清华大学出版社：微软指定MCSE教材《MCSE 制胜宝典——Microsoft Internet Security and Acceleration Server 2000》PDF电子书[美] J.C. Mackin 著

第1章 Microsoft Internet Security and Acceleration Server2000简介7 的请求被指向 ISA Server计算机的 Firewal防火墙)服务,以决定是否允许其访问。接着,防火墙客 户端通信可能受到应用程序筛选器及其他附加程序的检査。如果防火墙客户端请求一个HTP对象」 则HTTP重定向器会将此请求重定向到web代理服务。web代理服务可以缓存被请求的对象,也可 以从 ISA Server缓存为对象提供服务。 安全网络地址转换客户端是没有安装 Firewall Client的计算机。来自安全网络地址转换客户端 的请求首先被指向NAT驱动程序,该驱动程序用 Internet上有效的全局IP地址代替安全网络地址 转换客户端的内部IP地址。然后,此客户端请求被指向防火墙服务,以决定是否允许其访问。最后 此请求可能被应用程序筛选器及其他扩展部件筛选掉。如果安全网络地址转换客户端请求一个 HTP对象,则HTP重定向器会将此请求重定向到web代理服务。Wb代理服务可以缓存被请求 的对象,也可以从 ISA Server缓存中传递对象 web代理客户端可以是任何与CERN兼容的Web应用程序,如 Microsoft Internet Explorer来 自Web代理客户端的请求被指向 ISA Server计算机上的Web代理服务,以决定是否允许其访问 web代理服务可以缓存被请求的对象,也可以从 ISA Server缓存为象提供服务 表1.2概述了 ISA Server的主要特性和优点 表1.2 Microsoft I sa server特性一览 企业防火墙安全 状态检查 ISA Server根据其协议对通过防火墙的通信以及连接状态进行动态的、智能的检查,以保 证通信的完整性,防止安全被破坏 智能应用程序筛选利用能够识别数据的筛选器, ISA Server可以控制指定应用程序的通信,从而超越了简单 的应用程序筛选。通过对HTTP、FTP、简单邮件传送协议(SMIP)电子邮件、H323(多媒体) 会议、流媒体和远距离过程调用(RPC)的智能筛选, ISA Server可以根据通信的内容接受 拒绝、重定向或修改通信 安全服务器发布和通过安全服务器发布,组织可以保护Web服务器、电子邮件服务器和电子商务应用程序免 web服务器发布受来自外部的攻击。 ISA Server可以模仿被发布的服务器,增加了一层安全。Web发布规 则允许组织指定哪些电脑可以访问,从而保护内部web服务器。服务器发布规则保护内部 服务器免受外部用户未经授权的访问 入侵检测 集成入侵检测基于 Internet安全系统(ISS)技术,如果检测到网络入侵尝试,如端口扫描 WinNuke或 Ping of death,它就会发出警报并采取防范措施 综合虚拟专用网络利用 Windows2000的集成虚拟专用网络服务,组织可以提供基于标准的安全远程访问。ISA Server支持安全VPN访问,这样分支机构或远程用户就可以通过 Internet访问公司网络 系统强化 根据网络内 ISA Server的功能方式,通过在 Security Configuration向导里设定适当的安全 级别,能够锁住 Windows2000 流媒体分割 依靠分割通过 ISA Server流媒体筛选器的实时媒体流,可以节省带宽。 .ISA Server从 Internet 上获得一次信息,然后将其放在 Windows Media Technologies Server上,以便本地其他客 户端访问

第 1 章 Microsoft Internet Security and Acceleration Server 2000 简介 7 的请求被指向 ISA Server 计算机的 Firewall(防火墙)服务，以决定是否允许其访问。接着，防火墙客 户端通信可能受到应用程序筛选器及其他附加程序的检查。如果防火墙客户端请求一个 HTTP 对象， 则 HTTP 重定向器会将此请求重定向到 Web 代理服务。Web 代理服务可以缓存被请求的对象，也可 以从 ISA Server 缓存为对象提供服务。 安全网络地址转换客户端是没有安装 Firewall Client 的计算机。来自安全网络地址转换客户端 的请求首先被指向 NAT 驱动程序，该驱动程序用 Internet 上有效的全局 IP 地址代替安全网络地址 转换客户端的内部 IP 地址。然后，此客户端请求被指向防火墙服务，以决定是否允许其访问。最后， 此请求可能被应用程序筛选器及其他扩展部件筛选掉。如果安全网络地址转换客户端请求一个 HTTP 对象，则 HTTP 重定向器会将此请求重定向到 Web 代理服务。Web 代理服务可以缓存被请求 的对象，也可以从 ISA Server 缓存中传递对象。 Web 代理客户端可以是任何与 CERN 兼容的 Web 应用程序，如 Microsoft Internet Explorer。来 自 Web 代理客户端的请求被指向 ISA Server 计算机上的 Web 代理服务，以决定是否允许其访问。 Web 代理服务可以缓存被请求的对象，也可以从 ISA Server 缓存为象提供服务。 表 1.2 概述了 ISA Server 的主要特性和优点。 表1.2 Microsoft ISA Server特性一览 企业防火墙安全 特性 优点 状态检查 ISA Server 根据其协议对通过防火墙的通信以及连接状态进行动态的、智能的检查，以保 证通信的完整性，防止安全被破坏 智能应用程序筛选 利用能够识别数据的筛选器，ISA Server 可以控制指定应用程序的通信，从而超越了简单 的应用程序筛选。通过对 HTTP、FTP、简单邮件传送协议(SMTP)电子邮件、H.323(多媒体) 会议、流媒体和远距离过程调用(RPC)的智能筛选，ISA Server 可以根据通信的内容接受、 拒绝、重定向或修改通信 安全服务器发布和 Web 服务器发布 通过安全服务器发布，组织可以保护 Web 服务器、电子邮件服务器和电子商务应用程序免 受来自外部的攻击。ISA Server 可以模仿被发布的服务器，增加了一层安全。Web 发布规 则允许组织指定哪些电脑可以访问，从而保护内部 Web 服务器。服务器发布规则保护内部 服务器免受外部用户未经授权的访问 入侵检测 集成入侵检测基于 Internet 安全系统(ISS)技术，如果检测到网络入侵尝试，如端口扫描、 WinNuke 或 Ping of Death，它就会发出警报并采取防范措施 综合虚拟专用网络 利用 Windows 2000 的集成虚拟专用网络服务，组织可以提供基于标准的安全远程访问。ISA Server 支持安全 VPN 访问，这样分支机构或远程用户就可以通过 Internet 访问公司网络 系统强化 根据网络内 ISA Server 的功能方式，通过在 Security Configuration 向导里设定适当的安全 级别，能够锁住 Windows 2000 流媒体分割 依靠分割通过 ISA Server 流媒体筛选器的实时媒体流，可以节省带宽。ISA Server 从 Internet 上获得一次信息，然后将其放在 Windows Media Technologies Server 上，以便本地其他客 户端访问

8MCSE制胜宝典 Microsoft internet security and acceleration server2000 续表 企业防火墙安全 优点 防火墙透明 通过用全局有效的IP地址取代内部IP地址,安全网络地址转换为所有的IP客户端提 供可扩展的、透明的防火墙保护。这无需任何客户端软件或者 Client配置 强大的用户身份验 集成 Windows身份验证( NTLM and Kerberos)、客户端证书和摘要身份验证都支持强大 证功能 的用户身份验证功能。同时,还支持基本的匿名web身份验证 双集线器SSL 对于要求通过验证并加密的客户端访问的web服务器来说, ISA Server能够通过双集 线器SSL验证提供端到端的安全和防火墙筛选。 ISA Server检验用户的客户证书,审 查数据,然后向Web服务器提交它自己的服务器证书进行第二次验证。与大多数防火 墙不同, ISA Server允许在加密数据到达web服务器之前就对其进行检查 Web缓存服务器 特性 优点 高性能Web缓存 借助 ISA Server的快速RAM缓存和高效的磁盘操作,不管是内部客户端访问 Interne 还是外部 Internet用户访问公司的Web服务器,网络性能都会得到改善 智能缓存 由于 ISA Server能够将流行的内容预先存入缓存,所以能够保证为每个用户提供最新 的内容。根据在缓存中存储时间的长短或最后检索的时间, ISA Server自动判断哪些 Web站点访问的最多以及它们的内容应该多久刷新一次。在网络访问较少的时候,ISA Server能够主动将那些Web内容预载入缓存,而不需要网络管理员介入 定时缓存 组织能够按照定义的时间表安排将整个Web站点预加载入缓存。定时下载能够确保为 用户和镜像服务器提供最新的缓存内容 分布式分层缓存 使用 ISA Server企业版,组织能够在 ISA Server计算机阵列中建立分布式内容缓存。ISA Server还允许组织设置缓存分层结构,并把 ISA Server计算机阵列链接起来,使客户端 能够访问离它们最近的缓存,从而进一步扩展了分布式缓存 特性 优点 基于策略的访问 组织可以对用户和组的入站和出站访问、应用程序、目的、内容类型和时间表进行控 控制 制。策略向导可以指定哪些站点和内容可以访问,以及入站和出站通信是否可以使用 特定的协议。此外,还可以允许或阻塞使用指定协议和端口的指定IP地址之间的通信 多级管理 ISA Server企业版通过阵列级访问策略和企业级策略支持多级策略管理。这样分支机构 和部门级别的管理员能够采用上级主管企业的策略,并能根据自己的需要设置本地访 问规 带宽管理 组织可以按照组、应用程序、站点或内容类型,为特定的 Internet请求按优先级分配带 宽,从而达到节省带宽和管理网络使用的目的。这利用的是 Windows2000oS特性

8 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 续表 企业防火墙安全 特 性 优 点 防火墙透明 通过用全局有效的 IP 地址取代内部 IP 地址，安全网络地址转换为所有的 IP 客户端提 供可扩展的、透明的防火墙保护。这无需任何客户端软件或者 Client 配置 强大的用户身份验 证功能 集成 Windows 身份验证(NTLM and Kerberos)、客户端证书和摘要身份验证都支持强大 的用户身份验证功能。同时，还支持基本的匿名 Web 身份验证 双集线器 SSL 对于要求通过验证并加密的客户端访问的 Web 服务器来说，ISA Server 能够通过双集 线器 SSL 验证提供端到端的安全和防火墙筛选。ISA Server 检验用户的客户证书，审 查数据，然后向 Web 服务器提交它自己的服务器证书进行第二次验证。与大多数防火 墙不同，ISA Server 允许在加密数据到达 Web 服务器之前就对其进行检查 Web 缓存服务器 特 性 优 点 高性能 Web 缓存 借助 ISA Server 的快速 RAM 缓存和高效的磁盘操作，不管是内部客户端访问 Internet 还是外部 Internet 用户访问公司的 Web 服务器，网络性能都会得到改善 智能缓存 由于 ISA Server 能够将流行的内容预先存入缓存，所以能够保证为每个用户提供最新 的内容。根据在缓存中存储时间的长短或最后检索的时间，ISA Server 自动判断哪些 Web 站点访问的最多以及它们的内容应该多久刷新一次。在网络访问较少的时候，ISA Server 能够主动将那些 Web 内容预载入缓存，而不需要网络管理员介入 定时缓存 组织能够按照定义的时间表安排将整个 Web 站点预加载入缓存。定时下载能够确保为 用户和镜像服务器提供最新的缓存内容 分布式分层缓存 使用ISA Server企业版，组织能够在ISA Server 计算机阵列中建立分布式内容缓存。ISA Server 还允许组织设置缓存分层结构，并把 ISA Server 计算机阵列链接起来，使客户端 能够访问离它们最近的缓存，从而进一步扩展了分布式缓存 统一管理 特 性 优 点 基于策略的访问 控制 组织可以对用户和组的入站和出站访问、应用程序、目的、内容类型和时间表进行控 制。策略向导可以指定哪些站点和内容可以访问，以及入站和出站通信是否可以使用 特定的协议。此外，还可以允许或阻塞使用指定协议和端口的指定 IP 地址之间的通信 多级管理 ISA Server 企业版通过阵列级访问策略和企业级策略支持多级策略管理。这样分支机构 和部门级别的管理员能够采用上级主管企业的策略，并能根据自己的需要设置本地访 问规则 带宽管理 组织可以按照组、应用程序、站点或内容类型，为特定的 Internet 请求按优先级分配带 宽，从而达到节省带宽和管理网络使用的目的。这利用的是 Windows 2000 QoS 特性

Microsoft Internet Security and Acceleration Server 2000 1r 9 续表 Active Directory 虽然安装 ISA Server不要求集成 Active Directory目录服务,但是所有用户、规则和设 目录服务集成 置信息可以通过 Active Directory目录服务进行集中存储和管理。在 ISA Server企业版 中, Active Directory目录服务允许组织共享架构,实现缓存阵列,自动采用企业设定、 访问策略、发布策略和监视配置 图形化任务板和设置向 图形化任务板和向导简化了导航和设置等普通任务。例如,向导可以在 ISA Server计 导 算机之后将基于 Microsoft Exchange Server的服务器发布到网络上,可以将 ISA Server 配置成ⅤPN网关,或者是创建新的站点和内容规则 远程管理 使用MMC或者 Windows2000 Server内的终端服务可以对 ISA Server进行远程管理。 此外,管理员可以使用命令行脚本远程管理ISA服务 日志、报告和警报 以诸如W3C和ODBC等标准数据格式提供详细的安全和访问日志。组织可以运行定 时的内置报告,内容有关Web使用、应用程序使用、网络通信模式和安全。事件驱动 警报能够给管理员发送电子邮件,启动和停止服务,并根据警报标准自动采取行动 用户级管理 对 ISA Firewall服务客户端,组织能够在每个用户的基础上限制访问,而不仅是根据IP 地址。因此,可以对全部协议的入站和出站访问进行目标更为明确的访问控制 可扩展平台 广泛的提供商支持 ISAServer支持多种Internet协议,包括HTTP、FTP、RealAudio和Realvideo、Internet 中继交谈(IRC)、H323、 Windows媒体流和邮件与新闻协议 广泛的提供商支持 独立的提供商提供基于或能够与 ISA Server整合的产品,如病毒检测、管理工具、内容 筛选、报告工具等。比如说,组织可以使用第三方筛选器来防止最新的病毒、Java脚本 或者避免 ActiveX控件被下载到它们的安全网络中 可扩展的SDK ISA Server包含一个SDK。该工具包是用来开发基于 ISA Server防火墙、缓存和管理特 性的工具。它提供完整的API文档和一步一步进行的范例,可用于构建附加的Web筛 选器、应用程序筛选器、MMC管理单元、报告工具、可编写脚本命令、警报管理能力 等等 1.1.7练习: ISA Server概述演示 在这个练习中,您将看到15分钟的多媒体演示,介绍 ISA Server的特性和优点。在本书配套光 盘上的 Exercises\ Chapterl\文件夹内找到 ISA Demo.exe文件,然后双击运行此程序即可。 1.1.8小结 ISA Server提供一个企业级 Internet连接解决方案,它不仅包括特性丰富且功能强大的防火墙

第 1 章 Microsoft Internet Security and Acceleration Server 2000 简介 9 续表 统一管理 特 性 优 点 Active Directory 目录服务集成 虽然安装 ISA Server 不要求集成 Active Directory 目录服务，但是所有用户、规则和设 置信息可以通过 Active Directory 目录服务进行集中存储和管理。在 ISA Server 企业版 中，Active Directory 目录服务允许组织共享架构，实现缓存阵列，自动采用企业设定、 访问策略、发布策略和监视配置 图形化任务板和设置向 导 图形化任务板和向导简化了导航和设置等普通任务。例如，向导可以在 ISA Server 计 算机之后将基于 Microsoft Exchange Server 的服务器发布到网络上，可以将 ISA Server 配置成 VPN 网关，或者是创建新的站点和内容规则 远程管理 使用 MMC 或者 Windows 2000Server 内的终端服务可以对 ISA Server 进行远程管理。 此外，管理员可以使用命令行脚本远程管理 ISA 服务 日志、报告和警报 以诸如 W3C 和 ODBC 等标准数据格式提供详细的安全和访问日志。组织可以运行定 时的内置报告，内容有关 Web 使用、应用程序使用、网络通信模式和安全。事件驱动 警报能够给管理员发送电子邮件，启动和停止服务，并根据警报标准自动采取行动 用户级管理 对 ISA Firewall 服务客户端，组织能够在每个用户的基础上限制访问，而不仅是根据 IP 地址。因此，可以对全部协议的入站和出站访问进行目标更为明确的访问控制 可扩展平台 特 性 优 点 广泛的提供商支持 ISA Server 支持多种 Internet 协议，包括 HTTP、FTP、RealAudio 和 RealVideo、Internet 中继交谈(IRC)、H.323、Windows 媒体流和邮件与新闻协议 广泛的提供商支持 独立的提供商提供基于或能够与 ISA Server 整合的产品，如病毒检测、管理工具、内容 筛选、报告工具等。比如说，组织可以使用第三方筛选器来防止最新的病毒、Java 脚本 或者避免 ActiveX 控件被下载到它们的安全网络中 可扩展的 SDK ISA Server 包含一个 SDK。该工具包是用来开发基于 ISA Server 防火墙、缓存和管理特 性的工具。它提供完整的 API 文档和一步一步进行的范例，可用于构建附加的 Web 筛 选器、应用程序筛选器、MMC 管理单元、报告工具、可编写脚本命令、警报管理能力 等等 1.1.7 练习：ISA Server 概述演示 在这个练习中，您将看到 15 分钟的多媒体演示，介绍 ISA Server 的特性和优点。在本书配套光 盘上的\Exercises\Chapter1\文件夹内找到 ISA_Demo.exe 文件，然后双击运行此程序即可。 1.1.8 小结 ISA Server 提供一个企业级 Internet 连接解决方案，它不仅包括特性丰富且功能强大的防火墙

10MCSE制胜室典 Microsoft Internet Security and Acceleration Server2000 还包括用于加速 Internet连接的可伸缩的Web缓存。根据组织网络的设计和需要, ISA Server的防 火墙和web缓存组件可以分开配置,也可以一起安装。 ISA Server有两个版本,以满足您对业务和网络的不同需求 ISA Server标准版可以为小型企业、 工作组和部门环境提供企业级防火墙安全和web缓存能力。 ISA Server企业版是为大型组织设计的, 支持多服务器阵列和多层策略,提供更易伸缩的防火墙和Web缓存服务器 利用 Windows2000安全数据库, ISA Server允许您根据特定的通信类型,为 Windows2000内 定义的用户、计算机和组设置安全规则,具有先进的安全特性 利用 ISA Management控制台, ISA Server使防火墙和缓存管理变得很容易。 ISA Management 采用MMC,并且广泛使用任务板和向导,大大简化了最常见的管理程序,从而集中统一了服务器 的管理。 ISA Server也提供强大的基于策略的安全管理。这样,管理员就能将访问和带宽控制应用 于他们所设置的任何策略单元,如用户、计算机、协议、内容类型、时间表和站点。总之, ISA Server 是一个拥有自己的软件开发工具包和脚本示例的高扩展性平台,利用它您可以根据自身业务需要量 身定制 Internet安全解决方案 1.2| SA Server Firewa l简介 Internet为公司提供了联系客户、合作者和雇员的新机遇。但是在提供良好机遇的同时,它也给 安全、性能和可管理性等领域带来了新的风险。由于 Internet的运用不断扩展,安全和性能所面临 的挑战也不断加大。许多安全问题都可以利用 ISA Server Firewal服务来解决,它允许通过基于任 意数量可配置的策略单元规则,控制进出网络资源的访问。 本节学习目标 描述 ISA Server如何提供3层筛选方法 描述 ISA Server的内置应用程序筛选器 描述 ISA Server可以检测到的数据包级或应用程序级攻击的种类 估计学习时间:35分钟 1.2.1筛选方法 防火墙可以使用各种筛选方法,包括数据包筛选、线路级(协议)筛选和应用程序筛选,以此增 强安全性。高级企业防火墙,例如 ISA Server,综合了这些方法在多个网络层提供保护。 1.2.1.11P数据包筛选 数据包筛选器可用来控制进出 ISA Server的IP数据包的流量,如图14所示。当启用 Packet Filtering特性时(该设置可以在 IP Packet Filters Propereies对话框中查看或修改),所有在外部接口上 的数据包都会被丢弃,除非明确许可它们通过。利用PP数据包筛选,您的系统可以在数据包传递到 防火墙引擎的更高层或者应用程序筛选器之前,对它们进行拦截和测定 如果在配置P数据包筛选器时,只允许某些指定的数据包通过 ISA Server,就可以大大提高网 络的安全。IP数据包筛选器也允许您阻塞来源于指定的 Internet主机的数据包,以及拒绝与许多常 见攻击有关的数据包。利用IP数据包筛选器,您还可以阻塞针对您内部网络的任何服务的数据包

10 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 还包括用于加速 Internet 连接的可伸缩的 Web 缓存。根据组织网络的设计和需要，ISA Server 的防 火墙和 Web 缓存组件可以分开配置，也可以一起安装。 ISA Server 有两个版本，以满足您对业务和网络的不同需求。ISA Server 标准版可以为小型企业、 工作组和部门环境提供企业级防火墙安全和 Web 缓存能力。ISA Server 企业版是为大型组织设计的， 支持多服务器阵列和多层策略，提供更易伸缩的防火墙和 Web 缓存服务器。 利用 Windows 2000 安全数据库，ISA Server 允许您根据特定的通信类型，为 Windows 2000 内 定义的用户、计算机和组设置安全规则，具有先进的安全特性。 利用 ISA Management 控制台，ISA Server 使防火墙和缓存管理变得很容易。ISA Management 采用 MMC，并且广泛使用任务板和向导，大大简化了最常见的管理程序，从而集中统一了服务器 的管理。ISA Server 也提供强大的基于策略的安全管理。这样，管理员就能将访问和带宽控制应用 于他们所设置的任何策略单元，如用户、计算机、协议、内容类型、时间表和站点。总之，ISA Server 是一个拥有自己的软件开发工具包和脚本示例的高扩展性平台，利用它您可以根据自身业务需要量 身定制 Internet 安全解决方案。 1.2 ISA Server Firewall 简介 Internet 为公司提供了联系客户、合作者和雇员的新机遇。但是在提供良好机遇的同时，它也给 安全、性能和可管理性等领域带来了新的风险。由于 Internet 的运用不断扩展，安全和性能所面临 的挑战也不断加大。许多安全问题都可以利用 ISA Server Firewall 服务来解决，它允许通过基于任 意数量可配置的策略单元规则，控制进出网络资源的访问。 本节学习目标 l 描述 ISA Server 如何提供 3 层筛选方法 l 描述 ISA Server 的内置应用程序筛选器 l 描述 ISA Server 可以检测到的数据包级或应用程序级攻击的种类。 估计学习时间：35分钟 1.2.1 筛选方法 防火墙可以使用各种筛选方法，包括数据包筛选、线路级(协议)筛选和应用程序筛选，以此增 强安全性。高级企业防火墙，例如 ISA Server，综合了这些方法在多个网络层提供保护。 1.2.1.1 IP数据包筛选 数据包筛选器可用来控制进出 ISA Server 的 IP 数据包的流量，如图 1.4 所示。当启用 Packet Filtering 特性时(该设置可以在 IP Packet Filters Propereies 对话框中查看或修改)，所有在外部接口上 的数据包都会被丢弃，除非明确许可它们通过。利用 IP 数据包筛选，您的系统可以在数据包传递到 防火墙引擎的更高层或者应用程序筛选器之前，对它们进行拦截和测定。 如果在配置 IP 数据包筛选器时，只允许某些指定的数据包通过 ISA Server，就可以大大提高网 络的安全。IP 数据包筛选器也允许您阻塞来源于指定的 Internet 主机的数据包，以及拒绝与许多常 见攻击有关的数据包。利用 IP 数据包筛选器，您还可以阻塞针对您内部网络的任何服务的数据包

第1章 Microsoft Internet Security and Acceleration Server2000简介1 包括 Web Proxy服务、Web服务器,或SMP服务器。 IP报头 UPD TCP HDR 有效负荷 Src Dst 何人? 何处? 哪项服务哪个应用程序?什么? 图1.4IP数据包筛选 IP数据包筛选器可以根据服务类型、端口号、源计算机名称或目的计算机名称来筛选数据包。 IP数据包筛选器是静态的。它们应用于特定的端口,分为允许筛选器和阻塞筛选器。允许筛选器允 许信息无条件通过指定端口。阻塞筛选器总是阻止数据包通过 ISA Server计算机。 注意即使您不启动数据包筛选,除非您明确地设置了允许访问的协议规则,否则不允 许局域网和 Internet之间的通信。 1.2.1.2线路级(协议)筛选 您可以通过访问策略规则和发布规则在 ISA Server上设置线路级或协议筛选。如图1.5所示 这个特性能够让您检查会话而不是连接或者数据包。一个会话可以包括多个连接,为基于 Windows 运行 Firewall Client软件的客户端提供了诸多益处。 主连接 g 辅助连接 服务器 客户端 图1.5线路级或协议筛选会话可能包含一个以上连接 1.动态筛选 ISA Server通过访问策略规则和发布规则支持动态筛选。利用动态筛选,端口只在需要通信时 自动打开,通信结束后就关闭。这样,可以最小化传出和传入方向上暴露的端口数目,并且为网络 提供了高层次的安全、免受骚扰 2.支持基于会话的协议 线路级筛选提供内建支持辅助连接的协议,例如FIP与流媒体。它还允许在用户界面内定义协 议的主要和辅助连接,而无需任何编程或第三方工具。可以通过指定端口数或端口范围、协议类型、 TCP或UDP,以及入站或出站方向实现这一点。 1.2.1.3应用程序筛选 应用程序级的安全性是防火墙通信检查中最为复杂的一环。好的应用程序筛选器允许分析个别 应用程序的数据流,以及提供指定应用程序的处理,包括检查、筛选或阻塞、重定向,或者当数据

第 1 章 Microsoft Internet Security and Acceleration Server 2000 简介 11 包括 Web Proxy 服务、Web 服务器，或 SMTP 服务器。 IP 报头 有效负荷 何人？ 何处？ 哪项服务/哪个应用程序？ 什么？ UPD/TCP HDR Src Dst port payload 图 1.4 IP数据包筛选 IP 数据包筛选器可以根据服务类型、端口号、源计算机名称或目的计算机名称来筛选数据包。 IP 数据包筛选器是静态的。它们应用于特定的端口，分为允许筛选器和阻塞筛选器。允许筛选器允 许信息无条件通过指定端口。阻塞筛选器总是阻止数据包通过 ISA Server 计算机。 注意 即使您不启动数据包筛选，除非您明确地设置了允许访问的协议规则，否则不允 许局域网和 Internet 之间的通信。 1.2.1.2 线路级(协议)筛选 您可以通过访问策略规则和发布规则在 ISA Server 上设置线路级或协议筛选。如图 1.5 所示， 这个特性能够让您检查会话而不是连接或者数据包。一个会话可以包括多个连接，为基于 Windows 运行 Firewall Client 软件的客户端提供了诸多益处。 图 1.5 线路级或协议筛选会话可能包含一个以上连接 1. 动态筛选 ISA Server 通过访问策略规则和发布规则支持动态筛选。利用动态筛选，端口只在需要通信时 自动打开，通信结束后就关闭。这样，可以最小化传出和传入方向上暴露的端口数目，并且为网络 提供了高层次的安全、免受骚扰。 2. 支持基于会话的协议 线路级筛选提供内建支持辅助连接的协议，例如 FTP 与流媒体。它还允许在用户界面内定义协 议的主要和辅助连接，而无需任何编程或第三方工具。可以通过指定端口数或端口范围、协议类型、 TCP 或 UDP，以及入站或出站方向实现这一点。 1.2.1.3 应用程序筛选 应用程序级的安全性是防火墙通信检查中最为复杂的一环。好的应用程序筛选器允许分析个别 应用程序的数据流，以及提供指定应用程序的处理，包括检查、筛选或阻塞、重定向，或者当数据 主连接 辅助连接 服务器 客户端