一. 企业和阵列
企业是一个逻辑概念,类似于Windows中的域,是企业管理模型在防火墙软件中的体现
阵列是一组ISA计算机的组合。阵列的所有成员共享相同的配置,可以简化对防火墙的管理
二. 多网络环境
1. 网络结构
本地主机:代表ISA Server是算计本身,定义了一组Ip地址,包括绑定到本地ISA Server计算
上的网络适配器的所有IP地址和127.0.0.1
内部网络:ISA保护的网络
外部网络:防火墙之外的网络
2. 网络模板
边缘防火墙:ISA Server有两个网络连接,一连接内网,一个连接外网
3向外围网络:利用ISA Server连接内部网络,外部网络和外围网络的网络拓扑
前段防火墙:利用ISA Server连接外部网络和外围网络的网络拓扑,前段防火墙的内部还
有一个防火墙,配置在后端,以便保护内部网络
后端防火墙:在前段防火墙的后面,用于连接外围网络和内部网络的防火墙配置,用以保护内部网络的为后端防火墙
三. 防火墙策略
1. 策略元素(每条防火墙都是由一些零件组成,这些零件成为策略元素,每个策略元素都可以
指定防火墙规则的某些参数,多个参数便构成整个防火墙策略)
协议:ISA Server中包括许多预配置协议,创建访问规则或服务器发布规则时可以使用这些协议,用户可以自己创建
用户:创建防火墙策略时,需要将安全策略应用于特定的IP地址或用户
内容类型:当数据包经过防火墙时,ISA Server可以根据已定义的规则检查数据包的内容,以便限制或过滤某些内容
计划:时间计划用于设定时间范围,以便应用到规则中,指定规则在什么时候生效
网络对象:创建网络规则时,应指定应用规则的源和目标,源和目标始终是网络对象
2. 防火墙策略规则
网络规则:网络规则定义了网络拓扑及网络间如何连接,ISA 2006定义了两种网络规则,分
别是网络地址转换和路由
访问规则:访问规则定义了用户如何访问网络.包括访问网络的协议,访问时间,访问内容等,系统会自动创建许多网络规则,用户可以自己创建,如果ISA中设定了多个访问规则,则前面的规则生效
四. 发布服务器
1. 发布原理
将内部网络中的服务提供给外部网络用户访问的过程叫做“发布”
发布内部网络中的服务后,ISA处理外部客户向内部提出的请求,并将请求转发给内部
服务器
发布位于ISA之后的Web/FTP/MAIL/服务器后,ISA将代表内部Web/FTP/MAIL服务器接收请求。ISA上的Web/FTP/MAIL发布规则将请求转发到内部Web/FTP/MAIL服务器
2. 发布过程
WEB:先发布DNS,再发布网络