Upload
samuele-de-rosa
View
241
Download
2
Tags:
Embed Size (px)
Citation preview
ISA Server 2004Enterprise Edition Preview
ISA Server 2004
Modello di rete di ISA Server 2004
Network A
Internet
DMZ 1
DMZ 2Network B
VPNNetwork
• Qualsiasi numero di reti• Relazioni tra reti liberamente definibili• Appartenenza dinamica ad alcune reti
• Policy per rete
• VPN rappresentate come rete ISA Server2004
• Packet filter su tutte le interfacce
• La macchina firewall è vista come una rete regole di accesso (System Rule)
• Regole di routing assegnabili:• NAT• Stateful routing
NDIS
PolicyEngine
Architettura di ISA 2004
Firewall Engine IP Stack
Firewall service(WSPSRV.EXE – NETWORK SERVICE)
Application Filter API
ApplicationfilterWeb proxy filter Application
filterApplication
filterApplication
filter
Web Filter API
Webfilter
Webfilter
Filtro a livello Pacchetto
Filtro a livello Applicativo
Filtro a livello Protocollo
Kernel mode
Userland
action on traffic from user from source to destination with conditions
action on traffic from user from source to destination with conditions
action on traffic from user from source to destination with conditions
action on traffic from user from source to destination with conditions
action on traffic from user from source to destination with conditions
Le Regole in ISA 2004
ConsentiBlocca
Rete SorgenteIP SorgenteUtente Originario
Rete DestinazioneIP DestinazioneSito Destinazione
ProtocolloIP Porta / Tipo
•Server Pubblicato•Sito Web Pubblicato•Periodi consentiti•Proprietà di filtro
Utente
OK
ISA Server 2004 Enterprise Edition
Punti chiave del design
Server delle configurazioni Policy di enterprise Reti di enterprise Supporto al Workgroup Amministrazione Distribuita Last known good configuration all’avvio
Server delle configurazioniISA management server
Cos’è? Store della configurzione dedicato Un componente del setup sul CD di ISA 2004 EE Basato su AD/AM Su una macchina ISA o su macchina separata
Principali benefici: Infrastruttura di sicurezza e gestione separate Nessuna modifica allo schema di AD Server ISA in workgroup o dominio Tempi di replica della configurazione più rapidi
Configuration Storage Server
CSS
Console digestione
Array di ISA 2004 EE
CSS
Rep
liche
(RP
C s
u V
PN
)
Array di ISA 2004 EEFrontend
Copia localedella
configurazione
Copia localedella
configurazione
Array di ISA 2004 EEBackend
Copia localedella
configurazione
Copia localedella
configurazione
DMZ
Ufficio RemotoUfficio Centrale
Internet
LDA
P
LDAP
LDAP
LDA
P
Enterprise policy Enterprise policy:
Definiscono diversi template di policy per l’organizzazione
Agli array sono assegnate le enterprise policy
Effective policy: Insieme ordinato di regole (Allow/Deny) Calcolate a partire da
System policy Enterprise policy Array policy
Enterprise network
Array
Cos’è? Insieme di server ISA co-locati e simmetricamente
configurati Unità fondamentale di gestione in ISA 2004 EE
Un array fornisce: Una singola entità di gestione (configurazione
singola) Bilanciamento dei carichi con NLB Cache distribuita con CARP
Cache Array Routing Protocol Benefici
Bilanciamento dei carichi delle richieste Web Store della cache distribuita
CARP lato client Standard de facto (IE, Netscape) Abilitato con la ricerca automatica della del server
CARP lato server Conservazione trasparente dello store Favorisce l’esperienza di accesso al Web dell’utente
Network Load Balancing Benefici
Alta disponibilità, fault tolerance Bilanciamento del carico Abilitazione della stateful inspection
Integrazione completa: Completamente automatico Supporta tutti gli scenari operativi Il servizio ISA controlla il servizio NLB
Modi NLB in ISA 2004 EE
“Non-integrato”“Integrato”
Un click e hai VIP…
Modo NLB “integrato”
Sfutta a fondo le capacità della piattaformaBidirectional AffinitySupporto Multi-networkBilanciamento del carico VPN
Controllo avanzato del failoverControllo della salute del FirewallControllo dello stato delle schede di rete
Fornisce informazioni per il troubleshooting
Bilanciamento di server pubblicati
Internet
Isa-2
Isa-1 Server-111.11.11.1
Server-211.11.11.2
Client esterno
172.1.1.1
ISA-1 - Esterno DIP : 128.1.1.2
VIP : 128.1.1.100
ISA- 2 - EsternoDIP : 128.1.1.1
VIP : 128.1.1.100
ISA- 1 - InternoDIP : 10.10.10.2
VIP : 10.10.10.100
ISA- 2 - InternoDIP : 10.10.10.1
VIP : 10.10.10.100
NL
B C
lust
er N
LB
Clu
ster
1
65
4
3
2
Client Esterno ISA Array (VIP) NLB bilancia il carico della connessione verso ISA-1
ISA-1 Server Pubblicato 1 Src IP = 172.1.1.1 (Client Esterno) ma… Src MAC = MAC di ISA Interno (NLB MAC)
Server Pubblicato 1 risponde alla richiesta. Dest IP = 172.1.1.1 (Client Esterno) Dest MAC = MAC di ISA Interno (NLB MAC)
NLB/BDA assicura che la connessione sia bilanciata solo verso ISA-1
ISA Array (VIP) Client Esterno
Bilanciamento di server pubblicati
1-2
3
4
5-6
Bilanciamento degli accessi in uscita
Internet
Isa-2
Isa-1
ftp.microsoft.com157.31.56.100
Client interno10.10.10.25
ISA-1 - Esterno DIP : 128.1.1.2
VIP : 128.1.1.100
ISA- 2 - EsternoDIP : 128.1.1.1
VIP : 128.1.1.100
ISA- 1 - InternoDIP : 10.10.10.2
VIP : 10.10.10.100
ISA- 2 - InternoDIP : 10.10.10.1
VIP : 10.10.10.100
NL
B C
lust
er N
LB
Clu
ster
1
6
5
4
3
2
Client Interno ftp.microsoft.com Dest MAC = MAC della NIC interna di ISA (NLB MAC) NLB bilancia il carico su ISA-2
ISA-2 ftp.microsoft.com Src IP = 128.1.1.1 (ISA-2 DIP) Src MAC = MAC della NIC esterna di ISA (NLB MAC)
ftp.microsoft.com ISA-2 Dest IP = 128.1.1.1 (ISA-2 DIP) Dest MAC = MAC della NIC esterna di ISA (NLB MAC)
Risposta spedita al DIP (128.1.1.1) => NLB non bilancia ISA-2 Client Interno
Src IP = 157.31.56.100 (ftp.microsoft.com) Src MAC = MAC della NIC interna di ISA (NLB MAC)
Bilanciamento degli accessi in uscita
1
2-3
4-5
6
Bilanciamento di VPN
Internet
Isa-2
Isa-1 Server-111.11.11.1
Server-211.11.11.2
Client esterno
172.1.1.1
ISA-1 - Esterno DIP : 128.1.1.2
VIP : 128.1.1.100
ISA- 2 - EsternoDIP : 128.1.1.1
VIP : 128.1.1.100
ISA- 1 - InternoDIP : 10.10.10.2
VIP : 10.10.10.100
ISA- 2 - InternoDIP : 10.10.10.1
VIP : 10.10.10.100
“Virt
ua
l” V
PN
Se
rve
r N
LB
Clu
ste
r
Client esterno36.1.2.3
Configurazione di Remote Access (NLB)
Assegnazione degli indirizzi IP Pool statico configurato per
server DHCP può generare problemi di
performance con un grande numero di connessioni (es. Numero significativo di client VPN)
© 2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.