ISA防火墙的性能问题: ISA 2000的性能在当时处于领先地位 ISA 2006~ISA 2004>ISA 2000; ISA 2004的防火墙引擎基本上已经达到了现有Windows系统架构的极致
ISA防火墙与其他防火墙的配合问题: 不应该也不需要在ISA防火墙上安装其他任何软件防火墙; ISA防火墙具有优秀的扩展性,可以保护任何级别的网络,也可以与其他任何防火墙配合使用; 使用多层防火墙会增加数据包传输时延,在保证安全的情况下,应尽量减小使用的防火墙层数;
ISA防火墙的兼容性问题: ISA防火墙完全按照RFC标准进行设计; 问题主要是因为: RFC中的不准确定义 ISA防火墙更为严格的安全过滤特性;
作为一个ISA防火墙管理员...... 为了使用ISA防火墙,你应该掌握以下基础知识: TCP/IP网络和路由基础; Windows网络基础服务(DNS、DHCP、WINS)*; 远程访问基础*; 为了更好的使用ISA防火墙和排除其故障,建议你掌握: 虚拟机: Virtual PC Virtual Server Sniffer: WildPackets EtherPeek/OmniPeek NetworkInstruments Observer; 网络监视器;
监控ISA防火墙: ISA防火墙中提供的监控功能: 仪表板;性能监视器*;服务;会话*;连接性验证工具*;警报*;日志*;报告*;FWEngMon(ISA防火墙架构) extra*; 其他监控方式: MOM管理工具包;支持使用第三方管理工具来监控其服务,如KS-Soft Advanced Host Monitor等;
仪表板: 一览全局,汇总了警报、会话、连接性验证、服务、报告以及每秒允许和丢弃的数据包数量的监视信息 在仪表板需要注意的两个重点位置: 客户会话数量统计: 防火墙客户 SecureNAT客户 Web代理客户 系统性能: 每秒允许的数据包 每秒丢弃的数据包
性能监视器: 监视ISA防火墙的性能数据 安装ISA防火墙时会创建ISA服务器性能监视器,内置10个性能计数器,可根据需要自定义 使用性能监视器时同样会耗用系统性能,因此一般情况下推荐只使用以下性能计数器: ISA Firewall Packet Engine: Active Connections Allowed Packets/sec Droped Packets/sec Connections/sec Bytes/sec ISA Firewall Service: DNS Cache Hits % ISA Firewall Web Proxy: Cache Hit Ratio(%)
服务: 查看ISA防火墙服务运行状态 可以停止和启动以下服务: Microsoft 防火墙(fwsrv) Microsoft ISA Server任务计划(isasched) Microsoft数据引擎(mssql$msfw) 远程访问服务(rras),仅在启用×××功能后 停止ISA防火墙引擎(完全停止服务) -->Net stop fweng/y
会话(1): 会话是IP地址和用户名的组合,只有一个连接请求具有唯一的源IP地址和用户名时,此连接才被ISA防火墙认为是一个会话。来自某个IP的客户可以具有: 1个SNAT客户会话 多个Web代理客户、防火墙客户会话 会话(2): 会话类型包括以下五种: SecureNAT、Web代理、防火墙客户端、×××客户端和×××远程站点 监视会话时默认会列出所有活动的客户会话,并实时进行更新;可以对其进行自定义筛选 可以暂停/重新开始、停止/开始监视会话、断开客户会话 当断开客户会话时,将会关闭所有与此会话相关的连接;但是不会阻止客户创建新的会话
连接性验证工具: 通过定期监视从ISA防火墙到任何网络中任何特定计算机或URL的连接来验证网络连接性 每30秒检查一下网络连接性;如果验证失败产生"无连接" 警报 可以使用三种方式来验证连接性: HTTP Get Ping TCP连接请求 会对ISA防火墙产生额外的性能负担,如无特别需求,不推荐使用。
警报(1): 当发生特定事件时,将产生相应的警报 可以确认或复位警报 可以配置在发生警报时执行一个或多个操作: 发送电子邮件: 需要启用第28条系统策略或允许本地主机到SMTP服务器的SMTP访问 SMTP服务器必须支持匿名身份验证 运行程序: 必须具有对应的应用程序 默认运行账户为本地系统账户;如果指定以其他用户账户运行,指定的用户账户必须具有"以批处理作业身份登录"权限 在Windows事件日志中记录事件。 停止或启动Microsoft防火墙服务或Microsoft ISA Server任务计划服务,同时启用则先停止后启动服务
警报(2): 警报由Microsoft ISA Server Control(isactrl)服务负责产生并运行相关操作;重启此服务时会复位所有警报 常用警报操作定义: 设置在产生"服务初始化失败"、"服务没有响应"警报时停止和启动Microsoft防火墙服务 默认情况下,当产生"日志失败"警报时停止Microsoft防火墙服务。当ISA防火墙出现问题时,首先应检查警报: 如果出现警报,则根据相应信息进行处理 如果没有出现警报并且ISA防火墙服务仍然正常运行,则表明ISA防火墙正常工作,应检查配置
日志: 默认情况下ISA防火墙对所有组件启用日志记录: 可以根据需要对组件或防火墙策略禁用日志记录 禁用组件的日志记录后只能查询实时日志;禁用防火墙策略的日志记录则不能查询对应的日志 日志记录格式有三种: MSDE(防火墙服务和Web代理服务默认日志记录格式,默认日志存储文件夹为%ISAInstallPath%\ISALogs) SQL Server ISA防火墙可以对MSDE和文本文件自动进行维护,当达到限制时,ISA防火墙将执行指定的维护操作(删除旧日志或丢弃新日志): 所有日志文件存储限制,默认为8G,最低为4G; 存储日志文件的磁盘剩余空间限制,默认为512M,最低为128M; 日志文件保留期限,默认为7天,最低为1天
查看日志: ISA防火墙内置了日志查看器,只能查看防火墙服务和Web代理服务的日志 禁用组件的日志记录后只能查询实时日志;禁用防火墙策略的日志记录则不能查询对应的日志 日志筛选器: 筛选表达式AND筛选表达式AND...... 只有MSDE日志和企业版使用SQL Server存储日志时才支持查看历史日志 最多显示1w个筛选结果 当ISA防火墙出现连接性问题时: 检查警报 检查日志
报告: ISA防火墙中提供了完善的报告机制,可以让你详细的了解网络使用状况。报告可以包含: 摘要。网络使用摘要,包括协议排名、用户排名、网站排名等摘要信息 Web使用。Web使用状况,包括Web用户排名、网站排名、浏览器排名、操作系统排名等 应用程序使用。网络应用程序使用状况,包括协议排名、应用程序用户排名、应用程序排名等 通讯和使用。包括协议、通讯、缓存性能、处理时间等 安全性。当包括安全性内容时,报告将列出违反网络安全的尝试,包括授权失败和丢弃的数据包。 报告工作原理: 报告-->日志摘要-->日志记录 日志摘要组件(DailySum.exe): 报告依赖于日志摘要组件,日志摘要组件依赖于日志记录。日志摘要组件对日志记录进行汇总;如果没有启用日志记录则没有报告数据 默认启用,每天凌晨0:30运行 摘要数据默认存储路径为%ISAInstallParth%ISASummaries 至少保存35个每天总结和13个每月总结
FWEngMon: FWEng监视工具 /c显示活动的侦听对象(Creation Object): 侦听对象: Web代理服务 防火墙客户服务 服务发布 辅助连接: FWC 应用程序筛选器 /s显示防火墙引擎上的活动连接 /allow允许某段IP地址和ISA防火墙之间的访问,不受ISA防火墙控制(慎重使用!)