ISA Server 2004 Enterprise Edition Preview. ISA Server 2004

ISA Server 2004Enterprise Edition Preview

ISA Server 2004

Modello di rete di ISA Server 2004

Network A

Internet

DMZ 1

DMZ 2Network B

VPNNetwork

• Qualsiasi numero di reti• Relazioni tra reti liberamente definibili• Appartenenza dinamica ad alcune reti

• Policy per rete

• VPN rappresentate come rete ISA Server2004

• Packet filter su tutte le interfacce

• La macchina firewall è vista come una rete regole di accesso (System Rule)

• Regole di routing assegnabili:• NAT• Stateful routing

NDIS

PolicyEngine

Architettura di ISA 2004

Firewall Engine IP Stack

Firewall service(WSPSRV.EXE – NETWORK SERVICE)

Application Filter API

ApplicationfilterWeb proxy filter Application

filterApplication

filterApplication

filter

Web Filter API

Webfilter

Webfilter

Filtro a livello Pacchetto

Filtro a livello Applicativo

Filtro a livello Protocollo

Kernel mode

Userland

action on traffic from user from source to destination with conditions





Le Regole in ISA 2004

ConsentiBlocca

Rete SorgenteIP SorgenteUtente Originario

Rete DestinazioneIP DestinazioneSito Destinazione

ProtocolloIP Porta / Tipo

•Server Pubblicato•Sito Web Pubblicato•Periodi consentiti•Proprietà di filtro

Utente

OK

ISA Server 2004 Enterprise Edition

Punti chiave del design

Server delle configurazioni Policy di enterprise Reti di enterprise Supporto al Workgroup Amministrazione Distribuita Last known good configuration all’avvio

Server delle configurazioniISA management server

Cos’è? Store della configurzione dedicato Un componente del setup sul CD di ISA 2004 EE Basato su AD/AM Su una macchina ISA o su macchina separata

Principali benefici: Infrastruttura di sicurezza e gestione separate Nessuna modifica allo schema di AD Server ISA in workgroup o dominio Tempi di replica della configurazione più rapidi

Configuration Storage Server

CSS

Console digestione

Array di ISA 2004 EE

CSS

Rep

liche

(RP

C s

u V

PN

)

Array di ISA 2004 EEFrontend

Copia localedella

configurazione

Copia localedella

configurazione

Array di ISA 2004 EEBackend

Copia localedella

configurazione

Copia localedella

configurazione

DMZ

Ufficio RemotoUfficio Centrale

Internet

LDA

P

LDAP

LDAP

LDA

P

Enterprise policy Enterprise policy:

Definiscono diversi template di policy per l’organizzazione

Agli array sono assegnate le enterprise policy

Effective policy: Insieme ordinato di regole (Allow/Deny) Calcolate a partire da

System policy Enterprise policy Array policy

Enterprise network

Array

Cos’è? Insieme di server ISA co-locati e simmetricamente

configurati Unità fondamentale di gestione in ISA 2004 EE

Un array fornisce: Una singola entità di gestione (configurazione

singola) Bilanciamento dei carichi con NLB Cache distribuita con CARP

Cache Array Routing Protocol Benefici

Bilanciamento dei carichi delle richieste Web Store della cache distribuita

CARP lato client Standard de facto (IE, Netscape) Abilitato con la ricerca automatica della del server

CARP lato server Conservazione trasparente dello store Favorisce l’esperienza di accesso al Web dell’utente

Network Load Balancing Benefici

Alta disponibilità, fault tolerance Bilanciamento del carico Abilitazione della stateful inspection

Integrazione completa: Completamente automatico Supporta tutti gli scenari operativi Il servizio ISA controlla il servizio NLB

Modi NLB in ISA 2004 EE

“Non-integrato”“Integrato”

Un click e hai VIP…

Modo NLB “integrato”

Sfutta a fondo le capacità della piattaformaBidirectional AffinitySupporto Multi-networkBilanciamento del carico VPN

Controllo avanzato del failoverControllo della salute del FirewallControllo dello stato delle schede di rete

Fornisce informazioni per il troubleshooting

Bilanciamento di server pubblicati

Internet

Isa-2

Isa-1 Server-111.11.11.1

Server-211.11.11.2

Client esterno

172.1.1.1

ISA-1 - Esterno DIP : 128.1.1.2

VIP : 128.1.1.100

ISA- 2 - EsternoDIP : 128.1.1.1

VIP : 128.1.1.100

ISA- 1 - InternoDIP : 10.10.10.2

VIP : 10.10.10.100


VIP : 10.10.10.100

NL

B C

lust

er N

LB

Clu

ster

1

65

4

3

2

Client Esterno ISA Array (VIP) NLB bilancia il carico della connessione verso ISA-1

ISA-1 Server Pubblicato 1 Src IP = 172.1.1.1 (Client Esterno) ma… Src MAC = MAC di ISA Interno (NLB MAC)

Server Pubblicato 1 risponde alla richiesta. Dest IP = 172.1.1.1 (Client Esterno) Dest MAC = MAC di ISA Interno (NLB MAC)

NLB/BDA assicura che la connessione sia bilanciata solo verso ISA-1

ISA Array (VIP) Client Esterno

Bilanciamento di server pubblicati

1-2

3

4

5-6

Bilanciamento degli accessi in uscita

Internet

Isa-2

Isa-1

ftp.microsoft.com157.31.56.100

Client interno10.10.10.25


VIP : 128.1.1.100


VIP : 128.1.1.100


VIP : 10.10.10.100


VIP : 10.10.10.100

NL

B C

lust

er N

LB

Clu

ster

1

6

5

4

3

2

Client Interno ftp.microsoft.com Dest MAC = MAC della NIC interna di ISA (NLB MAC) NLB bilancia il carico su ISA-2

ISA-2 ftp.microsoft.com Src IP = 128.1.1.1 (ISA-2 DIP) Src MAC = MAC della NIC esterna di ISA (NLB MAC)

ftp.microsoft.com ISA-2 Dest IP = 128.1.1.1 (ISA-2 DIP) Dest MAC = MAC della NIC esterna di ISA (NLB MAC)

Risposta spedita al DIP (128.1.1.1) => NLB non bilancia ISA-2 Client Interno

Src IP = 157.31.56.100 (ftp.microsoft.com) Src MAC = MAC della NIC interna di ISA (NLB MAC)

Bilanciamento degli accessi in uscita

1

2-3

4-5

6

Bilanciamento di VPN

Internet

Isa-2

Isa-1 Server-111.11.11.1

Server-211.11.11.2

Client esterno

172.1.1.1


VIP : 128.1.1.100


VIP : 128.1.1.100


VIP : 10.10.10.100


VIP : 10.10.10.100

“Virt

ua

l” V

PN

Se

rve

r N

LB

Clu

ste

r

Client esterno36.1.2.3

Configurazione di Remote Access (NLB)

Assegnazione degli indirizzi IP Pool statico configurato per

server DHCP può generare problemi di

performance con un grande numero di connessioni (es. Numero significativo di client VPN)

© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Documents

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004