吳觀全　陳榕利

摘要：在創(chuàng)新學(xué)院校園公共機(jī)房網(wǎng)絡(luò)數(shù)據(jù)交換通過ISA Server與網(wǎng)絡(luò)中心來完成，使局域網(wǎng)和互聯(lián)網(wǎng)從物理上斷開，首先要符合ISA Serveri訪問規(guī)則的數(shù)據(jù)才能夠進(jìn)行交換，從而有效地控制客戶端的上網(wǎng)行為。對(duì)于民辦學(xué)院而言，在某個(gè)區(qū)域網(wǎng)絡(luò)的管理需要購(gòu)買動(dòng)輒數(shù)十萬的路由器和防火墻等網(wǎng)絡(luò)管理設(shè)備是不切實(shí)際的，采用ISA Server4代理軟件管理局域網(wǎng)可以達(dá)到維護(hù)機(jī)房網(wǎng)絡(luò)學(xué)生上網(wǎng)安全的目的。文章提出了機(jī)房網(wǎng)絡(luò)管理方面的一些問題，并給出了ISA Server在管理校園網(wǎng)絡(luò)中的一些應(yīng)用。

關(guān)鍵詞：ISA Server；訪問規(guī)則；機(jī)房網(wǎng)絡(luò)管理；

1 ISA Server功能概述

ISA Server是可進(jìn)行擴(kuò)展的軟件防火墻和Web緩存服務(wù)器，主要是構(gòu)建在Microsoft Windows Server 2008和Windows 2003 Server操作系統(tǒng)的安全和目錄以及管理上，主要實(shí)現(xiàn)基于對(duì)訪問控制策略的提速和網(wǎng)絡(luò)之間的管理。

2 ISA Serve^基本配置

ISA Server安裝完成后，在默認(rèn)情況下，ISA Server會(huì)隔離內(nèi)、外網(wǎng)的通訊，任何通過ISA Server進(jìn)行通訊的行為都要經(jīng)過設(shè)置。在ISA Server中，任何未經(jīng)明確“允許”的行為，都默認(rèn)為不能訪問外網(wǎng)，要讓網(wǎng)絡(luò)正常通迅，需要相應(yīng)網(wǎng)絡(luò)規(guī)則、訪問規(guī)則的配置和策略。

2.1 網(wǎng)絡(luò)規(guī)則設(shè)置

在不同的網(wǎng)絡(luò)之間是否能夠訪問以及應(yīng)該怎樣去訪問的關(guān)鍵在于對(duì)網(wǎng)絡(luò)規(guī)則的設(shè)置，ISA Server的網(wǎng)絡(luò)規(guī)則是有2種不同的關(guān)系，就是路由網(wǎng)絡(luò)關(guān)系和NAT網(wǎng)絡(luò)關(guān)系。

路由網(wǎng)絡(luò)關(guān)系主要通過路由器自身的功能來轉(zhuǎn)發(fā)數(shù)據(jù)包，是雙向關(guān)系。一般情況下，路由關(guān)系主要有：（1）互聯(lián)網(wǎng)與DMZ（隔離區(qū)）網(wǎng)絡(luò)（內(nèi)部的公共IP）之間的關(guān)系。（2）VPN（虛擬專用網(wǎng)絡(luò)）受隔離的客戶端和自身客戶端以及內(nèi)部網(wǎng)絡(luò)之間的關(guān)系。

NAT網(wǎng)絡(luò)關(guān)系使用NAT技術(shù)轉(zhuǎn)發(fā)數(shù)據(jù)包，NAT關(guān)系是單向的。一般情況下，NAT關(guān)系主要有：（1）VPN自身客戶端和受隔離的客戶端同內(nèi)部網(wǎng)絡(luò)之間到互聯(lián)網(wǎng)之間的關(guān)系。（2）VPN（虛擬專用網(wǎng)絡(luò)）受隔離的客戶端和自身客戶端以及內(nèi)部網(wǎng)絡(luò)間到DMZ（隔離區(qū)）網(wǎng)絡(luò)。

2.2 訪問規(guī)則配置

ISA Server使用需要進(jìn)行正確的配置，而訪問規(guī)則是基礎(chǔ)配置中的重要環(huán)，具體操作如下：（1）用戶設(shè)置是在對(duì)用戶對(duì)象一個(gè)或者更多的權(quán)限設(shè)置，主要包括全部經(jīng)過認(rèn)證的用戶以及系統(tǒng)和網(wǎng)絡(luò)服務(wù)等另外自定義的用戶集。（2）ISAServer在訪問規(guī)則中主要通過連接端口范圍來定義出站方向，同時(shí)可以有一個(gè)或多個(gè)的協(xié)議。（3）內(nèi)容類型通過配置Mime和文件擴(kuò)展名來指定，當(dāng)所有類型和規(guī)則的內(nèi)容類型不匹配時(shí)，對(duì)于不是HTTP協(xié)議以及已進(jìn)行封裝的FTP協(xié)議，這條訪問的規(guī)則不能夠執(zhí)行。只有在客戶的連接請(qǐng)求與某個(gè)允許規(guī)則完全匹配的情況下才檢查過濾標(biāo)準(zhǔn)。（4）ISA Server計(jì)劃設(shè)置，主要是對(duì)特定的時(shí)間表內(nèi)激活相關(guān)內(nèi)網(wǎng)上網(wǎng)時(shí)間。

3 訪問策略

訪問策略配置是ISA Server通過配置和管理ISA的訪問策略，能夠控制客戶端上網(wǎng)人員的賬戶信息以及客戶端的上網(wǎng)時(shí)間限制，同時(shí)可以控制客戶端要使用的相關(guān)協(xié)議以及客戶端要訪問的相關(guān)網(wǎng)站的內(nèi)容，還包括如何防止黑客攻擊和病毒進(jìn)行數(shù)據(jù)包篩選器的配置。ISA Server訪問策略配置也提供外部供給和入侵的檢測(cè)功能，從而讓ISA Server擁有防止攻擊的能力，可以采取自動(dòng)報(bào)警和自動(dòng)采取措施，圖1就是一個(gè)訪問請(qǐng)求通過訪問策略的進(jìn)程。

4 ISA Serve機(jī)房網(wǎng)絡(luò)管理中的實(shí)際應(yīng)用

目前，學(xué)院公共機(jī)房規(guī)劃在教學(xué)樓南面，總共24間機(jī)房1400多臺(tái)電腦，7個(gè)系的學(xué)生使用。根據(jù)網(wǎng)絡(luò)規(guī)劃和樓層劃分了多個(gè)VLAN。

4.1 設(shè)置所需要的子網(wǎng)數(shù)量

需要在匯聚的交換機(jī)上，設(shè)置所需要的子網(wǎng)數(shù)量。通過默認(rèn)路由指向其中一個(gè)IP地址，下例案例的命令集中指向的IP地址為172.20.1.5，具體的操作如下：

-sys

vlan 100

desc"Moren wungguanuquan"

port el/20

-inte vlan 120

-ip addr 172.20.1.1 255.255.255.0

-ip route-static 0.0.0.0 0.0.0.0 172.20.1.5

根據(jù)操作步驟使用的命令進(jìn)行設(shè)置，設(shè)置的網(wǎng)段的端口20的IP是172.20.1.5，172.20.1.5為默認(rèn)路由地址。

4.2 靜態(tài)路由添加到其他的網(wǎng)段

對(duì)于安裝好ISA Server軟件的服務(wù)器上需要有雙網(wǎng)卡，其中一塊網(wǎng)卡和交換機(jī)的el/20端口連接，并將172.20.1.5的地址綁定到這塊網(wǎng)卡上。另一塊外連的網(wǎng)卡設(shè)置10.0.0.112的地址、子網(wǎng)掩碼10.0.0.5。為了讓IP為172.20.1.5網(wǎng)卡能夠訪問另外其他子網(wǎng)，在命令提示符添加到其他VLAN的靜態(tài)路由，其命令格式如下：

Route

-p add 172.20.11.0 mask 255.255.255.0172.20.1.1

Route

-p add 172.20.12.0 mask 255.255.255.0172.20.1.1…

根據(jù)在計(jì)算機(jī)上述的格式逐行命令運(yùn)行即可，可以運(yùn)行route print命令查看到靜態(tài)路由的添加清單。

服務(wù)器軟件防火墻在支持多個(gè)網(wǎng)段時(shí)，除了需要在3層交換機(jī)和網(wǎng)絡(luò)設(shè)置好，必須在安裝好的軟件防火墻服務(wù)器上運(yùn)行“route”這條命令，才能夠在局域網(wǎng)中對(duì)其他網(wǎng)段的靜態(tài)路由進(jìn)行正確的配置，支持多個(gè)網(wǎng)段。

4.3 機(jī)房網(wǎng)絡(luò)訪問策略具體實(shí)施步驟

（1）學(xué)院教學(xué)樓公共機(jī)房全部計(jì)算機(jī)都可以有固定IP地址，并且要求每個(gè)IP登記造冊(cè)，進(jìn)行統(tǒng)一管理，例如：機(jī)房電腦IP段為172.20.0.100-172.20.0.250。（2）安裝ISAserver網(wǎng)關(guān)防火墻：ISA Server要求安裝在雙網(wǎng)卡的電腦上做網(wǎng)關(guān)，其中一張網(wǎng)卡連接網(wǎng)絡(luò)中心，另一張網(wǎng)卡連接到教學(xué)樓的匯聚交換機(jī)。（3）由于互聯(lián)網(wǎng)上通過端口完成各種服務(wù)，例如80的端口是瀏覽網(wǎng)頁使用，8080的端口是QQ軟件使用等。在學(xué)校公共機(jī)房的主要使用人員是學(xué)生，針對(duì)學(xué)生上課需求向?qū)W生開放HTTP服務(wù)、FTP服務(wù)、郵件服務(wù)以及教學(xué)軟件所需要的端口。（4）學(xué)生在機(jī)房上網(wǎng)的時(shí)間，通過在ISA的訪問規(guī)則里配置工作時(shí)間規(guī)則，允許學(xué)生上網(wǎng)時(shí)間。對(duì)于機(jī)房管理員，可以根據(jù)要求隨時(shí)定義、更改用戶的IsA訪問規(guī)則，開放不同的權(quán)限。

因此，配置防火墻策略和發(fā)布服務(wù)器規(guī)則，根據(jù)IP分段嚴(yán)格控制所有電腦的進(jìn)出站協(xié)議。

4.4 使用ISA Server設(shè)置學(xué)生機(jī)房上課時(shí)間，禁止QQ軟件上網(wǎng)

4.4.1 禁用QQ的思路

由于騰訊QQ可以支持3種主要登錄方式：UDP協(xié)議、HTTP協(xié)議和HTTPS協(xié)議，同時(shí)QQ軟件也可以使用HTTP協(xié)議的代理功能登錄，在設(shè)置不變的情況下，QQ軟件首先會(huì)向服務(wù)器群的端口8000發(fā)送UDP數(shù)據(jù)包，QQ軟件在選擇登錄服務(wù)器后，會(huì)在服務(wù)器群選擇一個(gè)回復(fù)速度最快的。如果沒有服務(wù)器回復(fù)UDP數(shù)據(jù)包，另外會(huì)采用TCP的端口80/443登錄。QQ軟件能夠使用HTTP協(xié)議直連，一般情況下不能夠封鎖HTTP協(xié)議，要封鎖QQ軟件上網(wǎng)的關(guān)鍵是封鎖其服務(wù)器IP地址，同時(shí)在ISAserver的HTTP協(xié)議檢查機(jī)制中設(shè)置禁止使用QQ軟件通過HTTP連接。

4.4.2 QQ軟件禁用步驟

首先需要建立Internet訪問規(guī)則選擇為HTTP～DNS協(xié)議，讓教職工能夠成功地訪問公網(wǎng)，并能成功地使用QQ軟件，然后再通過ISA Server的深層檢測(cè)功能實(shí)現(xiàn)對(duì)QQ的過濾。QQ軟件簽名默認(rèn)使用是tencent.com。當(dāng)該簽名無法生效時(shí)，QQ數(shù)據(jù)包的簽名則需要使用數(shù)據(jù)分析工具抓緊數(shù)據(jù)包具體分析。最后點(diǎn)擊“確定”關(guān)閉窗口，這樣學(xué)生在上課時(shí)間就會(huì)無法登錄QQ軟件。

關(guān)于禁止其他聊天工具和使用HTTP代理登錄的方法是一樣的，根據(jù)該軟件數(shù)據(jù)包中所包含的特征關(guān)鍵字，在ISAServer防火墻的“簽名”功能中選擇對(duì)應(yīng)的配置。同時(shí)在ISAServer防火墻策略窗口中選中“允許用戶訪問外部網(wǎng)絡(luò)”規(guī)則，點(diǎn)擊窗口上方“應(yīng)用”按鈕，簽名配置立即生效，能夠徹底禁用聊天工具使用HTTP代理上網(wǎng)。