ISA Server 2004
Enterprise Edition Preview
ISA Server 2004
Modello di rete di ISA Server 2004
• Qualsiasi numero di reti
• Relazioni tra reti liberamente definibili
• Appartenenza dinamica ad alcune reti
Internet
• Packet filter su tutte le interfacce
• Policy per rete
VPN
Network
• VPN rappresentate come rete
DMZ 1
ISA Server
2004
• La macchina firewall è vista come
una rete  regole di accesso
Network B
(System Rule)
• Regole di routing assegnabili:
• NAT
• Stateful routing
DMZ 2
Network A
Architettura di ISA 2004
Web
filter
Filtro a livello
Applicativo
Web
filter
Web Filter API
Filtro a livello
Protocollo
Policy
Engine
Web proxy filter
Application
filter
Application
filter
Application
filter
Application
filter
Application Filter API
Firewall service
(WSPSRV.EXE – NETWORK SERVICE)
Filtro a livello
Pacchetto
Firewall Engine
NDIS
IP Stack
Userland
Kernel
mode
Le Regole in ISA 2004
Consenti
Blocca
Utente
Rete Destinazione
IP Destinazione
Sito Destinazione
action on traffic from user from source to destination with conditions
action on traffic from user from source to destination with conditions
Protocollo
Rete Sorgente
•Server
Pubblicato
action
on
traffic
from
user
from
source
to
destination
with
conditions
IP Porta / Tipo
OK
IP Sorgente
Utente Originario
action on traffic from user from source to
•Sito Web Pubblicato
•Periodi consentiti
•Proprietà
filtro
destination
withdiconditions
action on traffic from user from source to destination with conditions
ISA Server 2004 Enterprise Edition
Punti chiave del design






Server delle configurazioni
Policy di enterprise
Reti di enterprise
Supporto al Workgroup
Amministrazione Distribuita
Last known good configuration all’avvio
Server delle configurazioni
ISA management server
 Cos’è?




Store della configurzione dedicato
Un componente del setup sul CD di ISA 2004 EE
Basato su AD/AM
Su una macchina ISA o su macchina separata
 Principali benefici:




Infrastruttura di sicurezza e gestione separate
Nessuna modifica allo schema di AD
Server ISA in workgroup o dominio
Tempi di replica della configurazione più rapidi
Configuration Storage Server
Ufficio Remoto
Ufficio Centrale
Console di
gestione
CSS
Copia locale
della
configurazione
Array di
ISA 2004 EE
Internet
DMZ
Array di
ISA 2004 EE
Backend
Copia locale Array di
della
ISA 2004 EE
configurazioneFrontend
Copia locale
della
configurazione
Copia locale
della
configurazione
CSS
Enterprise policy
 Enterprise policy:
 Definiscono diversi template di policy per
l’organizzazione
 Agli array sono assegnate le enterprise policy
 Effective policy:
 Insieme ordinato di regole (Allow/Deny)
 Calcolate a partire da
 System policy
 Enterprise policy
 Array policy
 Enterprise network
Array
 Cos’è?
 Insieme di server ISA co-locati e simmetricamente
configurati
 Unità fondamentale di gestione in ISA 2004 EE
 Un array fornisce:
 Una singola entità di gestione (configurazione
singola)
 Bilanciamento dei carichi con NLB
 Cache distribuita con CARP
Cache Array Routing Protocol
 Benefici
 Bilanciamento dei carichi delle richieste Web
 Store della cache distribuita
 CARP lato client
 Standard de facto (IE, Netscape)
 Abilitato con la ricerca automatica della del server
 CARP lato server
 Conservazione trasparente dello store
 Favorisce l’esperienza di accesso al Web dell’utente
Network Load Balancing
 Benefici
 Alta disponibilità, fault tolerance
 Bilanciamento del carico
 Abilitazione della stateful inspection
 Integrazione completa:
 Completamente automatico
 Supporta tutti gli scenari operativi
 Il servizio ISA controlla il servizio NLB
Modi NLB in ISA 2004 EE
“Non-integrato”
“Integrato”
Un click e hai VIP…
Modo NLB “integrato”
Sfutta a fondo le capacità della piattaforma
Bidirectional Affinity
Supporto Multi-network
Bilanciamento del carico VPN
Controllo avanzato del failover
Controllo della salute del Firewall
Controllo dello stato delle schede di rete
Fornisce informazioni per il troubleshooting
Bilanciamento di server pubblicati
ISA-1 - Esterno
DIP : 128.1.1.2
VIP : 128.1.1.100
ISA- 1 - Interno
DIP : 10.10.10.2
VIP : 10.10.10.100
Client esterno
172.1.1.1
3
1
2
NLB Cluster
5
Isa-1
NLB Cluster
6
4
Server-1
11.11.11.1
Internet
Isa-2
ISA- 2 - Esterno
DIP : 128.1.1.1
VIP : 128.1.1.100
ISA- 2 - Interno
DIP : 10.10.10.1
VIP : 10.10.10.100
Server-2
11.11.11.2
Bilanciamento di server pubblicati
1-2
3
4
5-6
 Client Esterno  ISA Array (VIP)
 NLB bilancia il carico della connessione verso ISA-1
 ISA-1  Server Pubblicato 1
 Src IP = 172.1.1.1 (Client Esterno) ma…
 Src MAC = MAC di ISA Interno (NLB MAC)
 Server Pubblicato 1 risponde alla richiesta.
 Dest IP = 172.1.1.1 (Client Esterno)
 Dest MAC = MAC di ISA Interno (NLB MAC)
 NLB/BDA assicura che la connessione sia bilanciata solo
verso ISA-1
 ISA Array (VIP)  Client Esterno
Bilanciamento degli accessi in uscita
ISA-1 - Esterno
DIP : 128.1.1.2
VIP : 128.1.1.100
ISA- 1 - Interno
DIP : 10.10.10.2
VIP : 10.10.10.100
ftp.microsoft.com
157.31.56.100
2
Internet
Isa-1
NLB Cluster
4
NLB Cluster
3
5
Isa-2
ISA- 2 - Esterno
DIP : 128.1.1.1
VIP : 128.1.1.100
ISA- 2 - Interno
DIP : 10.10.10.1
VIP : 10.10.10.100
1
6
Client interno
10.10.10.25
Bilanciamento degli accessi in uscita
1
2-3
4-5
 Client Interno  ftp.microsoft.com
 Dest MAC = MAC della NIC interna di ISA (NLB MAC)
 NLB bilancia il carico su ISA-2
 ISA-2  ftp.microsoft.com
 Src IP = 128.1.1.1 (ISA-2 DIP)
 Src MAC = MAC della NIC esterna di ISA (NLB MAC)
 ftp.microsoft.com  ISA-2
 Dest IP = 128.1.1.1 (ISA-2 DIP)
 Dest MAC = MAC della NIC esterna di ISA (NLB MAC)
 Risposta spedita al DIP (128.1.1.1) => NLB non bilancia
 ISA-2  Client Interno
6
 Src IP = 157.31.56.100 (ftp.microsoft.com)
 Src MAC = MAC della NIC interna di ISA (NLB MAC)
Bilanciamento di VPN
ISA-1 - Esterno
DIP : 128.1.1.2
VIP : 128.1.1.100
ISA- 1 - Interno
DIP : 10.10.10.2
VIP : 10.10.10.100
Internet
“Virtual” VPN Server
NLB Cluster
Client esterno
172.1.1.1
Isa-1
Server-1
11.11.11.1
Isa-2
Server-2
11.11.11.2
Client esterno
36.1.2.3
ISA- 2 - Esterno
DIP : 128.1.1.1
VIP : 128.1.1.100
ISA- 2 - Interno
DIP : 10.10.10.1
VIP : 10.10.10.100
Configurazione di Remote Access (NLB)
 Assegnazione degli indirizzi IP
 Pool statico configurato per
server
 DHCP può generare problemi di
performance con un grande
numero di connessioni (es.
Numero significativo di client
VPN)
© 2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica

ISA Server 2004 Enterprise Edition Preview