MCSE制胜室典 -Microsoft Internet Security and Acceleration Server2000 1.1| SA Server概述 本节主要介绍 ISA Server的特性和优点。 本节学习目标 说明 ISA Server两个版本的不同之处 描述 ISA Server支持的功能类型 说明 ISA Server如何利用 Windows2000的特性提供高度的安全、优越的性能和方便的 管理 描述 ISA Server内建的可扩展性和可伸缩性 估计学习时间:45分钟 ISA Server是建立在 Windows2000操作系统上的一种可扩展的企业级防火墙和web缓存服务 器。 ISA Server的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且, 通过本地而不是 Internet为对象提供服务,其web缓存服务器允许组织能够为用户提供更快的Web 访问。在网络内安装 ISA Server时,可以将其配置成防火墙,也可以配置成Web缓存服务器,或二 者兼备 ISA Server提供直观而强大的管理工具,包括 Microsoft管理控制台管理单元、图形化任务板和 逐步进行的向导。利用这些工具, ISA Server能将执行和管理一个坚固的防火墙和缓存服务器所遇 到的困难减至最小。 1.1.1版本对比 ISA Server现有两个版本。 1.1.1.11 SA Server企业版 ISA Server企业版是为了满足大容量 Internet通信环境对性能、管理和扩展能力的要求而推出的 此版本提供集中式服务器管理、多级访问策略、服务器阵列群集,以及容错能力等。 1.1.1.21 SA Server标准版 ISA Server标准版具备为小型企业、工作组和部门环境提供企业级防火墙安全和web缓存的能 力。对于关键业务环境来说,标准版具有极高的性价比。 1.1.1.3主要差别 这两个版本的安全、缓存、管理、性能和扩展能力是相同的。但是,标准版作为独立的 ISA Server 计算机运行,它只支持本地策略,最多可以支持4个处理器。企业版是集中管理的多服务器阵列, 它支持企业级和阵列级策略以及无限的伸缩性。 虽然这本书主要是介绍 ISA Server企业版的配置和管理,但是了解两个版本之间的差异,有助 于您决定哪个版本更适合您的网络。表1.1列出了这两个版本之间的区别
2 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 1.1 ISA Server 概述 本节主要介绍 ISA Server 的特性和优点。 本节学习目标 l 说明 ISA Server 两个版本的不同之处 l 描述 ISA Server 支持的功能类型 l 说明 ISA Server 如何利用 Windows 2000 的特性提供高度的安全、优越的性能和方便的 管理 l 描述 ISA Server 内建的可扩展性和可伸缩性 估计学习时间:45分钟 ISA Server 是建立在 Windows 2000 操作系统上的一种可扩展的企业级防火墙和 Web 缓存服务 器。ISA Server 的多层防火墙可以保护网络资源免受病毒、黑客的入侵和未经授权的访问。而且, 通过本地而不是 Internet 为对象提供服务,其 Web 缓存服务器允许组织能够为用户提供更快的 Web 访问。在网络内安装 ISA Server 时,可以将其配置成防火墙,也可以配置成 Web 缓存服务器,或二 者兼备。 ISA Server 提供直观而强大的管理工具,包括 Microsoft 管理控制台管理单元、图形化任务板和 逐步进行的向导。利用这些工具,ISA Server 能将执行和管理一个坚固的防火墙和缓存服务器所遇 到的困难减至最小。 1.1.1 版本对比 ISA Server 现有两个版本。 1.1.1.1 ISA Server企业版 ISA Server 企业版是为了满足大容量Internet通信环境对性能、管理和扩展能力的要求而推出的。 此版本提供集中式服务器管理、多级访问策略、服务器阵列群集,以及容错能力等。 1.1.1.2 ISA Server标准版 ISA Server 标准版具备为小型企业、工作组和部门环境提供企业级防火墙安全和 Web 缓存的能 力。对于关键业务环境来说,标准版具有极高的性价比。 1.1.1.3 主要差别 这两个版本的安全、缓存、管理、性能和扩展能力是相同的。但是,标准版作为独立的 ISA Server 计算机运行,它只支持本地策略,最多可以支持 4 个处理器。企业版是集中管理的多服务器阵列, 它支持企业级和阵列级策略以及无限的伸缩性。 虽然这本书主要是介绍 ISA Server 企业版的配置和管理,但是了解两个版本之间的差异,有助 于您决定哪个版本更适合您的网络。表 1.1 列出了这两个版本之间的区别
第1章 Microsoft Internet Security and Acceleration Server2000简介3 表1.1 ISA Server版本对比 SA Server标准版 ISA Server 服务器配置 仅为单独 集中管理的多 业图 策略级支持 本地 企业和阵列 硬件扩展限制 4个CPU 无限制 1.1.2| SA Server的作用 不管是什么规模的组织,只要它关心自己网络的安全、性能、管理和运营成本,对其IT管理者 网络管理员和信息安全专业人员来说, ISA Server都具备使用价值。 ISA Server有3种不同的安装模 式:防火墙( Firewall模式、缓存( Cache)模式和集成( Integrated模式。集成模式能够在同一台计算机 上实现前两种模式。组织可以有多种联网方案来部署 ISA Server,包括以下所述的几种方法 1.1.2.1 Internet防火墙 ISA Server可以安装成专用防火墙,作为内部用户接入 Internet的安全网关。在信道里 ISA Server 计算机对其他方来说是透明的。除非是违反了访问或安全规则,那么任何用户或应用程序通过防火 墙时都看不到 ISA Server 作为防火墙, ISA Server允许设置一组广泛的规则,以指定能够通过 ISA Server的站点、协议 和内容,由此实现您的商业 Internet安全策略。通过监视内部客户机和 Internet之间的请求和响应, ISA Server可以控制哪些人能够访问公司网络里的哪台计算机。 ISA Server还能控制内部客户端能够 访问 Internet上的哪台计算机 1.1.2.2安全服务器发布 使用 ISA Server您能够向 Internet发布服务,而且不会损害内部网络的安全。要实现这一点, 只需让 ISA Server计算机代表内部发布服务器来处理外部客户端的请求即可。 1.1.2.3正向Web缓存服务器 作为正向Web缓存服务器, ISA Server保存集中缓存内经常受到请求的 Internet内容,专用网 络内的任何web浏览器都可以访问这些内容。这样可以改善客户端浏览器的性能,缩短响应时间, 并且减少 Internet连接的带宽消耗。 1.1.2.4反向Web缓存服务器 ISA Server可以作为Web服务器。它用缓存中的Web内容来满足传入的客户端请求。只有缓存 中的内容不能满足请求时,它才会把请求转发给Web服务器。 1.1.2.5防火墙和Web缓存集成服务器 组织可以将 ISA Server配置成单独的防火墙和缓存组件。不过,有些管理员会选择单一的防火 墙和web缓存集成服务器,以提供安全快速的 Internet连接。不管组织如何配置 ISA Server,都能 从集中化、集成的基于策略的管理中受益 1.1.3集成 Windows2000 ISA Server建立在 Windows2000技术之上,以实现高度的安全、优越的性能和方便的管理。下
第 1 章 Microsoft Internet Security and Acceleration Server 2000 简介 3 表1.1 ISA Server版本对比 ISA Server 标准版 ISA Server 企业版 服务器配置 仅为单独 集中管理的多服务器 策略级支持 本地 企业和阵列 硬件扩展限制 4 个 CPU 无限制 1.1.2 ISA Server 的作用 不管是什么规模的组织,只要它关心自己网络的安全、性能、管理和运营成本,对其 IT 管理者、 网络管理员和信息安全专业人员来说,ISA Server 都具备使用价值。ISA Server 有 3 种不同的安装模 式:防火墙(Firewall)模式、缓存(Cache)模式和集成(Integrated)模式。集成模式能够在同一台计算机 上实现前两种模式。组织可以有多种联网方案来部署 ISA Server,包括以下所述的几种方法。 1.1.2.1 Internet防火墙 ISA Server 可以安装成专用防火墙,作为内部用户接入 Internet 的安全网关。在信道里 ISA Server 计算机对其他方来说是透明的。除非是违反了访问或安全规则,那么任何用户或应用程序通过防火 墙时都看不到 ISA Server。 作为防火墙,ISA Server 允许设置一组广泛的规则,以指定能够通过 ISA Server 的站点、协议 和内容,由此实现您的商业 Internet 安全策略。通过监视内部客户机和 Internet 之间的请求和响应, ISA Server 可以控制哪些人能够访问公司网络里的哪台计算机。ISA Server 还能控制内部客户端能够 访问 Internet 上的哪台计算机。 1.1.2.2 安全服务器发布 使用 ISA Server 您能够向 Internet 发布服务,而且不会损害内部网络的安全。要实现这一点, 只需让 ISA Server 计算机代表内部发布服务器来处理外部客户端的请求即可。 1.1.2.3 正向Web缓存服务器 作为正向 Web 缓存服务器,ISA Server 保存集中缓存内经常受到请求的 Internet 内容,专用网 络内的任何 Web 浏览器都可以访问这些内容。这样可以改善客户端浏览器的性能,缩短响应时间, 并且减少 Internet 连接的带宽消耗。 1.1.2.4 反向Web缓存服务器 ISA Server 可以作为 Web 服务器。它用缓存中的 Web 内容来满足传入的客户端请求。只有缓存 中的内容不能满足请求时,它才会把请求转发给 Web 服务器。 1.1.2.5 防火墙和Web缓存集成服务器 组织可以将 ISA Server 配置成单独的防火墙和缓存组件。不过,有些管理员会选择单一的防火 墙和 Web 缓存集成服务器,以提供安全快速的 Internet 连接。不管组织如何配置 ISA Server,都能 从集中化、集成的基于策略的管理中受益。 1.1.3 集成 Windows 2000 ISA Server 建立在 Windows 2000 技术之上,以实现高度的安全、优越的性能和方便的管理。下
4MCSE制胜室典 -Microsoft internet security and acceleration server2000 面列出 ISA Server所集成的能够提供更好的安全、性能和管理能力的 Windows2000技术。 网络地址转换(NA)通过执行 ISA Server的 SecurenaT(安全网络地址转换客户端)策略 ISA Server扩展了 Windows2000NAT功能。(见图1.1) 注意NAT是指因特网工程部 Internet Engineering Task Force,EIF) Request for Comments(RFC)1361中定义的一组标准。NAT内建在 Windows2000里,提供 一个网关,它可以对外部客户端隐藏内部局域网客户端的IP地址。这是通过 组外部可见的不同的IP地址掩蔽内部P地址来实现的。 目的 内部网络 Inlernet ISA Server 外部P| Internet地址 内部客户端 图1.1安全网络地址转换 ·综合虚拟专用网络 ISA Server可以配置成虚拟专用网络服务器,以支持安全的网关对网 关或客户端对网关的 Internet远程访问通信。基于 Windows2000标准的ⅤPN支持点对点 隧道协议(PIP以及第2层隧道协议(L2 TPy Internet安全协议(PSec)技术。 ·身份验证 ISA Server支持 Windows的身份验证,包括 Basic、 NT LAN Manager(NTLM)、 Kerberos和电子证书 系统强化 ISA Server使用的 Windows2000安全模板在不同的安全级别锁定操作系统 Active Directory存储如果将 ISA Server企业版设置成多服务器阵列,则配置和策略信息 就会集中存储在 Active Directory目录存储器中。此外, ISA Server能够对 Active Directory 目录存储器定义的用户和组实施访问控制 ·层策略管理通过定义一个或多个企业策略,并把它们应用于企业阵列, ISA Server企业 版可以应用 Active Directory目录服务的分布式特性。这个过程支持分层的和可伸缩的管理 模式 ·MMC管理 ISA Server管理界面叫做 ISA Management(参见图1.2)。 ISA Management是 MMC的一个管理单元,为导航提供 Taskpad视图和 Advanced视图。MMC可以扩展,允 许第三方的产品与 ISA Server的管理控制台无缝整合 服务质量( Quality of Service Qos) ISA Server建立在 Windows20000s技术上,从而为 通信数据指定优先级。此外,它还可用于带宽控制管理 多处理器支持 ISA Server利用 Windows2000对称多进程处理(SMP)的体系结构改善 性能
4 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 面列出 ISA Server 所集成的能够提供更好的安全、性能和管理能力的 Windows 2000 技术。 l 网络地址转换(NAT) 通过执行 ISA Server 的 SecureNAT(安全网络地址转换客户端)策略, ISA Server 扩展了 Windows 2000 NAT 功能。(见图 1.1) 注意 NAT 是指因特网工程部(Internet Engineering Task Force,IETF) Request for Comments (RFC)1361 中定义的一组标准。NAT 内建在 Windows 2000 里,提供 一个网关,它可以对外部客户端隐藏内部局域网客户端的 IP 地址。这是通过一 组外部可见的不同的 IP 地址掩蔽内部 IP 地址来实现的。 内部网络 ISA 外部 IP Internet 地址 资源 目的 内部客户端 资源 目的 客户端IP Internet 地址 图 1.1 安全网络地址转换 l 综合虚拟专用网络 ISA Server 可以配置成虚拟专用网络服务器,以支持安全的网关对网 关或客户端对网关的 Internet 远程访问通信。基于 Windows 2000 标准的 VPN 支持点对点 隧道协议(PPTP)以及第 2 层隧道协议(L2TP)/ Internet 安全协议(IPSec )技术。 l 身份验证 ISA Server 支持 Windows 的身份验证,包括 Basic、NT LAN Manager(NTLM)、 Kerberos 和电子证书。 l 系统强化 ISA Server 使用的 Windows 2000 安全模板在不同的安全级别锁定操作系统。 l Active Directory 存储 如果将 ISA Server 企业版设置成多服务器阵列,则配置和策略信息 就会集中存储在 Active Directory 目录存储器中。此外,ISA Server 能够对 Active Directory 目录存储器定义的用户和组实施访问控制。 l 层策略管理 通过定义一个或多个企业策略,并把它们应用于企业阵列,ISA Server 企业 版可以应用 Active Directory 目录服务的分布式特性。这个过程支持分层的和可伸缩的管理 模式。 l MMC 管理 ISA Server 管理界面叫做 ISA Management(参见图 1.2)。ISA Management 是 MMC 的一个管理单元,为导航提供 Taskpad 视图和 Advanced 视图。MMC 可以扩展,允 许第三方的产品与 ISA Server 的管理控制台无缝整合。 l 服务质量(Quality of Service QoS) ISA Server 建立在 Windows 2000 QoS 技术上,从而为 通信数据指定优先级。此外,它还可用于带宽控制管理。 l 多处理器支持 ISA Server 利用 Windows 2000 对称多进程处理(SMP)的体系结构改善 性能
第1章 Microsoft Internet Security and Acceleration Server2000简介5 L GAMAn 中回度 2「图 PA Hassan SA Server名称空间 访问策略:访问规则 图1.2 Management界面 ·客户端自动发现特性运行在 ISA Server上的防火墙客户端软件支持Web代理自动发现协 议(WPAP),能够自动连接网络中的 ISA Server,而无需对每个新客户端逐一进行配置。 管理部件对象模型(COM对象 ISA Server有计划地对规则引擎和所有管理选项进行 访问 web筛选器IS^ Server Web筛选器基于 Internet服务器应用编程接口(ISAP),它能够检 查或控制通过网关的超文本传输协议(HTTP和文件传送协议(FTP)的通信 ·警报 ISA Server在 Windows2000 Event Log(事件日志)中记录警报。 1.1.4可伸缩性 运行 ISA Server企业版的计算机可以组成阵列。在 ISA Server中,一个阵列就是一组提供容错、 负载平衡和分布式缓存的 SA Server计算机。阵列安装允许一组 ISA Server计算机可以作为单一逻 辑实体来处理和管理。它还能提升性能,节约带宽。将多台 ISA Server计算机组成阵列,可以把客 户端的请求分发给多个 ISA Server计算机,从而节约客户端的响应时间。因为负载分布到阵列内所 有的服务器上,所以即使是使用中等的硬件也能获得改良的性能 提高 ISA Server可扩展性的其他功能包括 对称多进程处理利用 Windows200SMP, ISA Server可以使用多个处理器使性能按比例 增加。 ISA Server标准版在一台计算机上最多支持4个处理器,而 ISA Server企业版通过 阵列可以支持无限多的中央处理器。与其他产品不同的是, ISA Server利用额外的处理能 力来增强性能。 ·网络负载平衡 ISA Server利用 Microsoft windows2000 Advanced Server或 Windows2000
第 1 章 Microsoft Internet Security and Acceleration Server 2000 简介 5 ISA Server名称空间 访问策略:访问规则 图 1.2 ISA Management界面 l 客户端自动发现特性 运行在ISA Server 上的防火墙客户端软件支持Web代理自动发现协 议(WPAP),能够自动连接网络中的 ISA Server,而无需对每个新客户端逐一进行配置。 l 管理部件对象模型(COM)对象 ISA Server 有计划地对规则引擎和所有管理选项进行 访问。 l Web 筛选器 ISA Server Web 筛选器基于 Internet 服务器应用编程接口(ISAPI),它能够检 查或控制通过网关的超文本传输协议(HTTP)和文件传送协议(FTP)的通信。 l 警报 ISA Server 在 Windows 2000 Event Log(事件日志)中记录警报。 1.1.4 可伸缩性 运行 ISA Server 企业版的计算机可以组成阵列。在 ISA Server 中,一个阵列就是一组提供容错、 负载平衡和分布式缓存的 ISA Server 计算机。阵列安装允许一组 ISA Server 计算机可以作为单一逻 辑实体来处理和管理。它还能提升性能,节约带宽。将多台 ISA Server 计算机组成阵列,可以把客 户端的请求分发给多个 ISA Server 计算机,从而节约客户端的响应时间。因为负载分布到阵列内所 有的服务器上,所以即使是使用中等的硬件也能获得改良的性能。 提高 ISA Server 可扩展性的其他功能包括: l 对称多进程处理 利用 Windows 2000SMP,ISA Server 可以使用多个处理器使性能按比例 增加。ISA Server 标准版在一台计算机上最多支持 4 个处理器,而 ISA Server 企业版通过 阵列可以支持无限多的中央处理器。与其他产品不同的是,ISA Server 利用额外的处理能 力来增强性能。 l 网络负载平衡 ISA Server 利用 Microsoft Windows 2000 Advanced Server 或 Windows 2000
MCSE制胜室典 -Microsoft Internet Security and Acceleration Server2000 Datacenter Server的 Windows网络负载平衡(NLB服务,通过对若干 ISA Server计算机群集 来提供容错、高可用性、高效率和改良的性能。NLB对防火墙、反向缓存(Web发布)和服 务器发布安装配置格外有用。 1.1.5可扩展性 很多第三方供应商都向 ISA Server提供扩展功能,例如病毒检测、内容筛选、站点分类、高级 报告和高级管理等。 客户和开发人员自己也可以对 ISA Server进行扩展。 ISA Server包含一个综合软件开发工具包 (SDK),用来开发基于 ISA Server防火墙、缓存和管理特性的工具。此外, ISA Server还包含脚本示 例,以免管理员从头开发脚本。您可以修改脚本示例,指定运用脚本所需的协议、规则或站点。 1.1.6| SA Server体系结构 ISA Server在多个通信层上运行,以保护公司网络。在数据包层, ISA Server实现数据包筛选 当数据包筛选被启用后, ISA Server可以静态地在外部接口控制数据,在入站和出站的通信到达仼 何资源之前就对其进行鉴定。允许通过数据包筛选层的数据传送到防火墙和Web代理服务,在那里 由 ISA Server规则决定是否为此请求服务 如图1.3所示, ISA Server保护3种客户端:防火墙客户端、 SecureNat(安全网络地址转换)客户 端和 Web Proxy(web代理)客户端 Web Prox web筛选器口 Web Proxy 客户端 HITP重 NAT驱 第三方筛 安全网络地址 转换客户端 H.323筛选器 客户端 数据包筛选 局域网 图1.3 Microsoft IsA Server体系结构概述 防火墙客户端是安装并启用了 Firewall Client(防火墙客户端)软件的计算机。来自防火墙客户端
6 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 Datacenter Server 的 Windows 网络负载平衡(NLB)服务,通过对若干 ISA Server 计算机群集 来提供容错、高可用性、高效率和改良的性能。NLB 对防火墙、反向缓存(Web 发布)和服 务器发布安装配置格外有用。 1.1.5 可扩展性 很多第三方供应商都向 ISA Server 提供扩展功能,例如病毒检测、内容筛选、站点分类、高级 报告和高级管理等。 客户和开发人员自己也可以对 ISA Server 进行扩展。ISA Server 包含一个综合软件开发工具包 (SDK),用来开发基于 ISA Server 防火墙、缓存和管理特性的工具。此外,ISA Server 还包含脚本示 例,以免管理员从头开发脚本。您可以修改脚本示例,指定运用脚本所需的协议、规则或站点。 1.1.6 ISA Server 体系结构 ISA Server 在多个通信层上运行,以保护公司网络。在数据包层,ISA Server 实现数据包筛选。 当数据包筛选被启用后,ISA Server 可以静态地在外部接口控制数据,在入站和出站的通信到达任 何资源之前就对其进行鉴定。允许通过数据包筛选层的数据传送到防火墙和 Web 代理服务,在那里 由 ISA Server 规则决定是否为此请求服务。 如图 1.3 所示,ISA Server 保护 3 种客户端:防火墙客户端、SecureNat(安全网络地址转换)客户 端和 Web Proxy(Web 代理)客户端。 图 1.3 Microsoft ISA Server体系结构概述 防火墙客户端是安装并启用了 Firewall Client(防火墙客户端)软件的计算机。来自防火墙客户端 Web Proxy 客户端 安全网络地址 转换客户端 防火墙 客户端 局域网 NAT 驱动 程序 Firewall 服务 HTTP 重 定向器 缓存 Web Proxy 服务 Web筛选器 第三方筛选器 流筛选器 SMTP 筛选器 H.323 筛选器 FTP 筛选器 数据包筛选