全新的多网络架构支持
通常来说,内部网络的概念是指公司内部网络中的所有计算机,外部网络是指公司内部网络以外的所有计算机(通常指Internet)。但是由于使用移动计算机访问公司内部网络的用户的出现,从而使用户实际上成为了独立于网络的部分。分支办公室连接到总部,并希望像公司总部的内部网络组成部分一样使用总部的资源。许多公司使其公司网络中的服务器(尤其是 Web 服务器)可接受公开访问,但希望将这些服务器组织成一个单独的网络(DMZ网络)。ISA Server 2004服务器新增的多网络功能使你可以通过很简单的配置来为这些复杂的网络方案提供保护。多网络支持影响到大部分 ISA Server 2004服务器的防火墙功能。
使用 ISA Server 2004服务器的多网络功能可以限制客户端(甚至你自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。可以通过在 ISA Server 2004服务器中定义各个网络之间的关系,从而确定各个网络中的计算机如何通过 ISA Server 2004服务器相互进行通信。还可以将计算机组织成 ISA Server 2004服务器网络对象(如计算机集和地址范围),并针对各个网络对象配置相应的访问策略。
在常见的服务器发布方案中,您可能要将发布的服务器隔离在其自己的网络(如DMZ网络)中。ISA Server 2004服务器的多网络功能支持这样的方案,让你可以很方便的配置公司网络中的客户端如何访问DMZ网络,以及 Internet 上的客户端如何访问DMZ网络。你也可以配置各个不同网络之间的关系,从而在各个网络之间定义不同的访问策略。ISA Server 2004 服务器中新增了网络模板和网络模板向导的功能,使得你可以很方便的配置你的网络拓扑结构。
图注 多网络的公司网络架构
在该图中,ISA Server 2004服务器连接 Internet(外部网络)、公司网络(内部网络)和DMZ网络。ISA Server 2004服务器上有三个网络适配器,每个网络适配器都连接到其中的一个网络。通过使用 ISA Server 2004服务器,你可以在任何网络之间配置不同的访问策略,也可以确定各个网络中的计算机是否可以相互进行通讯,以及如果是,将采用什么方式。网络间是独立的,只有在你配置了允许通讯的规则时才是可访问的。
为了实施多网络方案,ISA Server 2004服务器引入了下列概念:
·网络:从 ISA Server 2004服务器的角度看,网络是可以包含一个或多个 IP 地址范围或域的元素。网络包含一台或多台计算机,并且始终对应于 ISA Server 2004服务器上的特定网络适配器。您可以对一个或多个网络应用规则。
•网络对象:创建网络后,可以将其组织成网络对象集(子网、地址范围、计算机集、URL 集或域名集)。规则可以应用于网络或网络对象。
•网络规则:可以配置网络规则,以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接关系,以及将使用哪一种连接。可以通过下列方式之一连接网络:网络地址转换 (NAT) 或路由(Route)。