2.1.1 网络和网络对象
网络包括一台或多台计算机,通常对应于物理网络,由 IP 地址范围定义。网络对象是您所定义的任意计算机组,例如单个网络,两个或更多网络的网络集,或者对其创建独特访问规则的计算机集。可以将规则应用于一个或多个网络或者网络对象,还可以应用于除指定的网络或网络对象之外的所有地址。计算机上每个网络适配器都可以映射到单个网络中。可以建立特定网络上所支持的 ISA Server 客户端的类型:防火墙、Web 代理或者两者。
ISA Server 预先配置为下列各种网络:
? 外部。此网络包括与任何其他内部网络不相关的所有计算机(IP 地
址)。无法删除默认外部网络。 ? 内部。根据安装,此网络包括与 ISA Server 计算机上的内部网络地址卡相关的所有计算机(IP 地址)。 ? 本地主机。此网络表示 ISA Server 计算机。无法删除或修改本地主机网络。 ? 隔离的 VPN 客户端。此网络包含尚未证实可以访问企业网络的
VPN 客户端地址。通常,此网络中的计算机允许对企业网络进行有限的访问。 ? VPN 客户端。此网络包含当前已连接的 VPN 客户端地址。在 VPN
客户端连接到 ISA Server 计算机或从 ISA Server 计算机断开时,它会动态地进行更新。无法删除 VPN 客户端网络。 本地主机、VPN 客户端和外部网络都是内置网络,用户无法删除或创建它们。内部网络是预先定义的网络,是根据安装创建的,可以修改或删除。 网络集可以配置为包括特定网络。另外,网络集可以定义为不包括(即排除)特定网络。
这些规则可以应用到网络、网络集或网络对象: ? 网络规则 ? 访问规则 ? 发布规则
对于访问规则,您要指定要对其应用该规则的目标网络和源网络。源网络指示出哪些网络被允许或被拒绝访问指定的目标网络。对于服务器发布规则,您要指定允许对特定计算机访问的源网络。 2.1.2 网络规则
网络规则定义和描述网络拓扑。网络规则确定两个网络之间是否存在连接以及拒绝的连接类型。可以按照下列方法之一来连接网络:
? 网络地址转换 (NAT)。当指定这种连接类型时,ISA Server 使用自身
的 IP 地址替换源网络上的客户端 IP 地址。当定义内部网络和网络网络之间的关系时,可能会使用 NAT 网络规则。
? 路由。当指定这种连接类型时,来自源网络的客户端请求直接中继到
目标网络。源客户端地址包括在请求中。在发布位于外围网络上的服务器时,可能会使用路由网络规则。 路由网络关系是双向的。如果定义了路由关系是从网络 A 到网络 B,那么也会存在一个从网络 B 到网络 A 的路由关系,而 NAT 关系是唯一且单向的。如果定义了 NAT 关系是从网络 A 到网络 B,那么就不可能再定义从 B 到 A 的网络关系。您可以创建定义两个关系的网络规则,但是在按顺序的规则列表中的第二个网络规则将会被 ISA Server 忽略。 根据安装,可以创建下列默认规则:
? 本地主机访问。此规则定义本地主机网络和所有其他网络之间的路由
关系。 ? VPN 客户端到内部网络。此规则定义两个 VPN 客户端网络(VPN
客户端和隔离的 VPN 客户端)和内部网络之间的路由关系。 ? Internet 访问。此规则定义内部网络和外部网络之间的 NAT 关系。 针对每个网络,按顺序处理网络规则。 2.2 系统策略
当安装 ISA Server 时,就会创建默认的系统策略。对于特定资源访问来说,系统策略会定义 ISA Server 计算机与连接到它的网络之间的访问规则。
注意:在安装 ISA 服务器时,默认情况下会启用所有系统策略类别,也会应用特定于内部网络的策略。可以修改系统策略的设置。我们建议您禁用在您的 ISA Server 配置中不需要的系统策略类别。 系统策略包含下列类别: ? 网络服务 ? 身份验证服务 ? 远程管理 ? 防火墙客户端 ? 诊断服务 ? 日志记录 ? 远程监视 ? 各种
当您启用或禁用系统策略配置组或一个配置组下的某个项目时,ISA Server 就会启用或禁用相关系统策略访问规则。 2.3 VPN 集成
ISA Server 有助于您建立并保护虚拟专用网络 (VPN)。VPN 是一个计算机集合,这些计算机通过 Internet 上的远程位置安全地连接到企业网络中。利用 VPN,您可以在模拟点对点个人链接的方式下通过共享网络或
公共网络在两台计算机之间发送数据。
VPN 连接允许在家里或其他远程站点工作的用户获得到组织服务器的远程访问连接,方法是使用由公共互联网(比如:Internet)提供的基础结构。从用户的观点来看,VPN 是计算机(VPN 客户端)和组织服务器(ISA Server 计算机)之间的点对点连接。共享网络或公共网络的实际基础结构是不相关的,因为它表面上看起来是通过专用的个人链接发送数据的。 VPN 连接还允许通过公共互联网(比如:Internet)与其他组织进行路由连接,同时维护安全的通信(例如,在地理位置上独立的办公室之间)。通过 Internet 的路由 VPN 连接逻辑上作为专用广域网 (WAN) 链接。 有两种 VPN 连接类型:
? 远程访问 VPN 连接。客户端形成连接到专用网络的远程访问 VPN
连接。ISA Server 提供对要 VPN 服务器所连接的整个网络的访问。 ? 站点对站点 VPN 连接。VPN 服务器形成安全地连接到专用网络两
个部分的站点对站点 VPN 连接。ISA Server 提供到 ISA Server 计算机所连接的网络的连接。 通过将 ISA Server 计算机用作 VPN 服务器,您可以从保护企业网络免受恶意 VPN 连接中受益。因为 VPN 服务器集成到了防火墙功能中,VPN 用户受限于针对预先配置的 VPN 客户端网络所定义的 ISA Server 访问策略。所有 VPN 客户端属于 VPN 客户端网络,并且允许它们根据预先定义的策略访问内部网络上的资源。
尽管 VPN 用户实际上是内部网络地址范围的一部分,但是它们没有必要受限于内部网络的访问策略(针对 ISA Server 所定义的)。可以配置特殊的规则来允许用户访问网络资源。
因为访问规则可以针对 VPN 客户端网络进行配置,所以 VPN 客户端受限于相同的状态检查机制,就像任何客户端在通过 ISA Server 的网络间进行通信那样。
所有到 ISA Server 计算机的 VPN 连接都会记录到防火墙日志中。这样可以允许您审核 VPN 连接。
在配置 VPN 时,可以为 VPN 用户的计算机保留一个静态 IP 地址池。VPN 客户端连接到本地网络时,它会从此地址池中分配一个 IP 地址。另外,可以选择利用动态主机配置协议 (DHCP) 服务器将 IP 地址动态分配给 VPN 客户端。IP 地址会添加到 VPN 客户端网络中。
此外,还可以为 VPN 启用隔离模式。通过启用隔离模式,可以确保在允许某个客户端加入到 VPN 客户端网络(通常具有对内部网络的无限制权限)之前检查它是否符合企业软件策略。通过在允许远程 (VPN) 客户端访问网络之前将其限制到隔离模式中,隔离控制提供了分阶段的网络访问。在客户端计算机配置符合组织特定的隔离限制后,将会根据您指定的隔离类型将标准 VPN 策略应用到连接中。例如,隔离限制可能会指定在连接到网络时要安装并启用特定的防病毒软件。尽管隔离控制不会保护计算机免受攻击者的攻击,但是可以对授权用户的计算机配置进行验证,如有必要,可以在它们可以访问网络之前进行更正。同时可以使用计时器设
置,用来指定如果客户端不符合配置要求,那么在多长的时间间隔后就会丢弃该连接。有关详细信息,请参阅 ISA Server 2004 (http://go.microsoft.com/fwlink/?LinkId=20612). 可以为每个 VPN 客户端连接创建两个不同的策略:
? 隔离 VPN 客户端网络。限制对客户端可以从中下载必要更新的服务
器的访问,以符合软件策略。 ? VPN 客户端网络。可以允许对所有企业(内部网络)资源的访问,
或者根据需要限制访问。VPN 客户端网络将具有一个与外部网络的 NAT 关系。将会配置定义 VPN 网络和外部网络之间的 NAT 关系的网络规则。 2.4 用户和身份验证
利用新增的 ISA Server 功能,可以将访问策略应用到 Windows 用户,或者应用到由其他身份验证机制(命名空间)验证的用户(比如:远程身份验证拨入用户服务 (RADIUS))。ISA Server 支持身份验证机制: ? Web 代理客户端。基本身份验证(使用 Active Directory 目录服务或
RADIUS)、摘要身份验证、集成 Windows 验证或证书。 ? VPN 客户端。质询握手身份验证协议 (CHAP)、Microsoft 质询握手身份验证协议 (MS-CHAP)、MS-CHAP 版本 2、可扩展的身份验证协议 (EAP) 和 RADIUS。 ? 防火墙客户端。Kerberos 或 NTLM。
ISA Server 提供一种身份验证扩展机制,允许第三方供应商实现其他身份验证方案。
可以使用 ISA Server 将访问策略或发布策略应用到特定的用户或 IP 地址。用户可以被分组到用户集,而规则可以被应用到用户集。创建用户集时,可以将 Windows、RADIUS 和 SecurID 用户添加到该集。然后,可以将访问规则应用到该集。 2.5 缓存
利用缓存规则,可以指定存储在缓存中的内容类型,以及对象如何从缓存中获得服务。根据您组织的需要,缓存规则可以应用到所有站点或指定站点,以及应用到所有内容或限制应用到指定的内容类型。此外,还可以限制认为对象有效的时间量以及缓存规则处理过期对象的方式。
默认情况下,只有在对象的源和请求标题指示时才将其存储在缓存中。然而,可以基于下列选项指定存储哪些对象:
? 永不,不缓存任何内容。此选项禁止缓存该规则。
? 如果源和请求标题指示进行缓存。如果标题指示,就将对象存储在缓
存中。 如果选择第二个选项,还要选择缓存下列内容:
? 动态内容。如果内容是动态的,无论响应标题是什么,将会缓存对象。
? 脱机浏览的内容。这包括 302 和 307 响应。
? 内容要求用户身份验证以便进行检索。要求对用户进行身份验证。 利用缓存规则配置,可以定义是否针对超文本传输协议 (HTTP)、文件传输协议 (FTP) 以及安全套接字层 (SSL) 响应启用缓存。此外,还可以根据文件大小配置缓存规则来限制缓存的内容。
根据生存时间 (TTL) 设置缓存的 HTTP 和 FTP 对象将会过期。对于 HTTP 对象来说,根据 TTL 配置过期,这一点在响应标题中定义,而 TTL 边界在缓存规则中定义。TTL 边界以内容生存时间的百分比计算,表示创建或修改对象之后的时间量。FTP 根据缓存规则中针对 FTP 对象定义的 TTL 过期。
作为缓存规则配置的组成部分,可以定义存储在缓存中的对象如何进行检索,以及如何从缓存中获得服务。在 ISA Server 确定如何路由请求之前,如网络路由规则中定义的那样,ISA Server 会检查缓存中是否存在有效的对象副本。如果对象的 TTL 周期没有过期(在 HTTP 缓存属性或对象本身上进行指定),该对象就被认为是有效的。根据配置路由规则缓存属性的方式,ISA Server 将会从缓存中检索对象。可以配置 ISA Server 完成下列某项操作:
? 从缓存中检索某个对象,只要该对象仍然有效。如果对象无效,该请
求就会路由到服务器并进行检索。 ? 从缓存中检索某个对象,无论该对象是否仍然有效。如果缓存中没有
该对象的任何版本,该请求会路由到服务器。 ? 永不路由请求。如果缓存中没有发现该对象的任何版本,将会返回一
个错误页。 缓存规则是按顺序进行的,默认缓存规则最后处理。对于每个新连接而言,ISA Server 计算机按顺序处理缓存规则(即,第一个规则首先处理)。如果请求匹配规则所指定的条件,就会相应地路由、重定向以及缓存该请求。否则,就将处理下一个规则。这样持续到最后一个规则,处理默认规则,然后应用到请求中。
在安装 ISA Server 时,它配置默认缓存规则。首先配置默认规则,这样只有有效请求的对象才会从 ISA Server 缓存中检索。如果缓存中的对象无效,它将会直接从 Internet 进行检索。您无法修改默认缓存规则检索对象的方式。 2.6 配置导出和导入
ISA Server 包括导出和导入功能,您可以使用它将服务器配置参数保存到 .xml 文件中,然后将从该文件将信息导入到其他服务器。可以将配置保存到具有写入权限的任何目录和文件名。
当导出配置时,默认情况下会导出所有常规配置信息。这包括访问策略规则、发布规则、规则元素、警报配置、缓存配置以及 ISA Server 属性。如果您选择的话,一些服务器特定的配置信息可以被导出。此外,还可以选择导出用户权限设置和机密信息(比如:用户密码)。导出的文件中的