Раздел: Документация
0 ... 5 6 7 8 9 10 11 ... 131 Основные сведения об tSA-сераире Глава 1 Занятие 1. Краткий обзор ISA-сервера На этом занятии мы расскажем о возможностях и преимуществах ISA-сервера. Изучив материал этоговы сможете: *рассказать о различиях двух версий ISA-сервера; ✓ описать функциональные возможности ISA-сервера; объяснить, как ISA-сервер использует возможности Windows 2000 для обеспечения повышенной безопасности, производительности и управляемости; *рассказать о масштабируемости и расширяемости ISA-сервера. Продолжительность занятия - около 45 минут. ISA-сервер — это расширяемый брандмауэр масштаба предприятия и сервер Web-кэширования, который базируется на операционной системе Windows 2000. Многоуровневый брандмауэр на базе ISA-сервера обеспечивает защиту сетевых ресурсов от вирусов и несанкционированного доступа, а сервер МеЬ-кашнровнния позволяет организациям обеспечить более быстрый доступ к Web-ресурспм, сохраняя локальные копии объектов Интернета и возвращая их пользователям без обращения к узлам, хранящим оригинал. Режим работы ISA-сервера определяется в процессе установки — режим брандмауэра (Firewall), сервера Web-кэширования (Cache) или смешанный режим (Integrated). ISA-сервер позволяет минимизировать сложности, сопутствующие внедрению и управлению брандмауэром и сервером кэширования, предоставляя интуитивно понятные и мощные средствав том числе оснастки консоли(Microsoft Management Console), панели заданий (taskpads) и мастеры, Две версии ISA-сервера ISA-сервер поставляется в двух модификациях: ISA Server Enterprise Edition и ISA Server Standard Edition. ISA Server Enterprise Edition Эта версия удовлетворяет высоким требованиям по производительности, управляемости и масштабируемости в средах с интенсивным трафиком Интернета. Она поддерживает централизованное управление сервером, многоуровневые политики доступа, кластеризацию серверов путем создания массивов и обеспечение отказоустойчивости. ISA Server Standard Edition Эта версия обеспечивает ношожности защиты сетей посредством брандмауэра и кэширование Web-co держания для небольших предприятий, рабочих групп и отдельных подразделений. Она отличается превосходным соотношением «цена/качество» среди систем, применяемых в критически важных бизнес-средах. Основные различия Функции безопасности, кэширования, управления, производительности и расширяемости одинаковы в обеих версиях ISA-сервера. Однако версия Standard работает только как изолированный ISA-сервер с локальной политикой и поддерживает не более 4 процессоров. Версия Enterprise может работать в многосерверных массивах с централи зеванным управлением, политиками уровня предприятия и уровня массива и неограниченной масштабируемостью. Хотя эта книга и посвящена конфигурированию и управлению версией Enterprise Edition ISA-сервера, понимание различий между двумя версиями позволяет правильно выбрать подходящую в той или иной emyamni. Эти различия перечислены в 1 абзац.: I -1 Таблица 1-1. Различия двух версий ISA-eepRcpa
Роли ISA-сервера JSA-сервер — отличное решение для организаций самых разных размеров, заинтересованных в обеспечении безопасности, производительности и управляемости сетей за разумные деньги. С ним могут работать ИТ-менеджеры, администраторы сети и специалисты информационной безопасности. ISA-сервер работает в одном из трех возможных режимов: как брандмауэр (Firewall), как кэшируюший сервер (Cache) или в смешанном режиме (Integrated). В последнем случае он совмешает выполнение функций брандмауэра и сервера Web-кэширования. Существует множество вариантов развертывания ISA-сервера в конкретных организациях — в этой книге описаны лишь наиболее популярные. Брандмауэр Интернета ISA-сервер можно установить как выделенный брандмауэр, выполняющий функции защищенного шлюза Интернета для клиентов внутренней сети. ISA-сервер работает незаметнодля соединяемых клиентов, если только они не обмениваются информацией, запрещенной ограничениями доступа или правилами защиты. Работая в качестве брандмауэра, ISA-сервер позволяет реализовать определяемую бизнесом политику безопасности при работе через Интернет, предоставляя богатые возможности по настройке обширного набора правил, которые определяют порядок пересылки через него трафика различных узлов, протоколов и Weri-еолержимого. Постоянно контролируя запросы и ответные сообщения между Интернетом и клиентскими компьютерами внутренней сети, ISA-сервер управляет доступом различных клиентов к тем или иным компьютерам корпоративной сети. Также он позволяет управлять доступом клиентов внутренней сети к компьютерам Интернета. Безопасная публикация серверов ISA-сервер позволяет публиковать службы в Интернете, не нарушая безопасность шп ipen-ней сети. Для этого он обрабатывает внешние клиентские запросы от имени опубликованного внутреннего сервера. 4Основные сведения об i8&-cepsepe Г пава 1 Сервер прямого Web кэширования Выполняя функции сервера прямого Web-кэширования, ISA-сервер поддерживает централизованным кэш наиболее часто запрашиваемых данных Интернета и использует содержимое кэша для обслуживания запросов от браузеров в частной сети. Таким образом удается добиться повышения производительности браузера, сократить время отклика и снизить потребление пропускной способности подключений к Интернету. Сервер обратного Web-кэширования ISA-сервер иногда действует как Web-сервер, используя данные из кэша для обслуживания пхол5!!:!их клиентских запросов и пересылая запросы на локальный Web-сервер только при отсутствии нужнойв кэше. Сервер, совмещающий функции брандмауэра и сервера кэширования Web-содержимого ISA-сервер обычно используют в одном из режимов — брандмауэра или сервера кэширования, однако существует возможность совместить эти функции на одном компьютере для обеспечения безопасной и быстрой связи с Интернетом. Независимо от варианта развертывания, ISA-сервер обеспечивает все преимущества централизованного управления на основе политик. Интеграция с Windows 2000 ISA-сервер базируется на технологиях Windows 2000, за счет чего обеспечивается повышенная безопасность иа также расширенные возможности управления. Далее перечислены возможности Windows 2000, применяемые на ISA-сервере для поддержки перечисленных функций. • Преобразование сетевых адресов (Network Address Translation, NAT). ISA-сервер расширяет возможности NAT в Windows 2000, поддерживая специальную политику для клиентов SecureNAT (рис. 1-1), Примечание Стандарт NAT описан в документе RFC 1361 сообщества IETF (Internet Engineering Task Force). NAT является встроенным компонентом Windows 2000 и представляет собой шлюз, скрывающий IP-адресл клиентов внутренней ЛВС (LAN) от внешних клиентов, что достигается путем сопоставления внутренних адресов другим, доступным извне, адресам. •Интегрированныечастим* сети (Virtual Private Network, VPN). ISA-сервер можно сконфигурировать как VPN-сервер для поддержки безопасных удаленных подключений типа «шлюз —или «клиент — шлюз» через Интернет.на общепринятых стандартах подсистема Windows 2000 для работы по VPN поддерживает протоколы РРТР (Point to Point Tunneling Protocol) и L2TP/IPSec (Layer 2 Tunneling Protocol/Secure Internet Protocol). •Аутентификация. ISA-сервер поддерживает принятые в Windows 2000 методы проверки подлинности, в том числе базовую аутентификацию, проверку подлинности по протоколам NTLM (NT LAN Manager) и Kerberos, а также аутентификацию на основании * цифровых сертификатов. •Ограничение возможностей пользователей по настройке системы. Для частичного или полного предотвращения модификации системы пользователями на ISA-сервере применяются шаблоны безопасности Windows 2000. 0 ... 5 6 7 8 9 10 11 ... 131
|
