ISA2004企业版概述

SEC340ISA2004企业版概述议程简介企业策略及网络配置存储服务器网络负载均衡VPN企业版监控TechEd发布(ISAServer2004分支机构功能）小结附录(演讲后的活动)迁移性能其他优势ISAServer2004企业版新功能进一步提升的安全架构高级保护应用层安全设计保护微软应用深层内容检测增强的，可客户化的协议过滤器（HTTP及其他）综合而灵活的企业及下级网络策略制定稳定的IP协议路由集成ExchangeServer支持OutlookRPCoverHTTP增强OutlookWebAccess安全易用的配置界面全兼容VPN全兼容防火墙–VPN过滤支持端对端（Site-to-site）IPSec通道模式具备VPN负载均衡功能的通路再分配保护IIS及SPSIIS及SPS间SSL桥接易用的网络发布界面AD,RADIUS,SecurID认证ISAServer2004EE新功能全新管理工具及用户接口易用高效经济的网络安全多网络结构支持各种网络防火墙策略可应用于各种通讯数据企业及下级网络网络模板及界面界面使路由设置简化一般网络拓扑设置更为方便网络负载均衡级服务器阵列情境下设置简单易行可视策略编辑器基于规则的单一可订制防火墙策略企业及阵列级策略框架灵活的分级管理授权选项增强的纠错功能中心，报告，记录及事件监控功能覆盖所有阵列的运行管理及日志察看功能与管理包结合的高级监控功能ISAServer2004EENewFeaturesContinuedcommitmenttointegration快速，安全的接入经济有效，将你的用户与你网络中的相关信息连接起来增强的架构高速数据传播使用最新的Windows及PC硬件高速的应用过滤平台Web缓存各阵列间平衡缓存安全有效的缓存请求路由（CARP）网络发布的反向缓存能力因特网接入控制借助AD的用户及组策略为用户实施全企业范围的统一策略合作伙伴的URL,病毒,及内容过滤解决方案综合的认证体系支持RADIUS及RSASecurID认证更安全的双层面认证选项ExchangeServer的标单认证ISAServer2004EnterpriseEdition企业策略及网络企业策略目的:企业网管有控制权(“进一步限制”)本地网管可被授权进行控制策略制定及分发的灵活性许可模式概念:建立模块策略模板策略的强制ABCABC阵列1AC阵列2P1阵列1AP1阵列2BP1EP阵列策略特点:每阵列单一企业策略阵列策略可以被限制(规则型)新:阵列策略可包括允许规则阵列有效规则计算:阵列系统策略企业策略规则优先于阵列规则阵列规则企业策略丛属于阵列策略拒绝所有策略(内置)企业网络适用于所有阵列用于企业策略及阵列策略仅包括地址段阵列1阵列2企业网络X192.1.0.1-192.1.0.31Internet企业网络Y10.0.0.1-10.0.0.255NATNAT阵列网络阵列网络的附加属性代理设置网络负载均衡设置内部网络(必须定义)可包括企业网络阵列1阵列2企业网络X192.1.0.1-192.1.0.31Internet内部网(映射到企业网络Y)NATNAT配置存储服务器细节ISAServer配置存储产品配置存储ISA2000SE本地ISA2000EEActiveDirectoryISA2004SE本地（注册表)ISA2004EE配置存储服务器(CSS)配置存储服务器基于ADAM–ActiveDirectory应用程序模式用于企业中所有阵列的策略的集中存储使用管理控制台安全地写入阵列成员从中安全地提取复制的多主非单主副本可以随地编辑配置存储服务器CSS管理控制台ISA2004Server阵列CSS复制ISA2004Server阵列本地配置副本本地配置副本ISA2004Server阵列本地配置副本通讯模式CSS管理控制台ISA2004ServerCSS复制LDAP/LDAPSLDAPSRPC复制RPCCSS部署部署选项在域中/在工作组中单机（支持在DC上）/与ISAserver共存单独的/复制的一台CSS为单个/多个阵列服务部署考虑事项–链接速度ISA-CSS:快速管理控制台-CSS:快速CSS-CSS（复制）:中慢速具有永久链接的分支机构最佳:使分支机构阵列连接到主办公室的远程CSS替代方案:在分支机构设置复制负面作用:链路断接、容错分支机构分支机构阵列数据中心CSS管理控制台配置提取WAN连接具有S2S连接的分支机构最佳:在分支机构设置CSS站点/复制替代方案:使分支机构阵列连接到远程CSS负面作用:成本对比链路断接及容错分支机构分支机构阵列CSS数据中心CSS管理控制台配置提取复制S2SVPN具有站点的数据中心最佳:在每个数据中心设置一个ADAM站点替代方案:在每个数据中心设置一个具有CSS的站点负面作用:性能对比管理分支机构数据中心-2CSS站点2管理控制台S2S连接数据中心-1CSS站点1分支机构分支机构WAN连接DMZ后端阵列部门FW阵列CSS管理控制台复制LDAPLDAPLDAPRPC前端阵列LDAPSCorpnetDMZInternet最佳:利用主站点CSS替代方案:DMZ中的单机CSS考虑事项:前端防火墙策略网络负载平衡ISA2004EE增加的价值配置–简化配置群集的管理任务增强与NLB相关的疑难解答能力健康情况监视服务器发布和路由情境（‘动态’BDA）多形式通知模式如果VPN连接拥有者变化停止新的的NLB连接请求NLB群集客户端Internet网络充满传入客户端请求。一台服务器接受客户端请求。响应被发送回客户端客户端向NLB群集发起一个请求。主机3主机1主机2网络负载平衡数据包筛选由NLB过滤的IP协议TCPUDPGREESP/AH(IPSec)ICMP其他协议和以太网类型直接通过疑难解答协助如果NLB和非NLB网络存在某种关系时，发出警报路由网络关系发布规则从来源/目标对象确定网络（可能是非网络）如果非NLB网络和VPN客户端/远程站点网络存在关系，发出警报对硬件丢失发出警报（阵列间NIC）其他错误配置健康情况监视启动/停止NLB==启动/停止群集操作启动-NLB被配置为手动启动ISA明确启动NLB，确保成员只在fwsrv启动后加入群集在检测到问题时，ISA停止NLBFW服务停止RRAS服务停止（在RRAS情境中）NIC禁用/电缆断开ISA驳回外部更改重新应用配置并发布警报驳回手动启动/停止操作演示EnterpriseEditionUI企业管理网络负载平衡ISAServer2004EnterpriseEdition中的VPN隧道指派和路由自动隧道分发和重分发：NLB报告服务器可用性的变化ISA据此进行隧道分发使用其他服务器(S2S)自动重新建立断开的会话不会由于重分发而中止已有的会话在阵列不平衡时，发布配置警报传入流量的重定向：自动将传入流量定向到相关服务器的相关隧道阵列间的路由：ISA增加了根据隧道分发，进行阵列间路由的相关静态路由阵列到阵列的VPNVIP:192.168.0.1VIP:192.167.0.1InternetNLBNLB分支机构总部VIP:20.0.0.1VIP:10.0.0.110.0.0.220.0.0.2XX漫游VPN用户DUN:192.168.1.1VPN:10.0.1.1VIP:192.168.0.1VIP:10.0.0.110.0.0.2NLB组Internet企业网络DUN:192.168.3.3VPN:10.0.3.1AB不使用EENLB的VPN优点更细致的控制NLB可伸缩性现有解决方案缺点需要维护路由不支持DHCP指派的远程客户端没有站点到站点VPN冗余不使用EENLB的VPN（续）手动隧道分发–管理员必须选择拥有这个连接的阵列服务器地址指派DHCP只能用于单服务器阵列。在多服务器情境中，应该使用静态池（配置每台服务器）无容错服务器失败需要手动处理无站点到站点的隧道重分发路由传入流量：必须在阵列前放置一个路由器，将传入流量路由到相关的隧道拥有者这个路由器必须根据每服务器的静态池指派进行配置监视ISAServer监视方法使用ISAServerMOM软件包进行监视ISA提供服务的能力网络/安全性SLAISAServer配置错误将ISAServer内建的监视用于诊断和解决用户的问题调试机器问题调查攻击、误用和错误规划容量、安全性和性能企业管理：ISAServer2004EnterpriseEdition企业策略基于AD/AM的复制和分发策略分发状态的监视统一的服务器-阵列控制台阵列级别监视从所有阵列成员处获取数据在每个监视选项卡中添加服务器栏调整控制台布局所有阵列成员的性能监视用于阵列的日志查看器用于所有阵列流量的统一查看程序透明地筛选阵列流量阵列级别报告SQL日志性能增强从所有阵列成员直接OLEDB记录到SQL分支机构B分发状态（监视）美国–数据中心ISA阵列1EFWADAM1亚洲–数据中心ISA阵列2EFWADAM2分支机构AInternetISA阵列4代理ISA控制台（阵列管理员）主办公室ISA阵列3代理ISA控制台（企业管理员）ADAM3分支机构B分发状态（更改）美国–数据中心ISA阵列1EFWADAM1亚洲–数据中心ISA阵列2EFWADAM2分支机构AInternetISA阵列4代理ISA控制台（阵列管理员）主办公室ISA阵列3代理ISA控制台（企业管理员）ADAM3MOM监视种类200多种事件、性能和警报规则缓存:缓存失败和性能防火墙:防火墙健康状况和性能日志:记录创建和访问失败监视:报告创建和发布失败发布:服务器/Web发布失败，消息屏蔽器问题存储:服务失败和配置存储访问VPN:站点到站点和客户端VPN操作失败Web代理:Web代理配置和操作问题NLB(仅EnterpriseEdition):NLB错误配置或失败每个规则都包含相关的知识库信息，协助疑难解答任务特性收益状态监视显示ISAServer服务的状态和可用性，包括防火墙、VPN、发布和代理功能等。警报管理允许管理员监视ISAServer警报的状态、配置警报，以及查看有关警报属性的详细信息。事件、警报和性能视图提供直观信息，帮助管理员迅速了解ISAServer运作。提供详细的疑难解答信息。TechEd公告分支机构更新TechEd公告ISAServer2004分支机构更新有关分支机构更新BITS缓存–缓存软件更新压缩–在通过WAN之前进行内容压缩服务质量–对流量进行优先级分配收益：减少软件更新对分支机构网络带宽的影响Microsoft更新平台的有机组成通过在WAN传输之前进行内容压缩，加速Web浏览体验通过对流量进行优先级分配，控制带宽利用和改善响应时间资源书籍配置ISAServer2004–TomShinderISAServer2004揭密–MichaelNoelMSPress书籍–即将推出官方ISAServer课件:2824ISAServerMCSE考试–即将推出您的反馈十分重要!问题???©2005MicrosoftCorporation.保留所有权利.本演示文档仅供参考。在本文中，Microsoft没有任何明示或暗示的保证。附录迁移路径从支持ISA2000SE无直接迁移ISA2000EE克隆现场升级ISA2004SE通过导入导出ISA2004EEBeta通过导入导出配置映射对象是否迁移阵列定义是企业策略的定义是企业策略规则否显式策略元素（企业和阵列级别）是暗含在ISA规则中的策略元素否阵列规则否应用程序筛选器设置是侦听器是缓存设置和规则是路由规则是拨号是监视：警告、日志设置、报告设置是ACL否FWC服务器设置是LDT是RRAS是（不包括规则）SP和HF是ISAServer2004体系结构用户模式内核模式防火墙引擎NDISTCP/IP堆栈防火墙服务策略引擎应用程序筛选器APIWeb代理筛选器SMTP筛选器RPC筛选器应用程序筛选器DNS筛选器Web筛选器API(I