ISAServer不作為域成員是最安全的嗎?

餘二五發表於2017-11-08
       我想大家都多多少少都接觸過ISA,或者使用過它,但是你有沒有想過它在工作組環境下和域環境下有什麼區別,我們為什麼都把ISA加入到工作組,而往往只關心它的安全嗎。對於大多數的人不確定質疑我總結以下四點:1、ISA在工作組中比在域中更安全;2、如果域的安全受到威脅,ISA Server 仍然會正常工作;3、如果ISA Server的安全受到威脅,域卻不能 被訪問;4、因為ISA 執行在Windows 上本身就不安全。OKAY,我相信第四條是大家最擔心的一點吧。認為Windows本身就不安全,再加上一個ISA防火牆那就更搖搖欲墜了。好的,我就開始分析這列舉的四點,ISA加域有什麼好處,不加入域又能給我們帶來哪些益處和不利之處。
       首先,我們先來談談ISA作為域成員的好處。我相信大家選擇ISA作為防火牆,80%的人看中了ISA的Porxy功能。可以對不同型別的使用者進行訪問控制,這時候,如果ISA在工作組下就無法實現,必須依賴我們的活動目錄。ISA的企業版有陣列可以實現高可用性,我們搭建陣列可以在工作下,也可以在域環境下。但是如果工作在工作環境下,陣列的搭建想必是一個複雜過程,即要建立使用者,還要申請服務驗證證書和客戶端證書,並且對IT管理員排錯也是頭疼的事,而在域環境下我們不需要建立額外的帳號,直接使用域帳號就可以實現CSS和成員之間進行通訊。ISA在域環境下對Firewall Client的支援會更簡單。對於管理來說,有人認為ISA的可管理性不是很強,如果它受到攻擊哪怎麼辦?於是就引入了微軟管理的平臺SCOM2007或者MOM2005,這樣可以實現ISA伺服器的全部效能和服務進行監控,並對所有安全事件進行收集,我們通過SCOM2007強大的報告功能可以全域性性的看一些事件,管理人員會一目瞭然的瞭解ISA伺服器的執行狀況。換句話說,如果要對ISA伺服器進行管理,那麼也必須作為域成員才行。
       上面談的是作為域成員的好處,但是還會存在另一方面的聲音,那就是ISA伺服器作為域成員會出現哪些問題。好的,首先如果我們企業的活動目錄受到危及,想必我們ISA伺服器就不能正常工作。反之,如果ISA伺服器受到危及,我們企業的活動目錄就會受到牽連,黑客只要能登入到ISA伺服器就可以輕鬆的訪問我內網任何資源,想必這樣風險對一個企業來說是致命的。呵呵,但是從現在微軟相關部門統計來看,ISA伺服器從來沒有被攻擊過。最後,是從ISA的管理來講,ISA伺服器是域成員,那域內的管理人員就可以隨便的對ISA進行訪問和配置,對於ISA伺服器來說也是不安全的。
       其次,我們再來談談ISA作為工作組成員的好處。可能我相信大家都認識工作組是最安全的,其實我也這麼認為。如果ISA伺服器受到黑客的攻擊,我們企業內網的活動目錄不會受到任何影響,也就是說內部資料資產不受牽連,反之,企業內部活動目錄受到安全的威脅,ISA伺服器仍可以正常的工作。其實這一點來說,如果我內部活動目錄工作不正常,有我ISA伺服器正常工作對企業來說意義不大了,因為內網的一些關鍵應用,如SQL Server,Exchange Server,Sharepoint Server都不能執行了,那這ISA還起什麼大作用呢,所以我們一定要避免此類事情的發生。在工作組環境下,對於ISA伺服器的管理來說,我會不需要域管理員來參與,因為ISA伺服器有自己的使用者來管理,這樣伺服器自身安全性有了提高。
       上面談的是作為工作組成員的好處,那麼它在工作組下會存在什麼不足。1、CSS缺乏冗餘,因為在工作組下只存在一個CSS配置例項,上面存放著ISA伺服器的所有配置資料,也就是說,如果CSS不工作了,ISA伺服器也就罷工了。2、需要證書保證策略儲存伺服器 CSS的安全,因為是工作組,所有陣列成員需要證書進行通訊,配置比較複雜。3、針對陣列的通訊和管理需要本地帳號,這樣就會和公司內部的密碼策略會產生違背,不符合公司IT管理的合規性。4、對於ISA伺服器的驗證,就需要配置Radius伺服器,並且無法體驗ISA2006的諸多驗證方式。
      最後,言歸正傳,ISA Server不作為域成員是最安全的嗎?這個答案是沒有解答的,這需要根據你的實際應用來判定它應該工作哪種環境下,但我提出我個人的觀點就是,ISA伺服器加入域是不會給企業帶來風險的,而會給我們帶來ISA相關的更多更好的體驗,特別是在身份驗證方面,加入域會給我們管理帶來很多的便利。
本文轉自 chinaperrylee 51CTO部落格,原文連結:http://blog.51cto.com/perry/151314,如需轉載請自行聯絡原作者


相關文章