ISA网络管理方案.docVIP

ISA网络管理 方案建议书 佛山市XXXX电脑有限公司 二〇一二年七月 上 目 录 一、方案背景 3 1.1 ISA Server 产品概述 3 1.2 设计要求 3 二、设计方案 4 2.1 方案构架 4 2.2 ISA服务器概述 4 2.3 Internet 边缘防火墙 5 2.4 快速的 Web 访问 6 2.5 统一管理 6 2.6 可扩展的平台 6 2.7 ISA服务器功能 7 2.7.1 多网络 7 2.7.2 多网络结构 9 2.7.3 网络之间的访问 10 2.7.4 防火墙策略 11 2.7.5 ISA 2004 VPN功能 11 三、系统软硬件配置 12  一、方案背景 1.1 ISA Server 产品概述 Microsoft Internet Security and Acceleration (ISA) Server 是高级应用程序层防火墙、虚拟专用网络 (VPN) 和 Web 缓存解决方案，它使客户能够通过提高网络安全和性能轻松地从现有的 IT 投资获得最大收益。 ISA Server 为各种类型的网络提供了高级保护、易用性和快速、安全的访问。它尤其适合于保护运行 Microsoft 应用程序（如 Microsoft Outlook Web Access (OWA)、Microsoft Internet 信息服务、Office SharePoint Portal Server、路由和远程访问服务、Active Directory 目录服务等）的网络。 ISA Server 包含一个功能完善的应用程序层感知防火墙，有助于保护各种规模的组织免遭外部和内部威胁的攻击。ISA Server 对 Internet 协议（如超文本传输协议 (HTTP)）执行深入检查，这使它能检测到许多传统防火墙检测不到的威胁。ISA Server 的集成防火墙和 VPN 体系结构支持对所有 VPN 通信进行有状态筛选和检查。该防火墙还为基于 Microsoft Windows Server 2003 的隔离解决方案提供了 VPN 客户端检查，帮助保护网络免遭通过 VPN 连接进入的攻击。此外，全新的用户界面、向导、模板和一组管理工具可以帮助管理员避免常见的安全配置错误。 1.2 设计要求 根据用户需求，ISA Server 员工上网管理系统的方案设计应达到以下目标： 系统稳定可靠、满足200用户上网负载 高度可伸缩性的体系构架。能方便地扩充容量，以满足公司未来发展的需要。 提供WEB Cache 功能，提高上网速度 记录员工上网记录 满足分公司VPN拔号接入需求  二、设计方案 方案构架 ISA Server 在企业内有三种部署方式： ISA作为客户机网关，客户机安装ISA client，此方式支持AD域验证 ISA作为内网HTTP代理网关，客户端IE自动设置代理服务器为ISA Server,此方式支持AD域验证。 ISA作为路由器网关，客户机不安装ISA client，客户机直接把网关设定为ISA Server 此方式不支持AD域验证。 考虑到用户公司目前网络情况，客户机上也不希望安装ISA client。因此建议用户采用 ISA Server 作为公司内部路由器网关的部署方式。 选用内部路由器网关部署ISA Server 的好处： 支持AD域验证，管理方便。 支持WEB Cache 满足分公司VPN拔号接入需求 客户IE可以通过DHCP 来自动分发Http代理网关IP。无需设置客户机IE设置。 把http与Email 、DNS等通讯分离开，便于封堵通过80端口上网的P2P和QQ等软件。 ISA服务器概述 Microsoft? Internet Security and Acceleration (ISA) Server提供安全、快速、可管理的 Internet 连接。ISA 服务器集成了可识别应用程序层且功能完善的多层企业防火墙和高性能的 Web 缓存。它构建在 Microsoft Windows Server??2003 和 Windows??2000 Server 安全和目录上，以实现网际互联的安全性（基于策略）、加速和管理。 Internet 为组织提供与客户、合作伙伴和员工连接的机会。这种机会的存在，同时也带来了与安全、性能和可管理性等有关的风险和问题。ISA 服务器旨在满足当前通过 Internet 开展业务的公司的需要。ISA 服务器提供了多层企业防火墙，来帮助防止网络资源受到病毒、黑客的攻击以及未经授权的访问。ISA Server Web 缓存使得组织可以通过从本地提供对象（而不是通过拥挤的 Internet）来节省网络带宽并提高 Web 访问速度。 无