在ISA Server企业版中我们需要配置存储服务器,这与标准版本不同。所以强化ISA Server 2004安全性有两个方面,一个是ISA Server服务自身安全性,第二个是企业管理也就是配置存储服务器的安全性。
ISA Server本身就是企业路由级别防火墙,但是ISA Server并不是硬件产品,它是基于WINDOWS产品的软件级防火墙,所以我们应该确保基于WINDOWS的产品的安全性。由于ISA Server 2004与Windows Server 2003的完美集成,推荐也是Windows Server 2003,所以我们在某种程度上也应该保证它的安全性。
注明:该图片归作者(LowPower)所有,其他人不能使用。
确保计算机操作系统的安全
首先我们可以安装最新的软件更新。或许大家都有一种看法认为MS的软件更新太多,是不是MS的产品本身存在缺陷?答案当然是否定的。对于一个好的产品来讲,在产品上市之后不断的提供更新可以完善软件的各项功能,并提供更加完善的安全性,因为技术总是不断的在发展。请确保以下安装了重要更新:
操作系统(Windows Server 2003/R2都已经发布SP2)
ISA服务器(SP3已经发布)
ISA服务器附加组件(包括MSDE 2000和OWC,MSFW就是ISA Server基于MSDE的一个实例)
当然以上的建议是不够的,我们还应当确保操作系统的整体安全性。以下几点提供参考建议:
MBSA(微软基线安全分析器)
ISA服务器的物理位置安全性
当怀疑ISA服务器受到入侵,建议重新安装ISA Server
配置 MSS:将安全 DLL 搜索模式启用为 Enabled 值
不要在ISA服务器上运行不必要的服务
ISA Server的安全配置
当部署完ISA Server之后,我们应当应用“最低权限”原则,将管理权限降至最低。这样可以避免具有高权限的账户进行了不必要的操作而导致意外问题。当要分配管理用户时,请认真权衡应授予用户的管理权限。以下列出部分建议:
账户请遵循命名原则以方便管理(例如ISAADMIN01)
使用强密码策略(强密码不包含用户帐户名的部分或全部,并至少包含下面四类字符中的三类:大写字符、小写字符、10 个基本数字,以及键盘上的符号(如 !、@ 或 #)
配置防火墙链时,使用IPSec来确保ISA服务器计算机与上游服务器间的安全通讯
检测应用规则的修改(比如端口)
身份验证
如果使用的是RADIUS服务器身份验证,请创建监视服务器状态的连接性验证程序,并且配置警报,以便在RADIUS服务器不能正常工作时可以执行适当的操作。
在不受信任的用户访问ISA服务器与RADIUS服务器之间的网络时应当配置IPSec。
日志和警报
建议以下管理操作:
定期详细查看日志信息
配置警报以便向管理员通知
配置“日至存储限制”警报定义,以停止ISA服务
保护配置存储服务器
ISA Server中引入了一个多层结构,在此结构中,配置信息存储在配置存储服务器中。所以当配置存储服务器不可用时,阵列成员将瘫痪。保护配置存储服务器就成为了一个重要的问题。下面给出了部分建议:
在实际生产环境中建议不要将配置存储服务器与ISA服务器安装在同一台服务器上,我们建议将配置存储服务器安装在不执行其他任务的专属服务器上
确保配置存储服务器具有重要更新,并确保物理位置安全
权衡管理员权限,建议不对配置存储服务器进行任何操作
建议不要将配置存储服务器放置在边缘网络
审核配置存储服务器上的权限更改
保护阵列的通讯安全
默认在安装ISA Server时,会为每个阵列成员创建一个私钥和公钥对。这些密钥用于在阵列成员之间传输机密数据。如果怀疑密钥已泄漏,建议重新安装ISA服务器来新建一个密钥对。我们同时还建议在阵列内通讯的网络中适用专用的网络适配器,该网络应包含所有阵列成员和阵列内地址。
NLB和CARP
当阵列中启用了网络负载平衡(NLB)我们建议:
将路由器置于启用了 NLB 的阵列前端。配置路由器,使它阻止原始 IP 通讯。否则,所有阵列成员将同时处理通讯。
NLB 启用后,它通过使用纯以太网协议通讯来同步阵列成员
当启用缓存阵列路由协议 (CARP) 时我们建议:
使用针对 CARP 通讯的专用网络。为该网络配置 Internet 协议安全 (IPsec)。
启用了 CARP 的网络应只供阵列成员访问。
