ISAServer是微軟在企業網絡邊界防護上的代表產品。從ISAServer2000到現在被廣泛應用的ISAServer2004和ISAServer2006以及即將推出的ISAServer2008，都標志著ISAServer在企業邊界安全防護上的技術積累和不斷成熟。 本文將通過詳細介紹如何部署一個企業級的基于微軟發布的ISAServer2006Hands-OnLabs的多虛擬機實驗環境，并通過該實驗環境詳細描述企業×××的配置過程，希望能夠給想要應用微軟ISAServer的安全架構師和安全實施人員在產品選擇、實驗環境搭建以及實際應用上以詳細的指導。

　　一、ISAServer產品概述

微軟已形成了較為完善的ISAServer產品家族以及相應的技術支持，而且以非常開放的姿態提供了ISAServer2004和ISAServer2006的評估版本軟件的下載，并在微軟官方技術支持網站TechNet上提供了從ISAServer起步、計劃和架構、開發、部署、運營、安全和防護以及技術參考七大方面的技術支持。通過詳盡的技術文檔和與評估版產品配套的操作手冊，給希望了解和應用ISAServer以進行企業網絡邊界安全防護的技術人員以可操作的指導。 本文將簡單介紹ISAServer產品家族中的ISAServer2004和ISAServer2006在企業網絡邊界防護上的主要功能，企業安全架構師和安全實施人員可以根據企業在網絡邊界防護上的具體需求和產品的功能進行有針對性的選擇： 　1、ISAServer2004 ISAServer2004是一款集高級應用層防火墻、虛擬專用網絡（×××）和網絡緩存于一體的解決方案，它能夠通過提高網絡安全和性能來最大化IT投資收益，ISAServer2004具有以下功能或改進： 1）、高級防護 a、應用層過濾 增強的對HTTP協議和FTP協議以及FPC（RemoteProcessCall）連接的過濾與控制； b、安全性和防火墻 在此功能上ISAServer2004提供了擴展的協議支持、增強的用戶認證、增強的對用戶和用戶組的支持、增強的FTP支持、增強的網絡發布等功能。 2）、簡單使用 a、多網絡環境 提供了多網絡環境配置、制定網絡策略、路由和NAT網絡關系以及網絡模板、網絡負載平衡（僅針對企業版）等新功能； b、監控和報告 提供了實時日志監控、構建的日志查詢、實時監控和防火墻會話過濾、連接重定向、報告發布、郵件提醒、定制日志時間以及寫入日志到MSDE數據庫等新功能，增強了定制報告和SQLServer日志功能； c、安全管理 提供了導入導出、定制授權向導、集中存儲防火墻策略（只針對企業版）、自動化陣列配置（只針對企業版）等新功能，以及增強的管理、集中式日志、針對MicrosoftOperationsManager的管理包。 3）、快速安全連接 a、對基于微軟服務器的快速安全的遠程訪問 提供了基于表單授權的防火墻表單生成、使用SSL到終端服務的遠程連接兩大新功能； b、虛擬專用網絡（×××） 提供了全狀態的×××過濾和視察、安全的NAT到ISAServer2004×××連接支持、全狀態的基于站到站×××通道交流過濾和監控、×××治理、×××服務器發布、IPSec模式下的站到站×××鏈接支持等新功能，以及增強的×××管理。 c、Web緩存和Web代理 提供了對網絡代理客戶端授權的RADIUS支持、基本授權策略、Web發布規則中的源IP保存、實現CARP的Web緩存陣列（只針對企業版）等新功能，以及增強的緩存規則、Web發布規則路徑匹配功能。 　　2、ISAServer2006 與ISAServer2004類似，ISAServer2006也提供了企業版和標準版兩個版本，在ISAServer2004提供的功能的基礎上，ISAServer2006提供了以下新增或增強的功能： 1）、對內部基于微軟服務器的安全遠程訪問 提供了SharePoint服務器發布向導和對Exchange2007集成的支持兩大新功能，以及增強的OutlookWeb訪問發布向導； 2）、虛擬專用網絡（×××） 提供了分支辦公室×××連接向導新功能； 3）、安全管理 增強的簡單使用向導、認證管理、基于硬件的ISAServer連接、企業范圍內的策略拷貝等功能； 4）、高級防火墻防護 提供了峰值彈性、***救助等新功能，以及增強的防火墻規則向導； 5）、授權認證 提供了單點登錄功能（SSO）、LDAP授權支持等新功能，以及增強的授權認證、基于表單的授權認證、會話管理等功能； 6）、服務器發布 提供了跨陣列鏈接傳輸新功能和增強的鏈接傳輸功能； 7）、性能 提供了BITS緩存、Web發布負載平衡、HTTP壓縮、Diffserv（QoS）等新功能

　　二、ISAServer2006Hands-OnLabs部署

在一個應用軟件（尤其是安全相關應用軟件）引入到企業整體IT架構之前，安全架構師和安全實施人員必須要充分考慮所有可能潛在的風險以及應對方案，并在實際部署之前進行嚴格的測試和實驗，并對相關的操作人員進行全面的技術培訓，以期把潛在的威脅和風險降到最低。 直接把軟件部署到生產環境無疑要面對很大的風險，而且本文讀者的操作系統環境可能存在著較大的差異，而ISAServer與其對應的組件只能安裝在Server版的操作系統上，因此本文采用虛擬機作為實驗環境的搭建方式。 　1、ISAServer2006Hands-OnLabs簡介 微軟提供了一整套的包括ISAServer2006企業版和標準版以及Exchange、SharePoint的虛擬機在內的虛擬機套件，用以簡單搭建企業級的ISAServer實驗環境。 1）、包含軟件具體版本 在ISAServer2006Hands-On實驗環境中，包含以下具體版本的軟件：
a、ISAServer2006StandardEdition(RTM)
b、ISAServer2006EnterpriseEdition(RTM)
c、SharePointServices2.0
d、ExchangeServer2003SP2
e、Outlook2003 2）、提供的實驗環境 按照測試環境進行劃分，該套件包括以下三個測試環境：
a、出界訪問和分支辦公室測試環境（OutboundAccessandBranchOffice）；
b、發布和×××連接測試環境（Publishingand×××connections）；
c、企業版測試環境三個實驗環境（EnterpriseEditionFeatures）。 3）、包含的具體模塊 按照模塊進行劃分，該實驗環境包括以下九個模塊：
模塊A：ISAServer簡介；
模塊B：配置出界Internet訪問；
模塊C：發布Web服務器和其它服務器；
模塊D：發布Exchange服務器；
模塊E：啟用×××連接；
模塊F：采用ISAServer2006作為分支辦公室網管；
模塊G：ISAServer的企業級管理；
模塊H：配置負載平衡；
模塊I：使用監控、警報和日志。 本文采用的是發布和×××連接測試環境，將介紹虛擬×××相關的配置，需要運行的三個虛擬機的命名分別為：Denver、Paris和Istanbul，如圖一所示實驗環境網絡拓撲圖。 該圖中的主要組件與虛擬機套件中虛擬機的關系為：
Denver：
Exchange Server 2003 SP2；
Publishing Exchange 2007 OWA；
Web Server：
SharePoint Portal site；
兩個模擬Web Farm的Web Servers。
Terminal Server：
運行終端服務。 Paris：
ISA Server 2006 Standard Edition。
Istanbul： Outlook 2003；
×××客戶端。
以下是實現該虛擬實驗環境的具體過程： 2、下載文件 在啟動虛擬機之前，必須下載安裝了虛擬機應用軟件：Virtual PC，筆者采用的版本為：Virtual PC 2007，讀者可以通過以下鏈接獲得：下載鏈接。 所有的虛擬機及相關的安裝腳本，可以通過以下下載鏈接獲得：下載鏈接。筆者建議讀者下載套件中的全部五個文件： Install-ISA2006-Lab.vbe；
ISA 2006 Lab Manual.doc；
ISA2006-lab-VMs.1.exe；
ISA2006-lab-VMs.2.rar；
Readme-ISA2006-Lab.txt。 3、安裝虛擬機 下載完所有的文件以后，安裝過程非常簡單，運行腳本：Install-ISA2006-Lab.vbe，在所有的彈出窗口中點OK，它將完成以下操作： 1）、解壓所有的虛擬機到安裝目錄（默認為C:\ISA2006lab）；
2）、注冊虛擬機到Virtual PC（或者Virtual Server）；
3）、對于Virtual PC，配置附加的選項到options.xml；
4）、在桌面上創建鏈接到安裝目錄的快捷方式；
5）、在Host機上把ISA Server圖片設置為墻紙（可選項）。 在桌面上雙擊鏈接到安裝目錄的快捷方式，即可以看到所有的虛擬機文件和運行腳本，本實驗中，我們只需要運行Start All SE-3x.vbs即可，該腳本將逐次啟動所有和Standard Edition相關的虛擬機。 通過以上簡單的介紹和操作，即可體驗ISA Server 2006的強大功能了。 同時運行多個虛擬機對系統硬件的要求比較高，筆者建議在進行實驗時，選擇配置和性能較高的硬件設備，以達到最佳的效果。

　　三、ISA Server 虛擬×××配置

×××對于擁有分支辦公室和大量在外辦公人員的企業而言是必不可少的，而×××客戶端到服務器端的安全連接則成為重中之重，要實現保護企業資源不受外界侵害，同時保證在外的工作人員能夠使用內部資源，靈活配置×××具有更為現實的意義。本文將以×××的配置和維護為切入點，在讀者完成實驗環境的搭建以后，帶領讀者體驗ISA Server 2006的×××概念和分支辦公室×××連接的強大支持。如圖2所示，ISA Server 2006 ×××面板包含的內容： 　1、ISA Server 2006中的×××概念 ISA Server 2006主要支持以下兩種×××連接： 1）、遠程訪問×××連接（主要為來自×××客戶端的連接）； 2）、站到站的×××連接（主要為分支機構網絡和總部之間的連接）。
所有的到ISA Server陣列的×××連接將會寫入到防火墻日志當中，因此用戶可以監控×××的連接。 2、遠程訪問×××連接 遠程客戶端可以通過創建一個到×××服務器的連接來連接到一個專用網絡。ISA Server提供了到整個×××服務器所在網絡的連接訪問支持。通過在圖2中，對應有××× Clients和Remote Sites兩個選項，在××× Clients選項下，有以下五個功能性選項： 1）、配置地址分配方法和啟用×××客戶端訪問；
　　2）、指定Windows用戶或選擇一個RADIUS服務器；
　　3）、確認×××屬性和遠程訪問配置；
　　4）、瀏覽×××針對客戶端網絡的防火墻策略；
　　5）、瀏覽網絡規則。 下面將詳細介紹每個功能性選項的詳細配置方法： 1）、配置地址分配方法和啟用×××客戶端訪問 必須在完成地址分配方法的配置以后，才可以啟用×××客戶端訪問支持。點開配置地址分配方法，在彈出的窗口中將會有以下四個選項： a、訪問網絡：選擇可以訪問的網絡；
　　b、地址分配：指定可訪問的IP地址范圍；
　　c、授權認證：指定授權認證方法；
　　d、RADIUS：選擇是否采用RADIUS作為授權認證和日志的方法。 在實驗環境中，讀者可以根據啟動的三個虛擬機的IP地址和網絡配置，指定相應的范圍，或者用戶也可以根據實際的網絡環境，首先配置虛擬機的網絡設置以模擬真實的網絡環境，然后再根據實際的需求進行設定。 完成地址分配方法的配置以后，點開×××客戶端訪問，在彈出的窗口中將有以下四個選項： 一般：選擇是否啟用×××客戶端訪問以及最大連接數；
組：指定可以使用的連接組；
協議：指定連接可以使用的協議；
用戶匹配：選擇是否啟用用戶匹配功能。 2）、指定Windows用戶或選擇一個RADIUS服務器 與啟用×××客戶端功能項類似，也有四個相同的選項，選擇一個RADIUS服務器選項則是地址分配方法的子選項，讀者可以保留最初的選擇。 3）、確認×××屬性和遠程訪問配置 該選項是對步驟1）（配置地址分配方法和啟用×××客戶端訪問）中配置的內容進行復審和確認，所有可選的內容都一樣。 4）、瀏覽×××針對客戶端網絡的防火墻策略 點開此功能項，顯示的默認的或當前應用中的屬性，雙擊，在彈出的窗口中有以下多個選項： 一般：規則名稱和描述；
動作：當滿足條件的情況出現時采取的動作；
協議：要監聽的所有的協議；
訪問源：指定要監控的來源網絡（默認為所有網絡）；
訪問目的地：指定要監控的訪問目的地網絡（默認為所有網絡）；
用戶：指定監控的用戶（默認為全部用戶）；
日程表：制定監控日程表；
內容類型：指定要監控的內容類型。 5）、瀏覽網絡規則 點開此功能項，在瀏覽網絡規則中，有按順序排列的五個網絡規則，如圖3所示： 雙擊到內部網絡的×××客戶端（××× Clients to Internal Network），則出現圖3中最下端的小窗口，有以下四個選項： 一般：規則的名稱和描述；
源網絡：指定源網絡；
目標網絡：指定目標網絡；
網絡關系：選擇網絡之間的關系（網絡地址解析NAT或路由Route）。 以上是在×××客戶端遠程連接的情況下，ISA Server所需要進行的配置項，可能由于實驗環境部分功能項受限而無法修改，讀者可以在允許的范圍內體驗其功能。 3、站到站的×××連接 ISA Server 2006提供了強大的站到站的×××連接，以實現對分支辦公室×××連接的支持，在配置站到站的×××連接過程中，涉及到的選擇項目很多，本文將簡單介紹創建一個站到站的×××連接的過程，介紹一些必備的選項。 更多更具技巧性的配置請讀者在具體的實驗中來發掘。以下是創建站到站×××連接的詳細過程： 1）、點開“遠程站點”選項，選中“創建×××站到站連接（create ××× Site-to-Site Connection）”； 2）、在彈出的窗口中鍵入站到站網絡名稱，點“下一步”； 3、在新窗口中選擇要使用的×××協議，有IPSec、L2TP（Layer Two Tunneling Protocol）和PPTP（Point-to-Point Tunneling Protocol）三個選項，選中ITSec，點“下一步”； 4）、配置連接設置：指定遠程×××網關IP地址和本地×××網關IP地址，配置完畢后，點“下一步”； 5）、IPSec授權認證：指定IP安全協議的授權認證方法，如果沒有指定的認證授權（Certificate Authority, CA），在可在預分享的Key一欄隨便輸入一個名字（如：test），點“下一步”； 6）、網絡地址：指定遠程站點的IP地址范圍，可以做添加、修改、刪除三個操作，如果沒有修改，直接點“下一步”；如果只填寫了遠程站點網關的IP地址而沒有機器IP的話，在進入“下一步”之前會有警告提示，筆者建議添加一臺制定的機器的IP（如實驗環境中名為Denver的虛擬機的IP）； 7）、站到站網絡規則：可以選擇是否立即創建或稍后創建站到站的網絡規則，選擇“創建一個指定路由關系的網絡規則”，然后點“添加”，進入網絡實體的選擇界面，在彈出的窗口中選中想要添加的網絡實體，雙擊或者點“添加”都會在“站到站網絡規則”窗口中顯示出添加后的網絡實體的名稱，添加完畢點“下一步”則進入8的操作。選擇“稍后創建站到站網絡規則”，并點擊“下一步”則進入8的操作， 8）、站到站網絡訪問規則：可以選擇是否立即創建或稍后創建站到站的網絡訪問規則，選擇“創建一個訪問規則”，然后點“添加”，進入網絡協議選擇界面，在彈出的窗口中選擇要添加的網絡協議，雙擊或者點“添加”都會在“站到站網絡訪問規則”窗口中顯示出添加后的網絡協議的名稱，添加完畢點“下一步”則進入9的操作；選擇“稍后創建站到站的網絡訪問規則”，然后點擊“下一步”則進入9的操作； 9）、完成站到站×××連接向導：點“完成”退出配置； 10）、在“遠程站點”中點“應用”，保存創建的站到站×××連接的相關配置。 在完成創建以后，可以通過雙擊打開該項規則，然后瀏覽或修改相應的屬性。

轉載于:https://blog.51cto.com/stoneking/86770

總結

以上是生活随笔為你收集整理的ISA Server实验环境搭建与企业×××配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。