ISA server 2006知识点整理
第一章:ISA server2006
简介
1. Isa server 的主要功能: 防火墙 、虚拟专用网 、网页缓存
2. ISA server 缓存的种类: 正向缓存 、方向缓存 、链式缓存 、分布式缓存
3. 防火墙设置的种类: Edge Firewall(边缘防火墙)
、3—Leg Perimeter Firewall (3向外围防火墙) 、Back-to-Back Perimeter Firewall(背对背外围防火墙) 、 单一网络适配器(网卡)
对应的网络拓扑结构如下:
Edge Firewall :
3—Ieg Perimeter Firewall :
Back-to-Back Perimeter Firewall(前端防火墙):
Back-to-Back Perimeter Firewall(后端防火墙):
单一网络适配器(网卡):
4.ISA server 2006 对多重网络的支持:
NAT
R R
内部
本地主机
外部
NAT R
R
外围
5.ISA server 对数据包的筛选:
1 IP来源与目的地址
2 TCP来源与目的端口
3 TCP payload
注意:ISA server 不会筛选MAC地址!
6.ISA server 标准版与企业版最大的区别:
企业版拥有如下标准版所不具有的功能:1支持网络负载均衡(NLB)2缓存阵列路由协议(CARP)3企业级管理
第三章:网页缓存
1. ISA server 同时利用了(
内存)与(硬盘)来作为缓存对象的保存地点。
2. 标准版ISA服务器缓存文件及存储路径:C:\urlcache\
Dirl.cdat
3. ISA server可缓存文件的协议的类型: http、https、ftp
4. 那些操作需要重新启动防火墙服务:1启用缓存2启用NLB
第四章:彻底剖析ISA server 客户端
1.ISA server 支持的三种客户端是: 1Web代理客户端(web代理客户端是将HTTP、https、FTP请求传递给ISA server的连接端口8080)
2SecureNAT客户端
3防火墙客户端(防火墙客户端是将HTTP请求传递给
ISA server的连接端口8080,将非HTTP请求传递给ISA server 的连接端口1745。防火墙客户端默认也是web代理客户端。防火墙客户端默认6小时下载一次ISA server服务器配置。)
2.三种客户端的比较:
|
Web代理客户端
|
SecureNAT客户端
|
防火墙客户端
|
支持的操作系统
|
所有操作系统
|
所有操作系统
|
只支持windows操作系统
|
支持的网络协议
|
HTTP 、HTTPS、FTP
|
TCP、UDP、HTTP、https、FTP与其他(ping等)
|
TCP、UDP只winsock应用程序(不支持ping)
|
是否需要额外安装软件
|
否,但是需要浏览器配置
|
否,但是需要网络配置(DNS,网关)
|
是
|
验证用户身份-HTTP
|
是
|
只有×××客户端
|
是
|
验证用户身份-非HTTP
|
不支援访问
|
只有×××客户端
|
是
|
3.自动发现(WPAD:web proxy AutoDiscovery):自动发现只支持(web代理客户端)和(防火墙客户端)。自动发现需要搭配DNS或DHCP服务器,同时在服务器内需要有一笔名为WPAD的记录,用来告诉客户端哪一台计算机是WPAD服务器,而WPAD服务器内有两个用来配置客户端浏览器的自动配置脚本文件,这两个文件分别是wpad.dat(供Web代理客户端使用)与wspad.dat(供防火墙客户端使用)。
4.利用DHCP服务器支持自动发现的步骤。P86,重点是步骤5和步骤6。
5.利用DNS服务器支持自动发现。注意,端口一定要是80。
Wpad+X
客户端
DNS
1.域环境 abc.com
wpad.abc.com
2. DNS后缀 xyz.com
wpad.syz.com
3. 无后缀
WPAD 根 .
6.用户身份验证。
|
W
|
S
|
F
|
HTTP
|
√
|
×
|
√
|
非HTTP
|
×
|
×
|
√
|
7.选择适当的客户端。
需求
|
建议选择地客户端
|
提高网页的访问速度
|
Web代理客户端
|
要将假设与内部网路的网站或服务器发布给因特网的用户
|
SecureNAT客户端
|
提高网页访问速度与访问Winsock资源
|
防火墙客户端
|
控管客户端应用软件与因特网之间的沟通
|
防火墙客户端
|
限制只有身份经过杨正的用户才可以访问网页
|
Web代理客户端或防火墙客户端
|
第五章:开放访问因特网与系统监视
1. P114 协议若是用在访问规则内,择“方向”处请选择“出站”;若是协议用在服务器发布规则内,则请在“方向”处选择入站。
第六章:开放与阻挡实时通信与P2P
软件
1. 阻止通信软件的几种方式: 1通过端口来阻挡2通过服务器ip地址来阻挡 3通过签名字符串来阻挡 4通过内容类型来阻挡
2.
禁 QQ
TCP 443
UDP 8000
第七章:开放访问内部网络的资源
1. 发布网站服务器场的好处: 负载均衡、容错
2. 网站服务器场的各个Web服务器必须内容一致,端口一致。
3. 一次发布多个网站的两种方法:1多侦听器 2Web过滤
4. 发布SSL 网站时应注意:在申请IIS证书时所键入的FQDN与发布网站时填写的内部站点名称与发布网站是填写的公用名称三者保持一致。
5. 本章几个重要实验:1发布内部DNS服务器
2发布内部网站
3一次发布内部多个网站
4连接转换
5发布内部网站服务器场
6发布内部SSL网站
7发布内部邮件服务器
8发布内部SMTP Relay
9发布Exchange OWA网站
第九章:架设ISA server 虚拟专用网络
1. ISA server 所支持×××协议分为以下三种:
PPTP
远程访问×××所支持
L2TP/IPSec(预共享密钥、证书)
站点对站点×××
IPSec隧道模式
2. 使用RADIUS身份验证时所使用的端口为:1812;记账端口为身份验证端口加1.
3. 建立济南到青岛站点对站点×××的过程:
1、 将青岛分公司的内网定义成远程站点(名称:
qingdao)
2、 创建远程站点和内网的网络规则
3、 创建远程站点和内网的访问规则
4、 创建与远程站点同名的用户(
qingdao)
5、青岛分公司用在济南ISA 服务器上的创建的qingdao账户名与密码连接济南的ISA 服务器
4. 本章几个重要的实验:1远程访问×××(PPTP、L2TP)
2站点对站点×××(PPTP)
3站点对站点×××(L2TP 预共享密钥、证书)
第十一章:***检测
1. ISA server在检测到***之后可以采取的几种措施:
1发送电子邮件
2运行指定的程序
3记录到windows 事件日志中
4停止选择的服务
5启动选择服务
第十二章:远程管理 ISA Server
启用系统策略中的第2条和第3条策略
第十三章:CARP
与NLB
的构建
1.CARP:缓存阵列路由协议。Carp具备着负载平衡与故障转移的功能(高效率和高可用性)。
2.NLB:容错、减轻ISA 服务器负担
3.实验:
1内部网络均衡
ISA server 2006知识点整理
第一章:ISA server2006
简介
1. Isa server 的主要功能: 防火墙 、虚拟专用网 、网页缓存
2. ISA server 缓存的种类: 正向缓存 、方向缓存 、链式缓存 、分布式缓存
3. 防火墙设置的种类: Edge Firewall(边缘防火墙) 、3—Leg Perimeter Firewall (3向外围防火墙) 、Back-to-Back Perimeter Firewall(背对背外围防火墙) 、 单一网络适配器(网卡)
对应的网络拓扑结构如下:
Edge Firewall :
3—Ieg Perimeter Firewall :
Back-to-Back Perimeter Firewall(前端防火墙):
Back-to-Back Perimeter Firewall(后端防火墙):
单一网络适配器(网卡):
4.ISA server 2006 对多重网络的支持:
NAT
R R
内部
本地主机
外部
NAT R
R
外围
5.ISA server 对数据包的筛选:
1 IP来源与目的地址
2 TCP来源与目的端口
3 TCP payload
注意:ISA server 不会筛选MAC地址!
6.ISA server 标准版与企业版最大的区别:
企业版拥有如下标准版所不具有的功能:1支持网络负载均衡(NLB)2缓存阵列路由协议(CARP)3企业级管理
第三章:网页缓存
1. ISA server 同时利用了(
内存)与(硬盘)来作为缓存对象的保存地点。
2. 标准版ISA服务器缓存文件及存储路径:C:\urlcache\
Dirl.cdat
3. ISA server可缓存文件的协议的类型: http、https、ftp
4. 那些操作需要重新启动防火墙服务:1启用缓存2启用NLB
第四章:彻底剖析ISA server 客户端
1.ISA server 支持的三种客户端是: 1Web代理客户端(web代理客户端是将HTTP、https、FTP请求传递给ISA server的连接端口8080)
2SecureNAT客户端
3防火墙客户端(防火墙客户端是将HTTP请求传递给
ISA server的连接端口8080,将非HTTP请求传递给ISA server 的连接端口1745。防火墙客户端默认也是web代理客户端。防火墙客户端默认6小时下载一次ISA server服务器配置。)
2.三种客户端的比较:
|
Web代理客户端
|
SecureNAT客户端
|
防火墙客户端
|
支持的操作系统
|
所有操作系统
|
所有操作系统
|
只支持windows操作系统
|
支持的网络协议
|
HTTP 、HTTPS、FTP
|
TCP、UDP、HTTP、https、FTP与其他(ping等)
|
TCP、UDP只winsock应用程序(不支持ping)
|
是否需要额外安装软件
|
否,但是需要浏览器配置
|
否,但是需要网络配置(DNS,网关)
|
是
|
验证用户身份-HTTP
|
是
|
只有×××客户端
|
是
|
验证用户身份-非HTTP
|
不支援访问
|
只有×××客户端
|
是
|
3.自动发现(WPAD:web proxy AutoDiscovery):自动发现只支持(web代理客户端)和(防火墙客户端)。自动发现需要搭配DNS或DHCP服务器,同时在服务器内需要有一笔名为WPAD的记录,用来告诉客户端哪一台计算机是WPAD服务器,而WPAD服务器内有两个用来配置客户端浏览器的自动配置脚本文件,这两个文件分别是wpad.dat(供Web代理客户端使用)与wspad.dat(供防火墙客户端使用)。
4.利用DHCP服务器支持自动发现的步骤。P86,重点是步骤5和步骤6。
5.利用DNS服务器支持自动发现。注意,端口一定要是80。
Wpad+X
客户端
DNS
1.域环境 abc.com
wpad.abc.com
2. DNS后缀 xyz.com
wpad.syz.com
3. 无后缀
WPAD 根 .
6.用户身份验证。
|
W
|
S
|
F
|
HTTP
|
√
|
×
|
√
|
非HTTP
|
×
|
×
|
√
|
7.选择适当的客户端。
需求
|
建议选择地客户端
|
提高网页的访问速度
|
Web代理客户端
|
要将假设与内部网路的网站或服务器发布给因特网的用户
|
SecureNAT客户端
|
提高网页访问速度与访问Winsock资源
|
防火墙客户端
|
控管客户端应用软件与因特网之间的沟通
|
防火墙客户端
|
限制只有身份经过杨正的用户才可以访问网页
|
Web代理客户端或防火墙客户端
|
第五章:开放访问因特网与系统监视
1. P114 协议若是用在访问规则内,择“方向”处请选择“出站”;若是协议用在服务器发布规则内,则请在“方向”处选择入站。
第六章:开放与阻挡实时通信与P2P
软件
1. 阻止通信软件的几种方式: 1通过端口来阻挡2通过服务器ip地址来阻挡 3通过签名字符串来阻挡 4通过内容类型来阻挡
2. 禁 QQ
TCP 443
UDP 8000
第七章:开放访问内部网络的资源
1. 发布网站服务器场的好处: 负载均衡、容错
2. 网站服务器场的各个Web服务器必须内容一致,端口一致。
3. 一次发布多个网站的两种方法:1多侦听器 2Web过滤
4. 发布SSL 网站时应注意:在申请IIS证书时所键入的FQDN与发布网站时填写的内部站点名称与发布网站是填写的公用名称三者保持一致。
5. 本章几个重要实验:1发布内部DNS服务器
2发布内部网站
3一次发布内部多个网站
4连接转换
5发布内部网站服务器场
6发布内部SSL网站
7发布内部邮件服务器
8发布内部SMTP Relay
9发布Exchange OWA网站
第九章:架设ISA server 虚拟专用网络
1. ISA server 所支持×××协议分为以下三种:
PPTP
远程访问×××所支持
L2TP/IPSec(预共享密钥、证书) 站点对站点×××
IPSec隧道模式
2. 使用RADIUS身份验证时所使用的端口为:1812;记账端口为身份验证端口加1.
3. 建立济南到青岛站点对站点×××的过程:
1、 将青岛分公司的内网定义成远程站点(名称:
qingdao)
2、 创建远程站点和内网的网络规则
3、 创建远程站点和内网的访问规则
4、 创建与远程站点同名的用户(
qingdao)
5、青岛分公司用在济南ISA 服务器上的创建的qingdao账户名与密码连接济南的ISA 服务器
4. 本章几个重要的实验:1远程访问×××(PPTP、L2TP)
2站点对站点×××(PPTP)
3站点对站点×××(L2TP 预共享密钥、证书)
第十一章:***检测
1. ISA server在检测到***之后可以采取的几种措施:
1发送电子邮件
2运行指定的程序
3记录到windows 事件日志中
4停止选择的服务
5启动选择服务
第十二章:远程管理 ISA Server
启用系统策略中的第2条和第3条策略
第十三章:CARP
与NLB
的构建
1.CARP:缓存阵列路由协议。Carp具备着负载平衡与故障转移的功能(高效率和高可用性)。
2.NLB:容错、减轻ISA 服务器负担
3.实验:
1 NLB 内部网络均衡
2 NLB 外部网路均衡
3 CARP
NLB
2 NLB 外部网路均衡
3 CARP