ISA Server 2000防火墙建置

第1篇 防火墙的概念篇 3

第1章 防火墙的概念 3

1-1 防火墙及相关名词定义 3

1-1-1 防火墙（Firewall） 3

1-1-2 防御主机（Bastion Host） 3

1-1-3 周围网络（Perimeter network） 3

1-1-8 地址转换NAT（Network Address Translation） 4

1-1-7 代理服务器（Proxy Server） 4

1-1-6 包过滤（Packet filtering） 4

1-1-5 数据包（Packet） 4

1-1-4 双网卡主机（Dual-homed host） 4

1-1-9 TCP/IP（Transmission Control Protocol/Internet Protocol） 5

1-2 为何需要防火墙 5

1-2-1 网络威胁的种类 6

1-2-2 网络黑客实例 8

1-2-3 安全产品分类 9

1-2-4 安全机制的方式 9

1-3-2 执行数据进出保护策略 10

1-3-1 成为数据保护的关隘 10

1-3 防火墙能做什么 10

1-3-3 有效率记载Internet数据进出活动 11

1-3-4 减少企业网络暴露的危机 11

1-4 防火墙防范什么 11

1-4-1 防黑客入侵 11

1-4-2 防范攻击 11

1-5-5 防火墙无法防范病毒 12

1-5-4 防火墙无法防制全新威胁 12

1-5-3 防火墙无法控制不经过它的链接 12

1-5-2 防火墙在访问上有所限制 12

1-5-1 防火墙管不到实体黑客 12

1-5 防火墙的限制 12

1-4-3 防范信息被盗 12

1-6 防火墙到底是什么 13

1-6-1 数据包过滤（Packet Filtering） 13

1-6-2 应用层网关（Application Level Gateway） 14

1-6-3 线路网关（Circuit Level Gateway） 15

1-6-4 多阶层状态检查（Multiplayer Statefule Inspection） 15

1-7 防火墙的三大基本架构 16

1-7-2 屏蔽式主机（Screened Host） 17

1-7-1 双网卡主机（Dual-Homed Host） 17

1-7-3 屏蔽式子网络（Screened Subnet） 18

第2章 Microsoft ISA Server 2000介绍 20

2-1 ISA Server 2000的功能及特色 20

2-1-1 Internet Security：互联网安全控管特色及功能 20

2-1-2 Acceleration:加速使用者访问所需要的互联网服务 22

2-1-3 提供一个容易且弹性的管理维护设定机制（Unified Management） 22

2-2 ISA Server 2000版本比较 23

1-1 安装前准备 26

1-1-1 本书网络架构图 26

第1篇 安装设定篇 26

第1章 Microsoft ISA 2000 Server安装 26

1-1-2 系统配置要求 28

1-1-3 安装Windows 2000 Service Pack 1和补丁程序 29

1-2 安装Microsoft ISA 2000 Server 30

1-3 安装后续工作 38

1-3-1 关闭在ISA Server 2000服务器主机上的没有用到的服务 38

2-1-3 建立自定管理工具界面 40

2-1-2 Microsoft Management Console管理平台工具 40

第2章ISA Server 2000管理工具界面建立说明 40

2-1-1 为何需要自定义管理工具界面 40

第3章ISA Server 2000基本设定工作 47

3-1 树状结构图 47

3-2 ISA Server系统设定操作模式切换方法 48

3-2-1 向导模式（Taskpad Mode） 48

3-2-2 高级模式（Advance Mode） 48

3-3 策略及规则（Policies and Rules） 48

3-3-1 为什么在ISA Server上要有策略及规则（Policies and Rules） 48

3-3-2 ISA Server安全策略（Policies）的类别 49

1-1-1 Web Proxy clients:网页代理客户端 54

1-1-2 SecureNAT clients：安全网络地址客户端 54

第3篇 内部控管篇 54

1-1 Microsoft ISA 2000客户端类别 54

第1章 Microsoft ISA 2000客户端 54

1-1-3 Firewall Clients 56

1-2 ISA 2000客户端使用时机 64

1-3 如何让内部客户端能PING到外部IP地址 65

第2章 对外访问控管要诀 67

2-1 ISA Server内部客户端访问控管顺序 67

2-1-1 Protocol rules:通讯协议规则 67

2-1-3 IP packet filters rules：地址数据包过滤规则 68

2-1-2 Site and content rules：站点及内容规则 68

2-2 设定内部控管政策示范 69

2-2-1 打开访问权限给所有内部使用者 69

2-2-2 针对内部网络某一客户端设定特定网络服务禁止访问 73

2-2-3 针对某一个网站内容进行管制 79

2-2-4 设定内部客户端可向ISA Server提出访问需求的时间 90

2-3 管理和维护规则（Rule） 95

2-3-1 编修已定义规则（Rule） 95

2-3-2 暂时停用、启动规则（Rule） 102

2-3-3 删除规则（Rule） 103

2-3-4 导出目前的所有规则到文件 104

2-3-5 自定义文件类型（Content Group） 105

第3章 缓存设定 110

3-1 为何需要缓存（Cache） 110

3-2 如何设定缓存大小 110

3-3 设定缓存效能 111

3-4 定时下载特定网页的工作 115

1-1-1 为何需要数据包过滤 122

1-1 数据包过滤概念 122

第1章 数据包过滤 122

第4篇 防御篇 122

1-1-2 数据包过滤规则类型 123

1-1-3 常见在数据包过滤规则中的栏位 123

1-1-4 数据包过滤的设定构想 125

1-2 如何建立数据包过滤规则 126

1-2-1 设定允许对外响应ICMP数据包过滤规则 126

1-2-2 设定允许本机响应外部所查询的DNS数据包过滤规则 131

2-2 如何控管内送数据包 136

2-1-2 Publishing Service: 转达服务 136

2-1-1 Packet filters: IP数据包过滤原则 136

2-1 内送数据包控管顺序 136

第2章 内送数据包控管要诀（Controlling incoming requests） 136

第3章 转向服务（Publishing） 139

3-1 如何在ISA Server上设定HTTP、HTTP-S及FTP通讯协议转向服务 139

3-1-1 启用ISA Server上HTTP转向服务 139

3-1-2 启用ISA Server上的HTTP-S转向服务 145

3-1-3 启用ISA Server上FTP转向服务 151

3-2 在ISA Server上设定SMTP/POP3转向服务 161

第4章 自定义转向服务 164

4-1 为何需要自定义转向服务（Custom Server Publishing Rules） 164

4-2 自定义转向服务示范 165

5-1 ISA Server入侵监测功能介绍 171

第5章 入侵监测 171

5-2 ISA Server入侵监测设定 173

第5篇 系统维护篇 180

第1章ISA 2000 Server备份及还原 180

1-1 ISA Server备份功能 180

1-2 ISA Server还原（Restore）备份文件 182

2-1 记录文件的作用 184

2-2 记录文件设定 184

第2章 记录文件管理 184

2-3 如何将事件记录存放在数据库里 187

2-4 启动数据包过滤记录文件进行“允许”通过的数据包记录 197

第3章 ISA 2000 Server性能监视 199

3-1 默认的性能监视 199

3-2 如何利用性能监视器找出ISA Server系统瓶颈 200

第4章ISA 2000 Server访问使用报表统计 212

4-1 报表（Report） 212

4-2 如何设定报表工作（Report Job） 212

4-3 查看报表 215

5-1 ISA Server上的事件（Event） 218

第5章ISA 2000 Server警告 218

5-2 警告（Alert）设定 220

5-3 如何查看事件发生情况 223

第6章 ISA 2000 Server故障排除 224

6-1 ISA Server系统服务架构 224

6-2 故障排除工具 226

6-3 帮助资料 228

1-1 现存安全防御的问题 232

1-2 强化企业网络的安全防御工事 232

第1章 企业防火墙扩充 232

第6篇 企业发展篇 232

第2章 企业缓存阵列架构 237

2-1 企业分散多点网络架构问题 237

2-2 如何解决企业分散多点网络架构流量的问题 237

2-3 CARP(Cache Array Routing Protocol) 239

2-4 ISA Server 2000用在企业环境上的缓存架构类型 241

2-5 ISA Server 2000安装在企业环境 243

2-5-1 分散式缓存阵列（Distributed Caching） 244

2-5-2 阶层式缓存阵列 248

2-5-3 设定企业策略（Enterprise Policy）访问权限 251