我想大家都多多少少都接触过ISA,或者使用过它,但是你有没有想过它在工作组环境下和域环境下有什么区别,我们为什么都把ISA加入到工作组,而往往只关心它的安全吗。对于大多数的人不确定质疑我总结以下四点:1、ISA在工作组中比在域中更安全;2、如果域的安全受到威胁,ISA Server 仍然会正常工作;3、如果ISA Server的安全受到威胁,域却不能 被访问;4、因为ISA 运行在Windows 上本身就不安全。OKAY,我相信第四条是大家最担心的一点吧。认为Windows本身就不安全,再加上一个ISA防火墙那就更摇摇欲坠了。好的,我就开始分析这列举的四点,ISA加域有什么好处,不加入域又能给我们带来哪些益处和不利之处。
首先,我们先来谈谈ISA作为域成员的好处。我相信大家选择ISA作为防火墙,80%的人看中了ISA的Porxy功能。可以对不同类型的用户进行访问控制,这时候,如果ISA在工作组下就无法实现,必须依赖我们的活动目录。ISA的企业版有阵列可以实现高可用性,我们搭建阵列可以在工作下,也可以在域环境下。但是如果工作在工作环境下,阵列的搭建想必是一个复杂过程,即要创建用户,还要申请服务验证证书和客户端证书,并且对IT管理员排错也是头疼的事,而在域环境下我们不需要创建额外的帐号,直接使用域帐号就可以实现CSS和成员之间进行通讯。ISA在域环境下对Firewall Client的支持会更简单。对于管理来说,有人认为ISA的可管理性不是很强,如果它受到攻击哪怎么办?于是就引入了微软管理的平台SCOM2007或者MOM2005,这样可以实现ISA服务器的全部性能和服务进行监控,并对所有安全事件进行收集,我们通过SCOM2007强大的报告功能可以全局性的看一些事件,管理人员会一目了然的了解ISA服务器的运行状况。换句话说,如果要对ISA服务器进行管理,那么也必须作为域成员才行。
上面谈的是作为域成员的好处,但是还会存在另一方面的声音,那就是ISA服务器作为域成员会出现哪些问题。好的,首先如果我们企业的活动目录受到危及,想必我们ISA服务器就不能正常工作。反之,如果ISA服务器受到危及,我们企业的活动目录就会受到牵连,黑客只要能登录到ISA服务器就可以轻松的访问我内网任何资源,想必这样风险对一个企业来说是致命的。呵呵,但是从现在微软相关部门统计来看,ISA服务器从来没有被攻击过。最后,是从ISA的管理来讲,ISA服务器是域成员,那域内的管理人员就可以随便的对ISA进行访问和配置,对于ISA服务器来说也是不安全的。
其次,我们再来谈谈ISA作为工作组成员的好处。可能我相信大家都认识工作组是最安全的,其实我也这么认为。如果ISA服务器受到黑客的攻击,我们企业内网的活动目录不会受到任何影响,也就是说内部数据资产不受牵连,反之,企业内部活动目录受到安全的威胁,ISA服务器仍可以正常的工作。其实这一点来说,如果我内部活动目录工作不正常,有我ISA服务器正常工作对企业来说意义不大了,因为内网的一些关键应用,如SQL Server,Exchange Server,Sharepoint Server都不能运行了,那这ISA还起什么大作用呢,所以我们一定要避免此类事情的发生。在工作组环境下,对于ISA服务器的管理来说,我会不需要域管理员来参与,因为ISA服务器有自己的用户来管理,这样服务器自身安全性有了提高。
上面谈的是作为工作组成员的好处,那么它在工作组下会存在什么不足。1、CSS缺乏冗余,因为在工作组下只存在一个CSS配置实例,上面存放着ISA服务器的所有配置数据,也就是说,如果CSS不工作了,ISA服务器也就罢工了。2、需要证书保证策略存储服务器 CSS的安全,因为是工作组,所有阵列成员需要证书进行通讯,配置比较复杂。3、针对阵列的通讯和管理需要本地帐号,这样就会和公司内部的密码策略会产生违背,不符合公司IT管理的合规性。4、对于ISA服务器的验证,就需要配置Radius服务器,并且无法体验ISA2006的诸多验证方式。
最后,言归正传,ISA Server不作为域成员是最安全的吗?这个答案是没有解答的,这需要根据你的实际应用来判定它应该工作哪种环境下,但我提出我个人的观点就是,ISA服务器加入域是不会给企业带来风险的,而会给我们带来ISA相关的更多更好的体验,特别是在身份验证方面,加入域会给我们管理带来很多的便利。
本文转自 chinaperrylee 51CTO博客,原文链接:http://blog.51cto.com/perry/151314,如需转载请自行联系原作者
