引言:
ISA Server 2006是微软公司在企业网络边界安全上的代表产品,ISA Server系列产品实现了集高级应用层防火墙、虚拟专用网络(VPN,Virtual Private Network)和网络缓存于一体的解决方案,能够提高网络安全和网络性能从而最大化企业的IT投资收益。ISA Server 2006通过增强的对HTTP协议和FTP协议以及远程过程调用(RPC,Remote Process Call)连接的过滤与控制实现对应用层的过滤;它提供了扩展的协议支持、增强的用户认证、增强的对用户和用户组的支持、增强的FTP支持、增强的网络发布等功能,从而提高了企业的安全性。
应用层过滤、高级防火墙以及企业级的VPN是ISA Server系列产品最为关键的应用。本文将从实际应用出发,针对ISA Server 2006在应用层过滤上的具体应用,阐述ISA Server 2006口令变更功能配置优化、ISA Server 2006内部客户端Web访问应用优化以及Outlook Web Access应用优化三个关键应用优化。本文假设读者已经完成了ISA Server 2006的部署工作,并熟悉ISA Server 2006的主要应用和操作,本文不涉及ISA Server的安装和管理,仅提供ISA Server 2006在应用层过滤上最优的应用方法。
一、ISA Server 2006口令变更功能配置
ISA Server 2006提供了允许用户通过基于表单的认证授权连接到Outlook Web访问来修改他们的口令,ISA Server管理员可以提醒用户其口令将会在一个指定的日期内过期、并允许用户创建新的口令,用户同样可以修改已经过期的口令。
1、口令变更功能基本配置
口令修改的功能在客户端输入基于表单的认证授权的授信时被启用,ISA Server将通过使用Windows授权认证(基于Active Directory)或者LDAP(Lightweight Directory Access Protocol,基于Active Directory)授权认证,在进行配置之前,注意以下的点:
1)、必须使用一个LDAPS链接到LDAP服务器或者域控制器。为使用一个安全的LDAP链接,一个服务器证书必须安装在LDAP服务器上或者域控制器上,证书名称必须与用户将要应用于授权认证服务器上的FQDN(Fully Qualified Domain Name)相匹配;
2)、ISA Server计算机必须有一个CA的根证书,该根证书被置于服务器证书的本地计算机信任证书授权存储目录中;
3)、在使用LDAP授权认证的时候,用户必须创建一个LDAP服务器装置,该服务器将会被用以授权用户,为使授权认证的功能很好地发挥功能,为该LDAP服务器进行以下配置:
a、启用采用安全连接的连接到LDAP服务器的连接;
b、为LDAP服务器指定一个FQDN名称。确保FQDN与安装在LDAP服务器上的或者域控制器上的证书的名称一致,指定至少一个日志表达式用以分派LDAP服务器到一个特定的用户组;
c、禁止使用全局日志(GC,Global Catalog);
d、指定一个用以识别用户帐号和帐号细节的域,域中的帐号将会被用以绑定到LDAP服务器以及查询登录用户的授信;
e、必须要有一个帐号才能够绑定到授权认证服务器,以及确认用户名和口令状态。在域授权认证情况下,该帐号必须为一个具有修改Active Directory权限的域帐号。
在创建的用以发布Outlook Web访问的Web监听器的属性栏,配置用户修改口令的选项,同时配置一个口令过期时间。在正确配置Web发布规则以后,用户在使用基于表单的授权认证进行登录的时候,如果口令过期时间临近,则会收到相应的警告。
以上属于ISA Server 2006在口令管理上的基础应用,为避免可能出现的问题,以下是一些优化的配置方法。
2、优化口令变更配置
1)口令变更前确保必要的证书已安装
在进行口令变更的操作时,如果必要的证书未被安装,则会出现口令变更功能性失败的问题。不管是否使用LDAP授权认证或者Windows Active Directory授权认证,必须要有一个基于TPC端口636的到授权认证服务器的LDAPS连接。
在进行口令变更配置之前,对于Windows授权认证,首先获取一个域控制器上的证书;对于LDAP授权认证,首先获取一个LDAP服务器上的证书。确保证书的通用名称与授权认证服务器上的名称一致。
2)禁用证书的客户端授权认证
如果用以Web发布的服务器证书采用默认的目的配置“服务器授权认证”和“客户端授权认证”,那么在客户端进行登录的时候则会出现缓慢的情况。其原因是在Windows Server 2003检测到“客户端授权认证”的默认目的设置时,操作系统将尝试通过共有的授权认证的方式来连接域控制器执行TLS的功能。
共有的授权认证处理需要ISA Server能够访问启用“客户端授权认证”的服务器证书中的私钥,但是ISA Server并不(而且应该不)具备这样的访问权限。为优化服务器证书应用,提高客户端登录速度,ISA Server管理员应当禁用服务器证书中的默认“客户端授权认证”。以下是具体的操作过程:
a、打开Certificates Microsoft Management Console(mmc)面板,首先添加证书管理器(CM,Certificate Manager)到mmc中:
① 点“开始”,然后点“运行”;
② 输入“mmc”,然后点“Enter”;
③ 选中“文件”菜单,然后选择“添加/删除插件”;
④ 在“添加/删除插件”面板中,点“添加”按钮;
⑤ 双击“证书”插件,选中“计算机帐号”,然后点“结束”
⑥ 选中“本地计算机”,然后点“结束”;
⑦ 关闭对话框。
b、在证书mmc中,点击以展开“证书”节点,然后展开“专有”节点;
c、右键点击相关的证书,选择“属性”;
d、在“细节”一栏中,点“编辑属性”;
e、选中“仅启用以下目的地”,然后清理掉“客户端授权认证”目的地。
注意:在成功完成新口令的配置以后,Active Directory允许新口令和旧口令同时使用一个小时的时间,在这段时间内,使用这两个口令中的任意一个都可以成功登录。