1、ISA 防火墙技术在企业多重网络环境中的应用【摘要】 随着网络信息技术的不断发展,企业网络面临越来越多的应用和挑战,而防火墙技术是企业内部网络和外部 Internet 网络沟通和交流的关键。本文通过介绍企业复杂网络环境中应用 ISA 防火墙技术的实现,分析了该技术的特点和优势,说明其在企业多重网络信息管理中的实际意义。 【关键词】 ISA 防火墙 多重网络 ISA firewall technology in the enterprise application of multi-networking Abstract: With the continuous development of n
2、etwork information technology, enterprise network is facing more and more applications and challenges, and firewall technology is the key to communication and communication between the internal network and the external Internet network. This paper introduces the realization of ISA firewall technolog
3、y in the complex network environment, analyzes the characteristics and advantages of the technology, and explains its practical significance in the multi network information management. Key Words:ISA; Firewall; Multi-networking 引言 对现代企业而言,互联网已成为一个不可或缺的平台,经过几十年的发展,Internet 已将几乎所有企业网络直接或间接的联接起来。在这个无处不
4、在的网络体系中,从使用范围和安全角度来划分,企业网络的应用一般可分为内部网络(Internal network)和外部网络(External network)应用。通过防火墙、路由器等软硬件措施可保障各个应用的安全运行和相互联系。随着我国信息化进程的进一步加快,企业网络应用的环境也变得日益复杂、多样和多变。许多企业需要通过 Internet 连接总公司网络、各地分公司网络、外地 VPN(虚拟专用网络)客户端、DMZ(屏蔽子网络) 、各种受保护的专用网络(如:电话会议、视频会议网络)等,如何将这些网络联接起来,并且确保网络之间传送数据的安全性,成为各级企业网络管理人员所要解决的问题。也就是说,随
5、着业务规模的日益扩大和应用需求的不断增多,原本形式单一的企业网络面临复杂多重网络环境的挑战。 一、多重网络环境中的应用需求 天华化工机械及自动化研究设计院有限公司(天华院)是中国化工集团公司旗下重要的集科技、研发、生产制造为一体的企业。该院的企业网络与 Internet 的连接原本是由 Windows Server2003 提供代理服务器和防火墙管理,网络系统仅满足于本企业的 Internet/Intranet 应用需求,提供较单一的内网 Web、E-mail 以及其它网络应用服务。该网络按照 B 类私用网络编址,在局域网内没有划分 VLAN,仅按照分属部门的不同划分了 IP 地址段。 201
6、2 年起,集团公司为逐步整合和加强对子公司的信息管理,统一规划了其下属企业的网络布局,在全国各地为各个分支机构提供 SSL VPN接入服务,子公司、下属各企业通过 VPN 专线安全的接入化工集团内部网络,访问集团的 Protal、OA、集团邮箱、ERP、视频会议等应用系统。 从表 1 可以看出,根据新的网络规划,天华院企业内部网络需重新划分为多个 VLAN,以便为规范管理不同的设备、应用服务。同时,由于管理的需要,院区内不同的研究所、设计室和部门,甚至同一部门中的不同个人因为职务、职责的不同,也拥有不尽相同的内外网(Intranet/Internet)访问权限和对各类网络应用的使用权限,这些权
7、限务必能够通过随时根据需要进行调整和变更。为根据这些原则能够方便的管理处于企业园区内不同楼宇、不同物理节点上的计算机及其使用者,必须由服务器提供管控手段。另外,由于引入视频会议的实际情况,需要同时引入两个不同运营商的网络线路,中国电信 20M 带宽光缆提供基础的 Internet 接入服务,中国移动 2M 光缆提供专线视频会议服务。整个网络环境由于应用需求的猛增和管理控制的多样变得愈加复杂,为网络管理部门提出了新的要求和难题。 二、ISA Server 的技术特点 ISA(Internet Security and Acceleration)Server 是 Microsoft推出的集防火墙、
8、代理服务器于一身的服务器端软件,它同时有代理服务器(代理客户端共享上网) 、防火墙(安全连接 Internet、安全发布网络内各项服务如 Web、FTP、E-mail 到 Internet 上、提供安全的 VPN 连接)功能。当企业网络接入 Internet 时,Internet 为企业提供与客户、合作伙伴和员工连接的机会。这种机会的存在,同时也带来了与安全、性能和管理性等有关的风险和问题。ISA Server 提供了多层企业防火墙,来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA 的代理服务器中的“缓存”功能是业界最好、速度最快的,使得企业网络可以通过从本地提供对象(而不是通
9、过拥挤的 Internet)来节省网络带宽并提高 Web 访问速度。 ISA Server 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护需要为不同地域设置多重防火墙阵列的大型企业网络,通过状态信息包检测、应用层过滤、和全面的发布工具,穿越不同的网络层面,保护您企业内部网络的应用系统、服务、和数据的安全。相对于其他防火墙解决方案,Microsoft ISA Server 的主要优势包括了它的高级应用层检测和保护功能,易于使用,提供快速、安全的 Internet 访问的能力,分布式防火墙集中管理能力,以及易于与目前的防火墙和 VPN 结构集成的功能。 三、ISA 在多
10、重网络中的技术实现 天华院原有的网络系统即是由 Windows Server2003 提供简单 Web 代理服务,由于网络结构形式比较简单,仅仅使用二层交换设备。为在多重网络环境中实现新的服务功能,网络 升级改造并引入了 ISA Server企业版防火墙系统,同时增加三层交换设备解决网络中的子网划分问题。3.1 外围防火墙 首先,须将 ISA Server 设置为整个企业网络的外围防火墙(Perimeter Firewall) ,增加一个 DMZ 网络区域来专门放置要发布的服务器。也就是说,在这个架构中,ISA Server 通过三个接口将三个网络联接起来:内部网络(Intranet) 、互联
11、网(Internet) 、边界网络(Perimeter network) 。其中,边界网络又称为 DMZ(Demilitarized Zone,非军事区)或是屏蔽子网络(Screened subnet) ,在这个区域专门放一些重要的服务器。将企业内部的 Web、FTP、E-mail CNKI Server等放置在这个区域内,最重要的作用是这些服务器不但现在可以服务于内部网络,将来可能要通过 ISA 安全的发布到互联网上。 3.2 通过三层交换实现 VLAN 根据集团公司对企业网络统一规划要求和对子网分配方案,天华院的企业网络需要重新划分为多个 VLAN。原有的二层交换机属数据链路层设备,可以识
12、别数据包中的 MAC 地址信息,根据 MAC 地址进行转发,并将这些 MAC 地址与对应的端口记录在自己内部的一个地址表中。尽管基于 MAC 地址的 VLAN 能够在二层交换机上实现,但这种方法通常所以这种划分方法通常适用于小型局域网。是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置属于哪个组,它实现的机制就是每一块网卡都对应唯一的 MAC 地址,VLAN 交换机跟踪属于 VLAN MAC 的地址。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果网络日趋扩大,用户日益增多,配置工作是非常累的,而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端
13、口都可能存在很多个 VLAN 组的成员,保存了许多用户的 MAC 地址,查询起来相当不容易。因此,有必要引入新的三层交换设备。三层交换机就是具有部分路由器功能的交换机,三层交换机的最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,三层交换技术就是二层交换技术+三层转发技术。在三层交换中可以采用基于端口的 VLAN,这是最常应用的一种 VLAN 划分方法,应用也最为广泛、最有效,目前绝大多数 VLAN 协议的交换机都提供这种 VLAN 配置方法。这种划分 VLAN 的方法是根据以太网交换机的交换端口来划分的,它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部
14、的 PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的 VLAN 交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于 MAC 地址的端口过滤。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义 VLAN 成员时非常简单,只要将所有的端口都定义为相应的 VLAN 组即可,适合于任何大小的网络。 为在资源优化的前提下划分 VLAN,天华院的网络设备采用二、三层交换设备混搭的模式来实现。将一台三层交换机作为中心交换设备,院区内其它研究所、设计室、部门根据原有物理位置、工作职责分配和连接方式的不同划分为多个 VLAN。 3.3 路由、网络规则 ISA Ser
15、ver 作为企业网络的外围防火墙,其外接口直接通过光纤连到电信的 20M 固定专线上。所有的内部网络、服务器和用户通过三层交换设备划分的 VLAN 连接 ISA 的内网接口。三层交换缺省路由指向 ISA Server,这样到外网(Internet)的路由就转交给 ISA。而 ISA Server的内网接口与三层交换中的 VLAN1(表 2)相连,其他的 VLAN 也需要路由定向。这个功能的实现即可以在 ISA Server 上,也可以在三层交换设备中通过手工添加静态路由来完成。在这当中,ISA Server 既是 VLAN1的网关,也是整个企业内网的网关。 网络规则是 ISA Server 进
16、行访问控制时所要考虑的第一要务,一个数据包通过 ISA 时,ISA 首先要检查的就是网络规则。ISA 检查数据包时首先要考虑的就是这个数据包是从哪个网络到哪个网络,这两个网络间的网络规则是什么。考虑到多重网络环境的应用复杂性,最适合的网络规则是内部到外部均采用 NAT(Network Address Translation,网络地址转换)的方式,尽管 ISA 还为客户端提供了防火墙、Web 代理两种模式,而且比 NAT 的安全性要好,但采用 NAT 的好处就是兼容性最好,用户使用简单,管理维护方便。于是 ISA Server 就有一张 NAT 表,那么不管ISA 前面有没有硬件防火墙,ISA Server 都是通过 NAT 方式出去的,只要把 ISA Server 外网口的网关指向对端的三层设备就好了。需要注意的是,DMZ 区域与内部网络的规则是路由方式,这一点必须在 ISA Server中与 NAT 规则同时存在。
