ISA SERVER使用指南
ISA Server 2006 性能最佳操作
ISA Server 2006 性能最佳操作Microsoft? Internet Security and Acceleration (ISA) Server 2006 提供网络之间受控的安全访问,并充当一个提供快速Web 响应和卸载功能以及用于远程访问的安全Web 发布的Web 缓存代理。
它的多层体系结构和高级策略引擎为您需要的安全级别和所要的资源之间的平衡提供了精确的控制。
在一台边缘服务器连接多个网络时,与组织中的其他服务器相比,ISA Server 要处理大量流量。
因此,ISA Server 是专为高性能而构建的。
本文为部署具有最佳性能和充足容量的ISA Server 提供指南(本文还包含指向英文网页的链接)。
摘要在大多数情况下,可用网络带宽(特别是Internet 链路带宽)可通过运行在可用的入门级硬件上的ISA Server 来保护。
对于各种Internet 链路,典型的保护超文本传输协议(HTTP) 流量的出站Web 访问的默认ISA Server 部署需要以下特定硬件配置。
下表列出了这些硬件配置(有关详细信息,请参阅本文档中的―Web 代理方案‖)。
使用传输层状态筛选而不是Web 代理筛选器,将同样流量模型的CPU 使用率提高了10 倍。
状态筛选和应用程序筛选可同时使用,以便对性能进行精确控制。
返回页首规划ISA Server 容量了解容量需求是确定ISA Server 部署所必需的资源的第一步。
对于大规模的部署,会有几种具体的部署情况。
一般情况下,您可能需要考虑下列衡量指标:•连接到ISA Server 计算机的每个网络上的可用和实际带宽。
•组织中的用户数量。
•应用层的各种衡量指标(例如,邮件服务器中的平均邮箱大小)。
对于ISA Server 容量的最重要的衡量指标是实际网络带宽,因为它们通常代表真实的容量需求。
在许多情况下,网络带宽(特别是Internet 链路的网络带宽)可以确定ISA Server 容量。
使用ISA Server 2004防火墙发布位于公共DMZ网段的服务器
Copyright by 2004-2005
防火墙路由(替代 NAT)使用简单的包过滤连接到 DMZ 网段(类似 PIX)。与 之对比,ISA Server 2004 防火墙允许你在 Internet 和 DMZ 使用之间路由, 或者 NAT。事实上,ISA Server 2004 防火墙允许你决定使用什么方式进行连 接:路由或者 NAT。 如果你已经拥有一个具有多个使用公共地址的主机所建立的 DMZ 网段,而 且因为如果他们地址架构的改变会影响到其他服务的改变如 DNS 服务等,你不 希望改变他们的地址架构,此时,使用公共地址是必要的。你仍然想使用当前服 务器上的 IP 架构,这样 Internet 主机可以使用过去一样的 IP 地址(实际上, 相同的 DNS 映射)来访问 DMZ 主机。你可以通过 ISA Server 2004 来在 Internet 和包含你想发布的服务器的 DMZ 网段之间配置一个路由关系。 注意我加注了“Publish”。ISA Server 2004 防火墙策略提供了两种方式让 你可以控制通过防火墙的策略:Access Rules 和 Publishing Rules。访问策略 (Access Rules)可以加入到路由和 NAT 关系。发布策略(Publishing Rules) 总是对连接实行 NAT,不过你是否使用公共地址网段或者在源主机和目的主机 之间有路由关系。 如果这样听起来有点混淆,它是的。它在你按照 ISA Server 2000 方式, 总是要对非信任主机和信任主机进行 NAT 的方法来实施时会特别混淆。在我们 进入如何发布位于公共地址网段的服务器之前,先让我们对新的 ISA Server 2004 网络模型的的一些方面进行介绍。 下图显示了我们这篇文章中使用的示例网络。下图展示了一种 Internet 和 DMZ 网段之间的路由关系。当 PocketPC PDA 客户连接到位于 DMZ 网段的服 务器,它用于建立连接的名字解析到 DMZ 主机的实际 IP 地址,在我们这个例 子中是 172.16.0.2。路由关系允许我们做 DNS 解析和保存映射到 DMZ 主机 到实际 IP 地址的 DNS 记录。ISA Server 2004 访问策略让 DMZ 主机对 In共 22 页
ISA2006经典教程
【IT专家网独家】本文转自IT专家网,为IT同路人编写。
ISA Server 2006速战速决实验指南(1)实验环境的搭建【IT专家网独家】本文转自IT专家网,为IT同路人编写。
ISA Server 2006是目前企业中应用最多的ISA版本,该版本增强了对OWA发布和多个Web 站点发布的支持,并新增了对SharePoint Portal Server发布的支持;新增了单点登录特性,支持针对通过某个Web侦听器所发布的所有 Web 服务的单点登录;新增了服务器场功能,支持通过多个Web服务器组成服务器群集以实现负载均衡,并且此特性无需Windows的NLB 或群集支持;强化了DDOS防御功能,极大的增强了对于DDOS攻击的防范能力。
下面让我们来看看如何搭建ISA Server 2006的实验环境。
一、实验环境:按如图1所示拓扑图构建域环境,域名为。
其中域控制器主机名为DC_Server。
将主机ISA_Server加入到域中,成为域成员服务器,然后增加第2块网卡,连接内部网络的网卡标识为LAN,连接外部网络的网卡标识为WAN,该主机作为ISA防火墙。
外部Internet客户机主机名为WAN_Client,它是工作组中的计算机。
二、查看域控制器和ISA防火墙的TCP/IP设置1、ISA服务器网卡配置情况:ISA防火墙有2块网卡,更改网卡标识如图2所示。
使用命令【ipconfig/all】查看ISA防火墙的IP设置情况,如图3所示。
2、域控制器网卡配置情况:使用命令【ipconfig/all】查看域控制器的IP设置情况,如图4所示。
本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装……【IT专家网独家】本文是ISA Server 2006 速战速决实验指南第二部分,以第一部分里我们讲述了ISA Server 2006实验环境的搭建,本次将详细讲术ISA Server 2006企业版的安装……一、安装ISA Server 2006企业版以域管理员身份登录到需要安装ISA Server 2006的主机(ISA_Server)上,放入光盘运行程序,出现如图1所示界面。
ISA_server_操作指南
HOW TO:安全地将您的公司连接到Internet最近更新: 19-Jul-2001文章ID: CHS300876这篇文章中的信息适用于:∙Microsoft Windows 2000 Server∙Microsoft Windows 2000 Advanced Server概要本分步指南介绍了在现有的基于Windows 的网络中拥有少于255 台工作站的小型公司如何通过使用Microsoft Internet Security Acceleration (ISA) 防火墙安全服务,将计算机连接到Internet。
1. 安装ISA ServerISA 防火墙需要一台装有两个网络适配器的计算机。
需要将其中的一个适配器连接到内部网络。
将另外一个适配器连接到您的Internet 服务供应商(ISP)。
ISP 能帮助您建立该连接。
防火墙通过阻止Internet 上的其他人访问内部网络或您的计算机上的机密信息,来充当企业Intranet 与Internet 之间的安全屏障。
规划安装∙可以在独立的计算机上、在作为Windows NT 域成员的计算机上或在作为Windows 2000 Active Directory 域成员的计算机上运行ISA Server Standard Edition。
∙为实现最高的安全性,应在一台独立计算机上运行ISA Server。
∙网络适配器的配置涉及到设置连接Internet 的外部接口和连接基于Windows 的网络的内部接口。
您的ISP 应该提供静态IP 地址、子网掩码、默认网关以及一台或多台DNS 服务器。
在连接到ISP 的网卡的TCP/IP 设置中,输入该信息。
一些ISP 愿意使用"动态主机配置协议"(DHCP) 指定该信息,这样很好。
配置服务器的网络适配器1.右键单击桌面上的网上邻居,然后单击属性。
2.右键单击您的Internet 连接,单击重命名,然后键入Internet 连接。
微软ISA操作配置指南
ISA Server 安装后的状态将阻挡对 Internet 的来往访问。这是一件好事!请记住,您是在设置防火墙。防火墙的主要功能是在两个网络之间充当检查点。ISA Server 的行为是通过策略阻挡任何没有被明确允许的内容。
配置 ISA 安装后的状态
必须对访问策略的以下两个组件进行配置,以便客户机能够访问 Internet:
必须至少配置一个站点和内容规则,在其中指定用户可访问哪些站点以及可检索哪些类型的内容。
必须至少配置一个协议规则,以便指定哪些类型的通信允许通过 ISA Server。
安装完成后,ISA 创建一个默认站点和内容规则,允许所有客户机在所有时间访问所有站点上的所有内容。但是这对于要开始在 Internet 上冲浪的用户来说是不够的:现在还没有已定义的协议规则。没有它,将不允许通过 ISA 的通信。
双击 Internet 协议 (TCP/IP),然后单击以选中使用下面的 IP 地址复选框。
在 IP 地址中,输入符合内部网络地址编排方案的内部 IP 地址和子网掩码。将默认网关留为空白。在首选 DNS 服务器中,键入网络的一台或多台 DNS 服务器的 IP 地址。
备注:对于少于 255 台计算机的小型网络,如果使用 Windows 2000 默认 TCP/IP 配置,并且网络中没有 DNS 服务器,则计算机依赖于自动专用 IP 地址分配 (APIPA)。应该从 APIPA 迁移出来,并开始在客户机工作站上使用静态地址。网络中的每台计算机需要一个唯一的 IP 地址。如果配置了 ISA Server 的内部接口,需要键入静态地址,所以使用地址 192.168.0.254,及子网掩码 255.255.255.0。将默认网关框留为空白。在 DNS 服务器字段中键入 ISP 的 DNS 服务器。
集成ISA Server和RRAS实现站点间VPN
产品 | 支持 | 搜索 | 指南社区首页 | 技术精华区 |社区英雄 | 中文新闻组 |微软总部 搜索目标 高级搜索搜索社区首页社区指南及行为规范社区活动中文新闻组社区英雄第三方合作伙伴资源链接集成ISA Server 和RRAS 实现具有高可用性和高安全性的站点间VPN 摘要 本文讲述了如何集成ISA Server 和Windows 2000 Server 的RRAS 实现具有高可用性和高安全性的站点间的VPN 。
目录 环境分析 方案优点 服务器W2K 系统安装及配置证书服务安装配置安装ISA Server设置Local ISA VPN Server设置Remote ISA VPN ServerPPTP 连接设置使用L2TP/IPSec参考信息作者介绍环境分析公司(虚构),总部位于广州,内有局域网使用192.168.0.0/24网段,在香港有一分公司,内有局域网使用192.168.1.0/24网段,两地都是通过ADSL专线接入Internet,分别有两个固定IP地址;现需要通过Site to Site VPN使两地局域网互连,使得两地的局域网用户互相可以访问两地局域网的任何网络资源,并且要求维护管理简单方便、高可用性、高安全性。
根据实际情况,我们现在通过集成ISA Server和RRAS(Windows 2000中Router and Remote Access Service)并且使用L2TP/IPSec协议实现Gateway to Gateway方式VPN,来实现公司需求。
方案优点投资少:不用购买任何VPN硬件设备,利用现有的ISA服务器就可以实现;配置简单:传统的VPN设备配置复杂,而本方案所有配置全部GUI图形界面;维护管理方便:全部GUI图形界面,查看当前VPN状态一目了然;客户端设置简单:局域网内客户端不需要安装任何软件,只要把网关指向本地的ISA服务器内网网卡的IP地址,就可以使用;高安全性:使用L2TP/IPSec保证数据加密及安全性,并且ISA防火墙只允许本公司拥有的Internet IP才能通过防火墙;服务器W2K系统安装及配置GZ-DC-01:服务:Active DirectoryDomain Name:DNSIP配置:Host Name:GZ-DC-01Primary DNS Suffix:DNS Suffix Search List: Ethernet adapter Local Area Connection:IP Address: 192.168.0.2Subnet Mask: 255.255.255.0Default Gateway: 192.168.0.1DNS Server: 192.168.168.0.2使用默认安装,使用Dcpromo提升为DC.GZ-CA-01:IP配置:Host Name:GZ-CA-01Primary DNS Suffix:DNS Suffix Search List: Ethernet adapter Local Area Connection:IP Address: 192.168.0.3Subnet Mask: 255.255.255.0Default Gateway: 192.168.0.1DNS Server: 192.168.168.0.2使用默认安装,并手动设置IP配置,加入到域,作为成员服务器.GZ-VPN-01:服务:IP配置:Host Name:GZ-VPN-01Primary DNS Suffix:DNS Suffix Search List:Ethernet adapter Local Area Connection:(内部网卡)IP Address: 192.168.0.1Subnet Mask: 255.255.255.0Default Gateway:DNS Server:Ethernet adapter Local Area Connection:(外部网卡)IP Address: 202.100.100.2Subnet Mask: 255.255.255.0Default Gateway: 202.100.100.1DNS Server: 202.96.128.110(ISP DNS)使用默认安装,并手动设置IP配置,独立服务器.HK-SRV-01:IP配置:Host Name:HK-SRV-01Ethernet adapter Local Area Connection:IP Address: 192.168.1.2Subnet Mask: 255.255.255.0Default Gateway: 192.168.1.1使用默认安装,并手动设置IP配置,作为成员服务器.HK-VPN-01:服务:IP配置:Host Name:HK-VPN-01Ethernet adapter Local Area Connection:(内部网卡)IP Address: 192.168.1.1Subnet Mask: 255.255.255.0Default Gateway:DNS Server:Ethernet adapter Local Area Connection:(外部网卡)IP Address: 202.100.100.3Subnet Mask: 255.255.255.0Default Gateway: 202.100.100.1DNS Server: 202.96.128.110(ISP DNS)使用默认安装,并手动设置IP配置,独立服务器.证书服务安装配置在GZ-DC-01域控制器上安装Certificate Services(证书服务)单击Start,指向Settings,单击Control Panel;打开Add/Remove Programs,单击Add/Remove Windows Components按钮;选择Certificate Services,然后你将看到警告对话框,单击Yes按钮。
利用ISA_Server2006发布DMZ区服务器[整理]
利用ISA Server2006发布DMZ区服务器上次咱们通过设置防火墙策略使内网用户可以上网了,并且通过配置缓存加快了访问Internet的速度。
今天我们的任务就是把外围区域(DMZ)的服务器发布出去。
我重点会去说web服务器的发布。
其它的服务比如:mail、FTP、DNS都是一样的,大家掌握一种方法其它的就都学会了啊。
拓扑图在下面,前面两次虽然也是这幅图,但我们一直没有说到的一个地方,就是DMZ 区域,在ISA Server中它又叫外围区域。
接下来我们就要把这个区域中的服务器发布到外部供Internet上的朋友们访问。
为什么不让他们直接访问而要通过发布的方式呢?因为如果没有防火墙的保护,直接暴露在外网的话,估计不到两分种就歇菜了。
什么病毒啊,黑客啊全来了。
所以我们要把它们发布出去,这样Internet上的用户访问外网接口,就等于访问了DMZ区域中的服务器。
我想大家在路由器上都应该做过NA T,NA T有个技术叫PA T,它也可以用来发布服务器,通过端口来定位服务。
咱这和那个道理是一样的。
我们还要把这些服务器发布到内网——而不是让他们直接访问,为什么呢?“家贼难防”!,就不用解释了。
来看看具体的步骤吧!首先还是分析一下拓扑。
为了大家看起来方便我把大概的的信息罗列到下面:1. DMZ区域中有两台服务器,分别是:1>.web服务器主机名: IP:172.16.1.20/16 GW:172.16.1.12>.mail服务器主机名: IP:172.16.1.10/16 GW:172.16.1.12. ISA Server的三块网卡IP分别为:1>.内网卡LAN IP:192.168.1.1/242>外围网卡DMZ IP:172.16.1.1/163>外网卡W AN IP:61.134.1.4/8主要的TCP/IP参数就是上面罗列的那些,其他没说到的咱们边做边说吧。
第一部分:创建并配置DMZ区域前面一直是这个图,但其实DMZ区我们并没有去用到它,所以这之前我们一直是一种边缘防火墙的部署方式。
浪潮英信服务器用户手册说明书
安全管理
安全特性
用户账号安全管理
账号安全包括密码长度及复杂度、密码有效期、禁用历史密码重复次数和登录失败锁定等功 能,还包含修改口令时验证旧口令、首次登录时提示修改默认口令等措施保证账号安全。
安全协议及安全端口防攻击
按照最小化原则对外开放网络服务端口,关闭不使用的服务;默认使用安全协议,默认关闭 不安全协议的端口。
作站、路由器、交换机等)的标准协议。网络管理员还可以通过
接收网络节点的通知消息
以及告警事件报告等来获知网络出现的问题。
在 中,远端代理可以通过 等服务器信息,同时可以通过
访问 进行
获取网络信息、用户信息、温度 电压 风扇速度 参数配置、管理服务器。
支持
。
支持
版本。
支持认证算法
或者 ,加密算法为 或 。
仅限 调测串口登陆,进行 调试和维护。
为保证系统的安全性,建议您在首次操作时修改默认值。
用户管理
采用基于角色的本地用户精细化管理。系统权限类型被划分为用户配置、常规配置、电
源控制、远程媒体、远程 、安全配置、调试诊断、查询功能、配置自身这九种类型。默
认支持“管理员”、“操作员”、“普通用户”角色,不允许配置修改其权限。另外还支持最
商标说明
浪潮、
、浪潮、英信是浪潮集团有限公司的注册商标。
本手册中提及的其他所有商标或注册商标,由各自的所有人拥有。
技术支持
技术服务电话:
地
址:中国济南市浪潮路
号
浪潮电子信息产业股份有限公司
邮
编:
符号约定
在本文中可能出现下列符号,它们所代表的含义如下。
符号
说明
如不当操作,可能会导致死亡或严重的人身伤害。
ISA安装设置全集
ISA安装设置全集发布时间:2003-10-245inet 点击: 34171ISA安装设置全集安装ISA Server设定ISA ServerPolicy Elements 设定如何建立ISA Server 封包过滤Packet Filtering 原则Publishing Service 转送服务ISA 2000 Server 备份及还原ISA Server 记录档管理ISA Server 入侵侦测功能安装ISA Server将Microsoft ISA 2000 Server 光碟放在Windows 2000 伺服器上;按下Install ISA Server 如图下。
Fig 1.撰择Full Installation;ISA Server 2000 有下列三个安装元件:一、ISA Services: 防火墙运作及控制服务。
二、Add-In Services: 附加网路服务元件,可选择安装包括H.323 Gatekeeper Service,这是提供内部使用者运用MS Netmeeting 或H.323 和外面网路(Internet) 沟通的闸道(Gateway)应用程式,Message Screener 用作提供过滤进出防火墙的SMTP Packet的管制监墆服务元件。
三、Administrator Tools: 管理ISA Server 介面程式包括H.323 Gatekeeper Service 的管理介面。
这个管理工具可以安装在Windows 2000 Professional 工作站作远端管理ISA Server 运作。
2.警告讯息;如你安装于Windows 2000 Stand-Alone Server 且没有加任何Active Directory,这个讯息如图下是Fig 2 接著按下Yes 并选择Integrated mode (注解如下) 。
Fig 3Firewall Cache Integrated是否能自订存取原则(Access Policy) Yes HTTP only Yes是否能让内部网站转向(Web Publishing) 给外部使用Yes Yes YesYes No Yes是否能让内部使用者运用虚拟网路(VPN) 存取其他网路主机是否能让内部伺服器应用程式转向(Web Publishing) 给外部Yes No Yes使用是否提供快取服务(Cache Service) No Yes Yes是否提供封包过滤(Packet filtering) Yes No Yes是否提供进出防火墙网路应用程式的过滤程式(ApplicationYes No Yesfiltering)是否提供即时监视(Real-time monitoring) Yes Yes Yes是否提供系塻发生错误或遭到攻击的警告(Alerts) Yes Yes Yes是否提供报告(Reports) 塻计图表功能Yes Yes Yes由于ISA Server 2000 并不知道那一个IP 位址段为内部网路。
ISA Server 2004企业版Beta安装指南
ISA Server 2004企业版Beta安装指南和ISA Server 2004标准版相比,企业版对安装计算机的硬件要求基本一致,唯一的区别在于ISA Ser ver服务和配置存储服务器必须安装在Windows Server 2003之上。
另外,微软推荐你保留4G的硬盘空间作为日志存储。
由于在企业版中采用了配置与服务的分离,配置服务器采用活动目录应用程序模式(ADAM)进行存储,I SA Server服务计算机与配置存储服务器之间的访问默认采用集成身份验证,并且相互之间的数据通信均采用加密,所以强烈推荐你在域环境中配置ISA Server企业版;并且在域环境中配置企业版非常简单,只需要将需要安装服务的计算机都加入到域中,安装时使用域管理员身份登录就可以很轻松的完成。
对于在工作组环境或在ISA Server服务与配置存储服务器之间不存在信任关系的网络环境的安装,这就不是那么容易了。
首先你需要在安装配置存储服务器的计算机上安装服务器验证证书,然后在安装配置存储服务器时选择使用此证书,最后在安装ISA Server服务时,选择信任颁发配置存储服务器所使用的服务器验证证书的CA。
这样两者之间才能正常进行通信。
最后还需要在运行ISA Server服务的本地计算机上建立一个相同的用户账户,然后配置阵列使用此用户进行阵列内部的通信。
如果在安装时选择同时安装配置存储服务器及ISA Server服务,会自动建立一个以安装计算机名为名字的阵列并将此计算机上的ISA Server服务加入到此阵列中,此时在配置存储服务器和ISA Server服务之间是使用集成身份验证进行通信。
如果是想让其他工作组环境下的ISA Server服务加入到此阵列中,需要修改配置存储服务器的验证方式。
但是经过试验,因为此时已经在此配置存储服务器上建立了使用集成身份验证的阵列,不允许你再修改配置存储服务器的验证方式,因此无法在阵列中加入ISA Server服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISA SERVER使用指南随着因特网的使用继续扩展,安全和性能也同样面临挑战。
在以前仅仅给我们提供了代理服务的软件渐渐的在我们的要求面前越来越显得苍白无力了。
怎么办?我们选择了寻找新的软件以及企业上网的解决方案。
从长远来考虑,我们需要的不仅仅是一个代理软件,让企业职工能够通过这个代理访问到外面的世界,让他们感知外面的世界并且尽快的了解瞬息万变的市场。
我们不但需要主动的去了解世界,而且还需要世界来了解我们。
当然,这个时候那么安全和性能就越来越得到企业和用户的重视了。
当然更加一个迫使企业的网管们去寻找更好的代理软件的原因就是随着用户和访问量的增加代理软件的稳定性几乎成几何数积的方式递减。
我所试过的代理服务器不算少,每个代理服务器均使用了一个月以上了,但是都不是非常满意。
大致归纳起来l SYSGATE:功能太简单,效率不是很高,稳定性还可以;l WINGATE:功能适中,速度效率都还不错,稳定性不好;l WINROUTE:功能适中,速度效率基本上来说还可以,稳定性也还是不错;l CCPROXY:速度不错,但是总的来说总有一些或多或少的毛病;l INTERNET连接共享:功能太简单,效率非常一般,稳定性还可以;还是说说我们单位的大致情况吧。
8M专线ADSL接入INTERNET,两台HP服务器,网络中心为100M到桌面,整个企业网络为全交换式网络。
企业内部所以科室机器全部需要连接到INTERNET,科室机器大约为200台。
机房有4个,机器大约总共为200台左右。
我们需要能够随时控制哪些科室在什么时间段能够上网,并且能够对这些科室的上网带宽进行控制。
能够随时灵活的控制机房是否能够上网。
能够在企业内部建立若干个WEB和FTP站点,并且通过这个代理服务器发布到INTERNET上,让INTERNET上的朋友对这些个资源进行访问……在使用了这些代理之后,我渐渐的开始失望,难道真的没有让我满意的代理服务器吗?最后,在朋友的介绍下我们使用了这款微软发布的代理服务器—— Internet Security and Acceleration Server。
首先澄清一点,我绝对不是微软的枪手,而且微软也绝对不会找我这种蹩脚的枪手的。
或者你们看了我后边的使用以及ISA的功能之后就不会觉得我在吹嘘什么了。
Internet Security and Acceleration(ISA) Server可以说是原来基于Windows NT 4.0的MS PROXY的一个升级版本吧。
它在前一版的基础上修补了许多安全性及缓存上的缺陷,提供了更快速、更安全、更直观易于管理的系统。
并整合了企业级的防火墙系统及高性能的缓存机制——也就是说,这款软件不仅仅再是一个代理软件了,它还充当了一个“防火墙”的功效。
ISA Server允许被安装成Cache mode(缓存模式)、Firewall mode(防火墙模式)、Integrate mode(集成模式)三种模式当中的一种。
当网络系统需要通过ISA直接连入Internet的同时,也要对公司内部的主机进行相应的保护的话,那么Firewall或Integrate模式正是您所需要的。
但在很多企业没有任何相关的Internet主机或外部已经有防火墙,而他们知识希望能加快网络间流量传递速度,则采用Cache 模式是最理想的一种方案了。
那么ISA能够提供给大家一些什么服务呢?多层防火墙安全防火墙可以通过各种方法增强安全性,包括数据包筛选、电路层筛选和应用程序筛选。
高级的企业防火墙,如ISA Server 所提供的那一种,综合了所有这三种方法,在多个网络层提供保护,为企业提供最低的投入的基础上最高的回报。
状态检测状态检查检查通过防火墙的协议环境中的数据以及连接的状态。
在数据包层,ISA Server 检查在IP 消息头中指明的通信来源和目标,以及在标识所采用的网络服务或应用程序的TCP 或UDP消息头中的端口。
动态数据包筛选器能够使窗口的打开只响应用户的请求,并且打开端口的持续时间恰好满足该请求的需要,从而减少与打开端口相关的攻击。
ISA Server 可以动态地确定,哪些数据包可以传送到内部网络的电路层和应用程序层服务。
管理员可以配置访问策略规则,以便只在允许的情况下自动打开端口,然后当通信结束时关闭端口。
这一过程称为动态数据包筛选,它使两个方向上暴露的端口数量减到最少,并为网络提供更高的安全性,使问题较少发生。
集成的入侵检测ISA Server利用一家名为Internet Security Systems 的公司所提供的技术,提供帮助管理员识别诸如端口扫描、WinNuke 和Ping of Death 之类的常见网络攻击的这种服务。
并且ISA能够自动对其作出响应。
这项技术给ISA Server 提供了能识别此类攻击的集成入侵检测机制。
当识别出这种攻击时,警报还能同时指出ISA Server 应采取什么行动,这些行动可包括向系统管理员发送电子邮件或寻呼,停止Firewall 服务,写入到系统事件日志,或运行任何程序或脚本。
高性能Web 缓存ISA Server 对Web 缓存进行了彻底的重新设计,使它可以将缓存放入RAM 中——我知道现在很多的使用WINGATE的用户都希望能够得到这种缓存解决方案。
这种高性能的Web 缓存可提供更强的后端可伸缩性,并提供了更快的Web 客户机总体响应时间。
这对于企业内部来说尤其重要,因为员工需要快速访问Web 内容,而企业也需要适当的节省网络带宽。
这种高速的Web缓存正能够满足您的这种需要。
缓存阵列路由协议ISA Server 使用了缓存阵列路由协议(Cache Array Routing Protocol,CARP)。
因此您可以通过多台ISA Server 计算机组成的阵列来提供无缝缩放和更高的效率。
活动缓存通过一个叫做活动缓存的功能,可配置ISA Server 使其自动更新缓存中的对象。
使用这种功能,ISA Server 可通过主动刷新内容来优化带宽的使用。
通过活动缓存,经常被访问的对象在它们到期之前,在低网络流量时段自动更新。
统一管理ISA Server 利用基于Windows 2000 的安全性,Active Directory 服务、VPN 和Microsoft 管理控制台(MMC,Microsoft Management Console)。
所有这些功能,特别是MMC,会使得管理更容易,因为操作人员熟悉它,并可从一个控制台同时管理防火墙和Web 缓存。
企业策略和访问控制ISA Server 还支持创建企业级和本地阵列策略,用于集中实施或本地实施。
ISA Server 可作为独立服务器安装或作为阵列成员安装。
为便于管理,各个阵列成员都使用相同的配置。
对阵列配置进行修改时,阵列中的所有ISA Server 计算机也都将得到修改,包括所有访问和缓存策略。
好了,说了这么多了,也许大家都还不是很明白或者正在怀疑是否这个ISA Server能够做到这些吧?那么我们以我们企业为例详细讲解一下ISA的安装以及调试还有配置过程吧。
ISA安装入门篇在实验中,我们使用的是企业版的ISA2000 Server,而开始当然是要进行安装ISA了哦!在这里我们选择“Install ISA Server”。
在这里,会要求你输入10位的数字“CD Key”,请大家输入了之后点击“OK”确认。
然后进入下一步。
面对M$的授权信息你除了点击“I Agree”之外还能做些其他什么吗?至于内容嘛还是那些老一套,看不看我觉得都无所谓了。
在这里,程序会提示请你选择安装的路径以及安装的方式,在这里,我选择的是“Full Installation”,因为即使是完全安装也只需要花费24.5M的空间,而且安装速度也是非常的快。
所以我还是推荐大家使用完全安装吧。
如果您的计算机没有成为域控制器而是一个独立的服务器的话,那么ISA到这里会向您发出一个警告。
如果您不想配置ISA Server 阵列的话,那么您可以不用理会这个警告,直接“Yes”过去就可以了。
我们前边说过的ISA的三种工作模式在这里就要做一个选择了!我选择的是集成模式“Integrated mode”。
在这里,如果您已经安装IIS的话,那么ISA到这里会提醒你,它会马上关闭掉IIS所使用的80端口。
因为ISA会对80端口进行独占使用,而这也是基于安全考虑。
大家都知道,一个成功的黑客只需要一个80端口就可以对您的硬盘完成格式化的操作——这绝对不是骇人听闻了,是真的哦。
当然,如果您非要在这台机器做WEB服务的话,那么就只要委屈你使用其他的端口了,但是必须注意的是不能占用80和8080端口。
因为80和8080端口都让ISA强行占用了。
在这里还是OK吧,不要老是念叨你的WEB服务了,后边我们有几乎完美的解决方案的。
在这里选择CACHE存放的磁盘以及CACHE的容量。
现在已经都是宽带网络时代了,所以我建议不要把CACHE设得太了,根据实际使用的情况,在合理分配带宽的前提下,尽量的使用网络资源不是很好吗?我们这里设置的为100M。
到了这里,ISA会请您设置一个本地的IP范围。
我们这里是划分的一个B类的子网,所以,在这里我们的IP范围为192.168.0.1~192.168.5.255。
如果是一般的中小型网络,采用255.255.255.0做掩码,用192.168.0.X作为IP地址的话,那么这里请你按照您本地网络的情况加上这个IP段就可以了。
然后“OK”进行下一步。
等待系统复制必要的程序文件。
到了这里,您的ISA就基本已经安装完了,剩下的就是配置方面的事情了。
在这里,系统会提示您是否需要进行“向导化配置”。
建议大家不要使用这个向导,因为实际上我们根本就用不到其中的一些功能。
这里取消掉“Start ISA Sserver Getting Started Wizard”前边的小勾,然后电击“OK”。
恭喜您,您的ISA Server已经安装成功了。
我们现在打开“开始”>“程序”>“Microsoft ISA Server”>“ISA Management”。
大家在管理窗口中选中“服务器名称(BLUEWOLF)”标签下的“Monitoring”标签,然后选中“Services”这个标签,在右边会出现三个服务内容,由于我安装的是“集成模式”所以在这里有三个服务,他们三个服务最好都能够正常的启动起来,这样你才能使用ISA的所有功能。
如果其中有功能不能正常启动的话,那么就说明这次的ISA需要重新安装了。
如果出现了上述问题,请卸载掉ISA,然后检查是否有一些服务占用了系统某些ISA必须要使用的资源,还有停掉一些不会用到的服务,然后再安装ISA吧。