外围网络中的高级防火墙

上一次修改主题： 2005-05-24

下图说明了高级防火墙方案，外围网络内部的 Internet 防火墙与内部防火墙之间放置了一个高级防火墙。前端服务器和后端服务器放在内部防火墙后面的同一网络中。出于下列原因推荐使用此拓扑：

• 通过将入侵者与网络的其他部分隔离来提供安全保护。
• 提供应用程序协议筛选功能。
• 将请求代理到内部网络之前对其执行其他验证。

注意：
除了将高级防火墙服务器放在外围网络内部的独立 Internet 防火墙后面之外，高级防火墙服务器本身也可以充当 Internet 防火墙。

方案

公司在两个独立防火墙之间放置了一个高级防火墙，如 ISA Server。公司决定设置此高级防火墙拓扑是基于下列优点：

• 高级防火墙通过防止未经授权的访问、检查通信以及向网络管理员发出攻击提醒，为网络提供更多的安全保护。
• 通过高级防火墙可以使用端口筛选和 IP 筛选等方法来控制通信。
• 通过高级防火墙可以按用户和组、应用程序类型、每天的时间、内容类型和目标集来限制访问。

安装说明

有关详细的安装说明，请参阅如何设置在外围网络中包含高级防火墙的前端/后端拓扑。有关 ISA Server 的详细信息（包括产品信息和技术资源），请访问 ISA Server 网站。

讨论

ISA Server 包含两种类型的规则：

• 服务器发布规则   这些规则可适用于任何协议，检查接收端口的传入请求。如果允许传入请求，协议规则会将其从接收端口转发到内部 IP 地址。
• Web 发布规则   这些规则仅适用于 HTTP 或 HTTPS (80/443) 请求。可以通过设置 Web 发布规则，根据服务类型、端口、源计算机名和目标计算机名来筛选传入请求。也可以仅允许特定服务器或拒绝高风险服务器。

如果要支持 HTTP 客户端，请创建 Web 发布规则来处理 HTTP 或 HTTPS 通信。如果要支持 POP 或 IMAP 客户端，请创建服务器发布规则来处理这些协议。

与外围网络方案不同，除非将 ISA Server 配置为对请求进行身份验证，否则，外围网络中的 ISA 服务器不必是成员服务器。通常，如果在前端服务器上已配置身份验证，则不必将 ISA Server 配置为对用户进行身份验证。但是，如果要将传入请求限制为来自特定用户的请求，则必须创建 Web 发布规则来指定用户并在 ISA Server 上启用身份验证。在这种情况下，ISA 服务器必须是 Windows 域的成员。此外，ISA Server 不会将用户凭据委派给后端服务器。因此，尽管 ISA Server 可以对用户进行身份验证并限制对网络的访问，但是，无法为 Outlook Web Access 对用户预先进行身份验证。

问题

在高级防火墙方案中，不需要对内部网络进行 RPC 访问。这通常被视为一个优点，因为必须在内部防火墙上打开的端口数较少；但是，无论打开的端口数如何，均存在安全风险。为了避免此安全风险，请确保为每个打开的端口设置相应的筛选器。

在高级防火墙方案中，可以通过下列两种方式之一配置 SSL：

• 仅限客户端与 ISA 服务器之间。
• 在客户端与 ISA 服务器之间，以及在 ISA 服务器与前端服务器之间。

如果客户策略规定对外围网络内部的电子邮件通信进行加密，则通常使用第二种方式。ISA Server 收到来自客户端的 SSL 请求后，将结束会话并使用新证书重新打开一个新的 SSL 会话，以便与前端服务器联系。每个证书的名称至关重要。传入请求中的证书名称必须与用户在 URL 中键入的名称匹配。此外，对前端服务器的请求中的证书名称必须与前端服务器的名称或 IP 地址匹配。

要在 ISA Server 中配置 SSL，请使用 Web 发布服务器规则中的“桥接”选项卡来定向 SSL 通信。如果承载多个域并且希望使用 SSL，则必须为每个域设置侦听器和不同的 IP 地址。这是因为证书的命名必须与目标名称或 IP 地址匹配。