|
|
最近在搞ISA,所以自己的一些东东传上来,跟大家一起进步.其实用ISA,跟科来也有关系,用来他分析最好,哈.
注:以上均个人理解,不保证全部是正常,如有误导或者感觉不爽,请不要再看了。哈!最后面有个比喻,写多子,到最后也不知道写的是些
什么,有时间再改改,里面难免有错字或者我理解的错误,请高手指点或者完善下。
环境:两台电脑63和85,IP等相关信息如图所示,正常情况下两台电脑都可上网,现把63设置为通过85代理上网(IE属性-连接-局域网设置)。85上安装代理服务器ISA SERVER 2006企业版。内部网段定义为:192.98.169.0-192.98.169.255 姑娘:女孩子。
基础:在isa里他会把安有isa的电脑当做一个网络,定义为“本地主机”,所有,大家在看到网络里,写的是本地主机就是指isa
分析:正常情况63上网,会发送数据把给网关,网关再进行相应的转换,访问外网,然后再传送会回信息给63
代理:客户端发送信息给服务器,服务器上网,获得信息,现传送给客户端,不管服务器能否正常与外网通讯,如能,信息正常,不能
的话,返回错误信息给客户。
我们来看看ISA是么样做的。
63发送请求到85,85首先,ISA Server检查网络规则以确定两个网络实体间是否定义了路由关系,如果源网络和目的网络之间定义了路由关系,ISA Server将进一步处理客户的出站请求,否则拒绝。我们看图2,可知系统定义了本地主机和内部定义了关系。然后,ISA Server按顺序检查系统策略规则和防火墙策略规则。如果某个系统或者防火墙策略规则允许了此请求,ISA Server将进一步处理出站请求,否则拒绝。由图1可知,ISA检验策略1,发现不符合后,他会检查策略2,至到完,如其中有策略矛盾,最上面优先。我们发现策略2他允许内部访问外网。注:为什么是策略2允许,而不是1呢,因为ISA他不管自己是否可以正常上网,他只会检查客户发过的数据请求与自己的设置匹对,什么意思呢就是说63发到85,85只会检验自己让不让63通过自己这一关。如不允许返回一个错误给63.他不像其它的代理,是自己接手去完成63的请求,完成后,把情况再告诉63.ISA他只是检验,是否让你过去。这个结论我是么样来的呢?我现在把策略1禁用,就是说让85上外网。发现,63还可以正常浏览网页。下面我改变下,我禁用2开启1,也就是说让内网不能上外网。发现63不能正常访问了。到这里也有人会说,如果是这样的话,那代理的加速是么样实现的,我想应该是这样的:ISA允许63通过后,访问外网的应答传输回来后,会再经过ISA,这时ISA会保存相关的信息到缓存,供其它人访问。其它客户在访问同一请求时,ISA可能先检验,如发现自己有相关信息就直接传输给客户了。
结论:打个比喻,在ISA里,网络就像一个个城市,网络规则就像一条条高速公路,策略就像一个个检查站,如一个人要从A城到B城,首先要保证有路(网络规则,它还分NAT和路由,就像是路是否是单双向行驶的),有路后,还要通过检查站(策略),如你不是危险人物就让你过,是的话就栏下来。
通过这个比喻,我来说下普通代理和ISA的区别:
普通:A城的一个人想知道B城的姑娘好不好看,他通过高速公路(假如只有一条路)去B城,到了检查站,检查站的人说这事你交给我,我
帮你去问,那个人就停在检查站哪里了,不会再出去。如有另外一个人也想知道这事,因为检查站的人已经了解了B城的状况所以直接就把结
果告诉了他(加速)。ISA:A城的一个人想知道B城的姑娘好不好看,他通过高速公路(假如只有一条路)去B城,到了检查站,检查人员发现他不是什么危险人物就让他过去了,如不出什么意外(其它路由什么的影响),他能知道B城的姑娘到底好不好看,回来的过程中,他把结果告诉了检查站`的人,如A城也有另外一个人想知道B城的姑娘好看不,他到检查站,问问人就知道了。
这里ISA做代理的原理,做网关也是一样的,他会对每个通过他的人进行搜查,根据要求检查,对于不符合规定的东东就扣下来,(就像是条件过滤。)他还会把过个人的出入情况根据要求记录下来。(日志)。普通防火墙,他权限不够,不能对人搜身,也不能扣下东东,再加个他们经验有限,对于伪装好的人也分不清。晕,,,不写了!
[ 本帖最后由 chinaheiyu 于 2008-3-1 20:54 编辑 ] |
|
发表于 2008-3-1 20:52:16
