ISA Server的企業級應用研究與實現方案

熊建輝 孫桂煌

(1.福州海峽職業技術學院，福建 福州 350014；2.福建工程學院國脈信息學院，福建 福州 350014)

1.引言

Internet中有這樣一種說法：Internet世界的美妙之處在于我可以跟任何人相連，Internet世界的可拍之處因為任何人可以跟我相連。如何有效控制這種連接是每個處于Internet之中的企事業網絡必須所面對的，從技術方法上講防火墻技術是一種行之有效的方法。防火墻既可以分成針對個人用戶的個人版和針對企業級應用的企業版；也可以分成硬件型的和軟件型的；也有單機型的和網絡型的。通常硬件型防火墻價格比較貴，而且在功能上一般只能對處于TCP/IP中的下三層數據進行篩選過濾，配置部署及集成應用時上也顯得繁瑣和容易出錯；軟件防火墻速度方面會遜色，但是一般可以針對應用層數據進行篩選。ISA Server作為一款微軟公司產品與微軟公司的網絡操作系統，其集成度高，通過緩存等機制實現了訪問速度的提高，通過訪問規則和發布規則保障了企業內網和DMZ區域的安全，同時還能很容易地實現虛擬專用網和企業負載均衡等功能，并且與活動目錄服務集成方便。本文主要探討ISA Server的應用研究，并給出了具體的實現方案。

2.ISA Server的特點和功能

ISA Server的全稱為Microsoft Internet Security and Acceleration Server，有兩層含義：安全、加速。常見的應用版本有ISA Server 2000、ISA Server 2004、ISA Server 2006，以及最新的TMG2010。本文中主要討論的是ISA Server 2006企業版，該版本功能實用性高，性能穩定。ISA Server中根據需要可以定義多個網絡，如內網、外部、DMZ區域，ISA Server服務器本身也被定義成“本地主機”這個網絡，同時還可以根據實際需要定義更多的網絡。這些網絡之間存在的關系稱為網絡關系，具體類型有NAT關系、路由關系。NAT關系即網絡地址轉換關系，一般用在當兩個網絡間訪問時需要發生IP地址轉換的場合，如私有IP地址轉換為公共IP地址。而路由關系中兩個網絡間通信的數據是可以直接被路由的而不需要被轉換。一般可以理解為NAT關系為單向的，路由關系為雙向的。

2.1 保障網絡安全

ISA Server與網絡操作系統如Windows Server 2003、Windows Server 2008、Windows Server 2008R2 兼容性好。ISA Server的防火墻引擎就是工作在系統的內核模式。即使ISA Server被攻破了，致使服務器宕機，該防火墻引擎還能有效保障網絡信息安全。

在ISA Server中，通過訪問規則來實現企業對企業外部服務器的訪問。訪問規則是防火墻策略的一種，主要用在網絡關系為路由關系時實現兩個網絡間的互訪；當網絡關系為NAT關系的時候實現兩個網絡間的單向訪問。具體是在定義訪問規則時,首先需要確定網絡并且確定各網絡間的關系，然后可以通過右鍵單擊“防火墻策略”，選擇“新建”，再選擇“訪問規則”，如圖2-1所示，然后根據向導分別設置訪問規則名稱、設置規則操作：允許或拒絕、設置該規則將影響的的協議（數據類型）、設置數據的發起源、設置數據的發起目標以及設置數據請求的發起者（用戶集）。規則創建完畢還需要單擊“應用”方可生效。

圖2-1 新建規則

通過發布規則可以實現外部對企業內部服務器的訪問。對于一些中大型企業，通常有自己的服務器需要被Internet用戶訪問，此時就可以通過發布規則來實現，并且ISA Server中對于微軟的相關技術如Exchange制定專門的發布規則,實施起來更加方便。具體在定義發布規則時，通過右鍵單擊“防火墻策略”，選擇“新建”，如圖2-1所示，在該圖中上面5個均為發布規則，并且可以分為兩類：Web類型和非Web類型。微軟公司為了發布其相關產品如Exchange郵箱、Sharepoint站點等，單獨為其產品指定了發布向導。根據需要選擇具體某種發布類型，然后同樣是按照向導操作即可。對于發布Web類型的服務，還需要創建偵聽器。

2.2 提高網絡速度

軟件防火墻的突出缺點就是網絡訪問速度不及硬件防火墻。ISA Server為了克服這一缺點，通過緩存的機制和負載均衡的機制來提高網絡訪問的速度。

ISA Server中的緩存機制如圖2-2、2-3所示，當企業內網中出現第一次訪問某一網站時，如圖2-2中所示：用戶1在內網第一次訪問http：//www.aaa.com網站，請求首先被發送到ISA Server服務器，然后由ISA Server服務器發送給Internet中的服務器www.aaa.com，www.aaa.com將請求的頁面內容發給ISA Server，ISA Server收到內容之后一方面會發送給用戶1，另一方面會寫入到緩存（服務器硬盤）中去。

圖2-2 首次訪問某一網站

當企業內網中出現第二次訪問該網站時，如圖2-3所示：用戶2再訪問http：//www.aaa.com網站，請求同樣被發送到ISA Server服務器，然后ISA Server直接會從緩存（服務器硬盤）中讀取內容直接返回給用戶2。

圖2-3 第二次訪問某一網站

緩存通常有正向緩存、鏈式緩存、分布式緩存、反向緩存。正向緩存就是上面講到的情形：在一定條件下可以提高內網對外網的響應速度；反向緩存與正向緩存相反：緩存的內容為公司內部服務器的內容，可以提高外網對公司內網服務器的響應速度；鏈式緩存則是，存在多臺ISA Server，并且之間形成一個鏈式的請求；分布式緩存所緩存的內容是分布式地存在于多臺服務器中。可通過“配置”列表中的“緩存”來實現，如圖2-4所示，可以設置緩存的位置（位于哪個磁盤驅動器）以及緩存規則（緩存的時間多長等等）。

圖2-4 設置緩存

負載均衡是通過多臺ISA Server構成企業陣列來實現的，陣列中ISA Server共同承擔任務，每臺ISA Server所承擔任務的分量根據CARP屬性來設置，如圖2-5所示，陣列中主機ID號為2的ISA Server承擔50%任務。

圖2-5 負載均衡

3.ISA Server的常見實現方案

基于上面的研究和討論，接下來主要是以企事業單位中常見的應用場景給出具體實現方案。ISA Server部署的詳細要求見安裝光盤，現在一般服務器都能滿足。需要注意的是：服務器需要兩張以上的網卡。

3.1 實現對Internet的訪問

某企業根據對各網絡安全產品的調研，最終選擇了ISA Server 2006作為企業防火墻，企業拓撲圖如圖3-1所示，內網IP地址為10.1.0.0/16網段，ISA Server含有兩張網卡，內網卡地址為10.1.1.1/16，外網卡IP地址由ISP提供（如果為ADSL上網，則不需要設置，開啟ADSL鏈接即可）。本方案就是具體來說如何實現這一需求。

圖3-1 某企業網絡拓撲圖

首先在服務器上安裝ISA Server，安裝后默認是阻斷企業內網對外的一切通信的，而訪問Internet是企業的一個根本需求。確保企業內網計算機的網關為ISA Server的內網卡IP地址，為了管理方便可以通過配置企業內部的DHCP服務器來實現。然后創建防火墻策略（訪問規則）：規則操作選擇允許，協議選擇DNS、HTTP、HTTPS，訪問規則源為內部，訪問規則目標為外部，并且單擊“應用”。設置完畢后，企業內網計算機即可訪問Internet網站。如果想讓內網訪問其它類型服務如FTP，只需要在該規則中協議中添加相關協議即可。

3.2 實現對企業內部的訪問

某企業根據企業需求，選擇了ISA Server 2006作為防火墻，企業拓撲圖如圖3-2所示，為三向外圍結

圖3-2 企業網絡拓撲圖

構：企業內部網絡為活動目錄域模式，網絡DMZ區域中的Web需要被外部訪問，內網中的Exchange Server也需要被外部訪問，同時ISA Server還承擔了VPN服務角色，要求域用戶中的市場部員工能通過該VPN登錄到公司內網。企業網絡IP地址規劃如下：內網IP地址網段為10.1.0.0/16，DMZ區域IP地址網段為192.168.1.0/24，ISA服務器外網卡IP地址由ISP分配。本方案就是具體來說如何實現這一需求。

部署過程如下：

（1）在ISA服務器上安裝ISA Server 2006，然后根據“3向外圍網絡”模板向導進行設置，設置過程中會自動創建外圍網絡，并且修改名為“外圍配置”的網絡規則關系為“路由”，修改名為“外圍訪問”的網絡規則關系為“NAT”；

（2）創建Internet訪問規則，使得內網用戶能訪問Internet，具體配置與“3.1實現對Internet的訪問”中的配置相同；

（3）創建Exchange Web客戶端訪問發布規則來發布位于公司內網中的Exchange Server；

（4）創建網絡發布規則發布位于DMZ區中的Web服務器；

（5）創建RADIUS服務器：在活動目錄域內網的某臺服務器（已加入域）上創建Internet驗證服務，并且創建RADIUS客戶端，該客戶端IP地址指向ISA服務器的內網IP地址，并設置“共享的機密”；

（6）創建VPN服務器：在“虛擬專用網絡（VPN）”中選擇“VPN客戶端”，在“任務欄”中先定義地址分配，由于本企業網需求中要求活動目錄域中的市場部員工能登陸該VPN服務器，所以需要設置RADIUS服務器IP及“共享的機密”（要求與步驟5中的設置的一致），然后“配置VPN客戶端訪問”設置“組”為市場部，最后“啟用VPN客戶端訪問”；

（7）授予市場部員工的撥入權限：在活動目錄域服務器上打開“Active Directory用戶和計算機”為市場部員工逐一授予“允許撥入”的權限。

至此創建完畢。

4.結束語

ISA Server作為企業級軟件防火墻，其引擎工作在操作系統的內核模式，能對應用層數據包進行篩選，并且通過緩存的技術及多臺ISA Server形成陣列來實現負載均衡及故障轉移，能很好地保障企業整體網絡安全及內外網互訪速度。特別是對于一些部署了活動目錄域及Exchange郵箱服務的大中型企業，極大方便了域中某些用戶對VPN的訪問。另外，隔離的VPN客戶端也是很有應用前景的技術。

[1]顧武雄.Microsoft ISA Server 2004系統安全管理寶典[M].中國鐵道出版社,2007.

[2]微軟公司.網絡服務架構實現和管理--以Windows Server 2003為例[M].高等教育出版社，2005.

[3]劉淵等.因特網防火墻技術[M].機械工業出版社,1998.