作为著名路由级网络防火墙Microsoft® Internet Security and Acceleration
Server 2000 (以下简称为ISA Server 2000)的升级版,微软已经在2004 年7 月13
日发布了Microsoft® Internet Security and Acceleration (ISA) Server 2004(以
下简称为ISA Server 2004)。它和ISA Server 2000 相比,到底有哪些值得我们期待的
新功能呢?本节详细地介绍ISA Server 2004 的新特性,并且图文并茂的介绍了ISA
Server 2004 中新增加的重要功能。
1、新功能概述
和ISA Server 2000 相比,ISA Server 2004 中引入了多网络支持、易于使用且高
度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的HTTP 协
议检查以及经过改善的管理功能(包括配置导入和导出)。
2、全新的多网络架构支持
通常来说,内部网络的概念是指公司内部网络中的所有计算机,外部网络是指公司内部
网络以外的所有计算机(通常指Internet)。但是由于使用移动计算机访问公司内部网络的
用户的出现,从而使用户实际上成为了独立于网络的部分。分支办公室连接到总部,并希望
像公司总部的内部网络组成部分一样使用总部的资源。许多公司使其公司网络中的服务器
(尤其是 Web 服务器)可接受公开访问,但希望将这些服务器组织成一个单独的网络
(DMZ网络)。ISA Server 2004 服务器新增的多网络功能使你可以通过很简单的配置来
为这些复杂的网络方案提供保护。多网络支持影响到大部分 ISA Server 2004 服务器的
防火墙功能。
使用 ISA Server 2004 服务器的多网络功能可以限制客户端(甚至你自己组织内部
的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。可以通过在 ISA Server
2004 服务器中定义各个网络之间的关系,从而确定各个网络中的计算机如何通过 ISA
Server 2004服务器相互进行通信。还可以将计算机组织成 ISA Server 2004服务器网
络对象(如计算机集和地址范围),并针对各个网络对象配置相应的访问策略。
在常见的服务器发布方案中,您可能要将发布的服务器隔离在其自己的网络(如DMZ
网络)中。ISA Server 2004 服务器的多网络功能支持这样的方案,让你可以很方便的配
置公司网络中的客户端如何访问DMZ网络,以及 Internet 上的客户端如何访问DMZ网
络。你也可以配置各个不同网络之间的关系,从而在各个网络之间定义不同的访问策略。ISA
Server 2004 服务器中新增了网络模板和网络模板向导的功能,使得你可以很方便的配置
你的网络拓扑结构。
在该图中,ISA Server 2004 服务器连接 Internet(外部网络)、公司网络(内部网
络)和DMZ网络。ISA Server 2004 服务器上有三个网络适配器,每个网络适配器都连
接到其中的一个网络。通过使用 ISA Server 2004 服务器,你可以在任何网络之间配置
不同的访问策略,也可以确定各个网络中的计算机是否可以相互进行通讯,以及如果是,将
采用什么方式。网络间是独立的,只有在你配置了允许通讯的规则时才是可访问的。
为了实施多网络方案,ISA Server 2004 服务器引入了下列概念:
网络:从 ISA Server 2004 服务器的角度看,网络是可以包含一个或多个 IP 地址
范围或域的元素。网络包含一台或多台计算机,并且始终对应于 ISA Server 2004 服务
器上的特定网络适配器。您可以对一个或多个网络应用规则。
网络对象:创建网络后,可以将其组织成网络对象集(子网、地址范围、计算机集、
URL 集或域名集)。规则可以应用于网络或网络对象。
网络规则:可以配置网络规则,以定义并描述网络拓扑。网络规则确定了两个网络之间
是否存在连接关系,以及将使用哪一种连接。可以通过下列方式之一连接网络:网络地址转
换 (NAT) 或路由(Route)。
3、增强的虚拟专用网络(VPN)
ISA Server 2004 服务器改进后的VPN 管理功能可以帮助您轻松的设置虚拟专用网
络 (VPN),并且由于支持产业标准 Internet 协议安全 (IPSec),所以 ISA Server
2004 可以加入到其他供应商提供的已有 VPN 基础结构的环境中,其中包括那些对站点
到站点连接采用 IPSec 隧道模式配置的环境。
通过ISA Server 2004 中极具人性化的向导,你可以很轻松的建立自己的VPN 服务
器。在后面我们可以看到,只需要四个步骤,你就可以为外部用户提供VPN 接入服务。
在ISA Server 2004 中,有两种类型的 VPN 连接:
远程访问 VPN 连接。客户端建立远程访问 VPN 连接,以连接到专用网络。ISA
Server 2004 服务器作为VPN 接入服务器,远程客户通过连接它来进入内部网络。
站点到站点的 VPN 连接。两个VPN 服务器之间建立站点到站点的 VPN 连接,将专
用网络的两个部分安全地连接起来。
将ISA Server 2004 服务器作为 VPN 服务器的好处是可以防止公司网络受到恶意
VPN 连接的威胁。通过新增的多网络支持和对 VPN 监控状态的检查,ISA Server 2004
能很好的保证VPN 的安全。同时 VPN 服务器集成到了防火墙功能中,所以为预配置的
VPN 客户端网络定义的 ISA Server 2004 服务器访问策略都适用于 VPN 用户。所有
VPN 客户端都属于 VPN 客户端网络,并且受到防火墙策略的限制。
ISA Server 2004服务器中新增的隔离模式,可以确保在允许客户端加入 VPN 客户
端网络(通常具有不受限制的内部网络访问权限)之前,先检查其是否符合公司的软件策略。
通过使用隔离控制,可以在真正地允许远程 (VPN) 客户端访问网络之前,将其限定为隔
离模式,从而为其提供了阶段性的网络访问权限。在客户端计算机配置被调整或被断定为符
合组织的特定隔离限制后,会依照您指定的隔离类型对连接应用标准的 VPN 策略。例如,
隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。尽管隔离控制并不
防范攻击者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也
可以得到更正。还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时
间即断开其连接。
可以为每个 VPN 客户端网络创建两个不同的策略:
被隔离的 VPN 客户端网络。将访问限制在某些服务器的范围内,客户端可以从这些服
务器下载必要的更新以便达到软件策略的要求。
VPN 客户端网络。可以允许访问所有公司(内部网络)资源,或者根据需要限制访问。
VPN 客户端网络将拥有与外部网络的 NAT 关系。系统将配置一个定义 VPN 网络与外部
网络之间的 NAT 关系的网络规则。
安装ISA Server 2004
1、系统及网络需求
要使用 ISA Server 2004服务器,您需要:
CPU:至少550 MHz,最多支持四个CPU;
内存:至少256 MB(不过在实际情况中,64M的内存下都可以运行ISA Server 2004,
只是性能没有那么好);
硬盘空间:150 MB,不含缓存使用的磁盘空间;
操作系统:Windows Server™ 2003 或 Windows® 2000 Server 操作系统,强
烈推荐在Windows Server™ 2003 上安装。如果在运行 Windows® 2000 Server 的计
算机上安装 ISA Server 2004 服务器,那么必须达到以下要求:
必须安装 Windows 2000 Service Pack 4 或更高版本;
必须安装 Internet Explorer 6 或更高版本;
如果您使用的是 Windows 2000 SP4 整合安装,还要求打KB821887 补丁(关于
Events for Authorization Roles Are Not Logged in the Security Log When You
Configure Auditing for Windows 2000 Authorization Manager Runtime,可在
http://go.microsoft.com/fwlink/?LinkId=23371 下载);
网络适配器:必须为连接到 ISA Server 2004 服务器的每个网络单独准备一个网络
适配器,至少需要一个网络适配器。但是在单网络适配器计算机上安装的ISA Server 2004
服务器通常是为发布的服务器提供一层额外的应用程序筛选保护或者缓存来自 Internet
的内容使用。
DNS服务器:ISA Server 2004服务器不具备转发DNS请求的功能,必须使用额外
的DNS 服务器。你或者在内部网络中建立一个DNS 服务器,或者使用外网(Internet)
的DNS服务器。由于DNS服务在ISA Server 环境中的重要性,我们会在文章中使用一
个章节来介绍如何建立内部的DNS服务器。
网络:在安装ISA Server 2004 服务器以前,应保证网络正常工作,这样可以避免一
些未知的问题。
2、建立内部的DNS服务器
DNS服务是一个很重要的基础服务,很多应用是基于DNS服务的,例如最常用的HTTP
浏览。在这个章节中,你可以学习到如何建立内部的DNS服务器。
在很多使用ISA Server 的情况,往往是ISA Server 计算机的外部网卡上获得了ISP
的DNS服务器地址,并且可以进行FQDN名字的解析,但是内部的客户想要解析DNS名
字的话,方法只有两种:1、在内部客户机上设置DNS地址为外部ISP 的dns 服务器;2、
在内部建立一个DNS 服务器,内部客户使用这个内部的DNS 服务器,然后内部的DNS
服务器转发到外部ISP的DNS服务器上。从客户机的效率上来说,第一种方式要好;但是从可控性和扩展性,还有网络的效率来说,第二种方式要好,特别是对于采用了域的环境,
必须采用第二种方式进行DNS 的转发。利用Windows 服务器版本中的全功能DNS 服务
器,可以很完美的实现内部的DNS服务器。
需要注意的是,Web代理客户浏览Web是不需要配置DNS服务器的。因为Web代
理客户在浏览Web 时是通过ISA 的Web 代理服务中转,不会直接访问DNS 服务的,只
要ISA 服务器可以解析DNS 名字就行了。但是Web 代理客户其他的访问(非Web 浏览
的访问)如果是需要DNS解析的,不配置DNS服务器时就会导致失败。
而防火墙客户虽然默认也会配置为Web代理客户,但是防火墙客户端(FWC)会直接
把所有非本地的TCP/UDP 数据发往ISA Server,所以,不管你是否在本地配置了默认网
关和DNS 服务器,FWC 总是会把数据发送给它所连接的ISA Server,所以,只要ISA
Server 能够正确的解析DNS,那么防火墙客户就可以正常的解析DNS。
(1)安装内部的DNS服务器
在需要安装DNS服务的计算机上(可以不和ISA Server安装在一台计算机上,但操
作系统必须是Windows服务器版本,我在此把DNS服务器安装在ISA Server同台计算
机上)打开控制面板下的添加/删除程序,点击添加/删除Windows组件,在Windows
组件向导中双击网络服务,勾选域名系统(DNS),点击”确定”,再点击”下一步”,安装过
程中可能需要你插入Windows 的安装光盘。
没有评论:
发表评论