ISA Server 2006 中的企业管理

来源：作者：微软出处：巧巧读书 2008-03-13 进入讨论组

定义企业层级系统管理角色

ISA Server 使用角色型的模型，将企业及数组系统管理员组织成预先定义的角色。拥有特定角色的使用者方可执行特定的 ISA Server 工作。ISA Server 会辨别企业层级角色和数组层级角色的不同。企业角色包括：

? ISA Server 企业系统管理员。此角色可全权控制企业以及企业内部所有数组的设定。拥有这个角色的使用者可建立企业原则并将其套用到数组、管理数组设定，以及指派角色给其它使用者和群组。

? ISA Server 企业稽核员。此角色允许使用者检视企业设定以及企业内部所有数组的设定。

? ISA Server 企业原则编辑器。企业系统管理员可针对特定的企业原则指派系统管理员权限，藉此将企业层级的系统管理工作限制在特定原则下。企业原则编辑器能够依特定企业原则建立规则，但无法建立新的企业原则。

如需相关信息，请参阅 Microsoft TechNet 上的 ISA Server 2006 的角色型系统管理概念。

建立企业网络及网络规则

企业网络通用于企业内部的所有数组，且涵盖您网络拓扑中的 IP 地址范围。企业网络间的流量不应越过任何安全性界限，例如防火墙或 VPN。企业网络不具有数组层级网络中定义的内容。企业网络的用途如下：

? 建立企业原则。ISA Server 预先定义的企业网络，形同名称相同的数组层级网络之预留位置。任何套用到预先定义企业网络的规则，都将套用到相同的数组层级网络。例如，套用至名为「本机主机」之企业网络的规则，也会套用至该数组之「本机主机」网络的 IP 地址中。预先定义的企业网络没有任何相关联内容，且无法在建立数组层级的防火墙原则规则时明确使用。ISA Server 包括下列预先定义的企业网络：

? 外部

? 本机主机

? 隔离的 VPN 客户端

? VPN 客户端

? 包含在数组层级网络中。企业网络可为企业内数组提供互相参照的机制。例如，数组系统管理员可定义数组层级网络，使其参照企业网络的 IP 地址范围，并据此建立规则。在企业内部部署数组及数组成员之前，企业系统管理员须先设定自订的企业网络。IP 地址只能包含在一个企业网络中。定义于企业层级且包含在某些企业网络的 IP 地址，即视为该企业的地址范围。

在企业内部部署数组及数组成员之前，企业系统管理员须先设定自订的企业网络。IP 地址只能包含在一个企业网络中。定义于企业层级且包含在某些企业网络的 IP 地址，即视为该企业的地址范围。

定义网络之间的关联性时，必须使用网络规则。如未设定网络规则，流量将无法在网络之间传递。网络关联性可定义为路由或网络地址转译 (NAT)。定义路由关联性后，IP 地址不会在网络之间隐藏。这是两个含有私人 IP 地址的网络之间常见的设定。NAT 关联性可确保来自来源网络之要求的 IP 地址，会被联机到目的网络之 ISA Server 适配卡的 IP 地址取代，且以有效方式隐藏。

当您希望在网络之间建立的网络关联性可套用至所有数组时，适合使用企业层级的网络规则。例如，您可能需要为企业内部的所有数组，定义从内部网络到外部网络的 NAT 关联性。企业层级网络规则只能套用到企业层级网络对象。无法套用到数组层级网络。

建立企业原则

当您建立新的企业原则时，其中会自动含有一个封锁所有流量的预设规则。接着再定义要新增到原则中的企业层级存取规则。企业原则中的每个企业层级规则可组织为下列规则：

? 在处理任何数组层级规则之前处理的企业原则规则。也就是所谓的数组前层级规则。

? 在处理数组层级规则之后处理的企业原则规则。也就是所谓的数组后层级规则。

您可以重新排序所有的企业规则，只有预设的企业原则拒绝规则无法重新排序。该规则永远都是最后处理的。

如果您未建立任何企业原则，则预设的企业原则会在套用数组的防火墙原则规则后套用到企业数组中。

回到页首

数组原则
ISA Server 2006 Enterprise Editions 系将 ISA Server 防火墙组成数组，使其共享一个通用设定及单一防火墙原则，以便于整体化管理。有些设定属于数组成员专有，例如快取设定、安全通讯端层 (SSL) 凭证以及 VPN 静态地址集区。所有的数组成员应具有相同的设定，包括：

? 以相同名称联机到数组层级网络的网络适配卡数目。

? 具基本监视权限的镜像账户 (供工作群组部署使用)。

? 应用程序及网页筛选器设定。

? 安装的凭证。

? 已安装 ISA Server 语言版本。在企业中，数组可以安装不同语言版本的 ISA Server。

浏览地址： http://www.qqread.com/safe-tech/v401199.html