一般问题
问:ISA Server Standard Edition(标准版)与ISA Server Enterprise Edition(企业版)之间存在哪些差异?
答:ISA Server Standard Edition(标准版)与ISA Server Enterprise Edition(企业版)具有完全相同的特性集合、防火墙功能和Web缓存功能。所不同的是,ISA Server Standard Edition(标准版)属于最多可为配备四颗处理器的计算机提供支持的单机服务器产品。而对于大规模部署、服务器组支持、多级策略或配备四颗以上处理器的计算机来说,则需要使用ISA Server Enterprise Edition(企业版)。如需获取更多相关信息,请参阅Editions Comparison(版本对比)页面。
问:ISA Server 2000究竟属于防火墙,还是缓存服务器?
答:用户既可将ISA Server 2000配置为防火墙与缓存服务器的集成化解决方案,也可将其单单部署成防火墙或专用的缓存服务器。正在寻求高效防火墙解决方案的企业和机构可使用ISA Server提供的动态包过滤过滤、入侵检测、系统加固和“智能”应用程序过滤器等特性为自身网络系统提供安全保障。而重点谋求专用缓存解决方案的企业单位则可通过使用ISA Server所具备的高级缓存特性对自身网络系统实施增强。如需获取与上述内容和其它特性有关的更多信息,请参阅功能概述。
问:将防火墙与缓存解决方案相结合的优势主要体现在哪些方面?
答:虽然企业单位可选择就防火墙与缓存功能予以分别实现,但是,ISA Server对出站和入站流量提供了一致的单点访问策略与管理功能。这样一来,便减少了系统和网络管理人员所需接受的教育培训和需要管理维护的产品数量。
问:缓存功能的实现是否会对ISA Server作为防火墙所具备的安全性产生消极影响?不会。缓存基本上可以说是一种智能化的存储引擎,它使管理人员可以通过存储频繁检索的对象从而改进网络的访问性能。Web缓存建立在Web代理引擎基础之上,可提供Hypertext Transfer Protocol(超文本传输协议,HTTP)连接、过滤过滤功能和完成内容屏蔽和Uniform Resource Locator(统一资源定位,URL)阻断等与安全性相关的任务。
问:是否可以只部署防火墙功能?
答:是的。您可以将防火墙部署为防范式安全解决方案。作为安装过程的组成部分,您可对对ISA Server的安装模式进行选择:防火墙、缓存或集成模式。在防火墙模式下,您可对负责在企业网络与Internet之间实施通信控制的规则进行配置,以期为网络通信安全提供保障。您还可通过发布内部服务器的方式,同其它Internet用户一道对内部服务器上的数据实施安全共享。在缓存模式下,您可通过存储用户频繁访问的对象,从而改进网络性能并节省网络带宽。您还可发布内部Web服务器。集成模式是将防火墙与缓存特性合而为一的产物,这种模式有助于确保安全性,并改进系统性能。无论在何种模式下,您均可享受到由ISA Server企业策略管理、实时监控和报告特性所提供的益处。
问:缓存特性主要以何种方式影响带宽需求和信息可用性?
答:缓存特性主要通过缩短Web内容与相关用户间距离的方式来降低带宽需求。通过将频繁请求的内容置入缓存,最多可使带宽占用量降低40%。即使在内容来源处于脱机状态或不可用的情况下,缓存特性仍可确保将相关内容提供给目标用户。
问:可否从Proxy Server 2.0迁移至ISA Server?
答:可以。运行Microsoft Proxy Server 2.0的用户可以升级到ISA Server。ISA Server功能强劲的防火墙和缓存特性可以为Proxy Server 2.0的应用模式提供支持。但是,ISA Server是一个基于Microsoft Windows 2000操作系统安全性与可靠性的全新产品,并具备针对企业安全特性与缓存功能的新型体系结构。
问:何谓反向缓存,ISA Server是否可为该项特性提供支持?
答:反向缓存意味着将缓存置于Web服务器或电子商务应用程序前端。它之所以被称为“反向”,主要因为它是由Web服务器的管理员而不是由客户进行实施的,以便对来自服务器的相关内容执行缓存、分布或者卸载处理。ISA Server可为反向缓存特性提供支持,以便允许Web管理人员对相关内容进行缓存或分布处理,并籍此缩短用户响应时间。
问:ISA Server是否可为状态检测提供支持?
答:可以。ISA Server可针对整体综合安全性为三个级别的过滤过滤操作提供支持:数据包过滤层过滤、链路层过滤过滤和应用层过滤过滤。链路层过滤过滤通常被称为“状态检测”,该处理过程主要由以下内容组成:在数据包抵达防火墙时对其执行检测,保留状态信息,并根据访问策略允许或禁止相关数据包通过防火墙。ISA Server添加了应用程序过滤器,以便基于特殊应用程序命令的“智能化”检测在更高的通信层面上提供的过滤功能。而这就允许针对特定的简单邮件传输协议(SMTP)命令实施阻断,并针对基于所需接口的远程过程调用(RPC)访问进行过滤。
防火墙
问:如何将Routing and Remote Access Service(路由与远程访问服务,RRAS)同ISA Server 2000配合使用?
答:考虑到ISA Server的使用必须创建特定的路由,我们提供了一个向导程序,以帮助在具备Point-to-Point Tunneling Protocol(点对点隧道协议,PPTP)和Layer 2 Tunneling Protocol(第二层隧道协议,L2TP)支持的局域网(LAN)间配置相关连接。所有仅与路由相关的功能均不会面临在ISA Server与RRAS之间所发生的冲突。当然,安全性网络地址转换(SecureNAT)与动态数据包过滤功能仅应通过ISA Server(而非RRAS)进行配置。这不仅是首选方式,而且也是我们所极力推荐的方式。
问:RRAS与ISA Server 2000数据包过滤的区别体现在哪里?
答:ISA Server允许动态数据包过滤特性根据客户请求打开或关闭端口。这有助于提供更具安全性的防火墙,其原因在于,根据网络上使用的服务,除非完全必要,将不会有更多的端口处于长期开放状态。
问:ISA Server可为哪些协议提供相关支持?
答:ISA Server可对基于Transmission Control Protocol(传输控制协议,TCP)和User Datagram Protocol(用户数据报协议,UDP)的所有协议予以放行。该产品包含有为数众多的预定制协议(HTTP、SMTP和POP),并允许用户以简便快捷的方式对协议清单进行扩展。而那些具备次要连接和较高复杂程度的协议则不是需要防火墙客户端软件,就是需要应用程序过滤器。ISA Server面向重要性水平最高的协议提供了多种内建应用程序过滤器,以便实现像现场媒体流分割或SMTP电子邮件过滤这样的附加功能。
问:ISA Server是否可为VPN提供支持?
答:可以。ISA Server可帮助您创建虚拟专用网络(VPN),并为其提供安全保障。在使用向导程序的情况下,ISA Server将可对由Windows 2000 Server提供的内建VPN服务进行配置,以帮助企业单位针对远程站点和移动用户实现符合成本效益原则的链接。
ISA Server主要以两种方式为VPN提供支持。一种是允许在VPN与ISA服务器自身之间直接创建往复连接。这种方式主要通过允许PPTP调用并接收过滤器的功能得以实现,其主旨在于,以静态方式打开所需端口,并直接向ISA服务器发出出站呼叫(PPTP呼叫)和入站请求(PPTP接收)。而另一种方式则允许生成VPN呼叫,并将其从位于ISA Server计算机后方的客户端发往处于Internet或其它外部网络之上的主机上。
问:ISA Server是否可为SOCKS提供支持?
答:ISA Server可为Windows Sockets(SOCKS)4.3提供相关支持。软件开发工具(SDK)中包含有针对SOCKS 4.3版和5.0版的身份验证示例。
问:何谓SecureNAT客户端支持?
答:当ISA服务器处在由任意平台任意客户端所发起的数据包路由路径之上时,ISA Server可以透明地截取通信内容,并对其应用相关策略。SecureNAT可在无需安装客户端软件或配置浏览器设置的前提下,即可对出站防火墙策略加以应用。
问:ISA Server如何为加密请求提供支持?
答:ISA Server可在多个层次上为加密内容提供支持。ISA Server可帮助您创建一条到远程网络的安全的加密VPN隧道。这条隧道可以以安全的方式执行数据传输。ISA Server可以强迫入站Web请求使用加密Web访问(安全套接字协议层,SSL),并将充当加密SSL会话的终结点。
缓存与性能加速
问:ISA Server如何影响网络性能?
答:Internet Security and Acceleration(ISA) Server所具备的Web Proxy(Web代理)服务特性可提供Web对象缓存,以便从缓存中满足来自客户端的请求。如果相关请求无法从缓存中得到满足,那么,便会以客户端的名义生成新请求。一旦您的远程Web服务器对ISA Server计算机做出响应,ISA Server计算机即可缓存对客户端原始请求的响应。于是,客户端便可收到相关响应。
由ISA Server提供的高速RAM缓存特性可将接受访问最为频繁的项目置入RAM。这样一来,ISA Server便可通过从内存(而非磁盘)中返回上述项目的方式来优化系统响应时间。ISA Server还为您提供了优化磁盘缓存功能,以帮助您将磁盘读写操作访问降至最低水平。以上技术有助于网络响应时间和系统整体性能的优化。
问:ISA Server如何处理流式媒体?
答:ISA Server提供了一个负责对媒体流实施传递和控制操作的应用程序过滤器。这个过滤器可专门为基于Microsoft Windows Media的媒体流、RealAudio和Apple QuickTime提供所需支持。ISA Server还可对使用Windows Media技术的实况媒体流实施分割。因此,如果来自同一网络内部的多个用户就相同媒体流发出请求,那么,ISA Server则可以检测到这种请求,从而节省网络带宽并改善了系统的性能。