ISA 服务器使用各种通讯层保护公司的网络。在数据包层,ISA 服务器执行了防火墙策略。通过这种方式,ISA 服务器可以在网络接口上控制数据,从而在通讯访问任何资源之前对其加以评估。只有在 Microsoft 防火墙服务处理完相关规则,从而确定是否要处理该请求之后,才能允许数据通过。
ISA 服务器的体系结构
如上图所示,ISA 服务器可以保护三种类型的客户端:防火墙客户端、SecureNAT 客户端和 Web 代理客户端。
防火墙客户端。已经安装并启用防火墙客户端软件的计算机。来自防火墙客户端的请求会定向到 ISA 服务器计算机上的防火墙服务,以确定是否允许访问。此后,可以使用应用程序筛选器和其他插件对这些请求进行筛选。防火墙服务还可以缓存所请求的对象,或者从 ISA 服务器缓存提供对象。
SecureNAT 客户端。尚未安装防火墙客户端软件的计算机。来自 SecureNAT 客户端的请求首先会定向到网络地址转换 (NAT) 驱动程序。使用该驱动程序,可以用 Internet 上有效的全局 IP 地址替换 SecureNAT 客户端的内部 IP 地址。然后,该客户端请求会定向到防火墙服务,以确定是否允许访问。最后,可以使用应用程序筛选器和其他扩展组件对该请求进行筛选。防火墙服务还可以缓存所请求的对象,或者从 ISA 服务器缓存提供对象。
Web 代理客户端。与 CERN 兼容的 Web 应用程序。来自 Web 代理客户端的请求会定向到 ISA 服务器计算机上的防火墙服务,以确定是否允许访问。防火墙服务还可以缓存所请求的对象,或者从 ISA 服务器缓存提供对象。
无论客户端的类型如何,当 ISA 服务器接收到 HTTP 请求时,客户端都被视为 Web 代理客户端。即使是防火墙客户端或 SecureNAT 客户端发出 HTTP 请求,该客户端仍然被视为 Web 代理客户端。这对于验证该客户端身份的方式具有特定的含义。
防火墙客户端计算机和 SecureNAT 客户端计算机都可以作为 Web 代理客户端。如果将计算机上的 Web 应用程序明确配置为使用 ISA 服务器,则所有 Web 请求将直接发送到防火墙服务,包括 HTTP、FTP 和安全 HTTP (HTTPS)。防火墙服务首先会处理其他所有请求。
下表对各种 ISA 服务器客户端进行了比较。
| 功能 | SecureNAT 客户端 | 防火墙客户端 | Web 代理客户端 |
|---|---|---|---|
| 安装 | 是,需要对网络配置进行一些更改 | 是 | 否,需要配置 Web 浏览器 |
| 操作系统支持 | 支持 TCP/IP 的所有操作系统 | 仅限 Windows 平台 | 所有平台,但采用的是 Web 应用程序方式 |
| 协议支持 | 适用于多连接协议的应用程序筛选器 | 所有的 Winsock 应用程序 | HTTP、安全 HTTP (HTTPS) 和 FTP |
| 用户级身份验证支持 | 是,仅限 VPN 客户端 | 是 | 是 |
 可以从以下链接获得 ISA 服务器的最新内容:http://www.microsoft.com/isaserver/techinfo/howto/default.asp。
|