Internet Security and Acceleration（簡稱ISA）Server是Microsoft推出的集防火墻、代理服務器于一身的服務器端軟件，它同時有代理服務器（代理客戶端共享上網）、防火墻（安全連接Internet、安全發布網絡內各項服務如Web、FTP、E-mail到Internet上、提供安全的VPN連接）功能。ISA Server的代理服務器中的“緩存”功能是業界最好、速度最快的，許多大型公司都使用ISA Server中的代理服務器功能作為緩存服務器。巨靈鳥公司的內部就是使用ISA SERVER2006。

1 ISA Server功能概述
Microsoft Internet Security and Acceleration (ISA) Server 2006是可擴展的企業防火墻和Web緩存服務器，它構建在Microsoft Windows Server 2003和Windows 2000 Server操作系統安全、管理和目錄上，以實現基于策略的訪問控制、加速和網際管理。

當企業網絡接入Internet時，Internet為組織提供與客戶、合作伙伴和員工連接的機會。這種機會的存在，同時也帶來了與安全、性能和可管理性等有關的風險和問題。ISA Server旨在滿足當前通過Internet開展業務的公司的需要。ISA Server提供了多層企業防火墻，來幫助防止網絡資源受到病毒、黑客的攻擊以及未經授權的訪問。ISA Server Web緩存使得組織可以通過從本地提供對象（而不是通過擁擠的Internet）來節省網絡帶寬并提高Web訪問速度。

無論是部署成專用的組件還是集成式防火墻和緩存服務器，ISA Server都提供了有助于簡化安全和訪問管理的統一管理控制臺。ISA Server為Windows Server 2003和Windows 2000 Server平臺而構建，它通過強大的集成式管理工具來提供安全而快速的Internet連接性。

ISA Server 的版本包括ISA Server 2000、ISA Server 2004、ISA Server 2006，當前最新版本是ISA Server 2006。ISA Server提供了“代理服務器”、“緩存服務器”、“防火墻”等三個方面的功能。
1.1 代理服務器功能——提供安全性非常高的共享Internet服務

將網絡和用戶連接到Internet會引入安全性和效率問題。ISA Server 2006為組織提供了在每個用戶的基礎上控制訪問和監視使用率的綜合能力。ISA Server保護網絡免受未經授權的訪問、執行狀態篩選和檢查，并在防火墻或受保護的網絡受到攻擊時向管理員發出警報。

ISA Server是防火墻，通過數據包級別、電路級別和應用程序級別的通訊篩選、狀態篩選和檢查、廣泛的網絡應用程序支持、緊密地集成虛擬專用網絡(VPN)、系統堅固、集成的入侵檢測、智能的第7層應用程序篩選器、對所有客戶端的防火墻透明性、高級身份驗證、安全的服務器發布等等增強安全性。ISA Server 2006 可實現下列功能：

·保護網絡免受未經授權的訪問；

·保護Web和電子郵件服務器防御外來攻擊；

·檢查傳入和傳出的網絡通訊以確保安全性；

·接收可疑活動警報。
1.2 加快Web訪問速度——業界最好的緩存服務器
Internet 提高了組織的工作效率，但這是以內容可訪問、訪問速度快且成本合理為前提的。ISA Server 2006 緩存通過提供本地緩存的Web內容將性能瓶頸控制在最少，并節省網絡帶寬。ISA Server可實現下列功能：

·通過從Web緩存（而不是擁擠的Internet）提供對象來提高用戶的Web訪問速度；

·通過減少鏈路上的網絡通訊來減少Internet帶寬成本；

·分布Web服務器內容和電子商務應用程序，從而有效地覆蓋了全世界的客戶并有效地控制了成本；

·從 ISA Server Web緩存中提供常用的Web內容，并將節省出來的內部網絡帶寬用于其他內容請求。
1.3 虛擬專用網絡（VPN）支持——代理服務器、防火墻服務器與VPN服務器可以可以共存
ISA Server 2006 支持安全的虛擬專用網絡 (VPN) 訪問，分支機構或遠程用戶可以通過這種類型的訪問連接到公司網絡。ISA Server防火墻策略應用于 VPN 連接，以控制 VPN 用戶可以訪問的資源和協議。ISA Server 2006支持的功能在表11-1中列出。

表11-1 ISA Server 2006支持的VPN功能列表

功   能	描         述
VPN 管理	ISA Server包含一種完全集成的虛擬專用網絡機制，該機制基于 Microsoft Windows Server 2003 和 Windows 2000 Server 功能。
對 VPN 的狀態篩選和檢查	由于 VPN 客戶端配置為獨立的網絡，因此可以為 VPN 客戶端創建單獨的策略。防火墻策略引擎有差別地檢查來自 VPN 客戶端的請求，對這些請求進行狀態篩選和檢查，并根據訪問策略動態地打開連接。
SecureNAT 客戶端支持連接到 ISA Server VPN 服務器的 VPN 客戶端	ISA Server允許 SecureNAT 客戶端即便在客戶端系統上未安裝防火墻客戶端軟件的情況下也訪問 Internet，從而擴展了 VPN 客戶端支持。還可以通過在 VPN SecureNAT 客戶端上強制實施基于用戶或組的防火墻策略來增強公司網絡的安全性。
通過站點到站點的 VPN 隧道進行狀態篩選和檢查	ISA Server針對通過站點到站點的 VPN 連接移動的所有通訊引入了狀態篩選和檢查。可以控制資源，以便特定的主機或網絡能夠在對方進行訪問。基于用戶或組的訪問策略可以用來精細地控制通過鏈路的資源利用。
VPN 隔離控制	可以在獨立的網絡上隔離 VPN 客戶端，直到它們滿足預定義的一組安全要求。VPN 客戶端傳遞安全性測試是基于 VPN 客戶端防火墻策略的所允許的網絡訪問。可以為未通過安全性測試的 VPN 客戶端提供有限的服務器訪問權限，有利于滿足網絡安全需求。
對站點到站點 VPN 鏈接的 IPSec 隧道模式支持	ISA Server通過允許將 IPSec 隧道模式用作 VPN 協議來提供站點到站點的鏈接支持。IPSec 隧道模式支持大大地增強了 ISA Server與大量第三方 VPN 解決方案的互操作性。
VPN 監視和日志記錄	可以監視 VPN 客戶端和遠程 VPN 網絡的活動，就像監視其他任何 ISA Server客戶端的活動一樣。

                               

1.4 安全發布服務器——將內部網絡中的多臺服務器發布到Internet對外提供服務

ISA Server 2006可以發布局域網內的多臺服務器和多種服務到Internet，用來為Internet網絡上的用戶提供相應的服務。ISA Server 2006可以用一個或多個指定的地址(公網地址)同時發布受ISA Server 2006保護的網絡內的多臺服務器或多種服務，ISA Server 2006可以真正發布安全的Web站點，這些都是其他軟件或硬件防火墻所不能比擬的。圖11-1是使用ISA Server 2006發布服務器的一個例子，在以后的使用中，這種情況會很普遍

2 防火墻與代理服務器的基礎知識
本節將要講述一些代理服務器、防火墻、ISA Server 2006的相關知識，這涉及到一些名詞或術語，如內網、外網、公網、私網、合法IP、端口、映射、代理、NAT、轉發等。

許多人覺得代理服務器很難配置，也有人認為很簡單，也有一些人不明白，為什么要用代理服務器。而對于防火墻，大多數人認為安裝了防火墻，網絡就安全了，至于為什么安全、怎么安全就說不清了。還有一些人認為防火墻要比代理服務器“復雜”，因為網絡出口配置了防火墻后，有些網絡服務或通訊(如QQ、BT等)會出現一些問題。要解決這些問題，需要了解上網或網絡通訊的實質，也就需要了解下面這些名詞及來歷。
2.1 網絡服務與端口的關系
對于Internet、Intranet或單位局域網(LAN)來說，一臺計算機要想為其他計算機提供“服務”，例如把這臺計算機作為打印共享服務器，除了要在這臺計算機上安裝“硬件”打印機外，還要開啟“打印服務”這一功能。提供不同的“服務”，需要開啟與之相應的“服務功能”，而“服務”和“服務功能”或“服務功能的實現”，是由安裝在計算機(或稱為服務器的計算機)上的操作系統和應用程序軟件來提供的。換句話說，一臺計算機要為外部提供WWW瀏覽服務，則需要在這臺計算機上安裝能提供WWW瀏覽的“服務器端軟件”。在網絡中，每一項功能(或服務)都是由安裝在計算機上的操作系統(系統軟件)和運行在操作系統之上的應用程序(稱為服務軟件)來提供的。這是從“系統級”應用來說的，而對于目前的基于TCP/IP的網絡來說，用來提供各種服務的計算機來說，為了方便網絡上(包括LAN、Intranet、Internet)的其他用戶(通常是一些計算機)來訪問或使用這些服務，都需要提供服務的地址，具體的說，就是需要TCP/IP地址、協議(TCP或UDP)、端口號這三部分內容。

當一臺計算機(稱為A)訪問另一臺計算機(稱為B)提供的服務時，這兩臺計算機(A與B)需要建立一個連接。建立連接時，A計算機使用一個隨機端口與B計算機提供服務的端口建立一個連接，當連接建立后，A與B之間就可以互相通訊(發送與接收數據)。例如，A計算機的IP地址為202.206.203.229，B計算機的IP地址為202.206.192.227，A計算機訪問B計算機提供的Web站點，大家知道，默認的Web站點為TCP協議的80端口。此時，A計算機會從TCP的1024到65535之間選擇一個沒有使用的端口(假設這個端口為19876)與B計算機的TCP協議的80端口建立一個連接，當連接建立成功后，A計算機就可以訪問B提供的Web服務了。

每一項服務，都有一個端口(或多個端口)與之對應，可以使用的端口號從1到65535之間選擇，系統服務通常使用1024以下的端口。使用哪個端口號提供服務都可以，但對于一些常見的服務，通常使用一些固定的端口，例如Web服務使用TCP的80端口，FTP服務使用TCP的21端口，Windows終端服務使用TCP的3389端口等，要使用防火墻及代理服務器，首先要記住一些常見的端口號，表11-2列出了常見服務及對應的端口號，請大家參考。

表11-2 常見服務與對應端口號一覽表

 

【說明】關于一些服務與協議的端口號，在安裝ISA Server 2006后，可以參看“防火墻策略”頁中的“工具箱”選項卡中的“協議”頁。

使用默認的端口號，只是為了方便訪問這些服務，實際上，也可以不使用默認的端口號而使用自定的端口號，但要通知訪問者。例如，Web站點通常使用TCP的80端口，如果使用80端口以外的號碼例如使用TCP的8001端口，則用戶在訪問的時候，需要在IE瀏覽器中鍵入類似于http://www.xxx.yyy:8001之類格式，其中www.xxx.yyy是提供Web服務的計算機的域名或其IP地址，8001是對應的Web服務的端口號。
2.2 TCP/IP地址的意義
對于TCP/IP地址，一般人都知道是由4個字節、32位長的二進制數字組成，通常還會常聽到公網地址、私網地址、內網、外網等名詞，那這些名詞代表什么意義呢？

通常所說的私網地址，是指TCP/IP地址在10.0.0.1到10.255.255.254、172.16.0.1到172.31.255.254與192.168.0.1到192.168.255.254范圍以內的地址。而所說的公網地址，是指TCP/IP地址排除私網地址段與127.0.0.0地址段以后的地址段。合法IP，就是指公網網絡使用的IP地址，這些地址在Internet上是可以直接被訪問的。

通常所說的“內網”是相對“外網”來說的，通常指局域網或經過防火墻保護的網絡；而“外網”通常是指直接連接在Internet上的網絡，或者指通過廣域鏈路連接企業內部局域網以外的網絡，或者指不受防火墻保護的、可以連接到外部網絡的網絡。

要想訪問“公網”上的計算機，必須有能直接連接到“公網”的設備并且有合法的IP地址，私網內的計算機是不能直接訪問公網的計算機(或設備)的。而“公網”上的設備也不能直接訪問“私網”中的計算機，或不能直接訪問“私網”中的計算機提供的某項服務。可以這樣舉例，具有公網地址的計算機或設備，就像在主干路兩側的、具有門牌號的單位，通過主干路可以進入這些有門牌號的單位。而一些沒有門牌號和沒有在主干路上的單位或村莊，是不能直接到達的。
2.3 代理與轉換
為什么使用代理服務器，估計大家都知道是為了解決IP地址的不足。但是大家要清楚一個問題，通常所說的“代理服務器”，有兩個方面的含義，或者說有兩種功能。一個功能就是，代理服務器用于局域網內計算機共享上網，為局域網內的計算機提供訪問Internet各種服務的功能。另一個功能就是為已經能上網的計算機提供“二次代理”功能。舉例來說，在教育網內的網站，有許多資料與數據，但教育網內的服務器通常都加了限制，禁止教育網外的用戶使用或訪問，如果是通過公網(這里指不包括教育網IP地址段的公網)訪問教育網的服務器，是不能瀏覽這些資料的。這時候，就可以使用教育網內提供的代理來訪問教育網的服務器，這時，通過公網訪問的機器在教育網的服務器“看”來，是其允許的教育網的IP地址在訪問，可以為其提供服務。對于這些“二次代理”的服務器來說，通常都要有“教育網”及“公網”的IP地址，“公網用戶”只是把“二次代理”服務器作為一個“跳板”來使用。或者這樣舉例，目前，從我國的臺灣是不允許直接坐飛機到北京的，如果坐飛機從臺灣到北京，可以先坐飛機從臺灣到香港或澳門，然后再從香港或澳門到北京。這里的香港或澳門就起到了代理服務器的作用。

用于局域網內的代理服務器，有三種實現方式，分別為網關型(NAT)、代理型及代理軟件型，對于網關型和代理型，不需要在局域網內的計算機上安裝軟件，而代理軟件型，需要在局域網內的計算機上安裝代理服務器的客戶端軟件。網關型(NAT)型，也叫“網絡地址轉換”或“網絡地址翻譯”，只需要在局域網內的計算機上正確設置網關地址即可，除此以外，不需要其他設置。代理型軟件，需要在訪問Internet的軟件上如IE或Outlook上設置代理服務器的地址及端口(如果需要用戶名，還要一并設置，這取決于代理服務器軟件服務器端的設置與要求)。代理型軟件與代理軟件型，如果局域網內的計算機與代理服務器不在同一網段，也要正確設置網關地址。

2.4 端口映射與端口轉發
端口映射與端口轉發，用于發布防火墻內部的服務器或者防火墻內部的客戶端計算機，有的路由器也有端口映射與端口轉發功能。端口映射與端口轉發實現的功能類似，但又不完全一樣。端口映射是將外網的一個端口完全映射給內網一個地址的指定端口，而端口轉發是將發往外網的一個端口的通訊完全轉發給內網一個地址的指定端口。端口映射可以實現外網到內網和內網到外網雙向的通訊，而映射轉發只能實現外網到內網的單向通訊。

例如：一臺防火墻有兩個端口，一個端口用于外網，設置的IP地址為202.206.197.229，另一個端口用于內網，設置的IP地址為172.23.1.20，一臺Web服務器放置在內網，其IP地址為172.22.100.100，如果想讓這臺服務器對外提供Web服務，則可以在防火墻上將202.206.197.229的TCP的80端口映射到172.22.100.100的80端口，這樣，當外網用戶訪問202.206.197.229的Web服務時，實際上訪問的是內網服務器上提供的服務。如果在內網的172.22.100.100服務器上提供Web服務的端口不是80而是另外的端口如3333，則需要在防火墻上將TCP的80端口映射到內網172.22.100.100的3333端口。
2.5 理解ISA Server 2006中的網絡
在安裝ISA Server 2006的計算機中，系統中的每塊網卡都連接一個網絡。

ISA Server 2006中的網絡分為“內部”、“外部”、“本地主機”、“VPN客戶端”、“被隔離的VPN客戶端”，如果ISA Server 2006配置為“3向外圍網絡”，還將包括“外圍”網絡，下面分別介紹。

（1） “內部”，代表企業內部局域網，此網絡的地址范圍在ISA Server 2006安裝的過程中指定，并且在安裝以后可以更改。建議你總是通過添加適配器來添加內部網絡地址。ISA防火墻認為此默認的內部網絡來代表受信任的受保護的網絡。ISA防火墻的默認防火墻策略會通過系統策略允許本地主機訪問此內部網絡上的資源，但是拒絕所有其他網絡到內部網絡的訪問，您必須自行創建規則來允許到內部網絡的訪問。你不能刪除默認內部網絡 。

（2） “本地主機”，此網絡代表ISA防火墻本身計算機，與ISA防火墻之間的所有通訊都被認為是和本地主機網絡之間的通訊，你不能修改或刪除本地主機網絡。

（3） “外部”，指連接到Internet的網絡，此網絡包含未明確包含在其他任何網絡中的所有IP地址，通常被視為不受信任的網絡。在剛結束ISA防火墻的安裝時，外部網絡包含所有未包含在內部網絡中的地址、本地主機網絡的IP地址(127.0.0.1)以及ISA防火墻上其他所有網絡適配器的IP地址。通常情況下，設置了“網關地址”的網卡被認為“默認的外部網絡”。

（4） “VPN 客戶端”，它代表通過VPN連接到ISA服務器的客戶端計算機，由ISA防火墻動態生成 ，不能刪除 VPN 客戶端網絡。

（5） “被隔離的VPN客戶端”，此網絡包含尚未解除隔離的VPN客戶端的地址，由ISA防火墻動態生成 ，不能刪除被隔離的 VPN 客戶端網絡。

在通常情況下，ISA Server 2006包含上面的5部分網絡，如果ISA Server被配置成“3向外圍網絡”，還包括“外圍”網絡。

“外圍”網絡也稱為DMZ(Demilitarized Zone)、第三區域和被篩選的子網，DMZ是放置公共信息的最佳位置，這樣用戶、潛在用戶和外部訪問者都可以直接獲得他們所需的關于公司的一些信息，而不用通過內網。通常把公司中的機密的和私人的信息存放在內網中，DMZ中的服務器不應包含任何商業機密、資源代碼或是私人信息。DMZ服務器上的破壞最多只可能造成在你恢復服務器時的一段時間中斷服務。 目前許多的硬件防火墻都集成了DMZ接口。ISA Server 2006也可以在安裝三塊網卡(甚至三塊以上網卡)的情況下，配置成“3向外圍網絡”。
2.6 理解ISA Server2004的規則
在ISA Server 2006中定制的策略、規則，都是針對上一節中的各個網絡來定義和創建的。

在ISA Server 2006的防火墻策略中，主要包括“訪問規則”和“服務器發布規則”。“訪問規則”類似于“過濾”，就是允許使用指定的“協議”從規定的“源網絡”能訪問“目的網絡”，而“服務器發布規則”類似于“映射”，指的是把允許使用指定的“協議”通過ISA Server 2006“轉發”給指定的“計算機”或“服務器”。從這點來看，“訪問規則”象一個通道，允許經過身份驗證的人通過，而“服務器發布規則”則象郵遞員送信，把他人寄給你的信送到你的單位傳達室，而由傳達室的負責人轉交給你。

在創建“訪問規則”時，通常是在“內網”、“外網”、“本地主機”等ISA Server 2006定義的“網絡”之間，允許指定的“協議”通過，如允許“內網”的計算機能上網，就是創建如下的一條訪問規則：允許“內網”使用“HTTP、DNS”協議訪問“外部”。如果允許“內網”的計算機能訪問Internet上的FTP服務器，則是允許“內網”的用戶使用FTP協議訪問“外部”。

在創建”訪問規則”時，創建的規則包括“允許”和“禁止”，這很容易理解。“允許”就是允許指定的協議通過，而“禁止”則是“不允許”指定的協議通過。

創建“服務器發布規則”時，ISA Server 2006集成了“Web服務器發布規則”、“安全Web服務器發布規則”、“郵件服務器發布規則”，實際上，這些都與“服務器發布規則”相同，都是“端口映射”或“端口轉發”。在創建“服務器發布規則”時，都是把對ISA Server 2006的指定”協議”(每種協議代表一種服務)轉發到ISA Server 2006所保護的網絡中的一臺計算機(甚至ISA Server 2006本身，網絡名稱“本地主機”)。

例如：ISA Server 2006的“內網”中有一臺Web服務器，需要把這臺Web服務器發布到Internet，則需要創建“服務器發布規則”，把內網的這臺Web服務器安全發布到Internet。
2.7 理解ISA Server2004的客戶端
ISA Server 2006包括三種類型的客戶端，分別為“防火墻客戶端”、“SecureNAT客戶端”和“Web代理客戶端”，如圖11-2所示

                            

圖11-2 ISA Server 2006的三種客戶端示意圖

下面介紹這三種客戶端的意義。

“防火墻客戶端”是已經安裝并啟用防火墻客戶端軟件的計算機。來自防火墻客戶端的請求會定向到 ISA Server計算機上的防火墻服務，以確定是否允許訪問。此后，可以使用應用程序篩選器和其他插件對這些請求進行篩選。防火墻服務還可以緩存所請求的對象，或者從 ISA Server緩存提供對象。

“SecureNAT客戶端”是指尚未安裝防火墻客戶端軟件的計算機。來自 SecureNAT 客戶端的請求首先會定向到網絡地址轉換 (NAT) 驅動程序。該驅動程序將用Internet上有效的全局 IP 地址替換 SecureNAT 客戶端的內部 IP 地址。然后，該客戶端請求會定向到防火墻服務，以確定是否允許訪問。最后，可以使用應用程序篩選器和其他擴展組件對該請求進行篩選。防火墻服務還可以緩存所請求的對象，或者從 ISA Server緩存提供對象。通常情況下，大多數的客戶端、以及將要使用ISA Server發布的服務器，都必須是“SecureNAT 客戶端”。

“Web代理客戶端”是指與CERN兼容的Web應用程序。來自Web代理客戶端的請求會定向到 ISA Server計算機上的防火墻服務，以確定是否允許訪問。防火墻服務還可以緩存所請求的對象，或者從ISA服務器緩存提供對象。“防火墻客戶端”和“SecureNAT”客戶端必須是ISA Server“內網”中的計算機，而“Web代理客戶端”可以是Internet上的計算機。

無論客戶端的類型如何，當 ISA Server接收到 HTTP 請求時，客戶端都被視為Web代理客戶端。即使是防火墻客戶端或 SecureNAT 客戶端發出HTTP請求，該客戶端仍然被視為Web代理客戶端。這對于驗證該客戶端身份的方式具有特定的含義。

防火墻客戶端計算機和 SecureNAT 客戶端計算機都可以作為Web代理客戶端。如果將計算機上的Web應用程序明確配置為使用 ISA Server，則所有Web請求將直接發送到防火墻服務，包括 HTTP、FTP 和安全 HTTP (HTTPS)。防火墻服務將首先處理所有其他請求。表11-3對各種 ISA Server客戶端進行了比較。

表11-3 ISA Server 2006各客戶端對比

 

 

 

 

 

 

 

 

 

 

 

來源：巨靈鳥 歡迎分享本文