改造ISA网络：提高内外网安全性

　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张琰珺,　 2008-05-04 17:48

　　本文介绍如何通过将传统的路由器组成的局域网改造为ISA网络，实现访问限制和网络隔离，从而提高内外网的安全性。

　　【IT专家网独家】最近，笔者帮本地一建筑企业进行了局域网改造，现把相关过程还原出来，希望对大家有所帮助。

　　该企业改造前的网络拓扑见图1，网络中的所有服务器直接连接到核心交换机，工作站根据职能部门分成3个子网，通过接入层交换机接到核心交换机。　　

　　图1

　　一、说明

　　1.改造原因：由于该企业没有专职的网络管理人员，服务器疏于管理往往不能及时打补丁，系统存在严重漏洞。服务器经常遭受外部或者来自内部客户端的攻击，造成企业信息的泄露，服务器瘫痪。

　　2.改造要求：

　　(1).加固服务器的安全性，进行UAC控制。

　　(2).尽量不对当前的网络结构进行大的调整，实现网络的平滑改造。

　　(4).不改变员工的使用体验。

　　二、分析

　　1.诊断：从图1的拓扑可以看到，该企业局域网通过“路由器”与Internet连接，可以阻止Internet的用户访问“服务器”，从而对服务器提供了一定的保护能力。但对于局域网来说，所有的工作站可以“直接”访问服务器，如果服务器没有及时打补丁或者存在某些漏洞，很容易被内网上的工作站攻击，这种攻击有时候并不是由使用工作站的用户发起的，而可能是这些工作站上感染了某些病毒或者木马而“自动”形成的到内网服务器的攻击。另外，在大多数情况下，使用“路由器”提供到Internet的访问，性能与功能有限。

　　2.方案：基于以上的分析，笔者决定在局域网中用ISA Server 2006部署一台ISA服务器来代替原来的“路由器”连接Internet。服务器和各个子网分别通过交换机连接到ISA=服务器，进行网络隔离，然后在ISA服务器中对客户端访问服务器进行UAC控制，改造后的网络拓扑见图2。　　

　　图2