Internet Security and Acceleration（簡稱ISA）Server是Microsoft推出的集防火墻、代理服務(wù)器于一身的服務(wù)器端軟件，它同時有代理服務(wù)器（代理客戶端共享上網(wǎng)）、防火墻（安全連接Internet、安全發(fā)布網(wǎng)絡(luò)內(nèi)各項服務(wù)如Web、FTP、E-mail到Internet上、提供安全的VPN連接）功能。ISA Server的代理服務(wù)器中的“緩存”功能是業(yè)界最好、速度最快的，許多大型公司都使用ISA Server中的代理服務(wù)器功能作為緩存服務(wù)器。巨靈鳥公司的內(nèi)部就是使用ISA SERVER2006。

1 ISA Server功能概述
Microsoft Internet Security and Acceleration (ISA) Server 2006是可擴展的企業(yè)防火墻和Web緩存服務(wù)器，它構(gòu)建在Microsoft Windows Server 2003和Windows 2000 Server操作系統(tǒng)安全、管理和目錄上，以實現(xiàn)基于策略的訪問控制、加速和網(wǎng)際管理。

當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet時，Internet為組織提供與客戶、合作伙伴和員工連接的機會。這種機會的存在，同時也帶來了與安全、性能和可管理性等有關(guān)的風(fēng)險和問題。ISA Server旨在滿足當(dāng)前通過Internet開展業(yè)務(wù)的公司的需要。ISA Server提供了多層企業(yè)防火墻，來幫助防止網(wǎng)絡(luò)資源受到病毒、黑客的攻擊以及未經(jīng)授權(quán)的訪問。ISA Server Web緩存使得組織可以通過從本地提供對象（而不是通過擁擠的Internet）來節(jié)省網(wǎng)絡(luò)帶寬并提高Web訪問速度。

無論是部署成專用的組件還是集成式防火墻和緩存服務(wù)器，ISA Server都提供了有助于簡化安全和訪問管理的統(tǒng)一管理控制臺。ISA Server為Windows Server 2003和Windows 2000 Server平臺而構(gòu)建，它通過強大的集成式管理工具來提供安全而快速的Internet連接性。

ISA Server 的版本包括ISA Server 2000、ISA Server 2004、ISA Server 2006，當(dāng)前最新版本是ISA Server 2006。ISA Server提供了“代理服務(wù)器”、“緩存服務(wù)器”、“防火墻”等三個方面的功能。
1.1 代理服務(wù)器功能——提供安全性非常高的共享Internet服務(wù)

將網(wǎng)絡(luò)和用戶連接到Internet會引入安全性和效率問題。ISA Server 2006為組織提供了在每個用戶的基礎(chǔ)上控制訪問和監(jiān)視使用率的綜合能力。ISA Server保護網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護的網(wǎng)絡(luò)受到攻擊時向管理員發(fā)出警報。

ISA Server是防火墻，通過數(shù)據(jù)包級別、電路級別和應(yīng)用程序級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅固、集成的入侵檢測、智能的第7層應(yīng)用程序篩選器、對所有客戶端的防火墻透明性、高級身份驗證、安全的服務(wù)器發(fā)布等等增強安全性。ISA Server 2006 可實現(xiàn)下列功能：

·保護網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問；

·保護Web和電子郵件服務(wù)器防御外來攻擊；

·檢查傳入和傳出的網(wǎng)絡(luò)通訊以確保安全性；

·接收可疑活動警報。
1.2 加快Web訪問速度——業(yè)界最好的緩存服務(wù)器
Internet 提高了組織的工作效率，但這是以內(nèi)容可訪問、訪問速度快且成本合理為前提的。ISA Server 2006 緩存通過提供本地緩存的Web內(nèi)容將性能瓶頸控制在最少，并節(jié)省網(wǎng)絡(luò)帶寬。ISA Server可實現(xiàn)下列功能：

·通過從Web緩存（而不是擁擠的Internet）提供對象來提高用戶的Web訪問速度；

·通過減少鏈路上的網(wǎng)絡(luò)通訊來減少Internet帶寬成本；

·分布Web服務(wù)器內(nèi)容和電子商務(wù)應(yīng)用程序，從而有效地覆蓋了全世界的客戶并有效地控制了成本；

·從 ISA Server Web緩存中提供常用的Web內(nèi)容，并將節(jié)省出來的內(nèi)部網(wǎng)絡(luò)帶寬用于其他內(nèi)容請求。
1.3 虛擬專用網(wǎng)絡(luò)（VPN）支持——代理服務(wù)器、防火墻服務(wù)器與VPN服務(wù)器可以可以共存
ISA Server 2006 支持安全的虛擬專用網(wǎng)絡(luò) (VPN) 訪問，分支機構(gòu)或遠程用戶可以通過這種類型的訪問連接到公司網(wǎng)絡(luò)。ISA Server防火墻策略應(yīng)用于 VPN 連接，以控制 VPN 用戶可以訪問的資源和協(xié)議。ISA Server 2006支持的功能在表11-1中列出。

表11-1 ISA Server 2006支持的VPN功能列表

功   能	描         述
VPN 管理	ISA Server包含一種完全集成的虛擬專用網(wǎng)絡(luò)機制，該機制基于 Microsoft Windows Server 2003 和 Windows 2000 Server 功能。
對 VPN 的狀態(tài)篩選和檢查	由于 VPN 客戶端配置為獨立的網(wǎng)絡(luò)，因此可以為 VPN 客戶端創(chuàng)建單獨的策略。防火墻策略引擎有差別地檢查來自 VPN 客戶端的請求，對這些請求進行狀態(tài)篩選和檢查，并根據(jù)訪問策略動態(tài)地打開連接。
SecureNAT 客戶端支持連接到 ISA Server VPN 服務(wù)器的 VPN 客戶端	ISA Server允許 SecureNAT 客戶端即便在客戶端系統(tǒng)上未安裝防火墻客戶端軟件的情況下也訪問 Internet，從而擴展了 VPN 客戶端支持。還可以通過在 VPN SecureNAT 客戶端上強制實施基于用戶或組的防火墻策略來增強公司網(wǎng)絡(luò)的安全性。
通過站點到站點的 VPN 隧道進行狀態(tài)篩選和檢查	ISA Server針對通過站點到站點的 VPN 連接移動的所有通訊引入了狀態(tài)篩選和檢查。可以控制資源，以便特定的主機或網(wǎng)絡(luò)能夠在對方進行訪問。基于用戶或組的訪問策略可以用來精細地控制通過鏈路的資源利用。
VPN 隔離控制	可以在獨立的網(wǎng)絡(luò)上隔離 VPN 客戶端，直到它們滿足預(yù)定義的一組安全要求。VPN 客戶端傳遞安全性測試是基于 VPN 客戶端防火墻策略的所允許的網(wǎng)絡(luò)訪問。可以為未通過安全性測試的 VPN 客戶端提供有限的服務(wù)器訪問權(quán)限，有利于滿足網(wǎng)絡(luò)安全需求。
對站點到站點 VPN 鏈接的 IPSec 隧道模式支持	ISA Server通過允許將 IPSec 隧道模式用作 VPN 協(xié)議來提供站點到站點的鏈接支持。IPSec 隧道模式支持大大地增強了 ISA Server與大量第三方 VPN 解決方案的互操作性。
VPN 監(jiān)視和日志記錄	可以監(jiān)視 VPN 客戶端和遠程 VPN 網(wǎng)絡(luò)的活動，就像監(jiān)視其他任何 ISA Server客戶端的活動一樣。

                               

1.4 安全發(fā)布服務(wù)器——將內(nèi)部網(wǎng)絡(luò)中的多臺服務(wù)器發(fā)布到Internet對外提供服務(wù)

ISA Server 2006可以發(fā)布局域網(wǎng)內(nèi)的多臺服務(wù)器和多種服務(wù)到Internet，用來為Internet網(wǎng)絡(luò)上的用戶提供相應(yīng)的服務(wù)。ISA Server 2006可以用一個或多個指定的地址(公網(wǎng)地址)同時發(fā)布受ISA Server 2006保護的網(wǎng)絡(luò)內(nèi)的多臺服務(wù)器或多種服務(wù)，ISA Server 2006可以真正發(fā)布安全的Web站點，這些都是其他軟件或硬件防火墻所不能比擬的。圖11-1是使用ISA Server 2006發(fā)布服務(wù)器的一個例子，在以后的使用中，這種情況會很普遍

2 防火墻與代理服務(wù)器的基礎(chǔ)知識
本節(jié)將要講述一些代理服務(wù)器、防火墻、ISA Server 2006的相關(guān)知識，這涉及到一些名詞或術(shù)語，如內(nèi)網(wǎng)、外網(wǎng)、公網(wǎng)、私網(wǎng)、合法IP、端口、映射、代理、NAT、轉(zhuǎn)發(fā)等。

許多人覺得代理服務(wù)器很難配置，也有人認為很簡單，也有一些人不明白，為什么要用代理服務(wù)器。而對于防火墻，大多數(shù)人認為安裝了防火墻，網(wǎng)絡(luò)就安全了，至于為什么安全、怎么安全就說不清了。還有一些人認為防火墻要比代理服務(wù)器“復(fù)雜”，因為網(wǎng)絡(luò)出口配置了防火墻后，有些網(wǎng)絡(luò)服務(wù)或通訊(如QQ、BT等)會出現(xiàn)一些問題。要解決這些問題，需要了解上網(wǎng)或網(wǎng)絡(luò)通訊的實質(zhì)，也就需要了解下面這些名詞及來歷。
2.1 網(wǎng)絡(luò)服務(wù)與端口的關(guān)系
對于Internet、Intranet或單位局域網(wǎng)(LAN)來說，一臺計算機要想為其他計算機提供“服務(wù)”，例如把這臺計算機作為打印共享服務(wù)器，除了要在這臺計算機上安裝“硬件”打印機外，還要開啟“打印服務(wù)”這一功能。提供不同的“服務(wù)”，需要開啟與之相應(yīng)的“服務(wù)功能”，而“服務(wù)”和“服務(wù)功能”或“服務(wù)功能的實現(xiàn)”，是由安裝在計算機(或稱為服務(wù)器的計算機)上的操作系統(tǒng)和應(yīng)用程序軟件來提供的。換句話說，一臺計算機要為外部提供WWW瀏覽服務(wù)，則需要在這臺計算機上安裝能提供WWW瀏覽的“服務(wù)器端軟件”。在網(wǎng)絡(luò)中，每一項功能(或服務(wù))都是由安裝在計算機上的操作系統(tǒng)(系統(tǒng)軟件)和運行在操作系統(tǒng)之上的應(yīng)用程序(稱為服務(wù)軟件)來提供的。這是從“系統(tǒng)級”應(yīng)用來說的，而對于目前的基于TCP/IP的網(wǎng)絡(luò)來說，用來提供各種服務(wù)的計算機來說，為了方便網(wǎng)絡(luò)上(包括LAN、Intranet、Internet)的其他用戶(通常是一些計算機)來訪問或使用這些服務(wù)，都需要提供服務(wù)的地址，具體的說，就是需要TCP/IP地址、協(xié)議(TCP或UDP)、端口號這三部分內(nèi)容。

當(dāng)一臺計算機(稱為A)訪問另一臺計算機(稱為B)提供的服務(wù)時，這兩臺計算機(A與B)需要建立一個連接。建立連接時，A計算機使用一個隨機端口與B計算機提供服務(wù)的端口建立一個連接，當(dāng)連接建立后，A與B之間就可以互相通訊(發(fā)送與接收數(shù)據(jù))。例如，A計算機的IP地址為202.206.203.229，B計算機的IP地址為202.206.192.227，A計算機訪問B計算機提供的Web站點，大家知道，默認的Web站點為TCP協(xié)議的80端口。此時，A計算機會從TCP的1024到65535之間選擇一個沒有使用的端口(假設(shè)這個端口為19876)與B計算機的TCP協(xié)議的80端口建立一個連接，當(dāng)連接建立成功后，A計算機就可以訪問B提供的Web服務(wù)了。

每一項服務(wù)，都有一個端口(或多個端口)與之對應(yīng)，可以使用的端口號從1到65535之間選擇，系統(tǒng)服務(wù)通常使用1024以下的端口。使用哪個端口號提供服務(wù)都可以，但對于一些常見的服務(wù)，通常使用一些固定的端口，例如Web服務(wù)使用TCP的80端口，F(xiàn)TP服務(wù)使用TCP的21端口，Windows終端服務(wù)使用TCP的3389端口等，要使用防火墻及代理服務(wù)器，首先要記住一些常見的端口號，表11-2列出了常見服務(wù)及對應(yīng)的端口號，請大家參考。

表11-2 常見服務(wù)與對應(yīng)端口號一覽表

 

【說明】關(guān)于一些服務(wù)與協(xié)議的端口號，在安裝ISA Server 2006后，可以參看“防火墻策略”頁中的“工具箱”選項卡中的“協(xié)議”頁。

使用默認的端口號，只是為了方便訪問這些服務(wù)，實際上，也可以不使用默認的端口號而使用自定的端口號，但要通知訪問者。例如，Web站點通常使用TCP的80端口，如果使用80端口以外的號碼例如使用TCP的8001端口，則用戶在訪問的時候，需要在IE瀏覽器中鍵入類似于http://www.xxx.yyy:8001之類格式，其中www.xxx.yyy是提供Web服務(wù)的計算機的域名或其IP地址，8001是對應(yīng)的Web服務(wù)的端口號。
2.2 TCP/IP地址的意義
對于TCP/IP地址，一般人都知道是由4個字節(jié)、32位長的二進制數(shù)字組成，通常還會常聽到公網(wǎng)地址、私網(wǎng)地址、內(nèi)網(wǎng)、外網(wǎng)等名詞，那這些名詞代表什么意義呢？

通常所說的私網(wǎng)地址，是指TCP/IP地址在10.0.0.1到10.255.255.254、172.16.0.1到172.31.255.254與192.168.0.1到192.168.255.254范圍以內(nèi)的地址。而所說的公網(wǎng)地址，是指TCP/IP地址排除私網(wǎng)地址段與127.0.0.0地址段以后的地址段。合法IP，就是指公網(wǎng)網(wǎng)絡(luò)使用的IP地址，這些地址在Internet上是可以直接被訪問的。

通常所說的“內(nèi)網(wǎng)”是相對“外網(wǎng)”來說的，通常指局域網(wǎng)或經(jīng)過防火墻保護的網(wǎng)絡(luò)；而“外網(wǎng)”通常是指直接連接在Internet上的網(wǎng)絡(luò)，或者指通過廣域鏈路連接企業(yè)內(nèi)部局域網(wǎng)以外的網(wǎng)絡(luò)，或者指不受防火墻保護的、可以連接到外部網(wǎng)絡(luò)的網(wǎng)絡(luò)。

要想訪問“公網(wǎng)”上的計算機，必須有能直接連接到“公網(wǎng)”的設(shè)備并且有合法的IP地址，私網(wǎng)內(nèi)的計算機是不能直接訪問公網(wǎng)的計算機(或設(shè)備)的。而“公網(wǎng)”上的設(shè)備也不能直接訪問“私網(wǎng)”中的計算機，或不能直接訪問“私網(wǎng)”中的計算機提供的某項服務(wù)。可以這樣舉例，具有公網(wǎng)地址的計算機或設(shè)備，就像在主干路兩側(cè)的、具有門牌號的單位，通過主干路可以進入這些有門牌號的單位。而一些沒有門牌號和沒有在主干路上的單位或村莊，是不能直接到達的。
2.3 代理與轉(zhuǎn)換
為什么使用代理服務(wù)器，估計大家都知道是為了解決IP地址的不足。但是大家要清楚一個問題，通常所說的“代理服務(wù)器”，有兩個方面的含義，或者說有兩種功能。一個功能就是，代理服務(wù)器用于局域網(wǎng)內(nèi)計算機共享上網(wǎng)，為局域網(wǎng)內(nèi)的計算機提供訪問Internet各種服務(wù)的功能。另一個功能就是為已經(jīng)能上網(wǎng)的計算機提供“二次代理”功能。舉例來說，在教育網(wǎng)內(nèi)的網(wǎng)站，有許多資料與數(shù)據(jù)，但教育網(wǎng)內(nèi)的服務(wù)器通常都加了限制，禁止教育網(wǎng)外的用戶使用或訪問，如果是通過公網(wǎng)(這里指不包括教育網(wǎng)IP地址段的公網(wǎng))訪問教育網(wǎng)的服務(wù)器，是不能瀏覽這些資料的。這時候，就可以使用教育網(wǎng)內(nèi)提供的代理來訪問教育網(wǎng)的服務(wù)器，這時，通過公網(wǎng)訪問的機器在教育網(wǎng)的服務(wù)器“看”來，是其允許的教育網(wǎng)的IP地址在訪問，可以為其提供服務(wù)。對于這些“二次代理”的服務(wù)器來說，通常都要有“教育網(wǎng)”及“公網(wǎng)”的IP地址，“公網(wǎng)用戶”只是把“二次代理”服務(wù)器作為一個“跳板”來使用。或者這樣舉例，目前，從我國的臺灣是不允許直接坐飛機到北京的，如果坐飛機從臺灣到北京，可以先坐飛機從臺灣到香港或澳門，然后再從香港或澳門到北京。這里的香港或澳門就起到了代理服務(wù)器的作用。

用于局域網(wǎng)內(nèi)的代理服務(wù)器，有三種實現(xiàn)方式，分別為網(wǎng)關(guān)型(NAT)、代理型及代理軟件型，對于網(wǎng)關(guān)型和代理型，不需要在局域網(wǎng)內(nèi)的計算機上安裝軟件，而代理軟件型，需要在局域網(wǎng)內(nèi)的計算機上安裝代理服務(wù)器的客戶端軟件。網(wǎng)關(guān)型(NAT)型，也叫“網(wǎng)絡(luò)地址轉(zhuǎn)換”或“網(wǎng)絡(luò)地址翻譯”，只需要在局域網(wǎng)內(nèi)的計算機上正確設(shè)置網(wǎng)關(guān)地址即可，除此以外，不需要其他設(shè)置。代理型軟件，需要在訪問Internet的軟件上如IE或Outlook上設(shè)置代理服務(wù)器的地址及端口(如果需要用戶名，還要一并設(shè)置，這取決于代理服務(wù)器軟件服務(wù)器端的設(shè)置與要求)。代理型軟件與代理軟件型，如果局域網(wǎng)內(nèi)的計算機與代理服務(wù)器不在同一網(wǎng)段，也要正確設(shè)置網(wǎng)關(guān)地址。

2.4 端口映射與端口轉(zhuǎn)發(fā)
端口映射與端口轉(zhuǎn)發(fā)，用于發(fā)布防火墻內(nèi)部的服務(wù)器或者防火墻內(nèi)部的客戶端計算機，有的路由器也有端口映射與端口轉(zhuǎn)發(fā)功能。端口映射與端口轉(zhuǎn)發(fā)實現(xiàn)的功能類似，但又不完全一樣。端口映射是將外網(wǎng)的一個端口完全映射給內(nèi)網(wǎng)一個地址的指定端口，而端口轉(zhuǎn)發(fā)是將發(fā)往外網(wǎng)的一個端口的通訊完全轉(zhuǎn)發(fā)給內(nèi)網(wǎng)一個地址的指定端口。端口映射可以實現(xiàn)外網(wǎng)到內(nèi)網(wǎng)和內(nèi)網(wǎng)到外網(wǎng)雙向的通訊，而映射轉(zhuǎn)發(fā)只能實現(xiàn)外網(wǎng)到內(nèi)網(wǎng)的單向通訊。

例如：一臺防火墻有兩個端口，一個端口用于外網(wǎng)，設(shè)置的IP地址為202.206.197.229，另一個端口用于內(nèi)網(wǎng)，設(shè)置的IP地址為172.23.1.20，一臺Web服務(wù)器放置在內(nèi)網(wǎng)，其IP地址為172.22.100.100，如果想讓這臺服務(wù)器對外提供Web服務(wù)，則可以在防火墻上將202.206.197.229的TCP的80端口映射到172.22.100.100的80端口，這樣，當(dāng)外網(wǎng)用戶訪問202.206.197.229的Web服務(wù)時，實際上訪問的是內(nèi)網(wǎng)服務(wù)器上提供的服務(wù)。如果在內(nèi)網(wǎng)的172.22.100.100服務(wù)器上提供Web服務(wù)的端口不是80而是另外的端口如3333，則需要在防火墻上將TCP的80端口映射到內(nèi)網(wǎng)172.22.100.100的3333端口。
2.5 理解ISA Server 2006中的網(wǎng)絡(luò)
在安裝ISA Server 2006的計算機中，系統(tǒng)中的每塊網(wǎng)卡都連接一個網(wǎng)絡(luò)。

ISA Server 2006中的網(wǎng)絡(luò)分為“內(nèi)部”、“外部”、“本地主機”、“VPN客戶端”、“被隔離的VPN客戶端”，如果ISA Server 2006配置為“3向外圍網(wǎng)絡(luò)”，還將包括“外圍”網(wǎng)絡(luò)，下面分別介紹。

（1） “內(nèi)部”，代表企業(yè)內(nèi)部局域網(wǎng)，此網(wǎng)絡(luò)的地址范圍在ISA Server 2006安裝的過程中指定，并且在安裝以后可以更改。建議你總是通過添加適配器來添加內(nèi)部網(wǎng)絡(luò)地址。ISA防火墻認為此默認的內(nèi)部網(wǎng)絡(luò)來代表受信任的受保護的網(wǎng)絡(luò)。ISA防火墻的默認防火墻策略會通過系統(tǒng)策略允許本地主機訪問此內(nèi)部網(wǎng)絡(luò)上的資源，但是拒絕所有其他網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問，您必須自行創(chuàng)建規(guī)則來允許到內(nèi)部網(wǎng)絡(luò)的訪問。你不能刪除默認內(nèi)部網(wǎng)絡(luò) 。

（2） “本地主機”，此網(wǎng)絡(luò)代表ISA防火墻本身計算機，與ISA防火墻之間的所有通訊都被認為是和本地主機網(wǎng)絡(luò)之間的通訊，你不能修改或刪除本地主機網(wǎng)絡(luò)。

（3） “外部”，指連接到Internet的網(wǎng)絡(luò)，此網(wǎng)絡(luò)包含未明確包含在其他任何網(wǎng)絡(luò)中的所有IP地址，通常被視為不受信任的網(wǎng)絡(luò)。在剛結(jié)束ISA防火墻的安裝時，外部網(wǎng)絡(luò)包含所有未包含在內(nèi)部網(wǎng)絡(luò)中的地址、本地主機網(wǎng)絡(luò)的IP地址(127.0.0.1)以及ISA防火墻上其他所有網(wǎng)絡(luò)適配器的IP地址。通常情況下，設(shè)置了“網(wǎng)關(guān)地址”的網(wǎng)卡被認為“默認的外部網(wǎng)絡(luò)”。

（4） “VPN 客戶端”，它代表通過VPN連接到ISA服務(wù)器的客戶端計算機，由ISA防火墻動態(tài)生成 ，不能刪除 VPN 客戶端網(wǎng)絡(luò)。

（5） “被隔離的VPN客戶端”，此網(wǎng)絡(luò)包含尚未解除隔離的VPN客戶端的地址，由ISA防火墻動態(tài)生成 ，不能刪除被隔離的 VPN 客戶端網(wǎng)絡(luò)。

在通常情況下，ISA Server 2006包含上面的5部分網(wǎng)絡(luò)，如果ISA Server被配置成“3向外圍網(wǎng)絡(luò)”，還包括“外圍”網(wǎng)絡(luò)。

“外圍”網(wǎng)絡(luò)也稱為DMZ(Demilitarized Zone)、第三區(qū)域和被篩選的子網(wǎng)，DMZ是放置公共信息的最佳位置，這樣用戶、潛在用戶和外部訪問者都可以直接獲得他們所需的關(guān)于公司的一些信息，而不用通過內(nèi)網(wǎng)。通常把公司中的機密的和私人的信息存放在內(nèi)網(wǎng)中，DMZ中的服務(wù)器不應(yīng)包含任何商業(yè)機密、資源代碼或是私人信息。DMZ服務(wù)器上的破壞最多只可能造成在你恢復(fù)服務(wù)器時的一段時間中斷服務(wù)。 目前許多的硬件防火墻都集成了DMZ接口。ISA Server 2006也可以在安裝三塊網(wǎng)卡(甚至三塊以上網(wǎng)卡)的情況下，配置成“3向外圍網(wǎng)絡(luò)”。
2.6 理解ISA Server2004的規(guī)則
在ISA Server 2006中定制的策略、規(guī)則，都是針對上一節(jié)中的各個網(wǎng)絡(luò)來定義和創(chuàng)建的。

在ISA Server 2006的防火墻策略中，主要包括“訪問規(guī)則”和“服務(wù)器發(fā)布規(guī)則”。“訪問規(guī)則”類似于“過濾”，就是允許使用指定的“協(xié)議”從規(guī)定的“源網(wǎng)絡(luò)”能訪問“目的網(wǎng)絡(luò)”，而“服務(wù)器發(fā)布規(guī)則”類似于“映射”，指的是把允許使用指定的“協(xié)議”通過ISA Server 2006“轉(zhuǎn)發(fā)”給指定的“計算機”或“服務(wù)器”。從這點來看，“訪問規(guī)則”象一個通道，允許經(jīng)過身份驗證的人通過，而“服務(wù)器發(fā)布規(guī)則”則象郵遞員送信，把他人寄給你的信送到你的單位傳達室，而由傳達室的負責(zé)人轉(zhuǎn)交給你。

在創(chuàng)建“訪問規(guī)則”時，通常是在“內(nèi)網(wǎng)”、“外網(wǎng)”、“本地主機”等ISA Server 2006定義的“網(wǎng)絡(luò)”之間，允許指定的“協(xié)議”通過，如允許“內(nèi)網(wǎng)”的計算機能上網(wǎng)，就是創(chuàng)建如下的一條訪問規(guī)則：允許“內(nèi)網(wǎng)”使用“HTTP、DNS”協(xié)議訪問“外部”。如果允許“內(nèi)網(wǎng)”的計算機能訪問Internet上的FTP服務(wù)器，則是允許“內(nèi)網(wǎng)”的用戶使用FTP協(xié)議訪問“外部”。

在創(chuàng)建”訪問規(guī)則”時，創(chuàng)建的規(guī)則包括“允許”和“禁止”，這很容易理解。“允許”就是允許指定的協(xié)議通過，而“禁止”則是“不允許”指定的協(xié)議通過。

創(chuàng)建“服務(wù)器發(fā)布規(guī)則”時，ISA Server 2006集成了“Web服務(wù)器發(fā)布規(guī)則”、“安全Web服務(wù)器發(fā)布規(guī)則”、“郵件服務(wù)器發(fā)布規(guī)則”，實際上，這些都與“服務(wù)器發(fā)布規(guī)則”相同，都是“端口映射”或“端口轉(zhuǎn)發(fā)”。在創(chuàng)建“服務(wù)器發(fā)布規(guī)則”時，都是把對ISA Server 2006的指定”協(xié)議”(每種協(xié)議代表一種服務(wù))轉(zhuǎn)發(fā)到ISA Server 2006所保護的網(wǎng)絡(luò)中的一臺計算機(甚至ISA Server 2006本身，網(wǎng)絡(luò)名稱“本地主機”)。

例如：ISA Server 2006的“內(nèi)網(wǎng)”中有一臺Web服務(wù)器，需要把這臺Web服務(wù)器發(fā)布到Internet，則需要創(chuàng)建“服務(wù)器發(fā)布規(guī)則”，把內(nèi)網(wǎng)的這臺Web服務(wù)器安全發(fā)布到Internet。
2.7 理解ISA Server2004的客戶端
ISA Server 2006包括三種類型的客戶端，分別為“防火墻客戶端”、“SecureNAT客戶端”和“Web代理客戶端”，如圖11-2所示

                            

圖11-2 ISA Server 2006的三種客戶端示意圖

下面介紹這三種客戶端的意義。

“防火墻客戶端”是已經(jīng)安裝并啟用防火墻客戶端軟件的計算機。來自防火墻客戶端的請求會定向到 ISA Server計算機上的防火墻服務(wù)，以確定是否允許訪問。此后，可以使用應(yīng)用程序篩選器和其他插件對這些請求進行篩選。防火墻服務(wù)還可以緩存所請求的對象，或者從 ISA Server緩存提供對象。

“SecureNAT客戶端”是指尚未安裝防火墻客戶端軟件的計算機。來自 SecureNAT 客戶端的請求首先會定向到網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 驅(qū)動程序。該驅(qū)動程序?qū)⒂肐nternet上有效的全局 IP 地址替換 SecureNAT 客戶端的內(nèi)部 IP 地址。然后，該客戶端請求會定向到防火墻服務(wù)，以確定是否允許訪問。最后，可以使用應(yīng)用程序篩選器和其他擴展組件對該請求進行篩選。防火墻服務(wù)還可以緩存所請求的對象，或者從 ISA Server緩存提供對象。通常情況下，大多數(shù)的客戶端、以及將要使用ISA Server發(fā)布的服務(wù)器，都必須是“SecureNAT 客戶端”。

“Web代理客戶端”是指與CERN兼容的Web應(yīng)用程序。來自Web代理客戶端的請求會定向到 ISA Server計算機上的防火墻服務(wù)，以確定是否允許訪問。防火墻服務(wù)還可以緩存所請求的對象，或者從ISA服務(wù)器緩存提供對象。“防火墻客戶端”和“SecureNAT”客戶端必須是ISA Server“內(nèi)網(wǎng)”中的計算機，而“Web代理客戶端”可以是Internet上的計算機。

無論客戶端的類型如何，當(dāng) ISA Server接收到 HTTP 請求時，客戶端都被視為Web代理客戶端。即使是防火墻客戶端或 SecureNAT 客戶端發(fā)出HTTP請求，該客戶端仍然被視為Web代理客戶端。這對于驗證該客戶端身份的方式具有特定的含義。

防火墻客戶端計算機和 SecureNAT 客戶端計算機都可以作為Web代理客戶端。如果將計算機上的Web應(yīng)用程序明確配置為使用 ISA Server，則所有Web請求將直接發(fā)送到防火墻服務(wù)，包括 HTTP、FTP 和安全 HTTP (HTTPS)。防火墻服務(wù)將首先處理所有其他請求。表11-3對各種 ISA Server客戶端進行了比較。

表11-3 ISA Server 2006各客戶端對比

 

 

 

 

 

 

 

 

 

 

 

來源：巨靈鳥 歡迎分享本文