北太工教育高回 The Beidaweryanggong Education SASERVER2000数》一紫立 条奥彰奋创新积概 E时代北大叢工数育之觉 SA SERVER2000 Microsoft Internet Security and Acceleration Server 2000 fr4 ISA包括两个版本:标准版和企业版。包括三种模式:防火墙模式, CACHE模式和集 成模式,可以与WIN2K集成,根据计算机,用户,组来定义策略,它通过MMC界面进行 管理,可以在本地和远程管理ISA。 ISA的防火墙分为三个层次,最底层为 IP packet filters,这是静态的,对于指定的端口 不是允许就是阻止通过,然后为 POLICY RULES,这可以理解为动态的包过滤,允许在二 次连接的时候,动态打开相应的端口(即只有在使用的时候,才会打开这一端口,而不像 IP packet filters是一直开放的),最后为应用层的过滤,可以对诸如电子邮件的内容进行过滤 ISA的 CACHE功能十分强大,可以定义为自动下载定义计划,可以根据访问频率的高 低自动下载,可以在多台ISA上分布 CACHE 当使用ISA企业版的阵列方式时,为企业的管理提供更大的灵活性,你可以统一定义 企业策略,也可以对每个阵列分别定义策略 二:安装 Microsoft Internet Security and Acceleration Server2000 在安装前,必须首先考虑ISA的安装模式(防火墙模式, CACHE模式和集成模式), 同时对客户端也要有所考虑,因为客户端可以分为防火墙客户端,WEB客户端和SNAT客 户端。对于一个小公司来说,典型的安装是一台ISA安装两块网卡,隔断企业内部局域网 和 INTERNET,对于一个大型公司,则可能需要多台ISA组成阵列。同时对于防火墙后面 的WEB,MAIL服务器的发布也要有所考虑,你是将它们直接安装在ISA上,混合域 ( perimeter network.),还是在企业的内部 如果要安装ISA企业版,必须首先安装 Enterprise Initialization utility,在AD中加入 SCHEMA,如果是安装ISA标准版,它的信息是保存在 SERVER本身的注册表中的 如果企业以前使用 Proxy Server2.0,可以考虑直接升级到ISA 三:设定 INTERNET访问 ISA的客户端分为防火墙客户端,WEB客户端和SNAT客户端,它们的使用场合是不 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com
北大燕工教育集团 The BeidaWeiyanggongEducation 地址:北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 《ISA SERVER 2000 教案》---朱立 务实 勤奋 创新 积极 E 时代北大燕工教育之道 ISA SERVER2000 一:Microsoft Internet Security and Acceleration Server 2000 介绍 ISA 包括两个版本:标准版和企业版。包括三种模式:防火墙模式,CACHE 模式和集 成模式,可以与 WIN2K 集成,根据计算机,用户,组来定义策略,它通过 MMC 界面进行 管理,可以在本地和远程管理 ISA。 ISA 的防火墙分为三个层次,最底层为 IP packet filters,这是静态的,对于指定的端口, 不是允许就是阻止通过,然后为 POLICY RULES,这可以理解为动态的包过滤,允许在二 次连接的时候,动态打开相应的端口(即只有在使用的时候,才会打开这一端口,而不像 IP packet filters 是一直开放的),最后为应用层的过滤,可以对诸如电子邮件的内容进行过滤。 ISA 的 CACHE 功能十分强大,可以定义为自动下载定义计划,可以根据访问频率的高 低自动下载,可以在多台 ISA 上分布 CACHE. 当使用 ISA 企业版的阵列方式时,为企业的管理提供更大的灵活性,你可以统一定义 企业策略,也可以对每个阵列分别定义策略 二:安装 Microsoft Internet Security and Acceleration Server 2000 在安装前,必须首先考虑 ISA 的安装模式(防火墙模式,CACHE 模式和集成模式), 同时对客户端也要有所考虑,因为客户端可以分为防火墙客户端,WEB 客户端和 SNAT 客 户端。对于一个小公司来说,典型的安装是一台 ISA 安装两块网卡,隔断企业内部局域网 和 INTERNET,对于一个大型公司,则可能需要多台 ISA 组成阵列。同时对于防火墙后面 的 WEB,MAIL 服务器的发布也要有所考虑,你是将它们直接安装在 ISA 上,混合域 (perimeter network.),还是在企业的内部。 如果要安装 ISA 企业版,必须首先安装 Enterprise Initialization utility,在 AD 中加入 SCHEMA,如果是安装 ISA 标准版,它的信息是保存在 SERVER 本身的注册表中的。 如果企业以前使用 Proxy Server 2.0,可以考虑直接升级到 ISA 三:设定 INTERNET 访问 ISA 的客户端分为防火墙客户端,WEB 客户端和 SNAT 客户端,它们的使用场合是不
北太工教育高回 The Beidaweryanggong Education 同的,主要的区别有以下几点 1.SNAT用户的访问只能通过IP地址来进行控制,它是匿名访问,无法使用基于USER 的规则控制,而防火墙用户和WEB用户可以(在缺省情况下,ISA允许WEB匿名访 问,但是你可以通过设置,在访问前要求用户认证) 2.防火墙用户只能在wINX的机器上安装(需要客户端安装程序),而SNAT客户和WEB 客户可以跨越操作系统平台,WEB只有浏览器要求 3.如何内部有WEB/ FTP/MAIL之类的服务器提供对外服务,则它们必须作为SNAT用户 4.SNAT用户不支持需要二次连接的网络运用,除非在 IP FILTER中指定 5.SNAT用户需要解决DNS解析问题,这就意味着你的 INTRANET要有DNS服务器或 者在 IP FILTER中允许 DNS Query operation 6.SNAT用户和防火墙用户同时也可以是WEB用户,不过WEB用户只支持 Http/htTps/Ftp服务 7.对于SNAT用户来说,即使 Protocol rule allows" Any IP traffic”,它也只是开放了ISA 预先定义的那些 Protocol,至于如QQ之类还要你自己定义。注意如果这一应用只使用 了单一端口,那只要直接定义即可,如果使用了多个端口,则须在 IP FILTER中加以定 义 如果你的网络对外连接是通过拨号方式,则只有 Web Proxy and firewall clients可以使用 按需拨号,对于NAT用户,必须首先建立连接。WEB用户和防火墙用户还可以配置使用自 动发现ISA。你需要在DHCP( a special Web Proxy Autodiscovery Protocol entry)和DNS(both a host(A)record of the ISA Server computer and an alias( CNAME) record named WPAD pointing to the Isa Server computer.)中进行相应设置 四:设置 Access policies 对于用户访问是否允许,ISA通过 PROTOCOL-> SITE AND CONTENT>IP FILTER> ROUTING RULE的次序进行考察,首先考察是否有 PROTOCOL RULES拒绝访 问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。 SITE AND CONTENT/ P FILTER也是这样判断。 ROUTING RULE主要用来判断是将访问要求转交给 上一级ISA还是直接发到 INTERNET上。特别的: 1.对于一个指定的 PROTOCOL,如果以一个SNAT访问,如果没有明确的拒绝(这里的 拒绝指得是P地址的拒绝),则ISA会查找是否有明确的许可,如果许可都是针对用户 的,则SNAT客户会被拒绝(因为SNAT是匿名的)。如果许可是针对P的,如果客户 端在这一IP地址范围内,则 PROTOCOL这一层过滤通过 2.对以 WEB PROXY CLIENT用户(在浏览器中填写ISA作为代理服务器),缺省情况下 它是允许匿名的,他允许跑的协议为 Http/htTps/FTP。对于这种情况,我们可以在 ISA的设置中要求出站WEB需要认证,或者在 PROTOCOL中加一条允许协议,因为 WEB允许匿名,所以一条DENY并不能阻止他的访问,加上允许,ISA就会对他进行 匹配,他就会因为不匹配而遭到拒绝 3.对于 FIREWALL/WEB CLIENT均是通过用户来进行管理的,只有NAT是通过IP来进 行管理,在ISA上观察, FIREWALL SNAT CLIENT均属于 FIRWALL SESSION,但是 FIRWALL CLIENT有用户名和机器名,SNAT这两项为空,他只有客户端的IP地址。 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com
北大燕工教育集团 The BeidaWeiyanggongEducation 地址:北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 同的,主要的区别有以下几点: 1. SNAT 用户的访问只能通过 IP 地址来进行控制,它是匿名访问,无法使用基于 USER 的规则控制,而防火墙用户和 WEB 用户可以(在缺省情况下,ISA 允许 WEB 匿名访 问,但是你可以通过设置,在访问前要求用户认证) 2. 防火墙用户只能在 WINX 的机器上安装(需要客户端安装程序),而 SNAT 客户和 WEB 客户可以跨越操作系统平台,WEB 只有浏览器要求 3. 如何内部有 WEB/FTP/MAIL 之类的服务器提供对外服务,则它们必须作为 SNAT 用户 4. SNAT 用户不支持需要二次连接的网络运用,除非在 IP FILTER 中指定 5. SNAT 用户需要解决 DNS 解析问题,这就意味着你的 INTRANET 要有 DNS 服务器或 者在 IP FILTER 中允许 DNS Query operation。 6. SNAT 用 户和防火 墙用户同时 也可以是 WEB 用户, 不过 WEB 用 户只支持 HTTP/HTTPS/FTP 服务。 7. 对于 SNAT 用户来说,即使 Protocol Rule allows "Any IP traffic.",它也只是开放了 ISA 预先定义的那些 Protocol,至于如 QQ 之类还要你自己定义。注意如果这一应用只使用 了单一端口,那只要直接定义即可,如果使用了多个端口,则须在 IP FILTER 中加以定 义。 如果你的网络对外连接是通过拨号方式,则只有 Web Proxy and firewall clients 可以使用 按需拨号,对于 NAT 用户,必须首先建立连接。WEB 用户和防火墙用户还可以配置使用自 动发现 ISA。你需要在 DHCP(a special Web Proxy Autodiscovery Protocol entry)和 DNS(both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.)中进行相应设置 四:设置 Access Policies 对 于 用 户 访 问 是 否 允 许 , ISA 通 过 PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE 的次序进行考察,首先考察是否有 PROTOCOL RULES 拒绝访 问,如果没有,再考察是否有明确的允许,如果有,则通过,其他情况则拒绝。SITE AND CONTENT/IP FILTER 也是这样判断。ROUTING RULE 主要用来判断是将访问要求转交给 上一级 ISA 还是直接发到 INTERNET 上。特别的: 1. 对于一个指定的 PROTOCOL,如果以一个 SNAT 访问,如果没有明确的拒绝(这里的 拒绝指得是 IP 地址的拒绝),则 ISA 会查找是否有明确的许可,如果许可都是针对用户 的,则 SNAT 客户会被拒绝(因为 SNAT 是匿名的)。如果许可是针对 IP 的,如果客户 端在这一 IP 地址范围内,则 PROTOCOL 这一层过滤通过。 2. 对以 WEB PROXY CLIENT 用户(在浏览器中填写 ISA 作为代理服务器),缺省情况下 它是允许匿名的,他允许跑的协议为 HTTP/HTTPS/FTP。对于这种情况,我们可以在 ISA 的设置中要求出站 WEB 需要认证,或者在 PROTOCOL 中加一条允许协议,因为 WEB 允许匿名,所以一条 DENY 并不能阻止他的访问,加上允许,ISA 就会对他进行 匹配,他就会因为不匹配而遭到拒绝。 3. 对于 FIREWALL/WEB CLIENT 均是通过用户来进行管理的,只有 NAT 是通过 IP 来进 行管理,在 ISA 上观察,FIREWALL/ SNAT CLIENT 均属于 FIRWALL SESSION,但是 FIRWALL CLIENT 有用户名和机器名,SNAT 这两项为空,他只有客户端的 IP 地址
北太工教育高回 The Beidaweryanggong Education 一般来说,你如果想访问外部网站,必须要有两个条件,一个是 PROTOCOL RULE许 可,另外一个是 SITE AND CONTENT许可,在缺省条件下,ISA会自动建立一个 SITE AND CONTENT许可供你使用,在 PROTOCOL RULE集中,没有先后次序的概念,但是DENY 比 PERMIT的权力要高 在ISA的控制元素中包括:计划 schedules,带宽优先级 bandwidth priorities,目标集 destination sets.客户集 client address sets.,协议定义 protocol definitions,内容组 content groups,and拨号 dial-up entries你可以将它们组合各种规则( access policy rules, routing rules, ublishing rules, N bandwidth rules 对于包含路径的目标地址,ISA不同的客户端有不同的处理 如果想在ISA服务器本身上发布服务器,必须使用 IP FILTER,它本身还可以用来阻止 外界的某些IP攻击 五:设置 ISA Server Cache CACHE可以加快用户的 INTERNET访问速度,你可以使用 routing rules来指定何者需 要 CACHE,何者从 INTERNET上直接访问,何者则把请求发给上一级ISA。对ISA本身的 CACHE,你可以控制它的大小(必须安装在NTFS上)是否 CACHE动态内容:是否 CACHE HTP和FTP内容:自动更新的频率以及定义计划来自动下载频繁访问的 INTERNET内容。 如果ISA本身的内存比较小,还可以调整分配给 CACHE的内存大小以提高性能 六:发布内部 SERVER 如果想发布内部的 SERVER,则使用 PUBISHING RULES(这实际上也就是 PROTOCOL RULES,只有在需要的时候才会开放),如果SERⅤER就在ISA上,则应使用 IP PACKET FILTERS。在SERⅤER的发布上,最重要的是 WEB SERVER和 MAIL SERVER 七:ISA的安全性 控制ISA,你必须有相应权限( Enterprise Admins),如果为了提高性能,在企业中有多 台 ISA SERVER,则对于防火墙用户,你只要简单的设置DNS,使用 round robin distribution 即可,对于SNAT客户,则需要设置 Network load balancing(这需要高级服务器版和数据 中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通 过它们进行恢复 利用ISA你可以在公司两地搭建ⅤPN,并可以让移动用户通过VPN访问公司的信息, 这实际上是利用了WIN2K的 Routing and Remote Access服务(ISA只不过在 IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤),你可以在相应服务上进行进一步设置 例如增加DHCP中续代理使远端用户得到正确的局域网DNS/wINS配置,远端用户实际上 并没有真正登录到公司的域中,对VPN的接入安全性必须加强设置。如果觉得有问题,可 以删除由 WIZARD建立的4条 IP FILTERS,然后 DISABLE Routing and remote access,最 后由 WIZARD重新建立。 八:使用H.323 Gatekeeper 不懂,请高人指点 九:监视和优化ISA 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com
北大燕工教育集团 The BeidaWeiyanggongEducation 地址:北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 一般来说,你如果想访问外部网站,必须要有两个条件,一个是 PROTOCOL RULE 许 可,另外一个是 SITE AND CONTENT 许可,在缺省条件下,ISA 会自动建立一个 SITE AND CONTENT 许可供你使用,在 PROTOCOL RULE 集中,没有先后次序的概念,但是 DENY 比 PERMIT 的权力要高 在 ISA 的控制元素中包括:计划 schedules, 带宽优先级 bandwidth priorities, 目标集 destination sets, 客户集 client address sets, 协议定义 protocol definitions, 内容组 content groups, and 拨号 dial-up entries。你可以将它们组合各种规则(access policy rules, routing rules, publishing rules, 和 bandwidth rules) 对于包含路径的目标地址,ISA 不同的客户端有不同的处理 如果想在 ISA 服务器本身上发布服务器,必须使用 IP FILTER,它本身还可以用来阻止 外界的某些 IP 攻击 五:设置 ISA Server Cache CACHE 可以加快用户的 INTERNET 访问速度,你可以使用 routing rules 来指定何者需 要 CACHE,何者从 INTERNET 上直接访问,何者则把请求发给上一级 ISA。对 ISA 本身的 CACHE,你可以控制它的大小(必须安装在 NTFS 上);是否 CACHE 动态内容;是否 CACHE HTTP 和 FTP 内容;自动更新的频率以及定义计划来自动下载频繁访问的 INTERNET 内容。 如果 ISA 本身的内存比较小,还可以调整分配给 CACHE 的内存大小以提高性能。 六:发布内部 SERVER 如果想发布内部的 SERVER,则使用 PUBISHING RULES(这实际上也就是 PROTOCOL RULES,只有在需要的时候才会开放),如果 SERVER 就在 ISA 上,则应使用 IP PACKET FILTERS。在 SERVER 的发布上,最重要的是 WEB SERVER 和 MAIL SERVER 七:ISA 的安全性 控制 ISA,你必须有相应权限(Enterprise Admins),如果为了提高性能,在企业中有多 台 ISA SERVER,则对于防火墙用户,你只要简单的设置 DNS,使用 round robin distribution 即可,对于 SNAT 客户,则需要设置 Network Load Balancing (这需要高级服务器版和数据 中心版)。对于企业设置和阵列设置,你可以将设置备份到一个文件,并可以在任何时刻通 过它们进行恢复。 利用 ISA 你可以在公司两地搭建 VPN,并可以让移动用户通过 VPN 访问公司的信息, 这实际上是利用了 WIN2K 的 Routing and Remote Access 服务(ISA 只不过在 IP PACKET FILTER 中针对 PPTP 和 L2TP 增加了几条包过滤),你可以在相应服务上进行进一步设置, 例如增加 DHCP 中续代理使远端用户得到正确的局域网 DNS/WINS 配置,远端用户实际上 并没有真正登录到公司的域中,对 VPN 的接入安全性必须加强设置。如果觉得有问题,可 以删除由 WIZARD 建立的 4 条 IP FILTERS,然后 DISABLE Routing and Remote Access,最 后由 WIZARD 重新建立。 八:使用 H.323 Gatekeeper 不懂,请高人指点。 九:监视和优化 ISA
北太工教育高回 The Beidaweryanggong Education ISA有45种报警,当报警触发时,写入WN2K的事件记录器,并可选择 E-MAIL传 递和停止启动ISA服务。ISA的LOG分为 IP FILTERS,防火墙,WEB代理三个文件,每 天产生(当然你可以限制其总数量),缺省条件下放在ISA的LOG目录下。对于ISA的运 行效率观察,最简单的办法是审查ISA的运行报告(事先你要设定ISA如何产生报告),对 于ISA的带宽分配,你也可以加以定义,ISA是一种所谓的动态分配,优先满足优先权高的 访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。 十:排错 基本的,你可以使用 ISA Server Reports(性能)/ Event viewer(警告出错信息) / Performance monitor(性能)/ Netstat(网络状态)/ elnet(服务状态)∧ Network monitor (网络状况)/ he Routing table(路由信息)来排除错误 对于复杂的错误,可以先将ISA设置到最简单的模式,观察是否能连通内外网络,然 后再一步步添加设置,找出问题的根源。最简单的形式如下: 1.激活 packet filtering enabled,设定一个最简单的 filter,允许双向的IP包 2.建立一条 protocol rule,允许所有的 IP traffi 3.建立一条 SITE AND CONTENT允许访问所有的网站和内容 4.将 application filters和 routing rules恢复成缺省设置 5.检查LAT表包含了所有的客户端 6.在 IP Packet filters中激活 IP Routing,保证有二次连接的协议被顺利路由 7.检查ISA的外部网卡,确保正确的网关,而内部网卡应该不设置网关 8.客户端作为SNAT连接ISA,确定其网关地址为ISA的内网卡地址 附录:常见问题解答(资料来自www.isaserver.org) 问:什么是 Microsoft ISA Server? 这是一种具备全面功能特性的企业级安全,加速和多层次陈列管理服务器。 ISA Server 提供了安全、快速、可管理的 Internet连接性。 ISA Server包括一个可扩展的、多层的企业 防火墙,该防火墙能够进行动态的数据包过滤、透明的、 SecureNAT、“智能的”数据感知 的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了Web访问速度, 而同时节约了带宽,并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一,灵活 的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与 Windows 200的虚拟专用网(vPN, virtual private networking)和带宽控制进行了集成。 ISA Server是一 个进行扩展和自定义的丰富的平台,它包括一个广泛的软件开发工具包(SDK)和多个用于进 行管理、应用程序过滤器、Web过滤器和缓存控制的应用程序设计接口(API)。 问: Microsoft Internet Security and Acceleration Server2000是否属于防火墙或缓存服务 器? ISA Server既可被配置为集成化防火墙与缓存解决方案,又可被部署成专用防火墙或专 用缓存。正在寻求强大防火墙解决方案的组织机构完全可以借助由该产品所提供的动态数据 包筛选、入侵检测、系统加固和“智能”应用程序筛选器等特性为其网络系统提供安全保障 而急需专用缓存解决方案的组织机构则可通过使用 ISA Server所具备的高级缓存特性对网 络实施改进增强 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com
北大燕工教育集团 The BeidaWeiyanggongEducation 地址:北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com ISA 有 45 种报警,当报警触发时,写入 WIN2K 的事件记录器,并可选择 E-MAIL 传 递和停止启动 ISA 服务。ISA 的 LOG 分为 IP FILTERS,防火墙,WEB 代理三个文件,每 天产生(当然你可以限制其总数量),缺省条件下放在 ISA 的 LOG 目录下。对于 ISA 的运 行效率观察,最简单的办法是审查 ISA 的运行报告(事先你要设定 ISA 如何产生报告),对 于 ISA 的带宽分配,你也可以加以定义,ISA 是一种所谓的动态分配,优先满足优先权高的 访问,在这基础上再满足优先权低的访问,而不是直接分配固定带宽给用户。 十:排错 基本的,你可以使用 ISA Server Reports(性能) /Event Viewer (警告出错信息) /Performance Monitor (性能)/Netstat (网络状态)/Telnet (服务状态)/Network Monitor (网络状况) /The Routing Table (路由信息)来排除错误。 对于复杂的错误,可以先将 ISA 设置到最简单的模式,观察是否能连通内外网络,然 后再一步步添加设置,找出问题的根源。最简单的形式如下: 1. 激活 packet filtering enabled, 设定一个最简单的 filter,允许双向的 IP 包 2. 建立一条 protocol rule,允许所有的 IP traffic, 3. 建立一条 SITE AND CONTENT,允许访问所有的网站和内容 4. 将 application filters 和 routing rules 恢复成缺省设置 5. 检查 LAT 表包含了所有的客户端 6. 在 IP Packet Filters 中激活 IP Routing,保证有二次连接的协议被顺利路由 7. 检查 ISA 的外部网卡,确保正确的网关,而内部网卡应该不设置网关 8. 客户端作为 SNAT 连接 ISA,确定其网关地址为 ISA 的内网卡地址 附录:常见问题解答(资料来自 www.isaserver.org) 问:什么是 Microsoft ISA Server? 这是一种具备全面功能特性的企业级安全,加速和多层次陈列管理服务器。ISA Server 提供了安全、快速、可管理的 Internet 连接性。ISA Server 包括一个可扩展的、多层的企业 防火墙,该防火墙能够进行动态的数据包过滤、透明的、SecureNAT、“智能的”数据感知 的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了 Web 访问速度, 而同时节约了带宽,并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一,灵活 的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与 Windows 200 的虚拟专用网(VPN,virtual private networking)和带宽控制进行了集成。ISA Server 是一 个进行扩展和自定义的丰富的平台,它包括一个广泛的软件开发工具包(SDK)和多个用于进 行管理、应用程序过滤器、Web 过滤器和缓存控制的应用程序设计接口(API)。 问:Microsoft Internet Security and Acceleration Server 2000 是否属于防火墙或缓存服务 器? ISA Server 既可被配置为集成化防火墙与缓存解决方案,又可被部署成专用防火墙或专 用缓存。正在寻求强大防火墙解决方案的组织机构完全可以借助由该产品所提供的动态数据 包筛选、入侵检测、系统加固和“智能”应用程序筛选器等特性为其网络系统提供安全保障。 而急需专用缓存解决方案的组织机构则可通过使用 ISA Server 所具备的高级缓存特性对网 络实施改进增强
北太工教育高回 The Beidaweryanggong Education 问:拥有与缓存解决方案相结合的防火墙会带来哪些优势? 即使在组织机构选择分别实施防火墙与缓存功能的情况下, ISA Server仍可同时面向出 站与入站通信量提供具备一致性的单点访问策略及管理功能。在此基础上,组织机构便可适 当缩短系统和网络管理员的培训周期,并相应降低产品管理与维护工作负荷。 问:实施缓存功能是否需要以牺牲 ISA Server作为防火墙的安全性为代价? 绝对不会。缓存基本上属于一种智能存储引擎,可帮助管理人员通过对频繁接受检索的 对象加以存储的方式提高网络访问性能。Web缓存是基于Web代理引擎实施构建的,而Web 代理引擎则可实现HTTP连接特性、筛选功能以及像内容屏幕显示和URL阻断这样与安全 性相关的任务。 问: ISA Server是否需要由 Active Directory(活动目录)提供支持? Active Directory并非实现 ISA Server安全与加速优势的必要条件。然而,谋求以分层方 式在企业范围内创建并部署访问策略或针对负载平衡与故障容错生成相关阵列的客户则需 要对 Active Directory加以运用。 客户完全可以借助 Active Directory实现阵列化部署,并同现有域建立起信任关系,以 期将变化影响程度限制在最低水平。而在这种情况下,则需要面向 Active Directory实施全 面迁移。 问:是否可从 Microsoft Proxy Server2.0迁移至 ISA Server? 可以,这里的确存在着一条可供运行 Proxy Server2.0版的客户实施升级的有效途径。 ISA Server所具备的强大防火墙与缓存特性将可面向针对 Proxy Server20加以应用的具体情 境提供相关支持。当然, ISA Server毕竟是一项基于 Microsoft windows2000操作系统安全 与可靠特性的新产品,并具备针对企业安全与缓存需求而专门设计的新型体系结构。 问:目前存在哪些针对 ISA Server的第三方支持? 不同组织机构间的安全与性能需求往往大相径庭。为面向客户提供最为广泛的选择余 地, Microsoft已经同那些在网络安全与管理领域处于领先地位的厂商展开了密切合作。第 三方厂商将可提供包括站点分类、病毒检测、监控与远程管理及内容分析等解决方案在内的 兼容型、互补式软件产品。 问: ISA Server是否可面向vPN(虚拟专用网络)提供支持? 可以。 ISA Server可帮助您创建虚拟专用网络(PN),并在此基础上为其提供安全保 障。在使用有关向导程序的情况下, ISA Server将可针对 Windows2000 Server所具备的内 建式虚拟专用网络服务进行配置,以便帮助组织机构面向远程站点和移动用户提供符合成本 效益原则的链接 问: ISA Server Enterprise Initialization Tool( ISA Server企业初始化工具)可对 Active Directory架构进行修改,请问:截至目前,是否发布过有关上述修改的完整列表? 请查阅位于 cdrootlisa目录下的 scheme. ldif文件……该文件是针对架构更新而生成的导 入文件 地址:北京市西城区复兴门北大燕工教育集团 http:/www.Beidayg.comcnEmailzhulitongbeida@163.com
北大燕工教育集团 The BeidaWeiyanggongEducation 地址:北京市西城区复兴门北大燕工教育集团 http://www.Beidayg.com.cnEmail:zhulitongbeida@163.com 问:拥有与缓存解决方案相结合的防火墙会带来哪些优势? 即使在组织机构选择分别实施防火墙与缓存功能的情况下,ISA Server 仍可同时面向出 站与入站通信量提供具备一致性的单点访问策略及管理功能。在此基础上,组织机构便可适 当缩短系统和网络管理员的培训周期,并相应降低产品管理与维护工作负荷。 问:实施缓存功能是否需要以牺牲 ISA Server 作为防火墙的安全性为代价? 绝对不会。缓存基本上属于一种智能存储引擎,可帮助管理人员通过对频繁接受检索的 对象加以存储的方式提高网络访问性能。Web 缓存是基于 Web 代理引擎实施构建的,而 Web 代理引擎则可实现 HTTP 连接特性、筛选功能以及像内容屏幕显示和 URL 阻断这样与安全 性相关的任务。 问:ISA Server 是否需要由 Active Directory(活动目录)提供支持? Active Directory 并非实现 ISA Server 安全与加速优势的必要条件。然而,谋求以分层方 式在企业范围内创建并部署访问策略或针对负载平衡与故障容错生成相关阵列的客户则需 要对 Active Directory 加以运用。 客户完全可以借助 Active Directory 实现阵列化部署,并同现有域建立起信任关系,以 期将变化影响程度限制在最低水平。而在这种情况下,则需要面向 Active Directory 实施全 面迁移。 问:是否可从 Microsoft Proxy Server 2.0 迁移至 ISA Server? 可以,这里的确存在着一条可供运行 Proxy Server 2.0 版的客户实施升级的有效途径。 ISA Server 所具备的强大防火墙与缓存特性将可面向针对Proxy Server 2.0加以应用的具体情 境提供相关支持。当然,ISA Server 毕竟是一项基于 Microsoft Windows 2000 操作系统安全 与可靠特性的新产品,并具备针对企业安全与缓存需求而专门设计的新型体系结构。 问:目前存在哪些针对 ISA Server 的第三方支持? 不同组织机构间的安全与性能需求往往大相径庭。为面向客户提供最为广泛的选择余 地,Microsoft 已经同那些在网络安全与管理领域处于领先地位的厂商展开了密切合作。第 三方厂商将可提供包括站点分类、病毒检测、监控与远程管理及内容分析等解决方案在内的 兼容型、互补式软件产品。 问:ISA Server 是否可面向 VPN(虚拟专用网络)提供支持? 可以。ISA Server 可帮助您创建虚拟专用网络(VPN),并在此基础上为其提供安全保 障。在使用有关向导程序的情况下,ISA Server 将可针对 Windows 2000 Server 所具备的内 建式虚拟专用网络服务进行配置,以便帮助组织机构面向远程站点和移动用户提供符合成本 效益原则的链接。 问:ISA Server Enterprise Initialization Tool(ISA Server 企业初始化工具)可对 Active Directory 架构进行修改,请问:截至目前,是否发布过有关上述修改的完整列表? 请查阅位于 cdroot\isa 目录下的 scheme.ldif 文件……该文件是针对架构更新而生成的导 入文件……