ISA Server 2006高级应用指南(1)

引言：

ISA Server 2006是微软公司在企业网络边界安全上的代表产品，ISA Server系列产品实现了集高级应用层防火墙、虚拟专用网络（VPN，Virtual Private Network）和网络缓存于一体的解决方案，能够提高网络安全和网络性能从而最大化企业的IT投资收益。ISA Server 2006通过增强的对HTTP协议和FTP协议以及远程过程调用（RPC，Remote Process Call）连接的过滤与控制实现对应用层的过滤；它提供了扩展的协议支持、增强的用户认证、增强的对用户和用户组的支持、增强的FTP支持、增强的网络发布等功能，从而提高了企业的安全性。

应用层过滤、高级防火墙以及企业级的VPN是ISA Server系列产品最为关键的应用。本文将从实际应用出发，针对ISA Server 2006在应用层过滤上的具体应用，阐述ISA Server 2006口令变更功能配置优化、ISA Server 2006内部客户端Web访问应用优化以及Outlook Web Access应用优化三个关键应用优化。本文假设读者已经完成了ISA Server 2006的部署工作，并熟悉ISA Server 2006的主要应用和操作，本文不涉及ISA Server的安装和管理，仅提供ISA Server 2006在应用层过滤上最优的应用方法。

一、ISA Server 2006口令变更功能配置

ISA Server 2006提供了允许用户通过基于表单的认证授权连接到Outlook Web访问来修改他们的口令，ISA Server管理员可以提醒用户其口令将会在一个指定的日期内过期、并允许用户创建新的口令，用户同样可以修改已经过期的口令。

1、口令变更功能基本配置

口令修改的功能在客户端输入基于表单的认证授权的授信时被启用，ISA Server将通过使用Windows授权认证（基于Active Directory）或者LDAP（Lightweight Directory Access Protocol，基于Active Directory）授权认证，在进行配置之前，注意以下的点：

1）、必须使用一个LDAPS链接到LDAP服务器或者域控制器。为使用一个安全的LDAP链接，一个服务器证书必须安装在LDAP服务器上或者域控制器上，证书名称必须与用户将要应用于授权认证服务器上的FQDN（Fully Qualified Domain Name）相匹配；

2）、ISA Server计算机必须有一个CA的根证书，该根证书被置于服务器证书的本地计算机信任证书授权存储目录中；

3）、在使用LDAP授权认证的时候，用户必须创建一个LDAP服务器装置，该服务器将会被用以授权用户，为使授权认证的功能很好地发挥功能，为该LDAP服务器进行以下配置：

a、启用采用安全连接的连接到LDAP服务器的连接；

b、为LDAP服务器指定一个FQDN名称。确保FQDN与安装在LDAP服务器上的或者域控制器上的证书的名称一致，指定至少一个日志表达式用以分派LDAP服务器到一个特定的用户组；

c、禁止使用全局日志（GC，Global Catalog）；

d、指定一个用以识别用户帐号和帐号细节的域，域中的帐号将会被用以绑定到LDAP服务器以及查询登录用户的授信；

e、必须要有一个帐号才能够绑定到授权认证服务器，以及确认用户名和口令状态。在域授权认证情况下，该帐号必须为一个具有修改Active Directory权限的域帐号。

在创建的用以发布Outlook Web访问的Web监听器的属性栏，配置用户修改口令的选项，同时配置一个口令过期时间。在正确配置Web发布规则以后，用户在使用基于表单的授权认证进行登录的时候，如果口令过期时间临近，则会收到相应的警告。

以上属于ISA Server 2006在口令管理上的基础应用，为避免可能出现的问题，以下是一些优化的配置方法。

2、优化口令变更配置

1）口令变更前确保必要的证书已安装

在进行口令变更的操作时，如果必要的证书未被安装，则会出现口令变更功能性失败的问题。不管是否使用LDAP授权认证或者Windows Active Directory授权认证，必须要有一个基于TPC端口636的到授权认证服务器的LDAPS连接。

在进行口令变更配置之前，对于Windows授权认证，首先获取一个域控制器上的证书；对于LDAP授权认证，首先获取一个LDAP服务器上的证书。确保证书的通用名称与授权认证服务器上的名称一致。

2）禁用证书的客户端授权认证

如果用以Web发布的服务器证书采用默认的目的配置“服务器授权认证”和“客户端授权认证”，那么在客户端进行登录的时候则会出现缓慢的情况。其原因是在Windows Server 2003检测到“客户端授权认证”的默认目的设置时，操作系统将尝试通过共有的授权认证的方式来连接域控制器执行TLS的功能。

共有的授权认证处理需要ISA Server能够访问启用“客户端授权认证”的服务器证书中的私钥，但是ISA Server并不（而且应该不）具备这样的访问权限。为优化服务器证书应用，提高客户端登录速度，ISA Server管理员应当禁用服务器证书中的默认“客户端授权认证”。以下是具体的操作过程：

a、打开Certificates Microsoft Management Console（mmc）面板，首先添加证书管理器（CM，Certificate Manager）到mmc中：
① 点“开始”，然后点“运行”；
② 输入“mmc”，然后点“Enter”；
③ 选中“文件”菜单，然后选择“添加/删除插件”；
④ 在“添加/删除插件”面板中，点“添加”按钮；
⑤ 双击“证书”插件，选中“计算机帐号”，然后点“结束”
⑥ 选中“本地计算机”，然后点“结束”；
⑦ 关闭对话框。

b、在证书mmc中，点击以展开“证书”节点，然后展开“专有”节点；

c、右键点击相关的证书，选择“属性”；

d、在“细节”一栏中，点“编辑属性”；

e、选中“仅启用以下目的地”，然后清理掉“客户端授权认证”目的地。

注意：在成功完成新口令的配置以后，Active Directory允许新口令和旧口令同时使用一个小时的时间，在这段时间内，使用这两个口令中的任意一个都可以成功登录。