Раздел: Документация

0 ... 18 19 20 21 22 23 24 ... 131

На рис. 2-1 показано решение для небольшой организации, массив которой содержит только один компьютер с ISA-сервером. Чтобы обеспечить возможность расширения в будущем, сервер следует установить как член массива.

Если организация немного больше, можно использовать массив из нескольких ISA-серверов. Принимая во внимание, что значительная часть клиентов располагается в одном местоположении и входит в один домен, единственный массив ISA-серверов способен обслуживать всю организацию. Число компьютеров в массиве зависит от требований

к пропускной способности и кэшу. Сеть предприятия

На рис. 2-2 показана сеть большой корпорации со штаб-квартирой в США и двумя отделениями — в Канаде и Великобритании- Во всех трех местоположениях установлены массивы, состоящие из одного и более ISA-серверов. В штаб-квартире действует политика предприятия, определяющая правила доступа для всех клиентов. Сетевой администратор штаб-квартиры отвечает за применение корпоративной политики и ее соблюдение во всех отделениях. При этом администраторам отделений разрешается создавать только более строгие правила.

Структура сети предприятия

Канадское отделение подключено к штаб-квартире через мщщщгщщщр, а британское — посредством виртуальной частной сети (Virtual Private Network, VPN). На рис. 2-2 показана структура сети корпорации.

Великобритания

Рис. 2-2. Структура сети корпорации

Каждый ISA-сервер в составе массива в штаб-квартире оснащен двумя сетевыми интерфейсами: один сетевой адаптер подключен к внутренней сети, а другой — к Интернету. В этом проекте возможно применение прямого подключения к интернет-провайдеру посредством маршрутизатора и линии Т1 или Е1 с резервным подключением по телефонной

линии на случай выхода из строя основной.

Канадский ISA-сервер работает в режиме сервера кэширования и подключен к вышестоящему ISA-серверу в штаб-квартире. Канадский сервер также оснащен двумя сетевыми адаптерами, один из которых подключен к локальномуа другой — к маршрутизатору в штаб-квартире.

---

Массив ISA-серверов в Великобритании работает в смешанном режиме, выполняя роли брандмауэра и кэшируюшего сервера. Кроме того, эти ISA-серверы настроены для маршрутизации запросов к местным ресурсам Интернета непосредственно в Интернет.

Проекты, предполагающее публикацию в Web

Функция публикации Web-узлов в ISA-сервере нужна организациям, желающим безопасно публиковать в Интернете ресурсы своих защищенных интрасетей. В этом случае ISA-сервер обеспечивает безопасность Web-сервера организации, на котором располагаются Web-узлы электронной коммерции или информация для деловых партнеров. Для внешних пользователей ISA-сервер выглядит как Web-сервер, в то время как последний сохраняет

доступ к службам внутренней сети.

Опубликованный Web-сервер располагается на том же компьютере, что и ISA-сервер,

или на отдельной машине.

Web-cepsep, совмещенный с ISA-сервером

На рис. 2-3 показано одно из распространенных решений для Web-публикации, в котором Web-сервер размещается на том же компьютере, что и ISA-сервер.

Запрос -Get widgets.roicrosoft.com-

Рис. 2-3. Web-сервер, совмещенный а одном компьютере

с IS.-4-сервером

В этой конфигурации сети ISA-сервер ожидает входящие запросы на порту 80 адаптера

внешнего интерфейса.

По умолчанию Web-сервер также ожидает входящие запросы на порту 80. Во избежание конфликта Web-сервер необходимо перенастроить на другой порт, после чего изменить правило Web-публикации ISA-сервера гак, чтобы принятые запросы перенаправлялись напорт

Вместо этого вы можете указать в параметрах сервера IIS (Internet другой IP-адрес для входящих запросов. Например, если задать IP-адрес для входящих запросов — 127.0.0.1, они будут приниматься только с локального компьютера, то есть с ISA-сервера.

Web-сервер в локальной сети

На рис. 2-4 показан пример, в котором Web-ccрверы размещены за ISA-сервером.

Два Web-серверы расположены во внутренней сети, защищенной ISA-севером. Когда пользователь Интернета запрашиваетвили examp-

le.tTiicrosoft.com/DcvckjpmeRi запрос направляется ISA-серверу, который затем пересылает его соответствующему Web-серверу

---

Рис. 2-4. Web-серверы, расположенные за ISA-сервером

Обратите внимание, что, когда внешние клиенты запрашивают объекты с Web-серверов, они фактически получают доступ только к ISA-серверу. Таким образом, он предотвращает доступ внешних пользователей в частную сеть. При этом IP-адреса Web-серверов не раскрываются, а клиенты из Интернета получают запрошенное у Web-сервера содержимое с IP-адреса ISA-сервера.

Проекты, предполагающие использование сервера Exchange

Как правило, в проектах с ISA-сервером требуется защитить данные, пересылаемые между почтовыми серверами по протоколу SMTP (Simple Mail Transfer Protocol). Например, ISA-сервер иногда обеспечивает безопасность Microsoft Exchange Server. При этом сервер Exchange может располагаться, как на одном компьютере с ISA-сервером, так и в локальной сети или в сети периметра (DMZ). Сервер Exchange, совмещенный с ISA-сервером

На рис. 2-5 показан пример, когда ISA-сервер располагается на одном компьютере с сервером Exchange.

и Exchange

Рис. 2-5. Сервер Exchange.с ISA-сервером

Сервер Exchange в локальной сети

На рис. 2-6 показан пример, когда сервер Exchange располагается в локальной сети, защищенной ISA-сервером.

0 ... 18 19 20 21 22 23 24 ... 131