ISA安全解决方案.docx

ISA服务器安全解决方案ISA 服务器安全解决方案微软（中国）有限公司2022-12-27目 录1ISA服务器概述31.1确保 Internet 连接安全性31.2快速的 Web 访问41.3统一管理41.4可扩展的平台52ISA服务器功能52.1多网络52.1.1多网络结构72.1.2网络之间的访问82.2防火墙策略92.2.1出站规则92.2.2入站请求112.2.3Web 发布规则和 Web 链规则122.3虚拟专用网络132.3.1远程 VPN 客户端访问142.3.2站点到站点的 VPN 概述152.3.3IPSec /L2TP 和 PPTP 网络162.3.4IPSec 隧道协议网络172.4监视182.5插件193用户需求213.1网络现状213.2需求分析214部署方案224.1Internet 边缘防火墙224.2部门或主干网络防火墙224.3分支办公室防火墙234.4安全服务器发布244.5安全 Exchange 服务器 SSL VPN241 ISA服务器概述Microsoft® Internet Security and Acceleration (ISA) Server提供安全、快速、可管理的 Internet 连接。ISA 服务器集成了可识别应用程序层且功能完善的多层企业防火墙和高性能的 Web 缓存。它构建在 Microsoft Windows Server 2003 和 Windows® 2000 Server 安全和目录上，以实现网际互联的安全性（基于策略）、加速和管理。 Internet 为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在，同时也带来了与安全、性能和可管理性等有关的风险和问题。ISA 服务器旨在满足当前通过 Internet 开展业务的公司的需要。ISA 服务器提供了多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA Server Web 缓存使得组织可以通过从本地提供对象（而不是通过拥挤的 Internet）来节省网络带宽并提高 Web 访问速度。 无论是部署成专用的组件还是集成式防火墙和缓存服务器，ISA 服务器都提供了有助于简化安全和访问管理的统一管理控制台。ISA 服务器为 Windows Server 2003 和 Windows 2000 Server 平台而构建，它通过强大的集成式管理工具来提供安全而快速的 Internet 连接性。1.1 确保 Internet 连接安全性将网络和用户连接到 Internet 会引入安全性和效率问题。ISA Server 为组织提供了在每个用户的基础上控制访问和监视使用率的综合能力。ISA 服务器保护网络免受未经授权的访问、执行状态筛选和检查，并在防火墙或受保护的网络受到攻击时向管理员发出警报。ISA 服务器是防火墙，通过数据包级别、电路级别和应用程序级别的通讯筛选、状态筛选和检查、广泛的网络应用程序支持、紧密地集成虚拟专用网络 (VPN)、系统坚固、集成的入侵检测、智能的第 7 层应用程序筛选器、对所有客户端的防火墙透明性、高级身份验证、安全的服务器发布等等增强安全性。ISA Server 可实现下列功能：· 保护网络免受未经授权的访问。 · 保护 Web 和电子邮件服务器防御外来攻击。 · 检查传入和传出的网络通讯以确保安全性。 · 接收可疑活动警报。 1.2 快速的 Web 访问 Internet 提高了组织的工作效率，但这是以内容可访问、访问速度快且成本合理为前提的。ISA Server 缓存通过提供本地缓存的 Web 内容将性能瓶颈控制在最少，并节省网络带宽。ISA 服务器可实现下列功能：· 通过从 Web 缓存（而不是拥挤的 Internet）提供对象来提高用户的 Web 访问速度。 · 通过减少链路上的网络通讯来减少 Internet 带宽成本。 · 分布 Web 服务器内容和电子商务应用程序，从而有效地覆盖了全世界的客户并有效地控制了成本。 · 从 ISA 服务器 Web 缓存中提供常用的 Web 内容，并将节省出来的内部网络带宽用于其他内容请求。 1.3 统一管理 通过组合防火墙和高性能的 Web 缓存功能，ISA Server 提供了有助于降低网络复杂度和减少成本的公共管理基础结构。ISA 服务器与 Windows Server 2003 和 Windows 2000 紧密集成，从而提供了一种一致而有效的途径来管理用户访问和防火墙规则的配置。 1.4 可扩展的平台安全策略和规则因组织而异。通讯量和内容格式导致了多样性问题。没有单个产品能够满足所有的安全和性能需求，为了实现高度的可扩展性，ISA Server 便应运而生了。可用于 ISA 服务器的其他资料有：全面的软件开发人员工具包 (SDK)、大型的第三方附加解决方案选集，以及可扩展的管理选件。使用 ISA 服务器管理组件对象模型 (COM)，可以扩展 ISA 服务器的功能。管理对象还允许通过 ISA 服务器管理完成的所有任务的自动化。这意味着 ISA 服务器管理员可以通过使用管理对象来自动完成所有任务。2 ISA服务器功能Microsoft Internet Security and Acceleration Server (ISA) 引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展和可扩展的用户和身份验证模式，以及改进的管理功能，包括配置导出和导入。以下部分对这些新增功能进行了简单介绍。2.1 多网络ISA 服务器引入了多网络的概念。使用 ISA 服务器的多网络功能，可以通过限制客户端之间的通讯（甚至组织内部的通讯）来防止网络受到内部和外部的安全威胁。可以将内部网络中的计算机组织成网络集，并针对各个网络集配置特定的访问策略。还可以定义各个网络之间的关系，从而确定各个网络中的计算机如何通过 ISA 服务器彼此通讯。在普通的发布方案中，您可能要使发布的服务器在其所在的网络中单独隔离出来，例如，形成外围网络。ISA 服务器多网络功能支持这样的方案，以便您可以配置公司网络中的客户端如何访问外围网络，以及外部客户端如何访问网络。可以配置各个网络之间的关系，并在各个网络之间指定不同的访问策略。 下图说明了多网络方案。该图中，ISA 服务器计算机将 Internet（外部网络）与内部网络、公司网络和外围网络连接起来。ISA 服务器计算机上的每个网络适配器都连接到其中的每个网络。使用 ISA 服务器，可以在任何网络对之间配置不同的访问策略。也就是说，可以确定各个网络中的计算机是否彼此通讯，如果是，采用的是哪一种通讯方式。每个网络都与其他网络隔离开来，并只有在配置了允许通讯的规则时才可以相互访问。可以使用 ISA 服务器的多网络功能来标识、配置和定义组织内部和外部计算机之间的连接性和关系。要配置多网络环境，应标识网络（可以选择将它们分组为网络集），并指定网络之间的关系。 定义网络后，应创建网络规则，以便确定是否允许网络连接，如果是，应如何连接。对于网络地址转换 (NAT) 关系和路由关系，可以通过配置访问规则来允许通讯。可以配置发布规则，以便允许通讯从目标网络到达源网络。2.1.1 多网络结构在经典的多网络环境视图中，防火墙或路由器在一个或多个网络之间提供连接性。根据在防火墙或路由器上配置的访问控制，允许通讯在网络之间传递。请考虑下面的图例，它说明了经典的多网络方案视图。在图中，公司网络将连接到 Internet，以便允许客户端访问 Internet。外围网络连接到公司网络和 Internet，以便允许访问其资源。ISA 服务器将 IP 地址分组为集，称为网络。ISA 服务器使用网络来描述无需通过 ISA 服务器传递即可交换通讯的主机的地址。网络实际描述了网络拓扑形式的 ISA 服务器视图。ISA 服务器包含几个特殊的内置网络元素。下面列举了一些示例：· 内置外部网络自动包含不属于其他任何网络的所有地址。与其他网络不同，它可以存在于另一网络的后面。· 内置 VPN 客户端网络自动包含分配给 VPN 客户端的所有地址。· 内置本地主机网络包含 ISA 服务器计算机上的地址。 2.1.2 网络之间的访问可以使用 ISA 服务器来定义网络规则，从而允许网络之间相互访问。为此，不仅要定义是否允许网络连接，还要定义如何连接。这样，便可在网络之间建立网络访问策略。下图说明了网络访问策略的概念。已配置相应的网络规则，以便允许在上图所示的相同网络之间进行网络访问。网络规则定义了网络之间的如下关系：1. 在分部与总部之间定义路由的网络关系。路由关系是相互的。 2. 在从公司网络到外围网络这一方向上定义网络地址转换 (NAT) 网络关系。NAT 关系是单向且唯一的。因此，在从外围网络到公司网络这一方向上不存在关系。 3. 在从公司网络到 Internet 这一方向上定义 NAT 网络关系。同样，在从 Internet 到公司网络这一方向上也不存在关系。 4. 最后，在从外围网络到 Internet 这一方向上定义 NAT 网络关系。 请注意，在路由的网络关系中，每个网络都公开其真正的 IP 地址。因此，只有在网络之间真正需要双向通讯时，才应配置路由网络关系。2.2 防火墙策略凭借 Microsoft Internet Security and Acceleration (ISA) Server ，您可以使用数据包级别、线路级别和应用程序级别通讯筛选最大限度地提高安全性：· 状态数据包筛选决定允许通过安全网络线路和应用程序层代理服务的数据包。状态筛选只在需要时自动打开端口，然后在通信结束后关闭端口。 · 线路筛选为多平台访问很多 Internet 协议和服务提供了应用程序透明线路网关。与其他线路层代理不同，ISA 服务器线路层安全与动态数据包筛选一起使用，以提供增强的安全性和易用性。 · 应用程序筛选和状态检查处理客户端计算机中应用程序协议（例如 HTTP、FTP 和 Gopher）内的命令。ISA 服务器代表客户端计算机，隐藏外部网络的网络拓扑和 IP 地址。 您可以按照用户和组、应用程序、源和目标，以及计划控制入站和出站访问。防火墙策略指定使用指定的协议和端口可以访问哪些站点和内容，特定的协议是否可访问入站和出站通信，以及是否允许或拒绝指定 IP 地址之间的通信。此部分解释了防火墙策略。2.2.1 出站规则ISA 服务器的一个主要功能是连接源网络与目标网络，同时阻止恶意访问。为了帮助建立此连接，您使用 ISA 服务器来创建允许源网络中的客户端访问目标网络中的特定计算机的访问策略。此访问策略决定了客户端如何访问其他网络。当 ISA 服务器处理传出请求时，它检查网络规则和防火墙策略规则以确定是否允许访问。 可以配置某些规则应用于特定的客户端。在这种情况下，可以通过 IP 地址或用户名来指定客户端。ISA 服务器根据请求对象的客户端类型以及 ISA 服务器的配置来相应地处理请求。 首先，ISA 服务器检查网络规则，以确认两个网络已连接。如果网络规则定义了源网络与目标网络之间的连接，ISA 服务器将处理访问策略规则。接下来，ISA 服务器按顺序检查访问规则。如果对该请求应用了允许规则，ISA 服务器将允许该请求。特别是在请求与下列规则条件相匹配时，ISA 服务器将应用规则：· 协议 · 从（源）地址和端口 · 计划 · 到（目标）地址、名称、URL · 用户 · 内容组 应用规则之后，ISA 服务器不将请求与其他任何规则相匹配，并停止规则评估。随后，ISA 服务器实际上可能拒绝请求，具体情况取决于应用于规则的其他协议筛选。最后，ISA 服务器再次检查网络规则，以确定网络是如何连接的。ISA 服务器检查 Web 链规则（如果请求对象的是 Web 代理客户端）或防火墙链配置（如果请求对象的是 SecureNAT 或防火墙客户端），以确定将如何处理请求。例如，假定您将 ISA 服务器安装到具有两个网卡的计算机上：一个网卡连接到 Internet，另一个则连接到本地网络。您公司的许可原则是允许所有用户访问所有站点。在这种情况下，您的策略应包含下列访问策略规则：· 在源网络（本地网络）与目标网络 (Internet) 之间建立连接的网络规则。 · 允许所有内部客户端在任何时候使用任何协议访问任何站点的访问规则。 2.2.2 入站请求ISA 服务器可以使服务器安全地接受来自其他网络客户端的访问。您使用 ISA 服务器创建一条发布策略以便安全地发布服务器。发布策略包含 Web 发布规则、服务器发布规则、安全 Web 发布规则以及邮件服务器发布规则，它与 Web 链规则一起共同确定如何访问发布的服务器。可以使用下列 ISA 服务器规则之一来发布服务器：· Web 发布规则。发布 Web 服务器内容。 · 服务器发布规则。发布其他所有内容。 · 安全 Web 发布服务器。发布安全套接字层 (SSL) 内容。 当 ISA 服务器处理来自客户端的 HTTP 或 HTTPS 请求时，它检查发布规则和 Web 链规则，以确定是否允许该请求，以及将由哪一台服务器来处理该请求。对于非 HTTP 请求，ISA 服务器检查网络规则，然后检查发布规则以确定是否允许该请求。对于传入的 Web 请求，是按下列顺序来处理规则的：1. Web 发布规则。 2. Web 链规则。 例如，请考虑这样一个方案：您将 ISA 服务器安装到具有两个网络适配器的计算机上，其中一个适配器连接到 Internet，而另一个则连接到本地网络。将应用下列规则：1. 如果 Web 发布规则明确地拒绝请求，该请求将被拒绝。 2. 如果 Web 链规则规定请求应路由到特定的上游服务器或备用的主持站点，将由指定的服务器处理该请求。 3. 如果 Web 链规则规定请求应路由到指定的服务器，将由内部 Web 服务器返回对象。 2.2.3 Web 发布规则和 Web 链规则Web 发布规则是按顺序处理的，其中默认 Web 发布规则最后处理。Web 链规则也是按顺序处理的。当外部客户端向内部 Web 服务器请求对象时，将按下列顺序处理规则：1. Web 发布规则 2. Web 链规则 例如，考虑下列规则：· Web 发布规则将所有客户端对 的发出的请求重定向到被指定为 msweb 的主持站点（Web 服务器）。 · Web 链规则对请求（其目标包含 msweb）进行路由，并将由 msweb 直接对其进行处理。 当外部 (Internet) 用户从 请求对象时，ISA 服务器拦截该请求。它首先处理 Web 发布规则，确定应将该请求重定向到 msweb 计算机。接下来，它处理 Web 链规则，确定请求将由指定的服务器 (msweb) 直接处理。 下面的示例说明了当创建 Web 发布规则而不创建相应的 Web 链规则时所发生的情形：· Web 发布规则将所有客户端对包含 的目标集发出的请求重定向到被指定为 myinternalms 的主持站点 · Web 链规则将对所有目标发出的请求路由到上游服务器。 在这种情况下，将首先处理 Web 发布规则。对 发出的所有请求都将被重定向到 myinternalms。但是，Web 链规则规定应将该请求路由到上游服务器（而不是直接发送到目标服务器）。该请求将总是被路由到上游服务器。2.3 虚拟专用网络虚拟专用网络 (VPN) 是专用网络的扩展。同 Internet 一样，该网络包含共享网络或公用网络之间的链接。使用 VPN，可以通过共享网络或公用网络以模拟点对点专用链接的方式在两台计算机之间发送数据。虚拟专用网络连接是一种创建和配置虚拟专用网络的操作。使用 VPN 连接，在家办公或旅行的用户可以通过公用 Internet 网络（如 Internet）提供的结构，获得到组织服务器的远程访问连接。从用户的角度来说，VPN 是计算机（VPN 客户端）和组织服务器（VPN 服务器）之间的点对点连接。VPN 与共享网络或公用网络的具体结构无关，因为数据就象是通过专用的链接发送的。使用 VPN 连接，组织还可以在维护安全通讯的同时，通过公用 Internet 网络（如 Internet）路由与其他组织之间的连接。例如，对于那些地理位置上分开的办公室。从逻辑上来说，在 Internet 之间路由的 VPN 连接的操作方式如同专用的广域网 (WAN) 链接。使用 ISA Server ，可以配置安全 VPN，根据您的指定，可以使远程访问客户端和远程站点对其进行访问。通过将 ISA 服务器计算机用作 VPN 服务器，可以保护公司网络免受恶意的 VPN 连接，您可从中受益。因为 VPN 服务器是集成到防火墙功能中的，所以 VPN 用户要遵守 ISA 服务器防火墙策略。另外，通过将 ISA 服务器计算机用作 VPN 服务器，您可以对站点到站点的 VPN 连接以及到公司网络的 VPN 客户端访问进行管理。ISA 服务器支持两种类型的 VPN 连接：· 远程访问 VPN 连接。远程访问客户端可以建立连接到专用网络上的远程访问 VPN 连接。ISA 服务器可以提供对 VPN 服务器所连接到的整个网络的访问。· 站点到站点的 VPN 连接。路由器可以建立站点到站点的 VPN 连接，用于连接专用网络的两个部分。ISA 服务器可以提供对 ISA 服务器计算机所连接到的网络的连接。 采用 ISA 服务器，每种类型的 VPN 连接在配置方式上会略有差别。如果单个远程 VPN 客户端需要访问权限，则只需为该单个用户进行配置。在站点到站点的网络配置中，必须为远程用户所在的整个网络授予访问权限，即配置 VPN 用户所在的网络。 但是，许多 VPN 配置对于这两种方案都是通用的。例如，ISA 服务器认为来自远程站点网络的初始连接请求就如同来自单个远程 VPN 客户端的任何请求一样。为初始连接配置隧道协议、身份验证方法、访问网络和地址分配时，其方式必须如同为远程访问客户端进行这些配置一样。2.3.1 远程 VPN 客户端访问通过使用 ISA Server 进行本地 Internet 连接，即使天各一方，您也可以使工场的各部门从世界上的任意位置连接到内部网络。例如，您的办公室位于纽约市，而您的销售人员却在芝加哥工作。您希望销售人员本地连接到 Internet，并使用 VPN 连接来访问内部网络，而不是给纽约市打电话并直接连接到您的内部网络（使用路由和远程访问）。这就是远程访问 VPN 方案。采用 ISA 服务器，您可以使用点到点隧道协议 (PPTP) 或第 2 层隧道协议 (L2TP) 来实施远程客户端访问解决方案。例如，考虑如下图所示的用于漫游 VPN 客户端的典型网络拓扑。此图片显示了三个网络：· VPN 客户端所在的 Internet。 · VPN 网关，这是 ISA 服务器计算机。 · 内部网络，其中可包含用于动态 IP 地址分配的 DHCP 服务器和（可选，如果配置的是 L2TP 隧道协议）证书颁发机构。 2.3.2 站点到站点的 VPN 概述大型企业通常都有多个站点需要进行通讯，例如，位于纽约的总部办公室和位于华盛顿的销售办公室。可以使用站点到站点虚拟专用网络 (VPN) 通过 Internet 安全地将这两个办公室连接起来。ISA Server 为站点到站点连接提供了三个 VPN 协议：· 点对点隧道协议 (PPTP) · Internet 协议安全 (IPSec) 上的第 2 层隧道协议 (L2TP) · Internet 协议安全 (IPSec) 隧道模式 远程 VPN 网络的配置过程因选定的隧道协议的不同而不同。对于所有远程站点网络，必须配置网络、为该远程网络设置网络及防火墙策略，并配置远程站点网关（VPN 服务器）。此外，对于 IPSec 网络，可以进一步在 ISA 服务器计算机上配置安全设置。还必须在远程站点网关上配置 IPSec 策略设置。2.3.3 IPSec /L2TP 和 PPTP 网络ISA Server 使用点对点隧道协议 (PPTP) 和 Internet 协议安全 (IPSec) 上的第 2 层隧道协议 (L2TP) 来支持站点到站点的虚拟专用网络 (VPN)。例如，如果您使用 ISA Server 作为 VPN 服务器，并且要连接的站点使用 Microsoft® Windows Server 2003、Windows® 2000 Server、ISA Server 或 ISA Server 2000 作为 VPN 服务器，则可以使用上述隧道协议。ISA Server 使用路由和远程访问来建立 IPSec VPN 连接上的 L2TP。下图显示了 IPSec 上 L2TP 解决方案的一种可能的网络拓扑。使用 PPTP 或 IPSec 上的 L2TP 设置远程网络涉及以下常规步骤：1. 创建远程站点网络，选择 PPTP 或 IPSec 上的 L2TP 作为隧道协议。 2. 选择 PPTP 或 IPSec 上的 L2TP 作为隧道协议。3. 配置 ISA 服务器网络规则和访问策略。 4. 配置远程 VPN 站点启动的连接的常规 VPN 属性，因为 ISA 服务器将这些站点看作 VPN 客户端。5. 如果您的 ISA 服务器计算机通过拨号连接连接到 Internet，可以配置自动拨号。6. 配置远程 VPN 服务器。2.3.4 IPSec 隧道协议网络ISA Server 支持使用 Internet 协议安全 (IPSec) 隧道协议的站点到站点虚拟专用网络 (VPN)。例如，如果您使用 ISA Server 作为 VPN 服务器，并且要连接到的站点使用第三方产品或 ISA Server 作为它的 VPN 服务器，则可以使用 IPSec 隧道协议。下图显示了 IPSec 隧道解决方案的一种可能的网络拓扑。如上图所示，主办公室使用 ISA Server 作为它的 VPN 服务器。ISA Server 位于运行 Microsoft® Windows Server 2003 或 Windows® 2000 Server 的计算机上。分支办公室可能运行多个第三方 VPN 服务器中的一个。或者，分支办公室可能使用 ISA Server 、Windows Server 2003 或 Windows 2000 Server 作为它的 VPN 服务器。使用 IPSec 设置远程网络涉及以下几个常规步骤：1. 创建远程站点网络。选择 IPSec 作为隧道协议。2. 配置 ISA 服务器网络规则和访问策略。详细信息， 3. 如果您的 ISA 服务器计算机通过拨号连接连接到 Internet，可以配置自动拨号。4. 配置远程 VPN 服务器。必须按照制造商的说明，将远程 VPN 服务器配置为以 IPSec 隧道模式连接到 ISA 服务器计算机。ISA 服务器提供了配置远程服务器所需的信息摘要。5. 配置高级 IPSec 设置。2.4 监视下表列出了 ISA Server 引入的监视功能的特点。功能描述仪表板ISA 服务器的“仪表板”视图汇总了有关会话、警报、服务、报告、连接性以及常规系统运行状况的监视信息。通过“仪表板”可以迅速了解网络的工作状况。在日志查看器中进行实时监视可以实时地查看防火墙和 Web 代理日志。监视控制台显示记录在防火墙日志文件中的日志项目。内置日志查询（筛选）可以使用内置的日志查询工具来查询日志文件。可以从 Microsoft 数据引擎 (MSDE) 日志中查询日志中记录的任何字段所包含的信息。可以将查询范围限定为特定的时间段。结果出现在 ISA 服务器控制台中，并且可以复制到剪贴板并粘贴到其他应用程序中，以便进行更详细的分析。会话的实时监视和筛选可以查看所有活动的连接。从会话视图中，可以对各个会话或会话组进行排序，或者断开其连接。此外，可以使用内置的会话筛选工具筛选会话界面中的项目，以便集中于您感兴趣的会话。连接性验证程序通过从 ISA 服务器计算机上使用连接验证程序定期监视与特定计算机或统一资源定位器 (URL) 的连接，可以验证连接性。可以配置使用下列方法来确定连接性：Ping、传输控制协议 (TCP) 连接到端口或 HTTP GET。可以通过指定 IP 地址、计算机名称或 URL 来选择要监视的连接。报告发布可以配置 ISA 服务器报告任务，以便自动将报告的副本保存到本地文件夹或网络文件共享中。可以将报告所保存在的文件夹或文件共享映射为网站虚拟目录，以便其他用户可以查看该报告。对于未配置为在创建后自动发布的报告，可以手动发布。记录到 MSDE 数据库日志现在可以存储为 MSDE 格式。记录到本地数据库有助于提高查询的速度和灵活性。2.5 插件ISA Server 使用内置的插件支持许多 Internet 协议，其中包括超文本传输协议/安全套接字层 (HTTP/SSL)、文件传输协议 (FTP)、RDP、Telnet、RealAudio、RealVideo、Internet 中继聊天 (IRC)、H.323、Windows 媒体流、电子邮件协议以及新协议。这些插件将在插件中更详细地讲述。下表列出了 ISA 服务器的插件功能。功能描述每条规则基础上的 HTTP 筛选ISA 服务器的 HTTP 策略使得防火墙可以执行深入的 HTTP 状态检查（应用程序层筛选）。检查的范围是在每条规则的基础上配置的。可以对 HTTP 入站和出站访问配置自定义约束。阻止对所有可执行内容的访问可以配置 ISA 服务器的 HTTP 策略阻止对 Windows 可执行内容的所有连接尝试（无论在资源上使用什么文件扩展名）。将 HTTP 筛选应用于所有 ISA 服务器客户端连接ISA 服务器可以使用 MIME Enter（对于 HTTP）或文件扩展名（对于 FTP）来阻止基于 Web 代理客户端的 HTTP 连接或 FTP 连接访问内容。可以控制所有 ISA 服务器客户端连接的 HTTP 访问。基于 HTTP 签名控制 HTTP 访问可以创建 HTTP 签名，并将其与请求 URL、请求头、请求正文、响应头和响应正文进行比较。可以精确地控制内部和外部用户可以通过 ISA 服务器访问哪些内容。 强制实现从完整 Outlook MAPI 客户端的安全 Exchange RPC 连接ISA 服务器的 Exchange Server 发布规则允许远程用户可以使用功能完备的 Outlook® MAPI 客户端通过 Internet 连接到 Exchange。但是，必须将 Outlook 客户端配置为使用安全的 RPC，以便加密连接。使用 ISA 服务器的 RPC 策略，可以阻止所有未加密的 Outlook MAPI 客户端连接。FTP 策略 ISA 服务器的 FTP 策略可以配置为允许用户使用 FTP 进行上载和下载，或者可以限定仅允许用户使用 FTP 进行下载。链接转换某些发布的网站可能包含对计算机内部名称的引用。由于外部客户端只能使用 ISA 服务器计算机和外部名称空间，而不能使用内部网络名称空间，因此这些引用将显示为被破坏的链接。ISA 服务器包含一项链接转换功能，以便您可以为内部计算机名称创建定义词典，使其映射为众所周知的名称。对 IP 选项的精细控制可以很精细地配置 IP 选项，仅允许您需要的 IP 选项，同时禁止其他所有选项。3 用户需求3.1 网络现状3.2 需求分析4 部署方案Microsoft Internet Security and Acceleration (ISA) Server 为所有规模的组织中关心网络的安全、性能、可管理性或运营成本的 IT 经理、网络管理员和信息安全专家提供了价值。组织可以使用下面各节中描述的大量网络方案部署 ISA 服务器。4.1 Internet 边缘防火墙ISA 服务器可以部署为专用 Internet 边缘防火墙，来充当内部客户端的 Internet 安全网关。ISA 服务器计算机对于通讯路径上的其他方是透明的。Internet 用户应该无法判断此处是否有防火墙服务器，除非用户试图访问 ISA 服务器计算机拒绝访问的网络服务、协议或站点。通过设置安全访问策略，管理员可以防止未经授权的访问和恶意内容进入网络。主要功能包括：· 多层通讯筛选数据包级别、线路级别和应用程序级别筛选。 · 智能应用程序层警示应用程序筛选器。 · 内置入侵检测。 · 锁定基本操作系统的系统强化。 4.2 部门或主干网络防火墙ISA 服务器可以配置为部门或主干网络防火墙，为进出受保护的 LAN 提供安全的入站和出站访问控制。使用现有防火墙结构的组织可能希望保留它们的位于 Internet 边缘的现有高性能防火墙，将复杂应用程序层筛选卸载到位于 LAN 边缘的 ISA 服务器防火墙。这使组织可以在从 ISA 服务器应用程序层筛选防火墙提供的独特级别保护中获益的同时，利用现有高速 Internet 连接。 主要功能包括：· 安全 Outlook Web Access 发布。 · 安全 Internet 信息服务 (IIS) 网站发布。· 安全 Exchange RPC 发布。· 所有 Internet 协议和服务的基于用户和基于组的访问控制。 · 垃圾邮件筛选 SMTP 消息筛选程序。 · 与上游 Web 代理服务器链接的 Web 代理。 4.3 分支办公室防火墙通过 ISA 服务器，可以使用站点到站点 VPN 连接将分支办公室网络连接到主办公室。可以将 ISA 服务器放置在分支办公室，在此处它可以作为保护分支办公室网络的防火墙，也可以作为将分支办公室网络连接到主办公室网络的 VPN 网关。ISA 服务器具有经过改进的 VPN 互操作性功能，使它可以使用您当前拥有的任何 VPN 解决方案创建站点到站点的链接。主要功能包括：· Internet 协议安全 (IPSec) 隧道模式支持使用第三方 VPN 网关的站点到站点链接。 · 使用 Microsoft VPN 网关的站点到站点链接的点对点隧道协议 (PPTP) 和 IPSec 上的第 2 层隧道协议 (L2TP)。 · 对站点到站点链接的监控状态检测限制可以访问主办公室网络的远程网络。 · 位于分支办公室的用于与 Internet 之间的入站和出站访问的 ISA 服务器防火墙控制。 · 对 VPN 连接的 LAN 之间的通讯进行监控状态检测的智能应用程序层筛选。 4.4 安全服务器发布ISA 服务器允许组织可以在不危及内部网络安全的情况下将服务发布到 Internet。组织可以配置 Web 发布规则和服务器发布规则，来确定哪些请求向下游发送到位于 ISA 服务器防火墙后的服务器，以便为内部服务器提供增强的安全层。所有转发的通讯对 ISA 服务器的监控状态筛选和检测引擎都是公开的。例如，Microsoft Exchange 服务器可以放置在 ISA 服务器后，可以创建服务器发布规则，来允许对 Exchange 简单邮件传输协议 (SMTP)、邮局协议 3 (POP3)、Internet 邮件访问协议 4 (IMAP4) 和网络对网络传输协议 (NNTP) 服务进行 SSL 保护的远程访问。ISA Server SMTP 消息筛选程序（看起来像客户端的电子邮件服务器）对传入到 Exchange 服务器的电子邮件进行侦听。然后，ISA Server SMTP 消息筛选程序可以对 SMTP 通讯进行筛选，并将它转发给 Exchange 服务器。Exchange 服务器从不直接对外部用户公开，而是保留在安全的环境中，维护对其他内部网络服务的访问。 主要功能包括：· 易于使用的安全服务器发布向导。 · 用于透明客户端连接和服务器发布的 SecureNAT。 · 已发布的服务，包括超文本传输协议/安全套接字层 (HTTP/SSL)、FTP、SMTP、POP3、IMAP4、NNTP、DNS、RDP、H.323、流媒体等等。 4.5 安全 Exchange 服务器 SSL VPN由于 SSL VPN 具有提供应用程序特定的、对内部网络资源的无客户端安全访问的能力，所以越来越受欢迎。ISA 服务器具有经过改进的 Outlook Web Access 向导，使您可以向远程用户授予连接端到端 SSL VPN 的 Outlook Web Access 的安全访问权限。SSL VPN 可以利用 ISA 服务器的 SSL 到 SSL 桥接，以便允许深度 HTTP 内容检测。通过阻止与 Outlook Web Access 网站进行的未经授权的会话，基本身份验证的委派和基于窗体的身份验证进一步保护了 Outlook Web Access SSL VPN。主要功能包括：· 易于使用的 Outlook Web Access 发布向导。 · 连接到通过 SSL VPN 的 Exchange Outlook Web Access 的无客户端 SSL VPN。 · 通过 ISA 服务器的独特 SSL 到 SSL 桥接的端到端安全性。 · 基本身份验证的委派阻止对 Outlook Web Access 网站的未经授权的访问。 · 基于窗体的身份验证使防火墙管理员可以设置会话超时和阻止用户访问附件。 · 深度 HTTP 应用程序层检测阻止用户通过 Outlook Web Access 连接上载文件。 · 用于 SSL 连接的证书可以由 Microsoft 证书服务生成或从第三方证书提供者获取。 微软（中国）有限公司 第 30 页 共30 页