ISA2006

ISA 支持缓存的三种协议：http；https；ftp

缓存文件的硬盘驱动器存放位置：C：\\URLcache\\Dirl.cdat ftp的有效时间：1天

http的有效时间：TTL值采用年龄比的百分之二十（默认ttl时间边界不少于15min，不多于1天）

缓存检索的三种情况：1.只有在缓存中存在对象的一个有效版本时。如果不存在，则传递请求

2.如果缓存中存在对象的任何版本，如果不存在，则传递请求

3.如果缓存中存在对象的任何版本，如果没有任何版本存在，则丢弃请求 搭建ISA2006防火墙的测试环境：首先需要两块网卡。 ISA2006企业版的特色：1.支持网页缓存阵列（carp） 2.与winsowsnlb的集成

3.阵列设置数据保存在ADAM数据库

4.支持阵列原则与企业原则

ISA标准版：只是单纯的通过防火墙的访问规则筛选进出ISA的流量，只适用于ISA单一计算机

ISA防火墙的数据包筛选的特殊之处在于：它可以检查包身部分 它通过三大类数据来设置筛选规则1.ip来源与目的地址 2.icp来源与目的端口 3.icp payload

防火墙的设置种类：边缘防火墙；三向外围防火墙；背对背外围防火墙（最安全的架构）；单一网络适配器

ISA可以架设以下两种类型的VPN：1.远程访问VPN连接 2.点对点VPN连接

支持的VPN协议：pptp；L2tp/IPsec；IPsec隧道模式

ISA2006多重网络支持：内部网络；外部网络；边界网络；VPN客户端；隔离的VPN客户端；本地主机

ISA2006的主要功能：防火墙；虚拟专用网（VPN）网页缓存。 ISA缓存的种类：正向缓存；反向缓存；链式缓存；分布式缓存。

ISA支持三种不同类型的客户端：1.web代理客户端：支持DNS转发；支持身份验证；支持的协议：http，https以及封装的ftp；支持的端口：8080

2.高级防火墙客户端：支持DNS转发；支持身份验证；支持的协议：winsock（tcp，udp）；支持的端口：1745

3.securenat客户端：不支持DNS转发；不支持身份验证；支持的协议：所有协议 ISA的自动发现：wpad.dat： 适用于web代理客户端 wspad.dat：适用于高级防火墙客户端

ISA提供的web代理客户端的三种基本验证方法：1.基本验证：大部分浏览器都支持基本身份验证，但是用户传递的帐户和密码不会被加密，容易外泄，所以使用基本验证要搭配相应的安全措施，例如：ssl。

2.摘要验证：比基本验证更安全；它的要求：浏览器必须支持http1.1；ISA的这台计算机必须是AD域的成员服务器或域控制器;用户帐户必须是AD域的域帐户；它是以纯文字的方式来保存密码

3.集成验证：就是所谓的集成式windows验证可以确保密码不易外泄，同时使系统默认的验证方法。用户利用集成验证连接ISA时，会自动利用用户在登陆计算机时所输入的帐户，密码来来连接ISA。如果错误，系统要求用户手动输入帐户，密码。 六种网络元素：协议；用户；内容类型；计划；网络对象；从哪到哪

封QQ的三种手段：1.端口：udp（8000）；http（80）；https tcp（443-核心） 2.ip或域名 3.签名：*.qq.com; *.tecent.com;

*.web.qq.com;

请求url；客户端选择web代理

如果选择利用组策略限制，只对防火墙客户端生效

内部网站服务器场：可以提高网页访问效率，而且拥有容错功能

客户端与网站之间必须保持着关联性，若客户端对网站提出一系列的请求时，这些请求必须由同一台网站来负责，否则会出现问题。为了避免上述情况的发生，

所以：采用ISA支持两种类型的关联性： 会话关联性（基于cookie的负载均衡） ip地址关联性（基于源ip的负载均衡）

两个网络计算机通过ISA进行沟通时，采用NAT或路由两种网络规则：内部-外部：NAT 内部-dmz：路由 dmz-外部：NAT

启动VPN服务器之前要先添加地址池。选择分配ip地址；如果允许vpn最大客户端数量为100，那么分配ip地址池必须是大于一百 例如：101，因为ISA所在这台计算机作为隧道的终点，自己本身要占用首个ip地址

ISA入侵检测：如果检测到入侵 它会采取如下方式：写日志；停止服务；发送邮件给管理员

CARP与NLB二者相辅相成，存在互补关系。

CARP与NLB同时具备负载均衡与故障转移的功能，大幅度提高了网页缓存效率。 NLB所提供的三种关联性：无；单一（CARP+NLB双向关联）；classC

NLB的两种操作模式：1.单播模式：此模式下，阵列中每一台ISA的网卡的MACaddress都会被替换成一个相同的NLBMAC地址

2.组播模式：此模式下，阵列中每一台ISA的网卡的MACaddress地址会被保留，各成员间可以通过原来的MACaddress连接。除此之外，每一台ISA还会有一个相同的multicastMAC地址

如果ISA与windowsNLB集成时，ISA会将NLB设置成单播模式与单一关联性 几种比较常见的端口：Rpc：135；ldap：389；dns：53；pop3：110； smtp：25；ftp：21/22；http：80；https：443： 两种常用的命令： nslookup:解析域名 nbtstat-na:查看端口号