实用ISA Server 2006之一: 简介
 
参考了一些资料、有些朋友的文档和自己的使用过程,整理了实用ISA Server 2006系列,希望对想学想用ISA Server 2006 的朋友有些帮助。
 
 
Microsoft Internet Security and Acceleration Server 2006简称ISA Server 2006是微软公司推出的一款重量级的网络安全产品,被公认为X86架构下最优秀的企业级路由软件防火墙。ISA Server 2006具备着防火墙、应用层防护、×××与网页缓存等优异功能,凭借其灵活的多网络支持、易于使用且高度集成的×××配置、可扩展的用户身份验证模型、深层次的HTTP过滤功能、经过改善的管理功能,在企业中有着 广泛的应用。 ISA Server 2006 安装在Windows server 2003 服务器上,可以说与Windows server 2003 是绝配搭档,是企业网络安全防护的极佳选择。

 

1.  ISA Server 2006 的主要功能

ISA Server 2006 是一个符合现代化企业需求的多功能产品,其优异功能包含:

防火墙(firewall   防火墙可以过滤进出内部网络的流量,可以利用它来控制内部网络与因特网之间的通信,以增加网络的安全性。也可以利用它安全地发布企业内部的服务器,如电子邮件服务器、FTP服务器、网站等,以便让客户与合作伙伴来访问内部网络的资源。ISA Server 2006 除了一般数据包筛选功能外,还提供了许多应用程序筛选器,它可以针对应用程序来筛选数据包。

虚拟专用网(×××  虚拟专用网可以让远程用户与局域网(LAN)之间,或者是分别位于两地的局域网之间,通过因特网来建立一个安全的通道。

网页缓存(web cache  通过将用户经常访问的网页保存到ISA Server 2006 的硬盘与内存,不但让用户更快地访问到所需要的网页,同时也可以提高网络的效率、节省网络的带宽。

 

2.        缓存的运作方式与缓存的种类

 

ISA Server 2006 缓存的运作方式

ISA Server 2006 将用户所需的网页对象保存到缓存区(硬盘或内存)后,可以让其他用户很快取得所需的网页对象。下面的图例说明了ISA Server 2006 处理用户网页请求的流程。

 

 

客户端1经过①②③④几个步骤第一次成功地访问到网站http://www.isacn.org后,ISA Server 服务器就会把网页http://www.isacn.org保存到缓存区,当客户端2 或其他客户端再访问此网页时,就会直接从ISA Server 服务器缓存区读取该网页对象,不需要再到因特网去读取,由此可见,ISA Server 缓存不但让用户快速得到所需的对象,也可以减少占用对外部网络的带宽,提高网络的效率。

 

ISA Server 2006 缓存的种类

    ISA Server缓存分为正向缓存、反向缓存、链式缓存和分布式缓存等。比较常用的是正向缓存、反向缓存两种。

正向缓存(forward caching  ISA Server 将内部网络用户所请求的因特网网页对象保存到缓存区,以便加快内部网络用户访问网页的速度。前面所示的实例其实就属与这一种。

 

 

反向缓存(reverse caching  当将内部网站发布到因特网后,只要因特网的用户通过ISA Server 来访问网站的网页对象,ISA Server 便会将此网页对象保存到缓存区,之后有因特网的其他用户要访问相同的网页对象时,ISA Server 就能很快地从缓存区读取该对象,然后传给用户。如下图所示:

 

 

 

3.           ISA Server 2006 防火墙的设置种类

 

一般ISA Server 2006 防火墙设置种类有四种:边缘防火墙(Edge Firewall3向外围防火墙(3-Leg Perimeter Firewall)、背靠背防火墙(Back-to-Back Firewall)与单一网络适配器(网卡)。

边缘防火墙(Edge Firewall   下图为边缘防火墙(Edge Firewall)的构架,其中的ISA Server 2006 防火墙计算机有两个网络接口(也就是有两个网卡),一个连接内部网络,一个连接外部(因特网),防火墙介于内部网络与外部网络之间,这种构架能够保护内部网络的安全,避免外来***者访问内部网络资源。也可以开放让内部用户访问外部资源。这是最常见最容易架设的防火墙架构。

 

 

3向外围防火墙(3-Leg Perimeter Firewall)  下图为3向外围防火墙(3-Leg Perimeter Firewall)的构架,其中的ISA Server 2006 防火墙计算机有三个网络接口(也就是有三个网卡),一个连接内部网络,一个连接外部(因特网),一个连接外围网络,也就是DMZ区(非军事区)。这种构架除了内部网路资源受到防火墙的保护,不受外部***外,还可以把对外部用户访问的资源放到DMZ区,专供外部的用户访问,如电子邮件服务器或WEB服务器等。

 

 

背靠背防火墙(Back-to-Back Firewall)  下图为背靠背防火墙(Back-to-Back Firewall)的构架,每个ISA Server 2006 防火墙计算机都有两个网络接口。对前端防火墙来说,它的内部网络包含“中间的外围网路(DMZ)与左边的ISA Server 后端防火墙及其内部网络”,对后端防火墙来说,它的外部网络包含“中间的外围网路(DMZ)与右边的ISA Server 前端防火墙及其外部网络”。可以将要开放给外部用户访问的资源放到DMZ区域内,并经过前端防火墙的做适当的过滤、保护,内部网络会受到前端和后端防火墙的同时保护,因此更为安全。背靠背防火墙(Back-to-Back Firewall)是最安全的构架。

 

 

单一网络适配器(网卡)  这种构架的ISA Server 2006服务器只具备网页缓存、网站发布、OWAOutlook Web Access)服务器发布等功能,不支持其他高级功能,例如×××、一般服务器发布、防火墙客户端、无法被设置成边缘防火墙(Edge Firewall)等。一般是在单位内部已经有一台边缘防火墙(Edge Firewall)的情况下,才会使用这种构架,如下图所示的ISA Server 2006缓存服务器,这台ISA Server 2006计算机只安装一张网卡,此处它是扮演缓存服务器的角色。

 

 

4.           ISA Server 2006 ××× 的集成

 

由于××× 已经被集成到ISA Server 2006 内,因此我们不需要再利用Windows Server 2003的路由及远程访问服务来设置××× 服务器,而是直接通过ISA Server 2006 来设置。通过ISA Server 2006 可以架设以下两种类型的×××

远程访问 ××× 连接  如下图所示:总部网络已经连接到因特网,而××× 客户端在外地连上因特网后(通过调制解调器、ADSL、局域网等),就可以与总部的××× 服务器建立××× ,然后通过××× 来安全地传输数据。

 

 

    点对点××× 连接  如下图所示:点对点××× 连接又称为路由器对路由器 ××× 连接,图中的两个局域网的 ××× 服务器都连接到因特网,然后通过因特网建立 ××× ,它让两个网络之间的计算机可以通过××× 服务器来安全地传送数据。

 

 

另外,ISA Server 2006 也可以与第三方硬件防火墙(××× 网关)一起,构建出完善的企业 ××× 网络环境。

 

 

 

5.        多重网络的支持

 

ISA Server 2006 支持多重网络功能,如下图所示的ISA Server 2006 防火墙同时连接总公司网络、分公司网络、DMZ 网络、外地 ××× 客户端与外部网络(因特网)。可以通过ISA Server 2006 防火墙来设置任两个网络之间的连接规则。

 

 

ISA Server 2006 防火墙已经内建了以下数个网络:

内部网络(Internal network 一般来说,内部网络就是指内部的局域网。

外部网络(External  network 除了已定义的网络(例如内部网络、DMZ 网络、外地 ××× 客户端)之外,其他所有的网络都属于外部网络。

边界网络(Perimeter network 也就是 DMZ 、屏障子网络。

××× 客户端(××× clients ××× 客户端连接到ISA Server 2006 防火墙(××× 服务器)后,它们会被归纳到这个被称为××× 客户端的网络。

隔离的××× 客户端(Quarantined ××× Clients 如果在ISA Server 2006 防火墙上启用了隔离控制功能,则可以要求××× 客户端必须符合规定,才会被归纳到××× 客户端网络,如果客户端无法通过检查,就会继续被隔离在隔离的××× 客户端网络。

本地主机(Local host  就是指ISA Server 2006这台计算机。

 

6. ISA Server 2006 企业版的特色

ISA Server 2006 分为标准版与企业版。企业版除了包含我们上面所介绍的标准版的所有功能外,它还具有阵列的功能,也就是说在将多台ISA Server 2006 企业版计算机组成阵列后,它便具有以下的特色:

支持网页缓存阵列(Web caching array ISA Server 2006 企业版通过CARP 技术来支持此功能,它将大幅度地提高了内部用户访问网页对象的效率。

NLB(网络负载平衡)的集成  ISA Server 2006 企业版可以利用NLB来提供负载平衡与故障转移的功能,也就是说平常阵列中的ISA Server 2006 都可以提供服务来分散负担,如果阵列中某台ISA Server 2006 因故停止服务,其他的ISA Server 2006 仍然可以继续提供服务。

阵列设置数据保存在ADAM数据库  阵列的防火墙原则等配置数据被保存在ADAM数据库内,而这个数据库是放在配置存储服务器(CSS)内。

支持阵列原则与企业原则  ISA Server 2006 标准版是单纯的通过防火墙原则内的访问原则来筛选进出 ISA Server 的流量,这个原则只适用于这台ISA Server 单一计算机。而企业版还提供了阵列原则与企业原则:

阵列原则  在阵列防火墙原则内所建立的访问规则,会被应用到这个阵列内所有的ISA Server。每一个阵列可以有自己的阵列防火墙原则。

企业原则   在企业原则内所建立的访问规则,会被应用到这个企业内的所有阵列与这些阵列内的所有的ISA Server服务器。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 
ISA Server 2006 180天试用版(和正式版功能完全一样)下载链接:

http://www.microsoft.com/downloads/details.aspx?FamilyID=84504cad-893b-4212-9ab2-999ad1d8fe68&DisplayLang=zh-cn