用
ISA2006
配置单网卡缓存服务器
ISA
是互联网安全加速器的缩写,安全指的是
ISA
的防火墙功能,而加速则是
ISA
的缓存功能。我们知道,缓存的设计是为了解决两个系统之间速度不匹配的矛盾。一般而言,内网的访问速度要远远大于外网,因此,如果
ISA
能够把用户访问外网获得的数据放在硬盘缓存
中,那么当下一个用户从外网请求相同数据时,
ISA
就可以利用硬盘缓存的内容对用户进行响应,这样的速度自然要远远大于从外网获得数据,加速器的称呼也就是因为这个。尤其是当公司员工早
晨浏览新闻网站或查看产品报价时,这种加速效果非常明显。
有些公司在部署
ISA
服务器之前已经有了自己的网络访问解决方案,例如通过硬件防火墙访问互联网,如果这种网络访问解决方案运行效果较好,公司就未必希望用
ISA
来替代当前的方案,毕竟稳定是第一位的。但在
这种情况下,我们可以在内网部署一个
ISA
服务器,内网用户通过使用
ISA
提供的
Web
代理服务,利用
ISA
的缓存功能对网络访问进行加速,拓扑如下图所示。在这种拓扑中,我们只使用了
ISA
的缓存功能,
ISA
并不承担边缘防火墙的任务,因此
ISA
只需要一块网卡即可。下面我们就通过一个实例为大家介绍一下如何部署单网卡的
ISA
缓存服务器。
在部署单网卡缓存服务器之前,我们先要了解以下几点:
确认担任缓存服务器的
ISA SERVER
主机,在现有防火墙的保护网络范围中。
确认在目前的防火墙访问规则配置中,已开放缓存服
务器的对外访问协议,这些包含了
HTTP
、
HTTPS
以及
FTP
。
对于单网卡的缓存服务器来说,它将无法使用下列功
能:
—
防火墙客户端程序安装
二
VPN
网
络的架设
三
IP
数
据包筛选
四
多重网络架构的防火墙策略
五
企业内部服务器的发布功能
六
应用程序级的数据包过滤
我们具体的实验环境如下图所示,
Beijing
是内网的单网卡
ISA2006
服务器,我们准备把
Beijing
部署成
ISA
缓存服务器,大致需要进行下列操作:
1)
使用模板配置
2)
创建访问规则
3)
启用
Web
代理
4)
启用缓存功能
5)
创建缓存规则
6)
创建计划内容下载作业
一
使用模板配置
ISA2000
在安装时提供了防火墙,缓存,集成等三种模式供用户选择,虽然
ISA2006
在安装时不能直接选择缓存模式,但
ISA2006
提供了缓存服务器的配置模板,我们可以使用缓存服务器模板把
ISA
服务器配置成单网卡的缓存服务器。
在
Beijing
上打开
ISA
管理器,定位到
配置-网络,如下图所示,在右侧的模板列表中
选择“单一网络适配器”模板。
出现网络模板的设置向导,点击下一步继续。
向导提示我们在使用模板之前最好先备份当前的
ISA
配置。
下面要配置单网卡
ISA
的内网地址范围,注意,由于
ISA
只有一块网卡,因此
ISA
的内网应该包括除
127
之外的所有
IP
地址范围。注意,此时
ISA
没有外网的概念了,对单网卡的
ISA
来说,所有的网络地址应该都属于内网范畴。我们在后续创建网络规则时也要注意到这一点。
模板向导提示我们应该选择一个防火墙策略,这个策略拒绝访问所有网络,我们在配置模板结束后可以修改防火墙策略,允许
Web
代理用户访问外网。
如下图所示,网络模板配置完成。
二
创建访问规则
使用模板配置完
ISA
服务器后,内网的
Web
代理用户并不能通过
ISA
服务器访问互联网,因为
ISA
服务器的访问规则中禁止所有的网络访问请求,因此我们必须创建访问规则允许
Web
代理用户使用
HTTP
协议访问互联网。
在
ISA
管理器中右键点击“防火
墙策略”,如下图所示,选择新建“访问规则”。
为访问规则命名为“允许
HTTP
访问”。
当用户的访问请求符合规则时,允许访问请求。
Web
代理用户使用最多的协议就是
HTTP
和
HTTPS
,我们允许在规则中使用
HTTP
和
HTTPS
协议。
我们设定访问的源网络是内网。
注意,访问的目标网络仍然是内网,大家可别习惯性地把目标网络设定为外网,注意,内网的范围包括了除
127
之外的所有网络。
访问规则适用于所有用户。
如下图所示,我们完成了访问规则的创建,现在内网用户就可以通过
ISA
访问互联网上的内容了。
三
启用
Web
代理
单网卡的
ISA
服务器只能为用户提供
Web
代理服务,因此我们要确保
ISA
启用了
Web
代理功能,如下图所示,在
ISA
管理器中查看内网属性,确保
ISA
服务器在
8080
端口提供
Web
代理服务。
ISA
提供了
Web
代理服务后,要确保内网用户在浏览器中要使用
ISA
提供的
Web
代理服务,在用户的浏览器属性中切换到“连接”标签,如下图所示,点击“局域网设置”。
勾选使用代理服务器,代理服务器的地址设定为
Beijing
,端口是
8080
。
四
启用缓存功能
虽然我们已经用单一网络适配器模板对
ISA
服务器进行了配置,而且
ISA
服务器也启用了
Web
代理,但由于
ISA
服务器的缓存功能和缓存规则尚未设置,因此
ISA
的缓存功能还未能实现。现在我们就先来启用
ISA
的缓存功能,如下图所示,在
ISA
管理器中定位到
配置-缓存,我们可以看到目前缓存驱动器的尺
寸是
0
,显然当前并没有启用缓存,我们点击“缓存驱
动器”的属性,准备对缓存进行设定。
如下图所示,我们把缓存设定在
C
盘,大小定位
200M
。缓存尺寸的设定原则是最好不要小
于
100M
,每增加一个
Web
代理用户就增加
0.5M
。设定完缓存尺寸后,不要忘了点击“设置”按钮
,而且在设置完成后最好重启一下
ISA
服务器。
五
创建缓存规则
ISA
启用了缓存功能后,我们要制定适合本单位的缓存策略,以便让
ISA
的缓存可以最大限度地发挥作用。如下图所示,在
ISA
管理器中定位到
配置-缓存,在缓存规则的任务中选择“创建缓
存规则”。
出现新建缓存规则的向导,点击下一步继续。
首先要设定缓存规则针对哪些访问目标生效,我们设定规则针对的目标网络是内网,再次提醒,别误写为外网。
接下来我们要设置缓存对象被请求时的检索方式,一般来说,我们大多选择第一项或第二项。第一项是根据
TTL
的到期时间来判断是否存在请求对象的有效版
本,第二项则是缓存中只要存在请求对象的任何版本都可以。
接下来我们设置缓存的内容类型,如果有需要,可以考虑缓存动态内容或离线浏览内容,以便第一时间响应用户的请求。
我们对缓存对象的大小也可以进行设置,这样可以避免缓存到太大的数据,例如我们可以规定不缓存
1M
以上的对象。
缓存对象的生存时间可以使用默认设置,也可以根据需求将生存时间延长或缩短,如果请求的
HTTP
数据源制定了生存时间,则以数据源的规定为
准。否则将按照
ISA
定义的时间边界定义缓存
对象的生存时间。
FTP
缓存的默认生存时间是
1
天。
点击完成结束缓存规则的配置,以后
ISA
就会按照我们设定的规则来缓存数据了。
六
创建计划内容下载作业
对于一些用户经常访问的网站,我们还可以采用主动缓存的方式,在用户提出访问请求之前就把数据缓存到
ISA
服务器上,这样一来用户会获得更好的速度体
验。例如如果每天
9
点上班的用户都有浏览新浪新闻的
习惯,我们就可以让
ISA
在每天的
8:30
先去新浪把新闻缓存到硬盘上,这样用户浏览起
来自然对速度非常满意。下面我们来看如何实现这个设想,在
ISA
管理器中定位到
配置-缓存,如下图所示,在“内容下载作业”
的任务中选择“计划内容下载作业”。
ISA
提示我们如果要进行计划内容下载作业,必须满足两个条件,一是在内网要启用
Web
代理,这项要求我们已经满足了;另一个条件是要求在系统策略中启用计划的下载作业配置组,只要我们选择“是”,就可以在系统策略中启
用这个设置。
查看系统策略编辑器,如下图所示,计划下载确实已经被启用了。
满足了计划下载所需要的两个条件后,再次从内容下载作业中选择“计划内容下载作业”,这次出现了内容下载作业向导,如下图所示,我们为
内容下载作业命名为“新浪新闻”,点击下一步继续。
选择作业运行的频率,我们选择每天运行一次。
作业的开始时间我们设定为每天的
8:30
。
设定要缓存的内容以及生存周期,我们取默认设置即可。
如下图所示,我们配置完成了每天定时下载新浪新闻的计划任务。
ISA
的缓存功能是非常实用的,对提高网络响应速度很有好处,而且
ISA2006
中又增加了对
Bits
数据类型的支持,即使用户用
Bits
从微软网站下载补丁,也可以享受到缓存服务带来的加速体验。如果您已经有了硬件防火墙作为边缘网关,不妨试试用
ISA
作缓存服务器,体验一下两种防火墙和谐相处为
您带来的稳定,安全以及高速的网络感受。