复习大纲及知识点整理

1、ISA2006 复习大纲防火墙的概念及分类，各种防火墙的特点（参考以下文档）Isa2006的安装，两种方式：安装向导和应答文件（参考PDF文档第1篇）熟练掌握isa中网络实体间的网络规则，即路由和NAT，当两个网络实体间是路由或正向NAT时需创建访问规则，访问规则中协议的方向都不出站，为反向NAT时需创建发布规则，发布规则中协议的方向都为入站，熟练掌握下图：熟悉防火墙策略元素（参考PDF文档第5篇），深入理解防火墙策略的执行过程（参考PDF文档第6篇），能够熟练的创建防火墙策略，并牢记在使用防火墙策略时的一些注意事项，如拒绝规则放在前面，匹配度高的放在前面等（具体参考：部署防火墙策略的十六条守

2、则.pdf）熟练掌握以下实验A:允许内部用户访问INTERNETB:允许ISA访问INTERNETC:允许内部用户访问ISA上的文件服务器E:允许内部用户和ISA的NETBIOS名称解析（防火墙客户端必需）F:开放内部网络到INTERNET的DNS流量(SNAT客户端上网必需)E:发面内部计算机的远程桌面，发布ISA的远程桌面(涉及端口侦听模式，参考PDF文档第16篇)F:发布内部文件服务器到外网（企业中使用很少，因为不够安全）熟练掌握ISA的3种客户端：包括配置及各种客户端的特点，如配置方法、支持的协议、支持的操作系统、是否支持身份验证等（参考PDF第2篇及上课时的PPT）深入理解WPAD原

3、理并能熟练的使用DHCP及DNS服务器支持WPAD。（参考PDF第3，第4篇）ISA支持的缓存类型，四种：正向，反向，链式，阵形式，如何启用缓存？TTL怎样计算？如何创建缓存规则？如何使用自动下载？哪些客户端支持网页缓存？3种客户端都是支持的如何配置单网上的ISA缓存服务器（参考PDF第27篇）ISA第二次复习web服务器的发布熟练掌握以下实验：使用ISA Server 发布内部单个Web Server使用ISA Server 发布内部多个Web Server，通过两种方法区分内部站点：多侦听器：在ISA Server 上创建两个侦听器，如果ISA上只有一个公网IP，可以让同一个IP侦听两个不

4、同的端口，用不同的端口区分两个内部站点；如果ISA上有两个公网IP，可以让这两个IP同时侦听同一个端口，同IP地址区分两个内部站点Web过滤：Web过滤方式，是通过不同的域名去区分多个内部站点，如果ISA上只有一个公网IP，而如果用多侦听器的方式，则其中一个网站可能要用到非标准（80端口之外）的端口，这样外部客户端访问些网站时要加端口号，多有不便，此时可以用多Web过滤的方式。（参考PDF文档，第10篇）使用ISA 发布内部虚拟主机（参考PDF文档，第11篇）使用ISA Server 发布ISA Server 本地的网站：要让外部客户端访问ISA上的网站，有两种方法：因为外部网站到本地主机的网

5、络规则为路由，可能创建一条访问规则，开放外部到本地主机的http/https流量。让外部客户端直接通过ISA外网卡的公网IP去访问这个网站。我们通常需要在ISA Server 上发布内部网络中的站点，则需要创建一个侦听80端口的web侦听器。此时，ISA Server本地站点就不能用标准的80端口，客户端在访问这个端点时会多有不便，如果想让外部用户通过80端口访问这个端点，我们可以通过发布规则，把ISA上的端点发布出来，用不同的域名去区别内部站点和ISA本地的站点，并且这种方式比通过创建访问规则直接开放ISA的http/https流量要安全。使用ISA发布内部安全站点，大体步骤如下：为内部站点

6、申请证书为ISA申请证书，（也可将网站证书导出（导出私钥），再导入ISA，即ISA和内部站点用同一张证书）在ISA上创建网站发布规则，发布安全站点，此时一定要注意以下两点：发布规则中内部站点的名称，一定要和内部站点证书的公共名称一致外部客户端访问网站时的名称，一定要和ISA上证书中的公共名称一致内部WEB服务器、ISA、外部客户端都要信任CA使用ISA发布内部多个安全站点，两种方式：多侦听器，为ISA申请两张证书（也可直接将内部站点的证书导入ISA），建立两个侦听器，如果ISA有多个公网IP则，可以让不同的IP同时侦听443；如果只有一个公网IP则有一个网站要用非标准端口。如此，多有不便，可能

7、使用下面这种方法使用通配符证书：在发布安全站点时，需要外部客户端访问网站时的名称和ISA侦听器中证书的公共名称保持一致，可一个侦听器只能绑定一张证书，并且证书内只有一个公共名称。这样，一个侦听器便只能匹配一个内部站点。如何让同一个侦听器能匹配多个内部站点呢？只要解决了名称匹配的问题就可以了，我们可能为ISA申请一张带有通配符的证书，如：*.。如此，我们便可以通过多个不同的名称到访问不同的内部站点了，如：、等等。（参考PDF文档，第15篇）链接转换（参考PDF文档，第13篇，使用微软ISA实验室那套虚拟机）发布内部服务器场创建内部服务器场，创建完成后，会自动创建一个连接性验证程序，并且ISA会启

8、用第19条系统策略，此策略是开放本地主机到内部的HTTP/HTTPS流量，目的是为了让ISA能够连接到内部网站，判断内部站点的状态。如果内部站点使用的是非标准端口，则需要修改连接性验证程序中的URL，加入端口号。并且要手工建立一条从本地主机到内部的访问规则，开放此端口的流量。创建服务器场发布规则，发布内部服务器场到外部，注意：发布规则中的内部站点的名称不再要求能解析到内部站点的IP，因为ISA连接内部站点时不再依靠此名称，而是用服务器场中的IP地址去连。但如果要发布安全的服务器场，则这个名称一定要和内部网站证书中的公共名称一致。可是，内部有多个网站，如果保证这个名称能和内部的多个网站相匹配呢？

9、解决方法只有一个，就是网站无论有多少网站，都使用同一个公共名称的证书。ISA 2006第三次复习发布内部邮件服务器，邮件服务器分为以下两个部分：SMTP服务器：用来向其它SMTP服务器发送邮件，接收来自客户端和其它SMTP的邮件POP3服务器：客户端用来向SMTP服务器索取邮件时用到的协议发布邮件服务器的方法很简单，如果可以用“邮件服务器发布规则”同时发布一台服务器上的SMTP服务器和POP3服务器。也可使用“非WEB服务器协议发布规则”分别发布SMTP服务器和POP3服务器。邮件服务器知识补充：域内邮件发送过程，现有一个邮件域163.COM，域内有两个用户， HYPERLINK mailto

10、:TOM163.COM TOM163.COM和PETER163.COM，他们都使用OE作为邮件客户端收发邮件，如TOM发一封邮件给PETER,具体过程如下：TOM的OE使用SMTP协议，将邮件送到163.COM域的SMTP服务器上163.COM域的SMTP服务器一看这封邮件是发给自己域内用户的，它会把这封邮件收下来，做在邮件存储区域PETER的OE一看邮件存储区域内有自己的邮件，会使用POP3协议将这封邮件收下去，至此，邮件发送过程结束两个邮件域之间发送邮件过程，现在有两个邮件域：163.COM和263.NET， HYPERLINK mailto:TOM163.COM TOM163.COM和给

11、PETER263.NET发一封邮件，具体过程如下：TOM的OE使用SMTP协议，将邮件送到163.COM域的SMTP服务器上163.COM域的SMTP服务器一看这封邮件的收件人是PETER263.NET，得知这封邮件是发给其它邮件域的163.COM域的SMTP服务器会向DNS查询263.NET邮件域的MX（邮件交换器）记录（假如是MAIL.263.NET），根据MX记录找到了263.NET的A记录（假如是），根据A记录得知263.NET的SMTP服务器的地址是，由于就把这封邮件送到了263.NET的SMTP服务器上。263.NET的SMTP服务器一看这封邮件是发给自己域内的PETER的，由于就

12、把这封邮件收了下来，放在自己的邮件存储区域PETER的OE一看邮件存储区域内有自己的邮件，会使用POP3协议将这封邮件收下去，至此，邮件发送过程结束注意：当SMTP服务器发现这封邮件不是发给自己域内用户的，而是发给其它域的邮件时，默认情况下会拒收这封邮件，要使用自己的SMTP服务器能够接收外域邮件，有以下三种方法：使用户的客户端程序或其它SMTP服务器通过自己SMTP服务器的身份验证通过修改自己SMTP服务器的中继列表来实现通过创建远程域的方式来实现大实验，SMTP RELAY,这个实验比较复杂，有些同学应该在应该录了视频，大家可以互相交流一下，实验拓扑图如下：发布Exchange OWA （

13、参考PDF文档第17篇）开放访问三向外围防火墙的DMZ资源：当我们把ISA配备成三向外围模型时，默认的网络规则如下：此时，dmz和外部网络之间是路由的关系，我们可以通过创建从DMZ到外部的访问规则和方式，发布DMZ区域的资源到外部，而内部网络和DMZ之间是正向NAT的关系，也可以通过创建从内部到DMZ的访问规则让内部用户访问DMZ的资源，但大家一定要注意，只有当DMZ区域服务器使用的是公网IP的时候，这些网络规则才有意义。如果DMZ区域的服务器使用的是私有IP地址，首先，Internet 上的用户是不能直接通过路由关系访问过去的，因为私有IP不能被直接访问，同样的原因，内部用户也不能通过NAT

14、关系直接访问到DMZ区，此时我们可以对网络规则进行如下修改：如上图所示，内部到DMZ是路由关系，DMZ到Internet是NAT关系。如果想让内部用户访问DMZ区域的资源，我们还是去创建从内部到DMZ的访问规则，但如若让Internet上的用户访问DMZ区的资源，因为Internet 到DMZ区是反向NAT的关系，所以我们要让DMZ区域的资源发布出去。发布的方法就和发布内部资源到Internet 一样了。开放前后端防火墙之间的DMZ资源首先我们要先搞清楚一个问题，在前后端防火墙模型中哪台是前端？哪台是后端？是离Internet 近的是前端，离内网近的是后端。第二个问题，当我们把两个ISA分别配

15、置成了前后端防火墙后，对于前端防火墙来说，是没有内部网络的，它会把后端防火墙的内部网络和DMZ区都当作内部网络，对于后端防火墙来说是没有外部网络的，它会把外围和前端防火墙的外部都当做外部网络，这点大家一定要搞清楚。DMZ外部前端后端内部当我们把背靠背防火墙配置出来以后，默认情况下应该是下面这种网络规则：大家可能已经发现了，和三向外围的默认的网络规则是一样的，此时如果想让外部用户访问DMZ区的资源，同样创建访问规则就可以了，而如果想让内部用户访问DMZ区的资源也是创建访问规则。需要注意的是，如果想让内部用户访问Internet 这个请求要通过两个防火墙，由于内部和DMZ是正向NAT的关系，则需要

16、在后端防火墙上创建内部到外部（后端防火墙上没有DMZ,只有内部和外部）的HTTP请求的访问规则；由于DMZ到外部是路由的关系，则需要在前端防火墙上创建DMZ到外部的HTTP请求的访问规则。有了这两条规则，内部用户就可以上网了。这种网络规则同样是假设DMZ区域使用的是公网IP地址。如果使用的是私有IP地址，同样需要手工的把内部到DMZ的网络规则改成路由，DMZ到外部的网络规则改成NAT，然后通过在前端防火墙上创建发布规则的方式，发布DMZ区资源到外部。架设ISA Serve 虚拟专业网络（VPN）首先，大家得知识为什么要使用VPN？VPN能给我们带来什么？关于这两个问题，我们在学习WS2008的

17、时候，应该给大家讲过了，在此，再给大家简单叙述一下。当我们在公司内部的时候如果要访问公司内部的资源，如文件服务器上的共享文件，此时可以直接使用内网IP去访问，如： HYPERLINK 51 51。但当你出差在外了怎么办，此时肯定不能再使用这种方式去访问，但如果公司有VPN服务器的话，你就可以先拨公司的VPN服务器，一但拔通。你的这台计算机就相当于内网中的一台客户端了，就可以像在公司内部一样去访问内部服务器资源了，这种使用方式，我们管它叫做远程访问的VPN。还有一种场景，某公司一个总部一个分公司，这两个公司在不同的地理位置，都有自己的内网，和自己的服务器资源，但如果我想让两个公司的员工都能互访资

18、源应该怎么办，此时我们可以使用架设站点到站点的vpn服务器，让两个公司的vpn服务器互相拔，一但拔通，这两个网络就像合成了一个网络一样。还有大家掌握ISA所支持的VPN协议有哪些，有以下三种PPTPL2TP/IPSECIPSEC隧道模式用的较多的是前两种，PPTP和L2TP的区别在于，PPTP只能对用户做身份验证，而L2TP/IPSEC即可以对用户做身份验证，也可以对计算机做身份验证，对计算机做身份验证时，支持预共享密钥和证书两种方式VPN这一部分，需要大家熟练掌握六个实验，使用PPTP协议、基于预共享密钥的L2TP/IPSEC、基于证书的L2TP/IPSEC 的远程访问的vpn及站点到站点的

19、vpn(参考PDF文档，第25、26篇)，在做站点到站点的VPN的实验时一定要注意，拔对方的VPN服务器时用的接口名，一定要和对方拔你的时候用的用户名一致，而这个用户需要在你的VPN服务器上创建，接下来我们开始介绍企业版特性，关于标准版和企业版的区别大家可以参考下面这张表其中比较重要的三个企业版的特性是：企业级的管理、NLB和CARP。企业级的管理：如果你所在的公司规模比较大，则一台ISA就无法承担这么大的访问量，此时你要考虑部署多台ISA，但是用几个标准版呢？还是用几个企业版呢？这时强烈建议你使用企业版，因为如果使用的是多个企业版的话，不会增加你的管理成本。因为在企业版里所有的ISA的配置都

20、是集中保存在一台服务器上的，这台服务器叫配置存储服务器（CSS）,这样，你就可以在任何一台ISA上去管理所以的ISA，当然你得有权限。而如果你用的不是企业版，而是标准版的话，那就比较惨了，因为标准版的ISA会把存储保存在本地注册表里，都是相对独立的，如果你想实现相同的访问策略你需要把一条策略在每台ISA上都要创建一遍，当然，你可以使用ISA的导入、导出功能，即使这样，如果服务器很多的话，也会很麻烦。并且，使用企业版的ISA还可能使用企业级的策略，这些策略可以应用到所有的ISA服务器上。企业版ISA的部署：想使用企业版ISA的特性，首先需要将多台ISA做成阵列，也就是企业级ISA的部署，在部署时

21、需要注意，阵列成员和css服务器通讯时需要做身份验证，而不同的网络环境（工作组和域环境）下可以使用的身份验证方式也不同，域环境下要使用“Windows 身份验证”，而工作组下要使用“通过SSL加密通道进行身份验证”此时需要在css服务器上申请服务器身份验证证书，并且该证书的名称要和css服务器的计算机一致，此外，css服务器和阵列成员，都需要安装CA的证书（信任CA），在一个企业内，至少要有一台css服务器。阵列部署完成后，阵列成员之间需要通讯，默认情况下，它们会使用内部网络去通讯，我们也可以去改成其它网络，或者专门去安装一块网卡，让他们用这块网卡去通讯。NLB:有了阵列，我们就可以在阵列上启

22、用NLB了，在没有NLB的时候，虽然我们有多台ISA，但是我们只能把客户端的网关或代理服务器指向其中的一台ISA，如果这台ISA坏了我们的客户端也就不能通过它上网了，如果解决这个问题，那就是启用NLB,在启用NBL之前，我们先要给阵列配置一个VIP（虚拟IP地址），然后把客户端的网关或代理服务器都指向这个VIP，当这个请求被送给VIP之后，就会由我们阵列内的NLB驱动负责对这个请求做一个HASH运算，根据运算的结果决定由哪个成员来处理这个请求，哪NLB驱动是根据什么来运算的呢？这要看我们使用哪种NLB的关联性：无：此时NLB驱动会根据源主机的IP+端口来运算，这样由同一台主机的不同应用程序所提

23、出的请求就有可能由不同的成员来处理单一：此时NBL驱动只会根据源主机的IP去运算，因此，同一台主机所提出的请求，都会由同一台ISA 来处理无：此时NLB驱动会根据源主机IP地址中最高3个字节来决定由谁来处理这个请求。NLB有两种操作模式：单播和多播，具体特点，大家参考课本434页启用NLB的方式也有两种：集成式NLB和非集成功NLB，具体参考课本449页CARP:我们的第一章的时候就给大家介绍过，ISA支持四种类型的缓存：正向、反向、链式和分布式，分布式缓存一定要用在企业版的ISA上，因为需要阵列的支持，而分布式最大的特点就是，缓存的内容是分散的存储在不同的成员上，这样就有一个问题，假如我把自

24、己的代理服务器指向了阵列内的第一个成员，则当我去访问网页的时候，我的客户端会向我所指向的这台成员的缓存中去找我想要的内容，但问题是，如果这个内容没有在这台成员上保存怎么办？它会到其它的成员上去找，如果第2台上也没有怎么办？第3台？第4台？假设我们的阵列里有20台成员，最后在第20台成员的缓存中找到了，如此以来就和我们的初衷不符了，我们启缓存是为了加速，这样不但没加速反而降速了，还不如不启缓存，让我们的代理服务器再到公网上去拿一遍网页呢！怎么解决这个问题呢？这就用到CARP了，而CARP的启用，可以分为服务器端的CARP和客户端的CARP，我们先讨论一下，如果在服务器端启了CARP会怎么样？当客

25、户端去访问一个网页时，比如， HYPERLINK ，这个请求首先会被送到我们所指向的代理服务器，代理服务器接到这个请求之后，首先会对这个URL做一个HASH运算，根据运算的结果去阵列成员上找缓存，大家一定要注意，所有的阵列成员上的CARP算法都是一样的，并且对于同一个网页的内容，只会在一台成员上缓存，这样就能保证最多两次就能找到缓存。阵列成员之间在找缓存的时候，会把自己作为对方的WEB代理客户端，所以一定要在阵列成员通讯的网络上启用“WEB代理客户端”。虽然在服务器端启了CARP要比没有启CARP强很多，但这并不是最理想的，能不能让客户一次就能找到想要的内容，答案是肯定的，这就需要我们在客户端

26、上也启用CARP，就是让客户根据CARP运算的结果自动的去寻找合适的代理服务器，有两种配置方式：WPAD或使用自动配置脚本。如此便可以让客户端去访问一个URL之前，自己先用CARP算法对这个URL来做一个运算，这个算法和服务器端的算法是一样的，这样就能直接到正确的代理服务器去拿缓存了，使缓存的性能最佳。各章节知识点整理第一章：ISA server2006简介1.Isa server 的主要功能：防火墙、虚拟专用网、网页缓存2.ISA server 缓存的种类：正向缓存、方向缓存、链式缓存、分布式缓存3.防火墙设置的种类：Edge Firewall（边缘防火墙）、3Leg Perimeter F

27、irewall （3向外围防火墙）、Back-to-Back Perimeter Firewall（背对背外围防火墙）、单一网络适配器（网卡）对应的网络拓扑结构如下：（要示能画出各种网络的拓扑图）Edge Firewall：3Ieg Perimeter Firewall ：Back-to-Back Perimeter Firewall（前端防火墙）：Back-to-Back Perimeter Firewall（后端防火墙）：单一网络适配器（网卡）：4ISAserver 2006对多重网络的支持：NATRR内部本地主机外部NATRR外围5.ISA server 对数据包的筛选：eq oac(,

28、1) IP来源与目的地址eq oac(,2) TCP来源与目的端口注意：ISA server 不会筛选MAC地址！6.ISA server 标准版与企业版最大的区别：企业版拥有如下标准版所不具有的功能：eq oac(,1)支持网络负载均衡(NLB)eq oac(,2)缓存阵列路由协议（CARP）eq oac(,3)企业级管理7.要使isa能够作为防火墙使用，最少得有两块网卡第三章：网页缓存ISA server 同时利用了（内存）与（硬盘）来作为缓存对象的保存地点。标准版ISA服务器缓存文件及存储路径：C:urlcacheDir1.cdatISA server可缓存文件的协议的类型： http、

29、https、ftp那些操作需要重新启动防火墙服务：eq oac(,1)启用缓存eq oac(,2)启用NLB默认情况下ftp对象会被缓存24小时第四章：彻底剖析ISA server 客户端1.ISA server 支持的三种客户端是：eq oac(,1)Web代理客户端（web代理客户端是将HTTP、https、FTP请求传递给ISA server的连接端口8080）eq oac(,2)SecureNAT客户端eq oac(,3)防火墙客户端（防火墙客户端是将HTTP请求传递给ISA server的连接端口8080，将非HTTP请求传递给ISA server 的连接端口1745。防火墙客户端默

30、认也是web代理客户端。防火墙客户端默认6小时下载一次ISA server服务器配置。）2三种客户端的比较：Web代理客户端SecureNAT客户端防火墙客户端支持的操作系统所有操作系统所有操作系统只支持windows操作系统支持的网络协议HTTP 、HTTPS、FTPTCP、UDP、HTTP、https、FTP与其他（ping等）TCP、UDP只winsock应用程序（不支持ping）是否需要额外安装软件否，但是需要浏览器配置否，但是需要网络配置（DNS，网关）是验证用户身份-HTTP是只有VPN客户端是验证用户身份-非HTTP不支援访问只有VPN客户端是3自动发现(WPAD：web pro

31、xy AutoDiscovery)：自动发现只支持（web代理客户端）和（防火墙客户端）。自动发现需要搭配DNS或DHCP服务器，同时在服务器内需要有一笔名为WPAD的记录，用来告诉客户端哪一台计算机是WPAD服务器，而WPAD服务器内有两个用来配置客户端浏览器的自动配置脚本文件，这两个文件分别是wpad.dat（供Web代理客户端使用）与wspad.dat(供防火墙客户端使用)。4利用DHCP服务器支持自动发现的步骤。P86，重点是步骤5和步骤6。5利用DNS服务器支持自动发现。注意，端口一定要是80。Wpad+X客户端DNSeq oac(,1)域环境 eq oac(,2). DNS后缀 e

32、q oac(,3). 无后缀 WPAD 根 . 6用户身份验证。WSFHTTP非HTTP7选择适当的客户端。需求建议选择地客户端提高网页的访问速度Web代理客户端要将假设与内部网路的网站或服务器发布给因特网的用户SecureNAT客户端提高网页访问速度与访问Winsock资源防火墙客户端控管客户端应用软件与因特网之间的沟通防火墙客户端限制只有身份经过杨正的用户才可以访问网页Web代理客户端或防火墙客户端第五章：开放访问因特网与系统监视P114 协议若是用在访问规则内，择“方向”处请选择“出站”；若是协议用在服务器发布规则内，则请在“方向”处选择入站。标准版的ISA 内置30条系统策略，企业版内置34条，系统策略特点：都是和ISA相关的、优先执行、部分可修改第六章：开放与阻挡实时通信与P2P软件阻止通信软件的几种方式：eq oac(,1)通过端口来阻挡eq oac(,2)通过服务器ip地址来阻挡eq oac(,3)通过签名字符串来阻挡eq oac(,4)通过内容类型来阻挡禁 QQ TCP 443 UDP 8000第七章：开放访问内部网络的资源发布网站服务器场的好处：负