1.1
ISA Server概述
本节主要介绍ISA Server的特性和优点。
本节学习目标
l
说明ISA Server两个版本的不同之处
l
描述ISA Server支持的功能类型
l
说明ISA Server如何利用Windows 2000的特性提供高度的安全、优越的性能和方便的
管理
l
描述ISA Server内建的可扩展性和可伸缩性
估计学习时间:45分钟
ISA Server是建立在Windows 2000操作系统上的一种可扩展的企业级防火墙和Web缓存服务器。ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且,通过本地而不是Internet为对象提供服务,其Web缓存服务器允许组织能够为用户提供更快的Web访问。在网络内安装ISA Server时,可以将其配置成防火墙,也可以配置成Web缓存服务器,或二者兼备。
ISA Server提供直观而强大的管理工具,包括Microsoft 管理控制台管理单元、图形化任务板和逐步进行的向导。利用这些工具,ISA Server能将执行和管理一个坚固的防火墙和缓存服务器所遇到的困难减至最小。
1.1.1
版本对比
ISA Server现有两个版本。
1.1.1.1 ISA Server企业版
ISA Server企业版是为了满足大容量Internet通信环境对性能、管理和扩展能力的要求而推出的。此版本提供集中式服务器管理、多级访问策略、服务器阵列群集,以及容错能力等。
1.1.1.2 ISA Server标准版
ISA Server标准版具备为小型企业、工作组和部门环境提供企业级防火墙安全和Web缓存的能力。对于关键业务环境来说,标准版具有极高的性价比。
1.1.1.3 主要差别
这两个版本的安全、缓存、管理、性能和扩展能力是相同的。但是,标准版作为独立的ISA Server计算机运行,它只支持本地策略,最多可以支持4个处理器。企业版是集中管理的多服务器阵列,它支持企业级和阵列级策略以及无限的伸缩性。
虽然这本书主要是介绍ISA Server企业版的配置和管理,但是了解两个版本之间的差异,有助于您决定哪个版本更适合您的网络。表1.1列出了这两个版本之间的区别。
1.1.2
ISA Server的作用
不管是什么规模的组织,只要它关心自己网络的安全、性能、管理和运营成本,对其IT管理者、网络管理员和信息安全专业人员来说,ISA Server都具备使用价值。ISA Server有3种不同的安装模式:防火墙(Firewall)模式、缓存(Cache)模式和集成(Integrated)模式。集成模式能够在同一台计算机上实现前两种模式。组织可以有多种联网方案来部署ISA Server,包括以下所述的几种方法。
1.1.2.1 Internet防火墙
ISA Server可以安装成专用防火墙,作为内部用户接入Internet的安全网关。在信道里ISA Server计算机对其他方来说是透明的。除非是违反了访问或安全规则,那么任何用户或应用程序通过防火墙时都看不到ISA Server。
作为防火墙,ISA Server允许设置一组广泛的规则,以指定能够通过ISA Server的站点、协议和内容,由此实现您的商业Internet安全策略。通过监视内部客户机和Internet之间的请求和响应,ISA Server可以控制哪些人能够访问公司网络里的哪台计算机。ISA Server还能控制内部客户端能够访问Internet上的哪台计算机。
1.1.2.2 安全服务器发布
使用ISA Server您能够向Internet发布服务,而且不会损害内部网络的安全。要实现这一点,只需让ISA Server计算机代表内部发布服务器来处理外部客户端的请求即可。
1.1.2.3 正向Web缓存服务器
作为正向Web缓存服务器,ISA Server保存集中缓存内经常受到请求的Internet内容,专用网络内的任何Web浏览器都可以访问这些内容。这样可以改善客户端浏览器的性能,缩短响应时间,并且减少Internet连接的带宽消耗。
1.1.2.4 反向Web缓存服务器
ISA Server可以作为Web服务器。它用缓存中的Web内容来满足传入的客户端请求。只有缓存中的内容不能满足请求时,它才会把请求转发给Web服务器。
1.1.2.5 防火墙和Web缓存集成服务器
组织可以将ISA Server配置成单独的防火墙和缓存组件。不过,有些管理员会选择单一的防火墙和Web缓存集成服务器,以提供安全快速的Internet连接。不管组织如何配置ISA Server,都能从集中化、集成的基于策略的管理中受益。
1.1.3
集成Windows 2000
ISA Server建立在Windows 2000技术之上,以实现高度的安全、优越的性能和方便的管理。下面列出ISA Server所集成的能够提供更好的安全、性能和管理能力的Windows 2000技术。
l
网络地址转换(NAT)
通过执行ISA Server的SecureNAT(安全网络地址转换客户端)策略,ISA Server扩展了Windows 2000 NAT功能。(见图1.1)
综合虚拟专用网络
ISA Server可以配置成虚拟专用网络服务器,以支持安全的网关对网关或客户端对网关的Internet远程访问通信。基于Windows 2000标准的VPN支持点对点隧道协议(PPTP)以及第2层隧道协议(L2TP)/ Internet安全协议(IPSec)技术。
l
身份验证
ISA Server支持Windows的身份验证,包括Basic、NT LAN Manager(NTLM)、Kerberos和电子证书。
l
系统强化
ISA Server使用的Windows 2000安全模板在不同的安全级别锁定操作系统。
l
Active Directory存储
如果将ISA Server企业版设置成多服务器阵列,则配置和策略信息就会集中存储在Active Directory目录存储器中。此外,ISA Server能够对Active Directory目录存储器定义的用户和组实施访问控制。
l
层策略管理
通过定义一个或多个企业策略,并把它们应用于企业阵列,ISA Server企业版可以应用Active Directory目录服务的分布式特性。这个过程支持分层的和可伸缩的管理模式。
l
MMC管理
ISA Server管理界面叫做ISA Management(参见图1.2)。ISA Management是MMC的一个管理单元,为导航提供Taskpad视图和Advanced视图。MMC可以扩展,允许第三方的产品与ISA Server的管理控制台无缝整合。
l
服务质量(Quality of Service QoS)
ISA Server建立在Windows 2000 QoS技术上,从而为通信数据指定优先级。此外,它还可用于带宽控制管理。
l
多处理器支持
ISA Server利用Windows 2000对称多进程处理(SMP)的体系结构改善
性能。
l
客户端自动发现特性
运行在ISA Server上的防火墙客户端软件支持Web代理自动发现协议(WPAP),能够自动连接网络中的ISA Server,而无需对每个新客户端逐一进行配置。
l
管理部件对象模型(COM)对象
ISA Server有计划地对规则引擎和所有管理选项进行
访问。
l
Web筛选器
ISA Server Web筛选器基于Internet服务器应用编程接口(ISAPI),它能够检查或控制通过网关的超文本传输协议(HTTP)和文件传送协议(FTP)的通信。
l
警报
ISA Server在Windows 2000 Event Log(事件日志)中记录警报。
1.1.4
可伸缩性
运行ISA Server企业版的计算机可以组成阵列。在ISA Server中,一个阵列就是一组提供容错、负载平衡和分布式缓存的ISA Server计算机。阵列安装允许一组ISA Server计算机可以作为单一逻辑实体来处理和管理。它还能提升性能,节约带宽。将多台ISA Server计算机组成阵列,可以把客户端的请求分发给多个ISA Server计算机,从而节约客户端的响应时间。因为负载分布到阵列内所有的服务器上,所以即使是使用中等的硬件也能获得改良的性能。
提高ISA Server可扩展性的其他功能包括:
l
对称多进程处理
利用Windows 2000SMP,ISA Server可以使用多个处理器使性能按比例增加。ISA Server标准版在一台计算机上最多支持4个处理器,而ISA Server企业版通过阵列可以支持无限多的中央处理器。与其他产品不同的是,ISA Server利用额外的处理能力来增强性能。
l
网络负载平衡
ISA Server利用Microsoft Windows 2000 Advanced Server或Windows 2000 Datacenter Server的Windows网络负载平衡(NLB)服务,通过对若干ISA Server计算机群集来提供容错、高可用性、高效率和改良的性能。NLB对防火墙、反向缓存(Web发布)和服务器发布安装配置格外有用。
1.1.5
可扩展性
很多第三方供应商都向ISA Server提供扩展功能,例如病毒检测、内容筛选、站点分类、高级报告和高级管理等。
客户和开发人员自己也可以对ISA Server进行扩展。ISA Server包含一个综合软件开发工具包(SDK),用来开发基于ISA Server防火墙、缓存和管理特性的工具。此外,ISA Server还包含脚本示例,以免管理员从头开发脚本。您可以修改脚本示例,指定运用脚本所需的协议、规则或站点。
1.1.6
ISA Server体系结构
ISA Server在多个通信层上运行,以保护公司网络。在数据包层,ISA Server实现数据包筛选。当数据包筛选被启用后,ISA Server可以静态地在外部接口控制数据,在入站和出站的通信到达任何资源之前就对其进行鉴定。允许通过数据包筛选层的数据传送到防火墙和Web代理服务,在那里由ISA Server规则决定是否为此请求服务。
如图1.3所示,ISA Server保护3种客户端:防火墙客户端、SecureNat(安全网络地址转换)客户端和Web Proxy(We
