Раздел: Документация

0 ... 6 7 8 9 10 11 12 ... 131

Источник j Адресат\

IP-клиентАдрес Интернета

Клиенты во внутренней сети

Рис, 1-1. Мечаннм SecureNAT

•База данных Active Directory. Когда ISA Server Enterprise Edition конфигурируется для работы в многосерверном массиве, конфигурация и политики хранятся централизованно в базе данных службы каталогов Active Directory. Кроме того, для управления доступом пользователей и групп на ISA-сервере часто применяют данные Active Directory.

•Многоуровневая подсистема управления на основе политик. Сервер ISA Server Enterprise Edition позволяет использовать распределенные службы каталогов Active Directory, для этого определяется одна или несколько политик, которые затем применяются к массивам всего предприятия. Указанный механизм поддерживает многоуровневую и масштабируемую модели администрирования.

•Административные консоли ММС. Интерфейс управления ISA-сервером называется ISA Management (рис. 1-2) и представляет собой оснастку ММС, отображаемую в виде панели задании (Taskpad) или в расширенном виде (Advanced). Консоль ММС расширяема и позволяет «гладко» интегрировать средства управления, созданные сторонними по-с гашниками, в панель управления ISA-сервером.

Качество обслуживания (Quality of Service, QoS). ISA-сервер обеспечивает механизмы

управления пропускной способностью, которые базируются на службе качества обслуживания (QoS) в Windows 2000 и применяются для распределения трафика в соответствии с приоритетами.

Поддержка многопроцессорных систем. Для повышения производительности на ISA-сервере применяется присутствующая в Windows 2000 архитектура поддержки симметричных многопроцессорных вычислений (SMP).

Автоматическое обнаружение прокси-сервера клиентами. Поддержка протокола автоматического обнаружения прокси-сервера WPAD (Web Proxy Autodiscovery Protocol) на клиентах брандмауэра, основанного на ISA-сервере, позволяет им автоматически подключаться к ISA-серверу, при этом нет необходимости индивидуально конфигурировать

каждый клиент.

("ОМ-ойьекг администрирования ISA-сервера. ISA-сервер представляет доступ in программ к механизму управления правилами брандмауэра и всеми административным параметрами.

---

Основные сведений об ISA-сервере

Глава 1

ITiiTfV:and ifliion 5ftvi

PO*m -4 g$ My Метр» Pole*

J Sile and Conlanl RiJh . J Protocol Riies fc Policy Elrwr-ts iJ Schedules

J Г #:.riMiJr jrtl-.

! aJentAddr*k 5*e j£J Prtocd ИШН rJJ Content Qnxps ,т 5eiveie and Allays

[$ JjJ Montonbg 1 С ;:<№J с ;

> PJslRdmg

Bandwtdln Rules

-V 1 <* Hcrn-ril-

M Г( ; 1с I r .. :......

3 MonrfonnoCorAjwetiOi

Щ Cbnl Cordyoralwri НЗЯ fJ-slek евреи

Я IP Packet Fler P Packet Fiey BlP Packet Fit; ДЗР P"cfc« Fior 35 IP Pack* ftm

\ Scat* "

Aw ft W

Al Ay

Г

DHCP Client DNS Htei iCMFartxmnd ICHP prig юра . OIF iojc* qu. ICMP (i:,.:uu! Л ICMP unfMctob .

Alow Alow Alow Alow Alow

Mm

UDP LDP ICMP CMP IMP ICMP ICMP

Пространство имен ISA-сервера Политика доступа: Правила доступа Рис. 1-2. Окно оснастки ISA Maiiageme.ii.

\\е1ьфн.1ыры. Для контроля и управления прохолшпим через шлюз трафиком протоколов HTTP и FTP применяются Web-фильтры ISA-сервера, создаваемые на основе ин терфейса 1SAPJ (Internet Server Application Programming Interface). Оповещения, ISA-сервер регистрирует оповещения Windows 2000 в журнале событий.

Масштабируемость

Компьютеры с ISA Server Enterprise Edition можно объединять в массивы для обеспечения повышенной отказоустойчивости, балансирования нагрузки и распределенного кэширования. Массив ISA-серверов рассматривается и управляется как единый логический объект. Установка массива также позволяет повысить производительность и снизить потребление пропускной способности. Объединение в массивы позволяет распределять клиентские запросы между многими ISA-серверами, что сокритли время отклика на клиентские запросы. За счет распределения нагрузки между серверами массива удается добиться повышения производительности на оборудовании средней

Существуют и другие возможности способствующие высокой масштабируемости ISA-сервера.

• Поддержка симметричных многопроцессорных вычислений (SMP). ISA-сервер использует преимущества поддержки технологии SMP в Windows 2000 для поддержки многопроцессорных систем и масштабирования производительности вверх. Версия ISA Server Standard Edition поддерживает до 4 процессоров на компьютере, а версия ISA Server Enterprise Edition — неограниченное число процессоров, что достигается за счет использования массивов. В отличие от других программных продуктов на ISA-сервере дополнительные вычислительные мощности применяются для повышения производительности.

---

• Балансировка сетевой нагрузки (Network Load Balancing). Поставляемая в составе Microsoft Windows 2000 Advanced Server и Windows 2000 Datacenter Server служба балансировки сетевой нагрузки используется на ISA-серверах для объединения их в кластеры и обеспечения отказоустойчивости, высокой готовности и производительности. Служба NLB особенно эффективна в конфигурациях, где требуется обеспечить работу брандмауэра, обратное кэширование (Web-публикация) и публикацию серверов.

Расширяемость

Ряд сторонних поставщиков предоставляют расширения ISA-сервера, обеспечивающие дополнительные функции, такие как обнаружение вирусов, фильтрация информации, классификация Web-узлов, расширенные возможности отчетности и администрирования.

Клиенты и разработчики также вправе создавать собственные расширения ISA-сервера. Для этого в составе ISA-сервера поставляется полноценный комплект ресурсов для разработчиков (software development kit, SDK), позволяющий создавать дополнительные функции на основе существующих возможностей ISA-сервера - брандмауэра, кэширования и управления. Кроме того, в составе ISA-сервера поставляются типовые сценарии, освобождающие администраторов от необходимости создавать их «с нуля»: зачастую достаточноизменить типовой сценарий, указав требуемые протоколы, правила или узлы, и успешно использовать его для решения своих задач.

Архитектура ISA-сервера

обеспечивает корпоративной сети на многих коммуникационных уровнях. ISA-сервер осуществляет фильтрацию на уровне пакетов. При включенной фильтрации пакетов ISA-сервер статически управляет пересылкой данных через внешний интерфейс, оценивая входящий и исходящий трафик до того, как тот достигает какого-либо ресурса. Данные, прошедшие через фильтры пакетов, передаются службам брандмауэра и Web-прокси, где вступают в игру правила ISA-сервера и определяется возможность обслуживания запроса.

ISA-сервер обеспечивает защиту клиентам трех типов (рис. 1-3): брандмауэра, Secure-NAT и Web-прокси.

Клиенты брандмауэра — это компьютеры с установленным и работающим программным обеспечением клиента брандмауэра (Firewall Client). Запросы от клиентов брандмауэра поступают на брандмауэр ISA-сервера, где определяется возможность предоставления доступа. В дальнейшем трафик от клиента брандмауэра обычно проходит через фильтры приложений и других дополнительных модулей. Запрос HTTP-объекта клиентом брандмауэра перенаправляется редиректором HTTP на Web-прокси, который, возврату я запрошенный объект, может параллельно разместить его в своем кэше. При наличии HTTP-объекта в кэше ISA-сервер не обращается в Интернет, а возвращает копию объекта из кэша.

Клиенты— это компьютеры, на которых не установлен клиент брандмауэра.

Запросы от клиентов SecureNAT сначала попадают накоторый заменяет гло-

бальный IP-адрес Интернета клиента SecureNAT на адрес клиента во внутренней сети. Далее запросы от клиентов брандмауэра поступают на брандмауэр ISA-сервера, где определяется возможность доступа. В дальнейшем трафик от клиента брандмауэра проходит через фильтры приложений и других дополнительных модулей. Как и в предыдущем случае, запрос HTTP-объекта клиентом брандмауэра перенаправляется редиректором HTTP на Web-прокси, и тот, возвращая ответ, может параллельно разместить полученный из Интернета запрошенный объект в своем кэше. Далее он не обращается в Интернет, а возвращает копию из

3—2196

0 ... 6 7 8 9 10 11 12 ... 131