用ISA+瑞星構(gòu)筑防范黑客和病毒攻擊的銅墻鐵壁

前序
    隨著當(dāng)今信息社會(huì)的迅猛發(fā)展，信息化浪潮已遍布各行各業(yè)。同時(shí)由于電子商務(wù)和電子政務(wù)的推行，使得社會(huì)信息化發(fā)展得更快，因此這就需要各個(gè)單位進(jìn)快匯入信息化的大潮中，否則就有可能被社會(huì)所淘汰。然而就在企業(yè)連上互聯(lián)網(wǎng)的那一刻開始，網(wǎng)絡(luò)安全的問題就擺在了各個(gè)單位面前。那么我們?cè)鯓硬拍芗劝踩指咝У倪B上互聯(lián)網(wǎng)上呢？或許安裝ISA+瑞星網(wǎng)絡(luò)版殺毒軟件是一個(gè)不錯(cuò)的辦法，下面我將結(jié)合我單位網(wǎng)絡(luò)建設(shè)中怎樣利用ISA+瑞星網(wǎng)絡(luò)版殺毒軟件來構(gòu)筑安絡(luò)的事例來闡述其構(gòu)成。
    關(guān)鍵詞
    ISA 瑞星 網(wǎng)絡(luò)版殺毒軟件 網(wǎng)絡(luò)安全 防火墻 代理服務(wù)
    正文
    一、為什么要用ISA+瑞星網(wǎng)絡(luò)版殺毒軟件來構(gòu)造安絡(luò)
    自從網(wǎng)絡(luò)用戶連上互聯(lián)網(wǎng)的那一刻開始，網(wǎng)絡(luò)安全問題就放在了我們面前。如果不做好網(wǎng)絡(luò)安全防衛(wèi)工作，那么就可能造成網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)被盜或丟失、網(wǎng)絡(luò)癱瘓、病毒泛濫等，這樣就使得網(wǎng)絡(luò)用戶不能正常工作。
    安全問題是每個(gè)單位都不敢掉以輕心的，只要任何一個(gè)單位在網(wǎng)絡(luò)上存在，那么必須對(duì)自己進(jìn)行保護(hù)，免受惡意和敵意的入侵與攻擊的傷害。伴隨著Internet的成長，黑客和黑客工具無論在數(shù)量還是質(zhì)量上都逐漸發(fā)展?fàn)畲蟆榱私鉀Q這個(gè)問題，市面上的防火墻產(chǎn)品也呈爆炸性增長趨勢(shì)。但所有軟件各有千秋，其功能和價(jià)格也不一樣，因此就其實(shí)用性來說，我們選擇了ISA，因?yàn)樗坏哂蟹阑饓Φ墓δ?，而且更主要的是有代理和高速緩存的功能。同時(shí)它還可以按照用戶的要求量身定做的開放相應(yīng)的協(xié)議和端口，因而網(wǎng)絡(luò)安全就更勝一籌。同時(shí)由于瑞星殺毒軟件的強(qiáng)大防毒和殺毒功能，以及瑞星的時(shí)時(shí)在線升級(jí)功能，使得瑞星在殺毒方面技勝一籌，因此我們就選用了ISA+瑞星網(wǎng)絡(luò)版殺毒軟件來構(gòu)造安絡(luò)。
    二、ISA的安裝與配置
    1、ISA的安裝
    當(dāng)我們買回ISA軟件后，首先應(yīng)該閱讀一下軟件安裝說明，這對(duì)我們正確安裝軟件百利而無一弊。同時(shí)要特別注意ISA標(biāo)準(zhǔn)版和企業(yè)版的異同之處。ISA標(biāo)準(zhǔn)版需要安裝到一*立的Windows2000服務(wù)器上，而且只能使用本地安全策略，它不需要Active Directory的支持。而企業(yè)版必需要Active Directory的支持，它同Active Directory緊密地集成在一起，它還利用Active Directory保存配置和策略信息。由于我們單位的網(wǎng)絡(luò)是一個(gè)中型網(wǎng)絡(luò)，所以我們用不著去買ISA企業(yè)版（因?yàn)槠髽I(yè)版要比標(biāo)準(zhǔn)版貴很多），因此我們最后選用了ISA標(biāo)準(zhǔn)版。
    在安裝ISA之前，首先要安裝好Server 2000操作系統(tǒng)，且保證所裝區(qū)域?yàn)镹TFS格式。在裝好系統(tǒng)后，必須要確保所裝服務(wù)器上有兩塊網(wǎng)卡，并且兩塊網(wǎng)卡都設(shè)置好，一塊網(wǎng)卡配置外部IP地址，另一塊網(wǎng)卡配置內(nèi)部IP地址。同時(shí)要配置好兩塊網(wǎng)卡的各自網(wǎng)關(guān)和DNS地址。要注意的是內(nèi)部網(wǎng)卡的網(wǎng)關(guān)地址請(qǐng)不要填寫。同時(shí)去掉操作系統(tǒng)中的IIS和其它不相關(guān)的程序，只保留一個(gè)純Server2000操作系統(tǒng)。在做好這些基礎(chǔ)工作之后，就可以將ADSL專線（我單位申請(qǐng)的是ADSL專線）插在外部網(wǎng)卡上，同時(shí)在服務(wù)器上測(cè)試線路的連通信，以確保服務(wù)器現(xiàn)在能連上互聯(lián)網(wǎng)。否則得重新檢查硬件和軟件的安裝，以確保服務(wù)器必須能連上互聯(lián)網(wǎng)。在做好這些基本工作后就可以安裝ISA軟件了。
    當(dāng)我們把ISA光盤放入光驅(qū)之后，它會(huì)自動(dòng)彈出一個(gè)界面讓用戶去選擇。首先它須確保操作系統(tǒng)能滿足它的安裝要求。否則用戶就得更新系統(tǒng)，以符合安裝要求。ISA Server有三種安裝模式：防火墻模式、高速緩存模式、綜合模式。在綜合模式下，防火墻和緩存功能會(huì)被整合到一起，以便同時(shí)利用網(wǎng)絡(luò)安全和Web緩存方面的功能。因此我們選用了綜合模式。
    在安裝期間配置LAT時(shí)，必須注意要根據(jù)內(nèi)部網(wǎng)絡(luò)實(shí)際使用的地址來配置，必須要配置正確，否則就不能正常運(yùn)行。這可根據(jù)主控服務(wù)器的設(shè)置來進(jìn)行配置。例如我單位在裝主控服務(wù)器時(shí)就設(shè)定了內(nèi)部網(wǎng)絡(luò)地址為：192.168.0.0～192.168.0.255，因此我們?cè)贚AT中就填入該內(nèi)部IP地址。在設(shè)置Web緩存時(shí)，能選擇剩余區(qū)間且不與程序文件同一個(gè)分區(qū)的磁盤分區(qū)，其緩存文件大小可根據(jù)實(shí)際情況來決定，但其大小能大一些，我單位就配置了一個(gè)1G大小的Web緩存文件。
    2、ISA協(xié)議的配置
    在裝好程序文件后，就得配置相應(yīng)的訪問規(guī)則，這樣內(nèi)部用戶才能訪問英特網(wǎng)。其中最主要的是訪問Web協(xié)議和訪問郵件服務(wù)協(xié)議，其它象訪問FTP、QQ、NetMeeting、證券之星等程序的協(xié)議可根據(jù)實(shí)際情況來決定是否開放。
    訪問Web協(xié)議的開放可以通過以下來完成：在ISA Management中，展開計(jì)算機(jī)，找到Access Policy/Protocol Rules/Create a Protocol Rule for internet Access，點(diǎn)擊它，一路按默認(rèn)值進(jìn)行配置，即Protocol中有FTP、FTP Download only、Gopher、Http、Https，Action為Allow，Schedule為always、Applies to為Any Request。