提供呼叫控制,包括处理传入呼叫和连接指定的H.323 gatekeeper的能力。
l
流媒体筛选器
流媒体筛选器支持工业标准媒体协议,包括Microsoft Windows Media Technologies,以及RealNetworks,Progressive Networks Audio(PNA)和实时流协议RTSP两者的流媒体协议。它还允许用户分割实况Windows Media流,由此来节约带宽。
l
POP和DNS入侵检测筛选器
这两个筛选器识别并阻塞针对内部服务器的攻击,包括DNS主机名溢出、DNS区域传送和POP缓冲区溢出。
1. H.323 Gatekeeper
H.323 Gatekeeper同H.323协议筛选器协作,从而为向H.323注册过的客户端提供完全的通信能力。这些客户端使用H.323 Gatekeeper允许的应用程序,例如NetMeeting 3.x。H.323 Gatekeeper为已注册的客户端提供呼叫路由以及目录服务,并且使其他客户端能够用熟知别名访问已注册客户端。已注册H.323 Gatekeeper的客户端可以利用H.323 Gatekeeper跨越多层防火墙并且通过Internet,参加局域网和广域网内的视频、音频和数据会议。如图1.7所示,H.323 Gatekeeper通过H323 Gatekeepers节点在ISA Management内配置。
2. 广泛的应用程序支持
ISA Server预先定义大约100个应用程序协议,并且允许管理员基于端口数、类型、TCP或者UDP和方向定义附加协议。使用防火墙客户端软件或者应用程序筛选器支持带有辅助连接的协议。
1.2.2
带宽规则
带宽规则决定连接的优先级。ISA Server带宽控制不限定能使用多少带宽。相反,它告诉Windows 2000 QoS数据包调度服务如何区分网络连接的优先级。任何与带宽规则无关联的连接都会收到一个默认的优先级。另一方面,任何与带宽规则有关联的连接都将比默认安排的连接优先。
1.2.3
综合虚拟专用网络
ISA Server帮助管理员建立并保护虚拟专用网络(VPN)的安全。如图1.8所示,VPN是一个专用网的延伸,包括跨越共享的或者公用网络(如Internet)的连接。VPN用模拟点对点专用连接属性的方式,能够使您跨越一个共享的或公用的Intranet在两个计算机之间传送数据。ISA Server可以配置成VPN服务器来支持安全的、网关对网关的通信或者通过Internet的客户端对网关的远程访问通信。
本地VPN向导在局域网的ISA Server上运行。本地ISA VPN计算机连接到它的Internet服务提供商(ISP)上。远程VPN向导在远程网络的ISA Server上运行。远程ISA ServerVPN计算机连接到它自己的ISP上。当局域网中的一台计算机与远程网络中的一台计算机通信时,数据将封装起来并通过VPN隧道发送。基于Windows 2000标准的VPN支持PPTP和L2TP/IPSec隧道技术。隧道协议是用来管理隧道和封装专用数据的协议,如PPTP或者L2TP。隧道中传输的数据必须加密,VPN连接隧道也是如此。
1.2.4
综合入侵检测
ISA Server具有综合侵入检测机制,可以识别何时有人企图攻击您的网络。防火墙管理员可以设置检测到入侵时启动警报。您还可以利用警报指定识别到攻击时系统应该采取什么样的措施。这可能包括向管理员发送电子邮件信息或者网页,停止Firewall服务,在Windows 2000事件日志中记录事件,或者运行任何程序或脚本。ISA Server在数据包筛选和应用程序筛选器级别都执行入侵
检测。
注意
ISA Server的入侵检测功能基于Internet Security Systems ( ISS),Inc.,Atlanta,GA许可的技术,其网址为http://www.iss.net。
1.2.4.1 数据包筛选器入侵
在数据包筛选器级别,ISA Server可以检测到以下攻击:
l
全部端口扫描攻击
企图访问超过预设端口的数目。
l
枚举端口扫描攻击
企图通过检测各端口的响应来统计计算机上运行的服务。
l
IP半扫描攻击
不断企图连接目标计算机,但是没有建立相应的连接。这表明攻击者正在检测开放式端口,逃避系统登录。
l
登录攻击
登录攻击使用与目标IP地址和端口号相匹配的伪IP源地址和端口号请求TCP连接。如果攻击成功,它可以导致一些TCP执行过程陷入死循环,使计算机瘫痪。
l
Ping of Death攻击
大量的信息被添加到Internet控制报文协议( ICMP)回应请求和ping数据包中。如果攻击成功,当计算机试图响应时核心缓冲器就会溢出,使计算机崩溃。
l
UDP炸弹攻击
这是指尝试发送非法的UDP包。UDP数据包的某些字段含有非法值,当收到数据包时会造成一些早期的操作系统瘫痪。
l
Windows Out of Band攻击
这是指对由ISA Server保护的电脑进行OOB、denial-of-service(拒绝服务)的攻击。如果攻击成功,就会使计算机崩溃或者造成易受攻击的电脑失去网络连接。
1.2.4.2 POP和DNS应用程序筛选器
