ISA Server 2004企业版中的企业级策略一

在ISA Server 2004企业版中，极大的增强了企业内部网络中ISA Server的管理功能，主要体现在以下三个方面：

1、配置与防火墙服务独立，这样便于配置的共享、管理和容错。虽然引入了配置存储服务器，消耗了服务器的性能，但是不得不说这是一个极具想像力的改进。这样，多台ISA Server防火墙服务可以共享一台配置存储服务器，这样对于ISA Server的管理和维护来说，是非常方便的，并且整个防火墙体系的容错功能也很强，就算某台ISA Server服务的计算机出现硬件故障不能恢复时，通过配置存储服务器，你可以很快的重建ISA Server服务。同时，你可以配置阵列使用两台配置存储服务器（主服务器和备份服务器），这样也减少了当某个配置存储服务器出现故障时，所有依赖于它的ISA Server服务都不能更新这样情况出现的机率。

2、多级管理角色分配。在ISA Server 2004标准版中，已经提出了分级管理的机制，你可以在ISA Server控制台中对用户进行角色委派，授予用户对应的管理权限。在ISA Server 2004企业版中，进一步将角色委派分为三级：企业级管理角色、企业策略级管理角色和阵列级管理角色。通过对用户授权，你可以让用户管理整个企业、某个企业策略或者某个阵列。

3、企业级策略。企业级策略通过定义阵列前策略和阵列后策略来实现，并且你可以限制阵列中可以使用的策略类型。其中阵列前策略具有比阵列策略先执行的优先级，这样可以对某个阵列进行限制；而通过限制阵列中可以使用的阵列类型，你可以只允许阵列管理员建立允许的规则、拒绝的规则或者发布规则。不过需要注意的是，阵列的系统策略总是会第一个执行，这意味着，一个完整的企业策略执行顺序如下：

• 阵列系统策略（阵列级定义）；
• 阵列前策略（企业级定义）；
• 阵列策略（阵列级定义）；
• 阵列后策略（企业级定义）；
• 默认规则（Deny 4 ALL）；

但是，系统策略只与本地主机（ISA防火墙自己）有关，不会影响其他网络客户的访问。

在这篇文章中，我们对多级管理角色和企业级策略进行介绍。下图是我们的试验网络拓朴结构，

网络连接已经确认正常工作，Florence和Istanbul已经安装了ISA Server服务，共享安装在Florence上的配置存储服务器，并且同属FLORENCE阵列。此次试验不涉及DNS，各台服务器的DNS服务器设置为空，各服务器的TCP/IP设置如下：

Florence

Internal：

• IP：192.168.0.1/24
• DG：None

External：

• IP：61.139.0.1/24
• DG：61.139.0.1

Istanbul

Internal：

• IP：192.168.0.8/24
• DG：None

External：

• IP：61.139.0.8/24
• DG：None

Client1

• IP:192.168.0.2/24
• DG:None

在这个试验中，我们按照以下步骤进行：

1、建立一个企业级策略（阵列前策略禁止访问192.168.0.8，阵列后策略禁止访问192.168.0.1）；

2、委派阵列管理角色；

3、配置Florence阵列使用此企业级策略，禁止阵列建立发布规则；

4、使用阵列管理员账号登录，建立阵列策略（允许内部Ping本地主机）；

5、验证建立的规则。