• Две версии ISA -сервера
• Основные отличия
• Роли ISA-сервера
• Интеграция с Windows 2000
• Масштабируемость
• Расширяемость
• Архитектура ISA-сервера
• Практикум. Презентация, посвященная ISA-серверу
• Резюме

На этом занятии мы расскажем о возможностях и преимуществах ISA-сервера.

Изучив материал этого занятия, вы сможете:

• рассказать о различиях двух версий ISA-сервера;
• описать функциональные возможности ISA-сервера;
• объяснить, как ISA-сервер использует возможности Windows 2000 для обеспечения повышенной безопасности, производительности и управляемости;
• рассказать о масштабируемости и расширяемости ISA-сервера.

Продолжительность занятия - около 45 минут.

ISA-сервер - это расширяемый брандмауэр масштаба предприятия и сервер Web-кэширования, который базируется на операционной системе Windows 2000. Многоуровневый брандмауэр на базе ISA-сервера обеспечивает защиту сетевых ресурсов от вирусов, хакеров и несанкционированного доступа, а сервер Web-кэширования позволяет организациям обеспечить более быстрый доступ к Web-ресурсам, сохраняя локальные копии объектов Интернета и возвращая их пользователям без обращения к узлам, хранящим оригинал. Режим работы ISA-сервера определяется в процессе установки - режим брандмауэра (Firewall), сервера Web-кэширования (Cache) или смешанный режим (Integrated), ISA-сервер позволяет минимизировать сложности, сопутствующие внедрению и управлению брандмауэром и сервером кэширования, предоставляя интуитивно понятные и мощные средства управления, в том числе оснастки консоли MMC (Microsoft Management Console), панели заданий (taskpads) и мастера.

Две версии ISA-сервера

ISA-сервер поставляется в двух модификациях: ISA Server Enterprise Edition и ISA Server Standart Edition.

Версия ISA Server Enterprise Edition
Эта версия удовлетворяет высоким требованиям по производительности, управляемости и масштабируемости в средах с интенсивным трафиком Интернета. Она поддерживает централизованное сервером, многоуровневые политики доступа, кластеризацию серверов путем создания массивов и обеспечение отказоустойчивости.

Версия ISA Server Standart Edition.
Эта версия обеспечивает возможности защиты сетей посредством брандмауэра и кэширование Web-содержания для небольших предприятий, рабочих групп и отдельных подразделений. Она отличается превосходным соотношением "цена/качество" среди систем, применяемых в критически важных бизнес средах.

Основные различия

Функции безопасности, кэширования, управления, производительности и расширяемости одинаковы в обеих версиях ISA-сервера. Однако версия Standard работает только как изолированный ISA-сервер с локальной политикой и поддерживает не более 4 процессоров. Версия Enterprise может работать в многосерверных массивах с централизованным управлением, политиками уровня предприятия и уровня массива и неограниченной масштабируемостью.
Хотя эта книга и посвящена конфигурированию и управлению версией Enterprise Edition ISA-сервера, понимание различий между двумя версиями позволяет правильно выбрать подходящую в той или иной ситуации, Эти различия перечислены в таблице 1-1.

Таблица 1-1. Различия двух версий ISA-сервера ISA Server Standard Edition и ISA Server Enterprise Edition

Роли ISA-сервера

ISA-сервер - отличное решение для организаций самых разных размеров, заинтересованных в обеспечении безопасности, производительности и управляемости сетей за разумные деньги. С ним могут работать ИТ-менеджеры, администраторы сети и специалисты информационной безопасности. ISA-сервер работает в одном из трех возможных режимов: как брандмауэр (Firewall), как кэширующий сервер (Cache) или в смешанном режиме (Integrated). В последнем случае он совмещает выполнение функций брандмауэра и сервера Web-кэширования. Существует множество вариантов развертывания ISA-сервера в конкретных организациях - в этой книге описаны лишь наиболее популярные.

Брандмауэр Интернета

ISA-сервер можно установить как выделенный брандмауэр, выполняющий функции защищенного шлюза Интернета для клиентов внутренней сети. ISA-сервер работает незаметно ("прозрачно") для соединяемых клиентов, если только они не обмениваются информацией, запрещенной ограничениями доступа или правилами защиты.
Работая в качестве брандмауэра, ISA-сервер позволяет реализовать определяемую бизнесом политику безопасности при работе через Интернет, предоставляя богатые возможности по настройке обширного набора правил, которые определяют порядок пересылки через него трафика различных узлов, протоколов и Web-содержимого. Постоянно контролируя запросы и ответные сообщения между Интернетом и клиентскими компьютерами внутренней сети, ISA-сервер управляет доступом различных клиентов к тем или иным компьютерам корпоративной сети. Также он позволяет управлять доступом клиентов внутренней сети к компьютерам Интернета.

Безопасная публикация серверов

Сервер прямого Web-кэширования

Выполняя функции сервера прямого Web-кэширования, ISA-сервер поддерживает централизованный кэш наиболее часто запрашиваемых данных Интернета и использует содержимое кэша для обслуживания запросов от браузеров в частной сети. Таким образом, удается добиться повышения производительности браузера, сократить время отклика и снизить потребление пропускной способности подключений к Интернету.

Сервер обратного Web-кэширования

ISA-сервер иногда действует как Web-сервер, используя данные из кэша для обслуживания входящих клиентских запросов и пересылая запросы на локальный Web-сервер только при отсутствии нужной информации в кэше.

Сервер, совмещающий функции брандмауэра и сервера кэширования Web-содержимого

ISA-сервер обычно используют в одном из режимов - брандмауэра или сервера кэширования, однако существует возможность совместить эти функции на одном компьютере для обеспечения безопасной и быстрой связи с Интернетом. Независимо от варианта развертывания, ISA-сервер обеспечивает все преимущества централизованного управления на основе политик.

Интеграция с Windows 2000

ISA-сервер базируется на технологиях Windows 2000, за счет чего обеспечивается повышенная безопасность и производительность, а также расширенные возможности управления. Далее перечислены возможности Windows 2000, применяемые на ISA-сервере для поддержки перечисленных функций.
∙ Преобразование сетевых адресов (Network Adress Translation,NAT).
ISA-сервер расширяет возможности NAT в Windows 2000, поддерживая специальную политику для клиентов SecureNАТ (рис. 1-1).
Примечание: Стандарт NAT описан в документе RFC 1361 сообщества IETF (Internet Ingeneering Task Force). NAT является встроенным компонентом Windows 2000 и представляет собой шлюз, скрывающий IP-адреса клиентов внутренней ЛВС (LAN) от внешних клиентов, что достигается путем сопоставления внутренних адресов другим, доступным извне, адресам.
∙ Интегрированные виртуальные частные сети (Virtual Private Network, VPN). ISA-сервер можно сконфигурировать как VPN-сервер для поддержки безопасных удаленных подключений типа "шлюз - шлюз" или "клиент - шлюз" через Интернет. Основанная на общепринятых стандартах подсистема Windows 2000 для работы по VРN поддерживает протоколы РРТР (Point to Point Tunneling Protocol) и L2TP/IPSec (Layer 2 Tunneling Protocol/Secure Internet Protocol).
∙ Аутентификация. ISA-сервер поддерживает принятые в Windows 2000 методы проверки подлинности, в том числе базовую аутентификацию, проверку подлинности по протоколам NTLM
(NT Lan Manager) и Kerberos, а также аутентификацию на основании цифровых сертификатов.

Рис. 1-1. Механизм Secure NAT

Ограничение возможностей пользователей по настройке системы. Для частичного или полного предотвращения модификации системы пользователями на ISA-сервере применяются шаблоны безопасности Windows 2000.
База данных Active Directory. Когда ISA Server Enterprise Edition конфигурируется для работы в многосерверном массиве, конфигурация и политики хранятся централизованно в базе данных службы каталогов Active Directory. Кроме того, для управления доступом пользователей и групп на ISA-сервере часто применяют данные Active Directory.
Многоуровневая подсистема управления на основе политик. Сервер ISA Server Enterprise Edition позволяет использовать распределенные службы каталогов Active Directory, для этого определяется одна или несколько политик, которые затем применяются к массивам всего предприятия. Указанный механизм поддерживает многоуровневую и масштабируемую модели администрирования.

Административные консоли ММС. Интерфейс управления ISA-сервером называется ISA Management (рис. 1-2) и представляет собой оснастку ММС, отображаемую в виде панели заданий (Taskpad) или в расширенном виде (Advanced). Консоль ММС расширяема и позволяет ╚гладко╩ интегрировать средства управления, созданные сторонними поставщиками, в панель управления ISA-сервером.

Рис. 1-2. Окно оснастки ISA Management

Качество обслуживания (Quality of Servis, QoS). ISA-сервер обеспечивает механизмы управления пропускной способностью, которые базируются на службе качества обслуживания (QoS) в Windows 2000 и применяются для распределения трафика в соответствии с приоритетами.
Поддержка многопроцессорных систем. Для повышения производительности на ISA-сервере применяется присутствующая в Windows 2000 архитектура поддержки симметричных многопроцессорных вычислений (SMP).
Автоматическое обнаружение прокси-сервера клиентами. Поддержка протокола автоматического обнаружения прокси-сервера WPAD (Web Proxy Autodiscovery Protocol) на клиентах брандмауэра, основанного на ISA-сервере, позволяет им автоматически подключаться к ISA-серверу, при этом нет необходимости индивидуально конфигурировать каждый клиент.
СОМ-объект администрирования ISA-сервера. ISA-сервер представляет доступ из программ к механизму управления правилами брандмауэра и всеми административным параметрами.
Web-фильтры. Для контроля и управления проходящим через шлюз трафиком протоколов НТТР и РТР применяются Web-фильтры ISA-сервера, создаваемые на основе интерфейса ISAPI (Internet Server Application Programming Interface).
Оповещения. ISA-сервер регистрирует оповещения Windows 2000 в журнале событий.

Масштабируемость

Компьютеры с ISA Server Enterprise Edition можно объединять в массивы для обеспечения повышенной отказоустойчивости, балансирования нагрузки и распределенного кэширования. Массив ISA-серверов рассматривается и управляется как единый логический объект. Установка массива также позволяет повысить производительность и снизить потребление пропускной способности. Объединение в массивы позволяет распределять клиентские запросы между многими ISA-серверами, что сокращает время отклика на клиентские запросы. За счет распределения нагрузки между серверами массива удается добиться повышения производительности даже на оборудовании средней мощности.
Существуют и другие возможности, способствующие высокой масштабируемости ISA-серверов.
∙ Поддержка симметричных многопроцессорных вычислений (SМР).
ISA-сервер использует преимущества поддержки технологии SМР в Windows 2000 для поддержки многопроцессорных систем и масштабирования производительности вверх. Версия ISA Server Standard Edition поддерживает до 4 процессоров на компьютере, а версия ISA Server Enterprise Edition - неограниченное число процессоров, что достигается за счет использования массивов. В отличие от других программных продуктов на ISA-сервере дополнительные вычислительные мощности применяются для повышения производительности.
∙ Балансировка сетевой нагрузки (Network Load Balancing). Поставляемая в составе Microsoft Windows 2000 Advanced Server и Windows 2000 Datacenter Server служба балансировки сетевой нагрузки используется на ISA-серверах для объединения их в кластеры и обеспечения отказоустойчивости, высокой готовности и производительности. Служба NLB особенно эффективна в конфигурациях, где требуется обеспечить работу брандмауэра, обратное кэширование (Web-публикация) и публикацию серверов.

Расширяемость

Ряд сторонних поставщиков предоставляют расширения ISA-сервера, обеспечивающие дополнительные функции, такие, как обнаружение вирусов, фильтрация информации, классификация Web-узлов, расширенные возможности отчетности и администрирования.
Клиенты и разработчики также вправе создавать собственные расширения ISA-сервера. Для этого в составе ISA-сервера поставляется полноценный комплект ресурсов для разработчиков (software developmend kit, SDK), позволяющий создавать дополнительные функции на основе существующих возможностей ISA-сервера - брандмауэра, кэширования и управления. Кроме того, в составе ISA-сервера поставляются типовые сценарии, освобождающие администраторов от необходимости создавать их "с нуля": зачастую достаточно лишь изменить типовой сценарий, указав требуемые протоколы, правила или узлы, и успешно использовать его для решения своих задач.

Архитектура ISA-сервера

ISA-сервер обеспечивает защиту корпоративной сети на многих коммуникационных уровнях. ISA-сервер осуществляет фильтрацию на уровне пакетов. При включенной фильтрации пакетов ISA-сервер статически управляет пересылкой данных через внешний интерфейс, оценивая входящий и исходящий трафик до того, как тот достигает какого-либо ресурса. Данные, прошедшие через фильтры пакетов, передаются службам брандмауэра и Web-прокси, где вступают в игру правила ISA-сервера и определяется возможность обслуживания запроса.
ISA-сервер обеспечивает защиту клиентам трех типов (рис. 1-3): брандмауэра, SecureNAT и Web-прокси.
Клиенты брандмауэра - это компьютеры с установленным и работающим программным обеспечением клиента брандмауэра (Firewall Client). Запросы от клиентов брандмауэра поступают на брандмауэр ISA-сервера, где определяется возможность предоставления доступа. В дальнейшем трафик от клиента брандмауэра обычно проходит через фильтры приложений и других дополнительных модулей. Запрос НТТР-объекта клиентом брандмауэра перенаправляется редиректором НТТР на Web-прокси, который, возвращая запрошенный объект, может параллельно разместить его в своем кэше. При наличии НТТР-объекта в кэше ISA-сервер не обращается в Интернет, а возвращает копию объекта из кэша.
Клиенты SecureNAT - это компьютеры, на которых не установлен клиент брандмауэра. Запросы от клиентов SecureNAT сначала попадают на NAT-драйвер, который заменяет глобальный IP-адрес Интернета клиента SecureNAT на адрес клиента во внутренней сети. Далее запросы от клиентов брандмауэра поступают на брандмауэр ISA-сервера, где определяется возможность доступа. В дальнейшем трафик от клиента брандмауэра проходит через фильтры приложений и других дополнительных модулей. Так же как и в предыдущем случае, запрос НТТР-объекта клиентом брандмауэра перенаправляется редиректором НТТР на Web-прокси, и тот, возвращая ответ, может параллельно разместить полученный из Интернета запрошенный объект в своем кэше. Далее он не обращается в Интернет, а возвращает копию из кэша.
Клиенты Web-прокси - это любые поддерживающие стандарты CERN Web-приложения, например Microsoft Internet Explorer. Запросы от клиентов Web-прокси направляются в службу Web-прокси Web-сервера для определения возможности предоставления доступа. Служба Web-прокси возвращает запрошенный объект непосредственно из Интернета (одновременно размещая его копию в кэше) или из кэша ISA-сервера.
В таблице 1-2 описаны основные возможности ISA-сервера.

Таблица 1-2. Основные возможности Microsoft ISA Server

Практикум. Презентация, посвященная ISA-серверу

Сейчас вы посмотрите 15-минутную мультимедийную презентацию, посвященную возможностям и преимуществам ISA-сервера. Для этого дважды щелкните файл ISA_Demo.ехе, расположенный в папке \Exercises\Chapter1\ на прилагаемом к книге компакт-диске.

Резюме

ISA-сервер позволяет создавать решения подключения к Интернету масштаба целого предприятия, которые содержат устойчивый многофункциональный брандмауэр и масштабируемый Web-кэш для ускорения работы в Интернете. Брандмауэр и сервер кэширования Web-содержимого можно развертывать как по отдельности, так и совмещать - все определяется проектом сети и требованиями заказчика.

ISA-сервер поставляется в двух версиях, что позволяет удовлетворить любые бизнес-требования и требования к проектам сетей заказчика. ISA Server Standard Edition позволяет обеспечить функции брандмауэра и сервера кэширования для предприятия в небольших компаниях, рабочих группах и отдельных подразделениях. Версия ISA ISA Server Enterprise Edition предназначена для более крупных организаций и является масштабируемым решением с поддержкой брандмауэра и сервера Web-кэширования благодаря поддержке многосерверных массивов и многоуровневых политик.
Развитые функции безопасности ISA-сервера базируются на мощных возможностях баз данных безопасности в Windows 2000 и позволяют конфигурировать правила безопасности, основанные на конкретных типах трафика на уровне отдельных пользователей, компьютеров или групп Windows 2000.
Консоль управления ISA Management обеспечивает простоту управления брандмауэром и кэшем ISA-сервера. Она базируется на консоли MMC и объединяет все "рычаги управления" ISA-сервером, позволяя централизованно контролировать его работу с помощью мастеров и панелей заданий, которые существенно упрощают наиболее популярные процедуры управления. ISA-сервер также обеспечивает мощные средства управления безопасностью на основе политик. Администраторы получают возможность управлять доступом и пропускной способностью, определяя их для любых существующих элементов политики - пользователей, компьютеров, протоколов, типов информационного наполнения, расписаний и Web-узлов. Наконец, 13А-сервер - это чрезвычайно гибкая расширяемая платформа с собственным комплектом ресурсов для разработчиков (SDK) и набором типовых сценариев, которые позволяют настраивать архитектуру подключения к Интернету в соответствии с потребностям бизнеса.