首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > ISA 2004 王者归来
现在时间是: 2019-02-19 19:09
ISA 2004 王者归来

(2004-08-24 13:46)
来源:ISA中文站

 

 

全新的多网络架构支持

通常来说,内部网络的概念是指公司内部网络中的所有计算机,外部网络是指公司内部网络以外的所有计算机(通常指Internet)。但是由于使用移动计算机访问公司内部网络的用户的出现,从而使用户实际上成为了独立于网络的部分。分支办公室连接到总部,并希望像公司总部的内部网络组成部分一样使用总部的资源。许多公司使其公司网络中的服务器(尤其是 Web 服务器)可接受公开访问,但希望将这些服务器组织成一个单独的网络(DMZ网络)。ISA Server 2004服务器新增的多网络功能使你可以通过很简单的配置来为这些复杂的网络方案提供保护。多网络支持影响到大部分 ISA Server 2004服务器的防火墙功能。

使用 ISA Server 2004服务器的多网络功能可以限制客户端(甚至你自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。可以通过在 ISA Server 2004服务器中定义各个网络之间的关系,从而确定各个网络中的计算机如何通过 ISA Server 2004服务器相互进行通信。还可以将计算机组织成 ISA Server 2004服务器网络对象(如计算机集和地址范围),并针对各个网络对象配置相应的访问策略。

在常见的服务器发布方案中,您可能要将发布的服务器隔离在其自己的网络(如DMZ网络)中。ISA Server 2004服务器的多网络功能支持这样的方案,让你可以很方便的配置公司网络中的客户端如何访问DMZ网络,以及 Internet 上的客户端如何访问DMZ网络。你也可以配置各个不同网络之间的关系,从而在各个网络之间定义不同的访问策略。ISA Server 2004 服务器中新增了网络模板和网络模板向导的功能,使得你可以很方便的配置你的网络拓扑结构。

图注 多网络的公司网络架构

 

在该图中,ISA Server 2004服务器连接 Internet(外部网络)、公司网络(内部网络)和DMZ网络。ISA Server 2004服务器上有三个网络适配器,每个网络适配器都连接到其中的一个网络。通过使用 ISA Server 2004服务器,你可以在任何网络之间配置不同的访问策略,也可以确定各个网络中的计算机是否可以相互进行通讯,以及如果是,将采用什么方式。网络间是独立的,只有在你配置了允许通讯的规则时才是可访问的。

为了实施多网络方案,ISA Server 2004服务器引入了下列概念:

·网络:从 ISA Server 2004服务器的角度看,网络是可以包含一个或多个 IP 地址范围或域的元素。网络包含一台或多台计算机,并且始终对应于 ISA Server 2004服务器上的特定网络适配器。您可以对一个或多个网络应用规则。

网络对象:创建网络后,可以将其组织成网络对象集(子网、地址范围、计算机集、URL 集或域名集)。规则可以应用于网络或网络对象。

网络规则:可以配置网络规则,以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接关系,以及将使用哪一种连接。可以通过下列方式之一连接网络:网络地址转换 (NAT) 或路由(Route)。

 

 

强的虚拟专用网络(VPN)

ISA Server 2004服务器改进后的VPN管理功能可以帮助您轻松的设置虚拟专用网络 (VPN),并且由于支持产业标准 Internet 协议安全 (IPSec),所以 ISA Server 2004 可以加入到其他供应商提供的已有 VPN 基础结构的环境中,其中包括那些对站点到站点连接采用 IPSec 隧道模式配置的环境。

图注 ISA Server 2004中全面增强了VPN功能

ISA Server 2004中,有两种类型的 VPN 连接:

远程访问 VPN 连接。

客户端建立远程访问 VPN 连接,以连接到专用网络。ISA Server 2004服务器作为VPN接入服务器,远程客户通过连接它来进入内部网络。

站点到站点的 VPN 连接。

两个VPN 服务器之间建立站点到站点的 VPN 连接,将专用网络的两个部分安全地连接起来。

ISA Server 2004服务器作为 VPN 服务器的好处是可以防止公司网络受到恶意 VPN 连接的威胁。通过新增的多网络支持和对 VPN 监控状态的检查,ISA Server 2004能很好的保证VPN的安全。同时 VPN 服务器集成到了防火墙功能中,所以为预配置的 VPN 客户端网络定义的 ISA Server 2004服务器访问策略都适用于 VPN 用户。所有 VPN 客户端都属于 VPN 客户端网络,并且受到防火墙策略的限制。

ISA Server 2004服务器中新增的隔离模式,可以确保在允许客户端加入 VPN 客户端网络(通常具有不受限制的内部网络访问权限)之前,先检查其是否符合公司的软件策略。通过使用隔离控制,可以在真正地允许远程 (VPN) 客户端访问网络之前,将其限定为隔离模式,从而为其提供了阶段性的网络访问权限。在客户端计算机配置被调整或被断定为符合组织的特定隔离限制后,会依照您指定的隔离类型对连接应用标准的 VPN 策略。例如,隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。尽管隔离控制并不防范攻击者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也可以得到更正。还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时间即断开其连接。

可以为每个 VPN 客户端网络创建两个不同的策略:

被隔离的 VPN 客户端网络。将访问限制在某些服务器的范围内,客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。

VPN 客户端网络。可以允许访问所有公司(内部网络)资源,或者根据需要限制访问。VPN 客户端网络将拥有与外部网络的 NAT 关系。系统将配置一个定义 VPN 网络与外部网络之间的 NAT 关系的网络规则。


作者:风间子
责任编辑:风间子

<<上一页 [1] [2] [3] [4] 下一页>>
上一篇:ISA基本概念一:Array Mode 和 Standalone Mode 区别,优缺点
下一篇:ISA Server 2004 FAQ:Clients
相关信息:

ISA Server 2004 VPN技术资料下载
ISA Server 2004 中的HTTP筛选
你应该通过ISA防火墙来允许SSL吗?
How to :使用公共IP地址来访问DMZ中的服务器
Windows Update v.5 认证问题的故障诊断

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..