规划ISA Server安装（4）

　　 
　　规划ISA Server安装
　　 2.1.9.1 同机Web服务器
　　 图2.3说明另一个常见的网络发布方案，其中Web服务器和ISA server位于同一台计算机上。

　　 在这个方案中，ISA Server计算机配置成在外部接口卡的端口80侦听传入请求。

　　 然而，默认状态下Web服务器也在端口80侦听传入请求。为了避免两个服务器发生冲突，Web服务器应该配置在端口80以外的端口侦听。然后修改ISA Server Web发布规则，以便ISA Server将请求发送到Web服务器上适当的端口。

　　 或者，可以将Internet Information Services(IIS)Server配置在不同的IP地址侦听。您可以把IIS Server配置在127.0.0.1上侦听，由此只接受来自ISA Server计算机的请求。

　　 2.1.9.2 局域网的Web服务器
　　 图2.4说明了一个Web发布方案，其中Web服务器位于ISA Server计算机之后。


　　 ISA Server保护的内部网络中装有两个Web服务器。当Internet用户请求example. microsoft.com/ Marketing或example.microsoft.com/Development上的对象时，该请求被发送给ISA Server计算机，然后ISA Server计算机将该请求路由给适当的Web服务器。

　　 注意当外部客户端从Web服务器请求对象时，它们实际上访问的是ISA Server计算机。由此，ISA Server可以确保外部用户绝不会突破网络。此外，Web服务器的IP地址也绝不会暴露。实际上，Internet客户是从ISA Server计算机的IP地址进入Web服务器的。

　　 2.1.10　Exchange Server发布拓扑结构
　　 这是一种常见的ISA Server方案，它保护邮件服务器的简单邮件传送协议( SMTP)通信的安全。例如，ISA Server可以保护Microsoft Exchange Server。发布的Exchange Server可以和ISA Server计算机位于同一个计算机上，也可以位于局域网或边界网络( DMZ)内。

　　 2.1.10.1 同机Exchange Server
　　 图2.5说明了ISA Server和Exchange Server位于同一台计算机的方案。

　　 2.1.10.2 本地网Exchange Server
　　 图2.6说明了Microsoft Exchange Server计算机在本地网内并受到ISA Server计算机保护的方案。

　　 2.1.11　边界网络(DMZ)方案
　　 边界网络，也叫做DMZ。它是一个小型的网络，与组织的专用网络、Internet分开安装。边界网络允许外部用户访问位于边界网络内特定的服务器，但是防止对企业内部网的访问。组织也可以允许边界网络内的计算机对内部网络的计算机进行非常有限的访问。

　　 边界网络，亦称屏蔽子网，通常用来为公司配置电子邮件和Web服务器。边界网络可以按以下配置之一安装：

　　 背靠背边界网络配置，两台ISA Server计算机分别位于边界网络的两边(图2.7)

　　 Three-homed ISA Server，边界网络和局域网均受同一台ISA Server的保护(图2.8)。

　　 边界网络可以包括公司的Web服务器，以便Web内容能够发给Internet。然而，边界网络不允许访问公司的其他任何数据，这些数据可能在局域网内的计算机上。因此，即使外部用户突破了边界网络安全，也只有边界Web服务器会受到威胁。

　　 2.1.11.1 背靠背边界网络配置
　　 在背靠背边界网络配置中，两个ISA Server计算机位于边界网络的任一边。图2.7说明背靠背边界网络的配置。

　　 图 2.7　背靠背边界网络
　　 在这个配置中，两台ISA Server计算机彼此接通，一个连接到Internet，另一个连接到局域网。边界网络位于两个服务器之间。两台ISA Servers都安装成集成模式或防火墙模式，由此基本上降低了安全受到威胁的风险。因为要想进入内部网络，攻击者需要突破这两个系统。

　　 2.1.11.2 Three - Homed边界网络(DMZ)配置
　　 在three - homed屏蔽边界网络内，单个的ISA Server计算机(或ISA Server计算机阵列)安装了3张网卡。图2.8说明了这个边界网络方案。

　　 2.1.12　小结
　　 您应该评定您的网络需要，然后设计适合这些需要的网络拓扑结构，为安装ISA Server作好准备。判断ISA Server安装的硬件要求时，您应该计划达到或超过预期的网络负载。对于防火墙，需要考虑内部客户端访问Internet时需要多大的吞吐量。对于缓存，要考虑会有多少Web浏览器客户访问Internet。对于发布和反向缓存，需要考虑外部客户请求访问发布服务器上的对象的频繁程度。评定需要后，您应该决定将ISA Server安装成防火墙模式、缓存模式或集成模式。如果您确定需要多台计算机来处理网络负载，应该安装ISA Server计算机阵列，而不是一台独立的服务器。

　　 ISA Server能够安装成各种各样的网络拓扑结构。在小型办公室网络配置中，单个的ISA Server计算机可以放在公司局域网和Internet之间。对于大型分布式的企业，不同的地点可以各自安装一台或多台ISA Server计算机阵列。

　　 对于防火墙后的安全服务器发布，您发布的邮件或Web服务器可以与ISA Server在同一台计算机上，也可以在不同的计算机上。如果需要更高的安全性，您可以决定将发布服务器放在边界网络内。（规划安装完）

原文转自：http://www.ltesting.net