摘 要:本文研究如何利用微软的Active Directory域与微软的ISA Server(Internet Security and Acceleration Server)实现把企业网络的内外网完全分离,真正做到7层网络防护的作用。其中重点介绍网络结构的设计,应用拓扑的部署,以及他们各自的好处。具体的方案以AD域中创建DNS服务为例,通过7层防火墙的设置把内网管理好。
关键词:AD;ISA;7层防火墙;域;内外网;网络管理;网络拓扑
引言
随着企业对网络安全的关注,越来越多的企业开始采购各种各样的防火墙,进行内网防护,通过对网络的限制、策略的配置,实现内外网的隔离。但是,绝大多数企业使用的防火墙功能都是在网络层的第3层和第4层的防护(功能只用到路由策略等),对于更上层的应用服务无法做到安全保障。往往应用服务的漏洞比较多,很容易被入侵攻入,这样再完美的策略,只要网络第7层(最上层)被攻破,所有的网络防护将不再起任何作用。防火墙只是对外网进行防护,最可怕的还是内网对服务器的攻击,所以本文还讲述通过对AD域的应用,做到内网安全的防护。
1.企业网络结构如何选型
网络拓扑是一个企业建设网络环境最先要考虑的内容,他将关系到网络是否安全,管理是否方便,速度是否满意等等。只有设计出一个最佳的方案才能充分利用好各种网络设备,做到投入和产出的平衡。一般网络环境由内网、外网、实验网3各部分组成,内网是客户端和服务器所部属的位置,外网是Internet端,实验网又称"隔离区"简称"DMZ",他的作用是解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施。
企业如何选择合适自己的网络结构呢?越复杂的网络结构,投入的设备,带宽,运维各种成本都会提高。所以根据一个企业网络规模,终端数量来来考虑网络拓扑方案比较合适。一般中小企业多数会采用内外网2部分分离的方式部署;比较重视信息安全的大型企业会采用3部分内网、DMZ、外网3部分分离的方式部署。
2.AD域管理与ISA Server的作用
2.1AD域管理;
AD域管理是一种做到AA验证的内网设备身份认证管理方式,域管理是访问中的信任关系的管理,信任关系则是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,两个域之间不但可以按照需要互相管理对方,还可以跨网进行文件的分配和打印机等设备资源的分配,使不同的域之间实现网络资源的共享和管理。
目前微软的AD域管理使用很普遍,域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。真正地做到网络资源统一,集中管理。
2.2七层防火墙的作用;
近几年来,攻击者的攻击方式从端口扫描和制造拒绝服务攻击(DoS Attack)转向了针对Web、E-mail甚至数据库等主流应用的攻击。传统的防火墙仅仅检查IP数据包的包头而忽略了内容,这样在数据包穿过防火墙后就会对应用进行攻击从而获得系统权限。可以说,仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽头。为了对抗应用层(OSI网络模型的第七层)的攻击,防火墙必须具备应用层的过滤能力,Microsoft ISA Server(Internet Security and Acceleration Server)等防火墙产品已经具备了这种能力。
3.如何实现7层防火墙的管理
防火墙在国内的应用情况,大多数都处于在网络协议的传输层和网络层运用策略实现一定功能的防护,远远达不到内外网安全管理的要求。这里主要讲述如何使用7层网络防火墙软件ISA Server通过对应用层的管理实现内外网的真正隔离。例如:
整个集团在以太网络出口处设置一个ISA防火墙,总公司用核心交换机连接防火墙,分公司利用专线网络连接防火墙。在总部公司下,设置AD域管理员和ISA管理员(最高权限)。由这个管理员下放权限给分公司管理员,所有用户权限全部用AD域控制器管理起来,所有的外网Web服务、内网的应用服务都由ISA服务策略管理起来。这样防火墙通过对应用层的限制,结合AD域管理策略,实现对内外网访问的管理。其中,ISA防火墙用来过滤所有外网资源,内部安全用AD域管理所有终端,真正的做到集中管理,安全授权,方便实用。
具体配置过程如下:
(1) 在独立服务器上安装ISA Server防火墙,要求有双网卡;
因为ISA Server能够管理整个域的网络对象,所以一个集团公司使用一套防火墙即可,配置策略集中管理,该服务器物理地址可以放到最外围连接Internet端。服务器选用双网卡的机器,一个网卡设内网DNS,一个网卡设外网NDS。
(2) 将ISA防火墙所在计算机加入域;
通过AD域管理的授权功能,来让防火墙对不同的终端授权,域管理中第一步要做的就是将ISA服务器。
(3) 在ISA防火墙上对域管理员进行ISA完全控制的授权;
通过对域管理员的授权,把网络服务和AD域管理结合到一起,统一权限集中管理,更好做到网络资源的分配。
(4) 建立通过验证的域管理员访问外部所有协议的访问规则;
权限设置完毕后,应该允许所有协议访问外网资源,让网络不设防,从而为更细致的配置工作做准备。
(5) 测试该访问规则,通过IP地址来访问外部的Web服务;
测试工作的目的是根据不同的访问规则查看是否能够管理账号访问特定Web服务。
(6) 在内部AD的DNS服务器上设置DNS转发;
因为ISA服务器不具备转发DNS请求的功能,必须使用额外的DNS服务器,比如在总公司创建一个主DNS服务,在分公司创建备份DNS服务器,内网DNS服务器转发外网的ISP的DNS信息,让内网终端能够解析外网地址。
(7) 建立访问规则,允许内部网络的所有用户访问外部的DNS服务;
广播DNS地址,让DNS主服务器和备份服务器得到常用外部Web服务的DNS解析。
(8) 测试内部DNS解析请求的转发,并通过域名来访问外部的Web站点;
测试是否能够解析外网的DNS,确定
上一步是否成功。
(9) 配置ISA防火墙,允许其访问外部站点;
根据实际需要,配置访问策略,配置好能够访问的外网服务。
(10) 启动HTTP缓存;
a) 设置缓存驱动器;
b) 设置缓存策略规则;
目的是实现外网资源缓存到内网来访问,这样内外网才是真正的隔离状态。
(11) 发布内网服务器中的服务;
通过发布内网服务,做到内网应用的有效管理。
(12) 创建VPN服务器。
通过VPN服务器,做到外网用户能够访问内网发布的服务,起到网络隧道加密的作用。
总结与展望
具有应用层过滤功能的防火墙可以更有效地阻挡当前多数病毒和攻击程序,但新的安全威胁的不断出现又对防火墙提出了新的挑战。攻击的来源正在变得更加复杂,而攻击的手段也愈加高明,最近垃圾邮件与攻击代码的结合就是一个典型的例证。这一方面需要防火墙设备对于应用层的内容有更好的认知和智能判别的能力,另一方面也需要防火墙更多地与其他的安全设备和应用有效配合,从而实现更加有力的防护。所以只有真正的做到内外网分离,才能做到真正的防护,当然,这对用户来说访问外网将不再自由。
参考文献
[1] 杜诗军,赵丹,胡士杰;利用ISA Server实现机房网络管理;微机发展,2003年08期
[2] 孙乃雄,网络安全与维护[J];网络与信息,2008 (07)
[3] 刘军军,梁建;一种基于决策树的防火墙策略描述方法[J],微计算机信息,2008 (33)
