ISA Server 2004 Enterprise Edition Preview

ISA Server 2004

Modello di rete di ISA Server 2004 Network A Internet DMZ 1 DMZ 2 Network B VPN Network Qualsiasi numero di reti Relazioni tra reti liberamente definibili Appartenenza dinamica ad alcune reti Policy per rete VPN rappresentate come rete ISA Server 2004 Packet filter su tutte le interfacce La macchina firewall è vista come una rete regole di accesso (System Rule) Regole di routing assegnabili: NAT Stateful routing

NDIS Policy Engine Architettura di ISA 2004 Firewall EngineIP Stack Firewall service (WSPSRV.EXE – NETWORK SERVICE) Application Filter API Application filter Web proxy filter Application filter Application filter Application filter Web Filter API Web filter Web filter Filtro a livello Pacchetto Filtro a livello Applicativo Filtro a livello Protocollo Kernel mode Userland

action on traffic from user from source to destination with conditions Le Regole in ISA 2004 Consenti Blocca Rete Sorgente IP Sorgente Utente Originario Rete Destinazione IP Destinazione Sito Destinazione Protocollo IP Porta / Tipo Server Pubblicato Sito Web Pubblicato Periodi consentiti Proprietà di filtro Utente OK

ISA Server 2004 Enterprise Edition

Punti chiave del design Server delle configurazioni Policy di enterprise Reti di enterprise Supporto al Workgroup Amministrazione Distribuita Last known good configuration allavvio

Server delle configurazioni ISA management server Cosè? Store della configurzione dedicato Un componente del setup sul CD di ISA 2004 EE Basato su AD/AM Su una macchina ISA o su macchina separata Principali benefici: Infrastruttura di sicurezza e gestione separate Nessuna modifica allo schema di AD Server ISA in workgroup o dominio Tempi di replica della configurazione più rapidi

Configuration Storage Server CSS Console di gestione Array di ISA 2004 EE CSS Repliche (RPC su VPN) Array di ISA 2004 EE Frontend Copia locale della configurazione Copia locale della configurazione Array di ISA 2004 EE Backend Copia locale della configurazione Copia locale della configurazione DMZ Ufficio Remoto Ufficio Centrale Internet LDAP

Enterprise policy Enterprise policy: Definiscono diversi template di policy per lorganizzazione Agli array sono assegnate le enterprise policy Effective policy: Insieme ordinato di regole (Allow/Deny) Calcolate a partire da System policy Enterprise policy Array policy Enterprise network

Array Cosè? Insieme di server ISA co-locati e simmetricamente configurati Unità fondamentale di gestione in ISA 2004 EE Un array fornisce: Una singola entità di gestione (configurazione singola) Bilanciamento dei carichi con NLB Cache distribuita con CARP

Cache Array Routing Protocol Benefici Bilanciamento dei carichi delle richieste Web Store della cache distribuita CARP lato client Standard de facto (IE, Netscape) Abilitato con la ricerca automatica della del server CARP lato server Conservazione trasparente dello store Favorisce lesperienza di accesso al Web dellutente

Network Load Balancing Benefici Alta disponibilità, fault tolerance Bilanciamento del carico Abilitazione della stateful inspection Integrazione completa: Completamente automatico Supporta tutti gli scenari operativi Il servizio ISA controlla il servizio NLB

Modi NLB in ISA 2004 EE Non-integrato Integrato Un click e hai VIP…

Modo NLB integrato Sfutta a fondo le capacità della piattaforma Bidirectional Affinity Supporto Multi-network Bilanciamento del carico VPN Controllo avanzato del failover Controllo della salute del Firewall Controllo dello stato delle schede di rete Fornisce informazioni per il troubleshooting

Bilanciamento di server pubblicati Internet Isa-2 Isa-1 Server Server Client esterno ISA-1 - Esterno DIP : VIP : ISA- 2 - Esterno DIP : VIP : ISA- 1 - Interno DIP : VIP : ISA- 2 - Interno DIP : VIP : NLB Cluster

Client Esterno ISA Array (VIP) NLB bilancia il carico della connessione verso ISA-1 ISA-1 Server Pubblicato 1 Src IP = (Client Esterno) ma… Src MAC = MAC di ISA Interno (NLB MAC) Server Pubblicato 1 risponde alla richiesta. Dest IP = (Client Esterno) Dest MAC = MAC di ISA Interno (NLB MAC) NLB/BDA assicura che la connessione sia bilanciata solo verso ISA-1 ISA Array (VIP) Client Esterno Bilanciamento di server pubblicati

Bilanciamento degli accessi in uscita Internet Isa-2 Isa-1 ftp.microsoft.com Client interno ISA-1 - Esterno DIP : VIP : ISA- 2 - Esterno DIP : VIP : ISA- 1 - Interno DIP : VIP : ISA- 2 - Interno DIP : VIP : NLB Cluster

Client Interno ftp.microsoft.com Dest MAC = MAC della NIC interna di ISA (NLB MAC) NLB bilancia il carico su ISA-2 ISA-2 ftp.microsoft.com Src IP = (ISA-2 DIP) Src MAC = MAC della NIC esterna di ISA (NLB MAC) ftp.microsoft.com ISA-2 Dest IP = (ISA-2 DIP) Dest MAC = MAC della NIC esterna di ISA (NLB MAC) Risposta spedita al DIP ( ) => NLB non bilancia ISA-2 Client Interno Src IP = (ftp.microsoft.com) Src MAC = MAC della NIC interna di ISA (NLB MAC) Bilanciamento degli accessi in uscita

Bilanciamento di VPN Internet Isa-2 Isa-1 Server Server Client esterno ISA-1 - Esterno DIP : VIP : ISA- 2 - Esterno DIP : VIP : ISA- 1 - Interno DIP : VIP : ISA- 2 - Interno DIP : VIP : Virtual VPN Server NLB Cluster Client esterno

Configurazione di Remote Access (NLB) Assegnazione degli indirizzi IP Pool statico configurato per server DHCP può generare problemi di performance con un grande numero di connessioni (es. Numero significativo di client VPN)

© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.