配置 ISA Server 2000 构建 Windows 2000 防火墙
[绝版]
点击看大图基本信息
- 作者: (美)Thomas W.Shinder Debra Littlejohn Shinder
- 译者: 智慧东方工作室
- 丛书名: 网络与信息安全技术丛书
- 出版社:机械工业出版社
- ISBN:7111096398
- 上架时间:2002-3-25
- 出版日期:2002 年3月
- 页码:592
- 版次:1-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
合作专区 > 微软技术图书 > 微软操作系统 > Windows
内容简介回到顶部↑
ISA Server是微软公司最新发布的防火墙产品。本书的主要目标是正确布置和配置ISA,并满足网络安全和网络性能方面的要求。主要内容包括:ISA Server概述、ISA Server的企业运行、安全概念和安全策略、ISA Server配置计划及设计、ISA Server的安装、ISA Server的管理等。
本书内容丰富、图文并茂,实用性强。可以使读者迅速掌握ISA Server的使用。
本书内容丰富、图文并茂,实用性强。可以使读者迅速掌握ISA Server的使用。
目录回到顶部↑
第1章 microsoft isa server入门
1.1 什么是isa server
1.1.1 "安全和加速"的来历
1.1.2 isa的历史:microsoftproxy server
1.1.3 isa server选项
1.1.4 microsoft.net企业服务器家族
1.1.5 isa server在网络环境中扮演的角色
1.1.6 isa server结构综述
1.2 isa server特性一览
1.2.1 防火墙安全特性
1.2.2 web缓存特性
1.2.3 internet连接共享特性
1.2.4 统一管理特性
1.2.5 可扩展平台特性
1.3 本书面向的读者和涵盖的内容
1.4 小结
1.5 要点
1.6 常见问题解答
第2章 企业中运行的isa server
2.1 概述
1.1 什么是isa server
1.1.1 "安全和加速"的来历
1.1.2 isa的历史:microsoftproxy server
1.1.3 isa server选项
1.1.4 microsoft.net企业服务器家族
1.1.5 isa server在网络环境中扮演的角色
1.1.6 isa server结构综述
1.2 isa server特性一览
1.2.1 防火墙安全特性
1.2.2 web缓存特性
1.2.3 internet连接共享特性
1.2.4 统一管理特性
1.2.5 可扩展平台特性
1.3 本书面向的读者和涵盖的内容
1.4 小结
1.5 要点
1.6 常见问题解答
第2章 企业中运行的isa server
2.1 概述
序言回到顶部↑
安全问题是每个单位都不敢掉以轻心的。假如一个单位必须以某种形式在Internet上“存在”,或者要以某种形式接入Internet,那么必须对自己进行保护,免受恶意和敌意的入侵与攻击的伤害。
伴随着Internet的成长,黑客和黑客工具无论在数量还是质量上都在逐渐发展壮大。那些每天都在上网的单位和家庭用户可以作证,每天都有许多人试图扫描他们的端口或者攻入他们的系统。随着一些廉价高速上网方式的问世,比如ADSL、CableModem等等,越来越多的人能够“永远在线”,但这同时也增大了遭受攻击的机会。
高速上网也使大量黑客手段变得更易实行。越来越多,“傻瓜型”黑客工具的问世,使Internet的安全形势变得更加严峻。只要工具在手,即使没有一丁点儿黑客知识,也能轻松地弄垮一台又一台缺乏保护的机器。
为解决这个问题,市面上的防火墙产品也呈爆炸性增长趋势。5—10年前,只有极少数公司在做防火墙产品,而且大多数产品都十分昂贵,有的得花上万美元才能买到。时至今日,防火墙已成为十分“平民化”的一种产品,各大公司纷纷降价促销。面向几乎每一类上网用户,都有对应的大量防火墙产品可供选择。从普通的家庭用户,一直到大公司、大企业等等,各种层次的用户都有自己“买得起”的产品。
Internet Secutityand Acceleration Server(简称ISA Server)是微软最新发布的防火墙产品。初次亮相就效果不凡:在2000年底首发的30天内,便通过了ICSA实验室的防火墙产品认证。如果你熟悉ISA Server的前身———Proxy Serverl.0和2.o,使会发现ISA Server比这些产品又有了明显进步!
ISA Server是在Proxy Server的基础上构建起来的,它吸收了Proxy Server的大量优点,并具备其大多数功能,是一种易于扩展的、面向企业级应用的产品,它必然会获得众多公司与企事业单位的广泛接纳。一方面,ISA Server的安装确实非常容易;但另一方面,它也是一个非常复杂和高级的产品,要求具备一定的知识和技能才能更好地安装和使用。另外,它还是一种会在你的网络基本结构中扮演关键角色的产品。ISA Server并不是那种在网络中装好后便可以不再管它的产品,也不是那种极易使用、极易实现的一种产品。总而言之,它并非简单地装好并连接好,便能提供我们所需要的一切——真正的ISA Server不会让人如此省心!
本书的一项主要目标便是提供真正实用的信息,帮助正确布署和配置ISA,并同时兼顾在网络安全和网络性能方面的要求。
1996年11月,微软首次发布了Proxy Serverl.0。就在那一年的秋天,我已经对这个产品非常熟悉了。因为当年我参加了该产品的首次T-Preps(培训人员预备课程),考察我是否有资格为其教授正式的微软课程。在这个产品的课堂上,我和其他学员都非常兴奋。在这个产品的身上,我们发现了对一个防火墙产品期待已久的特性,包括回路层和应用层安全等等,同时也亲自体验了内容缓存带来的令人注目的优势。
在那个时候,Winsock Proxy客户机看起来似乎是一种革命。针对除Web页之外的其他Internet资源提供“透明”访问时,它工作起来尤其出色。而且只需掌握少量技巧,便能把Proxy Serverl.0配置成一个IPX→IP网关,所以看起来似乎还是提供高级安全特性的一种出色方案。
不过,这个产品要想真正成为一种网络安全方案,还需要走很长的一段路!尽管Proxy Server1.0确实提供了回路和应用层的安全,但却不支持包过滤和安全警报,也不能提供详尽的日志记录。因此,根本不能把它看作一种防火墙产品,即使它在网络的边界确实提供了某种程度的保护也如此。
对企业用户来说,Proxy Serverl.0最大的优点在于支持内容缓存,并能控制对网站的访问。通过内容缓存,ProxyServerl.0可有效地节省上网带宽:加快访问Web的速度。
1996年,要想以比较“爽”,的速度上网,腰包不鼓是基本上不可能的。因此,内容缓存成为颇具吸引力的一种金术,许多单位都愿意用它采缓解上网带宽不足的问题。但在这个领域,即便是Proxy Serverl.0这样的微软公司的“大作”,在一些大公司那儿也没有被十分地“看好”。原因很简单,它的缓存系统不能在多个代理服务器中分布,而且在伸缩(扩展)性能上也不是特别理想。
面对Proxy Serverl.0的种种不足,微软很快做出了反应,并在1997年发布了Proxy Server的2.0版本。Proxy Server 2.0引入了早期产品缺乏的一些特性。最起码,新产品支持动态包过滤技术。这是一种十分强大的网络保护机制——只有在真正需要通信的时候,它才会自动打开端口,建立与Internet的通信连接。换言之,管理员没有必要亲自打开静态包过滤器来允许访问。
Proxy Server 2.0还提供了多种实时警报,可在发现网络入侵企图时及时地通知管理员。对SOCKS的支持也是新加进来的,它主要面向那些非微软的客户机(比如UNIX工作站)。对这部分客户机来说,即使没有安装Winsock代理,也并不一定只能使用与CERN兼容的Web浏览器来访问因特网。Proxy Server 2.0还支持内部Web服务器的动态发布,而且也能进行服务器代理。通过这种功能,Internet上的用户便可访问内部网络中运行的大多数服务。
和以前的版本相同,Proxy Server 2.0也支持内容缓存。不过在新版本中,微软对这一功能做出了多处明显的改进。现在的内容缓存可扩展到在多台服务器之间进行,要么采用分布式缓存机制(distributed caching),要么采用分级式缓存机制(hierarchical caching)。通过分布式缓存,管理员可将缓存分布到由多台服务器组成的一个阵列中,而且在每台缓存服务器之间,不会出现任何内容重复的现象。缓存阵列不仅具有容错能力,而且还具有负载平衡的特征。
通过分级式缓存,管理员可将代理服务器连接到一条内容缓存链中。对那些设立了分支机构的大型公司来说,分级式缓存是最理想的。假如分公司的Proxy Server没能在自己的缓存中找到需要的内容,那么内容请求稍后就可路由至总部运行的P凹xy Server,看看那里有没有自己需要的内容。另一处明显的改进便是增加了主动缓存机制,它使Proxy Server在服务器相对处于空闲的时候对缓存中经常访问的对象进行更新。这样可进一步改进缓存的性能与质量。然而,尽管做出了这些改进,Proxy Server2.0仍然不算是最完美的,依然遭到了许多批评。至少有一点需要提醒大家注意,在某些情况下,Proxy Server 2.0真正运行起来非常困难;而且还
可能有一点儿不可靠。举个例子来说,要想让自己的内部Exchange服务器接收来自Internet的邮件,那么必须在Exchange服务器上安装Winsock Proxy,然后配置一个WSPCFG.INI文件,在Proxy Server的外部接口上为SMTP通信绑定一个正确的监听接口。
经过一系列复杂的操作,Proxy Server终于能代表内部的Exchange服务器对SMTP请求进行监视。但事情还没完,你还必须在Exchange,和Proxy服务器之间一直保持一个有效的控制通道。假如这个通道由于某种原因而失去了,便无法接收任何SMTP邮件。而在丢失了控制通道之后,为了重新获得SMTP能力,惟一的办法便是重新初始化服务,或者重新启动计算机。尽管像这样的情况并不是经常出现,但许多人仍然强烈建议不要在一个大规模应用环境中采用Proxy Server 2.0———假如你不想为SMTP服务而劳神的话。
另外,Proxy Server 2.0有一个非常著名的“缺点”便是没有获得ICSA实验室的防火墙产品认证。正是由于Proxy Server 2.0没有获得ICSA实验室颁发的合格证书,所以许多人推断它不是一个能提供真正网络防护的防火墙产品。然而;这样的推断是不客观的,对Proxy Server来说也是不公平的。
Proxy Server 2.0之所以未能通过ICSA实验室认证,不是它提供的安全能力不够,而是它要求采用一个专利性的客户机软件(比如WinsockProxy客户机)为某些服务提供进入和外出通信。但是,ICSA认证标准对此有着严格及清楚的规定:不允许使用特殊或专利客户机软件为某些指定的协议提供进入和外出访问,这些协议包括DNS、SMTP、HTTP(s)、TELNET和FTP等。
伴随着Internet的成长,黑客和黑客工具无论在数量还是质量上都在逐渐发展壮大。那些每天都在上网的单位和家庭用户可以作证,每天都有许多人试图扫描他们的端口或者攻入他们的系统。随着一些廉价高速上网方式的问世,比如ADSL、CableModem等等,越来越多的人能够“永远在线”,但这同时也增大了遭受攻击的机会。
高速上网也使大量黑客手段变得更易实行。越来越多,“傻瓜型”黑客工具的问世,使Internet的安全形势变得更加严峻。只要工具在手,即使没有一丁点儿黑客知识,也能轻松地弄垮一台又一台缺乏保护的机器。
为解决这个问题,市面上的防火墙产品也呈爆炸性增长趋势。5—10年前,只有极少数公司在做防火墙产品,而且大多数产品都十分昂贵,有的得花上万美元才能买到。时至今日,防火墙已成为十分“平民化”的一种产品,各大公司纷纷降价促销。面向几乎每一类上网用户,都有对应的大量防火墙产品可供选择。从普通的家庭用户,一直到大公司、大企业等等,各种层次的用户都有自己“买得起”的产品。
Internet Secutityand Acceleration Server(简称ISA Server)是微软最新发布的防火墙产品。初次亮相就效果不凡:在2000年底首发的30天内,便通过了ICSA实验室的防火墙产品认证。如果你熟悉ISA Server的前身———Proxy Serverl.0和2.o,使会发现ISA Server比这些产品又有了明显进步!
ISA Server是在Proxy Server的基础上构建起来的,它吸收了Proxy Server的大量优点,并具备其大多数功能,是一种易于扩展的、面向企业级应用的产品,它必然会获得众多公司与企事业单位的广泛接纳。一方面,ISA Server的安装确实非常容易;但另一方面,它也是一个非常复杂和高级的产品,要求具备一定的知识和技能才能更好地安装和使用。另外,它还是一种会在你的网络基本结构中扮演关键角色的产品。ISA Server并不是那种在网络中装好后便可以不再管它的产品,也不是那种极易使用、极易实现的一种产品。总而言之,它并非简单地装好并连接好,便能提供我们所需要的一切——真正的ISA Server不会让人如此省心!
本书的一项主要目标便是提供真正实用的信息,帮助正确布署和配置ISA,并同时兼顾在网络安全和网络性能方面的要求。
1996年11月,微软首次发布了Proxy Serverl.0。就在那一年的秋天,我已经对这个产品非常熟悉了。因为当年我参加了该产品的首次T-Preps(培训人员预备课程),考察我是否有资格为其教授正式的微软课程。在这个产品的课堂上,我和其他学员都非常兴奋。在这个产品的身上,我们发现了对一个防火墙产品期待已久的特性,包括回路层和应用层安全等等,同时也亲自体验了内容缓存带来的令人注目的优势。
在那个时候,Winsock Proxy客户机看起来似乎是一种革命。针对除Web页之外的其他Internet资源提供“透明”访问时,它工作起来尤其出色。而且只需掌握少量技巧,便能把Proxy Serverl.0配置成一个IPX→IP网关,所以看起来似乎还是提供高级安全特性的一种出色方案。
不过,这个产品要想真正成为一种网络安全方案,还需要走很长的一段路!尽管Proxy Server1.0确实提供了回路和应用层的安全,但却不支持包过滤和安全警报,也不能提供详尽的日志记录。因此,根本不能把它看作一种防火墙产品,即使它在网络的边界确实提供了某种程度的保护也如此。
对企业用户来说,Proxy Serverl.0最大的优点在于支持内容缓存,并能控制对网站的访问。通过内容缓存,ProxyServerl.0可有效地节省上网带宽:加快访问Web的速度。
1996年,要想以比较“爽”,的速度上网,腰包不鼓是基本上不可能的。因此,内容缓存成为颇具吸引力的一种金术,许多单位都愿意用它采缓解上网带宽不足的问题。但在这个领域,即便是Proxy Serverl.0这样的微软公司的“大作”,在一些大公司那儿也没有被十分地“看好”。原因很简单,它的缓存系统不能在多个代理服务器中分布,而且在伸缩(扩展)性能上也不是特别理想。
面对Proxy Serverl.0的种种不足,微软很快做出了反应,并在1997年发布了Proxy Server的2.0版本。Proxy Server 2.0引入了早期产品缺乏的一些特性。最起码,新产品支持动态包过滤技术。这是一种十分强大的网络保护机制——只有在真正需要通信的时候,它才会自动打开端口,建立与Internet的通信连接。换言之,管理员没有必要亲自打开静态包过滤器来允许访问。
Proxy Server 2.0还提供了多种实时警报,可在发现网络入侵企图时及时地通知管理员。对SOCKS的支持也是新加进来的,它主要面向那些非微软的客户机(比如UNIX工作站)。对这部分客户机来说,即使没有安装Winsock代理,也并不一定只能使用与CERN兼容的Web浏览器来访问因特网。Proxy Server 2.0还支持内部Web服务器的动态发布,而且也能进行服务器代理。通过这种功能,Internet上的用户便可访问内部网络中运行的大多数服务。
和以前的版本相同,Proxy Server 2.0也支持内容缓存。不过在新版本中,微软对这一功能做出了多处明显的改进。现在的内容缓存可扩展到在多台服务器之间进行,要么采用分布式缓存机制(distributed caching),要么采用分级式缓存机制(hierarchical caching)。通过分布式缓存,管理员可将缓存分布到由多台服务器组成的一个阵列中,而且在每台缓存服务器之间,不会出现任何内容重复的现象。缓存阵列不仅具有容错能力,而且还具有负载平衡的特征。
通过分级式缓存,管理员可将代理服务器连接到一条内容缓存链中。对那些设立了分支机构的大型公司来说,分级式缓存是最理想的。假如分公司的Proxy Server没能在自己的缓存中找到需要的内容,那么内容请求稍后就可路由至总部运行的P凹xy Server,看看那里有没有自己需要的内容。另一处明显的改进便是增加了主动缓存机制,它使Proxy Server在服务器相对处于空闲的时候对缓存中经常访问的对象进行更新。这样可进一步改进缓存的性能与质量。然而,尽管做出了这些改进,Proxy Server2.0仍然不算是最完美的,依然遭到了许多批评。至少有一点需要提醒大家注意,在某些情况下,Proxy Server 2.0真正运行起来非常困难;而且还
可能有一点儿不可靠。举个例子来说,要想让自己的内部Exchange服务器接收来自Internet的邮件,那么必须在Exchange服务器上安装Winsock Proxy,然后配置一个WSPCFG.INI文件,在Proxy Server的外部接口上为SMTP通信绑定一个正确的监听接口。
经过一系列复杂的操作,Proxy Server终于能代表内部的Exchange服务器对SMTP请求进行监视。但事情还没完,你还必须在Exchange,和Proxy服务器之间一直保持一个有效的控制通道。假如这个通道由于某种原因而失去了,便无法接收任何SMTP邮件。而在丢失了控制通道之后,为了重新获得SMTP能力,惟一的办法便是重新初始化服务,或者重新启动计算机。尽管像这样的情况并不是经常出现,但许多人仍然强烈建议不要在一个大规模应用环境中采用Proxy Server 2.0———假如你不想为SMTP服务而劳神的话。
另外,Proxy Server 2.0有一个非常著名的“缺点”便是没有获得ICSA实验室的防火墙产品认证。正是由于Proxy Server 2.0没有获得ICSA实验室颁发的合格证书,所以许多人推断它不是一个能提供真正网络防护的防火墙产品。然而;这样的推断是不客观的,对Proxy Server来说也是不公平的。
Proxy Server 2.0之所以未能通过ICSA实验室认证,不是它提供的安全能力不够,而是它要求采用一个专利性的客户机软件(比如WinsockProxy客户机)为某些服务提供进入和外出通信。但是,ICSA认证标准对此有着严格及清楚的规定:不允许使用特殊或专利客户机软件为某些指定的协议提供进入和外出访问,这些协议包括DNS、SMTP、HTTP(s)、TELNET和FTP等。
)
加载中...
