ISA 综述

1----ISA概览

MS的Internet Security and Acceleration (ISA) Server能被布署为一个INTERNET 与INTERNET 客户之间

的专用的防火墙。ISA Server能保护计算机和INTERNET之间所有的通信。一个简单的防火墙服务器的例子：ISA

服务器有两块网卡，一块连接局域网，一块连接internet。
你可以使用Microsoft的ISA Server来配置防火墙，通过配置策略(policies)，建立一系列规则(rules)来

满足你的需要。通过设置安全访问策略(security access policies)来预防非授权访问和恶意访问你的网络。
你也可以限定哪一个用户或组被允许进行通信、限定哪些应用(application)、目标(destination)、内容类型

(content type)和计划(schedule)被允许。
更多信息，请参见以后内容。

出站访问策略(Outgoing access policy)：你可以使用ISA SERVER来配置:站点(site)，内容规则(content

中国网管论坛bbs.bitsCN.com

rules)、协议规则(protocol rules)对你的客户访问INTERNET进行控制。
站点、内容规则定义哪些站点和内容能被访问。协议规则指明哪一个协议能够进行进站或是出站的能信。
侵入检测(Intrusion detection): 集成侵入检测构件能够在有人向你的网络发出特殊的攻击时警告你。例

如：你可以设置ISA在端口被扫描时对你报警。
安全向导(Security Wizard)： 安全向导能够帮你设置适当的安全级别
应用过滤器(Application filters)： ISA Server 能够在 data-aware 过滤器里控制特殊的通信。ISA

Server 可以用过滤器决定数据包可以接受、拒绝、转发、或是被修改。

授权(Authentication)： ISA Server 支持的用户授权方式有: 集成windows验证、客户端验证，基本验证

等。

2----发布（Publishing）概览
Microsoft Internet Security and Acceleration (ISA) Server 允许你把internet的服务发布到internet上去。你可以配置web publishing 和发布规则(publishing rules)来限定哪些请求能被送到在你内网里的服务器上。 中国网管联盟bitsCN.com
例如：你可以把你的exchange server 放在你的ISA Server 后面，并且配置相应的发布规则允许你的E-MAIL服务器发布到internet上去。进站的到exchange Server 的email中途被ISA服务器拦截后，转发到指定email Server上。ISA Server能够过滤数据包并且转发它到exchange server上。你的exchange 永远都不会暴露在外部用户面前，它处于一个安全的环境里，并且这个功能还支持其它的网络服务。
当一个在internet上的客户端向web服务器发出一个请求时，这个请求实际上是送到了ISA 服务器上的IP上。配置在ISA服务器上的web发布规则把这个请求转发到了内部的web服务器上。

3----高速缓存（Cache）概览

Microsoft Internet Security and Acceleration (ISA) Server 通过储存经常访问的对象来改善网络性能。你可以配置cache来保存经常访问的对象。
ISA Server能被用于允许在你的网络和internet之间进行通信。通信可能是在你的客户机和internet上正被访问的服务器上进行，因为这个原因，ISA Server 实现正向(forward)caching。通信也可能是在外部用户访部内部publishing 服务器之间，因为这个原因，ISA SERVER可以反向(reverse) caching。两种情况都有益于提高ISA Server的性能，并确保更高效的服务于用户。

ISA Server caching 的特征包括:
1 分级caching: ISA Server 更多外部分布caching能被设置为分级caching, 链在一起的ISA SERVER, 客户可以选择访问离他们最近的一台caching。
2 cache内容计划下载：使用"cache内容计划下载" 可以让ISA SERVER从INTERNET上取得常用的请求内容到它的CACHING里。
3 反向 caching: ISA Server能够缓存内部发布服务器上的内容, 这个特性适用于所有通过ISA Server发布的Internet服务。


正向Caching
ISA Server 能被设置为为内部客户访问Internet提供服务的正向Caching 服务器。它将经常被请求的对象放到caching里，当内部客户访问相同的对象时就从caching里读取。这样可以缩短对客户的响应时间，减少Internet的通信量。
例子：client 1请求一个web对象，ISA Server检查这对个象是否在Cache当中，如果没有，它将从Internet服务器上取得此对象，保存在Cache当中，对返回给client 1,当client 2请求相同的对象时，ISA Server将把存放在cache当中的数据返回给client 2，当相于client 2从internet上得到了此对象。 中国网管联盟bitsCN.com

反向caching
ISA Server能被设置在web 站点的前端，对于从外部来的web请求，ISA SERVER能够作为一台web server从它的CACHE里读出内容对外部请求做出响应，当请求对象不在CACHE里时，它会求请求转发到内部WEB SERVER中。


4----可扩展性（Extensibility）概览

安全策略、组织和组织间的实施多样性、通信标识、内容格式等成为了关注的焦点。没有一种厂品或是某个厂商能够遇到一个大型组织里的所有安性和性能的需要。所以Microsoft Internet Security and Acceleration (ISA) Server 具体了软高的可扩展性。ISA Server 为了满足客户开发需要，包含了一个综合的软件开发工具， 并且可以与ISA SERVER很好的集成和兼容， 它里面的三部份提供了：
1、内容安全工具，包括：病毒检测、词汇分析。
2、管理工具，包括：实时监控、远程管理、站点阻止、URL分类、报告等。
3、API文档，step-by-step 引导，例子，扩展的插件等。 中国网管论坛bbs.bitsCN.com

ISA Server 使用了可扩展性的构造:
1、可扩展的管理：你可以通过脚本或是管理工具来使用管理COM，使之完成所有的管理任务。
2、应用过滤器：你可以通过建造应用过滤器来截取任何数据流，对它进行分析或是修改。
3、Web 过滤器：你可以通过建立基于ISAPI的过滤器来对HTTP和FTP协议的数据流进行：分析、阻止、转发、或是修改操作。
4、可扩展的用户界面：你可以通过MMC扩展用户界面。
5、可扩展的报警：你可以通过定义一个新事件和建立脚本来使所发生的事件进行自动报警。
6、可扩展的存储：你可以在ISA SERVER里注册一个新的存储。


5----构造概览

Microsoft Internet Security and Acceleration (ISA) Server 运行在不同的通信层，来保护内部网络

。 在packet层, ISA Server 实现包过滤。当包过滤被“允许”(enabled)时, ISA Server 能够控制扩展接口 网管下载dl.bitscn.com

上的包。 如果数据被允许通过包过滤层， 它将被通过防火墙和ISA Server。
防火墙客户是指安装并允许防火墙功能的计算机。从防火墙客户端发出的请将被直接送到在ISA SERVER上

的防火墙服务，并确定它是否被允许，随后，它可能被应用过滤器或是其它插件过滤掉。如果防火墙客户请求

的是一个HTTP对象，那么HTTP转发器将把这个请求转发到WEB PROXY SERVICE。WEB PROXY将从CACHe或是

INTERNET返回此对象。
Secure network address translation (SecureNAT) 客户端是指没有安装防火墙的计算机。 从secureNAT

客户端发出的请求首先被转发到 network address translation (NAT网络地址转换) 驱动程序当中, 然后用一

个有效合法（INTERNET上能使用）的IP地址代替。接首请求被转发到防火墙确定是否被允许，最后，请求可能

会被应用过滤器和其它插件过滤。如果 SecureNAT 客户请求的是一个HTTP对象，那么HTTP转发器将会把这个请

求送到WEB PROXY SERVICE。WEB PROXY将从CACHe或是INTERNET返回此对象。
Web Proxy客户端是指与 CERN兼容的应用。从WEB PROXY客户端发出的请求将被转发到在ISA服务器上的WEB

中国网管论坛bbs.bitsCN.com

PROXY SERVICE，确定是否被允许，WEB PROXY将从CACHe或是INTERNET返回此对象。er cache.
防火墙客户端和SecureNAT客户端都可以是WEB PROXY客户端。如果在客户端上的WEB应用被明确的配置为命

使用ISA SERVER，那么WEB 请求将会被直接送到WEB PROXY SERVICE，包括HTTP，FTP，HTTPS，GOPHER。注意：

所有请求都先经过防火墙。


6----H.323 看守（H.323 Gatekeeper）概览

H.323看守和H.323协议过滤器一起为H.323客户使用与H.323看守兼容的应用软件工作，为其提供充足的带

宽，比如说HETMEETING 3.0。你可以为使用netmeeting 3.0 的客户向H.323 看守注册数据库里注册一个大家都

知道的别名，而为其提供路由和目录服务。客户端注册是一个典型的H.323注册。你可以用H.323协议过滤器建

立一个基于“呼叫者会议地址”的PBX-STYLE拨号计划来路由呼叫。
当注册用户使用兼容H.323看守的应用程序时，他通过H.323看守到达他们知道的会议别名，并参加，视频

，音频，和数据会议。H.323客户能在局域网和广域网中能信，并通过墙到达INTERNTE。
H.323看守服务需要所有进站流入的呼叫通过ISA SERVER到达会议别名。任何想通过邮件地址到达会议的客

网管网www_bitscn_com

户，通必须通过H.323看守进行注册。当一个未经允可使用传输服务的出站者进行呼叫时，他必须通过H.323看

守进行注册。不需要进行传输服务的出站呼叫者，可以不通过H.323看守允可。
例如：你在你们公司的办公司内，想要联系一个在internet上的人，名叫某某，在MS工作，以

XXX@MICROSOFT.COM通过H.323看守在MS注册。因为某某人是通过H.323注册的，所以你可以通过他的别名

xxx@microsoft.com与他联系上，你可以按以下步骤通过NETMEETING 3.0向他呼叫。

从你公司内部：
你使用netmeeting通过你内部的H.323看守者向xxx@microsoft.com进行呼叫，H.323看守不认识

microsoft.com是一个Internte的地址，并将它转发到内部的ISA Server，ISA Server在Internet查找

microsoft.com这个地址。
在目标处：
当在microsoft.com的ISA Server收到一个询问XXX@microsoft.com的信息时，它联系内部的H.323看守，并

获得正确的内部地址。H.323看守将别名转换成一个内部网络地址，送给MS的ISA Server,MS的ISA Server将返

网管联盟bitsCN_com

回一个确认信息给你公司的ISA Server，并建立起连接。
从这一刻开始，ISA Server将保持这个H.323确认联接，


7----控制出站请求

Microsoft Internet Security and Acceleration (ISA) Server的一个主要功能是联接网域网和Internet

并保护你的内网的安全，促进连通性。你可以使用ISA Server建立一个访问策略，控制内部客户访问一些特定

的Internet主机。访问策略和路由规格则决定了客户端如何访问Internet。
当ISA Server处理一个出站请求时，它会检查路由规则、站点和内容规则，协议规则，来确定访问是否允

许。只有协议规则，站点和内容规则，都允许，并且没有其它规则明确拒绝这一请求时，它才会被允许。
有些规则可以配置应用到特定的客户，客户可以按IP地址或是按用户名被指定。
对于一个出站请求，按以下规则进行处理：
协议规则
站点和内容规则 中国网管论坛bbs.bitsCN.com
IP包过滤
路由规则或是防火墙配置

如：客户端发出一个清求，首先， ISA Server检查协议规则。如果有一个协议规则允许并没有其它的协议

规则拒绝，那么这个请求被允许。接着，ISA SERVER检查站点和内容规则，如果有一个检查站点和内容规则允

许并没有其它的检查站点和内容规则拒绝，那么这个请求被允许。ISA Server还会检查IP 包过滤的配置是否定

义了阻止这一请求，来决定是否拒绝这一请求。最后，ISA Server检查路由规则（如果是一个web proxy客求发

出请求）或是检查防火墙配置(如果是一个SecureNAT或是防火墙客户发出的请求)，来确认这个请求是否被通过

。
如：假设你是在一台有双网卡的计算机以集成或是防火墙模式安装的ISA Server，一个网卡连Internet，

另一个网卡联你的局域网。你允许了所有用户访问所有的站点，这样，你的策略包含了以下这些简单的访问策

网管网www_bitscn_com

略：一个允许所有客户在任何时间使用任何协议的协议规则。一个允许所有客户在任何时间访问任何站点的站

点和内容规则。注意：这个规则只是允许了内部客户访问Internet，并没有允许外部客户访问你的网络。



8----控制进站请求

Microsoft Internet Security and Acceleration (ISA) Server 可以使外部服务安全地访问内部的服务

器。 你可以使用ISA Server建立发布策略安全地发部你内部的服务器。发布策略是由IP包过滤器，Web发布规

则，和服务器发布规则，路由规则共同组成，来确定你的内部服务器是否被发布。
你可以使用以下一个规则发布你的服务器：
Web 发布规则可以发布你web 服务器的内容。
Server发布规则可以发布你内部网内的其它服务器。

当ISA Server处理一个外部发来的请求时，当检查IP 包过滤器，发布规则，和路由规则来确定是否被这个

请求，并决定哪一个内部服务器来响应这个请求。
对于一个进站请求，规则是按以下顺序时行处理的：
IP包过滤器
web 发布规则
路由规则

如：假设你是在一台有双网卡的计算机以集成或是防火墙模式安装的ISA Server，一个网卡连Internet，另

一个网卡联你的局域网。IP包过滤器是否允许，如果有一个IP包过滤器定义拒绝，那个请求将被拒绝。如果有

一个Web 发布规则定义拒绝，那个请求将被拒绝。如果有一个路由规则定义拒绝，那个请求将被拒绝。如果有

一个IP包过滤器定义拒绝，那个请求将被拒绝。