isaWord文档下载推荐.docx

1、4.8 方案 8：修改系统策略4.9 方案 9：导入配置Microsoft Internet Security and Acceleration （ISA） Server2004 引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型，以及经过改善的管理功能（包括配置导入和导出）。如果您符合下列条件，请阅读本文档： 使用 ISA Server2000 并希望了解 ISA Server2004 中的新增功能。 使用其他防火墙，在 ISA 服务器方面是一个新手。 需要简单地了解 ISA Server2004 的功能。 希望在实验室中设置 ISA 服务器，并希望通

2、过指导性的功能演练来了解如何在公司中实现 ISA 服务器。有关详细信息，请参阅功能演练。阅读本指南后，要了解有关 ISA 服务器的特征和功能的更多信息，请参阅 ISA 服务器帮助。本文档概述了此版本的 ISA Server2004 中引入的产品功能，并且提供了安装说明。最为重要的是，本文档包含功能演练步骤，您可以在实验室环境中进行功能演练，以熟悉产品功能。了解 ISA 服务器功能的最佳方法是使用这些功能，因此我们建议您搭建一个实验室，并尝试逐步完成本文档中的步骤。本文档中包含的大部分信息还有相应的联机格式，此格式的信息已集成到 ISA 服务器联机帮助中。返回目录下表列出了新增的和改进的 ISA

3、 Server2004 功能。更多的详细信息在随后的各个部分提供。多网络新增功能或改进功能功能描述新增多网络配置可以配置一个或多个网络，并使每个网络都与其他网络有明确的关系。访问策略是相对于多个网络而定义的，而不必相对于给定的内部网络。在 ISA Server2000 中，所有通讯的检查都相对于只包含内部网络中的地址范围的本地地址表 （LAT），但是 ISA Server2004 扩展了防火墙和安全功能，以便适用于任何网络之间的通讯。唯一的各网络策略ISA 服务器的多网络功能使您可以限制客户端（甚至您自己组织内部的客户端）之间的通讯，从而防止网络受到内部和外来的安全威胁。多网络功能支持复杂的外

4、围网络（也称 DMZ、网络隔离或被筛选的子网）方案，以便您可以配置不同网络中的客户端如何访问外围网络。对所有通讯的监控状态的检查可以根据协议以及连接状态的具体情况检查通过防火墙的数据，而不论源或目标为何。NAT 和路由网络关系通过使用 ISA 服务器，可以根据网络之间所允许的访问和通讯类型来定义网络之间的关系。在某些情况下，您可能希望网络之间的通讯更安全、透明度更低。在这些情况下，可以定义网络地址转换 （NAT） 关系。在其他情况下，您可能仅仅希望通过 ISA 服务器路由通讯。在这些情况下，可以定义路由关系。网络模板ISA 服务器包含与常见网络拓扑对应的网络模板。可以使用网络模板来为网络之间的

5、通讯配置防火墙策略。当应用网络模板时，ISA 服务器依照指定的策略创建必要的规则集，以便允许通讯。虚拟专用网络改进VPN 管理ISA 服务器包含一种高度集成的虚拟专用网络 （VPN） 机制。可以通过“ISA 服务器管理”来管理 VPN 连接，就像管理通过物理的方式连接的网络和客户端一样。ISA 服务器的全部功能都可以用于 VPN 连接，其中包括监视、日志记录以及会话管理。对 VPN 的监控状态的检查VPN 客户端被配置为单独的网络。因此，可以为 VPN 客户端创建单独的策略。规则引擎有区别地检查来自 VPN 客户端的请求，对这些请求进行监控状态的检查，并基于访问策略动态地打开连接。与第三方 V

6、PN 解决方案的互操作性由于支持产业标准 Internet 协议安全 （IPSec），所以 ISA Server2004 可以加入到其他供应商提供的已有 VPN 基础结构的环境中，其中包括那些对站点到站点连接采用 IPSec 隧道模式配置的环境。隔离控制ISA 服务器可以将 VPN 客户端隔离到“被隔离的 VPN 客户端”网络中，直到确认它们符合公司的安全要求。安全和防火墙扩展的协议支持通过允许您控制对任何协议（包括 IP-等级协议）的访问和使用，ISA Server2004 扩展了 ISA Server2000 功能。可以使用 ping 和 tracert 等应用程序，并使用点对点隧道协议

7、（PPTP） 来创建 VPN 连接。此外，还可以通过 ISA 服务器启用 Internet 协议安全 （IPSec） 通讯。身份验证可以使用内置的 Microsoft Windows 或远程身份验证拨号用户服务 （RADIUS） 身份验证类型或其他名称空间来对用户进行身份验证。规则可以应用于任何名称空间中的用户或用户组。第三方供应商可以使用软件开发工具包来扩展这些内置的身份验证类型，从而提供额外的身份验证机制。发布使用 ISA 服务器，可以将服务器置于防火墙的后面（在公司网络或外围网络中），并安全地发布其服务。缓存缓存规则使用 ISA 服务器的集中式缓存规则机制，可以配置如何检索存储在缓存中的

8、对象，以及如何从缓存中提供对象。管理ISA 服务器包含新的管理功能，这使您可以更容易地保护您的网络。新的用户界面中包含任务窗格、“帮助”选项卡、改进的入门向导，以及面貌一新的防火墙策略编辑器。导出和导入ISA 服务器中引入了导出和导入配置信息的功能。可以使用此功能将配置参数保存到一个 .xml 文件中，然后将信息从该文件导入到另一台服务器中，从而使用户只需通过复制即可将防火墙配置部署到多个站点中。仪表板用于提供关键监视信息的汇总版本的单一视图。如果发现了问题，可以打开详细的监视视图以了解更多信息。日志查看器ISA 服务器日志查看器实时地显示防火墙日志。可以采用联机实时模式或历史记录审阅模式显示

9、日志。可以对日志字段应用筛选以找到特定的项目。报告可以对 Web 使用、应用程序使用、网络通讯模式和安全性生成重复的或一次性的报告。以前，内部网络的概念是指公司中的所有计算机。外部网络是指公司以外的所有计算机，通常可通过 Internet 访问。如今的网络观点还包含使用移动计算机访问公司网络的用户，从而使用户实际上成为了不同网络的一部分。分支办公室连接到总部，并希望和网络的组成部分一样使用总部的资源。许多公司使其公司网络中的服务器（尤其是 Web 服务器）可接受公开访问，但希望将这些服务器组织成一个单独的网络。ISA 服务器的多网络功能使您可以为这些更复杂的网络方案提供保护。多网络支持影响到大

10、部分 ISA 服务器防火墙功能。使用 ISA 服务器的多网络功能可以限制客户端（甚至您自己组织内部的客户端）之间的通讯，从而防止网络受到内部和外来的安全威胁。可以定义在 ISA 服务器中定义的各个网络之间的关系，从而确定各个网络中的计算机如何通过 ISA 服务器相互通讯。还可以将计算机组织成 ISA 服务器网络对象（如计算机集和地址范围），并针对各个网络对象配置相应的访问策略。在常见的发布方案中，您可能要将发布的服务器隔离在其自己的网络（如外围网络）中。ISA 服务器的多网络功能支持这样的方案，以便您可以配置公司网络中的客户端如何访问外围网络，以及 Internet 上的客户端如何访问外围网络

11、。可以配置各个不同网络之间的关系，从而在各个网络之间定义不同的访问策略。ISA 服务器中的网络模板和网络模板向导使得配置外围网络拓扑变得更容易。下图说明了多网络方案。在该图中，ISA 服务器计算机连接 Internet（外部网络）、公司网络（内部网络）和外围网络。ISA 服务器计算机上有三个网络适配器，每个网络适配器都连接到其中的一个网络。通过使用 ISA 服务器，可以在任何网络对之间配置不同的访问策略。可以确定各个网络中的计算机是否可以相互通讯，如果是，将采用什么方式。每个网络都与其他网络隔离开来，并且只有在您配置了允许通讯的规则时才是可访问的。为了实施多网络方案，ISA 服务器引入了下列概

12、念： 网络。从 ISA 服务器的角度看，网络是可以包含一个或多个 IP 地址范围或域的规则元素。网络包含一台或多台计算机，并且始终对应于 ISA 服务器计算机上的特定网络适配器。您可以对一个或多个网络应用规则。 网络对象。创建网络后，可以将其组织成网络对象集（子网、地址范围、计算机集、URL 集或域名集）。规则可以应用于网络或网络对象。 网络规则。可以配置网络规则，以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接，以及将允许哪一类连接。可以通过下列方式之一连接网络：网络地址转换 （NAT） 或路由。2.1.1 网络和网络对象网络包含一台或多台计算机，并通常对应于一个物理网络（通过

13、IP 地址范围来定义）。网络对象是您定义的任何计算机组，例如，单一的网络、由两个或多个网络组成的网络集，或者要为其创建单独的访问规则的计算机集。可以将规则应用于一个或多个网络或网络对象，或者应用于除指定的网络或网络对象中的地址以外的所有地址。计算机上的每个网络适配器都可以对应于一个网络。可以确定特定网络上支持的 ISA 服务器客户端类型：防火墙和/或 Web 代理。ISA 服务器预配置了下列网络： 外部。该网络包含未与其他任何内部网络关联的所有计算机（IP 地址）。默认外部网络不能删除。 内部。安装后，该网络中包含与 ISA 服务器计算机上的内部网络地址卡关联的所有计算机（IP 地址）。 本地

14、主机。此网络代表 ISA 服务器计算机。不能修改或删除本地主机网络。 被隔离的 VPN 客户端。该网络包含尚未被批准访问公司网络的 VPN 客户端的地址。通常，该网络中的计算机被授予有限的公司网络访问权限。 VPN 客户端。该网络包含当前已连接的 VPN 客户端的地址。它会在 VPN 客户端与 ISA 服务器计算机建立连接或断开连接时动态更新。VPN 客户端网络不能删除。本地主机、VPN 客户端和外部网络是内置网络，不能由用户来删除或创建。内部网络是在安装时创建的预定义网络，不能修改或删除。可以配置网络集以包含特定的网络。或者可以定义网络集，使其不包含（即排除）特定的网络。以下规则可以应用于网

15、络、网络集或网络对象： 网络规则 访问规则 发布规则 对于访问规则，应指定要应用该规则的目标网络和源网络。源网络指出允许或拒绝哪些网络访问指定的目标网络。对于服务器发布规则，应指定被允许访问特定计算机的源网络。2.1.2 网络规则网络规则定义并描述网络拓扑。网络规则确定两个网络之间是否存在连接，以及定义了哪一类连接。 网络地址转换 （NAT）。当指定这种类型的连接时，ISA 服务器将用它自己的 IP 地址替换源网络中的客户端的 IP 地址。当定义内部网络与外部网络之间的关系时，可以使用 NAT 网络规则。 路由。当指定这种类型的连接时，来自源网络的客户端请求将被直接转发到目标网络。源客户端地址

16、包含在请求中。当发布位于外围网络中的服务器时，可以使用路由网络规则。路由网络关系是双向的。如果定义了从网络A 到网络B 的路由关系，那么从网络B 到网络A 也存在着路由关系。相反，NAT 关系则是唯一的和单向的。B 的 NAT 关系，则不能定义从 B 到 A 的网络关系。您可以创建定义双向关系的网络规则，但是 ISA 服务器将忽略有序规则列表中的第二条网络规则。安装时，会创建下列默认规则： 本地主机访问。此规则定义了在本地主机网络与其他所有网络之间存在的路由关系。 VPN 客户端到内部网络。此规则指定在两个 VPN 客户端网络（“VPN 客户端”和“被隔离的 VPN 客户端”）与内部网络之间存

17、在着路由关系。 Internet 访问。此规则定义了在内部网络与外部网络之间存在的 NAT 关系。网络规则是针对每个网络依次处理的。安装 ISA 服务器时，会创建默认的系统策略。系统策略指定了 ISA 服务器计算机与连接到它的网络之间的访问规则（针对特定资源的访问权限）。注意：所有系统策略类别都是在安装 ISA 服务器时默认启用的，并且该策略专门应用于内部网络。您可以修改系统策略的设置。我们建议您在 ISA 服务器的配置中禁用不需要的系统策略类别。系统策略包含下列类别： 网络服务 身份验证服务 远程管理 防火墙客户端 诊断服务 日志记录 远程监视 其他 当启用或禁用系统策略配置组或配置组下的某

18、个项目时，ISA 服务器将启用或禁用相关的系统策略访问规则。ISA 服务器可以帮助您设置和保护虚拟专用网络 （VPN）。VPN 是从 Internet 上的远程位置安全地连接到公司网络的计算机集合。通过使用 VPN，可以用一种模拟点对点专用链路的方式在跨越共享或公用网络的两台计算机之间发送数据。VPN 连接使那些在家或在其他远程地点工作的用户可以使用公用互联网络（如 Internet）提供的基础结构远程访问公司的服务器。从用户的角度来看，VPN 是计算机（VPN 客户端）与公司服务器（ISA 服务器计算机）之间的点对点连接。它与共享或公用网络的具体基础架构无关，因为数据看起来好像是通过专用的私

19、有链路发送的。VPN 连接还使得组织在通过公用互联网络（如 Internet）建立与其他组织的路由连接的同时，能够保持通讯的安全性（例如，在地理位置分散的办公室之间）。跨越 Internet 的路由 VPN 连接在逻辑上就好像专用的广域网 （WAN） 链路。有两种类型的 VPN 连接： 远程访问 VPN 连接。客户端建立远程访问 VPN 连接，以连接到专用网络。ISA 服务器提供对 VPN 服务器所连接到的整个网络的访问权限。 站点到站点的 VPN 连接。VPN 服务器建立站点到站点的 VPN 连接，将专用网络的两个部分安全地连接起来。ISA 服务器提供与 ISA 服务器计算机相连的网络的连接

20、。将 ISA 服务器计算机用作 VPN 服务器的好处是可以防止公司网络受到恶意 VPN 连接的威胁。由于 VPN 服务器集成到了防火墙功能中，所以为预配置的 VPN 客户端网络定义的 ISA 服务器访问策略将适用于 VPN 用户。所有 VPN 客户端都属于 VPN 客户端网络，并且可以依照预定义的策略访问内部网络中的资源。虽然 VPN 用户实际是内部网络地址范围的一部分，但是并不一定会受到内部网络访问策略的约束，因为内部网络访问策略是为 ISA 服务器配置的。可以配置特殊规则，以便允许用户访问网络资源。由于可以为 VPN 客户端网络配置访问策略，所以 VPN 客户端也会和任何通过 ISA 服务

21、器在网络之间通讯的客户端一样，受到监控状态的检查机制的制约。与 ISA 服务器计算机建立的所有 VPN 连接都会记录到防火墙日志中。这样，您便可以审核 VPN 连接。配置 VPN 时，可以为 VPN 用户的计算机设置一个静态 IP 地址池。当 VPN 客户端连接到本地网络时，将从此地址池中为其分配一个 IP 地址。或者，可以选择通过动态主机配置协议（DHCP） 服务器为 VPN 客户端动态地分配 IP 地址。此 IP 地址将添加到 VPN 客户端网络中。此外，可以对 VPN 启用隔离模式。通过启用隔离模式，可以确保在允许客户端加入 VPN 客户端网络（通常具有不受限制的内部网络访问权限）之前，

22、先检查其是否符合公司软件策略。通过使用隔离控制，可以在真正地允许远程 （VPN） 客户端访问网络之前，将其限定为隔离模式，从而为其提供了阶段性的网络访问权限。在客户端计算机配置被调整或被断定为符合组织的特定隔离限制后，会依照您指定的隔离类型对连接应用标准的 VPN 策略。例如，隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。尽管隔离控制并不防范攻击者，但是已授权的用户在访问网络前，其计算机配置可以得到验证，如有必要，也可以得到更正。还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时间即断开其连接。有关详细信息，请参阅文档 ISA Server2004 中的 VP

23、N 漫游客户端。可以为每个 VPN 客户端网络创建两个不同的策略： 被隔离的 VPN 客户端网络。将访问限制在某些服务器的范围内，客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。 VPN 客户端网络。可以允许访问所有公司（内部网络）资源，或者根据需要限制访问。VPN 客户端网络将拥有与外部网络的 NAT 关系。系统将配置一个定义 VPN 网络与外部网络之间的 NAT 关系的网络规则。通过使用新的 ISA 服务器功能，可以将访问策略应用于 Windows 用户，或者通过不同身份验证机制（名称空间）（如远程身份验证拨号用户服务 （RADIUS）进行验证的用户。ISA 服务器支持下列身份

24、验证机制： Web 代理客户端。基本身份验证（使用 Active Directory 目录服务或 RADIUS）、摘要式身份验证、集成 Windows 身份验证或证书。质询握手身份验证协议 （CHAP）、Microsoft 质询握手身份验证协议 （MS-CHAP）、MS-CHAP 版本2、可扩展的身份验证协议 （EAP） 和 RADIUS。 防火墙客户端。Kerberos 或 NTLM。ISA 服务器采用一种身份验证可扩展性机制，该机制使得第三方供应商可以实施额外的身份验证方案。可以使用 ISA 服务器将访问策略或发布策略应用于特定的用户或 IP 地址。可以将用户组织成用户集，并将规则应用于用

25、户集。创建用户集时，可以将 Windows、RADIUS 和 SecurID 用户添加到用户集中。然后，可以对该用户集应用访问规则。使用缓存规则可以指定存储在缓存中的内容类型，以及从缓存提供对象的方式。根据您组织的需求，可以将缓存规则应用于所有站点或指定站点中的内容，以及所有内容或指定的内容类型。此外，您可以限制对象被视为有效的时间长短，以及缓存规则处理过期对象的方式。默认情况下，只有在源和请求头明确指示的情况下才将对象存储在缓存中。但是，您可以基于下列选项来指定存储哪些对象： 从不，不会缓存任何内容。此选项对此规则禁用缓存功能。 如果源和请求头指明要缓存。若请求头明确指出，则将对象存储在缓存

26、中。如果选择第二个选项，还可以选择缓存下列内容： 动态内容。如果内容是动态的，则将始终缓存对象，而不考虑响应头。 用于离线浏览的内容。这包括 302 和 307 响应。 内容要求用户身份验证才能进行检索。要求用户进行身份验证。通过使用缓存规则配置，可以指定是否将为超文本传输协议 （HTTP）、文件传输协议 （FTP） 以及安全套接字层 （SSL） 响应启用缓存。此外，还可以将缓存规则配置为按照文件大小限制缓存的内容。缓存的 HTTP 和 FTP 对象何时过期取决于生存时间（TTL） 设置。HTTP 对象的过期配置基于响应头中定义的 TTL 以及缓存规则中定义的 TTL 边界。TTL 边界按照内

27、容年龄（对象自创建或修改以来的时间）百分比的形式计算。FTP 对象的过期时间取决于缓存规则中为 FTP 对象定义的 TTL。作为缓存规则配置的一部分，可以定义以何种方式检索存储在缓存中的对象以及从缓存中提供对象。按照网络路由规则的规定，ISA 服务器在确定如何路由请求之前，先检查缓存中是否存在对象的有效副本。如果未超过 TTL 时间（在 HTTP 缓存属性或对象本身中指定），那么对象将被视为有效。根据您配置的路由规则缓存属性，ISA 服务器将从缓存中检索该对象。您可以将 ISA 服务器配置为执行下列操作之一： 仅当对象仍然有效时才从缓存中检索对象。如果对象无效，则将请求路由到服务器，然后再进行

28、检索。 无论对象是否仍然有效，都将从缓存中检索对象。如果缓存中不存在对象的任何版本，请求将被路由到服务器。 永远不路由请求。如果在缓存中未找到对象的版本，则将返回一个错误页。缓存规则是有序的，默认缓存规则最后处理。对于每个新连接，ISA 服务器计算机将按顺序处理缓存规则（即首先处理第一个规则）。如果请求与规则指定的条件匹配，则将相应地路由、重定向和缓存请求。否则将处理下一个规则。依次类推，直至处理最后一条规则（即默认规则）并将其应用于请求。安装 ISA 服务器的时候，它将配置默认缓存规则。最初配置默认规则的目的是做到仅从 ISA 服务器缓存中检索有效的请求对象。如果缓存中的对象无效，则将直接从

29、 Internet 进行检索。您不能修改默认缓存规则检索对象的方式。ISA 服务器包含导出和导入功能，您可以使用该功能将服务器配置参数保存到一个 .xml 文件中，然后将该信息从文件导入到另一台服务器中。可以将配置保存到您拥有写入权限的任何目录和文件中。导出配置时，将默认导出所有常规的配置信息。这包括访问策略规则、发布规则、规则元素、警报配置、缓存配置以及 ISA 服务器属性。您还可以选择导出一些服务器特有的配置信息。此外，可以选择导出用户权限设置和机密信息，如用户密码。包含在导出文件中的机密信息经过加密。导入文件时，需要提供密码才能打开并解密此信息。此密码是在导出过程中设置的。导出特定的对象时，会导出下列内容： 指定的对象，包