2MCSE制胜室典 -Microsoft Internet Security and Acceleration Server2000 通过该防火墙修改该数据。如图1.6所示,这一机制是用来防止发生危险,例如不安全的SMTP命 令或者对内部域名系统(DNS)服务器的攻击。用于内容筛选的第三方工具,包括用于病毒检测、词 法分析以及站点分类的工具,全都使用应用程序和web筛选器,以增强防火墙的功能 ISA Server包括以下内置的应用程序筛选器 ·HITP重定向筛选器HTIP重定向筛选器将来自防火墙和安全网络地址转换客户端的 HTTP请求转送到Web代理服务。这为没有把浏览器配置为指向web代理服务的客户端 建立了透明的缓存 ·FPP访问筛选器FTP筛选器拦截然后核对FTP数据。对于许可的通信,内核模式数据泵 提供高性能的数据传送。 ·sMIP筛选器SMTP筛选器拦截并核对SMTP电子邮件通信,保护邮件服务器免受攻击。 该筛选器识别不安全的命令并且可以筛选电子邮件信息的内容或者大小,在未经同意的电 子邮件到达邮件服务器之前将其拒绝 禁止站点 客户端 区域攻击 SMTP: VRFY+ 图1.6应用程序级筛选 SOCKS筛选器对于没有防火墙客户端软件的客户端, SOCKS筛选器将请求从 SOCKS 4.3的应用程序转发到ISA防火墙服务。访问策略规则决定 SOCKS客户端应用程序是否与 Internet通信。与 Winsock不同, SOCKS可以支持任何客户端平台,包括UNX操作系统 Macintosh和非标准的计算机设备。 RPC筛选器RPC筛选器允许对基于指定接口的RPC请求进行复杂筛选。您可以选择暴 露RPC接口 ·H.323筛选器H323筛选器指向用于多媒体通信和电话会议的H323数据包。它提供呼叫 控制,包括处理传入呼叫和连接指定的H323 gatekeeper的能力 ·流媒体筛选器流媒体筛选器支持工业标准媒体协议,包括 Microsoft windows media Technologies,以及 RealNetworks, Progressive Networks Audio(PNA)和实时流协议RTSP 两者的流媒体协议。它还允许用户分割实况 Windows media流,由此来节约带宽。 POP和DNS入侵检测筛选器这两个筛选器识别并阻塞针对内部服务器的攻击,包括 DNS主机名溢出、DNS区域传送和POP缓冲区溢出。 1. H. 323 Gatekeeper H323 Gatekeeper同H323协议筛选器协作,从而为向H323注册过的客户端提供完全的通信能 力。这些客户端使用H323 Gatekeeper允许的应用程序,例如 Netmeeting3.x。H323 Gatekeeper为
12 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 通过该防火墙修改该数据。如图 1.6 所示,这一机制是用来防止发生危险,例如不安全的 SMTP 命 令或者对内部域名系统(DNS)服务器的攻击。用于内容筛选的第三方工具,包括用于病毒检测、词 法分析以及站点分类的工具,全都使用应用程序和 Web 筛选器,以增强防火墙的功能。 ISA Server 包括以下内置的应用程序筛选器: l HTTP 重定向筛选器 HTTP 重定向筛选器将来自防火墙和安全网络地址转换客户端的 HTTP 请求转送到 Web 代理服务。这为没有把浏览器配置为指向 Web 代理服务的客户端 建立了透明的缓存。 l FTP 访问筛选器 FTP 筛选器拦截然后核对 FTP 数据。对于许可的通信,内核模式数据泵 提供高性能的数据传送。 l SMTP 筛选器 SMTP 筛选器拦截并核对 SMTP 电子邮件通信,保护邮件服务器免受攻击。 该筛选器识别不安全的命令并且可以筛选电子邮件信息的内容或者大小,在未经同意的电 子邮件到达邮件服务器之前将其拒绝。 禁止站点 病毒 客户端 区域攻击 公司服务器 SMTP:VRFY* Internet 图 1.6 应用程序级筛选 l SOCKS 筛选器 对于没有防火墙客户端软件的客户端,SOCKS 筛选器将请求从 SOCKS 4.3 的应用程序转发到 ISA 防火墙服务。访问策略规则决定 SOCKS 客户端应用程序是否与 Internet 通信。与 Winsock 不同,SOCKS 可以支持任何客户端平台,包括 UNIX 操作系统、 Macintosh 和非标准的计算机设备。 l RPC 筛选器 RPC 筛选器允许对基于指定接口的 RPC 请求进行复杂筛选。您可以选择暴 露 RPC 接口。 l H.323 筛选器 H.323 筛选器指向用于多媒体通信和电话会议的 H.323 数据包。它提供呼叫 控制,包括处理传入呼叫和连接指定的 H.323 gatekeeper 的能力。 l 流媒体筛选器 流媒体筛选器支持工业标准媒体协议,包括 Microsoft Windows Media Technologies,以及 RealNetworks,Progressive Networks Audio(PNA)和实时流协议 RTSP 两者的流媒体协议。它还允许用户分割实况 Windows Media 流,由此来节约带宽。 l POP 和 DNS 入侵检测筛选器 这两个筛选器识别并阻塞针对内部服务器的攻击,包括 DNS 主机名溢出、DNS 区域传送和 POP 缓冲区溢出。 1. H.323 Gatekeeper H.323 Gatekeeper 同 H.323 协议筛选器协作,从而为向 H.323 注册过的客户端提供完全的通信能 力。这些客户端使用 H.323 Gatekeeper 允许的应用程序,例如 NetMeeting 3.x。H.323 Gatekeeper 为
第1章 Microsoft Internet Security and Acceleration Server2000简介13 已注册的客户端提供呼叫路由以及目录服务,并且使其他客户端能够用熟知别名访问已注册客户端。 已注册H323 Gatekeeper的客户端可以利用H323 Gatekeeper跨越多层防火墙并且通过 Internet,参 加局域网和广域网内的视频、音频和数据会议。如图1.7所示,H323 Gatekeeper通过H323 Gatekeepers 节点在 ISA Management内配置 2.广泛的应用程序支持 ISA Server预先定义大约100个应用程序协议,并且允许管理员基于端口数、类型、TCP或者 UDP和方向定义附加协议。使用防火墙客户端软件或者应用程序筛选器支持带有辅助连接的协议。 中四回X团 图1.7配置H.323 Gatekeepers 1.2.2带宽规则 带宽规则决定连接的优先级。 ISA Server带宽控制不限定能使用多少带宽。相反,它告诉 Windows2000QS数据包调度服务如何区分网络连接的优先级。任何与带宽规则无关联的连接都会 收到一个默认的优先级。另一方面,任何与带宽规则有关联的连接都将比默认安排的连接优先。 1.2.3综合虚拟专用网络 ISA Server帮助管理员建立并保护虚拟专用网络(VPN的安全。如图1.8所示,VN是一个专用 网的延伸,包括跨越共享的或者公用网络(如 Internet的连接。ⅤPN用模拟点对点专用连接属性的方 式,能够使您跨越一个共享的或公用的 Intranet在两个计算机之间传送数据。 ISA Server可以配置成 VPN服务器来支持安全的、网关对网关的通信或者通过 Internet的客户端对网关的远程访问通信。 本地ⅤPN向导在局域网的 ISA Server上运行。本地 ISA VPN计算机连接到它的 Internet服务提 供商(SP)上。远程ⅤPN向导在远程网络的 ISA Server上运行。远程 ISA Server VPn计算机连接到 它自己的ISP上。当局域网中的一台计算机与远程网络中的一台计算机通信时,数据将封装起来并 通过VPN隧道发送。基于 Windows2000标准的VPN支持PPP和L2 TP/IPSec隧道技术。隧道协 议是用来管理隧道和封装专用数据的协议,如PPIP或者L2TP。隧道中传输的数据必须加密,VPN 连接隧道也是如此
第 1 章 Microsoft Internet Security and Acceleration Server 2000 简介 13 已注册的客户端提供呼叫路由以及目录服务,并且使其他客户端能够用熟知别名访问已注册客户端。 已注册 H.323 Gatekeeper 的客户端可以利用 H.323 Gatekeeper 跨越多层防火墙并且通过 Internet,参 加局域网和广域网内的视频、音频和数据会议。如图1.7所示,H.323 Gatekeeper 通过 H323 Gatekeepers 节点在 ISA Management 内配置。 2. 广泛的应用程序支持 ISA Server 预先定义大约 100 个应用程序协议,并且允许管理员基于端口数、类型、TCP 或者 UDP 和方向定义附加协议。使用防火墙客户端软件或者应用程序筛选器支持带有辅助连接的协议。 图 1.7 配置H.323 Gatekeepers 1.2.2 带宽规则 带宽规则决定连接的优先级。ISA Server 带宽控制不限定能使用多少带宽。相反,它告诉 Windows 2000 QoS 数据包调度服务如何区分网络连接的优先级。任何与带宽规则无关联的连接都会 收到一个默认的优先级。另一方面,任何与带宽规则有关联的连接都将比默认安排的连接优先。 1.2.3 综合虚拟专用网络 ISA Server 帮助管理员建立并保护虚拟专用网络(VPN)的安全。如图 1.8 所示,VPN 是一个专用 网的延伸,包括跨越共享的或者公用网络(如 Internet)的连接。VPN 用模拟点对点专用连接属性的方 式,能够使您跨越一个共享的或公用的 Intranet 在两个计算机之间传送数据。ISA Server 可以配置成 VPN 服务器来支持安全的、网关对网关的通信或者通过 Internet 的客户端对网关的远程访问通信。 本地 VPN 向导在局域网的 ISA Server 上运行。本地 ISA VPN 计算机连接到它的 Internet 服务提 供商(ISP)上。远程 VPN 向导在远程网络的 ISA Server 上运行。远程 ISA ServerVPN 计算机连接到 它自己的 ISP 上。当局域网中的一台计算机与远程网络中的一台计算机通信时,数据将封装起来并 通过 VPN 隧道发送。基于 Windows 2000 标准的 VPN 支持 PPTP 和 L2TP/IPSec 隧道技术。隧道协 议是用来管理隧道和封装专用数据的协议,如 PPTP 或者 L2TP。隧道中传输的数据必须加密,VPN 连接隧道也是如此
14MCSE制胜宝典— Microsoft Internet Security and Acceleration Server2000 v≥1 8同 ISA Server集成的vPN 1.2.4综合入侵检测 ISA Server具有综合侵入检测机制,可以识别何时有人企图攻击您的网络。防火墙管理员可以 设置检测到入侵时启动警报。您还可以利用警报指定识别到攻击时系统应该采取什么样的措施。这 可能包括向管理员发送电子邮件信息或者网页,停止 Firewall服务,在 Windows2000事件日志中记 录事件,或者运行任何程序或脚本。 ISA Server在数据包筛选和应用程序筛选器级别都执行入侵 检测 注意 ISA Server的入侵检测功能基于 Internet Security Systems(ISS),lnc, atlanta, GA许可的技术,其网址为htp:mhnw. iss.net 1.2.4.1数据包筛选器入侵 在数据包筛选器级别, ISA Server可以检测到以下攻击 全部端口扫描攻击企图访问超过预设端口的数目 枚举端口扫描攻击企图通过检测各端口的响应来统计计算机上运行的服务。 IP半扫描攻击不断企图连接目标计算机,但是没有建立相应的连接。这表明攻击者正在 检测开放式端口,逃避系统登录 ·登录攻击登录攻击使用与目标IP地址和端口号相匹配的伪IP源地址和端口号请求TCP 连接。如果攻击成功,它可以导致一些TCP执行过程陷入死循环,使计算机瘫痪。 · Ping of death攻击大量的信息被添加到 Internet控制报文协议(CMP)回应请求和ping 数据包中。如果攻击成功,当计算机试图响应时核心缓冲器就会溢出,使计算机崩溃 UDP炸弹攻击这是指尝试发送非法的UDP包。UDP数据包的某些字段含有非法值,当 收到数据包时会造成一些早期的操作系统瘫痪 Windows Out of band攻击这是指对由 ISA Server保护的电脑进行OOB、 deniakof- service(拒绝服务)的攻击。如果攻击成功,就会使计算机崩溃或者造成易受攻击的 电脑失去网络连接
14 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 图 1.8 同ISA Server集成的VPN 1.2.4 综合入侵检测 ISA Server 具有综合侵入检测机制,可以识别何时有人企图攻击您的网络。防火墙管理员可以 设置检测到入侵时启动警报。您还可以利用警报指定识别到攻击时系统应该采取什么样的措施。这 可能包括向管理员发送电子邮件信息或者网页,停止 Firewall 服务,在 Windows 2000 事件日志中记 录事件,或者运行任何程序或脚本。ISA Server 在数据包筛选和应用程序筛选器级别都执行入侵 检测。 注意 ISA Server 的入侵检测功能基于 Internet Security Systems ( ISS),Inc.,Atlanta, GA 许可的技术,其网址为 http://www.iss.net。 1.2.4.1 数据包筛选器入侵 在数据包筛选器级别,ISA Server 可以检测到以下攻击: l 全部端口扫描攻击 企图访问超过预设端口的数目。 l 枚举端口扫描攻击 企图通过检测各端口的响应来统计计算机上运行的服务。 l IP 半扫描攻击 不断企图连接目标计算机,但是没有建立相应的连接。这表明攻击者正在 检测开放式端口,逃避系统登录。 l 登录攻击 登录攻击使用与目标 IP 地址和端口号相匹配的伪 IP 源地址和端口号请求 TCP 连接。如果攻击成功,它可以导致一些 TCP 执行过程陷入死循环,使计算机瘫痪。 l Ping of Death 攻击 大量的信息被添加到 Internet 控制报文协议( ICMP)回应请求和 ping 数据包中。如果攻击成功,当计算机试图响应时核心缓冲器就会溢出,使计算机崩溃。 l UDP 炸弹攻击 这是指尝试发送非法的 UDP 包。UDP 数据包的某些字段含有非法值,当 收到数据包时会造成一些早期的操作系统瘫痪。 l Windows Out of Band 攻击 这是指对由 ISA Server 保护的电脑进行 OOB、 denial-of-service(拒绝服务)的攻击。如果攻击成功,就会使计算机崩溃或者造成易受攻击的 电脑失去网络连接
Microsoft Internet Security and Acceleration Server 2000 1/ 15 1.2.4.2P0P和DNS应用程序筛选器 ISA Server还包括POP和DNS应用程序筛选器,它为对相应服务器的特定入侵分析所有传入通 信。DNS入侵检测筛选器能拦截并分析发往内部网的DNS通信。POP入侵检测筛选器能拦截并分 析发往内部网的POP通信。管理员可以设置筛选器来检查下列入侵企图 DNS主机名溢出当DNS对主机名的响应超出某一固定长度时,就会发生DNS主机名溢 出。那些不核对主机名长度的应用程序复制该主机名时可能会返回溢出的内部缓冲器,从 而允许远程攻击者在目标计算机上执行任意的命令 ·DNS长度溢出IP地址的DNS响应包含1个长度字段,应该为4个字节。通过用一个较 大的值格式化DNS响应,有些执行DNS检查的应用程序就会溢出内部缓冲器,从而允许 远程攻击者在目标计算机上执行任意的命令 从特权端口(1-1024)进行DNS区域传输当客户端系统运用DNS客户端应用程序从内部 DNS服务器传送区域时,就会从特权端口(1~1024)进行DNS区域传输。源端口号码是一个 特权端口号(在1~1024之间),表明一个客户端进程。 从高端口(大于1024)进行DNS区域传输当客户端系统运用DNS客户端应用程序从内部 DNS服务器传送区域时,就会从高端口(大于1024)进行DNS区域传输。源端口号是一个 高端口号(大于1024),表明一个客户端进程 ·POP缓冲器溢出当远程攻击者试图通过在服务器上溢出内部缓冲器而获得POP服务器 根访问时,就会发生POP缓冲器溢出攻击 1.2.5安全发布 ISA Server运用服务器发布来处理传入内部服务器—例如SMIP服务器、FIP服务器、数据 库服务器等——的请求。请求向下游转发到位于 ISA Server计算机后的内部服务器 事实上,服务器发布允许内部网络的任何计算机发布到 Internet上。这样并不会危及到安全, 因为所有的传入请求和传出响应都会经过 ISA Server。当一台服务器通过 ISA Server计算机进行发 布时,所发布的IP地址实际上就是 ISA Server计算机的IP地址。请求对象的用户认为,他们是在 同 ISA Server通信(请求对象时他们指定的是 ISA Server的名称或P地址),但他们实际是从发布服 务器上请求信息的。 例如,当您在 ISA Server上使用 Microsoft Exchange server时,您可以创建服务器发布规则,明 确地允许电子邮件服务器发布到 Internet上。在这种情况下, ISA Server防火墙会拦截 Exchange Server 的传入电子邮件。这样, ISA Server好像客户端的电子邮件服务器。利用 ISA Server可以筛选通信, 并根据设置的规则和政策将其转送至 Exchange Server您的 Exchange Server绝不会直接暴露给外部 用户,它位于安全的环境下,维持对其他内部网服务的访问。 图1.9说明您怎样以相似的方式利用 ISA Server安全地发布到web服务器上。当 Internet上的 客户端从web服务器请求对象时,该请求实际上被发送给 ISA Server上的一个P地址。 ISA Server 上配置的Web发布规则将适当的请求转送至内部的web服务器。 1.26小结 ISA Server防火墙在3个不同的级别上进行筛选。首先, ISA Server通过P数据包筛选器根据
第 1 章 Microsoft Internet Security and Acceleration Server 2000 简介 15 1.2.4.2 POP和DNS应用程序筛选器 ISA Server 还包括 POP 和 DNS 应用程序筛选器,它为对相应服务器的特定入侵分析所有传入通 信。DNS 入侵检测筛选器能拦截并分析发往内部网的 DNS 通信。POP 入侵检测筛选器能拦截并分 析发往内部网的 POP 通信。管理员可以设置筛选器来检查下列入侵企图。 l DNS 主机名溢出 当 DNS 对主机名的响应超出某一固定长度时,就会发生 DNS 主机名溢 出。那些不核对主机名长度的应用程序复制该主机名时可能会返回溢出的内部缓冲器,从 而允许远程攻击者在目标计算机上执行任意的命令。 l DNS 长度溢出 IP 地址的 DNS 响应包含 1 个长度字段,应该为 4 个字节。通过用一个较 大的值格式化 DNS 响应,有些执行 DNS 检查的应用程序就会溢出内部缓冲器,从而允许 远程攻击者在目标计算机上执行任意的命令。 l 从特权端口(1–1024)进行 DNS 区域传输 当客户端系统运用 DNS 客户端应用程序从内部 DNS 服务器传送区域时,就会从特权端口(1~1024)进行 DNS 区域传输。源端口号码是一个 特权端口号(在 1~1024 之间),表明一个客户端进程。 l 从高端口(大于 1024)进行 DNS 区域传输 当客户端系统运用 DNS 客户端应用程序从内部 DNS 服务器传送区域时,就会从高端口(大于 1024)进行 DNS 区域传输。源端口号是一个 高端口号(大于 1024),表明一个客户端进程。 l POP 缓冲器溢出 当远程攻击者试图通过在服务器上溢出内部缓冲器而获得 POP 服务器 根访问时,就会发生 POP 缓冲器溢出攻击。 1.2.5 安全发布 ISA Server 运用服务器发布来处理传入内部服务器— — 例如 SMTP 服务器、FTP 服务器、数据 库服务器等— — 的请求。请求向下游转发到位于 ISA Server 计算机后的内部服务器。 事实上,服务器发布允许内部网络的任何计算机发布到 Internet 上。这样并不会危及到安全, 因为所有的传入请求和传出响应都会经过 ISA Server。当一台服务器通过 ISA Server 计算机进行发 布时,所发布的 IP 地址实际上就是 ISA Server 计算机的 IP 地址。请求对象的用户认为,他们是在 同 ISA Server 通信(请求对象时他们指定的是 ISA Server 的名称或 IP 地址),但他们实际是从发布服 务器上请求信息的。 例如,当您在 ISA Server 上使用 Microsoft Exchange Server 时,您可以创建服务器发布规则,明 确地允许电子邮件服务器发布到Internet上。在这种情况下,ISA Server 防火墙会拦截Exchange Server 的传入电子邮件。这样,ISA Server 好像客户端的电子邮件服务器。利用 ISA Server 可以筛选通信, 并根据设置的规则和政策将其转送至 Exchange Server。您的 Exchange Server 绝不会直接暴露给外部 用户,它位于安全的环境下,维持对其他内部网服务的访问。 图 1.9 说明您怎样以相似的方式利用 ISA Server 安全地发布到 Web 服务器上。当 Internet 上的 客户端从 Web 服务器请求对象时,该请求实际上被发送给 ISA Server 上的一个 IP 地址。ISA Server 上配置的 Web 发布规则将适当的请求转送至内部的 Web 服务器。 1.2.6 小结 ISA Server 防火墙在 3 个不同的级别上进行筛选。首先,ISA Server 通过 IP 数据包筛选器根据
6MCSE制胜室典 -Microsoft Internet Security and Acceleration Server2000 服务类型、端口数、源计算机名称或者目的计算机名来阻塞或者允许一个连接。P数据包筛选器是 静态的。它们应用于特定的端口,不是允许筛选器就是阻塞筛选器。第二, ISA Server以访问策略 规则和发布规则的形式提供会话识别线路筛选。这一能力允许动态的数据包筛选并为有辅助连接的 协议提供支持。最后, ISA Server的应用程序筛选器允许您为某一特殊的应用程序分析数据流,并 且提供特定应用程序处理,包括当数据经过防火墙时检查、筛选或者阻塞、重新定向或者修改数据。 WNioets microsoft co Widgets microsoft Internet 图1.9 ISA Server保护内部发布服务器 防火墙服务复杂多层的特性允许您设置强大且灵活的访问控制策略、入侵检测、安全服务器发 布、带宽优先级,以及ⅤPN集成。 1.3| SA Server缓存概述 ISA Server对频繁受到请求的对象进行缓存,以改善网络性能。可以配置缓存,确保组织最常 使用的,或者是 Internet客户端最常访问的的数据都存储在其中。 本节学习目标 说明 ISA Server正向和反向Web缓存之间的差异 解释 Cache Array Routing Protocol怎样有助于 ISA Server缓存服务器阵列的设置 描述 ISA Server分层缓存配置的优点 估计学习时间:30分钟 1.3.1高性能Web缓存 ISA Server的web代理服务提供对Web对象的缓存,以从缓存中满足客户端请求。如果缓存中 的内容无法满足请求,就会启动一个代表该客户端的新请求。一旦远程Web服务器对 ISA Server 计算机做出响应, ISA Server计算机缓存对原客户端请求的响应。然后,客户端收到一个响应。 ISA Server的快速RAM缓存把访问最频繁的条目存储在RAM中,它从内存中检索此类条目, 而不是从磁盘检索,从而优化了响应时间。 ISA Server提供优化的磁盘缓存存储,将磁盘的读写访 问操作减至最少。这些技术缩短了响应时间,并改善了系统的总体性能
16 MCSE 制胜宝典— —Microsoft Internet Security and Acceleration Server 2000 服务类型、端口数、源计算机名称或者目的计算机名来阻塞或者允许一个连接。IP 数据包筛选器是 静态的。它们应用于特定的端口,不是允许筛选器就是阻塞筛选器。第二,ISA Server 以访问策略 规则和发布规则的形式提供会话识别线路筛选。这一能力允许动态的数据包筛选并为有辅助连接的 协议提供支持。最后,ISA Server 的应用程序筛选器允许您为某一特殊的应用程序分析数据流,并 且提供特定应用程序处理,包括当数据经过防火墙时检查、筛选或者阻塞、重新定向或者修改数据。 安全网络 Internet ISA server Widgets.microsoft.co Widgels.microsoft widgetsinternal 图 1.9 ISA Server保护内部发布服务器 防火墙服务复杂多层的特性允许您设置强大且灵活的访问控制策略、入侵检测、安全服务器发 布、带宽优先级,以及 VPN 集成。 1.3 ISA Server 缓存概述 ISA Server 对频繁受到请求的对象进行缓存,以改善网络性能。可以配置缓存,确保组织最常 使用的,或者是 Internet 客户端最常访问的的数据都存储在其中。 本节学习目标 l 说明 ISA Server 正向和反向 Web 缓存之间的差异 l 解释 Cache Array Routing Protocol 怎样有助于 ISA Server 缓存服务器阵列的设置 l 描述 ISA Server 分层缓存配置的优点 估计学习时间:30分钟 1.3.1 高性能 Web 缓存 ISA Server 的 Web 代理服务提供对 Web 对象的缓存,以从缓存中满足客户端请求。如果缓存中 的内容无法满足请求,就会启动一个代表该客户端的新请求。一旦远程 Web 服务器对 ISA Server 计算机做出响应,ISA Server 计算机缓存对原客户端请求的响应。然后,客户端收到一个响应。 ISA Server 的快速 RAM 缓存把访问最频繁的条目存储在 RAM 中,它从内存中检索此类条目, 而不是从磁盘检索,从而优化了响应时间。ISA Server 提供优化的磁盘缓存存储,将磁盘的读写访 问操作减至最少。这些技术缩短了响应时间,并改善了系统的总体性能