在Microsoft部署安全防火墙、代理和Web缓存（1）

知足常乐

　　简介
　　信息技术（IT）和商业逐渐成为同义词。现代信息技术对于各种商业过程的自动化是至关重要的，包括新产品和服务购买、制造、运输、销售和营销等等。大部分时候，IT可以简化支持企业能力的业务流程，使它们对市场变化能够做出更快的响应。另外，IT也衍生出了一些新的商业模式。
　　
　　例如，现在很多企业都利用Internet的全球普及性来帮助提高企业到企业（B2B）、企业到客户（B2C）和所有的商业链流程的效率。通过Internet，很多公司都正在创造新的商业模式。网络化的公司正在为集中的商业链行为创建合算、高效、自动化的Web应用程序，例如开具发票和采购等过程。Internet使得企业间能够更方便的进行合作，同时为客户提供更完善的服务。
　　
　　随着Internet在商业中的广泛应用，用于保护计算和信息资产安全性的技术也越来越进步。
　　
　　在如今的市场中，网络化公司将面对一系列全新的挑战。客户希望计算环境安全、有效并能够轻松的进行交互。公司希望部署的计算环境能够扩展，满足市场中新的需求，而企业中的IT专业人员则希望环境的管理和故障诊断变得更为简单。
　　
　　现在，为了满足这些需求，我们推出了Microsoft Internet Security and Acceleration Server 2000。
　　
　　ISA Server概述
　　Microsoft Internet Security and Acceleration Server 2000（也称为ISA Server）是Microsoft .NET Enterprise服务器家族的一部分，它为快速的构建、部署和管理可伸缩的集成Web解决方案和服务提供了一系列完善的服务器应用程序。.NET Enterprise服务器最初的设计理念是以任务关键性性能和集成为出发点，使用开放式Web标准（如XML）来实现互操作性。.NET Enterprise服务器和Microsoft Windows?2000操作系统构成了.NET平台的基础，实现了第三代的Internet：在第三代Internet中，软件是作为一种服务来提供的；可在任何时间、任何地点使用各种设备来进行访问；并且是可编程、可定制的。.NET 平台的设计目标就是为了将各种Web服务和应用程序整合到一个完善的独立解决方案中，并实现解决方案的快速开发、集成和协作。
　　
　　ISA Server是一个集成于Windows 2000中的可扩展的企业防火墙和Web缓存服务器，实现网络互联的基于策略的安全性、加速以及管理。ISA Server提供了两种紧密结合的模式：多层防火墙和高效Web缓存服务器。这个防火墙提供了包、链路和应用程序层的过滤；状态检查，用于检查通过防火墙的数据；访问策略的控制；以及流量的路由。缓存将经常请求的Web内容保存下来，从而改进了网络性能和用户体验。防火墙和缓存可以部署在不同的专用服务器上，也可以集成在同一个机器上。完善的管理工具简化了策略定义、流量路由、服务器发布和监视等各种工作。ISA Server是建立在Windows 2000安全性、目录、虚拟专用网（VPN）和带宽控制基础上的。不论是被单独配置为防火墙和缓存服务器，或是配置为集成模式，ISA Server都可以增强网络安全性，强化一致的Internet使用策略，加速Internet访问，并实现各种规模公司中职工生产力的最大化。
　　
　　ISA Server 2000 Enterprise Edition（本文的重点）是Microsoft可伸缩的企业防火墙和Web缓存服务器。ISA Server Enterprise Edition的设计目标是通过集中化的服务器管理、多层次的访问策略和容错能力，满足大Internet流量的环境对于性能、管理和可伸缩性的需求。ISA Server Enterprise Edition为任务关键性环境提供了快速、安全和可伸缩的Internet连接。
　　
　　Microsoft内部的情形
　　在Microsoft中，信息技术组 (ITG)负责公司内部网络、通讯系统、企业服务器和所有业务链应用程序的运行。这个小组也负责在新的Microsoft产品仍处于测试阶段时，就在这些系统中部署新的产品。这样就可以使每个产品开发团队在将其产品投入制造前就得到真实的反馈。最终，ITG和产品开发团队必须共同签字，每个新的产品才能被送往制造阶段。
　　
　　Microsoft的员工们将内部部署新产品试用版的过程戏称为“eating your own dog food”。这种说法很形象的表现了要将尚未完善的产品引入环境中，同时又保证内部计算信息环境正常工作时所会遇到的挑战。虽然这个过程常常遇到各种挑战，但是以此也能获得完善的产品，并提高参与新产品开发或部署的员工士气。
　　
　　ISA Server也不例外。在发送给制作之前，ITG已经在测试节点就将其部署在Microsoft中。在最初就部署这个产品是为了更快的得到真实企业部署的反馈，从中发现问题并加以解决。
　　
　　对于习惯于Web的Microsoft员工而言，Internet访问是至关重要的。平均每天，公司总部四万多台客户端计算机访问超过四千万的Internet URL，每项请求的平均处理时间仅1.4秒。如果公司内无法访问Internet，那么很大一部分Microsoft的业务都将瘫痪了。
　　
　　通过本文已经提及的内部测试，ITG学会了如何正确的安装、配置和部署ISA Server。同时，它们也了解了如何用ISA Server来满足不同的商业需求，以及该产品独特功能所带来的各种收益。
　　
　　本文档将介绍许多ITG所总结出的经验。我们并不打算将本文作为规划ISA Server的通用指南或规划书，在其中将介绍ITG在Microsoft部署ISA Server所采用的方法。通过介绍Microsoft如何部署ISA Server测试版产品，作者希望客户能够从这些内部经验中所有收获。
　　
　　部署规划
　　对于Microsoft中每一次的测试版软件部署，ITG都首先对业务需求及产品功能进行广泛的规划和细致的考虑。这些计划中也包括部署目标和项目范围，这两者都是保证ISA Server的部署能够满足Microsoft业务需求的关键因素。
　　
　　业务需求
　　所有的计算信息环境都是有差别的，因此每个公司都必须为部署ISA Server开发他们自己的战略、目标和计划。下面列出了一些Microsoft需要重点考虑的商业问题，ITG在确定内部部署ISA Server的战略、目标和计划时需要对它们加以考虑：
　　
　　客户需求必须得以满足。Microsoft一直在致力于开发能够满足客户需求的解决方案。客户的需求之一就是一个能够使公司与客户及合作伙伴通过Internet进行交流的可靠、可伸缩的解决方案。为了实现对客户的承诺，Microsoft开发了ISA Server，并且在公司内部率先采用这个系统，以确保该产品适合企业环境，并且是安全和可伸缩的。ITG及产品开发团队创建了一套紧密的反馈机制，在规划和部署测试版ISA Server的每个阶段中，及时的对所发现的问题就行沟通，从而保证在将产品送往制造之前解决所有以发现的问题。
　　
　　必须保护知识产权。对于Microsoft而言，其知识产权江西广告网�司最重要的资产。因此ITG希望能够保护这些资产的安全。出于这个原因，ITG非常注意避免危及公司的安全性。在将ISA Server测试版部署到Microsoft的生产环境之前，一组安全分析师对规划文档进行了评估，然后根据这些计划部署了一个小型的基础构架，用于检测这个环境的安全是否会被黑客使用常用技术的威胁。结果发现是不会的。他们还发现这个产品是非常安全的，足以用来部署在直接与Internet中服务器进行通讯的内部网络中。
　　
　　员工必须能够快速的访问信息。只有在信息被用来协助员工和主管指定日常决策时，它们才能体现其价值。员工访问各种信息的速度应该与处理信息的速度相当，这样才能使业务的开展速度赶上员工的思维。Internet中信息的快速访问以及信息共享是至关重要的业务需求。Internet已经在很大程度上改变了Microsoft员工开展日常工作的方式。例如，公司内的信息基本上都是以电子的HTML表格形式来提供的。现在，大部分Microsoft使用的业务链应用程序都利用Internet Information Server （构建在Windows 2000中的Web服务器）、SQL Server? 2000和Internet Explorer 5.5。HTML内容在Microsoft中广为使用，这使得ISA Server成为保护信息、加速信息访问的理想解决方案。
　　
　　分布式环境必须使用统一的策略来管理。虽然大部分Microsoft员工都在总部或总部附近工作，但是仍有很多员工分散在世界各地。不论他们身处何处，公司各部门的员工都需要能够通过Internet实现对Web和共享信息的安全且快速的访问。管理一个地理上分散的环境必须是快速且方便的，在这ITG应用一致的策略来保证内部环境安全时尤为重要。
　　
　　Microsoft中很多位置上都配置了Internet访问点，使得地域上分散的员工们能够享受到网络的好处。截止到本文撰写的时候，总共有22个这类的访问点。在允许员工进行安全、快速的Internet访问时，必须对所有这些访问点进行安全的监视和维护。
　　
　　这个环境必须建立在开放的标准上。由于很多第三方的持续支持，Microsoft内部计算信息环境的日常管理得以简化。ITG依靠许多解决方案提供商的共享和日常支持，降低了支持成本、提高了安全性，并使得内部环境更容易进行管理。根据实际经验，第三方公司往往将技术技能和支持工具作为他们的核心产品，采用这些技能和工具对于内部开发而言将是成本合算的。因此，在开放的标准基础上构建环境将变得至关重要，这样第三方公司才能对这个环境进行扩展，使其满足变化中的业务条件。
　　
　　产品功能
　　作为部署计划的一部分，ITG仔细考虑了 ISA Server 的功能应该如何与 Microsoft 的业务需求联系起来。下面将介绍一些最重要的产品功能。在 Microsoft 中部署ISA Server之前，ITG就已经熟悉这些功能了。
　　
　　多层防火墙安全性
　　防火墙可以通过多种方法增强安全性，包括数据包过滤、链路层过滤以及应用程序过滤。高级企业防火墙（例如ISA Server所提供的）将这三种方法结合在一起，提供在多个网络层上的保护。
　　
　　链路层过滤
　　在链路层，ISA Server Firewall服务适用于几乎所有的Internet应用程序和协议，例如 Telnet <