1.需求简述
默认拒绝策略,防止意外的网络攻击
只允许内网用户在上班时间访问Internet上知名的www/ftp/mail/流媒体/dns/telnet/ssh服务
拒绝显示www.sina.com上的图片
拒绝用户从www.newhua.com上下载文件
允许员工在下班后使用QQ\ICQ\MSN等即时通讯工具
2.应用层网关
无法用ACL实现,因为ACL只能控制源地址、目标地址、协议类型等,故使用应用层防火墙,不只限于网络层与传输层。
应用层网关也称为代理服务器
特点:
所有的连接都通过防火墙,防火墙作为网关
在应用层上实现
可以监视包的内容
可以实现基于用户的认证
所有的应用需要单独实现
可以提供理想的日志功能
非常安全,但是开销比较大
3.ISA简介
Internet Security&Acceleration的缩写
配置ISA访问策略实现安全访问Internet
在ISA中有三个常用的名词:协议要素、规则、访问策略
它们之间的关系是:各种要素组成规则,多条规则形成了一个访问策略
访问策略的组件:
4.ISA在企业中的应用
1)中小型企业网络中ISA的部署
2)大中型企业网络中ISA的部署
多台ISA Server计算机策略必须保持一致
3)ISA Server网络拓扑案例
将ISA Server计算机做成阵列,为之配置存储服务器,配置信息由一台服务器保管,负责将相应的配置策略信息下发到ISA阵列中