教育城域网的安全防护探析.docx

《教育城域网的安全防护探析.docx》由会员分享，可在线阅读，更多相关《教育城域网的安全防护探析.docx（18页珍藏版）》请在第一文库网上搜索。

1、教育城域网的安全防护探析绍兴县教育局-冯荣标教育城域网建设是教育信息化的重要构成部分,其中城域网的网络安全工作一直是各地教育行政部门比较重视的问题，本文作者通过对ISA的安装使用，介绍了利用ISA进行教育城域网网络安全防护方面的经验。通过在绍兴县教育城域网的全面部署，总体性能感受与思科ASA系列防火墙不分伯仲。ISASerVer完全支持七层网络协议的管理，能够对客户端应用程序（如：QQ）进行操纵,还能够对网站UR1关键字进行过滤，整体建设成本却非常低（一台一万五的服务器+正版ISA+正版Win2003R2的整体费用不到二万元，却能够管理全县19个镇街22所初中上网，同时直接充当防火墙，而同级别

2、的一个上网行为管理产品至少需要十多万）。ISA同传统上网行为管理产品的最大区别是能够实现与活动目录结合进行上网认证及客户端计算机的远程管理功能，能够为每一位上网教师分配一个上网帐户，将安全事故、上网行为落实到个人。其升级版ForefrontThreatManagementGateway2010中文版（简称TMG2010）,全面支持64位操作系统。由于目前TMG2010我县还在测试（要紧测试对恶意代码、木马防控及64位系统的性能提升方面），本次将围绕以WindoWS2003R2+ISA2006标准版为基础重点讲述ISA的网站公布与管理功能，结合HS来加强网站安全防护。以上是方案的网络拓扑图，非常

3、简单，要注意的问题是服务器不管有多少块网卡，DNS只能在其中一块网卡中设置，通常情况下为连接外网的网卡上写上ISP的DNS服务器。例1：服务器配置，具体看各地财政情况，有钱能够买个专业服务器，没钱搞个PC机代替也行，关键是内存需要IGB以上(最大不要超过2GB,由于超过这个，ISA是不支持的，TMG2010由因此64位的，能够支持4GB以上)，我县教育城域网上用于网站公布的服务器为一台普通PC(P43.0/1GB/160G),配置了二块网卡分别连接内外网例2：ISA双网卡的IP地址设置：内网卡：IP：10.1.1.254,子网掩码：255.255.255.0,网关：无,DNS：无外网卡：IP：

4、122.224.8.241,子网掩码：255.255.255.224,网关：122.224.8.225,DNS：202.96.107.27（绍兴电信的DNS）安装非常简单，选择自定义安装，除下面给出的安装顺序图例需要选择外，其它的全部选下一步就行了二、网站的公布安装完成后能够直接进行网站的公布，假如是进行内部客户端上网，还需要设置相应的访问策略1、右键单击ISA“防火墙策略”，选择“新建”中的“网站公布规则”，出现公布向导W?BiCFdtzofi1ntS9trtyandeStvaZiII1B文件口操作登看G）同助也）q!由IIgI自I心由X33,虚独专用由我配置f玄尸体4改舌计划.导出导入8）

5、的主能策略理）.名称I谈隹I的议力健图ExcAmgcWob客户稳国同发布规则视件抠务基发布也QEKShar4oim站点发布视见I.IMH则FiI住.1本堆-加力讯Io帮助Qp网站女布规则ar.丰Ireb限令器协以发布规则00.访问现则）.新建Ieb发布规则向导发布类型选择此规则将发布单个网站或外部负载平衡器、Web服务器场还是多个网站.6发布单个网站或负载平衡器正X使用此选项发布单个网站，或发布多个服务器前面的负载平衡器。关于发布单个网站或负载平衡器的帮助C发布负载平衡Web服务器的一个服务器场任）使用此选项让ISA服务器在服务器场像像服务器）之间对谙求进行负载平衡.关干发布服务器场的帮助C发

6、布多个网站）使用此选项发布多个网站。将为发布的每个站点创建一个新规则。关干发布多个网站的帮助上一步建）I下一步国）|取消I新建Ieb发布规则向导内常发布详细信息指定您要发布的网站的内部名称.内部站点名称（X）:www.s内部站点名称是您将要发布的网站在内部显示时的名称。通常情况下，这是内部用户输入耳浏览器以访问该网站的名称.如果工SA服务器无法解析内部站点名称，则可以使用计算机名称或寄存此站点的服务器的IP地址连接。P使用计算机名称或IP地址连接到已发布的服务器（U）计邕机名称或IP地址）:10.11.5浏览重）上一步重）I下一步3）|取消I所有学校网站发布屋性罐接转换I身份验证委派应用程序设

7、置常规I操作I从I到I通讯I侦听器,公共名称I路径I桥接I用户I计划I此规则应用到1）：2dI以下网站的请求网站和IP地址但）:WWW.WWW.WWW.WWW.WWW.WWW.C编辑堡）.删除添加).i,公共网站名称必须用域名系统SHS）注册。关干用DNS注册网站名祢的帮助图36、公布不一致WEB服务器上的网站，方法非常简单，只要按上面的方法再创建一条公布规则就能够了，唯一不一致的是不用再创建WEB侦听器了，直接选择刚才创建的侦听器就能够了。三、公布非WEB服务器协议有的时候候我们需要将内部服务器上的MediaServiceFTP、SMTP、POP3等服务协议公布出去，其方法与WEB公布差不多

8、，只要在新建的时候选择新建“非WEB服务器协议公布规则”,按向导提示完成即可。四、SQ1注入、跨网站脚本等攻击的防护为短则配置HTTP策略常规方法I扩展名头I筌名指定HTTP方法要执行的操作：BBIi常规I方法I扩展名I头筌名阻止包括这些签名的内容但）确定I取消I指定此签名搜索的S称.删除9I名称但）：I请求UR1只显示信用的搜索字符串QD:范围谙求UW1：OrT=TJ确定I。消应用R）签名搜索条件查找范围Q）HTTP头Qp:指定要阻止的裳名:签名（）：与允许班HnP(jtcp80口介.诧3HnPBtco80签名”选项卡是防止各类SQ1注入、跨站脚本等攻击最重要的设置。当我们通过WEB安全扫描

9、工具查出SQ1注入、跨网站脚本等安全漏洞后，如扫描到orT=1为SQ1注入关键字,只要点击“添加”，一定要选择签名的搜索条件为“请求UR1”，然后在签名处输入这个签名,or,=,即可，下面给出常见的签名过滤关键字，只要将这些关键字（假如跟自己网站的UR1冲突，能够不添加这个关键字）添加到签名中即可解决自己的网站SQ1注入、跨网站脚本等安全问题。常见关键字（以后还能够根据自己对网站的安全扫描不断添加完善属于自己的过滤关键字）：CMD.1=1、1=2、and、exec、insert、de1eteupdate、count*、Chr、mid、mastertruncatechar、dec1are、up1

10、oads&、net、admino在设置了UR1长度、签名之后，假如在打开某个网站地址时,出现“错误代码500”等错误页，请检查设置的UR1长度是否太短，地址栏中的字符是否在“签名”中被过滤掉，这些能够根据实际情况配置。通过上面的方法设置好ISA后，已可非常有效的防止黑客的攻击，然而正如上面所说，一台WEB服务器不可能只存在一个WEB网站，通常情况下都通过主机头的方式存放多个网站，万一有一个网站被黑客攻破，会殃及其它网站甚至整台服务器的网络安全，因此我们还要需要通过下面一招来防护WEB服务器的安全五、WEB服务器上I1S的安全防护原理非常简单，将同一WEB服务器上的各个网站的安全问题隔离开，即使

11、一个网站被黑，也能够保证其它网站的安全。1、为每一个网站建立一个独立的用户（一定要禁用默认的Internet来宾帐户）。右键单击“我的电脑”选择“管理”，在“本地用户与组”为每一个网站建立一个独立的用户，建立完成后务必要删除此用户隶属于默认的IJSerS组，只能隶属于GUeSt组。2、为每一个网站建立一个独立的“应用程序池”（一定要禁用默认的应用程序池）。在使用I1S管理器建立网站之前，务必先为每个网站建立一个应用程序池，方法为右键单击“应用程序池”，选择“新建”中的“应用程序池”，输入应用程序池名称后确定，然后右键单击刚才建立的应用程序池，选择属性进行更全面的设置，要紧是进行每个网站点用系统

12、CPU与内存的设置，建议将最大使用内存设置为50-80MB之间，最大CPU（双核的情况下）使用率设置在5%。通过这个设置，黑客就没办法疯狂地对网站发动攻击了，而且能够操纵每个网站占用系统资源3、通过主机头方式建立各网站并对每个不一致的网站分别进行安全设置。具体过程这里就不再重复讲了，要紧讲一下按向导建立后的一些细节设置，右单击刚建立的网站，选择属性：A、更换默认的应用程序池：由于刚才已为每一个网站建立了应用程序池，因此要选择网站属性中的“主目录”选项卡中的对应建立的应用程序池，不一致的网站选择自己对应的应用程序池，这样即使黑客对某一个网站发动攻击，由于不一致的应用程序池占用内存与CP1J受到了

13、上面设置的严格限止，因此其它网站的性能不可能受到影响，否则假如所有网站使用同一个应用程序池，那黑客一发动对一个网站攻击，所有网站速度等性能会受非常大的影响B、更换网站的目录安全。这项设置是将黑客攻破网站后将权限锁定在对应目录中，结合上面的ISA设置，能够限止其提升在整个操作系统中的用户权限继而操纵整个服务器。点击”目录安全性”选项卡中“同意匿名访问资源及编辑身份验证方法”的编辑按钮，其它不用修改，将默认的“Internet来宾帐户”改成刚才为每一个网站建立的用户即可，这样即使攻破一个网站，其不但无法通过刚才说的方法提升在整个操作系统中的用户权限，而且由于不一致的网站使用不一致的匿名用户，其也无

14、法对不属于自己的网站开展网页的篡改来挂木马。因此刚才在建立网站用户的时候，最关键的一点是要将密码设置的够复杂（建议16位以上）。4、更换对应网站目录访问权限。由于网站要对数据库进行写操作，也要上传图片、附件等，因此要对网站目录进行合理细致的访问权限设置，通常情况下关于没有上传需要的目录，设置刚才建立的用户只读属性，关于需要写入数据或者上传附件的目录，设置有写入权限。简单办法是将整个网站目录设置成刚才建立的用户有如下图所示的权限。这样一来，即使黑客搞到你所设置的16位超长密码，也只能在这个文件夹内对应的网站上进行捣鼓，没有办法去破坏其它网站对应的目录。y屋性常规共享安全Web共享自定义组或用户名

15、称8）：AdministratorG-XWGYAdministrators)2CREATOROWNER2SYSTEMOUSerSO.XWGYUser)C实验小学C1XWGYxyxwb)添加.I册1除实验小学的权限)允许拒绝完全控制修改读取和运行列出文件夹目录读取写入Ut.Qt1rAHPH特别权限或高领设置，请单击“高级”。高级9I确定I取消I应用3）六、其它功能介绍通过上面的设置，我们能够保证网站的安全，只要平常多分析自家网站的安全漏洞（尽管大型网站的代码漏洞修补关于通常教育城域网的管理者来讲存在一定困难，但能够巧妙地利用这个ISA+IIS相结合的防护方案将安全漏洞降到最低）。当然ISA是一款功能非常强