域环境下架构ISA防火墙加强网络机房管理初探

　目前，一般的学校都会有2～3个机房，规模较大的学校甚至会有7～8个机房。现代化的多媒体机房为信息技术教师的教学带来诸多的方便，但在网络化的环境、开放式教学的背景下，如果相应管理工作不能跟上，将会影响资源有效应用和课堂教学效果。
　　1 问题的产生
　　现在，学校机房的标准配制是一台教师用机、一台服务器、50台学生用机、两个26口的交换机，网络化连接。服务器上只是安装一个Sgate这类的上网代理软件或直接连接到学校的核心交换机，代理自己教室的上网，别的什么都不做，功能单一、代理速度慢、无法管理，对于有7～8个机房的较大规模学校，每个教室一台高性能的服务器只是做一下代理上网，是很大的浪费。另外，现在的学校都是可以直接上外网，教师通过Sgate软件控制学生的上网，但对学生上网的管理和有效监督明显无能为力，只要教室上课时连接网络，那么问题就出现了，学生会下载一些聊天工具、在线小游戏，或者通过搜索网站搜索一些不健康的信息进行浏览，大量地下载歌曲或游戏软件还造成教室网络速度变慢，影响正常的教学秩序。此时，教师一般的解决方法就是拔网线或是关了代理服务器，大家都不能上网，可是这样做却会影响学生们正常自主学习，也浪费了学校为学生提供的宝贵网络资源。这是一个两难的问题，对信息技术教师来说是一个新的课题和挑战。
　　2 解决方法
　　在学校内使用的网络管理系统部署，既不能太复杂价格也不能太昂贵，部署后又要比较方便于教师使用。综合各方面因素这里选择了使用域环境下架构ISA防火墙的做法。在Win2003环境下先部署域，域的特点是能很好的管理域内网络的各台主机，在域内再加上ISA网络防火墙，就可使原来教师上课时无法控制的学生无序上网行为得到最有效的控制。
　　ISA是微软开发的一套网络管理软件，全称Microsoft Internet Security and Acceleration。指的是Internet安全和代理。ISA的优势在于对内部网络起到保护作用，对常见的攻击行为进行防范，如在应用层的攻击，一些蠕虫病毒的攻击，一些微软的漏洞的攻击都是可以做到有效防范的。ISA非常便于我们去管理，操作起来就像我们在WINDOWS中一样。ISA在性能和安全上做到了最佳的平衡，在不影响性能安全的前提下尽量去提高上网性能。相对于传统防火墙，它可以做到对应用层的防护。而传统防火墙只能看到OSI七层协议的下三层，只能看到MAC地址IP地址和一些简单的协议，而看不到协议中传的是什么内容。但ISA可以看到上三层的内容，它可以拆解数据包，看看里面是什么，再决定发不发。对于ISA的客户端而言可以很高效的去访问外网，还有强大的VPN功能和身份验证机制。
　　3 ISA的安装
　　安装ISA2004的企业版在win2003平台上，最多支持四个CPU，内存256 M，最好1 G内存，硬盘40 G。安装环境是在Win2003域环境中，有DNS支持。两个网卡，两台服务器，三间机房。一台服务器已经是Win2003域服务器，一台用来安装ISA。在安装过程中，安装类型我们选择自定义，在自定义中我们把“客户端软件安装共享”和“消息筛选程序”勾选后进行安装，不过要正常安装上这两个组件，之前一定要先安装IIS中的SMTP。接着是内部网络的设定，点击“添加”设置我们自己的可靠的内部网络，可以手工添加IP地址也可以选择捆绑的网卡。以本校为例，三个网络教室分别以不同网段安装，教师机相应单独设置在相关网段内。
　　4 ISA的调试篇
　　ISA安装完毕后，开始进入设置阶段。ISA的核心就是防火墙策略，在ISA2004中，防火墙策略是网络规则、访问规则和服务器发布规则三者的结合。网络规则定义了不同网络之间是否能访问，以及如果可以访问，该规则如何进行网络访问，通过网络规则来定义并描述网络的拓扑结构。访问规则是定义了两个网络之间是否存在连接以及连接的方式，连接的方式有两种，一种是路由一种是NAT。路由是来自原网络客户端的请求被直接发到目标端的网络中去，是双向的。在采用NAT连接时ISA会把自己的IP地址替换到原网络客户端的IP地址，内部网络和外部网络联系时可以采用NAT来保护自己的内部网络，是单向的。在ISA的安装过程中还建立了一些默认的规则，如本地主机的访问，建立了本地主机和其他网络的路由关系。
　　打开ISA后，展开配置会看到网络设置，其中看到网络内部设置的四个网络段，ISA本地主机IP和DNS主机IP。
　　ISA的网络模板有很多[第一 论文网ww w .提供写作论文和论文写作的服务]，边缘防火墙、向外围网络、前端防火墙、后墙防火墙等。各个功能不同，这里我们选用最简单的边缘防火墙，两个网卡，一个连接网络教室，一个连接外网。
　　第一步：封QQ
　　1）新建通信协议。要封QQ必需先了解QQ通讯的原理，根据目前QQ登录的三种不同方式所采用的协议和端口，新建三条协议，协议名依次为UDP-8000、TCP-443、TCP-80。为什么要建立这三条通讯协议？这是因为，QQ登录时，主要使用的QQ服务器的UDP的8000端口、TCP协议的443端口、TCP协议的80端口，定义好这些协议，方便于建立禁用QQ的防火墙策略。
　　建立UDP-8000协议：在ISA 2004管理控制台窗口中，选择右侧框体的“工具箱”标签页，点击“协议”分栏，点击“新建→协议”，弹出“新建协议向导”对话框，在名称栏中输入“UDP-8000”。点击“下一步”按钮，在“首要连接信息”对话框中点击“新建”，弹出“新建/编辑协议连接”对话框，在“协议类型”中选择“UDP”，将“方向”设为“发送”，端口范围设置为“从8000到8000”，点击“确定”按钮，接着一路点击“下一步”按钮完成UDP-8000协议的建立。TCP-443协议和TCP-80协议设置方法和建立UDP-8000一样。
　　2）新建计算机集。计算机集也是ISA中提出的一个概念，可以把一些特殊的IP地址定义起来。由于QQ服务器很多，我们将QQ服务器划分为三类，UDP_8000、QQ-Server TCP_443和QQ-Server VIP。划分QQ服务器类型，也是为了方便建立禁用QQ的规则。点击ISA 2004管理控制台右侧框体中的“网络对象”标签页，点“新建→ 计算机集”，弹出“新建计算机集规则元素”对话框。在该对话框的名称栏中输入“QQ-Server”，然后点击下方的“添加”按钮，选择“计算机”，将QQ服务器的IP地址一个个添加进去，QQ服务器很多可以上网去查找。
　　3）创建访问规则。定义好通信协议和QQ计算机集后，我们就可创建禁止QQ上网的防火墙策略了。在ISA 2004控制台窗口中，右击“防火墙策略”，选择“新建→访问规则”，进入“新建访问规则向导”对话框，在名称栏中输入“Deny QQ”。点击“下一步”，在“规则操作”对话框中选中“拒绝”，点击“下一步”。在“协议”对话框中选择“所选的协议”，添加已经建立的协议UDP-8000、TCP-443和TCP-80协议。
　　然后，指定访问规则源，点击“添加”按钮，在“添加网络实体”对话框中选中“内部”并添加。点“下一步”，设置禁止访问的QQ服务器，点击“添加”按钮，在“添加网络实体”对话框中，将新建的计算机集“QQ-Server”添加到列表框中。进入“用户集”设置对话框，选择“所有用户”后点击“完成”按钮。
　　最后，在“防火墙策略”窗口中选中“Deny QQ”规则，点击上方的“应用”按钮。这样就完成了“禁止QQ上网”规则的创建，教室内的学生电脑就不能通过正常登录上QQ了。
　　但现在的QQ还有一种登陆方式，就是通过HTTP：80端口代理。在教室内，为了保证学生能正常上网浏览网站是不能禁用HTTP协议的。这样一来，一些聪明的学生还是可以通过HTTP代理上QQ。如何禁用HTTP代理，又能保证学生能够正常上网浏览网页，现在可以利用ISA 2004中的“签名”功能来禁止QQ使用HTTP代理进行登录。右键配置HTTP，增加一个签名。在“名称”栏中输入“QQ”，然后在“查找范围”下拉列表框中选择“请求URL”，签名中加入“”，有时会是“”也可以添加进去。数据包在通过ISA时会被查找，只要其中包含或就会被ISA丢弃。我们还可以做得更严格一些，用HTTP方法中选择“阻止指定的方法”，添加connect。我们在截包分析后会发现所有的代理软件都会出现connect字样。通过过滤connect把这些要求通过代理出去的数据包阻止掉。
　　第二步：阻止下载软件 学生在教室上网时，很可能会下载游戏、软件等网络上的资源。通过ISA可以有效地控制什么可以下载、什么不可以下载。如何去做到呢？可以通过ISA配置HTTP策略中的扩展名，选中阻止指定的扩展名，点增加.exe、.rar、.zip等，可以阻止任意指定的扩展名文件的下载和运行。这样就可以有效地控制学生在上课时间内下载外网的大量与学习无关的资源。
　　第三步：阻止不良网站 学生在上课时如果网络开通，总会有一些学生打开一些游戏网站，那么怎么能快速有效的去封掉这些网站呢，可通过ISA控制面板右边的“工具箱”，在其中增加URL集，建立一个URL集，名字叫game，如不想让学生上这个小游戏网站，就在其中加入http：//*，做完后，在防火墙策略中加一条策略，从内部到URL集的所有通讯拒绝，这样学生在访问这些网站时会被ISA自动拒绝，同时在发现一些不良网站时，直接加入到game集中就行。
　　5 总结
　　ISA的内部与外部的通讯控制即可以通过IP地址也可以通过域账号，设置和使用起来灵活多变，一般可以以机房的IP地址来划分，在设置防火墙策略时，执行顺序是从上到下去执行，所以关键性策略应该放在最上面如封QQ，对[第一 论文网ww w .提供写作论文和论文写作的服务]下载进行过滤，封不良网站，顺序应该是从严格到不严格。如果第一条就设置了从内部到外面的无限制通讯，那么下面的策略就不会起作用。对学生机最好安装上ISA的客户端，这样代理起来会很方便，当然不需要去一台台的安装，可以通过域的组策略中的软件派发功能自动去安装完成。ISA实际教学过程中运用后，明显能感觉到学生不再像以前那样在课堂上无序上网，教师在上课过程中也可以放心地打开网络，让学生在网络中自主学习，集中精力去查找和学习有关的资料，使网络真正被有效地利用起来。