网管作业指导书SOP.ppt

《网管作业指导书SOP.ppt》由会员分享，可在线阅读，更多相关《网管作业指导书SOP.ppt（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ISAServer2004ISAServer2004完全上手指南完全上手指南ISAServer2004ISAServer2004SOPSOP一、系统及网络需求一、系统及网络需求二、安装二、安装ISA Server 2004三、配置三、配置ISA Server 2004服务器服务器四、ISAServer2004标准版和企业版的区别五、使用ISAServer2004禁止P2P软件1、ISA2004初学者禁止QQ上网详解2、如何在ISAServer2004中禁止MSNISAServer2004ISAServer2004 SOPSOP一、系统及网络需求一、系统及网络需求要使用ISA服务器，您需要：CP

2、U：至少550MHz，最多支持四个CPU；内存：内存：至少256MB；硬盘空间：硬盘空间：150MB，不含缓存使用的磁盘空间；操作系统：操作系统：WindowsServer2003或Windows2000Server操作系统。但是如果在运行Windows2000Server的计算机上安装ISAServer2004服务器，那么必须达到以下要求：必须安装Windows2000ServicePack4或更高版本；必须安装InternetExplorer6或更高版本；如果您使用的是Windows2000SP4整合安装，还要求打KB821887补丁。（关于在配置Windows2000授权管理器的审计时，

3、角色的许可并未被记录在事件查看器中的系统安全日志里的问题，可在以下网址中查到相关信息，该网址同时提供该补丁的下载http:/ SOPSOP网络适配器：网络适配器：必须为连接到ISAServer2004服务器的每个网络单独准备一个网络适配器，至少需要一个网络适配器。但是在单网络适配器计算机上安装的ISAServer2004服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自Internet的内容使用。DNS服务器：服务器：ISAServer2004服务器不具备转发DNS请求的功能，必须使用额外的DNS服务器。你或者在内部网络中建立一个DNS服务器，或者使用外网（Internet）

4、的DNS服务器。网络：网络：在安装ISAServer2004服务器以前，应保证内部网络正常工作，这样可以避免一些未知的问题。ISAServer2004ISAServer2004 SOPSOP二、安装二、安装ISA Server 2004下图是我们的实验网络拓扑结构：在ISAServer2004服务器上已经建立好了一个内部的DNS服务器，所有客户端以ISAServer机的内部接口（10.0.1.1）作为它的网关和DNS服务器。ISAServer2004ISAServer2004 SOPSOP我们安装的版本是ISAServer2004中文标准版（Build4.0.2161.50）。运行ISASer

5、ver2004安装光盘根目录下的ISAAutorun.exe，开始ISAS-erver2004的安装，如图：ISAServer2004ISAServer2004 SOPSOP点击“安装ISAServer2004”，出现安装界面：ISAServer2004ISAServer2004 SOPSOP点击“下一步”，在“许可协议”页，选择“我接受许可协议中的条款”，点击“下一步”。在客户信息页，输入个人信息和产品序列号，点击“下一步”继续。在安装类型页，如果你想改变ISAServer的默认安装选项，可以点击“自定义”，然后点击下一步：ISAServer2004ISAServer2004SOPSOP在“

6、自定义”页你可以选择安装组件，默认情况下，会安装防火墙服务器、ISA服务器管理，防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装。如果你想安装消息筛选程序，需要先在ISAServer2004服务器上安装IIS6.0SMTP服务。ISAServer2004ISAServer2004 SOPSOP点击“下一步”继续：ISAServer2004ISAServer2004 SOPSOP在内部网络页，点击“添加”按钮。内部网络和ISAServer2000中使用的LAT已经大大不同了。在ISAServer2004中，内部网络定义为ISAServer2004必须进行数据通信的信任的网络

7、。防火墙的系统策略会自动允许ISAServer2004到内部网络的部分通信。ISAServer2004ISAServer2004 SOPSOP在地址添加对话框中，点击“选择网卡”，出现“选择网卡”对话框：在在“选择网卡选择网卡”对话框对话框中，移去中，移去“添加下列添加下列专用范围专用范围.”选项，选项，保留保留“基于基于Windows路由表添加地址范围选项。选上连接内部网络的适配器，点击OK。在弹出的提示对话框中点击OK。ISAServer2004ISAServer2004 SOPSOP在内部网络地址对话框中点击OK：ISAServer2004ISAServer2004 SOPSOP在内部网

8、络页点击“下一步”：ISAServer2004ISAServer2004 SOPSOP在防火墙客户端连接设置页上，如果你的客户机上使用了ISAServer2000的防火墙客户端，则可以勾选“允许运行早期版本的.”，点击“下一步”：ISAServer2004ISAServer2004 SOPSOP在服务页，点击“下一步”：ISAServer2004ISAServer2004 SOPSOP在可以安装程序了页点击安装：在安装向导完成页，在安装向导完成页，选择选择“在向导关闭时在向导关闭时运行运行ISA服务器管服务器管理理”，然后点击，然后点击“完完成成”。此时，。此时，会出现MicrosoftInt

9、ernetSecurityandAccelerationServer2004控制台。ISAServer2004ISAServer2004 SOPSOP三、配置三、配置ISA Server 2004服务器服务器在ISAServer2004中，防火墙策略是由网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络间如何访问，而访问规则则定义了用户（内、外网）的访问，服务器发布规则则定义了如何让用户访问服务器。1、网络规则网络规则定义并描述网络拓扑。网络规则确定两个网络之间是否存在连接，以及定义如何进行连接。网络连接的方式有：网络地址转换(NAT)：当指定这种类型的连接时，ISA服务器将

10、用它自己的IP地址替换源网络中的客户端的IP地址。当定义内部网络与外部网络之间的关系时，可以使用NAT网络规则。ISAServer2004ISAServer2004 SOPSOP路由：当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络。源客户端地址包含在请求中。当发布位于DMZ网络中的服务器时，可以使用路由网络规则。路由网络关系是双向的。如果定义了从网络A到网络B的路由关系，那么从网络B到网络A也存在着路由关系。相反，NAT关系则是唯一的和单向的。如果定义了从网络A到网络B的NAT关系，则不能定义从B到A的网络关系。您可以创建定义双向关系的网络规则，但是ISA服务器将忽略有序

11、规则列表中的第二条网络规则。安装时，会创建下列默认规则：ISAServer2004ISAServer2004 SOPSOP本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。VPN客户端到内部网络：此规则指定在两个VPN客户端网络（“VPN客户端”和“被隔离的VPN客户端”）与内部网络之间存在着路由关系。Internet访问：此规则定义了在内部网络与外部网络之间存在的NAT关系。2、访问规则（1）防火墙系统策略在安装ISAServer2004服务器时，会创建默认的系统策略。系统策略允许ISAServer2004服务器访问它连接到的网络的特定服务。在防火墙策略上点击右键，指

12、向“查看”，然后点击“显示系统策略规则”，ISAServer2004ISAServer2004 SOPSOP或者点击图标栏上最右边的快捷图标：ISAServer2004ISAServer2004 SOPSOP右边出现了系统策略，如下图所示，标注的地方表明，ISASevrer2004服务器可以向任何网络发起DNS请求。注意：所有系统策略类别都是在安装ISA服务器时默认启用的，我们建议你根据自己的需求来禁用不需要的系统策略类别。ISAServer2004ISAServer2004 SOPSOP2）访问策略现在我们需要建立一条访问策略以允许内部网络客户访问外部网络（Internet），同时，因为内部

13、网络客户需要访问ISAServer2004服务器上的DNS服务器以解析域名，我们也需要建立一条策略以允许内部网络客户访问ISAServer2004服务器的DNS服务。新建一条允许内部客户访问外部网络的所有服务的访问规则：在防火墙策略上点击右键，指向“新建”，然后点击“访问规则”。ISAServer2004ISAServer2004 SOPSOP在“新建访问规则向导”的访问规则名称文本框中，输入“Allowalloutboundtraffic”，然后点击“下一步”。然后在“规则操作”页，选择“允许”，点击“下一步”；ISAServer2004ISAServer2004 SOPSOP在协议页，选择

14、“所有出站通讯”，点击“下一步”；ISAServer2004ISAServer2004 SOPSOP在访问规则源页，点击“添加”，在“添加网络实体”对话框，双击“内部”，然后点击“关闭”，点击下一步；ISAServer2004ISAServer2004 SOPSOP在访问规则目标页，点击“添加”，在“添加网络实体”对话框，双击“外部”，然后点击“关闭”，点击下一步；ISAServer2004ISAServer2004 SOPSOP在用户集页，接受默认的所有用户，点击下一步；ISAServer2004ISAServer2004 SOPSOP在新建访问规则向导页，回顾你选择的设置，然后点击“完成”

15、；新建一条允许内部客户访问ISAServer2004服务器上的DNS服务的访问规则，主要步骤和上面一条一样，不同的地方：规则名：AllowInternalAccessFirewallsDNSService协议页选择“所选的协议”，然后点击“添加”选择通用协议下的“DNS”。ISAServer2004ISAServer2004 SOPSOP访问规则目的为“本地主机”：ISAServer2004ISAServer2004 SOPSOP此时，ISAServer2004的管理控制台应该如下图所示，点击“应用”以保存修改和更新防火墙策略。ISAServer2004ISAServer2004 SOPSOP

16、在应用新配置对话框，点击“确定”。ISAServer2004ISAServer2004 SOPSOP此时，ISAServer2004服务器的初步配置已经完成，内部客户可以访问外部网络的所有服务，也可以访问ISAServer2004服务器上的DNS服务。注意：只能访问ISAServer2004服务器上的DNS服务，其他的服务都会被禁止（如ping等），因为你没有在策略中明确允许这一点。启用缓存：启用缓存有两个条件，首先是设置了缓存所用的驱动器，其次是设置缓存规则。（1）设置缓存所用的驱动器在ISAServer2004管理控制台的“缓存”上点击右键，选择“定义缓存驱动器”。注意，此时的缓存上有个向

17、下的红色箭头，表明没有启用缓存。ISAServer2004ISAServer2004SOPSOP在定义缓存驱动器对话框中，根据你自己的网络带宽及流量进行设置，不过需要注意的是，缓存驱动器必须采用NTFS分区格式。ISAServer2004ISAServer2004SOPSOP（2）设置缓存规则此时“缓存”上已经没有向下的箭头了，表明已经设置了缓存驱动器。在“缓存”上点击右键，指向“新建”，点击“缓存规则”。ISAServer2004ISAServer2004SOPSOP在“新缓存规则向导”页，输入名称“Cacheexternalcontent”，然后点击“下一步”。在缓存规则目标页，点击添加，

18、选择“外部”，点击“下一步”；ISAServer2004ISAServer2004SOPSOP在内容检索页，接受默认的“只有在缓存中存在对象的.”，点击“下一步”；ISAServer2004ISAServer2004SOPSOP在缓存内容页，接受默认的“如果源和请求头指明要缓存”，你可以根据你的需要勾选下面的选项，点击“下一步”；ISAServer2004ISAServer2004SOPSOP在缓存高级配置页，根据你自己的需要进行设置，点击“下一步”；ISAServer2004ISAServer2004SOPSOP在HTTP缓存页，接受默认的选项，点击“下一步”；ISAServer2004IS

19、AServer2004SOPSOP在FTP缓存页，取消“启用FTP缓存”的勾选（你可以根据你的需求进行设置），点击“下一步”；ISAServer2004ISAServer2004SOPSOP在新缓存规则向导页，回顾你的设置，然后点击“完成”。点击“应用”以保存修改和更姓防火墙策略，ISAServer2004会弹出一个警告提示你，选择“保存更改，并重启动服务”，然后点击“确定”。ISAServer2004ISAServer2004SOPSOP成功后你会在缓存规则栏里面看见新的缓存规则。ISAServer2004ISAServer2004SOPSOP取消FTP的只读；最后谈一点，ISAServer

20、2004默认是不允许FTP上传的（即不能写FTP服务器）。取消的办法是：在允许访问FTP服务器的规则上（在这儿是Allowalloutboundtraffic）上点击右键，然后选择“配置FTP”。ISAServer2004ISAServer2004SOPSOP在配置FTP协议策略对话框中，取消“只读”的勾选，点击确定，最后点击“应用”以保存修改和更新防火墙策略。ISAServer2004ISAServer2004SOPSOP四、ISAServer2004标准版和企业版的区别ISAServer2004ISAServer2004SOPSOP五、使用ISAServer2004禁止P2P软件现在P2P

21、软件非常的流行，而且提供了多样化的登录方式，这给我们做网管的想封锁它的时候，带来很多不方便。下面我以国内常用的QQ和MSN来给大家介绍一下，利用ISAServer2004的增强的HTTP协议检查功能，来完全的禁止它们。既然要封锁它们，首先要对QQ和MSN使用的协议来进行分析，知己知彼，才能在封锁与反封锁的较量中获胜。首先介绍MSN。MSN使用TCP1863端口来登录的。封锁这个端口就可以很好的禁止MSN登录，但是在使用HTTP代理的情况下，MSN可以很轻松的突破1863端口的限制。再说说QQ。QQ的登录过程是这样的，在默认情况下，QQ先向服务器群的8000端口发送UDP数据包，从服务器群的回复

22、中选择一个最快的作为登录服务器；如果没有服务器回复，则使用TCP80/443端口来进行连接。因为他可以使用HTTP直接连接，而一般是不能封锁HTTP协议的，所以，封锁QQ的最好办法是封锁它的服务器IP。但是如果使用HTTP代理登录，那么还是可以上QQ的。ISAServer2004ISAServer2004SOPSOPQQ的服务器的地址如下，最后更新于2004年6月1日。不过Tencent随时可能增加服务器，但是应对政策很简单，如果能上QQ，你在QQ的系统属性里面看看当前登录服务器的IP，然后添加进来就是了。QQ服务器分为三类：服务器分为三类：1、UDP8000端口类18个：速度最快，服务器最多

23、。QQ上线会向这些服务器发送UDP数据包，选择回复速度最快的一个作为连接服务器。61.144.238.14561.144.238.14661.144.238.15661.144.238.150202.104.129.251202.104.129.254202.104.129.252202.104.129.25361.141.194.203202.96.170.166218.18.95.221219.133.45.1561.141.194.20061.141.194.224202.96.170.164202.96.170.163219.133.40.216218.18.95.209ISAServ

24、er2004ISAServer2004SOPSOP2、TCPHTTP连接服务器4个，使用HTTP80和443端口连接这4个服务器名字均以tcpconn开头，域后缀是，域名与IP对应为T218.18.95.153ISAServer2004ISAServer2004SOPSOP3、会员VIP登陆服务器，使用HTTP443安全连接服务器IP218.17.209.42在过去的时候，对于使用HTTP代理来上QQ和MSN的情况，没有什么办法。不过现在不一样了，ISAServer2004增强的HTTP协议状态检查，可以很完美的封锁使用HTTP代理上QQ和MSN的情况。以下首先给大家介绍一下封锁利用HTTP代

25、理上WindowsMessanger的情况，译自GregMulholland的“PreventingP2PandInstantMessagingprogramsfromhijackingyournetworkwithISA2004Firewalls”，不过原文比较复杂，我简化了一下。MSN和它原理是一样的。GregMulholland通过设置防火墙策略，只允许这个客户只能使用HTTP协议，所以，WindowsMessenger不能登录。ISAServer2004ISAServer2004SOPSOP但是这个客户使用WindowsMessenger的HTTP代理，于是就可以登录了。ISAServ

26、er2004ISAServer2004SOPSOP于是就可以登录了。ISAServer2004ISAServer2004SOPSOPGregMulholland通过在HTTP协议中配置签名，ISAServer2004ISAServer2004SOPSOP（注意注意，下图是重点）WindowsMessenger连接HTTP代理服务的时候，发送的数据包的请求头中的User-Agent字段，关键字为MSMSGS，ISAServer2004ISAServer2004SOPSOP通过勾选这个定义项，ISAServer2004会阻止具有这个特性的HTTP数据包。ISAServer2004ISAServer

27、2004SOPSOP于是，这个客户不能登录了。ISAServer2004ISAServer2004SOPSOPQQ通过HTTP代理服务连接时，发送的数据包同样具有关键字特性，我通过sniffer分析了一下，注意看下图，这是我监听到的数据包的一部分，这个地方，显示了QQ通过HTTP代理服务连接到的QQ服务器URL。ISAServer2004ISAServer2004SOPSOP同样的，我做了一个完整的测试：首先我在ISAServer2004中设置防火墙策略，只允许192.168.0.41访问外部的HTTP和HTTPS服务。ISAServer2004ISAServer2004SOPSOP这时QQ不

28、能通过UDP方式来连接了，于是我设置QQ的HTTP代理，ISAServer2004ISAServer2004SOPSOPQQ通过ISAServer2004的HTTP代理服务成功登录。ISAServer2004ISAServer2004SOPSOP现在我来配置HTTP策略，ISAServer2004ISAServer2004SOPSOP在“Signatures”页，我添加了一个名为QQ的签名项，指定在RequestURL里面搜索“”，如果匹配则ISAServer2004会丢弃该数据包。ISAServer2004ISAServer2004SOPSOP此时，QQ已经不能通过代理服务器登录了。ISAS

29、erver2004ISAServer2004SOPSOP需要注意的是，只有QQ通过HTTP代理服务器登录的时候，才会在数据包内包含“RequestURL”，如果是QQ直接通过HTTP协议连接服务器，那么是不会包含这个字段的，所以，这个HTTP签名项只能针对QQ使用HTTP代理登录时使用。不过使用这个HTTP过滤，结合封锁QQ的服务器IP，还是可以很完美的封锁掉QQ的。下表是从微软网站上找到的，常用的网络应用程序的签名项，不过，新版本的软件可能会修改这个签名项。ISAServer2004ISAServer2004SOPSOP应用程序位置HTTP头签名MSN MessengerRequest he

30、adersUser-Agent:MSN MessengerWindows MessengerRequest headersUser-Agent:MSMSGSNetscape 7Request headersUser-Agent:Netscape/7Netscape 6Request headersUser-Agent:Netscape/6AOL Messenger(and all Gecko browsers)Request headersUser-Agent:Gecko/Yahoo MessengerRequest headersHKazaaRequest headersP2P-AgentK

31、azaa Kazaaclient:KazaaRequest headersUser-Agent:KazaaClientKazaaRequest headersX-Kazaa-Network:KaZaAGnutellaRequest headersUser-Agent:Gnutella GnucleusEdonkeyRequest headersUser-Agent:e2dkIE 6.0Request headersUser-Agent:MSIE 6.0MorpheusResponse headerServerMorpheusBearshareResponse headerServerBears

32、hareBitTorrentRequest headersUser-Agent:BitTorrentSOAP over HTTPRequest headers Response headersUser-Agent:SOAPActionISAServer2004ISAServer2004SOPSOP其他可以利用的参数应用程序位置类型值KazaaHeadersRequest HeaderX-Kazaa-Username:X-Kazaa-IP:X-Kazaa-SupernodeIP:BitTorrentExtensionsNone.torrentMany peer-to-peer clientsHeadersRequest HeaderP2P-Agent