企业局域网组建ISA2004PPT.ppt

Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,Slide Title,Body Text,Second Level,Third Level,Fourth Level,Fifth Level,ISA2004,部署和管理,课程要求,参加本议程前，最好能预先具备以下主题的基本能力,：,TCP/IP Packet,Microsoft ISA Server 2000,日程安排,在企业网络中安装,ISA Server 2004,配置安全的,Internet,访问服务,制订访问出站规则，制订应用级别的访问控制,利用,HTTP,缓存加速,Internet,访问,安全发布服务器,通过,ISA Server,实现,VPN,ISA2004,企业版介绍,ISA2004,安装服务器需求,具有,300MHz,或更高频率的兼容,Pentium II,的,CPU,的个人计算机。,Microsoft Windows Server2003,或,Windows2000 Server,操作系统。,256MB,内存。,与计算机的操作系统兼容的网络适配器，以便与内部网络通讯。,对于连接到,ISA,服务器计算机的每个网络还都需要一个额外的网络适配器。,一个用,NTFS,文件系统格式化的本地硬盘分区，并且至少拥有,150MB,的可用硬盘空间。这是专门用于缓存的硬盘空间。,在运行,Windows2000,的计算机上安装,ISA,服务器,必须安装,Windows2000 Service Pack4(SP4),或更高版本。,必须安装,Internet Explorer6,或更高版本。,如果您使用的是,Windows2000 SP4,整合安装，还必须安装,Microsoft,知识库文章,821887,“Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows2000 Authorization Manager Runtime”,所指定的修补程序。,选择合适的网络构架,ISA 2004,演示,ISA2004,安装,日程安排,在企业网络中安装,ISA Server 2004,配置安全的,Internet,访问服务,制订访问出站规则，制订应用级别的访问控制,利用,HTTP,缓存加速,Internet,访问,安全发布服务器,通过,ISA Server,实现,VPN,ISA2004,企业版介绍,ISA2004,客户端,Firewall Client,：任何一部用户计算机上安装,Firewall Client,软件者，便是,Firewall Client,端计算机。,SecureNAT Client,：凡是非,Firewall Client,端的计算机者，都是,SecureNAT Client,端计算机。,Web Proxy Client,：凡在浏览器上指定使用,ISA Server,的上网代理服务（,Proxy Service,）者，都是,Web Proxy Client,端计算机。,客户端比较,功能,SecureNAT,客户端,防火墙客户端,Web,代理客户端,安装,是，需要对网络配置进行一些更改,是,否，需要配置,Web,浏览器,操作系统支持,支持,TCP/IP,的所有操作系统,仅限,Windows,平台,所有平台，但采用的是,Web,应用程序方式,协议支持,适用于多连接协议的应用程序筛选器,所有的,Winsock,应用程序,HTTP,、安全,HTTP(HTTPS),和,FTP,用户级身份验证支持,是，仅限,VPN,客户端,是,是,客户端,Internet,访问请求过程,ISA,服务器检查网络规则,ISA,服务器处理访问策略规则,协议,从（源）地址和端口,计划,到（目标）地址、名称、,URL,用户,内容组,ISA,服务器再次检查网络规则,ISA,服务器检查,Web,链规则或防火墙链配置,如何配置访问规则,创建访问规则,为访问规则配置目标网络对象,为访问规则配置协议,为访问规则配置内容,为访问规则允许指定的源端口,日程安排,在企业网络中安装,ISA Server 2004,配置安全的,Internet,访问服务,制订访问出站规则，制订应用级别的访问控制,利用,HTTP,缓存加速,Internet,访问,安全发布服务器,通过,ISA Server,实现,VPN,ISA2004,企业版介绍,HTTP,缓存,减少响应时间与联机频宽的耗用,Forward Caching,：支持用于连出要求,Reverse Caching,：支持用于连入要求,Web,Server,Client,Client,Client,Forward Caching,Reverse Caching,Client,Web,Server,ISA Server 2004,缓存规则机制,缓存使用者经常要求的对象，以增进网络效能,经常要求的内容可指定离峰时间自动下载内容，增进网络效能,缓存规则可指定要储存于快取中的内容类型,智能型缓存：,根据,对象在缓存中存在的时间,该对象上次撷取的时间，自动决定哪些网站是最常使用与重新整理内容的频率,启用,HTTP,缓存,设置缓存所用的驱动器,配置缓存,配置常规缓存属性,配置缓存规则,配置内容下载任务,配置常规缓存属性,启用缓存,配置缓存大小,配置活动缓存,配置要缓存的内容,配置缓存中对象的最大大小,配置负缓存,配置是否从缓存中返回过期的对象,配置要用于缓存的可用内存百分比,配置缓存规则,创建缓存规则,为缓存规则配置网络实体,配置如何缓存,Web,对象,为缓存规则配置,HTTP,缓存,为缓存规则配置,FTP,缓存,为缓存规则配置,SSL,缓存,限制为缓存规则缓存的对象大小,禁用缓存规则,删除缓存规则,日程安排,在企业网络中安装,ISA Server 2004,配置安全的,Internet,访问服务,制订访问出站规则，制订应用级别的访问控制,利用,HTTP,缓存加速,Internet,访问,安全发布服务器,通过,ISA Server,实现,VPN,ISA2004,企业版介绍,何谓发布服务器,本质上是筛选通过,ISA,服务器计算机的所有传入和传出请求。,服务器发布规则将传入请求映射到,ISA,服务器计算机后面的相应服务器,ISA Server2004,发布,Web,服务器发布管理,安全,Web,发布规则,邮件服务器发布,Publishing an Exchange Server for Outlook(RPC),服务器的发布,Web,服务器发布管理,Web,发布规则,ISA Server,将如何拦截对,Web,服务器上的,(HTTP),对象的传入请求,ISA Server,将如何代表,Web,服务器进行响应,请求被转发到位于,ISA,服务器计算机后面的,Web,服务器,如果可能，将从,ISA,服务器缓存中提供所请求的对象,Web,发布规则本质上是将传入请求与相应的,Web,服务器匹配,Web,发布规则还使您可以配置高级筛选功能，从而既发布基于,Web,的信息，又防止其受到恶意的访问,发布,网页服务器,192.168.1.1,Default Gateway,：,192.168.1.254,A 131.107.1.1,应,用案例,ISA Server,2004,IIS,Server,Outlook MAPI Client,B,External,DNS,Internet,131.107.1.1,192.168.1.254,192.168.1.1,1,2,3,演示,Web,发布,Client,Internet,ISA Server 2004,Web Server,192.168.1.100,External,DNS Server,131.107.1.1,A 131.107.1.1,应用程序和,Web,过滤结构,Firewall Engine,Firewall Service,Application Filter API,Web Proxy,Filter,Web Filter,API,Web Filters,Rules,Engine,Application,Filters,HTTP,筛选,器,ISA Server,可检查应用程序层命令及数据,可根据下列项目来封锁,HTTP,要求的网页：,要求装载的长度,HTTP,要求方法,HTTP,要求扩展名,HTTP,要求或响应标头,要求或响应标头或本文中的签章或型样,HTTP Filter Configuration for Web Publishing,HTTP,筛选器：一般,标头长度上限,(,字节,),：,32768,选取“允许任何装载长度”,URL,长度上限,(,字节,),：,260,查询长度上限,(,字节,),：,4096,确认“选取正规化”,不要选取“封锁高位字符”,HTTP,筛选器：方法,只允许指定的方法：,GET,、,HEAD,、,POST,HTTP,筛选器：扩展名,封锁指定的扩展名,(,允许其它所有扩展名,),.exe,、,.bat,、,.cmd,、,.com,、,.htw,、,.ida,、,.idq,、,.htr,、,.idc,、,.shtm,、,.shtml,、,.stm,、,.printer,、,.ini,、,.log,、,.pol,、,.dat,HTTP,筛选器：签章,选取,要求,URL,.,、,./,、,、,:,、,%,、,&,应,用案例,Traditional firewall,WebSrv/OWA,client,Web server prompts for authentication any Internet user can access this prompt,SSL,SSL tunnels through traditional firewalls because it is encrypted,which allows viruses and worms to pass through undetected,and infect internal servers!,ISA Server 2004,Authentication delegation,ISA Server pre-authenticates users,eliminating multiple dialog boxes and only allowing valid traffic through,ISA Server with HTTP Filtering,SSL or HTTP,SSL,ISA Server can decrypt and inspect SSL traffic,inspected traffic can be sent to the internal server re-encrypted or in the clear.,HTTP Filter,HTTP Filter,can stop Web attacks at the network edge,even over encrypted SSL,Internet,演示,HTTP,筛选器,安全,Web,发布规则,SSL,隧道,:,无需进行流量检查即可保护内容机密,SSL,桥接,:,Internet,上的客户端对通讯内容进行加密,ISA Server,对流量进行解密并检查,ISA Server,将允许的流量发送到已经发布的服务器,必要时对其进行重新加密,邮件服务器发布,Web,客户端访问,允许客户端访问,Microsoft Outlook Web Access,、,Outlook Mobile Access,或,Exchange Application Services,服务器。如果选择此选项，,ISA,服务器将配置适当的,Web,发布规则,客户端访问,允许客户端使用,RPC,、,IMAP4,、,POP3,、,SMTP,来访问邮件,服务器到服务器的通讯,允许,SMTP,（邮件）服务器和,NNTP,（新闻）服务器访问,发布,SMTP Server,Exchange,Server,SMTP,Server,SMTP,Client,External,DNS,131.107.1.1,C MX ISASRV ISASRV A 131.107.1.1,SMTP Connection,Internet,发布,SMTP Server,SMTP Application Filter,ISA Server 2004,SMTP,筛选,封锁危险的程序代码,停止讨厌的电子邮件讯息,两个组件：,SMTP,筛选器,检查因特网,SMTP,服务器及客户端传送的,SMTP,命令,设定命令的最大长度,定义停用的命令,讯息过滤程序,MAIL FROM SMTP,命令中传送的值,每一个附件的内容,-,配置标头字段,关键词筛选,传统防火墙,使用完整,Outlook MAPI,客户端,远程访问,Microsoft Exchange RPC,服务,内部网络边缘防火墙上具有大量静态开启的连接端口,可能会有潜在设计用于攻击,RPC,及,DCOM,服务的病毒,Internet,Exchange Server,DMZ,Internal Network,具有大量靜態開啟的連接埠,Outlook API,用戶端,Exchange RPC filter,安装,ISA Server,时，会提供两个预设,RPC,通讯协议定义给连入要求：,任何,RPC,服务器,Exchange RPC,服务器,强制保护,Outlook MAPI,与公司,Exchange,服务器的联机,可以强制必须透过安全的加密通道,如果联机没有受到保护，,ISA Server,将丢弃客户端要求,建立起始 RPC 端点对应程序联机,ISA Server 2004,Exchange,Server,Outlook MAPI Client,Port,：,135,Exchange UUID=2000,Exchange UUID=3000,Outlook MAPI,客户端会在,ISA Server,的外部接口上建立到,TCP,连接埠,135,的联机。,ISA Server,转送至,Exchange,服务器,Exchange,服务器利用客户端后续数据联机所使用的连接埠号来响应要求,ISA Server,拦截响应，并将连接埠号变更为,Outlook MAPI,客户端可以在,ISA Server,的外部接口上使用的有效连接埠。,客户端会使用这个连接端口号与,Exchange,服务器通讯,服务器的发布,服务器发布来处理内部服务器的传入请求，如：,文件传输协议,(FTP),服务器,结构化查询语言,(SQL),服务器,自定义端口访问的服务器,请求被转发到下游位于,ISA,服务器计算机后面的内部服务器,当从访问发布服务器的客户端所在的网络到发布的服务器所在的网络这个方向上存在网络地址转换,(NAT),关系时也是如此,ISA Server,的监视和报告,仪表板,警报,(,信息、警告和错误,),实时看到日志,会话,服务,报告,连接性,日志,日程安排,在企业网络中安装,ISA Server 2004,配置安全的,Internet,访问服务,制订访问出站规则，制订应用级别的访问控制,利用,HTTP,缓存加速,Internet,访问,安全发布服务器,通过,ISA Server,实现,VPN,ISA2004,企业版介绍,ISA2004,企业版介绍,2005,年,2,月发布,ISA Server 2004,企业版包含标准版的全部功能,和标准版相比，新增了两大类功能：,企业管理,负载平衡,企业管理功能,功能,描述,企业,策略,使用,ISA Server2004,企业版，你可以对企业级强制应用策略。企业管理员可以对整个企业中的策略进行精确的控制，其中包括将这一级策略权利授予阵列管理员。,企业,网络,企业网络是在企业级定义的网络，它对企业中的所有阵列都是全局性的，这使您可以创建企业级的规则。它还允许在阵列之间进行通讯，同时支持欺骗检测。,集中,监视,具有适当凭据的用户可以从任何位置监视企业网络中的,ISA,服务器计算机。,