ISA Server 2004 入门指南
目录 ? 简介 ? 功能概述 ? 安装过程 ? 功能演练 简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 引入了多网络支持、易于使用和高度集成的虚拟专用网配置、得到扩展和可扩充的用户和身份验证模式,以及改进的管理特性,包括配置的导入和导出。 本章内容 1.1 目标读者
1.2 本文档中包含的内容 1.1 目标读者
如果符合下列条件,则应阅读本文档:
? 使用 ISA Server 2000 并希望了解 ISA Server 2004 的新增功能。 ? 使用其他防火墙,不熟悉 ISA Server。 ? 需要了解 ISA Server 2004 功能的介绍。
? 希望在实验室里建立 ISA Server,并使用有指导的演练来学习如何在
公司内实现 ISA Server。有关详细信息,请参阅功能演练。 在阅读完本指南后,要获得有关 ISA Server 特性和功能的详细信息,请参阅 ISA Server 帮助。 1.2 本文档中包含的内容
本文档包括在 ISA Server 2004 的此次发布中引入的产品特性的概述。同时还提供了安装说明。最为重要的是,本文档包括可以在实验室环境中实现的演练,以便读者熟悉产品的特性。理解 ISA Server 特性的最佳方法就是使用它们,因此我们建议您建立一个实验室,并尝试本文档中的演练。有关详细信息,请参阅功能演练。 功能概述 本章内容
2.1 多网络和防火墙策略 2.2 系统策略 2.3 VPN 集成
2.4 用户和身份验证 2.5 缓存
2.6 配置导出和导入
下表列出了 ISA Server 2004 的新增和改进功能。详细信息将会在随后的章节中说明。 多网络 新功能 描述 增或改进 新多网络可以配置一个或多个网络,每个网络都与其他网络有着增配置 独特的关系。访问策略是针对网络定义的,没有必要针功对给定的内部网络进行定义。在 ISA Server 2000 中,能 所有通讯都根据包括内部网络上的唯一地址范围的本地地址表 (LAT) 进行检查,而 ISA Server 2004 扩展了防火墙和安全功能,可以应用于所有网络之间的通讯。 新独特的ISA Server 的新增多网络功能可以保护您的网络免受增每网络内部或外部的安全威胁,方法是限制客户端(甚至组织功策略 内部)的通信。多网络功能支持复杂的外围网络(也称能 为 DMZ,网络隔离区或屏蔽子网)方案,因此可以配置不同网络中的客户端如何访问外围网络。 新所有通您可以在防火墙协议的上下文中通过防火墙来检查数增讯的状据和连接的状态,无论是源还是目标。 功态检查 能 新NAT 和您可以使用 ISA Server 来定义网络间的关系,这取决增路由网于访问的类型和网络间所允许的通信。在一些情况下,功络关系 您可能需要让网络间的通信更安全、更不透明。对于这能 些情况,您可以定义一个网络地址转换 (NAT) 关系。在其他情况下,您希望通过 ISA Server 简化路由通讯。在这些情况下,您可以定义一个路由关系。 新网络模ISA Server 包括网络模板,这些对应于常见的网络拓增板 扑。可以使用网络模板来配置用于网络间通讯的防火墙功策略。当您应用某个网络模板时,ISA Server 会根据能 所指定的策略创建一套必要的规则来允许通讯。 虚拟专用网络 新功能 描述 增或改进 改进功能 新增功能 新增功能 VPN 管理 VPN 的 状态检查 与第三方 VPN 可互操作的解决方案 隔离控制 ISA Server 包括高度集成的虚拟专用网络 (VPN) 机制。您可以像管理物理连接的网络和客户端那样,通过 ISA 服务器管理来管理 VPN 连接。ISA Server 的所有功能都可以用于 VPN 连接,包括监视、日志记录、会话管理。 VPN 客户端配置为独立的网络。因此,您可以为 VPN 客户端单独创建策略。规则引擎有选择地检查来自 VPN 客户端的请求,根据访问策略按状态检查这些请求并动态地打开连接。 由于支持行业标准 Internet 协议安全 (IPSec),ISA Server 2004 可以插入到带有其他供应商的现有 VPN 基础结构的环境中,包括使用针对站点对站点连接的 IPSec 隧道模式的配置。 新ISA Server 可以将 VPN 客户端隔离在“隔离的 VPN 增客户端”网络中,直到验证它们符合企业安全要求为止。 功能 安全性和防火墙 新功能 描述 增或改进 新广泛的ISA Server 2004 扩展了 ISA Server 2000 功能,可增协议支以允许您控制访问以及使用任何协议,包括 IP 级别的功持 协议。您可以使用诸如 ping 和 tracert 这样的应用能 程序,并可以创建使用点对点隧道协议 (PPTP) 的 VPN 连接。此外,Internet 协议安全 (IPSec) 通讯可以通过 ISA Server 启用。 改身份验可以使用内置的 Microsoft Windows 或远程身份验证进证 拨入用户服务 (RADIUS) 身份验证类型或其他命名空功间对用户进行身份验证。规则可以应用于任何命名空间能 中的用户或用户组。第三方供应商可以使用软件开发工具包来扩展这些内置的身份验证类型,提供其他身份验证机制。 改发布 利用 ISA Server,您可以将服务器置于防火墙后端,进或者位于企业网络上或者位于外围网络上,这样可以安功全地发布它们的服务。 能 缓存 新功能 描述 增或改进 改缓存规进则 功能 管理 新功能 增或改进 改管理 进功能 新导出和增导入 功能 新仪表板 增功能 新日志查增看器 功能 改报告 进功能 利用 ISA Server 的集中缓存规则机制,可以配置存储在缓存中的对象如何进行检索以及如何从缓存中获得服务。 描述 ISA Server 包括新增的管理功能,可以使保护网络安全变得非常简单。新用户界面功能包括一个任务窗格、一个“帮助”选项卡、一个改进的入门向导以及防火墙策略编辑器的新外观。 ISA Server 引入了导出和导入配置信息的能力。您可以使用这个功能将配置参数保存到 .xml 文件中,然后从该文件中将信息导入到其他服务器中,这样就可以简化多个站点部署的防火墙配置复制。 提供关键监视信息的单一的汇总视图。如果要查看某个问题,可以打开详细监视视图来获得详细信息。 ISA Server 日志查看器实时显示防火墙日志。可以在联机实时模式下显示日志,也可以在历史查看模式下显示日志。可以在日志字段应用筛选来确定特定条目。 可以根据 Web 使用情况、应用程序使用情况、网络流量模式以及安全性来生成重复出现的报告或者只出现一次的报告。 2.1 多网络和防火墙策略
以前,内部网络的概念是指您公司内的所有计算机。外部网络是指公司外的所有计算机,通常可以通过 Internet 进行访问。当前网络的观点包括使用移动计算机访问其企业网络的用户,因此使他们自己成为不同网络的实际组成部分。分支机构连接到总部,它们希望使用总部资源,就像它们是网络的一部分那样。很多企业都使企业网络中的很多服务器(尤其是它们的 Web 服务器)可以接受公共访问,但是必须将这些服务器独立到不同的网络中,才能这么做。ISA Server 的多网络功能可以让您保护这些更复杂的网络方案。多网络支持影响到大多数 ISA Server 防火墙功能。 可以使用 ISA Server 的多网络功能来保护您的网络免受内部和外部的安
全威胁,方法是限制客户端(甚至组织内部)的通信。您可以定义在 ISA Server 中定义的各种网络之间的关系,这样 ISA Server 会确定每个网络上的计算机之间的相互通信。还可以将计算机分组到 ISA Server 网络对象(比如:计算机集和地址范围),并配置针对于每个网络对象的访问策略。
在常见的发布方案中,您可能希望将已发布的服务器隔离在它们自己的网络上(比如:外围网络)。ISA Server 的多网络功能支持这样的方案,因此可以配置企业网络上客户端如何访问外围网络以及 Internet 上的客户端如何访问外围网络。可以配置各种网络之间的关系,定义每个网络之间的不同访问策略。通过 ISA Server 中的网络模板和网络模板向导,配置外围网络拓扑变得非常简单。 下图说明了一个多网络方案。
在该图中,ISA Server 计算机连接在 Internet(外部网络)、企业网络(内部网络)和外围网络之间。ISA Server 计算机上有三个网络适配器,分别连接到每个网络。使用 ISA Server,可以在任意网络对之间配置不同的访问策略。可以确定每个网络上的计算机是否可以与其他网络上的计算机进行通信以及如何与之通信。每个网络都相互独立,只有配置允许进行通信的规则后才可以访问。
为了实现多网络方案,ISA Server 引入了下列概念:
? 网络。从 ISA Server 的观点来看,网络是可以包含一个或多个 IP 地
址和域的规则元素。网络包括一台或多台计算机,这些计算机始终对应于 ISA Server 计算机上的特定网络适配器。可以将规则应用到一个或多个网络中。 ? 网络对象。在创建网络后,可以将它们分组到网络对象集(子网、地
址范围、计算机集、URL 集或域名集)中。可以将规则应用于网络或网络对象。 ? 网络规则。可以配置网络规则来定义和描述网络拓扑。网络规则确定
两个网络之间是否存在连接以及将会允许的连接类型。可以按照下列方法之一来连接网络:网络地址转换 (NAT) 或路由。