议程课程目标•概览ISAserver2006的应用与特点•熟悉企业级网络防火墙的相关技术•了解ISAserver2006的学习线路。课程安排防火墙概念、定义、功能。ISAserver2006简介ISAserver2006主要功能1防火墙(firewall)2虚拟专用网(VPN)3网页缓存(Webcache)防火墙种类设置•1边缘防火墙(EdgeFirewall)•23向外围防火墙(3-LegPerimeterFirewall)•3背对背外围防火墙(Back-to-BackPerimeterFirewall)•4单一网络适配器(网卡)边缘防火墙边缘防火墙•边缘防火墙有两个网络接口(网卡),一个对外(因特网),一个对内(内部局域网),防火墙介于内部网与外部网之间,这种架构能保护内部网络的安全,避免外来入侵者访问内部网络资源,也可以让内部用户访问外部资源,最容易架设的防火墙向外围防火墙(LegPerimeterFirewall)2向外围防火墙(LegPerimeterFirewall)•有三个网络接口(网卡),第一个连接内部网络,第二个连接外部网络,第三个连接边界网络(Perimeternetwork),边界防火墙又称DMZ(DemilitarizedZone,非军事区)或屏障子网络,一般我们习惯用DMZ这个名称.可开放内部用户访问外部资源,但内部网络资源受防火墙的保护,不让外部用户访问.可以将要开放给外部用户访问的资源放到DMZ区域内.例如Web服务器,电子邮件服务器….背对背外围防火墙(Back-to-BackPerimeterFirewall)背对背外围防火墙(Back-to-BackPerimeterFirewall)•背对背外围防火墙,其中前端防火墙(front-endfirewall)连接因特网与DMZ,而后端防火墙(back-endfirewall)连接DMZ与内部网络,我们可以将要开放给外部用户访问的资源放到DMZ区域(例如:Web服务器),经过前端防火墙做适当过滤、保护,而内部网络不但会受前端防火墙保护,更受到第二层防火墙保护,因此更加安全,当然我们可能需要在前端和后端防火墙都开放内部用户可访问外资源,这是最安全的架构。单一网络适配器(网卡)单一网络适配器(网卡)•计算机只有一张网卡也可以安装ISA防火墙,不过它只具备网页缓存、网站发布、OWA(Outlookwebaccess)服务器发布等功能,无法被设置为EdgeFirewall等.•一般是公司内部已经有一台EdgeFirewall的情况下,才会使用这种架构ISAserver与VPN的集成很多企业利用因特网将位于各地的局域网串联起来.但是它们必须确保网络之间所传送数据的安全性,而虚拟专用网(VirtualPrivateNetwork,VPN)就是提供此功能的技术,它让局域网之间可以通过因特网来建立一个安全通道..由于VPN已经集成到ISAserver内,因此我们不需要再利用Windwossever2003的路由及远程访问服务来设置VPN服务器,而是直接通过ISAserver来设置.远程访问VPN连接(RemoteaccessVPNconnection)端对端VPN连接(site-to-siteVPNconnection)ISAsever的多重网络支持(multi-networking)ISAsever已经内建的网络1.内部网络(internalnetwork)一般来说,它就是指内部的局域网2.外部网络(Externalnetwork)除了已经定义的网络(例如内部网络、边界网络、VPN客户端等)之外,其他所有的网络都隶属于外部网络3.边界网络(Perimeternetwork)也就是DMZ、屏障子网络(screenedsubnet)4.VPN客户端(VPN-Clients)VPN客户端连接到ISAserver(VPN服务器)后,它们会被归纳到这个被称为VPN客户端网络5.隔离的VPN客户端(QuarantiedVPNClients)缓存动作方式ISAserver缓存的种类1.正向缓存(Forwardcaching)2.反向缓存(Reversecaching)3.链式缓存(Chainedcaching)4.分布式缓存(Distributedcaching)正向缓存(Forwardcaching)反向缓存(Reversecaching)链式缓存(Chainedcaching)分布式缓存(Distributedcaching)