Новое средство защиты на рынке брандмауэров
[Примечание редакции. В данной статье рассматривается Microsoft Internet Security and Acceleration (ISA) Server beta 3. Поэтому приведенная здесь информация может не соответствовать окончательной версии продукта.]
Выпустив Proxy Server 1.0, Microsoft предприняла первую попытку проникновения на два новых сектора рынка: систем обеспечения безопасности в Internet и ускоренного доступа к Web. Хотя первая версия Proxy Server располагает лишь базовыми функциями защиты и несовместима с несколькими протоколами Internet, она быстро завоевала популярность у организаций, которые взяли на вооружение Windows NT и нуждаются в брандмауэрах Internet и ускоренном доступе к Web, а также инструментах управления доступом к Internet-службам.
В Proxy Server 2.0 были устранены некоторые недостатки первой версии, в частности, появились функции управления входным и выходным трафиком и возможность работы с большим количеством протоколов и приложений для клиентов, способных взаимодействовать с proxy-серверами. Microsoft также усилила защиту продукта, дополнив его усовершенствованной функцией фильтрации пакетов, с помощью которой администраторы могут определять и контролировать прохождение различных типов трафика через Proxy Server. Для многих крупных организаций главные достоинства Proxy Server заключаются в возможности использовать базу данных учетных записей пользователей NT для управления доступом к службам Internet, и функции кэширования Proxy Server - для оптимизации пропускной способности каналов связи Internet. Однако, несмотря на усовершенствованную систему безопасности Proxy Server 2.0, многие организации неохотно используют продукт в качестве основного брандмауэра из-за отсутствия в нем многих функций, имеющихся в других брандмауэрах.
Proxy Server пока не получил признания в качестве автономного продукта безопасности Internet. Поэтому разработчики Microsoft дополнили новую версию функциями, отсутствовавшими в Proxy Server 2.0. Кроме того, они постарались устранить ряд других недостатков Proxy Server 2.0, например, несовместимость с широко распространенными протоколами и необходимость установки клиентской программы для доступа к Proxy Server. Первая и вторая бета-версии продукта, пришедшего на смену Proxy Server 2.0, носили название Comet, но версия бета 3 была переименована в Microsoft Internet Security and Acceleration (ISA) Server. Новое название точнее отражает особенности продукта и целевой аудитории: рынка брандмауэров Internet.
ЧТО НОВОГО В COMET
Хотя ISA Server — потомок Proxy Server, он существенно отличается от своего предшественника. В ISA Server появились разнообразные новые функции, а многие возможности Proxy Server были усовершенствованы.
Администрирование на базе политик. Другая важная особенность ISA Server—администрирование с использованием политик. Администраторы ISA Server могут определить такие элементы политики, как пользователи и группы, клиентские протоколы, расписания, сайты и группы контента, и затем использовать эти элементы для управления различными параметрами через назначение политик ISA Server (например, политики доступа к клиентским протоколам, политики доступа к сайтам, политики использования полосы пропускания). Политики можно задавать на уровне массива систем ISA Server или, для AD-совместимых сетей, на уровне предприятия. Политики на уровне предприятия позволяют с помощью AD задавать политики безопасности сразу для всех подразделений компании.
Интеграция RRAS и VPN. Важное усовершенствование ISA Server — безупречная интеграция программы со службами RRAS и VPN операционной системы Windows 2000. В отличие от интеграции Proxy Server с RRAS и VPN в среде NT 4.0, процесс организации VPN с удаленным RRAS VPN сервером через ISA Server очень прост. Процедура установки облегчается благодаря удобному в использовании мастеру конфигурирования VPN, который даже запускает процедуру установки RRAS, если данная служба не была ранее установлена для локальных конфигураций VPN.
Интеллектуальное кэширование. ISA Server располагает функциями активного кэширования, с помощью которых администраторы заранее записывают в кэш информацию, загружаемую с популярных Web-узлов. Администраторы могут составить расписание автоматического обновления кэша в заранее назначенное время в течение дня.
Интеллектуальные прикладные фильтры. Администратор может определить интеллектуальные прикладные фильтры, которые управляют трафиком через ISA Server на уровне конкретных приложений. Например, можно реализовать фильтр почтового трафика, блокирующий контент определенного типа, или фильтр для потоковых аудио- или видеоданных.
Динамическая IP-фильтрация. Многие брандмауэры облегчают жизнь администратора, динамически открывая порты брандмауэра для активных клиентских сеансов в Internet и закрывая их после завершения сеанса клиентом. ISA Server располагает похожей функцией динамической фильтрации, поэтому администратору не приходится навещать брандмауэры, чтобы вручную открыть порты всякий раз, когда клиенты его сети используют новый протокол.
Масштабируемость. Масштабируемость — важная характеристика сервера кэширования в крупных организациях, так как при записи в кэш больших объемов данных производительность сервера может упасть. Чтобы разрешить подобную ситуацию и удовлетворить потребности корпоративной сети, в ISA Server предусмотрено динамическое распределение нагрузки с использованием протокола CARP (Cache Array Routing Protocol), реализованного и в Proxy Server. CARP повышает эффективность использования нескольких серверов ISA Server, автоматически пересылая клиентские запросы тому серверу, на котором вероятнее всего хранятся запрашиваемые данные. Использование ISA Server со службой балансировки нагрузки NLB (Network Load Balancing) Windows 2000 на многосерверных массивах расширяет возможности динамического распределения нагрузки и повышает общий уровень готовности систем ISA Server. ISA Server можно настроить на обслуживание нескольких каналов связи или резервных соединений (иначе называемых маршрутами — route) с другими системами ISA Server с целью повышения готовности сервера.
Правила распределения полосы пропускания. NLB—не единственная новая функция Windows 2000, используемая ISA Server. Благодаря функции QoS (Quality of Service—гарантированное качество обслуживания) и возможности управления полосой пропускания Windows 2000, ISA Server позволяет назначать правила, определяющие долю полосы пропускания для различных протоколов и типов трафика, проходящих через ISA Server между Internet и локальной сетью. Данная функция обеспечивает более тщательный контроль использования канала с Internet, чем в Proxy Server.
Усовершенствованные функции подготовки отчетов. С помощью ISA Server можно составлять подробные отчеты о событиях, связанных с доступом пользователей и безопасностью. ISA Server может автоматически составлять отчеты по расписанию и доставлять их администратору через определенные промежутки времени (например, ежедневно, еженедельно, ежемесячно).
Служба поддержки протокола H.323. В состав ISA Server входит компонент поддержки H.323, с помощью которого администраторы могут управлять вызовами IP-телефонии между приложениями, совместимыми с протоколом H.323 (например, Microsoft NetMeeting 3.0). После того, как зарегистрированы записи DNS SRV, объявляющие о наличии службы поддержки, клиенты могут подключиться к ISA Server, зарегистрировать свои имена в данной службе и установить связь с другими конечными точками - клиентами H.323.
А ГДЕ КЛИЕНТ?
Важнейшая особенность многих современных продуктов безопасности Internet — совместимость с NAT. В документе RFC 1361 комитета IETF определен набор стандартов NAT, с помощью которых один подключенный к Internet компьютер может выполнять роль шлюза Internet для клиентов локальной сети путем преобразования внутренних IP-адресов в Internet-адреса. Данная технология обеспечивает высокий уровень безопасности, поскольку защищает клиентов с внутренними IP- адресами и делает их недоступными из Internet. Кроме того, благодаря NAT снижаются расходы крупных организаций на приобретение IP-адресов, так как компаниям нужен единственный маршрутизируемый IP-адрес для устройства NAT. Еще одно важное достоинство NAT —прозрачность: для организации соединений с Internet не требуется специального программного обеспечения или конфигурирования внутренних клиентов сети (нужно лишь убедиться, что устройство NAT —шлюз по умолчанию для доступа в Internet). Благодаря этим достоинствам служба NAT превратилась из вспомогательного в стандартный компонент всех шлюзов в Internet.
Реализация NAT в ISA Server, SecureNAT, объединяет защиту и прозрачность для клиента традиционной технологии NAT с функциональностью, которая повышает безопасность ISA Server. В отличие от многих реализаций NAT, в которых не предусмотрены меры по ограничению доступа в Internet для конкретных машин или типов трафика, SecureNAT обеспечивает управление всем трафиком, проходящим через компьютер с ISA Server. Таким образом, управлять сеансами Internet можно с клиентских компьютеров (даже с клиентов без специального программного обеспечения) по таким атрибутам сеансов, как исходный или целевой IP-адрес или тип используемого протокола.
Такая возможность — важное преимущество по сравнению с Proxy Server, в котором для защиты клиентских соединений используется метод «opt in» - метод участия. Для доступа в Internet через систему Proxy Server необходимо, чтобы клиентские браузеры использовали proxy-службу или клиентское программное обеспечение. Для защиты доступа к Internet-службам через Proxy Server можно использовать функции безопасности NT, но при этом необходимо настроить клиенты на использование Proxy Server. Таким образом, у организаций, в которых пользователи могут деинсталлировать клиентские программы или настраивать систему на использование шлюза в Internet напрямую, минуя proxy-службу, могут возникнуть проблемы. Поскольку ISA Server представляет собой шлюз Internet, на котором принудительно применяются определенные администратором политики безопасности, SecureNAT гарантирует, что клиенты не могут обойти политики безопасности.
NAT входит в состав службы RRAS операционной системы Windows 2000 Server и компонента ICS (Internet Connection Sharing) Windows 2000 Professional. Однако SecureNAT — надмножество функций NAT, реализованных в RRAS и ICS. Поэтому, если протокол NAT уже установлен или ICS активизирован для какого-либо сетевого соединения, то их следует удалить перед установкой ISA Server, чтобы предотвратить конфликты между этими компонентами и SecureNAT.
Несмотря на многочисленные преимущества NAT, некоторые протоколы и прикладные программы не могут работать через SecureNAT (или любую другую версию NAT), например, ряд игровых протоколов и протоколы, в пакеты которых встраиваются клиентские IP-адреса. Кроме того, SecureNAT не поможет, если нужно ограничить доступ пользователям или группам с помощью SAM или AD. В этом случае на каждом клиенте следует установить клиентское ПО, входящее в состав ISA Server.
УСТАНОВКА ISA SERVER
Установка ISA Server довольно проста, но прежде чем к ней приступить, следует изучить некоторые особенности процедуры. Во-первых, необходимо учесть минимальные требования ISA Server к системным ресурсам. Минимальные требования ISA Server, как продукта на базе Windows 2000 Server (в среде NT 4.0 он не работает), такие же, как у любой системы Windows 2000 Server. Это означает, что нужен процессор Pentium II (или более поздней версии) и ОЗУ не менее 128 Мбайт (рекомендуется память 256 Мбайт). Кроме того, сервер должен иметь как минимум два сетевых соединения: один адаптер для внутренней сети и второй — для соединения с Internet (например, сетевая плата, адаптер ISDN, модем). Для функций кэширования необходим, по крайней мере, один том с NTFS достаточной емкости для размещения кэша. Кроме того, для организации массива серверов ISA Server компьютер необходимо подключить к AD-совместимой сети.
Для функционирования ISA Server в сети с AD в схему AD необходимо внести изменения (указать дополнительные классы и свойства объектов), поэтому прежде чем устанавливать ISA Server, нужно запустить специальную утилиту изменения схемы. Доступ к этой утилите ISA Server Enterprise Initialization можно получить из главного меню установочного компакт-диска. В бета-версии 3 ISA Server нет никаких средств для отмены изменений, внесенных в схему, поэтому не рекомендуется устанавливать бета-версии ISA Server в рабочей сети.
В процессе изменения схемы нужно указать в диалоговом окне, показанном на Экране 1, каким образом применить корпоративную политику ISA Server на уровне массива, и следует ли выполнять фильтрацию пакетов и задавать правила публикации для массива. Выбранные режимы можно изменить позднее, но прежде чем приступать к работе, рекомендуется досконально разобраться в политиках и массивах ISA Server. Определение этих терминов дается во врезке «Что такое массивы и политики ISA Server». В случае возникновения любых трудностей на этапе изменения схемы следует обратиться к файлу Ldif.log, который размещается программой установки в корневом каталоге загрузочного раздела целевого сервера.
Следующим шагом после завершения изменения схемы будет установка ISA Server. Чтобы начать процедуру установки, следует щелкнуть на пункте Install ISA Server главного меню установочного компакт-диска. Чтобы отключить конкретные функции (например, службу поддержки H.323), нужно выбрать режим Custom; в противном случае — режим Full. В ходе установки программа определяет, подключен ли сервер к AD-совместимой сети, и если это так, то проверяет, были ли внесены в схему необходимые изменения. Затем программа установки спрашивает, следует ли сделать сервер частью имеющегося массива или независимого массива. Если строится новый массив, то следует ввести его имя. В следующем диалоговом окне нужно указать, в каком режиме должен работать ISA Server. ISA Server может функционировать как сервер-брандмауэр Internet (в режиме брандмауэра), как сервер кэширования (в режиме кэширования) или выполнять обе эти функции (в комплексном режиме). После того, как выбран режим, нужно щелкнуть на кнопке Continue, и на экране появится сообщение, что программа установки останавливает службы Microsoft IIS, и пользователь должен удалить IIS после завершения установки ISA Server или изменить конфигурацию IIS таким образом, чтобы освободить порты 80 и 8080 (эти порты используются ISA Server). Хотя IIS и ISA Server можно совместить на одной машине, изменив конфигурацию IIS в соответствии с указаниями системы в диалоговом окне, я рекомендую установить общедоступный сервер IIS на другой машине, скрытой за ISA Server, не пытаясь объединить два сервера.
На нескольких следующих экранах нужно указать размеры кэша и создать таблицу локальных адресов (Local Address Table—LAT), в которой определяется пространство IP-адресов внутренней сети. На Экране 2 показано, что при построении LAT диапазон внутренних IP-адресов можно ввести вручную или, щелкнув на кнопке Table, построить LAT автоматически. При щелчке на кнопке Table открывается диалоговое окно, в котором можно автоматически указать определенные документом RFC 1918 пространства имен для частных сетей 10.x.x.x, 172,16.x.x до 172.31.x.x и 192.168.x.x. Или же можно использовать внутреннюю таблицу маршрутизации Windows 2000, чтобы назначить адресные диапазоны на основе IP-адресов сетевых плат. Если выбрано построение на основе внутренней таблицы маршрутизации Windows 2000, то следует указать только внутреннюю сетевую плату, а не внешнюю, подключенную к Internet. Кроме того, если нужно заранее учесть возможность будущего изменения пространства частных IP-адресов, можно охватить все частные адресные диапазоны, а не только задействованные в текущей конфигурации сети. При возникновении проблем следует поискать информацию о неполадках в журнале программы установки. Журнал, firewallc.log, находится в корневом каталоге загрузочного раздела сервера.
УЧЕБНИК НЕ ТОЛЬКО ДЛЯ НОВИЧКОВ
В конце процедуры установки потребуется указать, следует ли запустить утилиту ISA Server Administration и учебник Getting Started Tutorial. Я настоятельно рекомендую начать с учебника, даже администраторам, имеющим большой опыт работы с Proxy Server и другими брандмауэрами. Учебник полезен в двух отношениях: в нем приведено поэтапное описание мастеров, которые помогают настроить базовые параметры сервера, например, конфигурацию брандмауэра и кэша, и приведены исчерпывающие объяснения операций, выполняемых на каждом этапе настройки. Поскольку впоследствии почти наверняка придется выполнить дополнительную настройку, из данного руководства администратор получит сведения о многочисленных вариантах настройки ISA Server и о большинстве операций конфигурирования. Как показано на Экране 3, меню учебника состоит из двух главных разделов: одного для задания политик и второго для конфигурирования массивов.
ISA Server располагает множеством функций настройки, но нет нужды пользоваться всеми — достаточно задействовать лишь те из них, которые необходимы для конкретной сети. Удалить ненужные функции из главной консоли управления Microsoft Management Console (MMC) нельзя, но их можно удалить из учебного курса. В диалоговом окне Configure policy by (конфигурировать политику по), показанном на Экране 4, можно определить типы политик, используемые в сети. На основании выбора, сделанного пользователем, из учебника исключаются любые разделы, относящиеся к типам политик, отсутствующим в данной конфигурации.
Следующие несколько экранов учебника помогут определить основные элементы, используемые для создания правил (политик), и минимальный набор правил, необходимый для функционирования ISA Server. Задавая политики в рамках ISA Server, администратор сначала готовит различные элементы независимо друг от друга, а затем объединяет их. В правилах/политиках ISA Server используются следующие базовые элементы:
Завершающие экраны учебника относятся к настройке мер безопасности сервера, параметров кэша и маршрутизации на брандмауэре. Особенно важен раздел учебника Secure Your Server (как защитить сервер). При выборе этого раздела запускается мастер, с помощью которого можно указать один из трех заранее определенных режимов безопасности: High Security (надежная защита), Moderate Security (средний уровень) и Windows 2000 Default Security (меры защиты, выбираемые по умолчанию). Выбор уровня защиты зависит от служб и приложений, размещенных на сервере. Режим High Security больше всего подходит для автономных брандмауэров, на которых не выполняется никаких приложений или в том случае, когда нужны самые строгие меры безопасности. В режиме Moderate Security ISA Server может работать на серверах, которые играют роль контроллера домена или исполняют другие службы, такие как DNS или WINS. Я не рекомендую использовать этот режим, поскольку он предполагает слабую защиту или вовсе ее отсутствие. Режим Windows 2000 Default Security предназначен для компьютеров ISA Server, которые играют роль серверов баз данных, или приложений других типов. На этапе Secure Your Server учебник напоминает о необходимости серьезно отнестись к выбору режима безопасности, поскольку изменения в политике безопасности нельзя отменить. Данное предупреждение необходимо, так как многие прикладные программы могут работать на серверах лишь при низком уровне безопасности, и использование слишком строгих мер защиты может привести к проблемам. Поэтому рекомендуется избегать выполнения любых приложений на ISA Server или выбрать режим Windows 2000 Default Security. Если сервер используется в качестве контроллера домена и не выполняет никаких приложений, то выбор режима Moderate Security оправдан. Однако я настоятельно рекомендую испытать ISA Server в среде, имитирующей службы, которые размещены на рабочем сервере, чтобы выяснить, подходит ли тот или иной режим безопасности.
На следующих страницах учебника производится настройка дополнительных функций брандмауэра, в том числе фильтрации IP-пакетов и обнаружения попыток несанкционированного доступа. Наконец, предлагается настроить параметры маршрутизации на брандмауэре трафика, направляемого в Internet (в том числе, клиентского Web-трафика), и кэширования.
НАЗНАЧЕНИЕ ПРАВИЛ
Как только вы определили необходимые для правил элементы политик, можно приступать к настройке правил. Пользователи, завершившие работу с учебником, уже имеют опыт создания образцов правил двух важнейших типов, используемых в ISA Server: правил сайта и контента и правил протокола. С помощью правил сайта и контента в ISA Server определяют, какие пользователи или машины и в какое время могут обращаться к узлам Internet, и к каким именно. Правила протокола определяют, трафик какого типа может проходить через ISA Server.
Любой доступ в Internet через ISA Server по умолчанию запрещен, поэтому необходимо определить, по крайней мере, одно правило протокола, разрешающее трафику нужного типа проходить через сервер. Если клиенты не могут установить соединение с Internet после начального конфигурирования ISA Server, но с сервера узлы Internet доступны, то проблема, вероятно, заключается в том, что не было задано правило протокола.
Помимо правил сайта, контента и протокола, в ISA Server можно определить правила трех других основных типов. Правила полосы пропускания используются для назначения относительных приоритетов для различных типов трафика Internet и потоков данных между внутренними клиентами, защищенными ISA Server. Благодаря данной функции администраторы получают беспрецедентный уровень контроля над распределением ресурсов сети и полосы пропускания каналов Internet. Например, по правилу полосы пропускания трафику главного управляющего компании, проводящего важную видеоконференцию с акционерами, может быть присвоен более высокий приоритет, чем трафику, поступающему в браузеры рядовых сотрудников. Инструмент ISA Server Administration используется для определения и управления правилами сайтов, контента и полосы пропускания.
Правила двух других типов, публикаций Web и серверных публикаций, находятся в контейнере правил публикации для массивов, в панели управления контентом утилиты ISA Server Administration. Правила публикаций Web определяют реакцию ISA Server на запросы, поступающие от клиентов HTTP, HTTP over Secure Sockets Layer (HTTPS) и FTP (например, отказ или перенаправление запросов другому серверу).
Правила серверных публикаций определяют, как перенаправлять из ISA Server во внутренние серверы любые другие запросы, поступающие от различных клиентов. Правила серверных публикаций используются также для настройки ISA Server на обработку и перенаправление входящего и исходящего почтового трафика с внутренним почтовым сервером. Чтобы задать правила публикации электронной почты, следует щелкнуть правой кнопкой мыши на контейнере Server Publishing Rules в панели управления контентом в ISA Server Administration и выбрать пункт Publish Mail Server. В результате этой операции запускается мастер Mail Server Setup Wizard (см. Экран 5). Мастер запрашивает информацию, необходимую для настройки ISA Server на фильтрацию и перенаправление почты в сети, в том числе внешние и внутренние IP-адреса, назначенные почтовому серверу, и типы почтовых служб, запросы к которым перехватывает ISA Server.
Работая с ISA Server, я сделал множество разнообразных открытий. Во-первых, я нашел ответ на вопрос, следует ли устанавливать на рабочих станциях сети Windows ПО клиента из состава ISA Server. Хотя для функционирования брандмауэра ISA Server клиент не обязателен, его использование дает такие преимущества, как возможность указывать в правилах пользовательские и групповые имена, а не только клиентские IP-адреса. Следует установить клиент в том случае, если нужно защитить брандмауэр с помощью правил, в которых применяются имена пользователей и групп AD или SAM.
Второе преимущество клиента — автоматическое конфигурирование в процессе установки клиентских браузеров на использование брандмауэра. Процедура установки и функционирование программы клиента сервера ISA Server почти идентична процедуре для клиента Winsock в Proxy Server.
ISA Server—открытая платформа разработки. Microsoft значительно облегчила независимым поставщикам процесс создания дополнительных программ, расширяющих функциональность сервера. В состав продукта входит даже комплект разработки ПО (SDK—в каталоге \sdk на компакт-диске) ISA Server. На момент подготовки данной статьи несколько поставщиков средств безопасности объявили о выпуске продуктов, предназначенных для работы в среде ISA Server.
Несмотря на общее благоприятное впечатление, производительность ISA Server оставляет желать лучшего. При достаточной мощности тестового сервера (машина с процессором Pentium II/400 МГц и 196-Мбайт ОЗУ) производительность ISA Server часто бывала весьма невысокой. Хотелось бы надеяться, что уровень производительности окончательной версии продукта будет другим.
Кроме того, пользователям Proxy Server, переходящим на ISA Server, следует прочитать специальный документ на компакт-диске, в котором освещаются проблемы модернизации Proxy Server. Обратиться к этому полезному документу можно из главного меню установочного компакт-диска или открыв файл Pre-Migration-Considerations.htm в корневом каталоге. На компакт-диске с бета-версией 3 также имеется руководство по установке, cmtstart.htm, файл комментариев (readme.htm) в подкаталоге \ISA и основной файл справки ISA Server, isa.chm, в подкаталоге \ISA\CHMBOOK.
БУДУЩИЙ ПОБЕДИТЕЛЬ
Сервер ISA производства компании Microsoft подает очень большие надежды. Функции доступа и кэширования Proxy Server дополнены функциями брандмауэра промышленного уровня, а благодаря совместимости с NAT его стало проще использовать со стороны клиента. Официальная дата выпуска окончательной версии неизвестна, но можно предположить, что компания выпустит ISA Server к концу 2000 г.
Для работы ISA Server необходима операционная система Windows 2000 Server или Windows 2000 Advanced Server, но возможность автономного использования ISA Server в сетях без AD означает, что организациям не придется ждать, пока будет завершен переход на AD, чтобы воспользоваться преимуществами ISA Server. Кроме того, благодаря новому уровню безопасности, производительности и прозрачности ISA Server будет проще внедрять в тех подразделениях ИТ, где «не прижился» Proxy Server 2.0.
ЧТО ТАКОЕ МАССИВЫ И ПОЛИТИКИ ISA SERVER
Чтобы правильно настроить конфигурацию и развернуть Microsoft Internet Security and Acceleration (ISA) Server в сети предприятия, нужно разобраться в новых терминах, используемых при работе с данным продуктом. Массивы (arrays) - просто группа машин ISA Server, размещенных в одном месте (например, в филиале или подразделении компании). Существует два типа массивов: доменные (domain arrays) и независимые (independent arrays). Для доменных массивов требуется Active Directory (AD)-совместимая сеть; они должны быть размещены в одном домене Windows 2000. Независимые массивы хранят информацию в локальной базе данных, а не в AD. Если ISA Server работает в домене Windows NT 4.0, то следует объединить системы в независимый массив. Если системы находятся в AD-совместимой сети, то следует выбрать доменный массив — даже если имеется всего одна система ISA Server. Основание для такой рекомендации—преимущество хранения данных о конфигурации в AD, возможность применять политики в масштабе всей компании и расширить доменный массив в будущем.
На уровне массива можно назначать разнообразные правила, в том числе для узлов и контента, протоколов, публикаций и фильтрации IP-пакетов. Такой свод правил представляет собой политику массива (array policy), которая определяет, каким образом ISA Server разрешает клиентам обмениваться данными с Internet. Политику массива можно применить только к системам ISA Server в массиве. Корпоративные политики (enterprise policies) содержат похожие правила, но они могут применяться к различным массивам. Локальная политика массива может изменить корпоративную политику, но только сделав ее более строгой — политики массивов не могут смягчить или отменить корпоративные политики. Корпоративные политики — очевидный выбор для сетей с AD, так как с их помощью администраторы высокого уровня могут назначать политики масштаба компании, применяемые во всей организации.
Шон Дейли - один из редакторов журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет сертификат MCSE. Последней из его книг была «Optimizing Windows NT», выпущенная издательством IDG Books. С ним можно связаться по адресу: sean@ntsol.com.