ISA Server 2006 中的企業管理
Microsoft® Internet Security and Acceleration (ISA) Server 2006 Enterprise Edition 採用多層式企業及陣列模型。ISA Server 企業包含一或多個陣列,藉由這些陣列集結企業內部的 ISA Server 防火牆電腦。每個企業皆單獨管理自己的陣列成員。
企業及陣列的設定資訊存放在 ISA Server 設定存放區伺服器內。每個企業擁有一或多台設定存放區伺服器。當您在安裝 ISA Server 設定存放區伺服器元件時,可選擇建立新的企業,或是建立現有設定存放區伺服器的複本。企業中的陣列成員會與設定存放區伺服器進行通訊,以取得最新的設定資訊。
同一陣列中的 ISA Server 電腦係共用相同的設定、企業原則及陣列原則,以便於體制管理及系統管理。當您修改陣列設定並套用變更時,會更新所有的陣列成員。集中化的系統管理能夠以一台電腦執行所有的系統管理工作。
ISA Server Enterprise Edition 使用防火牆原則來保護網路,並控制進出組織的網路流量。防火牆原則包含於企業層級和陣列層級定義的存取及發行規則。企業系統管理員可對整個企業實施精細的原則控制,包括授與陣列系統管理員原則授權的層級。
企業原則
身為 ISA Server 企業系統管理員,您須定義企業原則,以套用到企業中的一或多個陣列。企業原則的使用方式如下:
| • | 建立企業原則來套用組織全體的標準防火牆原則。例如,您可以在企業原則中建立一項規則,用來拒絕從內部網路流向網際網路的 FTP 流量。 |
| • | 將企業原則套用到一或多個陣列。如此可簡化陣列管理,並確實在企業層級為安全原則把關。不用辛苦地針對每個陣列建立及管理原則,而變更也只須套用到企業原則即可。 |
您亦可根據陣列功能來建立企業原則。例如,您可以建立用來處理虛擬私人網路 (VPN) 連線的陣列、處理發行的陣列,以及控制 Web Proxy 網際網路存取的陣列。建立下列三種企業原亦不失為良策:
| • | 適用於 VPN 陣列的企業存取原則 |
| • | 適用於發行陣列的企業存取原則 |
| • | 適用於網際網路存取陣列的企業存取原則 |
每個企業原則含有一組適用於陣列類型且依序排列的存取規則。ISA Server 本身提供一個不可修改或刪除的預設企業原則。其中含有拒絕所有流量的單一預設規則 (全部拒絕)。如此可確保企業預設為鎖定狀態,只接受您明確定義的允許流量。
設定企業原則
請依照下列步驟,設定企業環境及企業原則:
1. | 定義企業層級系統管理角色。定義企業系統管理員和企業原則系統管理員。 |
2. | 建立企業網路及網路規則。建立企業網路作為企業層級存取規則中的來源及目的地使用,或將其納入陣列層級網路的定義之中。建立網路規則,用以指定企業網路彼此之間的通訊方式。 |
3. | 建立企業原則。首先建立企業原則,隨後定義原則中所使用的規則。在企業層級建立規則元素 (例如:通訊協定定義),再使用這些元素作為企業層級規則的參數,用以判定允許進出企業網路的流量為何。在企業層級建立的規則元素亦可用於陣列層級存取規則。企業原則中的每個規則皆可以定義,使其可套用在陣列原則之前或之後。規則排序是 ISA Server 檢查規則時的重要依據。系統會使用第一個符合 ISA Server 所收到的要求之規則,不再檢查後續規則。 |
定義企業層級系統管理角色
ISA Server 使用角色型的模型,將企業及陣列系統管理員組織成預先定義的角色。擁有特定角色的使用者方可執行特定的 ISA Server 工作。ISA Server 會辨別企業層級角色和陣列層級角色的不同。企業角色包括:
| • | ISA Server 企業系統管理員。此角色可全權控制企業以及企業內部所有陣列的設定。擁有這個角色的使用者可建立企業原則並將其套用到陣列、管理陣列設定,以及指派角色給其他使用者和群組。 |
| • | ISA Server 企業稽核員。此角色允許使用者檢視企業設定以及企業內部所有陣列的設定。 |
| • | ISA Server 企業原則編輯器。企業系統管理員可針對特定的企業原則指派系統管理員權限,藉此將企業層級的系統管理工作限制在特定原則下。企業原則編輯器能夠依特定企業原則建立規則,但無法建立新的企業原則。 |
如需相關資訊,請參閱 Microsoft TechNet 上的 ISA Server 2006 的角色型系統管理概念。
建立企業網路及網路規則
企業網路通用於企業內部的所有陣列,且涵蓋您網路拓撲中的 IP 位址範圍。企業網路間的流量不應越過任何安全性界限,例如防火牆或 VPN。企業網路不具有陣列層級網路中定義的內容。企業網路的用途如下:
| • | 建立企業原則。ISA Server 預先定義的企業網路,形同名稱相同的陣列層級網路之預留位置。任何套用到預先定義企業網路的規則,都將套用到相同的陣列層級網路。例如,套用至名為「本機主機」之企業網路的規則,也會套用至該陣列之「本機主機」網路的 IP 位址中。預先定義的企業網路沒有任何相關聯內容,且無法在建立陣列層級的防火牆原則規則時明確使用。ISA Server 包括下列預先定義的企業網路:
| ||||||||
| • | 包含在陣列層級網路中。企業網路可為企業內陣列提供互相參照的機制。例如,陣列系統管理員可定義陣列層級網路,使其參照企業網路的 IP 位址範圍,並據此建立規則。在企業內部部署陣列及陣列成員之前,企業系統管理員須先設定自訂的企業網路。IP 位址只能包含在一個企業網路中。定義於企業層級且包含在某些企業網路的 IP 位址,即視為該企業的位址範圍。 |
在企業內部部署陣列及陣列成員之前,企業系統管理員須先設定自訂的企業網路。IP 位址只能包含在一個企業網路中。定義於企業層級且包含在某些企業網路的 IP 位址,即視為該企業的位址範圍。
定義網路之間的關聯性時,必須使用網路規則。如未設定網路規則,流量將無法在網路之間傳遞。網路關聯性可定義為路由或網路位址轉譯 (NAT)。定義路由關聯性後,IP 位址不會在網路之間隱藏。這是兩個含有私人 IP 位址的網路之間常見的設定。NAT 關聯性可確保來自來源網路之要求的 IP 位址,會被連線到目的網路之 ISA Server 介面卡的 IP 位址取代,且以有效方式隱藏。
當您希望在網路之間建立的網路關聯性可套用至所有陣列時,適合使用企業層級的網路規則。例如,您可能需要為企業內部的所有陣列,定義從內部網路到外部網路的 NAT 關聯性。企業層級網路規則只能套用到企業層級網路物件。無法套用到陣列層級網路。
建立企業原則
當您建立新的企業原則時,其中會自動含有一個封鎖所有流量的預設規則。接著再定義要新增到原則中的企業層級存取規則。企業原則中的每個企業層級規則可組織為下列規則:
| • | 在處理任何陣列層級規則之前處理的企業原則規則。也就是所謂的陣列前層級規則。 |
| • | 在處理陣列層級規則之後處理的企業原則規則。也就是所謂的陣列後層級規則。 |
您可以重新排序所有的企業規則,只有預設的企業原則拒絕規則無法重新排序。該規則永遠都是最後處理的。
如果您未建立任何企業原則,則預設的企業原則會在套用陣列的防火牆原則規則後套用到企業陣列中。
陣列原則
ISA Server 2006 Enterprise Editions 係將 ISA Server 防火牆組成陣列,使其共用一個通用設定及單一防火牆原則,以便於整體化管理。有些設定屬於陣列成員專有,例如快取設定、安全通訊端層 (SSL) 憑證以及 VPN 靜態位址集區。所有的陣列成員應具有相同的設定,包括:
| • | 以相同名稱連線到陣列層級網路的網路介面卡數目。 |
| • | 具基本監視權限的鏡像帳戶 (供工作群組部署使用)。 |
| • | 應用程式及網頁篩選器設定。 |
| • | 安裝的憑證。 |
| • | 已安裝 ISA Server 語言版本。在企業中,陣列可以安裝不同語言版本的 ISA Server。 |
設定陣列
設定陣列的步驟如下:
1. | 定義陣列。您可以執行安裝程式來建立並設定陣列,或是安裝設定存放區伺服器,再執行安裝程式,然後於 ISA Server 管理中建立陣列。若要從設定存放區伺服器監視陣列,必須將設定存放區伺服器的 IP 位址新增到預先定義的 [企業遠端管理電腦] 電腦組,或預先定義的陣列層級 [遠端管理電腦] 電腦組。如果是在安裝 ISA Server 防火牆時建立陣列,這個步驟會自動完成。如果是在執行安裝程式之後透過 ISA Server 管理建立陣列,須將此 IP 位址手動新增到電腦組中。 |
2. | 設定陣列內容。在 [ISA Server 管理] 中執行 [新增陣列精靈],以建立陣列並指定部分陣列內容。隨後在陣列內容頁面上自訂設定。 |
3. | 進行陣列內部設定。建議您以專用的網路介面卡與陣列內部網路建立關聯。 |
4. | 設定陣列層級存取規則。建立陣列存取規則,並視需要排列陣列規則及企業規則的順序。 |
5. | 在陣列層級原則中使用企業網路。陣列系統管理員可在陣列層級網路中納入企業網路。 |
定義陣列
您可以在安裝 ISA Server 防火牆時建立陣列。在建立陣列的過程中,進行下列指定:
| • | 陣列名稱和描述。 | ||||||
| • | 陣列網域名稱系統 (DNS),供用戶端用來進行陣列探索。 | ||||||
| • | 應該套用到陣列的企業原則。 | ||||||
| • | 規則限制。指定可在陣列層級建立的防火牆原則規則類型。此設定在於決定陣列系統管理員可對特定陣列套用的自訂等級。您可以啟用或停用下列規則類型:
|
或者,您可以先安裝設定存放區伺服器,再於執行安裝程式後建立陣列。
附註:透過慢速連結建立陣列可能會相當費時。
設定陣列內容
透過 ISA Server 管理,可建立新陣列、修改現有的陣列內容,或是設定無法使用新增陣列精靈設定的其他陣列內容。從陣列內容頁面中,可設定下列項目:
| • | 一般。陣列的名稱、描述及 DNS 名稱。 | ||||||
| • | 原則設定值。套用到陣列的企業原則,以及可在陣列層級建立的規則類型。 | ||||||
| • | 設定存放區。指定陣列所應使用的設定存放區伺服器,以及替代的設定存放區伺服器,以備萬一主要設定存放區伺服器無法運作時使用。此外也定義陣列檢查設定存放區伺服器是否有更新的輪詢頻率,以及定義陣列成員與設定存放區伺服器之間的連線所使用的驗證方法。若陣列成員及設定存放區伺服器位於同一網域,會使用 Active Directory® 目錄服務驗證。若兩者位於不受信任的網域,或其中一者屬於工作群組設定,則必須在設定存放區伺服器上安裝憑證,且每個陣列成員上必須具有發行 CA 的根憑證授權單位 (CA) 之憑證。 | ||||||
| • | 指派角色。在網域案例中,指定 Active Directory 使用者或群組,然後對其指派下列其中一個角色:
|
在工作群組設定中,輸入群組或使用者的名稱,並選取要對該群組或使用者指派的角色。指定帳戶後,您必須在每個陣列成員上建立相同 (鏡像) 帳戶。如需相關資訊,請參閱 Microsoft TechNet 上的 ISA Server 2006 中的角色型系統管理概念。
| • | 客戶意見回應。指定您是否要加入客戶經驗改進計畫 (CEIP)。此計畫可讓 Microsoft 收集匿名的硬體設定資訊,以及有關軟體使用情形的資訊。CEIP 預設為停用。請注意,您一旦啟用 CEIP,ISA Server 電腦 (本機主機網路) 會自動啟用 Web Proxy 用戶端存取。 |
| • | 陣列內部認證。指定陣列成員用來彼此通訊的位址。 |
進行陣列內部設定
當同一陣列含有多個成員時,成員之間會因為一些原因而彼此通訊,包括:
| • | CARP。快取陣列路由通訊協定 (CARP) 有效地將所有成員伺服器的快取磁碟機結合成單一邏輯快取。若要完成此作業,成員伺服器必須互相轉寄要求。 |
| • | VPN。VPN 通道存在時,成員伺服器會通知其他伺服器,以便讓陣列將適用的流量路由至適當通道,也就是擁有該通道的伺服器。 |
| • | 設定存放區伺服器。若設定存放區伺服器安裝在其中一台成員伺服器上,其他的陣列成員便會存取該伺服器。 |
陣列成員使用陣列內部位址彼此通訊。雖然各成員伺服器可藉由其完整網域名稱 (FQDN) 予以個別辨識,但陣列內部位址仍有其重要性,原因如下:
| • | 各陣列成員可能有不只一張的網路介面卡。型態敏感的陣列內部流量應只能透過特定的網路介面卡進行通訊。您可以指定陣列內部位址,來設定特定的網路介面卡傳送陣列內部通訊。 |
| • | 設定陣列內部使用網路負載平衡 (NLB) 時,NLB 繫結的介面卡不應供陣列內部流量使用。您可以特別限制陣列內部位址,藉此避免 NLB 繫結位址與陣列內部位址間的衝突。 |
| • | 陣列內部流量不應受限於配額限制。指定陣列內部位址即可確保不受這類限制影響。 |
安裝期間會進行下列設定:
| • | 陣列內部位址會設定成與內部網路相關聯的陣列成員網路介面卡之預設 IP 位址。此 IP 位址亦可用於其他用途,包括用來與設定存放區伺服器通訊,以及進行遠端管理。若 IP 位址有所變更,請檢查陣列內部位址是否正確設定,且 NLB 機制是否使用正確的 IP 位址。 |
| • | 預設的系統原則規則 [允許陣列內部通訊] 為啟用狀態。此規則允許使用 MS 防火牆控制及 RPC 通訊協定,與預先定義的 [陣列伺服器] 電腦組的所有成員進行雙向通訊。MS 防火牆控制通訊協定係根據輕量型目錄存取通訊協定 (LDAP) (輸出 TCP 連接埠 2171) 及 LDAPS (連接埠 2172),供陣列成員與設定存放區伺服器之間通訊使用。當伺服器位於不受信任的網域中,或處於工作群組模式時,會使用 LDAPS。遠端程序呼叫 (RPC) 是用來進行監視。[陣列伺服器] 電腦組中含有所有陣列成員的 IP 位址。 |
陣列內部位址可由陣列系統管理員針對各陣列成員進行修改。設定安全陣列內部通訊時,請注意下列指導方針:
| • | 建議透過專用集線器或虛擬 LAN 進行陣列內部通訊。此設定的目的在於以實體或邏輯方式將陣列內部流量與其他網路隔離。 |
| • | 建議您在僅用於陣列內部通訊的網路上,使用專用的網路介面卡。此網路應包含所有陣列成員的陣列內部位址。 |
| • | 安裝後即會為每個陣列成員建立私人及公用金鑰配對。這些金鑰是用來在陣列成員之間傳送機密資料。如果您認為金鑰已遭洩露,請先解除安裝 ISA Server 後再重新安裝,以建立新的金鑰配對。 |
| • | 如未針對陣列設定 NLB,應將陣列內部位址指定為網路上第一張網路介面卡的主要 IP 位址。 |
| • | 若已啟用 ISA Server 整合式 NLB,請使用網路的專屬網路介面卡來處理陣列內部流量。相同網路上不同的網路介面卡應使用於 NLB。 |
安裝專用網路介面卡後,請執行下列步驟:
1. | 設定供陣列內部通訊用的 IP 位址。重新設定陣列內部位址時,新的位址會新增到 [陣列伺服器] 電腦組。 |
2. | 建立專用的陣列層級網路,其應該包含每個陣列成員的陣列內部位址。建立網路時,請將其類型指定為 [內部]。建議您匯出陣列內部網路。如此一來,即使因選取另一個網路範本而覆寫了網路,仍可確保已備份設定。 |
3. | 設定讓網路接聽 Web Proxy 用戶端要求。請勿讓網路接聽防火牆用戶端要求。 |
設定陣列層級存取規則
當您設定陣列層級存取規則時,這些規則會與企業原則結合成有效的陣列原則,形成由規則組合而成的防火牆行為。規則會依下列順序處理:
| • | 陣列層級系統原則規則。允許流量進出 ISA Server 電腦 (本機主機網路) 的一組預先定義的系統原則規則,會比所有其他規則優先處理。 |
| • | 陣列前企業規則 (排在防火牆原則規則之前)。 |
| • | 陣列層級防火牆原則規則。 |
| • | 陣列後企業規則 (排在防火牆原則規則之後)。 |
例如,如果企業系統管理員想要讓整個企業都能毫無例外地存取 FTP,應建立允許 FTP 的陣列前企業存取規則。然而,若要一方面允許 FTP,並同時賦予陣列系統管理員拒絕 FTP 存取的能力,就應該建立允許 FTP 的陣列後企業存取規則。若陣列系統管理員稍後建立陣列存取規則拒絕 FTP,則有效的原則將會拒絕 FTP。若陣列系統管理員未建立規則拒絕 FTP,則有效的原則將會允許 FTP。
在陣列層級原則中使用企業網路
企業系統管理員使用企業網路來建立企業層級存取規則,但陣列系統管理員可於定義陣列層級網路時,將企業網路納入其中。以 IP 位址範圍設定陣列層級網路,以及一或多個企業網路。如此一來,陣列定義中便可含有未必實體連線到陣列的 IP 位址。
附註:企業網路中包含的位址範圍對應於特定陣列成員路由表者,才是您應當納入的企業網路。
例如可考量前端陣列及後端陣列,兩者皆連線到 IP 位址範圍是從 10.0.0.0/8 開始的網路。也假設企業系統管理員已利用 10.0.0.0 到 10.255.255.255 的 IP 位址範圍,定義了名為 ENT-Perimeter 的企業網路。然後,每個陣列系統管理員都可定義名為 Perimeter 的陣列層級網路,並包含其所含之企業網路 ENT-Perimeter 的 IP 範圍。接著可依據網路 Perimeter 來建立陣列層級防火牆原則規則。
在部份情況下,陣列系統管理員可能只想要建立陣列層級網路,因此只會有效率地建立該陣列可看到及使用的網路。其餘企業則無法使用此網路。例如,陣列層級網路可能在下列實例中十分有用:
| • | 陣列層級網路不應受企業層級中所做的變更影響。 |
| • | 企業層級中不會使用也不需要該陣列層級網路。 |
來自非陣列層級網路中之 IP 位址的流量預設是視為詐騙。即使 IP 位址是包含在企業網路中,也是如此。