【IT168 服务器学院】ISA SERVER2000 学习笔记

　　一：  Microsoft Internet Security and Acceleration Server 2000 介绍
　　ISA包括两个版本：标准版和企业版。包括三种模式：防火墙模式，CACHE模式和集成模式，可以与WIN2K集成，根据计算机，用户，组来定义策略，它通过MMC界面进行管理，可以在本地和远程管理ISA。
　　ISA的防火墙分为三个层次，最底层为IP packet filters，这是静态的，对于指定的端口，不是允许就是阻止通过，然后为POLICY RULES，这可以理解为动态的包过滤，允许在二次连接的时候，动态打开相应的端口（即只有在使用的时候，才会打开这一端口，而不像IP packet filters是一直开放的），最后为应用层的过滤，可以对诸如电子邮件的内容进行过滤。
　　ISA的CACHE功能十分强大，可以定义为自动下载定义计划，可以根据访问频率的高低自动下载，可以在多台ISA上分布CACHE.
　　当使用ISA企业版的阵列方式时，为企业的管理提供更大的灵活性，你可以统一定义企业策略，也可以对每个阵列分别定义策略

　　二：安装Microsoft Internet Security and Acceleration Server 2000
　　在安装前，必须首先考虑ISA的安装模式（防火墙模式，CACHE模式和集成模式），同时对客户端也要有所考虑，因为客户端可以分为防火墙客户端，WEB客户端和SNAT客户端。对于一个小公司来说，典型的安装是一台ISA安装两块网卡，隔断企业内部局域网和INTERNET，对于一个大型公司，则可能需要多台ISA组成阵列。同时对于防火墙后面的WEB，MAIL服务器的发布也要有所考虑，你是将它们直接安装在ISA上，混合域（perimeter network.），还是在企业的内部。
　　如果要安装ISA企业版，必须首先安装Enterprise Initialization utility，在AD中加入SCHEMA，如果是安装ISA标准版，它的信息是保存在SERVER本身的注册表中的。
　　如果企业以前使用Proxy Server 2.0，可以考虑直接升级到ISA

　　三：设定INTERNET访问
　　ISA的客户端分为防火墙客户端，WEB客户端和SNAT客户端，它们的使用场合是不同的，主要的区别有以下几点：
　　1. SNAT用户的访问只能通过IP地址来进行控制，它是匿名访问，无法使用基于USER的规则控制，而防火墙用户和WEB用户可以（在缺省情况下，ISA允许WEB匿名访问，但是你可以通过设置，在访问前要求用户认证）
　　2. 防火墙用户只能在WINX的机器上安装（需要客户端安装程序），而SNAT客户和WEB客户可以跨越操作系统平台，WEB只有浏览器要求
　　3. 如何内部有WEB/FTP/MAIL之类的服务器提供对外服务，则它们必须作为SNAT用户
　　4. SNAT用户不支持需要二次连接的网络运用，除非在IP FILTER中指定
　　5. SNAT用户需要解决DNS解析问题，这就意味着你的INTRANET要有DNS服务器或者在IP FILTER中允许DNS Query operation。
　　6. SNAT用户和防火墙用户同时也可以是WEB用户，不过WEB用户只支持HTTP/HTTPS/FTP服务。
　　7. 对于SNAT用户来说，即使Protocol Rule allows "Any IP traffic."，它也只是开放了ISA预先定义的那些Protocol，至于如QQ之类还要你自己定义。注意如果这一应用只使用了单一端口，那只要直接定义即可，如果使用了多个端口，则须在IP FILTER中加以定义。
　　如果你的网络对外连接是通过拨号方式，则只有Web Proxy and firewall clients可以使用按需拨号，对于NAT用户，必须首先建立连接。WEB用户和防火墙用户还可以配置使用自动发现ISA。你需要在DHCP（a special Web Proxy Autodiscovery Protocol entry）和DNS（both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.）中进行相应设置

　　四：设置Access Policies
　　对于用户访问是否允许，ISA通过PROTOCOL->SITE AND CONTENT->IP FILTER->ROUTING RULE的次序进行考察，首先考察是否有PROTOCOL RULES拒绝访问，如果没有，再考察是否有明确的允许，如果有，则通过，其他情况则拒绝。SITE AND CONTENT/IP FILTER也是这样判断。ROUTING RULE主要用来判断是将访问要求转交给上一级ISA还是直接发到INTERNET上。特别的：

　　1. 对于一个指定的PROTOCOL，如果以一个SNAT访问，如果没有明确的拒绝（这里的拒绝指得是IP地址的拒绝），则ISA会查找是否有明确的许可，如果许可都是针对用户的，则SNAT客户会被拒绝（因为SNAT是匿名的）。如果许可是针对IP的，如果客户端在这一IP地址范围内，则PROTOCOL这一层过滤通过。
　　2. 对以WEB PROXY CLIENT用户（在浏览器中填写ISA作为代理服务器），缺省情况下它是允许匿名的，他允许跑的协议为HTTP/HTTPS/FTP。对于这种情况，我们可以在ISA的设置中要求出站WEB需要认证，或者在PROTOCOL中加一条允许协议，因为WEB允许匿名，所以一条DENY并不能阻止他的访问，加上允许，ISA就会对他进行匹配，他就会因为不匹配而遭到拒绝。
　　3. 对于FIREWALL/WEB CLIENT均是通过用户来进行管理的，只有NAT是通过IP来进行管理，在ISA上观察，FIREWALL/ SNAT CLIENT均属于FIRWALL SESSION，但是FIRWALL CLIENT有用户名和机器名，SNAT这两项为空，他只有客户端的IP地址。

　　一般来说，你如果想访问外部网站，必须要有两个条件，一个是PROTOCOL RULE许可，另外一个是SITE AND CONTENT许可，在缺省条件下，ISA会自动建立一个SITE AND CONTENT许可供你使用，在PROTOCOL RULE集中，没有先后次序的概念，但是DENY比PERMIT的权力要高
　　在ISA的控制元素中包括：计划schedules, 带宽优先级bandwidth priorities, 目标集destination sets, 客户集client address sets, 协议定义protocol definitions, 内容组content groups, and 拨号dial-up entries。你可以将它们组合各种规则（access policy rules, routing rules, publishing rules, 和bandwidth rules）
　　对于包含路径的目标地址，ISA不同的客户端有不同的处理
　　如果想在ISA服务器本身上发布服务器，必须使用IP FILTER，它本身还可以用来阻止外界的某些IP攻击

　　五：设置ISA Server Cache
　　CACHE可以加快用户的INTERNET访问速度，你可以使用routing rules来指定何者需要CACHE，何者从INTERNET上直接访问，何者则把请求发给上一级ISA。对ISA本身的CACHE，你可以控制它的大小（必须安装在NTFS上）；是否CACHE动态内容；是否CACHE HTTP和FTP内容；自动更新的频率以及定义计划来自动下载频繁访问的INTERNET内容。 如果ISA本身的内存比较小，还可以调整分配给CACHE的内存大小以提高性能。

　　六：发布内部SERVER
　　如果想发布内部的SERVER，则使用PUBISHING RULES（这实际上也就是PROTOCOL RULES，只有在需要的时候才会开放），如果SERVER就在ISA上，则应使用IP PACKET FILTERS。在SERVER的发布上，最重要的是WEB SERVER和MAIL SERVER

　　七：ISA的安全性
　　控制ISA，你必须有相应权限（Enterprise Admins），如果为了提高性能，在企业中有多台ISA SERVER，则对于防火墙用户，你只要简单的设置DNS，使用round robin distribution即可，对于SNAT客户，则需要设置Network Load Balancing （这需要高级服务器版和数据中心版）。对于企业设置和阵列设置，你可以将设置备份到一个文件，并可以在任何时刻通过它们进行恢复。
　　利用ISA你可以在公司两地搭建VPN，并可以让移动用户通过VPN访问公司的信息，这实际上是利用了WIN2K的Routing and Remote Access服务（ISA只不过在IP PACKET FILTER中针对PPTP和L2TP增加了几条包过滤），你可以在相应服务上进行进一步设置，例如增加DHCP中续代理使远端用户得到正确的局域网DNS/WINS配置，远端用户实际上并没有真正登录到公司的域中，对VPN的接入安全性必须加强设置。如果觉得有问题，可以删除由WIZARD建立的4条IP FILTERS，然后DISABLE Routing and Remote Access，最后由WIZARD重新建立。

　　八：使用H.323 Gatekeeper
　　不懂，请高人指点。

　　九：监视和优化ISA
　　ISA有45种报警，当报警触发时，写入WIN2K的事件记录器，并可选择E-MAIL传递和停止启动ISA服务。ISA的LOG分为IP FILTERS，防火墙，WEB代理三个文件，每天产生（当然你可以限制其总数量），缺省条件下放在ISA的LOG目录下。对于ISA的运行效率观察，最简单的办法是审查ISA的运行报告（事先你要设定ISA如何产生报告），对于ISA的带宽分配，你也可以加以定义，ISA是一种所谓的动态分配，优先满足优先权高的访问，在这基础上再满足优先权低的访问，而不是直接分配固定带宽给用户。

　　十：排错
　　基本的，你可以使用ISA Server Reports（性能） /Event Viewer （警告出错信息）/Performance Monitor （性能）/Netstat （网络状态）/Telnet （服务状态）/Network Monitor（网络状况） /The Routing Table （路由信息）来排除错误。
　　对于复杂的错误，可以先将ISA设置到最简单的模式，观察是否能连通内外网络，然后再一步步添加设置，找出问题的根源。最简单的形式如下：
　　1. 激活packet filtering enabled, 设定一个最简单的filter，允许双向的IP包
　　2. 建立一条protocol rule，允许所有的IP traffic，
　　3. 建立一条SITE AND CONTENT,允许访问所有的网站和内容
　　4. 将application filters 和routing rules 恢复成缺省设置
　　5. 检查LAT表包含了所有的客户端
　　6. 在IP Packet Filters中激活IP Routing，保证有二次连接的协议被顺利路由
　　7. 检查ISA的外部网卡，确保正确的网关，而内部网卡应该不设置网关
　　8. 客户端作为SNAT连接ISA，确定其网关地址为ISA的内网卡地址

　　
　　附录：常见问题解答
　　问：什么是Microsoft ISA Server？
　　这是一种具备全面功能特性的企业级安全，加速和多层次陈列管理服务器。ISA Server提供了安全、快速、可管理的Internet连接性。ISA Server包括一个可扩展的、多层的企业防火墙，该防火墙能够进行动态的数据包过滤、透明的、SecureNAT、“智能的”数据感知的应用程序过滤器、系统硬化以及内置的入侵检测。它的高性能缓存加速了Web访问速度，而同时节约了带宽，并且可以进行按比例放大以获得有效的、动态的负荷平衡。统一，灵活的管理工具为用户、应用程序、目的地、计划和内容类型提供了多层策略。同时与Windows 200的虚拟专用网(VPN，virtual private networking)和带宽控制进行了集成。ISA Server是一个进行扩展和自定义的丰富的平台，它包括一个广泛的软件开发工具包(SDK)和多个用于进行管理、应用程序过滤器、Web过滤器和缓存控制的应用程序设计接口(API)。

　　问：Microsoft Internet Security and Acceleration Server 2000是否属于防火墙或缓存服务器？
　　ISA Server既可被配置为集成化防火墙与缓存解决方案，又可被部署成专用防火墙或专用缓存。正在寻求强大防火墙解决方案的组织机构完全可以借助由该产品所提供的动态数据包筛选、入侵检测、系统加固和“智能”应用程序筛选器等特性为其网络系统提供安全保障。而急需专用缓存解决方案的组织机构则可通过使用ISA Server所具备的高级缓存特性对网络实施改进增强。

　　问：拥有与缓存解决方案相结合的防火墙会带来哪些优势？
　　即使在组织机构选择分别实施防火墙与缓存功能的情况下，ISA Server仍可同时面向出站与入站通信量提供具备一致性的单点访问策略及管理功能。在此基础上，组织机构便可适当缩短系统和网络管理员的培训周期，并相应降低产品管理与维护工作负荷。