电子商务安全技术第四章网络信息安全技术.ppt

第二篇电子商务安全技术 电子商务安全技术SecurityTechniquesOfElectronicCommerce 第四章网络信息安全技术 4 1网络安全技术 第四章网络信息安全技术 4 3实训 4 2信息安全技术 4 1网络安全技术 4 1网络安全技术 4 1 5入侵检测系统 4 1 2防火墙 4 1 1网络设备安全 4 1 3VPN VPDN安全 4 1 4无线网络安全 4 1网络安全技术 4 1 1网络设备安全交换机安全交换机在电子商务中占有重要的地位 通常是整个网络的核心所在 交换机最重要的作用就是转发数据 在黑客攻击和病毒侵扰下 交换机要能够继续保持其高效的数据转发速率 不受到攻击的干扰 这就是交换机所需要的最基本的安全功能 同时 交换机作为整个网络的核心 应该能对访问和存取网络信息的用户进行区分和权限控制 更重要的是 交换机还应该配合其他网络安全设备 对非授权访问和网络攻击进行监控和阻止 4 1网络安全技术 4 1 1网络设备安全交换机安全病毒过滤技术基于ACL的报文过滤技术CPU过载保护技术广播风暴控制功能VLAN技术基于802 1X的接入控制技术交换机与IDS系统的联动 4 1网络安全技术 4 1 1网络设备安全路由器路由器是给网络中数据传输指路的机器 路由器是互联网络中必不可少的网络设备之一 是一种连接多个网络或网段的网络设备 路由器能够将不同网络或网段之间的数据信息进行 翻译 以使它们能够相互 读 懂对方的数据 从而构成一个更大的网络 4 1网络安全技术 4 1 1网络设备安全路由器的基本功能网络互连 路由器支持各种局域网和广域网接口 主要用于互连局域网和广域网 实现不同网络互相通信 数据处理 提供包括分组过滤 分组转发 优先级 复用 加密 压缩和防火墙等功能 网络管理 路由器提供包括路由器配置管理 性能管理 容错管理和流量控制等功能 4 1网络安全技术 4 1 1网络设备安全路由器设备功能划分路由器设备从功能上可以划分为数据平面 控制 信令平面和管理平面 也可以从协议系统的角度按TCP IP协议的层次进行划分 见右图 4 1网络安全技术 图4 2路由器系统框架图 4 1 1网络设备安全路由器的面临威胁对数据平面来说 其功能是负责处理进入设备的数据流 它有可能受到基于流量的攻击 如大流量攻击 畸形报文攻击 对控制 信令平面来说受到的主要威胁来自对路由信息的窃取 对IP地址的伪造等 这会造成网络路由信息的泄漏或滥用 对系统管理平面来说 威胁来自于两个方面 一个是系统管理所使用的协议 如Telnet协议 HTTP协议等 的漏洞 另一个是不严密的管理 如设备管理账号的泄露等 4 1网络安全技术 4 1网络安全技术 4 1 2防火墙防火墙指隔离在本地网络与外界网络之间的一道防御系统 是这一类防范措施的总称 是指设置在不同网络 如可信任的企业内部网和不可信的公共网 或网络安全域之防火墙间的一系列部件 软件 硬件 的组合 它是不同网络或网络安全域之间信息的唯一出入口 能根据企业的安全政策控制 允许 拒绝 监测 出入网络的信息流 且本身具有较强的抗攻击能力 它是提供信息安全服务 实现网络和信息安全的基础设施 4 1网络安全技术 4 1 2防火墙 4 1网络安全技术 图4 3防火墙的结构组成图 4 1 2防火墙防火墙的作用可以限制他人进入内部网络 过滤掉不安全服务和非法用户 防止入侵者接近用户防御设施限定用户访问特殊站点为监视Internet安全提供方便 4 1网络安全技术 4 1 2防火墙防火墙的种类网络级防火墙应用级网关电路级网关规则检查防火墙 4 1网络安全技术 4 1 2防火墙防火墙的技术包过滤技术应用代理技术状态监视技术 4 1网络安全技术 4 1网络安全技术 4 1 3VPN VPDN安全 4 1网络安全技术 虚拟专用网 VPN 技术是一种在公用互联网络上构造企业专用网络的技术 通过VPN技术 可以实现企业不同网络的组件和资源之间的相互连接 它能够利用Internet或其他公共互联网络的基础设施为用户创建隧道 并提供与专用网络一样的安全和功能保障 虚拟专用网络允许远程通信方 销售人员或企业分支机构使用Internet等公共互联网络的路由基础设计 以安全的方式与位于企业内部网内的服务器建立连接 VPN对用户端透明 用户好象使用一条专用路线在客户计算机和企业服务器之间建立点对点连接 进行数据的传输 4 1网络安全技术 图4 6虚拟专用网结构图 4 1 3VPN VPDN安全VPN VPDN原理 4 1网络安全技术 在资源共享处放置一台VPN的服务器 如一台WindowsNT或支持VPN的路由器 就可以了 用户通过PSTN连入本地POP服务器 呼叫企业远程服务器 VPN服务器 呼叫的方式同PSTN连接的呼叫方式 ISP的接入服务器完成其余工作 4 1 3VPN VPDN安全VPN的建立过程 4 1网络安全技术 用户通过PSTN网拨入ISP的NASServer NAS服务器通过用户名或接入号码识别出该用户是否为VPDN用户 若是 就和用户的目的VPDN服务器建立一条连接 称为隧道 将用户数据包封装成IP报文 从该隧道传送给VPN服务器 VPDN服务器收到数据包并拆封 图4 7VPN建立结构图 4 1 3VPN VPDN安全VPDN的建立过程 4 1网络安全技术 服务提供商和企业从ISP那里租用VPDN拨号服务器 ISP和服务提供商和企业共同决定所提供服务的级别 服务提供商的需求比较简单 他只需要ISP能够把远程用户发起的呼叫传送到本地网络 企业要求更多的VPDN服务 他们从ISP那里租用IP地址空间 并租用L2TP网络服务器 L2TPNetworkServer LNS 企业需要和ISP签订配置和维护这些设备的合同 在建立从L2TP访问集中器 L2TPAccessConcentrator LAC 到LNS之间的隧道方面 合作伙伴也一起参加配置工作 一旦合作伙伴验证了VPDN的工作是正常的 服务提供商和企业就可以在他们的LNS上配置用户名和口令 4 1网络安全技术 4 1 4无线网络安全 4 1网络安全技术 无线网络种类多通道多点分配业务 MMDS 本地多点分配业务 LMDS 无线局域网 4 1网络安全技术 4 1 5入侵检测系统 4 1网络安全技术 入侵检测系统 IntrusionDetectionSystem IDS 定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统 它通过对计算机系统进行监视 提供实时的入侵监测 并采取相应的防护手段 入侵检测系统的模型如右图所示 它的目的在于监测可能存在的攻击行为 包括来自系统外部的入侵行为和来自内部用户的非授权行为 图4 9入侵检测系统模型图 4 1 5入侵检测系统 4 1网络安全技术 入侵检测系统的功能监视用户和系统的运行状态 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 并提示管理员修补漏洞 对用户的非正常活动进行统计分析 发现入侵行为的规律 系统程序和数据的一致性与正确性检查 识别攻击的活动模式 并向网管人员报警 操作系统审计跟踪管理 识别违反政策的用户活动 4 1 5入侵检测系统 4 1网络安全技术 入侵检测系统的分类NIDSSIVLFMHoneypots 4 1 5入侵检测系统 4 1网络安全技术 入侵检测技术发展方向分布式入侵检测智能化入侵检测全面的安全防御方案 4 2信息安全技术 4 2 5信息安全架构 4 2 2加密技术 4 2 1TCP IP协议简介 4 2 3认证与授权技术 4 2 4网络病毒 4 2信息安全技术 4 2 1TCP IP协议简介 4 2信息安全技术 TCP IP协议 TransmissionControlProtocol InternetProtocol 叫做传输控制 网际协议 又叫做网络通讯协议 这个协议是Internet国际互联网络的基础 从协议分层模型方面来讲 TCP IP由四个层次组成 网络接口层 网络层 传输层 应用层 TCP IP协议族的四个层次如右图所示 图4 10TCP IP协议族的四个层次 4 2信息安全技术 4 2 2加密技术 4 2信息安全技术 加密一般是利用信息变换规则把可懂的信息变成不可懂的信息 其中的变换规则称为加密算法 算法中的可变参数称为密钥 衡量一个加密技术的可靠性 主要取决于解密过程的数学难度 而不是对加密算法的保密 当然可靠性还与密钥的长度有关 加密技术示意图如图4 11所示 加密和解密的一般过程如图4 12所示 图4 11加密技术示意图 图4 12加密和解密的一般过程 4 2 2加密技术 4 2信息安全技术 对称加密技术 在对称密码体制中 其中加密密钥与解密密钥是相同的 对称密码技术如右图所示 对称密码体制的优点是具有很高的保密强度 可以达到经受国家级破译力量的分析和攻击 但它的密钥必须通过安全可靠的途径传递 由于密钥管理成为影响系统安全的关键性因素 使它难以满足系统的开放性要求 图4 13对称密码技术图 4 2 2加密技术 对称加密技术 对称加密算法优点 1 算法公开2 计算量小3 加密速度快4 加密效率高 对称加密算法的不足 交易双方都使用同样钥匙 安全性得不到保证 每对用户每次使用对称加密算法时 都需要使用其他人不知道的唯一钥匙 这会使得发收信双方所拥有的钥匙数量成几何级数增长 密钥管理成为用户的负担 对称加密算法在分布式网络系统上使用较为困难 主要是因为密钥管理困难 使用成本较高 对称加密算法不能实现数字签名 4 2信息安全技术 4 2 2加密技术 非对称加密技术 为了解决对称密码体制的密钥分配的问题 以及满足对数字签名的需求 20世纪70年代产生了非对称密码体制 非对称加密技术如图4 14所示 在这种密码体制下 人们把加密过程和解密过程设计成不同的途径 当算法公开时 在计算上不可能由加密密钥求得解密密钥 因而加密密钥可以公开 而只需秘密保存解密密钥即可 图4 14非对称加密技术图 4 2信息安全技术 4 2 2加密技术 非对称加密技术 在非对称密码体制中 最具代表性的算法当数RSA 该体制的思想是基于大整数因子分解的困难性 而大整数因子分解问题是数学史上的著名难题 至今仍没有有效的方法予以解决 因此在某种程度上能够确保RSA加密算法的安全 在采用RSA加密算法的系统中 每个用户都有两个密钥 一个公共密钥 一个是秘密密钥 这种方式非常适合用于密钥分发 数字签名 鉴别等 缺点是计算量大 加密速度慢 RSA加密技术如图4 15所示 图4 15RSA加密技术示例图 4 2信息安全技术 4 2 2加密技术 对称加密技术与非对称加密技术的对比 表4 5对称加密技术与非对称加密技术对比表 4 2信息安全技术 4 2 2加密技术 PGP加密技术 PGP PrettyGoodPrivacy 是一个基于RSA非对称加密体系的邮件加密算法 它可以用来对邮件加密以防止非授权者阅读 还能对邮件加上数字签名而使收信人可以确信邮件的发送人 PGP用的是RSA和传统加密的杂合算法 所谓 杂合 体现在它包含 一个对称加密算法 IDEA 一个非对称加密算法 RSA 一个单向散列算法 MD5 以及一个随机数产生器 从用户击键频率产生伪随机数序列的种子 实际上PGP是用一个随机生成密匙 每次加密不同 用IDEA算法对明文加密 然后用RSA算法对该密匙加密 这样收件人同样是用RSA解密出这个随机密匙 再用IDEA解密邮件本身 这样的链式加密就做到了既有RSA体系的保密性 又有IDEA算法的快捷性 4 2信息安全技术 PGP的主要功能加密文件 使用强大的IDEA加密算法对存储在计算机上的文件加密 经过加密的文件只能由知道密钥的人解密阅读 密钥生成和管理 PGP可以生成私有密钥和公共密钥 有256位 512位和1024位三种长度选择 并对生成的密钥具有查看 编辑 删除和对密钥签名等功能 数字签名和认证 PGP可以对文件或电子邮件作数字签名 也可以鉴别真伪 4 2信息安全技术 4 2 2加密技术 4 2 2加密技术 混合加密技术 混合加密是一种加密方案 在该方案中 数据加密通过对称加密和非对称加密的组合实现 混合加密方法利用了对称加密和非对称加密两种方法的优点 从而帮助确保只有预期的接收方才能读数据 4 2信息安全技术 4 2 2加密技术 混合加密技术的步骤 文件发送方产生一个对称密钥 并将其用接收方的公钥加密后 通过网络传送给接收方 文件发送方用对称密钥将文件加密后 通过网络传送给接收方 接收方用私钥将加密的对称密钥进行解密 得到发送方的对称密钥 接收方用得到的对称密钥将加密的文件进行解密 从而得到原文 4 2信息安全技术 4 2 2加密技术 混合加密技术的加密过程 在混合加密方案中 将对称加密与一个随机生成的密钥结合使用来加密数据 此步骤利用了对称加密速度快的优点 然后 通过使用非对称密钥对的公钥 将此对称加密密钥加密 此步骤利用了非对称加密安全性更高的优点 经过加密的数据与经过加密的对称密钥一起发送给数据接收方 图4 16显示了混合加密流程 图4 16混合加密流程图 4 2信息安全技术 4 2 2加密技术 混合加密技术的解密过程 解密过程 接收方首先需要使用非对称密钥对的私钥 将对称加密密钥解密 然后 接收方使用经过解密的对称密钥将数据解密 图4 17说明了混合解密流程 图4 16混合解密流程图 4 2信息安全技术 4 2 2加密技术 量子加密技术 上世纪下半叶以来 科学家们在 海森堡测不准原理 和 单量子不可复制定理 之上 逐渐建立了量子密码术的概念 量子加密技术突破了传统加密方法的束缚 以量子状态作为密钥具有不可复制性 可以说是 绝对安全 的 任何截获或测试量子密钥的操作都会改变量子状态 这样截获者得到的只是无意义的信息 而信息的合法接收者也可以从量子态的改变知道密钥曾被截取过 科学家希望将来可以实现远距离 高速率的量子密码传输 这样就可以利用卫星来传递信息 并在全球范围内建立起保密的信息交换体系 4 2信息安全技术 4 2信息安全技术 4 2 2认证与授权技术 认证技术是信息安全理论与技术的一个重要方面 也是电子商务安全的主要实现技术 采用认证技术可以直接满足身份认证 信息完整性 不可否认和不可修改等多项网上交易的安全需求 较好地避免了网上交易面临的假冒 篡改 抵赖 伪造等种种威胁 认证技术主要涉及身份认证和报文认证两个方面的内容 身份认证用于鉴别用户身份 报文认证用于保证通信双方的不可抵赖性和信息的完整性 在某些情况下 信息认证显得比信息保密更为重要 目前 在电子商务中广泛使用的认证方法和手段主要有PKI技术 数字签名 数字摘要 数字证书 CA安全认证体系 以及其他一些身份认证技术和报文认证技术 4 2信息安全技术 4 2 3认证与授权技术 报文验证 报文认证用于保证通信双方的不可抵赖性和信息的完整性 它是指通信双方之间建立通信联系后 每个通信者对收到的信息进行验证 以保证所收到的信息是真实的过程 验证的内容包括 证实报文是由指定的发送方产生的 证实报文的内容没有被修改过 即证实报文的完整性 确认报文的序号和时间是正确的 4 2信息安全技术 4 2 3认证与授权技术 PKI技术 1976年 WhitfieldDiffie和MartinHellman提出了公开密钥理论 奠定了PKI体系的基础 PKI PublicKeyInfrastructure 即 公开密钥体系 是一个利用现代密码学的公钥密码技术 并在开放的Internet网络环境中提供数据加密以及数字签名服务的 统一的技术框架 4 2信息安全技术 4 2 3认证与授权技术 WindowsPKI公钥基础结构 Windows证书服务的一个单独组件是证书颁发机构的Web注册页 这些网页是在安装证书颁发机构时默认安装的 它允许证书请求者使用Web浏览器提出证书请求 此外 证书颁发机构网页可以安装在未安装证书颁发机构的Windows2000服务器上 4 2信息安全技术 4 2 3认证与授权技术 图4 18使用公开密钥理论进行密钥交换的过程图 图4 19公开密钥算法实现通信双方身份验证过程图 4 2信息安全技术 4 2 3认证与授权技术 数字签名 数字签名技术以加密技术为基础 其核心是采用加密技术的加 解密算法体制来实现对报文的数字签名 数字签名能够实现以下功能 1 收方能够证实发送方的真实身份 2 发送方事后不能否认所发送过的报文 3 收方或非法者不能伪造 篡改报文 4 2信息安全技术 4 2 3认证与授权技术 数字签名和验证过程 1 发送方首先用哈希函数从原文得到数字签名 然后采用公共密钥体系用发达方的私有密钥对数字签名进行加密 并把加密后的数字签名附加在要发送的原文后面 2 发送方选择一个私有密钥对文件进行加密 并把加密后的文件通过网络传输到接收方 3 发送方用接收方的公共密钥对秘有密钥进行加密 并通过网络把加密后的秘有密钥传输到接收方 4 接受方使用自己的私有密钥对密钥信息进行解密 得到私有密钥的明文 4 2信息安全技术 4 2 3认证与授权技术 数字签名和验证过程 5 接收方用私有密钥对文件进行解密 得到经过加密的数字签名 6 接收方用发送方的公共密钥对数字签名进行解密 得到数字签名的明文 7 接收方用得到的明文和哈希函数重新计算数字签名 并与解密后的数字签名进行对比 如果两个数字签名是相同的 说明文件在传输过程中没有被破坏 图4 20数字签名过程 4 2信息安全技术 4 2 3认证与授权技术 数字摘要 数字摘要是将任意长度的消息变成固定长度的短消息 它类似于一个自变量是消息的函数 也就是单向哈希 Hash 函数技术 数字摘要除了可用于前面所讨论的数字签名应用之外 还可用于信息完整性检验 各种协议的设计及计算机科学等 图4 21数字摘要过程图 4 2信息安全技术 4 2 3认证与授权技术 数字摘要原理 单向哈希函数就是把任意长的输入串x变化在固定长的输出串y的一种函数 并满足 已知哈希函数的输出 求解它的输入是困难的 即已知y Hash x 求x是困难的 已知x1 计算y1 Hash x1 构造x2使Hash x2 y1是困难的 y Hash x y的每一比特都与x的每一比特相关 并有高度敏感性 即每改变x的一比特 都将对y产生明显影响 4 2信息安全技术 4 2 3认证与授权技术 数字证书 数字证书 DigitalCertificate DigitalID 又称为数字凭证 即用电子手段来证实一个用户的身份和对网络资源的访问权限 数字证书是一种数字标识 也可以说是网络上的安全护照 它提供的是网络上的身份证明 数字证书拥有者可以将其证书提供给其他人 Web站点及网络资源 以证实他的合法身份 并且与对方建立加密的 可信的通信 4 2信息安全技术 4 2 3认证与授权技术 数字证书 目前最为广泛使用的公钥密码认证证书格式 是由ISO IEC ITUX 509标准中定义的格式 X 509采用一个认证机构对实体的身份和公共密钥进行认证 并对包括实体 公钥 名字 有效期等信息的证书进行数字签名 通讯实体可以使用目录服务检索对方的公钥 通过检验认证机构的签名 可以判断实体公钥的真实性 为了简化管理 X 509提供了分层鉴别服务模型 在这种层次下 可以有多层次的CA 构成树状的证书结构 4 2信息安全技术 4 2 3认证与授权技术 数字证书 表4 6X 509V3证书各部分的含义 4 2信息安全技术 4 2 3认证与授权技术 CA认证中心 电子商务安全认证体系的核心机构就是CA认证中心 CA CertificationAuthority 证书授权 认证中心作为受信任的第三方 需要承担网上安全电子交易的认证服务 主要负责产生 分配并管理用户的数字证书 它对电子商务活动中的数据加密 数字签名 防抵赖 数据完整性以及身份鉴别所需的密钥和认证实施统一的集中化管理 支持电子商务的参与者在网络环境下建立和维护平等的信任关系 保证网上在线交易的安全 建立CA的目的是加强数字证书和密钥的管理工作 增强网上交易各方的相互责任 提高网上购物和网上交易的安全 控制交易的风险 从而推动电子商务的发展 4 2信息安全技术 4 2 3认证与授权技术 CA的四大功能 1 受理请求 核发证书 2 管理证书 3 搜索证书 4 验证证书 4 2信息安全技术 4 2信息安全技术 4 2 4网络病毒 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 随着网络和Internet的发展 一个传播范围更广 危害更大的新型病毒应运而生 这就是网络病毒 即在网络环境下流行的病毒 网络病毒都是充分利用了网络的缺陷来设计和传播的 这就是网络病毒的共性 4 2信息安全技术 4 2 4网络病毒 网络病毒的主要特征 1 当数据沿网络从一台计算机传往另一台计算机时 它就像拼图一样被分解为小的信息包或片断 然后在到达目的地后重组为一个完整文件 2 网络病毒使用诸如TCP UDP等网络端口 并能够利用安全漏洞来复制传播和进行感染 3 与Sobig或MyDoom等群发邮件型的病毒不同 网络病毒并不需要用户点击电子邮件附件 4 2信息安全技术 4 2 4网络病毒 网络防病毒技术 1 预防病毒技术 2 检测病毒技术 3 消毒技术 网络防病毒攻击网络结构如图所示 图4 24网络防病毒攻击网络架构图 4 2信息安全技术 4 2信息安全技术 4 2 5信息安全架构 信息安全涉及到信息的保密性 Confidentiality 完整性 Integrity 可用性 Availability 综合起来说 就是要保障电子信息的有效性 保密性就是对抗对手的被动攻击 保证信息不泄漏给未经授权的人 完整性就是对抗对手主动攻击 防止信息被未经授权的篡改 可用性就是保证信息及信息系统确实为授权使用者所用 4 2信息安全技术 4 2 4信息安全架构 信息安全管理体系 信息安全管理体系 InformationSecuritryManagementSystems 是组织在整体或特定范围内建立信息安全方针和目标 以及完成这些目标所用方法的体系 它是直接管理活动的结果 表示成方针 原则 目标 方法 过程 核查表 Checklists 等要素的集合 4 2信息安全技术 4 2 4信息安全架构 信息安全架构 信息安全牵涉到方方面面的问题 是一个极其复杂的系统工程 要实施一个完整信息安全管理体系 至少应包括三类措施 一是社会的法律政策 企业的规章制度以及信息安全教育等外部软环境 二是信息安全的技术的措施 如防火墙技术 网络防毒 信息加密存储通信 身份认证 授权等 三是审计和管理措施 4 2信息安全技术 4 2 4信息安全架构 图4 25信息安全架构如图 4 2信息安全技术 4 2 4信息安全架构 图4 26IBM信息安全架构规划图 4 2信息安全技术 4 3实训指导 实训二VPN设置 实训一基于ISAServer2004构建软件防火墙 一实验条件 硬件环境CPU 至少550MHz 最多支持四个CPU 内存 至少256MB 硬盘空间 150MB以上 不含缓存使用的磁盘空间 实训一基于ISAServer2004构建软件防火墙 软件环境操作系统 WindowsServer 2003或Windows 2000Server操作系统 网络环境网络适配器 必须为连接到ISAServer2004服务器的每个网络单独准备一个网络适配器 至少需要一个网络适配器 二实验内容 实训一基于ISAServer2004构建软件防火墙 在域环境中配置ISA防火墙实现以下三条策略 1 允许内部网络客户访问外部网络 Internet 2 禁止内部用户访问某些网站 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 1 运行ISAServer2004安装光盘根目录下的ISAAutorun exe开始ISAServer2004的安装 如图4 27所示 2 点击 安装ISAServer2004 出现安装界面 如图4 28所示 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 3 点击 下一步 在授权画面上选择 我接受许可协议中的条款 然后点击 下一步 在客户信息页 输入个人信息和产品序列号 点击 下一步 继续 在安装类型页 如果你想改变ISAServer的默认安装选项 可以点击 自定义 然后点击 下一步 如图4 29所示 图4 29ISAserver2004安装界面3 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 4 在 自定义 页你可以选择安装的组件 默认情况下 会安装防火墙服务器和ISA服务器管理 而防火墙客户端安装共享和用于控制垃圾邮件和邮件附件的消息筛选程序不会安装 如果你想安装消息筛选程序 需要先在ISAServer2004服务器上安装IIS6 0SMTP服务 点击 下一步 继续 如图4 30所示 图4 30ISAserver2004安装界面4 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 5 添加内部网络 内部网络和ISAServer2000中使用的LAT已经大大不同了 在ISAServer2004中 内部网络定义为ISAServer2004必须进行数据通信的信任的网络 防火墙的系统策略会自动允许ISAServer2004到内部网络的部分通信 如图4 31所示 图4 31添加内容网络 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 6 在地址添加对话框中 点击 选择网卡 出现 选择网卡 对话框 如图4 32所示 图4 32选择网卡 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 7 在内部网络地址对话框中点击 确定 如图4 33所示 图4 33设置内部网络地址 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 8 完成内部网络页的设置 如图4 34所示 图4 34设置内部网络地址 三实验步骤 实训一基于ISAServer2004构建软件防火墙 1 ISAServer2004安装 9 在 可以安装程序了 页点击安装 如图4 35所示 图4 35设置完成 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 1 查看ISAServer2004默认的访问策略 如图4 36所示 图4 36查看ISAServer2004默认策略 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 2 以下为该ISAServer2004的内部策略 如图4 37所示 图4 37ISAServer2004默认策略 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 3 新建一条访问规则 在防火墙策略上点击右键 指向 新建 然后点击 访问规则 如图4 38所示 图4 38新建访问规则 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 4 在新建访问规则向导页的访问规则名称文本框中 输入 访问规则 允许访问 然后点击 下一步 然后在 规则操作 页 选择 允许 点击 下一步 如图4 39 图4 40所示 图4 39新建访问规则向导1 图4 40新建访问规则向导2 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 5 在协议页 选择 所有出站通讯 点击 下一步 如图4 41所示 图4 41选择出站通讯 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 6 在访问规则源页 点击 添加 在 添加网络实体 对话框 双击 内部 然后点击 关闭 点击 下一步 如图4 42所示 图4 42添加网络实体1 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 7 在访问规则目标页 点击 添加 在 添加网络实体 对话框 双击 外部 然后点击 关闭 点击 下一步 如图4 43所示 图4 43添加网络实体2 三实验步骤 实训一基于ISAServer2004构建软件防火墙 2 允许内部网络客户访问外部网络 Internet 8 在用户集页 接受默认的所有用户 点击 下一步 如图4 44所示 图4 44添加网络实体3 9 在完成新建访问规则向导页 点击 完成 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 1 首先在防火墙策略右边的工具箱里面点开 网络对象 然后右击 计算机集 然后选择 新建计算机集 如图4 45所示 图4 45新建计算机集 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 2 在 新建计算机集规则元素 对话框上点击 添加 然后选择 计算机 如图4 46所示 图4 46添加计算机 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 3 在 添加计算机规则元素 对话框 输入该计算机名字和IP地址 点击 确定 如图4 47所示 图4 47计算机网络设置 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 4 建立好计算机群 如图4 48所示 图4 48建立计算机集 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 5 为需要为禁止用户访问的网站建立一个域名集 以sohu网站为例 同样在 网络对象 中 右击 域名集 选择 新建域名集 如图4 49所示 图4 49设置禁止访问的域名 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 6 在 新建域名集策略元素 对话框中 点一次 新建 按钮 然后把域名修改为 然后点击 确定 如图4 50所示 图4 50设置新建域名集策略 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 7 在访问规则源页 点击 添加 然后在 添加网络实体 对话框中展开计算机集 双击 被禁用户 然后点击 关闭 然后在 访问规则源 页点击 下一步 如图4 51所示 图4 51设置被禁用户 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 8 在访问规则目标页 点击 添加 然后在 添加网络实体 对话框中展开域名集 双击 sohu 然后点击 关闭 然后在 访问规则目标 页点击 下一步 如图4 52所示 图4 52设置被禁域名 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 图4 52设置被禁域名 三实验步骤 实训一基于ISAServer2004构建软件防火墙 3 禁止内部用户访问某些网站 9 在用户集页 保留默认的所有用户 点击 下一步 在正在完成新建访问规则向导页 点击 完成 最后 点击 应用 以保存修改和更新防火墙策略 完成的策略图4 53所示 图4 53防火墙策略图 一实验条件 硬件环境CPU 至少550MHz 最多支持四个CPU 内存 至少256MB 硬盘空间 150MB以上 不含缓存使用的磁盘空间 实训二VPN设置 软件环境操作系统 WindowsServer 2003或Windows 2000Server操作系统 网络环境网络适配器 必须为连接到ISAServer2004服务器的每个网络单独准备一个网络适配器 至少需要一个网络适配器 二实验内容 实训二VPN设置 1 启用VPN服务器 2 配置VPN服务器 3 设置访问规则 禁止外部用户访问某台主机 4 客户端建立VPN连接 三实验步骤 1 启用VPN服务器 1 打开ISAServer2004管理控制台并且展开服务器 点击虚拟专用网络 VPN 然后在右边的任务面板上点击 启用VPN客户端访问 如图4 55所示 图4 55启用VPN服务器 实训二VPN设置 三实验步骤 1 启用VPN服务器 2 然后点击 配置VPN客户端访问 如图4 56所示 图4 56配置VPN客户访问 实训二VPN设置 三实验步骤 2 配置VPN服务器 1 配置远程访问属性 在任务面板 点击选择访问网络链接 如图4 57所示 图4 57配置远程访问属性 实训二VPN设置 三实验步骤 2 配置VPN服务器 2 在弹出的 虚拟专用网络 VPN 属性 中 接受默认的 外部 设置 如图4 58所示 图4 58配置虚拟网络 VPN 属性 实训二VPN设置 三实验步骤 2 配置VPN服务器 3 点击 地址分配 标签 然后选择 静态地址池 点击 添加 然后在IP地址范围属性中输入你想给VPN网络使用的IP地址范围 注意 这个地址范围一定不能给已经定义了的内部网络和DMZ网络等重复 如图4 59所示 图4 59配置虚拟网络 VPN 地址范围 实训二VPN设置 三实验步骤 2 配置VPN服务器 4 选择身份验证方式 如图4 60所示 图4 60选择身份验证方式 实训二VPN设置 三实验步骤 2 配置VPN服务器 5 此时 VPN服务器已经配置好了 点击 应用 以保存修改和更新防火墙策略 然后重启计算机 6 给予特定用户拨入权限 以administrator为例 如图4 61所示 图4 61给予特定用户拨入权限 实训二VPN设置 三实验步骤 2 配置VPN服务器 7 在弹出的 Administrator属性 对话框中 点击 拨入 然后选择 允许访问 点击 确定 关闭 计算机管理 对话框 如图4 62所示 图4 62Administrator属性设置 实训二VPN设置 三实验步骤 3 设置访问规则 禁止外部用户访问内部某台主机 1 新建一个计算机集 命名为 主机 键入禁止外部用户访问的内部某台主机的ip地址 点击 完成 如图4 63所示 图4 63新建计算机集 实训二VPN设置 三实验步骤 3 设置访问规则 禁止外部用户访问内部某台主机 2 新建访问规则 禁止外部用户访问内部某台主机 如图4 64所示 图4 64新建访问规则 实训二VPN设置 三实验步骤 3 设置访问规则 禁止外部用户访问内部某台主机 3 在访问规则源页双击选择 外部 点击 关闭 点击 下一步 如图4 65所示 图4 65设置访问源 实训二VPN设置 三实验步骤 3 设置访问规则 禁止外部用户访问内部某台主机 4 在规则操作一项中选择 拒绝 如图4 66所示 图4 66设置规则操作 实训二VPN设置 三实验步骤 3 设置访问规则 禁止外部用户访问内部某台主机 5 在访问规则源页双击选择刚才新建的计算机集里的 主机 点击 关闭 点击 下一步 如图4 67所示 实训二VPN设置 图4 67设置访问规则目标 三实验步骤 3 设置访问规则 禁止外部用户访问内部某台主机 6 点击 完成 如图4 68所示 实训二VPN设置 图4 68设置访问完成 三实验步骤 4 从客户端建立VPN连接 1 新建一条访问规则 命名为 内部网络与VPN客户的互访 如图4 69所示 实训二VPN设置 图4 69新建访问策略 三实验步骤 4 从客户端建立VPN连接 2 打开网络连接文件夹 选择 新建连接向导 在 欢迎使用新建连接向导 页点击 下一步 在网络连接类型页选择 连接到我的工作场所的网络 点击 下一步 如图4 70所示 实训二VPN设置 图4 70新建连接 三实验步骤 4 从客户端建立VPN连接 3 在网络连接页 选择 虚拟专用网络连接 然后点击 下一步 如图4 71所示 实训二VPN设置 图4 71选择虚拟专用网络 三实验步骤 4 从客户端建立VPN连接 实训二VPN设置 4 在VPN服务器选择页 输入ISA服务器的外部IP地址10 10 41 184 点击 下一步 如图4 72所示 图4 72选择虚拟专用网络 三实验步骤 4 从客户端建立VPN连接 实训二VPN设置 5 在 正在完成新建连接向导 页 选择 在我的桌面上添加一个到此连接的快捷方式 然后点击 完成 如图4 73所示 图4 73完成新建连接向导 三实验步骤 4 从客户端建立VPN连接 实训二VPN设置 6 在弹出的连接对话框中 输入用户名和密码 然后点击 连接 如图4 74所示 图4 74连接VPN