ISA 2004 介绍

/**

路由级网络防火墙(Microsft@ Internet Security and Acceleration Sever 2004 简称ISA 2004)

1、新功能概述

和ISA 2000相比，ISA 2004中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能（包括配置导入和导出）。

2、全新的多网络架构支持

为了实施多网络方案，ISA 2004 服务器引入了下列概念：

网络：从ISA Server 2004 服务器的角度来看，网络是可以包含一个或多个IP地址范围或域的元素。网络包含一台或多台计算机，并且始终对应于ISA Server 2004 服务器上的网络特定适配器。你可以对一个或多个网络应用规则。

网络对象：创建网络后，可以将其组织成网络对象集（子网、地址范围、计算机集、URL集或域名集）。规则可以应用于网络或网络对象。

网络规则：可以配置网络规则，以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接关系，以及将使用哪一种连接。可以通过下列连接方式之一连接网络：网络地址（NAT）或路由（Route）。

在ISA 2004 中，有两种类型的VPN连接：

远程访问VPN连接。客户端建立远程访问VPN连接，以连接到专用网络。ISA Server  2004服务器作为VPN接入服务器，远程客户通过连接它来进入内部网络。

站点到站点的VPN连接。两个VPN服务器之间建立站点到站点的VPN连接，将专用网络的两个部分安全地连接起来。

可以为每个VPN客户端网络创建两个不同的策略：

被隔离的VPN客户端网络。将访问控制在某些服务器的范围内，客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。

VPN客户端网络。可以允许访问所有公司（内部网络）资源，或者根据需要限制访问。VPN客户端网络将拥有与外部网络 的NAT关系。系统将配置一个定义VPN网络与外部网络之间的NAT 关系的网络规则。

4、更方便的管理

（1）全新的管理界面

（2）策略模板支持

ISA 2004提供了5个预定义的网络模板：边缘防火墙、3向外围网络（含DMZ）、前端防火墙、背部防火墙、单网络适配器。

（3）配置的导出与导入

（4）其它管理增强

a、仪表板       b、实时的日志监控        c、强大的报告功能        

5、全面的协议支持

6、让网络更安全

（1）基于每个策略的HTTP过滤

（2）阻止到所有可执行文件的访问

（3）扩展名决定是否可以下载

（4）“HTTP签名”控制HTTP访问

（5）FTP只读策略

二、安装ISA Server 2004

三、配置允许所有内部用户访问Internet的所有服务的访问规则

在ISA Server 2004中，防火墙策略是由网络规则、访问规则和服务器规则三者的结合。

1、网络规则

网络连接的方式有：

路由：当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络。源客户端地址包含在请求中。当发布位于DMZ网络中的服务器时，可以使用路由网络规则。

网络地址转换(NAT)：当指定这种类型的连接时，ISA服务器将用它自己的IP地址替换网络中的客户端的IP地址。当定义内部网络与外部网络之间的关系时，可以使用NAT网络规则。

安装时，会创建以下默认规则：

a、本地主机访问：此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。

b、VPN客户端到内部网络：此规则指定在两个VPN客户端网络(“VPN客户端”和“被隔离的VPN客户端”)与内部网络之间存在路由关系。

c、Internet访问：此规则定义了在内部受保护的网络(如内部、VPN客户端等)与外部网络之间存在的NAT关系。

2、访问规则

(1)、防火墙系统策略

(2)、建立访问策略

四、使用边缘防火墙模板：五步建立访问策略

五、两步启用HTTP缓存

启用缓存有两个条件，首先是设置了缓存所用的驱动器，其次是设置缓存规则。

六、ISA Server 的系统和网络监控、报告

1、系统和网络监控

2、写报告

七、使用访问规则向导来禁止某些内部用户访问某些网站

八、禁止使用P2P软件--QQ

九、发布内部网络中的服务器

十、利用ISA Server 2004 ,四步建立你自己的VPN服务器