科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道在Microsoft部署安全防火墙、代理和Web缓存(2)

在Microsoft部署安全防火墙、代理和Web缓存(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

  在Microsoft,所有ITG控制的服务器都使用一种正式的方法来进行更改控制,为ISA Server测试版部署所安装的服务器也不例外。这个更改控制过程将最终导致采用新的标准配置,它可以分成三个层次。每个层次也被成为一个“项目”,分别由金、银、铜三色来表示。

来源:论坛整理 2008年9月4日

关键字: 安全技术 安全防范 防火墙

  • 评论
  • 分享微博
  • 分享邮件
更改控制
  在Microsoft,所有ITG控制的服务器都使用一种正式的方法来进行更改控制,为ISA Server测试版部署所安装的服务器也不例外。这个更改控制过程将最终导致采用新的标准配置,它可以分成三个层次。每个层次也被成为一个“项目”,分别由金、银、铜三色来表示。
  
  例如,一个包括金色项目的配置表示当前用于Windows 2000 Advanced Server的企业标准。因此,Microsoft中大部分的生成服务器都使用金色项目,其中包含有Windows 2000 Advanced Server、最新的服务包以及解决Microsoft环境中特有问题的修正程序。包含银色项目的配置意味着对企业标准建议进行更改,例如支持新的硬件、调整性能获包括一个新的服务包或修正程序。所有对企业标准的更改都要经过银色项目这个阶段,这样工程师们才能在可控的情况下把这些更改引入到生产环境中。一部分Microsoft中的生成服务器使用银色项目来进行测试。如果这些测试服务器表现出比使用金色项目的服务器更好的性能,那么对企业标准的建议更改将被批准。在批准过程中,银色项目所包含的配置将替代金色项目的配置。
  
  铜色项目所包含的配置代表了对企业标准提出的更改,但尚无法应用于生产。铜色项目包含的配置将部署在实验室环境中,仅用于测试。实验室环境是一个缩小了的生产环境,使得ITG能够确认在用于有限的生产使用时,新的配置是否稳定。每个对企业标准所提出的更改在加入铜色项目时,它就进入了更改控制过程。然后,这个更改进入银色过程,用于有限的生产测试。接下来它将加入金色项目,将更改后的配置作为新的企业标准。每个阶段的测试时间一般至少为连续使用3天。在理想状况下,需要更长的时间。图4给出了这三种配置的使用。
   
  从Proxy Server 2.0迁移到ISA Server
  当需要在已经运行Proxy Server 2.0的计算机上部署ISA Server时,部署团队发现在进行配置之前需要一些额外的服务器准备。因此,团队成员采取了下列步骤:
  
  1.将每台服务器都从Proxy Server阵列中删除。
  
  2.从每台服务器上卸载Proxy Server 2.0。(请注意,现在没有任何可用的升级方法。)
  
  3.从每台服务器上卸载Internet Information Server (IIS)。
  
  4.格式化包含URL缓存的逻辑驱动器。
  
  之所以采取步骤3,是因为Internet Information Services 和ISA Server会竞争端口80。这是Internet Information Services的默认端口,但也是ISA Server所使用的HTTP标准的默认端口。由于ISA Server的功能并不依赖于IIS,因此没有理由将它保留在部署了ISA Server的服务器中。
  
  首次部署
  为了完成首次ISA Server部署,部署团队需要初始化环境,安装ISA Server,并使用ISA Server 2000 Enterprise Edition所包括的管理工具来配置环境。图5给出了完成这个过程所需要的步骤:
   
  请注意,环境的初始化要求团队运行初始化工具,对Active Directory架构进行更新。在完成了架构更改后,一个对话框将提示已经可以将ISA Server安装为域阵列成员了。在使用企业策略或阵列策略(存储在Active Directory)之前,必须运行这个初始化工具。它使用一组基本的规则对Active Directory架构进行了更新,这些规则将影响企业策略如何应用在阵列策略上。
  
  然后,部署团队更改了Active Directory架构,允许企业策略应用在阵列策略上。这将允许通过阵列自身的策略来加强企业策略,允许地区分公司的管理员采用管理策略应用到他们管理范围内的ISA Server计算机上,从事继承企业策略所定义的基本规则。
  
  如果不更新Active Directory架构, ISA Server只能以单机模式运行。这种模式无法利用分布式缓存(CARP),也无能将多层策略应用在阵列的服务器上。运行单机模式ISA Server Enterprise Edition的计算机仍然可以被提升为阵列模式,但是服务器配置将被企业策略和阵列策略中所定义的配置所覆盖。表6介绍了这些选择之间的相互关系。
  
  表6 各种策略类型、分布式缓存和更新Active Directory构架的决定之间的关系
   
  作为工作的一部分,部署团队成员必须考虑应该如何实施企业策略和阵列策略,并考虑这样一个决策对日后管理的影响。他们需要熟悉ISA Server管理员如何创建规则以在阵列级别上管理协议和数据包过滤器。阵列策略仅应用于阵列中的ISA Server计算机。
  
  部署团队决定将这个环境配置为允许将企业策略应用在阵列策略上,这样这些策略就可以根据业务需求来进行组合。通过ISA Server初始化工具,他们也提供了各种配置支持,包括定义新的策略、从现有策略继承配置,以及在阵列级别上使用数据包过滤。图6显示了这其中的关系。
   
  在他们使用ISA Server初始化工具完成了对Active Directory架构的更新之后,他们已经可以使用ISA Server安装程序来设置第一台服务器了。在架构更改完成时,初始化工具会给出一个对话框,指出可以开始安装ISA Server了。在此持安装过程中,部署团队将第一台服务器配置为一个以集成模式运行的域阵列成员。
  
  安装过程的最后几个步骤需要部署团队定义一个本地地址表(LAT)。在此持安装过程中,团队选择了一组IP地址,将它们加入到LAT中。ISA Server使用LAT来区分内部网络和外部网络。
  
  在完成了ISA Server安装后,部署团队运行该产品的管理工具来配置这个环境,使客户端计算机能够开始使用ISA Server。图7给出了ITG使用管理工具配置其环境时所执行的步骤:
   
  这个管理工具支持客户端地址集的配置,它可以基于单个IP地址或IP地址段。客户端地址集指定了授权使用ISA Server的客户端计算机。在Microsoft中,几乎所有员工都需要对Internet的频繁访问,因此团队使用满足其要求的地址段来配置这个客户端地址集。
  
  在默认情况下,ISA Server拒绝所有协议。这意味着必须运行管理工具来允许所需的协议。为了尽可能的保护系统,部署团队利用了这个限制,使用企业策略来定义可以在Microsoft中使用的协议,并拒绝所有其他的协议。企业安全性小组使用这些信息来缓解应用程序所需的协议别作为特洛依木马的风险。在最糟糕的情况下,这样的应用程序可能会从内部系统中收集敏感信息,然后使用可用的协议将它们传输到公司外部的某个地方。这意味着在团队“允许”一个应用程序之前,需要保证它是由可信的开发人员或公司创建的,并且是满足合法业务需求所必须的。为了确定这些信息,部署团队分发了一份员工问卷,其中包括下列问题:
  
  需要该协议的应用程序:
  
  拥有该应用程序版权的个人或实体
  
  Microsoft员工获得这个应用程序的方法
  
  其他Microsoft员工如何获得这个应用程序
  
  这个应用程序的功能和工作方式
  
  Microsoft员工希望这个应用程序如何通过防火墙运作
  
  连接:
  
  初始端口号
  
  UDP、TCP或两者兼有
  
  第二连接
  
  大部分连接来自的系统
  
  最可能连接的系统
  
  项目:
  
  每天使用这个应用程序的员工数量
  
  每天入站和出站传输的预计字节数
  
  事务频率——一次完成还是在一整天中
  
  为了进一步保护ISA Server部署,部署团队使用了Windows 2000组和Internet访问规则,来限制可以访问被允许的协议的员工数量。在合适的地方,团队为每个被允许的协议设置了一个时间表,允许协议在某个时间段或整天内使用。同样,团队也为每个被允许的协议设置了一个目标集,可以阻止内部客户端访问特定的Internet站点。
  
  最后,部署团队配置了入侵侦测,支持对常用入侵技术的侦测(以及对管理员的提醒)。
  
  ISA Server的后续部署
  在ISA Server部署团队完成了第一个ISA Server部署之后,包括建立企业策略、目标和部署范围,就可以开始着手后续的部署了。
  
  在本文撰写的同时,团队成员们正在每个具有Internet访问点的位置(在Microsoft中共有22个)上部署一个ISA Server阵列。团队成员使用他们在首次部署中建立的企业策略,来加强每个阵列各自的策略。另外,他们还使用阵列策略来进一步限制访问,当特定的阵列不需要某些企业策略允许的协议时,它们将拒绝这个协议(例如,当某个分公司的员工不需要所有公司总部所需要的 协议时)。Active Directory多主机复制自动的使用企业策略所建立的设置来配置服务器,从而实现ISA Server后续部署所用大部分配置的自动化。
  
  配置Internet Explorer和防火墙客户端
  不论在ISA Server的初始部署还是后续部署中,在ISA Server计算机能够访问Internet之前,团队成员都需要为Internet Explorer和防火墙客户端(ISA Server自带的)制定合适的配置。这个工作需要配置两个.DAT文件,详细的步骤如下。
  
  配置Wpad.dat文件
  Internet Explorer使用 WPAD.DAT文件来获取所需的信息,以允许客户端浏览器使用ISA Server的代理服务进行Internet访问。当客户端使用Internet Explorer来访问Internet时,它可以被配置为使用DNS或DHCP。但是在ISA Server部署中,团队成员使用DHCP来为客户端提供WPAD.DAT配置。这是因为在Microsoft中,DHCP范围比DNS区域多得多。而且,超过十三万地理分散的客户端分布在超过九十个的分公司中,DHCP能够提供配置客户端所需的粒度,使这些客户端能
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章