ISA2004企业版概述.ppt

SEC340 ISA2004企业版概述,议程,简介 企业策略及网络 配置存储服务器 网络负载均衡 VPN 企业版监控 TechEd 发布 (ISA Server 2004 分支机构功能） 小结 附录 (演讲后的活动) 迁移 性能 其他优势,ISA Server 2004 企业版新功能 进一步提升的安全架构,高级保护 应用层安全设计 保护微软应用,深层内容检测,增强的，可客户化的协议过滤器（HTTP及其他） 综合而灵活的企业及下级网络策略制定 稳定的IP协议路由,集成Exchange Server,支持 Outlook RPC over HTTP 增强 Outlook Web Access 安全 易用的配置界面,全兼容 VPN,全兼容防火墙 VPN 过滤 支持端对端（Site-to-site ）IPSec 通道模式 具备VPN负载均衡功能的通路再分配,保护IIS及SPS,IIS及SPS间SSL桥接 易用的网络发布界面 AD, RADIUS, SecurID 认证,ISA Server 2004 EE 新功能 全新管理工具及用户接口,易用 高效经济的网络安全,多网络结构,支持各种网络 防火墙策略可应用于各种通讯数据 企业及下级网络,网络模板及界面,界面使路由设置简化 一般网络拓扑设置更为方便 网络负载均衡级服务器阵列情境下设置简单易行,可视策略编辑器,基于规则的单一可订制防火墙策略 企业及阵列级策略框架 灵活的分级管理授权选项,增强的纠错功能,中心，报告，记录及事件监控功能 覆盖所有阵列的运行管理及日志察看功能 与管理包结合的高级监控功能,ISA Server 2004 EE New Features Continued commitment to integration,快速，安全的接入 经济有效，将你的用户与你网络中的相关信息连接起来,增强的架构,高速数据传播 使用最新的 Windows 及 PC 硬件 高速的应用过滤平台,Web 缓存,各阵列间平衡缓存 安全有效的缓存请求路由（CARP） 网络发布的反向缓存能力,因特网接入控制,借助AD的用户及组策略 为用户实施全企业范围的统一策略 合作伙伴的URL, 病毒, 及内容过滤解决方案,综合的认证体系,支持RADIUS及RSA SecurID认证 更安全的双层面认证选项 Exchange Server的标单认证,ISA Server 2004 Enterprise Edition 企业策略及网络,企业策略,目的: 企业网管有控制权 (“进一步限制”) 本地网管可被授权进行控制 策略制定及分发的灵活性 许可模式 概念: 建立模块 策略模板 策略的强制,阵列策略,特点: 每阵列单一企业策略 阵列策略可以被限制 (规则型) 新: 阵列策略可包括允许规则 阵列有效规则计算: 阵列系统策略 企业策略规则优先于阵列规则 阵列规则 企业策略丛属于阵列策略 拒绝所有策略 (内置),企业网络,适用于所有阵列 用于企业策略及阵列策略 仅包括地址段,阵列,1,阵列,2,企业,网络 X,192,.,1,.,0,.,1,-,192,.,1,.,0,.,31,Internet,企业,网络 Y,10,.,0,.,0,.,1,-,10,.,0,.,0,.,255,NAT,NAT,阵列网络,阵列网络的附加属性 代理设置 网络负载均衡设置 内部网络 (必须定义) 可包括企业网络,阵列,1,阵列,2,企业,网络 X,192,.,1,.,0,.,1,-,192,.,1,.,0,.,31,Internet,内部网,(,映射到,企业,网络 Y,),NAT,NAT,配置存储服务器细节,ISA Server 配置存储,配置存储服务器,基于 ADAM Active Directory 应用程序模式 用于企业中所有阵列的策略的集中存储 使用管理控制台安全地写入 阵列成员从中安全地提取 复制的 多主 非单主副本 可以随地编辑,配置存储服务器,CSS,管理控制台,ISA 2004 Server 阵列,CSS,复制,ISA 2004 Server 阵列,本地配置副本,本地配置副本,ISA 2004 Server 阵列,本地配置副本,通讯模式,CSS,管理控制台,ISA 2004 Server,CSS 复制,LDAP/LDAPS,LDAPS,RPC,复制,RPC,CSS 部署,部署选项 在域中/在工作组中 单机（支持在 DC 上）/与 ISA server 共存 单独的/复制的 一台 CSS 为单个/多个阵列服务 部署考虑事项 链接速度 ISA - CSS: 快速 管理控制台 - CSS: 快速 CSS - CSS （复制）: 中慢速,具有永久链接的分支机构,最佳: 使分支机构阵列连接到主办公室的远程 CSS 替代方案: 在分支机构设置复制 负面作用: 链路断接、容错,分支机构,分支机构 阵列,数据中心,CSS,管理控制台,配置提取,WAN 连接,具有 S2S 连接的分支机构,最佳: 在分支机构设置 CSS 站点/复制 替代方案: 使分支机构阵列连接到远程 CSS 负面作用: 成本对比链路断接及容错,分支机构,分支机构 阵列,CSS,数据中心,CSS,管理控制台,配置提取,S2S VPN,具有站点的数据中心,最佳: 在每个数据中心设置一个 ADAM 站点 替代方案: 在每个数据中心设置一个具有 CSS 的站点 负面作用: 性能对比管理,分支机构,数据中心 -2,CSS 站点 2,管理控制台,S2S 连接,数据中心 -1,CSS 站点 1,分支机构,分支机构,WAN 连接,DMZ,后端阵列,部门 FW 阵列,CSS,管理控制台,复制,LDAP,LDAP,LDAP,RPC,前端阵列,LDAPS,Corpnet,DMZ,Internet,最佳: 利用主站点 CSS 替代方案: DMZ 中的单机 CSS 考虑事项: 前端防火墙策略,网络负载平衡,ISA 2004 EE 增加的价值,配置 简化配置群集的管理任务 增强与 NLB 相关的疑难解答能力 健康情况监视 服务器发布和路由情境（动态 BDA） 多形式通知模式 如果 VPN 连接拥有者变化 停止新的的 NLB 连接请求,NLB 群集,客户端,Internet,网络充满传入客户端请求。,一台服务器接受客户端请求。,响应被发送回客户端,客户端向 NLB 群集发起一个请求。,主机 3,主机 1,主机 2,网络负载平衡,数据包筛选,由 NLB 过滤的 IP 协议 TCP UDP GRE ESP/AH (IPSec) ICMP 其他协议和以太网类型直接通过,疑难解答协助,如果 NLB 和非 NLB 网络存在某种关系时，发出警报 路由网络关系 发布规则 从来源/目标对象确定网络（可能是非网络） 如果非 NLB 网络和 VPN 客户端/远程站点网络存在关系，发出警报 对硬件丢失发出警报（阵列间 NIC） 其他错误配置,健康情况监视,启动/停止 NLB = 启动/停止群集操作 启动 - NLB 被配置为手动启动 ISA 明确启动 NLB，确保成员只在 fwsrv 启动后加入群集 在检测到问题时，ISA 停止 NLB FW 服务停止 RRAS 服务停止（在 RRAS 情境中） NIC 禁用/电缆断开 ISA 驳回外部更改 重新应用配置并发布警报 驳回手动启动/停止操作,演示,Enterprise Edition UI 企业管理 网络负载平衡,ISA Server 2004 Enterprise Edition 中的 VPN,隧道指派和路由,自动隧道分发和重分发： NLB 报告服务器可用性的变化 ISA 据此进行隧道分发 使用其他服务器 (S2S) 自动重新建立断开的会话 不会由于重分发而中止已有的会话 在阵列不平衡时，发布配置警报 传入流量的重定向： 自动将传入流量定向到相关服务器的相关隧道 阵列间的路由： ISA 增加了根据隧道分发，进行阵列间路由的相关静态路由,阵列到阵列的 VPN,VIP: ,VIP: ,Internet,NLB,NLB,分支机构,总部,VIP: ,VIP: ,,,X,X,漫游 VPN 用户,DUN: ,VPN: ,VIP: ,VIP: ,,NLB 组,企业网络,DUN: ,VPN: ,A,B,不使用 EE NLB 的 VPN,优点 更细致的控制 NLB 可伸缩性 现有解决方案 缺点 需要维护路由 不支持 DHCP 指派的远程客户端 没有站点到站点 VPN 冗余,不使用 EE NLB 的 VPN（续）,手动隧道分发 管理员必须选择拥有这个连接的阵列服务器 地址指派 DHCP 只能用于单服务器阵列。 在多服务器情境中，应该使用静态池（配置每台服务器） 无容错 服务器失败需要手动处理 无站点到站点的隧道重分发 路由传入流量： 必须在阵列前放置一个路由器，将传入流量路由到相关的隧道拥有者 这个路由器必须根据每服务器的静态池指派进行配置,监视,ISA Server 监视方法,使用 ISA Server MOM 软件包进行监视 ISA 提供服务的能力 网络/安全性 SLA ISA Server 配置错误 将 ISA Server 内建的监视用于 诊断和解决用户的问题 调试机器问题 调查攻击、误用和错误 规划容量、安全性和性能,企业管理：ISA Server 2004 Enterprise Edition,企业策略 基于 AD/AM 的复制和分发 策略分发状态的监视 统一的服务器-阵列控制台 阵列级别监视 从所有阵列成员处获取数据 在每个监视选项卡中添加服务器栏 调整控制台布局 所有阵列成员的性能监视 用于阵列的日志查看器 用于所有阵列流量的统一查看程序 透明地筛选阵列流量 阵列级别报告 SQL 日志性能增强 从所有阵列成员直接 OLEDB 记录到 SQL,分支机构 B,分发状态（监视）,美国 数据中心,ISA 阵列1 EFW,ADAM1,亚洲 数据中心,ISA 阵列2 EFW,ADAM2,分支机构 A,Internet,ISA 阵列4 代理,ISA 控制台 （阵列管理员）,主办公室,ISA 阵列3 代理,ISA 控制台 （企业管理员）,ADAM3,分支机构 B,分发状态（更改）,美国 数据中心,ISA 阵列1 EFW,ADAM1,亚洲 数据中心,ISA 阵列2 EFW,ADAM2,分支机构 A,Internet,ISA 阵列4 代理,ISA 控制台 （阵列管理员）,主办公室,ISA 阵列3 代理,ISA 控制台 （企业管理员）,ADAM3,MOM 监视种类,200 多种事件、性能和警报规则 缓存: 缓存失败和性能 防火墙: 防火墙健康状况和性能 日志: 记录创建和访问失败 监视: 报告创建和发布失败 发布: 服务器/Web 发布失败，消息屏蔽器问题 存储: 服务失败和配置存储访问 VPN: 站点到站点和客户端 VPN 操作失败 Web 代理: Web 代理配置和操作问题 NLB (仅 Enterprise Edition): NLB 错误配置或失败 每个规则都包含相关的知识库信息，协助疑难解答任务,TechEd 公告,分支机构更新,TechEd 公告 ISA Server 2004 分支机构更新,有关分支机构更新 BITS 缓存 缓存软件更新 压缩 在通过 WAN 之前进行内容压缩 服务质量 对流量进行优先级分配 收益： 减少软件更新对分支机构网络带宽的影响 Microsoft 更新平台的有机组成 通过在 WAN 传输之前进行内容压缩，加速 Web 浏览体验 通过对流量进行优先级分配，控制带宽利用和改善响应时间,资源, 书籍 配置 ISA Server 2004 Tom Shinder ISA Server 2004 揭密 Michael Noel MS Press 书籍 即将推出 官方 ISA Server 课件: 2824 ISA Server MCSE 考试 即将推出,您的反馈十分 重要!,问题?, 2005 Microsoft Corporation. 保留所有权利. 本演示文档仅供参考。在本文中，Microsoft 没有任何明示或暗示的保证。,附录,迁移路径,配置映射,ISA Server 2004 体系结构,用户 模式,内核 模式,防火墙引擎,NDIS,TCP/IP 堆栈,防火墙服务,策略 引擎,应用程序筛选器 API,Web 代理筛选器,SMTP 筛选器,RPC 筛选器,应用程序 筛选器,DNS 筛选器,Web 筛选器 API (IASPI),Web 筛选器,Web 筛选器,策略 存储,Network Computing Magazine 应用程序层防火墙评述 (3/03)： 完全检查性能 Mbps,Symantec