最近动手整理些以前的安全实施和维护文档,选了部分有代表性的问题出来,供大家参考,今天先拿一个简单点的问题,以后会不定期的发一些问题.先说明给出的问题会有不同得解决方法,[color=olive]我的目的是希望大家能够从解决问题的思路上去考虑,不在意是否确切的解决方案.[/color]
[size=18][color=green][菊花与酒][安全 启发式问题][lv1][/color][/size]
难度系数:lv1(min->;lv5(max)
[问题一]
需求简述:
1.只有服务器PC1、PC2能访问ISA内网中的服务器PC3的8000端口及PC4中的8001端口。
2.ISA内网中的PC3、PC4服务器只能访问ISA服务器中的21、20端口。
3.ISA外网中的机器能访问ISA服务器中的3389端口(需更改端口号为9861)。
4.ISA外网中的机器能Ping ISA服务器的外网网卡IP。
5.ISA内网中的机器不能访问ISA外网中的任何机器。
问题:
1、根据网络结构图说明为确保该实施方案能够实施,需要考虑哪几个方面(技术上)?
2、给出ISA中的基本配置及access policy。
3、如何更改终端服务通信端口?(不考虑工具)
提示:1、ISA本身的机制会对实施方案产生影响。
2、ISA版本为2000企业级,sp2。
人生五十年 回复于:2004-08-05 13:16:31
...
天下第二 回复于:2004-08-05 13:43:24
答对了有没有奖品啊?
司 回复于:2004-08-05 16:42:40
能不能换个放火墙啊?对ISA不熟悉啊:(
保留一下,给大家参考^_^
FPE5 回复于:2004-08-05 16:49:11
赞同司想法。嘿嘿。
ISA一点都不了解。
人生五十年 回复于:2004-08-06 13:37:02
防火墙的机理都差不多的,问题在于你解决问题的思路
fushuyong 回复于:2004-08-08 11:36:49
建议你将ISA换成一台linux 实现起来就很简单
zhangshoug 回复于:2004-08-09 08:12:52
非常简单,ISA我没用过
人生五十年 回复于:2004-08-09 14:43:36
看来安全版真是卧龙藏虎,这么多人说这个问题简单...
惭愧啊惭愧
liulegend 回复于:2004-08-09 18:26:24
这些技术我是用Linux firewall+acl实现的。isa我觉得还是比较烂的。
myld 回复于:2004-08-21 11:31:48
isa设置上不方便,不灵活,见议使用iptables
onebuyone 回复于:2004-08-24 14:42:23
对于ISA不怎么了解,但是防火墙的工作原理大致相同的。问题中的访问控制需要可以通过策略实现。(根据拓扑图,由于直连,不考虑地址转换。但是采用了201段的IP,不知道什么意思)
Source destination protocol service action
1、PC1 + PC2 PC3 tcp 8000 Accept
2、PC1+ PC2 PC4 tcp 8001 Accept
3、pc3+pc4 isa tcp 20+21 accept
4、out_any isa tcp 3389 accept
5、out_any isa icmp accept
6、any any any deny
对于修改终端服务的通信端口,不知道如何做。请赐教了。
hymouse 回复于:2004-08-24 21:08:54
偶也是这么认为的
用FW+Linux会简单一些的
BTW:ISA一点都不懂的
引用:原帖由 "liulegend"]这些技术我是用Linux firewall+acl实现的。isa我觉得还是比较烂的。
发表:
人生五十年 回复于:2004-08-25 10:02:22
其实怎么说呢?我看了上述的一些回答,大家的回答着重点还是在于具体的技术实现上了,但是作为一个层次高点的安全工程师考虑问题时如果这么出发,那只能说明在自身意识上有所欠缺。这道题如果从技术实现上说是相当简单的,任何一个fw都能通过几步设置完成,任何技术的原理都是基本相通的。我标题上说的就是启发式的问题,问题的重点在于“根据网络结构图说明为确保该实施方案能够实施,需要考虑哪几个方面(技术上)? ”,我其实是希望大家通过我不完全的发问,能够提出自己的问题来。如果做什么事情还是从技术实现的角度考虑,不去考虑其他的因数的话,事情会做的很困难,甚至失败,要做好风险规避的措施。
onebuyone 回复于:2004-08-25 11:27:58
楼上的说的很有道理,双手赞同!密切关注本系列的发展!
dinga 回复于:2004-08-26 16:44:27
1.对ISA不是非常熟悉.就以前在单位配过一次.作为网关来使用.感觉rules不是很灵活,有点呆板.作为客户机的机器还要安装专门的客户端才能访问一些不是标准的网络服务.如果是我来做.我就弄台PC做装个FreeBSD配一下ipfw.
2.省略
3.改改注册表重启一下就可以了.两处需要改.google上随便找一下铺天盖地
skylove 回复于:2004-08-27 00:31:08
iptables做起来很简单的。。。
那么根据你的说法,把问题推进一步—— 可以做到tcp连接的时候,只允许由某一端发起连接,而不允许由另一端发起的连接的(isa我不是太熟悉,iptables实现这个简单),而简单地写成多个shell中,然后交由crond来处理,可以做到每30分钟让内网发起连外网,再过30分钟只准外网发起连内网这样的bt要求的。。。再bt一些的就暂时没想出来了,谁给想想看还有什么更bt的要求???
Jambo 回复于:2006-05-15 14:19:41
这个问题还没有解决呢,顶起来
lz再启发启发大家吧
skipjack 回复于:2006-05-15 14:39:10
引用:原帖由 Jambo 于 2006-5-15 14:19 发表
这个问题还没有解决呢,顶起来
lz再启发启发大家吧
可能脑子比较钝吧,不清楚LZ想用此砖引出什么样的玉:(
vyouzhi 回复于:2006-06-15 16:31:58
提出个人的问题,请不要笑
1,PC1 or PC2 有可能通过访问PC3 or PC4 之后,再在PC3 or PC4上面跳转到ISA服务的21,20上面吗?
如果不能,又如何来设置?
2。PC1 OR PC2 访问ISA服务器的9861终端之后,有可能通过ISA服务跳转到PC3 8000端口OR PC4 的8001端口上吗?,如果不能,又如何来设置?
3.如何的网络结构图才会发生上面的事情来,或不发生?
|
