2006中的企业管理 ISA Server

核心提示：ISA Server 2006 Enterprise Edition 采用多层式企业及数组模型，ISA Server 企业包含一或多个数组，2006中的企业管理 ISA Server，藉由这些数组集结企业内部的 ISA Server 防火墙计算机，每个企业皆单独管理自己的数组成员，规则排序是 ISA Server 检查

ISA Server 2006 Enterprise Edition 采用多层式企业及数组模型。ISA Server 企业包含一或多个数组，藉由这些数组集结企业内部的 ISA Server 防火墙计算机。每个企业皆单独管理自己的数组成员。

企业及数组的设定信息存放在 ISA Server 设定存放区服务器内。每个企业拥有一或多台设定存放区服务器。当您在安装 ISA Server 设定存放区服务器组件时，可选择建立新的企业，或是建立现有设定存放区服务器的复本。企业中的数组成员会与设定存放区服务器进行通讯，以取得最新的设定信息。

同一数组中的 ISA Server 计算机系共享相同的设定、企业原则及数组原则，以便于体制管理及系统管理。当您修改数组设定并套用变更时，会更新所有的数组成员。集中化的系统管理能够以一台计算机执行所有的系统管理工作。

ISA Server Enterprise Edition 使用防火墙原则来保护网络，并控制进出组织的网络流量。防火墙原则包含于企业层级和数组层级定义的存取及发行规则。企业系统管理员可对整个企业实施精细的原则控制，包括授与数组系统管理员原则授权的层级。

企业原则

身为 ISA Server 企业系统管理员，您须定义企业原则，以套用到企业中的一或多个数组。企业原则的使用方式如下：

• 建立企业原则来套用组织全体的标准防火墙原则。例如，您可以在企业原则中建立一项规则，用来拒绝从内部网络流向因特网的 FTP 流量。

• 将企业原则套用到一或多个数组。如此可简化数组管理，并确实在企业层级为安全原则把关。不用辛苦地针对每个数组建立及管理原则，而变更也只须套用到企业原则即可。

您亦可根据数组功能来建立企业原则。例如，您可以建立用来处理虚拟私人网络 (VPN) 联机的数组、处理发行的数组，以及控制 Web Proxy 因特网存取的数组。建立下列三种企业原亦不失为良策：

• 适用于 VPN 数组的企业存取原则

• 适用于发行数组的企业存取原则

• 适用于因特网存取数组的企业存取原则

每个企业原则含有一组适用于数组类型且依序排列的存取规则。ISA Server 本身提供一个不可修改或删除的预设企业原则。其中含有拒绝所有流量的单一预设规则 (全部拒绝)。如此可确保企业预设为锁定状态，只接受您明确定义的允许流量。

设定企业原则

请依照下列步骤，设定企业环境及企业原则：

1.定义企业层级系统管理角色。定义企业系统管理员和企业原则系统管理员。

2.建立企业网络及网络规则。建立企业网络作为企业层级存取规则中的来源及目的地使用，或将其纳入数组层级网络的定义之中。建立网络规则，用以指定企业网络彼此之间的通讯方式。

3.建立企业原则。首先建立企业原则，随后定义原则中所使用的规则。在企业层级建立规则元素 (例如：通讯协议定义)，再使用这些元素作为企业层级规则的参数，用以判定允许进出企业网络的流量为何。在企业层级建立的规则元素亦可用于数组层级存取规则。企业原则中的每个规则皆可以定义，使其可套用在数组原则之前或之后。规则排序是 ISA Server 检查规则时的重要依据。系统会使用第一个符合 ISA Server 所收到的要求之规则，不再检查后续规则。