1.需求簡述
默認拒絕策略,防止意外的網絡攻擊
只允許內網用戶在上班時間訪問Internet上知名的www/ftp/mail/流媒體/dns/telnet/ssh服務
拒絕顯示www.sina.com上的圖片
拒絕用戶從www.newhua.com上下載文件
允許員工在下班後使用QQ\ICQ\MSN等即時通訊工具
2.應用層網關
無法用ACL實現,因爲ACL只能控制源地址、目標地址、協議類型等,故使用應用層防火牆,不只限於網絡層與傳輸層。
應用層網關也稱爲代理服務器
特點:
所有的連接都通過防火牆,防火牆作爲網關
在應用層上實現
可以監視包的內容
可以實現基於用戶的認證
所有的應用需要單獨實現
可以提供理想的日誌功能
非常安全,但是開銷比較大
3.ISA簡介
Internet Security&Acceleration的縮寫
配置ISA訪問策略實現安全訪問Internet
在ISA中有三個常用的名詞:協議要素、規則、訪問策略
它們之間的關係是:各種要素組成規則,多條規則形成了一個訪問策略
訪問策略的組件:
4.ISA在企業中的應用
1)中小型企業網絡中ISA的部署
2)大中型企業網絡中ISA的部署
多臺ISA Server計算機策略必須保持一致
3)ISA Server網絡拓撲案例
將ISA Server計算機做成陣列,爲之配置存儲服務器,配置信息由一臺服務器保管,負責將相應的配置策略信息下發到ISA陣列中