ISA2004 规划文档

顺丰速运IT基础架构项目

ISA规划文档

顺丰速运IT 基础架构项目组

关于本文档

ISA 产品简介 (3)

1.1.1ISA2004 产品介绍 (3)

1.1.2ISA2004 功能简介 (3)

体系结构设计 (5)

1.1.3ISA运行模式规划 (5)

1.1.4ISA Server 企业版的组成部分 (6)

1.1.5ISA 拓扑结构设计 (7)

1.1.6区部及二级数据中心ISA网络架构 (10)

1.1.7软硬件配置 (10)

1.1.8ISA 访问规则和策略 (12)

1.1.9ISA 企业级策略 (14)

1.1.10ISA客户端和身份验证 (15)

ISA 安装方案 (19)

ISA 管理与维护 (20)

1.1.11ISA报表管理 (20)

1.1.12ISA权限委派 (22)

1.1.13ISA备份与恢复 (23)

ISA 产品简介

1.1.1ISA2004 产品介绍

Microsoft Internet Security and Acceleration (ISA) Server 2004 是一个可扩展的、多层化的企业防火墙和Web 缓存解决方案，它有助于提供安全、快捷和可管理的Internet 连接。ISA Server 是一个集成的解决方案，极其适用于应用层的防护、虚拟专用网络(VPN) 连接、状态数据包检查以及安全发布，从而有助于保护用户的各种应用。ISA Server 还提供了高级的、可扩展的以及高性能的Web 代理和缓存功能，从而提高了性能和节省了网络带宽资源。

ISA Server 提供两个版本

1) ISA Server企业版是为在大规模的Internet 流量环境中进

行大型部署而设计的，可以通过集中化的管理以及企业级和

阵列级的安全策略来支持多个服务器阵列。企业版没有硬件

限制。

2) ISA Server标准版具有同企业版一样丰富的功能组合，但

主要面向小型商业机构、工作组和部门级环境。标准版仅提

供了本地策略，并且最多支持四个处理器。

1.1.2ISA2004 功能简介

ISA Server 2004 中引入了多网络支持,易于使用且高度集成的虚拟专用网络配置,扩展的和可扩展的用户和身份验证模型,深层次的

HTTP 协议检查以及经过改善的管理功能.

●ISA2004 应用层过滤功能

1)基于每个策略的HTTP过滤.

2)可阻止访问可执行文件及通过文件扩展名控制访问.

3)支持HTTP签名和控制HTTP访问方式.

4)支持Outlook的PRC连接.

●ISA安全及防火墙功能

1)支持对任何协议(包括IP等级协议)访问和使用.

2)支持需要多个主连接的复杂协议.

3)允许控制任何协议的源和目的端口,从更高级别上管理数

据包.

4)OUTLOOK web Access 发布向导可以很方便的建立

Exchange服务器的SSL访问规则.

●ISA2004的多网络支持

1)可配置一个或多个网络,并使每过网络都与其他网络有明

确的关系.

2)唯一的基于网络的策略.

3)包含与常见网络拓扑对应的网络模板.

4)可定义NAT和路由网络关系.

●ISA2004 的VPN功能.

1)VPN状况过滤和检测.

2)Site-to-Site 的VPN隧道的通信状况检查和过滤.

3)支持Site-to-Site VPN 链路上的IPSec 隧道模式.

体系结构设计

1.1.3ISA运行模式规划

ISA 2004支持单机（Stand-alone）或阵列（Array）两种运行模式：

单机模式：

ISA Server支持安装在单台服务器上，单机模式可以不需要该计算机属于Windows 2000 / 2003域，但这样的话，不支持域用户验证。

阵列模式：

阵列模式允许一群ISA Server计算机可作为单个逻辑实体来对待和管理，提供了高稳定性、高可用性、容错性和负载平衡性。值得注意的是所有ISA阵列成员都必须在同一Windows 2000 / 2003域（domain）且在同一网段。在阵列模式下，所有的成员服务器共享公共配置，且ISA阵列群一经设置，这种设置将可应用到所有成员服务器及以后新加入的成员服务器，这样，既定的企业安全访问策略统一应用到这个阵列，实现了对整个ISA服务器群的集中配置管理。ISA Server阵列也有助于确保容错性，如果一个服务器变得不可获得，这个阵列中的其它服务器可替代那台服务器执行高速缓冲存储及安全功能，这种用途使

得在一个服务器失效的情况下，对用户正常使用影响最小。另外，阵列允许客户请求分布到多台ISA服务器计算机，实现负载均衡。

当前，顺丰集团公司选择ISA 2004的企业版。

1.1.4ISA Server 企业版的组成部分

●存储配置服务器(CSS)

配置存储服务器中存放企业中所有阵列的配置信息，它使用活动目录应用程序模式（ADAM）进行存储。当你在企业阵列任何一台ISA Server 上修改配置时，你修改的是配置存储服务器中的信息，然后，阵列中的其他ISA Server检查配置存储服务器上的信息，如果发现了修改，那么就根据配置存储服务器中的信息更新本地的配置（注册表）。在企业中，你可以拥有多台配置存储服务器，每一个配置存储服务器上都具有企业配置的副本；每个企业中的阵列都指向某个指定的配置存储服务器，同样的，你可以指定备份的配置存储服务器。

●ISA Server管理控制台

通过ISA Server管理控制台，管理员可以连接到指定的配置存储服务器来管理整个企业，并且可以直接查询对应的ISA Server以获得其状态信息。

●ISA Server服务.

这是运行ISA Server的防火墙、VPN、缓存等服务的计算机。每个运行ISA Server服务的计算机都连接到一个配置存储服务器，并从中读

取配置信息。

●ISA Server 阵列.

一个阵列表现为一个或多个运行ISA Server服务的ISA Server 2004计算机，他们物理上相互连接，并且共享同样的配置。在企业版本中，已经没有单台ISA Server的概念。阵列是最基本的策略应用单位，任何在阵列中定义的策略都将应用到整个阵列的ISA Server上。

●ISA Server 企业.

一个企业是分组到阵列的ISA Server 2004计算机的集合。一个企业中包含多个配置存储服务器，并且包含一个或者多个阵列。管理员可以定义企业级策略，并且企业级策略具有最高的优先权。

1.1.5ISA 拓扑结构设计

总部ISA server

在公司总部设置一台ISA serve服务服务器,两台存储配置

服务器(CSS).

总部ISA的作用：

●ISA 防火墙服务器提供总部办公区域外网访问出口.

●ISA防火墙控制上网权限及记录外网使用日志.

●ISA防火墙提供虚拟专用网(VPN)拨入服务.

●总部主CSS为总部ISA主用CSS服务器.

●总部副本CSS 为总部ISA备用CSS 服务器.

二级数据中心ISA server

在二级数据中心设置一台ISA server服务服务器,一台存储

配置服务器(CSS)。

二级数据中心ISA的作用：

●ISA 防火墙服务器提供二级数据中心办公区域外网访问

出口.

●ISA防火墙控制二级数据中心上网权限及记录外网使用

日志.

●ISA防火墙提供虚拟专用网(VPN)拨入服务.

●二级数据中心副本CSS为二级数据中心ISA主用CSS

服务器.

●二级数据中心使用总部副本CSS 作为ISA备用CSS 服

务器.

区部ISA Server

在区部设置一台ISA server服务服务器.

●ISA 防火墙服务器提供区部办公区域外网访问出口.

●ISA防火墙控制区部上网权限及记录外网使用日志.

●ISA防火墙提供虚拟专用网(VPN)拨入服务.

●区部使用本区所属二级数据中心副本CSS为区部ISA

主用CSS服务器.

●区部使用总部副本CSS 作为ISA备用CSS 服务器.

1.1.6 区部及二级数据中心ISA 网络架构

办公

Vlan

ISA server 作为区部及二级数据中心办公区域的外网出口.

通过对交换机的具体设置提供对多VLAN 的支持.

企业DDN 作为管理链路负责ISA 阵列间.ISA 与存储配置服务器通讯. Sec 100v 设备保持企业VPN 备用功能,同时对ISA 服务器起灾备作用.

1.1.7 软硬件配置

总部软硬件配置

二级数据中心软硬件配置

区部软硬件配置

1.1.8ISA 访问规则和策略

为了从功能角度描述在被定义的网络间何种通讯是被允许的，ISA Server 2004使用了一组三个规则列表的集合：

●网络规则

此列表定义并描述了网络的拓扑结构。这些规则用于决定两个网络实体间是否具有路由关系、以及何种路由关系被定义（路由还是NAT）。当网络实体间没有配置任何关系，那么ISA Server将丢弃两个网络间的所有通讯数据。正确定义网络对象和它们之间的路由关系对于ISA 2004的显得尤为重要。

●系统策略

此列表包含了30条ISA Server 2004预定义的、应用于本地主机的访问策略。因此，它们控制着ISA Server本身“从/到”的通讯，并启用需要的诸如验证、网络诊断、日志、远程管理等功能。记住：这些规则只是“允许”规则，你只可以启用或者禁用这些规则，或者对其中的一些规则属性进行少量的修改。

●防火墙策略

此列表包含了你自定义的所有规则。这是一个经过排序的简单列

表，包含了两种可能的规则类型：访问规则和发布规则。在此列表的最后包含了一条预定义的默认规则：Deny 4 ALL（Deny ALL users use ALL protocols from ALL networks to ALL networks），拒绝所有用户发起的从所有网络到所有网络的所有协议的访问。这个默认规则不能修改或者删除，所以，对于任何允许或者阻止的通讯都由ISA Server 2004的一条明确的规则来完成。

●ISA使用下列流程对使用上述策略.

●访问规则

访问规则决定源网络上的客户端如何访问目标网络上的资源。

作为企业管理员，您可以将访问规则添加到企业策略。

作为阵列管理员，您可以为特定阵列创建访问规则。

可以将访问规则配置为适用于所有IP 通讯、适用于特定的协议定义集或适用于除所选协议之外的所有IP 通讯。

是否允许通讯的访问规则组成企业策略,每个企业策略都包含三类企业策略规则：

1)在任何阵列级的规则之前处理的企业策略规则。

2)在阵列级的规则之后处理的企业策略规则。

3)在其他所有企业级的规则和阵列级的规则之后处理的默认拒

绝规则。

是否允许通讯的访问规则组成阵列策略,阵列策略与企业策略共同组成各阵列的防火墙策略.

1.1.9ISA 企业级策略

企业级策略

通过定义阵列前策略和阵列后策略来实现，并且你可以限制阵列中可以使用的策略类型。其中阵列前策略具有比阵列策略先执行的优先级，这样可以对某个阵列进行限制；而通过限制阵列中可以使用的阵列类型，你可以只允许阵列管理员建立允许的规则、拒绝的规则或者发布规则。不过需要注意的是，阵列的系统策略总是会第一个执行，这意味着，一个完整的企业策略执行顺序如下:

阵列系统策略（阵列级定义）；

阵列前策略（企业级定义）；

阵列策略（阵列级定义）；

阵列后策略（企业级定义）；

默认规则（Deny 4 ALL）；

1.1.10ISA企业网络

ISA Server 2004 企业表示您组织的网络中的所有IP 地址。作为ISA 服务器企业管理员，您可以创建包含网络拓扑中的IP 地址范围的企业网络。企业网络内部的通讯不会跨越任何安全性边界，如防火墙或虚拟专用网络(VPN) 连接。

一个IP 地址只能包含在一个企业网络中。在企业级定义的IP 地址（包含在某个企业网络中）被视为该企业的地址范围。

作为企业管理员，使用企业网络可以创建企业级的访问规则。这使得策略维护很容易，因为在企业级进行的单个更改可以传播到多个阵列。企业网络还提供了在整个企业中进行阵列相互引用的机制。

ISA 服务器包含下列预定义的企业网络：

1)外部

2)本地主机

3)被隔离的VPN 客户端

4)VPN 客户端

1.1.11ISA客户端和身份验证

ISA服务器支持三种类型的客户端：

?Web Proxy 客户端

任何被配置为使用ISA Server 的客户端Web 应用程序直接

向ISA服务器发送请求。

?SecureNAT客户端

SecureNAT客户端提供安全和高速缓冲存储性能，但不允

许用户级别的身份验证。对一个SecureNAT客户进行配置，

唯一的需求是在客户计算机上设置到ISA Server服务器地

址的缺省网关。因为SecureNAT客户不需要配置，仅仅改

变缺省网关即可，任何使用TCP/IP协议的计算机都可以是

SecureNAT客户。访问限制可仅仅基于网站、内容、客户

计算机的IP地址、协议及每天可访问的时间。

?Firewall客户端

为限制用户使用TCP和UDP的外部访问，需要安装ISA防火

墙客户端软件。这种防火墙客户端软件只在Windows 95 OSR2,

Windows 98, Windows ME, Windows NT 4.0, Windows 200x 和

Windows XP 机器上得到支持。

下列表格概述了上述三种不同的客户端与第三方Socks客户端的特性比较：

顺丰集团公司的所有加入域的客户端将使用Firewall 客户端，相关配置将通过组策略来统一配置。

所有客户端将通过配置文件连接到对应的服务器.

ISA 安装方案

在顺丰集团公司，ISA SERVER安装在WINDOWS 2003 EE R2上。WINDOWS 2003 EE R2 为WINDOWS 2003 最终版本。

ISA Server在Windows 2003 server的安装，建议按下列步骤进行：

1.安装Windows Server 2003并进行安全更新.

2.安装杀毒软件Mcafee,并更新病毒库.

3.将系统加入域环境.

4.在DC上安装存储配置服务器.

5.安装ISA server 服务.

6.安装ISA Server SP2 .

7.安装web 过滤补丁KB916106.

8.设置ISA server相关规则和策略。

ISA 管理与维护

1.1.12ISA报表管理

ISA Server从日志文件生成的数据库中生成报表。ISA Server缺省提供了一系列预定义的报表格式以帮助管理员分析它们的安全性和网络使用模式。

因为ISA Server从日志（log summaries）概要中创建报表，日志概要按下列方式设置：

?ISA日志概要文件夹

o D:\ISA_Log

?保存的概要数量

o日报＝35

o月报＝13

这会确保至少一个月每天的概要和一年的每月概要可获得来生成报表。ISA Server能生产下述类型报表且报表格式用HTML格式