實用ISA Server 2006之一： 簡介 參考了一些資料、有些朋友的文檔和自己的使用過程，整理了實用ISA Server 2006系列，希望對想學想用ISA Server 2006 的朋友有些幫助。 Microsoft Internet Security and Acceleration Server 2006簡稱ISA Server 2006，是微軟公司推出的一款重量級的網絡安全產品，被公認為X86架構下最優秀的企業級路由軟件防火墻。ISA Server 2006具備著防火墻、應用層防護、×××與網頁緩存等優異功能，憑借其靈活的多網絡支持、易于使用且高度集成的×××配置、可擴展的用戶身份驗證模型、深層次的HTTP過濾功能、經過改善的管理功能，在企業中有著 廣泛的應用。ISA Server 2006安裝在Windows server 2003 服務器上，可以說與Windows server 2003 是絕配搭檔，是企業網絡安全防護的極佳選擇。

?

1.? ISA Server 2006 的主要功能

ISA Server 2006 是一個符合現代化企業需求的多功能產品，其優異功能包含：

防火墻（firewall） ??防火墻可以過濾進出內部網絡的流量，可以利用它來控制內部網絡與因特網之間的通信，以增加網絡的安全性。也可以利用它安全地發布企業內部的服務器，如電子郵件服務器、FTP服務器、網站等，以便讓客戶與合作伙伴來訪問內部網絡的資源。ISA Server 2006 除了一般數據包篩選功能外，還提供了許多應用程序篩選器，它可以針對應用程序來篩選數據包。

虛擬專用網（×××）? 虛擬專用網可以讓遠程用戶與局域網(LAN)之間，或者是分別位于兩地的局域網之間，通過因特網來建立一個安全的通道。

網頁緩存（web cache）? 通過將用戶經常訪問的網頁保存到ISA Server 2006 的硬盤與內存，不但讓用戶更快地訪問到所需要的網頁，同時也可以提高網絡的效率、節省網絡的帶寬。

?

2.??????? 緩存的運作方式與緩存的種類

?

ISA Server 2006 緩存的運作方式

ISA Server 2006 將用戶所需的網頁對象保存到緩存區（硬盤或內存）后，可以讓其他用戶很快取得所需的網頁對象。下面的圖例說明了ISA Server 2006 處理用戶網頁請求的流程。

?

?

客戶端1經過①②③④幾個步驟第一次成功地訪問到網站http://www.isacn.org后，ISA Server 服務器就會把網頁http://www.isacn.org保存到緩存區，當客戶端2 或其他客戶端再訪問此網頁時，就會直接從ISA Server 服務器緩存區讀取該網頁對象，不需要再到因特網去讀取，由此可見，ISA Server 緩存不但讓用戶快速得到所需的對象，也可以減少占用對外部網絡的帶寬，提高網絡的效率。

?

ISA Server 2006 緩存的種類

?? ?ISA Server緩存分為正向緩存、反向緩存、鏈式緩存和分布式緩存等。比較常用的是正向緩存、反向緩存兩種。

正向緩存（forward caching）? ISA Server 將內部網絡用戶所請求的因特網網頁對象保存到緩存區，以便加快內部網絡用戶訪問網頁的速度。前面所示的實例其實就屬與這一種。

?

?

反向緩存（reverse caching）? 當將內部網站發布到因特網后，只要因特網的用戶通過ISA Server 來訪問網站的網頁對象，ISA Server 便會將此網頁對象保存到緩存區，之后有因特網的其他用戶要訪問相同的網頁對象時，ISA Server 就能很快地從緩存區讀取該對象，然后傳給用戶。如下圖所示：

?

?

?

3.?????????? ISA Server 2006 防火墻的設置種類

?

一般ISA Server 2006 防火墻設置種類有四種：邊緣防火墻（Edge Firewall）、3向外圍防火墻(3-Leg Perimeter Firewall)、背靠背防火墻(Back-to-Back Firewall)與單一網絡適配器（網卡）。

邊緣防火墻（Edge Firewall）?? 下圖為邊緣防火墻（Edge Firewall）的構架，其中的ISA Server 2006 防火墻計算機有兩個網絡接口（也就是有兩個網卡），一個連接內部網絡，一個連接外部（因特網），防火墻介于內部網絡與外部網絡之間，這種構架能夠保護內部網絡的安全，避免外來***者訪問內部網絡資源。也可以開放讓內部用戶訪問外部資源。這是最常見最容易架設的防火墻架構。

?

?

3向外圍防火墻(3-Leg Perimeter Firewall)? 下圖為3向外圍防火墻(3-Leg Perimeter Firewall)的構架，其中的ISA Server 2006 防火墻計算機有三個網絡接口（也就是有三個網卡），一個連接內部網絡，一個連接外部（因特網），一個連接外圍網絡，也就是DMZ區（非軍事區）。這種構架除了內部網路資源受到防火墻的保護，不受外部***外，還可以把對外部用戶訪問的資源放到DMZ區，專供外部的用戶訪問，如電子郵件服務器或WEB服務器等。

?

?

背靠背防火墻(Back-to-Back Firewall)? 下圖為背靠背防火墻(Back-to-Back Firewall)的構架，每個ISA Server 2006 防火墻計算機都有兩個網絡接口。對前端防火墻來說，它的內部網絡包含“中間的外圍網路（DMZ）與左邊的ISA Server 后端防火墻及其內部網絡”，對后端防火墻來說，它的外部網絡包含“中間的外圍網路（DMZ）與右邊的ISA Server 前端防火墻及其外部網絡”。可以將要開放給外部用戶訪問的資源放到DMZ區域內，并經過前端防火墻的做適當的過濾、保護，內部網絡會受到前端和后端防火墻的同時保護，因此更為安全。背靠背防火墻(Back-to-Back Firewall)是最安全的構架。

?

?

單一網絡適配器（網卡）? 這種構架的ISA Server 2006服務器只具備網頁緩存、網站發布、OWA（Outlook Web Access）服務器發布等功能，不支持其他高級功能，例如×××、一般服務器發布、防火墻客戶端、無法被設置成邊緣防火墻（Edge Firewall）等。一般是在單位內部已經有一臺邊緣防火墻（Edge Firewall）的情況下，才會使用這種構架，如下圖所示的ISA Server 2006緩存服務器，這臺ISA Server 2006計算機只安裝一張網卡，此處它是扮演緩存服務器的角色。

?

?

4.?????????? ISA Server 2006 與 ××× 的集成

?

由于××× 已經被集成到ISA Server 2006 內，因此我們不需要再利用Windows Server 2003的路由及遠程訪問服務來設置××× 服務器，而是直接通過ISA Server 2006 來設置。通過ISA Server 2006 可以架設以下兩種類型的××× ：

遠程訪問 ××× 連接? 如下圖所示：總部網絡已經連接到因特網，而××× 客戶端在外地連上因特網后（通過調制解調器、ADSL、局域網等），就可以與總部的××× 服務器建立××× ，然后通過××× 來安全地傳輸數據。

?

?

??? 點對點××× 連接? 如下圖所示：點對點××× 連接又稱為路由器對路由器 ××× 連接，圖中的兩個局域網的 ××× 服務器都連接到因特網，然后通過因特網建立 ××× ，它讓兩個網絡之間的計算機可以通過××× 服務器來安全地傳送數據。

?

?

另外，ISA Server 2006 也可以與第三方硬件防火墻（××× 網關）一起，構建出完善的企業 ××× 網絡環境。

?

?

?

5.??????? 多重網絡的支持

?

ISA Server 2006 支持多重網絡功能，如下圖所示的ISA Server 2006 防火墻同時連接總公司網絡、分公司網絡、DMZ 網絡、外地 ××× 客戶端與外部網絡（因特網）。可以通過ISA Server 2006 防火墻來設置任兩個網絡之間的連接規則。

?

?

ISA Server 2006 防火墻已經內建了以下數個網絡：

內部網絡（Internal network） 一般來說，內部網絡就是指內部的局域網。

外部網絡（External? network） 除了已定義的網絡（例如內部網絡、DMZ 網絡、外地 ××× 客戶端）之外，其他所有的網絡都屬于外部網絡。

邊界網絡（Perimeter network） 也就是 DMZ 、屏障子網絡。

××× 客戶端（××× clients） ××× 客戶端連接到ISA Server 2006 防火墻（××× 服務器）后，它們會被歸納到這個被稱為××× 客戶端的網絡。

隔離的××× 客戶端（Quarantined ××× Clients） 如果在ISA Server 2006 防火墻上啟用了隔離控制功能，則可以要求××× 客戶端必須符合規定，才會被歸納到××× 客戶端網絡，如果客戶端無法通過檢查，就會繼續被隔離在隔離的××× 客戶端網絡。

本地主機（Local host）? 就是指ISA Server 2006這臺計算機。

?

6. ISA Server 2006 企業版的特色

ISA Server 2006 分為標準版與企業版。企業版除了包含我們上面所介紹的標準版的所有功能外，它還具有陣列的功能，也就是說在將多臺ISA Server 2006 企業版計算機組成陣列后，它便具有以下的特色：

支持網頁緩存陣列（Web caching array） ISA Server 2006 企業版通過CARP 技術來支持此功能，它將大幅度地提高了內部用戶訪問網頁對象的效率。

與NLB（網絡負載平衡）的集成? ISA Server 2006 企業版可以利用NLB來提供負載平衡與故障轉移的功能，也就是說平常陣列中的ISA Server 2006 都可以提供服務來分散負擔，如果陣列中某臺ISA Server 2006 因故停止服務，其他的ISA Server 2006 仍然可以繼續提供服務。

陣列設置數據保存在ADAM數據庫? 陣列的防火墻原則等配置數據被保存在ADAM數據庫內，而這個數據庫是放在配置存儲服務器（CSS）內。

支持陣列原則與企業原則? ISA Server 2006 標準版是單純的通過防火墻原則內的訪問原則來篩選進出 ISA Server 的流量，這個原則只適用于這臺ISA Server 單一計算機。而企業版還提供了陣列原則與企業原則：

陣列原則? 在陣列防火墻原則內所建立的訪問規則，會被應用到這個陣列內所有的ISA Server。每一個陣列可以有自己的陣列防火墻原則。

企業原則? ?在企業原則內所建立的訪問規則，會被應用到這個企業內的所有陣列與這些陣列內的所有的ISA Server服務器。

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

附ISA Server 2006 180天試用版（和正式版功能完全一樣）下載鏈接：

http://www.microsoft.com/downloads/details.aspx?FamilyID=84504cad-893b-4212-9ab2-999ad1d8fe68&DisplayLang=zh-cn

?

轉載于:https://blog.51cto.com/scmy3j/198986

總結

以上是生活随笔為你收集整理的实用ISA Server 2006之一： 简介的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。