组建ISA网络,提高内外网安全性

最近，笔者帮本地一建筑企业进行了局域网改造，现把相关过程还原出来，希望对大家有所帮助。

　　该企业改造前的网络拓扑见图1，网络中的所有服务器直接连接到核心交换机，工作站根据职能部门分成3个子网，通过接入层交换机接到核心交换机。

 一、说明

　　1.改造原因：由于该企业没有专职的网络管理人员，服务器疏于管理往往不能及时打补丁，系统存在严重漏洞。服务器经常遭受外部或者来自内部客户端的攻击，造成企业信息的泄露，服务器瘫痪。

　　2.改造要求：

　　(1).加固服务器的安全性，进行UAC控制。

　　(2).尽量不对当前的网络结构进行大的调整，实现网络的平滑改造。

　　(4).不改变员工的使用体验。

　　二、分析

　　1.诊断：从图1的拓扑可以看到，该企业局域网通过“路由器”与Internet连接，可以阻止Internet的用户访问“服务器”，从而对服务器提供了一定的保护能力。但对于局域网来说，所有的工作站可以“直接”访问服务器，如果服务器没有及时打补丁或者存在某些漏洞，很容易被内网上的工作站攻击，这种攻击有时候并不是由使用工作站的用户发起的，而可能是这些工作站上感染了某些病毒或者木马而“自动”形成的到内网服务器的攻击。另外，在大多数情况下，使用“路由器”提供到Internet的访问，性能与功能有限。

　　2.方案：基于以上的分析，笔者决定在局域网中用ISA Server 2006部署一台ISA服务器来代替原来的“路由器”连接Internet。服务器和各个子网分别通过交换机连接到ISA=服务器，进行网络隔离，然后在ISA服务器中对客户端访问服务器进行UAC控制，改造后的网络拓扑见图2。

三、部署

　　1.ISA服务器代替路由器

　　在图1所示的网络中，划分了3个VLAN，分别从192.168.1.0～192.168.3.0，子网掩码都是255.255.255.0，服务器区使用了192.168.100.0/24，每个VLAN的网关地址都是254(例如192.168.1.0的网关地址是192.168.1.254)。路由器的内网地址是10.10.10.20/24，路由器接三层交换机的端口地址是10.10.10.10/24。三层交换机上有一条静态路由：

　　ip route-static 0.0.0.0 0.0.0.0 10.10.10.20

　　在改造后，ISA Server内网的地址设置为10.10.10.20/24，在此块网卡上不添加网关地址(并将此网卡命名为“LAN”)，外网网卡设置为路由器原来的外网地址、子网掩码、网关地址与DNS地址(并将此网卡命名为“Internet”)。并且在该ISA Server的命令提示符下键入：

　　Route add –p 192.168.0.0 mask 255.255.0.0 10.10.10.10

　　这条命令的意义，添加192.168.1.0～192.168.3.0/24这3个网段的静态路由，包括了原来的3个VLAN的内部地址。在该ISA Server上创建一条规则，允许“从内网到外部”，该规则允许“内网”中的计算机访问Internet，从而ISA Server完成了代替图1中“路由器”的功能。

　　2.调试

　　改造后“核心交换机”做如下的调试：

　　将图1中“服务器区”所在的VLAN的IP地址删除(在本例中，就是192.168.100.0/24)，并且把所在VLAN删除;在ISA Server上再添加一块网卡，将新添加网卡接到新添加的千兆交换机上，原来服务器上的网线接到该千兆交换机上。

　　在ISA Server上主要做以下的调试：

　　(1).将新添加的网卡重命名为“DMZ”，设置IP地址为192.168.100.254(就是在核心交换机中删除的那个VLAN端口的IP地址)，设置子网掩码为255.255.255.0，不要设置网关地址。

　　(2).进入ISA Server 2006管理控制台，在“配置→网络”中，在右侧的任务窗格中，选中“模板”，单击“3向外围网络”。在“内部 网络IP地址”页中，单击“添加适配器”按钮，添加名为“LAN”的网卡。在“外围 网络IP地址”页中，单击“添加适配器”，选择名为“DMZ”的网卡。在“选择一个防火墙策略”页中，选择“阻止所有访问”，然后单击“下一步”按钮。在“正在完成网络模板向导”页中，单击“完成”按钮。

　　(3).修改网络规则：在默认情况下，“外围”与“内部”的关系是“NAT”，“外围”与“外部”的关系是“路由”，如图3所示。在此，需要修改“外围”与“内部”的关系是“路由”，修改“外围”与“外部”的关系是“NAT”。

(4).用鼠标双击“外围配置”，在弹出的“外围配置 属性”页中，在“网络关系”选项卡中，单击“路由”，然后单击“确定”按钮。同样，双击图7中的“外围访问”，将“网络关系”修改为“网络地址转换(NAT)”，单击“确定”按钮。然后，返回到“网络”项，确认“内部”、“外围”网络地址正确。

　　(5).在ISA Server上创建规则，允许“内部”到“外围”区，一般使用HTTP、SMTP、FTP、POP3、DMZ、HTTPS协议即可，这样包括了大多数的协议，如果你的服务器区使用了其他的协议，例如SQL Server、非默认的Web端口(例如TCP的81)，则添加这些协议即可，如图4所示。

改造后，不需要修改服务器的地址，也不需要修改客户端访问服务器的地址，但工作站与服务器之间经过ISA Server进行保护，增强了网络的安全。如果需要让Internet上的用户访问DMZ区的服务器，创建到DMZ区的服务器发布规则即可。

　　总结

　　从理论上来说，改造后的网络，在“内部”访问服务器时速度要比原来略慢，因为与以前的网络相比，增加了防火墙。但在实际使用中，最终用户没有觉察到网络做了改变。在改造后到现在已经过了一段时间，用户的使用与以前相同。希望笔者所述的这起网络改造案例，对于大家进行类似的网络改造中有所帮助。另外，笔者基于个人的实践经验觉得：在局域网中部署ISA服务器将会大大地提升网络的安全性，以及对于管理员进行UAC控制将非常灵活方便。