ISA 2000 学习笔记（1）

　　 
　　ISA 2000 学习笔记
    一：Microsoft Internet Security and Aclearcase/" target="_blank" >cceleration Server 2000 介绍

ISA包括两个版本：标准版和企业版。包括三种模式：防火墙模式，CACHE模式和集成模式，可以与WIN2K集成，根据计算机，用户，组来定义策略，它通过MMC界面进行管理，可以在本地和远程管理ISA。
ISA的防火墙分为三个层次，最底层为IP packet filters，这是静态的，对于指定的端口，不是允许就是阻止通过，然后为POLICY RULES，这可以理解为动态的包过滤，允许在二次连接的时候，动态打开相应的端口（即只有在使用的时候，才会打开这一端口，而不像IP packet filters是一直开放的），最后为应用层的过滤，可以对诸如电子邮件的内容进行过滤。
ISA的CACHE功能十分强大，可以定义为自动下载定义计划，可以根据访问频率的高低自动下载，可以在多台ISA上分布CACHE.
当使用ISA企业版的阵列方式时，为企业的管理提供更大的灵活性，你可以统一定义企业策略，也可以对每个阵列分别定义策略

二：安装Microsoft Internet Security and Acceleration Server 2000
在安装前，必须首先考虑ISA的安装模式（防火墙模式，CACHE模式和集成模式），同时对客户端也要有所考虑，因为客户端可以分为防火墙客户端，WEB客户端和SNAT客户端。对于一个小公司来说，典型的安装是一台ISA安装两块网卡，隔断企业内部局域网和INTERNET，对于一个大型公司，则可能需要多台ISA组成阵列。同时对于防火墙后面的WEB，MAIL服务器的发布也要有所考虑，你是将它们直接安装在ISA上，混合域（perimeter network.），还是在企业的内部。
如果要安装ISA企业版，必须首先安装Enterprise Initialization utility，在AD中加入SCHEMA，如果是安装ISA标准版，它的信息是保存在SERVER本身的注册表中的。
如果企业以前使用Proxy Server 2.0，可以考虑直接升级到ISA

三：设定INTERNET访问
ISA的客户端分为防火墙客户端，WEB客户端和SNAT客户端，它们的使用场合是不同的，主要的区别有以下几点：
1. SNAT用户的访问只能通过IP地址来进行控制，它是匿名访问，无法使用基于USER的规则控制，而防火墙用户和WEB用户可以（在缺省情况下，ISA允许WEB匿名访问，但是你可以通过设置，在访问前要求用户认证）
2. 防火墙用户只能在WINX的机器上安装（需要客户端安装程序），而SNAT客户和WEB客户可以跨越操作系统平台，WEB只有浏览器要求
3. 如何内部有WEB/FTP/MAIL之类的服务器提供对外服务，则它们必须作为SNAT用户
4. SNAT用户不支持需要二次连接的网络运用，除非在IP FILTER中指定
5. SNAT用户需要解决DNS解析问题，这就意味着你的INTRANET要有DNS服务器或者在IP FILTER中允许DNS Query operation。
6. SNAT用户和防火墙用户同时也可以是WEB用户，不过WEB用户只支持HTTP/HTTPS/FTP服务。
7. 对于SNAT用户来说，即使Protocol Rule allows "Any IP traffic."，它也只是开放了ISA预先定义的那些Protocol，至于如QQ之类还要你自己定义。注意如果这一应用只使用了单一端口，那只要直接定义即可，如果使用了多个端口，则须在IP FILTER中加以定义。
如果你的网络对外连接是通过拨号方式，则只有Web Proxy and firewall clients可以使用按需拨号，对于NAT用户，必须首先建立连接。WEB用户和防火墙用户还可以配置使用自动发现ISA。你需要在DHCP（a special Web Proxy Autodiscovery Protocol entry）和DNS（both a host (A) record of the ISA Server computer and an alias (CNAME) record named WPAD pointing to the ISA Server computer.）中进行相应设置。

原文转自：http://www.ltesting.net