軟體式防火牆的百變神通
ISA Server 2006 實用管理技巧Top6

2009-05-05
ISA Server 2006是一個強大的軟體式防火牆解決方案,但是如果不懂得善用其特有的優勢,它也將處於無用武之地。有鑑於此,本文將分享六項最常見以及最為實用的ISA Server 2006基礎管理技巧。
為了讓企業網路中的使用者對外連線的安全性更高,並且在IT管理上更具彈性,目前有許多企業已經選擇導入Microsoft ISA Server 2006解決方案。無論是將其部署在邊際的網路上,還是作為第二層的防火牆,甚至於僅採用單張網路卡的架構方式來作為一部Web Proxy主機,都可以在不同的安全層面上為企業的網路流量安全進行把關。

本文將協助剛接觸ISA Server不久的企業IT人員釐清一些安全管理技巧上的問題,並且藉由這些簡單的管理方法,來落實企業在網際網路存取的安全政策。

三種用戶端的介紹與部署指引

Q 對於初次使用ISA Server 2006的IT人員來說,由於大部分都是熟悉過去硬體式防火牆的管理模式,因此對於ISA Server 2006所提供的三種用戶端連線方式與使用時機始終搞不清楚,可否講解它所提供的三種用戶端,並說明其安裝設定的方法?

A 無論是舊版的ISA Server 2000、ISA Server 2004或是新版的ISA Server 2006,都支援了三種用戶端的部署設定,分別為SecureNAT Client、Firewall Client和Web Proxy Client。許多初學者都有共同的疑問,到底在什麼狀況下該使用哪一種用戶端?因此以下就先說明這三種用戶端類型的使用時機。

SecureNAT Client

初步安裝好ISA Server 2006之後,用戶端即可立即透過此閘道連線設定,開始對外連線通訊。

就如同坊間許多的硬體式防火牆設定一樣,不過前提是管理者也需要開放相關的對外存取權限。此外,對於用戶端的連線控管機制,只能採用IP位址的篩選方式。

Firewall Client

既然已經有預設啟用的SecureNAT Client連線方式,為何還需要安裝防火牆用戶端程式?其最主要的差異在於,Winsock通訊程式的連線篩選,以及傳遞使用者的身分資訊到ISA Server主機,藉以識別用戶端使用者的存取權限,這是SecureNAT用戶端所無法做到的。

因此當管理者決定針對某些通訊協定,來限制特定使用者的連線存取時,這些被允許存取的使用者電腦上就必須安裝防火牆用戶端程式。

舉例來說,由於管理者在防火牆存取原則的設定中,除了設定Boss使用者之外,其他任何使用者都無法透過Outlook以SMTP與POP3通訊協定,對外部的信箱進行收發信(例如Yahoo),管理者就必須在公司長官的電腦上安裝防火牆用戶端程式,否則連長官也無法正常地收發外面的信件。請注意!防火牆用戶端與ISA Server主機之間的資訊傳遞是透過1745通訊埠。

Web Proxy Client

想要讓企業內部的使用者,只能夠透過瀏覽器進行對外的連結通訊?抑或想讓上網連線的速度效能更好?以上這些需求,都可以透過Web Proxy的用戶端來達成,因為它除了可以控管使用者的連線存取之外,還能夠結合快取的服務機制,讓公司上網連線的速度大幅提升。

關於ISA Server三種用戶端的主要差異點與使用時機,以上已經概略介紹完畢,讀者可以再參考表1中的比較說明。接著就來實際了解這三種用戶端的安裝設定說明。

SecureNAT連線設定說明

在ISA Server 2006中的IP路由功能預設是啟用的,管理者可以點選「防火牆原則」→「工作」頁面中的「定義IP喜好設定」選項,然後切換到〔IP路由〕活頁標籤內,即可看到「啟用IP路由」選項處於勾選狀態,如下圖所示。

▲確認啟用IP路由

確認ISA Server 2006主機上的IP路由選項已經勾選之後,接著進行用戶端每一部電腦內的TCP/IP設定,將其預設閘道IP位址的欄位,設定為ISA Server內網卡的IP位址即可。

安裝Web Proxy用戶端

ISA Server 2006中的Web Proxy服務預設也是啟用的,管理者可以切換到「設定/網路」頁面內,然後點選「內部」選項。接著,切換至〔網頁Proxy〕活頁標籤中,勾選「啟用網頁Proxy用戶端」即可,如下頁圖示。此外,若想使用更安全的加密連線方式,可以一併勾選「啟用SSL」選項,不過前提是這部伺服器必須事先向內部憑證中心申請安裝CA的伺服器憑證。

▲啟用Web Proxy服務

一旦確認啟用Web Proxy的服務選項之後,接下來在用戶端電腦上的瀏覽器設定中,只要將ISA Server內網卡的IP位址或電腦名稱以及預設8080通訊埠,填入Proxy伺服器的設定選項中即可。

如果想讓用戶端電腦只能夠透過瀏覽器的連線方式進行對外的連線通訊,那麼用戶端網卡中的TCP/IP內容並不需要設定閘道IP位址。

安裝防火牆用戶端

關於防火牆用戶端程式的部署,可以將安裝程式放在網路的共用資料夾,好讓用戶端進行連線安裝。也可以透過AD群組原則中的軟體派送功能,針對MS_FWC.msi檔案進行指派。此外,也可以考慮採用類似SCCM 2007之類的軟體派送功能,來部署MS_FWC.msi或setup.exe。

然後,指定防火牆用戶端程式的安裝路徑,預設會安裝在「\Program Files\Microsoft Firewall Client 2006\」路徑下,完成之後按下〔下一步〕按鈕。

▲設定連線的ISA Server

如上圖所示,接著手動指定所要連結的ISA Server主機,或是採用預設值以自動偵測的方式來連結ISA Server。想要讓自動偵測的方式能夠順利連線,只要確認內部用戶端對於ISA Server主機名稱的解析沒有問題即可。完成之後,按下〔下一步〕按鈕繼續完成安裝。不過,請注意!勿將防火牆用戶端程式安裝在ISA Server 2006主機上。

安裝好防火牆用戶端程式之後,接著點選桌面右下角的防火牆用戶端圖示。在〔一般〕活頁標籤內,使用者可以設定防火牆用戶端的連線組態,並且測試與ISA Server之間的連線狀況。

至於〔網頁瀏覽器〕活頁標籤內的設定預設是「啟用網頁瀏覽器自動組態」,當然也可以按下〔立即設定〕按鈕來同步瀏覽器Proxy的組態設定。

由於新版的ISA Server 2006對於防火牆用戶端的連線方式,是採用已加密的封包傳遞方式來彼此通訊,因此網路安全管理更有其必要。可是如果想讓舊版ISA Server 2000的防火牆用戶端,也能夠與ISA Server 2006連線,則必須在ISA Server 2006主控台的「設定」頁面的〔一般〕活頁標籤內點選「定義防火牆用戶端設定值」,然後勾選「允許未加密的防火牆用戶端的連線」選項。

快速設定每一部電腦的Web Proxy用戶端連線

Q 針對ISA Server 2006中Web Proxy用戶端內的瀏覽器設定,如果只有一兩部電腦,管理者應該可以輕易處理,但如果有上百台以上的用戶端電腦需要設定且必須到每一部用戶端電腦去做設定,系統管理人員肯定會累壞了,請問有什麼良好的解決方案呢?

A 從ISA Server 2004開始,便針對這項管理問題提供了一項自動探索的連線機制來加以解決。接著,就來看看Web Proxy用戶端的自動偵測設定說明。

▲啟用自動探索設定

先點選「設定/網路」頁面中的「內部」選項,接著如上圖所示切換到〔自動探索〕活頁標籤內,勾選「發布自動探索資訊」選項,並將預設80連接埠的欄位值,修改為8080。接下來,講解內部網路採用靜態IP位址配置方式的設定說明。

對於公司內部網路採用靜態IP位址配置方式的環境,只需要在內部的DNS主機設定中,新增一筆WPAD的別名紀錄指向ISA Server主機即可(須大寫),至於使用動態IP位址的配置環境(DHCP),則必須額外設定有DHCP Server的組態。

在開啟DHCP Server的主控台之後,點選目前的伺服器圖示,然後按下滑鼠右鍵,並點選快速選單中的【預先定義的選項和值】,接著按下〔新增〕按鈕,加入一筆「名稱=WPAD,代碼=252,類型=字串,描述=http://ISA Server主機完整名稱/wpad.dat」的設定。

隨後,同樣在DHCP的主控台中點選「領域」選項,然後按下滑鼠右鍵,選擇快速選單中的【設定】選項。接著,在〔一般〕活頁標籤內確認「252 WPAD」選項已經選取即可。

▲用戶端自動偵測設定

如上圖所示,完成Web Proxy的自動偵測部署設定之後,用戶端瀏覽器中的Proxy伺服器設定,只要採用系統預設值「自動偵測設定」即可。

除了採用ISA Server 2006所提供的「自動探索」設定來部署Web Proxy的用戶端之外,想必有些聰明的管理者會想到使用Active Directory中的群組原則,來統一管理有關於用戶端瀏覽器的Proxy設定,這個方法的確也是一個很好的管理方式,不過它與上述中的WPAD部署方式有些不同:

■WPAD對於不支援或未登入AD網域的用戶端仍可以使用。

■企業版ISA Server所提供的分散式快取(CARP)服務架構環境內,能夠提供Web Proxy用戶端自動偵測容錯的運作機制。

對外連線存取原則的安全控管技巧

Q 我是第一次接觸ISA Server 2006這種以軟體式架構為主的防火牆系統,因此想要了解它控管網域使用者上網的管理技巧,以及其正確管理對外連線的方法。

A 對於許多防火牆的管理人員來說,可能經常會為了方便性與簡易性,而直接將系統預設的對外通訊埠全面開放,如此可能導致頻寬的壅塞,以及讓木馬程式對外通訊暢通無阻,因此在實務上最好只開放特定的通訊埠給特定需求的使用者或用戶端電腦,甚至只允許在特定的排程時間內進行特定的連線。接下來就一同來看看新增自訂防火牆原則的相關說明。

首先,在主功能選單內選擇「防火牆原則」,接著點選右邊「工作」頁面中的「建立新存取原則」連結,然後在存取規則名稱欄位內輸入自訂的規則名稱(可以輸入中文),最好在此欄位中輸入一個具有意義的識別名稱,以方便於後續的連線監控與管理,完成輸入後按下〔下一步〕按鈕繼續。

接下來,選擇此規則所要套用的處裡動作,可以選擇「允許」或「拒絕」,筆者的習慣是皆選擇「允許」後,再將此允許的原則定義在後面的設定中,套用給指定的用戶端電腦或使用者即可。

▲設定套用的通訊協定

如上圖所示,在「通訊協定」設定頁面中預設選擇【所有的輸出流量】,如果只想要開放特定的對外通訊協定(例如HTTP、DNS),則必須選擇【選取的通訊協定】,接著按一下〔新增〕按鈕即可。當然,也可以選擇只開放所選取以外的所有輸出流量。

如果在上一個步驟中選擇「選取的通訊協定」並按下〔新增〕按鈕,此時系統便會帶出「新增通訊協定」管理視窗,在這裡系統已經預設許多已知的通訊協定,並且分類處理以供管理者選擇,一般來說,許多常見的通訊埠定義這裡幾乎都找得到,萬一找不到,可按下〔新增〕按鈕自訂加入。

在前兩個操作步驟的頁面中,也可以按下〔連接埠〕按鈕來設定來源連接埠的通訊範圍,預設選擇的是「允許來自任何允許的來源連接埠的流量」,當然也可以限制它只使用指定的連接埠範圍。

接著,在「存取規則來源」頁面中按下〔新增〕按鈕,隨後會出現「新增網路實體」視窗,在此同樣會有一些系統預設已經定義好的網路實體設定項目,如果想要直接指定內部網路的所有用戶端來作為存取規則的來源,只要直接展開「網路」選項後選擇「內部」即可。所謂的內部,即是先前在安裝過程中所設定的內部IP區段範圍,這個設定值內容是可以修改的。此外,常見的還有選取自訂的「位址範圍」(硬體式防火牆通常採用此種方式),請在選擇「位址範圍」項目後,點選選單中的【新增】進行定義。

設定好存取規則的來源之後,接下來設定「存取規則目的地」,如同上一個操作步驟,請按下〔新增〕,接著直接選擇系統預設的「網路」→「外部」選項。一般來說,「外部」項目是最常用來作為目的地的指定,因為通常也會開放的,指的就是網際網路的存取,其次可能會指定針對企業網路中的DMZ區段,或是其他遠端的VPN網路。

▲選取欲套用規則的使用者

如上圖所示,對於套用此存取規則的來源,除了選取指定的內部網路與位址範圍之外,還可以選擇所要套用的使用者,預設值為「所有使用者」,也可以按下〔新增〕按鈕來自訂使用者的定義。系統預設定義好的使用者項目,還包括「系統及網路服務」(給應用程式間的通訊使用)和「所有已驗證的使用者」。

在「新增使用者」視窗中按下〔新增〕之後,便會出現此「新增使用者組精靈」頁面,在此可以按下〔新增〕按鈕選取使用者的類型,總共包含「Windows」、「Radius」、「LDAP」和「SecurID」四種類型,其中Radius與LDAP都必須預先在「設定/一般」頁面中點選「指定RADIUS及LDAP伺服器」進行相關組態配置。在此選用「Windows」類型,也就是直接使用Active Directory的使用者驗證。

選擇採用「Windows」類型的使用者驗證之後,接著點選「位置」,先選擇所要驗證的來源網域,然後選取指定的使用者或群組,就完成使用者身分的存取控管。

管制使用者查看網頁內容與上網時間

Q 我只針對使用者群組的上網權限設定允許與拒絕,但現在我想管制特定使用者群組的上網時間,以及在網頁上所能存取的內容資訊,請問這在ISA Server 2006中如何做到呢?

A 針對這項需求,只要選取所建立過的存取原則項目(也可以新增),接著按下〔工作〕活頁標籤中的「編輯選取的規則」,然後如下頁圖示在開啟的視窗中切換到〔內容類型〕活頁標籤,並點選「選擇的內容類型」,除了音訊、視訊、影像項目之外其他全部選取,完成設定之後,接下來查看一下若用戶端的使用者正在瀏覽情色網站,會有什麼樣的結果。

▲HTTP內容類型設定

如下圖所示,由於管理者已經透過ISA Server的HTTP內容類型的過濾機制,將對外網站的影音以及圖片的顯示功能剔除了,因此用戶端使用者無法瀏覽色情網站。建議管理者可以將這樣的管理機制套用在特定的使用者或用戶端電腦,以及一些惡名遠播的色情網站上,讓使用者明白上班時間不能連結不雅的網站。

▲限制網頁內容類型的顯示

某些公司需要比較嚴謹的上網時段管制功能,如下圖所示,此時可以透過〔排程〕活頁標籤內的設定,讓特定的使用者、群組、部門、電腦,只能夠在特定的時間內上網,一來可分開上網的流量頻寬問題,二來讓某些不應該在上班時間上網的使用者,無法順利連線到網路上。在ISA Server 2006的預設排程選項中,提供了「永遠」、「工作時間」和「周末」選項,除此之外,也可以按下〔新增〕按鈕,自訂各類的排程時間。

▲上網排程規則設定

針對內外連線時的HTTP封包執行進階過濾管制

Q 為了管制使用者對外網站連線的存取安全,並讓已發布在Internet的公司網站更加安全,我必須對HTTP封包進行進階過濾管制,請問這在ISA Server的管理中如何達成呢?

A ISA Server 2006特別加強了HTTP連線的規則存取過濾能力,其次是FTP的檔案上傳過濾限制。至於ISA Server 2006對於HTTP傳輸中的封包,能夠過濾的內容包含了標頭長度的設限、要求裝載長度的設限、URL與查詢長度的設限、確認正規化與封鎖高位元字元、封鎖可執行Windows命令的封包通過、封鎖指定的HTTP連線方法、封鎖執行或下載指定的副檔名檔案、封鎖指定的傳送標頭或回應標頭的內容,以及封鎖包含的簽章內容。

看完上述關於HTTP封包過濾原則的設定項目說明之後,接下來看看它的設定範例。可以直接編輯先前建立好的網際網路存取原則,或自行再建立一個其他的對外存取原則。在開啟存取原則內容之後,切換到「通訊協定」頁面,然後按下〔篩選〕按鈕,並選擇「設定HTTP」。

▲HTTP封包過濾一般設定

如上圖所示,在〔一般〕活頁標籤內,可以設定標頭長度的上限、裝載長度的上限、URL長度上限、查詢長度、確認正規化與封鎖高位元字元,以及封鎖可執行Windows命令的封包通過。以下分別說明這些設定所代表的意義:

■標頭長度的上限:此值的設定越小,越能有效防止一些導致緩衝區溢位的駭客程式的攻擊,不過這裡不建議設定小於10000位元組的大小,因為它可能會導致一些合法的應用程式無法存取。

■裝載長度的上限:有效地設定此值,可防止企業內部所發布的網站,遭受透過HTTP中的POST語法來傳送大量的惡意封包,而導致網站系統的負載過大。

■URL長度上限:設定超過此設限的網址長度將被封鎖。

■查詢長度上限:過去有一些蠕蟲程式就是透過傳送大量的GET要求給受害的目的地網站,來癱瘓該網站的系統資源。

■確認正規化與封鎖高位元字元:對於一些連線要求的封包,如果含有非正規化的字元與高位元的內容,可以在此加以封鎖,不過必須注意的是,如果網站是全中文化的,那麼封鎖高位元的設定將會導致該網頁無法正常顯示,例如中文版Exchange Server 2003 OWA的發布就是如此。

■封鎖可執行Windows命令的封包通過:最早以前的紅色警戒病毒就是透過傳送帶有執行Windows命令(CMD/C)的封包給目的地的IIS網站,來入侵該網站的作業系統。

對於一些在資訊安全管理政策上較為嚴謹的企業來說,可能不希望使用者在工作時間內連結到別的網站去張貼資料(可能是公司機密),此時可以在〔方法〕活頁標籤內設定所要封鎖的HTTP方法,這些方法包含POST、GET和HEAD。

如果想要防範使用者下載或執行特定可能內含病毒的程式,則可以透過〔副檔名〕活頁標籤中的封鎖設定,來定義一些禁止執行或下載的副檔名,例如*.exe、*.vbs、*.js、*.com等等。當管理者設定好封鎖特定的副檔名之後,用戶端只要上網執行封鎖規則內的檔案,便會出現此要求的HTTP封包已被封鎖的相關訊息。在「標頭」封鎖的活頁標籤設定中,管理者可以新增所要封鎖的「要求標頭」或「回應標頭」的內容。

如何有效封鎖公用IM程式的連線

Q 公司由於目前已經導入Office Communications Server 2007,因此對於員工使用諸如MSN、Yahoo Messenger的公用IM程式都是全面禁止,請問ISA Server 2006在這方面是否有更聰明的管控方法?

A 由於ISA Server 2006是隸屬於應用層的防火牆系統,因此它可以透過HTTP封包內容的篩選功能,來達成這一項管制需求。請在開啟所建立的存取原則項目內容之後,切換到「通訊協定」頁面中按下〔篩選〕按鈕,隨後選擇「設定HTTP」,接著切換到〔簽章〕活頁標籤。

如右上圖所示,接下來是關於〔簽章〕活頁標籤內的設定,簽章內容的定義,可以用來封鎖一些特定的網路應用程式,範例中筆者封鎖Windows Messenger程式的對外通訊。

這裡必須在「搜尋範圍」的下拉選單中點選【要求標頭】,然後在HTTP標頭的欄位中輸入「User-Agent」,最後在「簽章」欄位內輸入「MSMSGS」字串即可

▲HTTP封包過濾簽章設定

完成封鎖Windows Messenger的對外通訊之後,接下來嘗試在內部的用戶端電腦中開啟Windows Messenger進行對MSN網站的登入連線,將會出現無法連線的相關錯誤訊息。

封鎖「簽章」內容的功能雖然非常好用,可是如何得知每一種透過HTTP進行通訊的應用程式的簽章內容呢?可以透過相關的封包監聽程式來擷取它的簽章內容,如果沒有,可以直接使用Windows 2000 Server、Windows Server 2003內建的「網路監視器」。

關於網路監視器的安裝,可以執行「控制台」中的「新增/移除程式」,在選擇「Management Monitor Tools」選項後,勾選「網路監視工具」項目即可。此版本的網路監視器,只能夠針對出入本機的網路封包的流量進行監控。

開啟「網路監視工具」之後,按下鍵盤上的按鍵,或者點選「擷取」選單下的【篩選】,接著在「位址的配對」項目中按下〔位址〕按鈕,然後在「位址運算式」頁面內按下〔編輯位址〕按鈕。

如下頁圖所示,在「位址資料庫」頁面中按下〔新增〕按鈕,然後在「位址資訊」視窗中輸入所要監控與本機ISA Server連線的來源用戶端電腦IP,其中名稱與註解欄位內的資訊可以任意輸入,輸入完畢,按下〔確定〕按鈕繼續。

▲新增欲監聽的內部對像電腦

接下來應該會發現,在「位址的配對」選項下多了一個剛剛新增進來的監測對象,也就是ISA Server本機與指定內部用戶端間的網路流量。

然後,點選「擷取」視窗下的〔開始〕(或按下按鍵),網路監視器便會開始進行網路封包的擷取。這時候可以到剛剛指定的用戶端電腦前使用MSN或Windows Messenger來完成對外的連線登入,在這個過程中,封包也將遭受到監控而記錄下來,此時按下按鍵就可以停止封包的監視工作。

▲擷取到所要監聽的封包資訊

接下來,如上圖所示只要選取所要查看的封包項目內容時,就會發現在封包內容的資訊中出現了簽章(Signature)資訊的內容「User-Agent:MSMGS」。

結語

除了以自力更生的方式來監視取得簽章資訊之外,目前在Microsoft所發布的技術文件中(http://technet.microsoft.com/en-us/library/cc302520.aspx),也可以查閱到一些較為知名的通訊程式簽章內容,讓管理者可以來直接進行設定。

不過必須注意的是,這些應用程式可能會隨著版本的更新,而變更原先的簽章內容資訊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!