Sunday, October 21st, 2018

Принцип работы служб ISA

Published on Февраль 6, 2009 by   ·   Комментариев нет

Чтобы хорошо разбираться в устройстве и принципе работы ISA необходимо понимать принципы взаимодействия служб ISA друг с другом и как они работают со своими клиентами.

Для лучшего понимания вопроса работы служб внутри ISA я составил диаграмму и написал о взаимодействии служб друг другом.

Isa служба

Рисунок 1.

Клиенты

  1. Все запросы к ISA серверу фильтруются посредством пакетных фильтров.
  2. Безопасные NAT запросы посылаются к драйверу протокола NAT и затем Брандмауэру, где они проходят через правила преобразования.
    ЗАМЕЧАНИЕ: Безопасные NAT клиенты не посылают идентификационную информацию.
  3. Запросы клиента Брандмауэра посылаются к службе Брандмауэра, если это HTTP запрос, то HTTP редиректор перенаправит запрос к службе Web proxy.
  4. Все HTTP/S FTP и gopher запросы направляются к службе Web proxy.

Краткая информация по службам находится ниже.

Главная ISA Служба (MSPADMIN.EXE)

Главная ISA служба управляет следующими функциями:

  1. Фильтры IP пакета. При активации этой опции, вы сможете открывать и управлять протоколированием работы(log) фильтров.
  2. Определять тревоги (возможные угрозы) и выполнять действия ассоциированные с этими тревогами.
  3. Синхронизация каждого ISA сервера с матрицей.
  4. Обновление клиентских конфигурационных файлов (msplat.txt и mspclnt.ini) и удаление всех неиспользуемых лог-файлов.
  5. Перезапуск других ISA служб, когда изменения сделаны посредством диспетчера ISA.

    Принцип работы кэш сервера

    Рисунок 2.

Для остановки службы, введите следующую команду:

Net stop mspadmin

Если вы остановили главную службу ISA Server(ISA Server Control Service), все остальные службы ISA Server также будут остановлены.

Служба Предварительного Кэширования Загружаемых Данных (W3PREFCH.EXE)

  1. Данная служба позволяет вам организовать предварительную загрузку HTTP данных в кэш ISA сервера по запросу или по расписанию. Это могут быть данные, которые вы ожидаете от своих пользователей (например, файлы из Internet).
  2. Вы можете настроить тип данных, который будет предварительно кэшироваться ISA сервером и время запуска кэширования данных. Так вы сможете ускорить процесс получения нужных данных (по сравнению с работой в Internet).
  3. Используйте эту службу для планирования загрузок HTTP файлов с Web сайта в кэш на локальном компьютере. Вы можете загружать целый сайт, если настроите такую функциональность.

Замечание:  Веб-сайты содержат всплывающие окна, скрипты, cookies или вставки из национальных языков, которые не могут быть загружены.

Фильтр HTTP редиректор

При активации данного фильтра Брандмауэр и Безопасные NAT клиенты могут использовать преимущества функций кэширования ISA (фильтр активирован по умолчанию). Эта служба перенаправляет HTTP запросы, посланные к другим службам, к службе Web proxy.

Драйвер NAT

Замечание: Не рекомендуется запускать RRAS на ISA сервере воизбежание конфликтов с этим драйвером.

Этот драйвер позволяет клиенту частной сети получить доступ к ресурсам Internet. Например, это может быть клиент с частными IP адресами (см. RFC 1597). Когда клиент соединяется с ресурсом Internet, то запрос отправляется драйверу NAT. При этом заголовок пакета изменяется на подходящий для ISA сервера и тот же сервер получает доступ к ресурсу от лица клиента.

Служба Брандмауэра(FWSRV.EXE)

  1. Служба Брандмауэра – это прокси реализованный на аппаратном уровне для Winsock приложений.
  2. Служба Брандмауэра ISA дает возможность Winsock приложениям возможность их выполнения, так как будто они напрямую подключены к Internet.
  3. Если HTTP редиректор активирован, тогда HTTP запросы посылаются к службе Web proxy и по возможности кэшируются.
  4. Служба Брандмауэра запускается как отдельная служба. В Windows 2000 есть возможность установки службы в режиме брандмауэра. Замечание: если вы установили ISA в режиме брандмауэра, то ISA сервер не поддерживает кэширование.
  5. Эта служба может устанавливать шлюзовые соединения между Winsock приложениями и хостами Internet. При этом безопасности локальной сети (LAN) ничего не угрожает, потому что соединения устанавливается через ISA.
  6. Служба Брандмауэра может быть улучшена за счет использования фильтров приложения.
  7. Клиент Брандмауэра перехватывает API вызовы от Winsock приложений и перенаправляет их службе Брандмауэра, которая их выполняет.
  8. Управляющий канал (Сontrol Сhannel) управляет удаленными Winsock сообщениями и доставляет LAT к клиенту Брандмауэра. Также управляющий канал устанавливает TCP соединения от клиента к ISA и этот канал используется для построения виртуальных соединений, которые используются во время соединения с удаленными приложениями.
  9. Эта служба использует управляющий канал для работы с диспетчером службы, соединением и идентификационной информацией посредством протокола UDP на 1745 порту.
  10. Также данная служба использует LAT для определения клиентов подключенных к разрешенной сети.

Служба Web Proxy(W3PROXY.EXE)

  1. Данная служба дает любому CERN клиенту возможность получения доступа к ресурсам Internet посредством HTTP, HTTPS, Gopher и FTP протоколов от лица клиента.
  2. Эта служба находится на уровне приложений, которая использует CERN-совместимые приложения и настраивает их для совместного использования. Служба никак не связана с работой ОС.
  3. Служба Web proxy запускается как процесс в Windows 2000 (W3proxy.exe).
  4. ISA использует Безопасные Web публикации и реверсивный хостинг (reverse hosting) для отправки запросов к серверам Web публикаций, которые расположены за ISA прокси компьютером, без компрометации сетевой защиты.
  5. Служба Web proxy поддерживает SSL и Web (ISAPI) фильтры.
  6. Служба Web proxy включает ISA кэширование.

В этой учебной статье я описал устройство и принципы работ служб ISA.

Источник  www.isaserver.org



Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]