用ISA+瑞星构筑防范黑客和病毒攻击的铜墙铁壁

8/25/2004来源:安全在线人气:15508

  前序

  随着当今信息社会的迅猛发展,信息化浪潮已遍布各行各业。同时由于电子商务和电子政务的推行,使得社会信息化发展得更快,因此这就需要各个单位进快汇入信息化的大潮中,否则就有可能被社会所淘汰。然而就在企业连上互联网的那一刻开始,网络安全的问题就摆在了各个单位面前。那么我们怎样才能既安全又高效的连上互联网上呢?或许安装ISA+瑞星网络版杀毒软件是一个不错的办法,下面我将结合我单位网络建设中怎样利用ISA+瑞星网络版杀毒软件来构筑安全网络的事例来阐述其构成。

  关键词
  ISA 瑞星 网络版杀毒软件 网络安全 防火墙 代理服务

  正文

  一、为什么要用ISA+瑞星网络版杀毒软件来构造安全网络

  自从网络用户连上互联网的那一刻开始,网络安全问题就放在了我们面前。如果不做好网络安全防卫工作,那么就可能造成网络内部数据被盗或丢失、网络瘫痪、病毒泛滥等,这样就使得网络用户不能正常工作。

  安全问题是每个单位都不敢掉以轻心的,只要任何一个单位在网络上存在,那么必须对自己进行保护,免受恶意和敌意的入侵与攻击的伤害。伴随着Internet的成长,黑客和黑客工具无论在数量还是质量上都逐渐发展状大。为了解决这个问题,市面上的防火墙产品也呈爆炸性增长趋势。但所有软件各有千秋,其功能和价格也不一样,因此就其实用性来说,我们选择了ISA,因为它不但具有防火墙的功能,而且更主要的是有代理和高速缓存的功能。同时它还可以按照用户的要求量身定做的开放相应的协议和端口,因而网络安全就更胜一筹。同时由于瑞星杀毒软件的强大防毒和杀毒功能,以及瑞星的时时在线升级功能,使得瑞星在杀毒方面技胜一筹,因此我们就选用了ISA+瑞星网络版杀毒软件来构造安全网络。

  二、ISA的安装与配置

  1、ISA的安装

  当我们买回ISA软件后,首先应该阅读一下软件安装说明,这对我们正确安装软件百利而无一弊。同时要特别注意ISA标准版和企业版的异同之处。ISA标准版需要安装到一台独立的Windows2000服务器上,而且只能使用本地安全策略,它不需要Active Directory的支持。而企业版必需要Active Directory的支持,它同Active Directory紧密地集成在一起,它还利用Active Directory保存配置和策略信息。由于我们单位的网络是一个中型网络,所以我们用不着去买ISA企业版(因为企业版要比标准版贵很多),因此我们最后选用了ISA标准版。

  在安装ISA之前,首先要安装好Server 2000操作系统,且保证所装区域为NTFS格式。在装好系统后,必须要确保所装服务器上有两块网卡,并且两块网卡都设置好,一块网卡配置外部ip地址,另一块网卡配置内部IP地址。同时要配置好两块网卡的各自网关和DNS地址。要注意的是内部网卡的网关地址请不要填写。同时去掉操作系统中的IIS和其它不相关的程序,只保留一个纯Server2000操作系统。在做好这些基础工作之后,就可以将ADSL专线(我单位申请的是ADSL专线)插在外部网卡上,同时在服务器上测试线路的连通信,以确保服务器现在能连上互联网。否则得重新检查硬件和软件的安装,以确保服务器必须能连上互联网。在做好这些基本工作后就可以安装ISA软件了。

  当我们把ISA光盘放入光驱之后,它会自动弹出一个界面让用户去选择。首先它须确保操作系统能满足它的安装要求。否则用户就得更新系统,以符合安装要求。ISA Server有三种安装模式:防火墙模式、高速缓存模式、综合模式。在综合模式下,防火墙和缓存功能会被整合到一起,以便同时利用网络安全和Web缓存方面的功能。因此我们选用了综合模式。

  在安装期间配置LAT时,必须注意要根据内部网络实际使用的地址来配置,必须要配置正确,否则就不能正常运行。这可根据主控服务器的设置来进行配置。例如我单位在装主控服务器时就设定了内部网络地址为:192.168.0.0~192.168.0.255,因此我们在LAT中就填入该内部IP地址。在设置Web缓存时,最好能选择剩余区间最大且不与程序文件同一个分区的磁盘分区,其缓存文件大小可根据实际情况来决定,但其大小最好能大一些,我单位就配置了一个1G大小的Web缓存文件。

  2、ISA协议的配置

  在装好程序文件后,就得配置相应的访问规则,这样内部用户才能访问英特网。其中最主要的是访问Web协议和访问邮件服务协议,其它象访问FTP、QQ、NetMeeting、证券之星等程序的协议可根据实际情况来决定是否开放。

  访问Web协议的开放可以通过以下来完成:在ISA Management中,展开计算机,找到access Policy/PRotocol Rules/Create a Protocol Rule for internet Access,点击它,一路按默认值进行配置,即Protocol中有FTP、FTP Download only、Gopher、Http、Https,Action为Allow,Schedule为always、Applies to为Any Request。

  要访问邮件服务器上的邮件就得开放与DNS相关的协议,如DNS Query、DNS Query Server、Dns Zone Transfer、Dns Zone Transfer Server四个协议。

  3、WEB服务器和邮件服务器的发布

  要进行WEB发布,可按以下步骤进行:在ISA Management控制台中,展开计算机名,找到Policy Elements/Destination Sets/Create a Destination Set,点击它,在name中输入所添加目标的名字,最好输好记的名字,如域名等。然后在include these destinations/add/ Destination中输入单位网站网址。然后就OK了。接着找到Publishing节点。右击Web Publishing Rules节点,点击New,然后选Rule。在向导的第一页输入该规则的名字,可命名为Exeter Web,点Next;在目标集合页中,在Apply this rule to下拉框中选择Specified destination set,在Name下拉框中选择我们前面已经建立好的目标的名字,例如前面建设好的域名,点击Next。在Client Type中选择Any Reqest。因为我们开放网站的目的就是要让外界所有人看,所以就选择此项,再点击Next,在Rule Action中可以根据不同的情况选用不同的方式,我们选用了第二种方式Redirect the request to this internal Web server(name or IP address),在其中最好能输入网站服务器的IP地址。因为我单位网站放在内部,其IP为192.168.0.3,所以我们就将其输上。同时我们应在下面的send the original host header to the publishing server instead of the actual one(specified above)前面的方框内画上勾,其下面各小项的值最好不要改动,使用其默认值。最后一页可以看一下所有配置,如果正确就点击Finish就完成了网站的发布。

  邮件服务器的发布可通过以下步骤来进行:在ISA Management中,展开Publishing节点,右击Server Publishing Rules节点,点击Secure Mail Server。在对话框中,选中Default Authentication和SSL Authentication中的所有选项,然后点击Next,在ISA Server′s External IP addressd页中,输入ISA所在服务器的外部接口的IP地址,即互联网上的IP地址,然后点击Next。在Internal Mail Server页中选择At this IP address,在其中输入内部邮件服务器的IP地址(192.168.0.1),然后点击Next。在向导的最后一页,如果我们确认所有设置无误后就可以点击Finish以完成配置,系统自动创建许多新的服务器发布规则。这样邮件服务器就发布完成。

  4、客户端的安装

  ISA Server客户机类型有三种:SecureNAT、防火墙客户机、Web代理客户机。但为了能充分利用ISA本身所具有防火墙功能,我们选用了防火墙客户机来安装客户端。客户端的安装路径为:\\ISA服务器名\mspclnt \setup.exe。

  三、瑞星网络版杀毒软件的安装

  瑞星网络版杀毒软件的控制中心最好能安装在ISA服务器即网关上。因为这样做就可以将病毒控制在外网中,以致于将病毒完全隔离在外网,不会向内网传播。在安装过程中,要注意系统控制中心的IP地址一定要设置成外部IP地址,此点切记。

  在安装好系统控制中心后,接着按照提示安装好服务器端和客户端。在服务器端的升级设置中,如果是专线的话,最好设置成在某一固定时间自动下载升级,这样即保证了病毒库的时时更新,又不必需要网络管理员天天去手动下载升级。

  要注意的是,如果邮件服务器安装在内网中,并且是用Exchange Server 2000来作为邮件服务器,同时没有买瑞星专门针对Exchange Server 2000设置的程序的话,就得注意必须关掉网关(ISA服务器)和邮件服务器上的邮件监控,即关闭邮件发送监控和关闭邮件接收监控。只有这样,才能保证Exchange Server 2000邮件服务器正常运行和客户端正常收发邮件。

  在安装好所有客户端后,要定期地在服务器上对整个网络的所有计算机进行联网杀毒,彻底杀灭内部的一些原来没有被杀的病毒,以保证整个网络的安全。

  结束语

  通过ISA+瑞星网络版杀毒软件在网络上的配置,就使得整个网络的安全大大提高,从而维护了整个网络在互联网上的安全性,这对黑客的攻击和病毒泛滥可以构筑起一堵铜墙铁壁来保证网络的安全与正常运行。