ISA Server 2004 Enterprise Edition Preview ISA Server 2004 Modello di rete di ISA Server 2004 • Qualsiasi numero di reti • Relazioni tra reti liberamente definibili • Appartenenza dinamica ad alcune reti Internet • Packet filter su tutte le interfacce • Policy per rete VPN Network • VPN rappresentate come rete DMZ 1 ISA Server 2004 • La macchina firewall è vista come una rete regole di accesso Network B (System Rule) • Regole di routing assegnabili: • NAT • Stateful routing DMZ 2 Network A Architettura di ISA 2004 Web filter Filtro a livello Applicativo Web filter Web Filter API Filtro a livello Protocollo Policy Engine Web proxy filter Application filter Application filter Application filter Application filter Application Filter API Firewall service (WSPSRV.EXE – NETWORK SERVICE) Filtro a livello Pacchetto Firewall Engine NDIS IP Stack Userland Kernel mode Le Regole in ISA 2004 Consenti Blocca Utente Rete Destinazione IP Destinazione Sito Destinazione action on traffic from user from source to destination with conditions action on traffic from user from source to destination with conditions Protocollo Rete Sorgente •Server Pubblicato action on traffic from user from source to destination with conditions IP Porta / Tipo OK IP Sorgente Utente Originario action on traffic from user from source to •Sito Web Pubblicato •Periodi consentiti •Proprietà filtro destination withdiconditions action on traffic from user from source to destination with conditions ISA Server 2004 Enterprise Edition Punti chiave del design Server delle configurazioni Policy di enterprise Reti di enterprise Supporto al Workgroup Amministrazione Distribuita Last known good configuration all’avvio Server delle configurazioni ISA management server Cos’è? Store della configurzione dedicato Un componente del setup sul CD di ISA 2004 EE Basato su AD/AM Su una macchina ISA o su macchina separata Principali benefici: Infrastruttura di sicurezza e gestione separate Nessuna modifica allo schema di AD Server ISA in workgroup o dominio Tempi di replica della configurazione più rapidi Configuration Storage Server Ufficio Remoto Ufficio Centrale Console di gestione CSS Copia locale della configurazione Array di ISA 2004 EE Internet DMZ Array di ISA 2004 EE Backend Copia locale Array di della ISA 2004 EE configurazioneFrontend Copia locale della configurazione Copia locale della configurazione CSS Enterprise policy Enterprise policy: Definiscono diversi template di policy per l’organizzazione Agli array sono assegnate le enterprise policy Effective policy: Insieme ordinato di regole (Allow/Deny) Calcolate a partire da System policy Enterprise policy Array policy Enterprise network Array Cos’è? Insieme di server ISA co-locati e simmetricamente configurati Unità fondamentale di gestione in ISA 2004 EE Un array fornisce: Una singola entità di gestione (configurazione singola) Bilanciamento dei carichi con NLB Cache distribuita con CARP Cache Array Routing Protocol Benefici Bilanciamento dei carichi delle richieste Web Store della cache distribuita CARP lato client Standard de facto (IE, Netscape) Abilitato con la ricerca automatica della del server CARP lato server Conservazione trasparente dello store Favorisce l’esperienza di accesso al Web dell’utente Network Load Balancing Benefici Alta disponibilità, fault tolerance Bilanciamento del carico Abilitazione della stateful inspection Integrazione completa: Completamente automatico Supporta tutti gli scenari operativi Il servizio ISA controlla il servizio NLB Modi NLB in ISA 2004 EE “Non-integrato” “Integrato” Un click e hai VIP… Modo NLB “integrato” Sfutta a fondo le capacità della piattaforma Bidirectional Affinity Supporto Multi-network Bilanciamento del carico VPN Controllo avanzato del failover Controllo della salute del Firewall Controllo dello stato delle schede di rete Fornisce informazioni per il troubleshooting Bilanciamento di server pubblicati ISA-1 - Esterno DIP : 128.1.1.2 VIP : 128.1.1.100 ISA- 1 - Interno DIP : 10.10.10.2 VIP : 10.10.10.100 Client esterno 172.1.1.1 3 1 2 NLB Cluster 5 Isa-1 NLB Cluster 6 4 Server-1 11.11.11.1 Internet Isa-2 ISA- 2 - Esterno DIP : 128.1.1.1 VIP : 128.1.1.100 ISA- 2 - Interno DIP : 10.10.10.1 VIP : 10.10.10.100 Server-2 11.11.11.2 Bilanciamento di server pubblicati 1-2 3 4 5-6 Client Esterno ISA Array (VIP) NLB bilancia il carico della connessione verso ISA-1 ISA-1 Server Pubblicato 1 Src IP = 172.1.1.1 (Client Esterno) ma… Src MAC = MAC di ISA Interno (NLB MAC) Server Pubblicato 1 risponde alla richiesta. Dest IP = 172.1.1.1 (Client Esterno) Dest MAC = MAC di ISA Interno (NLB MAC) NLB/BDA assicura che la connessione sia bilanciata solo verso ISA-1 ISA Array (VIP) Client Esterno Bilanciamento degli accessi in uscita ISA-1 - Esterno DIP : 128.1.1.2 VIP : 128.1.1.100 ISA- 1 - Interno DIP : 10.10.10.2 VIP : 10.10.10.100 ftp.microsoft.com 157.31.56.100 2 Internet Isa-1 NLB Cluster 4 NLB Cluster 3 5 Isa-2 ISA- 2 - Esterno DIP : 128.1.1.1 VIP : 128.1.1.100 ISA- 2 - Interno DIP : 10.10.10.1 VIP : 10.10.10.100 1 6 Client interno 10.10.10.25 Bilanciamento degli accessi in uscita 1 2-3 4-5 Client Interno ftp.microsoft.com Dest MAC = MAC della NIC interna di ISA (NLB MAC) NLB bilancia il carico su ISA-2 ISA-2 ftp.microsoft.com Src IP = 128.1.1.1 (ISA-2 DIP) Src MAC = MAC della NIC esterna di ISA (NLB MAC) ftp.microsoft.com ISA-2 Dest IP = 128.1.1.1 (ISA-2 DIP) Dest MAC = MAC della NIC esterna di ISA (NLB MAC) Risposta spedita al DIP (128.1.1.1) => NLB non bilancia ISA-2 Client Interno 6 Src IP = 157.31.56.100 (ftp.microsoft.com) Src MAC = MAC della NIC interna di ISA (NLB MAC) Bilanciamento di VPN ISA-1 - Esterno DIP : 128.1.1.2 VIP : 128.1.1.100 ISA- 1 - Interno DIP : 10.10.10.2 VIP : 10.10.10.100 Internet “Virtual” VPN Server NLB Cluster Client esterno 172.1.1.1 Isa-1 Server-1 11.11.11.1 Isa-2 Server-2 11.11.11.2 Client esterno 36.1.2.3 ISA- 2 - Esterno DIP : 128.1.1.1 VIP : 128.1.1.100 ISA- 2 - Interno DIP : 10.10.10.1 VIP : 10.10.10.100 Configurazione di Remote Access (NLB) Assegnazione degli indirizzi IP Pool statico configurato per server DHCP può generare problemi di performance con un grande numero di connessioni (es. Numero significativo di client VPN) © 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.