isa server 2006 2

 

 

ISA server 2006知识点整理

第一章：ISA server2006简介

         1.　Isa server 的主要功能： 防火墙 、虚拟专用网 、网页缓存

2.　ISA server 缓存的种类： 正向缓存 、方向缓存 、链式缓存 、分布式缓存

3.　防火墙设置的种类：　Edge Firewall（边缘防火墙）  、3—Leg Perimeter Firewall （3向外围防火墙） 、Back-to-Back Perimeter Firewall（背对背外围防火墙） 、 单一网络适配器（网卡）

 

对应的网络拓扑结构如下：

                           

 　 Edge Firewall ：

 

 

 

 

 

 

 

 

 

 

 

 

 

3—Ieg Perimeter Firewall ：

 

 

             Back-to-Back Perimeter Firewall（前端防火墙）：

 

 

 

Back-to-Back Perimeter Firewall（后端防火墙）：

 

 

单一网络适配器（网卡）：

 

 

４．ISA　server　２００６ 对多重网络的支持：

 

 

NAT

 

 

 

                                               R                                                                    R

     内部                                                   本地主机                                                                  外部

 

 

 

 

                                       NAT                                            R

                                                                                                      R

 

 

                                 外围

 

 

 

 

5.ISA server 对数据包的筛选：

 

                                                       1 IP来源与目的地址

                                                        2 TCP来源与目的端口

                                                        3 TCP payload

注意：ISA server 不会筛选MAC地址！

 

6.ISA server 标准版与企业版最大的区别：

企业版拥有如下标准版所不具有的功能：1支持网络负载均衡(NLB)2缓存阵列路由协议（CARP）3企业级管理

 

第三章：网页缓存

 

1.       ISA server 同时利用了（内存）与（硬盘）来作为缓存对象的保存地点。

2.       标准版ISA服务器缓存文件及存储路径：C:\urlcache\Dirl.cdat

3.       ISA server可缓存文件的协议的类型： http、https、ftp

4.       那些操作需要重新启动防火墙服务：1启用缓存2启用NLB

 

 

第四章：彻底剖析ISA server 客户端

1.ISA server 支持的三种客户端是： 1Web代理客户端（web代理客户端是将HTTP、https、FTP请求传递给ISA server的连接端口8080）

 2SecureNAT客户端

3防火墙客户端（防火墙客户端是将HTTP请求传递给

ISA server的连接端口8080，将非HTTP请求传递给ISA server 的连接端口1745。防火墙客户端默认也是web代理客户端。防火墙客户端默认6小时下载一次ISA server服务器配置。）

 

2．三种客户端的比较：

 

	Web代理客户端	SecureNAT客户端	防火墙客户端
支持的操作系统	所有操作系统	所有操作系统	只支持windows操作系统
支持的网络协议	HTTP 、HTTPS、FTP	TCP、UDP、HTTP、https、FTP与其他（ping等）	TCP、UDP只winsock应用程序（不支持ping）
是否需要额外安装软件	否，但是需要浏览器配置	否，但是需要网络配置（DNS，网关）	是
验证用户身份-HTTP	是	只有***客户端	是
验证用户身份-非HTTP	不支援访问	只有***客户端	是

 

3．自动发现(WPAD：web proxy AutoDiscovery)：自动发现只支持（web代理客户端）和（防火墙客户端）。自动发现需要搭配DNS或DHCP服务器，同时在服务器内需要有一笔名为WPAD的记录，用来告诉客户端哪一台计算机是WPAD服务器，而WPAD服务器内有两个用来配置客户端浏览器的自动配置脚本文件，这两个文件分别是wpad.dat（供Web代理客户端使用）与wspad.dat(供防火墙客户端使用)。

 

 

 

 

4．利用DHCP服务器支持自动发现的步骤。P86，重点是步骤5和步骤6。

5．利用DNS服务器支持自动发现。注意，端口一定要是80。

                                                             Wpad+X

      客户端                                                                                              DNS

 

 

1．域环境 abc.com      wpad.abc.com

2. DNS后缀 xyz.com       wpad.syz.com

3. 无后缀   WPAD        根 .    

 

 

6．用户身份验证。

 

	W	S	F
HTTP	√	×	√
非HTTP	×	×	√

 

 

7．选择适当的客户端。

 

需求	建议选择地客户端
提高网页的访问速度	Web代理客户端
要将假设与内部网路的网站或服务器发布给因特网的用户	SecureNAT客户端
提高网页访问速度与访问Winsock资源	防火墙客户端
控管客户端应用软件与因特网之间的沟通	防火墙客户端
限制只有身份经过杨正的用户才可以访问网页	Web代理客户端或防火墙客户端

 

 

 

 

第五章：开放访问因特网与系统监视

 

 

1． P114 协议若是用在访问规则内，择“方向”处请选择“出站”；若是协议用在服务器发布规则内，则请在“方向”处选择入站。

 

 

第六章：开放与阻挡实时通信与P2P软件

 

1． 阻止通信软件的几种方式： 1通过端口来阻挡2通过服务器ip地址来阻挡 3通过签名字符串来阻挡 4通过内容类型来阻挡

2．  禁 QQ

 TCP 443

   UDP 8000

 

 

第七章：开放访问内部网络的资源

 

1.       发布网站服务器场的好处： 负载均衡、容错

2.       网站服务器场的各个Web服务器必须内容一致，端口一致。

3.       一次发布多个网站的两种方法：1多侦听器 2Web过滤

4.       发布SSL 网站时应注意：在申请IIS证书时所键入的FQDN与发布网站时填写的内部站点名称与发布网站是填写的公用名称三者保持一致。

5.       本章几个重要实验：1发布内部DNS服务器

 2发布内部网站

 3一次发布内部多个网站

 4连接转换

 5发布内部网站服务器场

 6发布内部SSL网站

 7发布内部邮件服务器

 8发布内部SMTP Relay

 9发布Exchange OWA网站

 

 

 

 

第九章：架设ISA server 虚拟专用网络

 

 

1.       ISA server 所支持***协议分为以下三种：

 

                        PPTP

远程访问***所支持

                               L2TP/IPSec（预共享密钥、证书）  站点对站点***                                      

                               IPSec隧道模式

 

 

2.       使用RADIUS身份验证时所使用的端口为：1812；记账端口为身份验证端口加1.

 

3.       建立济南到青岛站点对站点***的过程：

 

1、 将青岛分公司的内网定义成远程站点（名称：qingdao）

2、 创建远程站点和内网的网络规则

3、 创建远程站点和内网的访问规则

4、 创建与远程站点同名的用户（qingdao）

                                                 5、青岛分公司用在济南ISA 服务器上的创建的qingdao账户名与密码连接济南的ISA 服务器

 

 

4.       本章几个重要的实验：1远程访问***（PPTP、L2TP）

   2站点对站点***（PPTP）

   3站点对站点***（L2TP 预共享密钥、证书）

 

 

 

第十一章：***检测

 

     

1.       ISA server在检测到***之后可以采取的几种措施：

   1发送电子邮件

   2运行指定的程序

   3记录到windows 事件日志中

   4停止选择的服务

   5启动选择服务

 

 

 

 

第十二章：远程管理 ISA Server

 

启用系统策略中的第2条和第3条策略

 

 

 

第十三章：CARP 与NLB的构建

 

 

1.CARP：缓存阵列路由协议。Carp具备着负载平衡与故障转移的功能（高效率和高可用性）。

2.NLB：容错、减轻ISA 服务器负担

3.实验：

 

                   1内部网络均衡

ISA server 2006知识点整理

第一章：ISA server2006简介

         1.　Isa server 的主要功能： 防火墙 、虚拟专用网 、网页缓存

2.　ISA server 缓存的种类： 正向缓存 、方向缓存 、链式缓存 、分布式缓存

3.　防火墙设置的种类：　Edge Firewall（边缘防火墙） 、3—Leg Perimeter Firewall （3向外围防火墙） 、Back-to-Back Perimeter Firewall（背对背外围防火墙） 、 单一网络适配器（网卡）

 

对应的网络拓扑结构如下：

                           

 　 Edge Firewall ：

 

 

 

 

 

 

 

 

 

 

 

 

 

3—Ieg Perimeter Firewall ：

 

 

             Back-to-Back Perimeter Firewall（前端防火墙）：

 

 

 

Back-to-Back Perimeter Firewall（后端防火墙）：

 

 

单一网络适配器（网卡）：

 

 

４．ISA　server　２００６ 对多重网络的支持：

 

 

NAT

 

 

 

                                               R                                                                    R

     内部                                                   本地主机                                                                  外部

 

 

 

 

                                       NAT                                            R

                                                                                                      R

 

 

                                 外围

 

 

 

 

5.ISA server 对数据包的筛选：

 

                                                       1 IP来源与目的地址

                                                        2 TCP来源与目的端口

                                                        3 TCP payload

注意：ISA server 不会筛选MAC地址！

 

6.ISA server 标准版与企业版最大的区别：

企业版拥有如下标准版所不具有的功能：1支持网络负载均衡(NLB)2缓存阵列路由协议（CARP）3企业级管理

 

第三章：网页缓存

 

1.       ISA server 同时利用了（内存）与（硬盘）来作为缓存对象的保存地点。

2.       标准版ISA服务器缓存文件及存储路径：C:\urlcache\Dirl.cdat

3.       ISA server可缓存文件的协议的类型： http、https、ftp

4.       那些操作需要重新启动防火墙服务：1启用缓存2启用NLB

 

 

第四章：彻底剖析ISA server 客户端

1.ISA server 支持的三种客户端是： 1Web代理客户端（web代理客户端是将HTTP、https、FTP请求传递给ISA server的连接端口8080）

 2SecureNAT客户端

3防火墙客户端（防火墙客户端是将HTTP请求传递给

ISA server的连接端口8080，将非HTTP请求传递给ISA server 的连接端口1745。防火墙客户端默认也是web代理客户端。防火墙客户端默认6小时下载一次ISA server服务器配置。）

 

2．三种客户端的比较：

 

	Web代理客户端	SecureNAT客户端	防火墙客户端
支持的操作系统	所有操作系统	所有操作系统	只支持windows操作系统
支持的网络协议	HTTP 、HTTPS、FTP	TCP、UDP、HTTP、https、FTP与其他（ping等）	TCP、UDP只winsock应用程序（不支持ping）
是否需要额外安装软件	否，但是需要浏览器配置	否，但是需要网络配置（DNS，网关）	是
验证用户身份-HTTP	是	只有***客户端	是
验证用户身份-非HTTP	不支援访问	只有***客户端	是

 

3．自动发现(WPAD：web proxy AutoDiscovery)：自动发现只支持（web代理客户端）和（防火墙客户端）。自动发现需要搭配DNS或DHCP服务器，同时在服务器内需要有一笔名为WPAD的记录，用来告诉客户端哪一台计算机是WPAD服务器，而WPAD服务器内有两个用来配置客户端浏览器的自动配置脚本文件，这两个文件分别是wpad.dat（供Web代理客户端使用）与wspad.dat(供防火墙客户端使用)。

 

 

 

 

4．利用DHCP服务器支持自动发现的步骤。P86，重点是步骤5和步骤6。

5．利用DNS服务器支持自动发现。注意，端口一定要是80。

                                                             Wpad+X

      客户端                                                                                              DNS

 

 

1．域环境 abc.com      wpad.abc.com

2. DNS后缀 xyz.com       wpad.syz.com

3. 无后缀   WPAD        根 .    

 

 

6．用户身份验证。

 

	W	S	F
HTTP	√	×	√
非HTTP	×	×	√

 

 

7．选择适当的客户端。

 

需求	建议选择地客户端
提高网页的访问速度	Web代理客户端
要将假设与内部网路的网站或服务器发布给因特网的用户	SecureNAT客户端
提高网页访问速度与访问Winsock资源	防火墙客户端
控管客户端应用软件与因特网之间的沟通	防火墙客户端
限制只有身份经过杨正的用户才可以访问网页	Web代理客户端或防火墙客户端

 

 

 

 

第五章：开放访问因特网与系统监视

 

 

1． P114 协议若是用在访问规则内，择“方向”处请选择“出站”；若是协议用在服务器发布规则内，则请在“方向”处选择入站。

 

 

第六章：开放与阻挡实时通信与P2P软件

 

1． 阻止通信软件的几种方式： 1通过端口来阻挡2通过服务器ip地址来阻挡 3通过签名字符串来阻挡 4通过内容类型来阻挡

2．  禁 QQ

 TCP 443

   UDP 8000

 

 

第七章：开放访问内部网络的资源

 

1.       发布网站服务器场的好处： 负载均衡、容错

2.       网站服务器场的各个Web服务器必须内容一致，端口一致。

3.       一次发布多个网站的两种方法：1多侦听器 2Web过滤

4.       发布SSL 网站时应注意：在申请IIS证书时所键入的FQDN与发布网站时填写的内部站点名称与发布网站是填写的公用名称三者保持一致。

5.       本章几个重要实验：1发布内部DNS服务器

 2发布内部网站

 3一次发布内部多个网站

 4连接转换

 5发布内部网站服务器场

 6发布内部SSL网站

 7发布内部邮件服务器

 8发布内部SMTP Relay

 9发布Exchange OWA网站

 

 

 

 

第九章：架设ISA server 虚拟专用网络

 

 

1.       ISA server 所支持***协议分为以下三种：

 

                        PPTP

远程访问***所支持

                               L2TP/IPSec（预共享密钥、证书） 站点对站点***                                      

                               IPSec隧道模式

 

 

2.       使用RADIUS身份验证时所使用的端口为：1812；记账端口为身份验证端口加1.

 

3.       建立济南到青岛站点对站点***的过程：

 

1、 将青岛分公司的内网定义成远程站点（名称：qingdao）

2、 创建远程站点和内网的网络规则

3、 创建远程站点和内网的访问规则

4、 创建与远程站点同名的用户（qingdao）

                                                 5、青岛分公司用在济南ISA 服务器上的创建的qingdao账户名与密码连接济南的ISA 服务器

 

 

4.       本章几个重要的实验：1远程访问***（PPTP、L2TP）

   2站点对站点***（PPTP）

   3站点对站点***（L2TP 预共享密钥、证书）

 

 

 

第十一章：***检测

 

     

1.       ISA server在检测到***之后可以采取的几种措施：

   1发送电子邮件

   2运行指定的程序

   3记录到windows 事件日志中

   4停止选择的服务

   5启动选择服务

 

 

 

 

第十二章：远程管理 ISA Server

 

启用系统策略中的第2条和第3条策略

 

 

 

第十三章：CARP 与NLB的构建

 

 

1.CARP：缓存阵列路由协议。Carp具备着负载平衡与故障转移的功能（高效率和高可用性）。

2.NLB：容错、减轻ISA 服务器负担

3.实验：

 

                   1 NLB 内部网络均衡

                   2 NLB 外部网路均衡

                   3 CARP

 NLB

                   2 NLB 外部网路均衡

                   3 CARP