ISAServer不作為域成員是最安全的嗎?
我想大家都多多少少都接觸過ISA,或者使用過它,但是你有沒有想過它在工作組環境下和域環境下有什麼區別,我們為什麼都把ISA加入到工作組,而往往只關心它的安全嗎。對於大多數的人不確定質疑我總結以下四點:1、ISA在工作組中比在域中更安全;2、如果域的安全受到威脅,ISA Server 仍然會正常工作;3、如果ISA Server的安全受到威脅,域卻不能 被訪問;4、因為ISA 執行在Windows 上本身就不安全。OKAY,我相信第四條是大家最擔心的一點吧。認為Windows本身就不安全,再加上一個ISA防火牆那就更搖搖欲墜了。好的,我就開始分析這列舉的四點,ISA加域有什麼好處,不加入域又能給我們帶來哪些益處和不利之處。
首先,我們先來談談ISA作為域成員的好處。我相信大家選擇ISA作為防火牆,80%的人看中了ISA的Porxy功能。可以對不同型別的使用者進行訪問控制,這時候,如果ISA在工作組下就無法實現,必須依賴我們的活動目錄。ISA的企業版有陣列可以實現高可用性,我們搭建陣列可以在工作下,也可以在域環境下。但是如果工作在工作環境下,陣列的搭建想必是一個複雜過程,即要建立使用者,還要申請服務驗證證書和客戶端證書,並且對IT管理員排錯也是頭疼的事,而在域環境下我們不需要建立額外的帳號,直接使用域帳號就可以實現CSS和成員之間進行通訊。ISA在域環境下對Firewall Client的支援會更簡單。對於管理來說,有人認為ISA的可管理性不是很強,如果它受到攻擊哪怎麼辦?於是就引入了微軟管理的平臺SCOM2007或者MOM2005,這樣可以實現ISA伺服器的全部效能和服務進行監控,並對所有安全事件進行收集,我們通過SCOM2007強大的報告功能可以全域性性的看一些事件,管理人員會一目瞭然的瞭解ISA伺服器的執行狀況。換句話說,如果要對ISA伺服器進行管理,那麼也必須作為域成員才行。
上面談的是作為域成員的好處,但是還會存在另一方面的聲音,那就是ISA伺服器作為域成員會出現哪些問題。好的,首先如果我們企業的活動目錄受到危及,想必我們ISA伺服器就不能正常工作。反之,如果ISA伺服器受到危及,我們企業的活動目錄就會受到牽連,黑客只要能登入到ISA伺服器就可以輕鬆的訪問我內網任何資源,想必這樣風險對一個企業來說是致命的。呵呵,但是從現在微軟相關部門統計來看,ISA伺服器從來沒有被攻擊過。最後,是從ISA的管理來講,ISA伺服器是域成員,那域內的管理人員就可以隨便的對ISA進行訪問和配置,對於ISA伺服器來說也是不安全的。
其次,我們再來談談ISA作為工作組成員的好處。可能我相信大家都認識工作組是最安全的,其實我也這麼認為。如果ISA伺服器受到黑客的攻擊,我們企業內網的活動目錄不會受到任何影響,也就是說內部資料資產不受牽連,反之,企業內部活動目錄受到安全的威脅,ISA伺服器仍可以正常的工作。其實這一點來說,如果我內部活動目錄工作不正常,有我ISA伺服器正常工作對企業來說意義不大了,因為內網的一些關鍵應用,如SQL Server,Exchange Server,Sharepoint Server都不能執行了,那這ISA還起什麼大作用呢,所以我們一定要避免此類事情的發生。在工作組環境下,對於ISA伺服器的管理來說,我會不需要域管理員來參與,因為ISA伺服器有自己的使用者來管理,這樣伺服器自身安全性有了提高。
上面談的是作為工作組成員的好處,那麼它在工作組下會存在什麼不足。1、CSS缺乏冗餘,因為在工作組下只存在一個CSS配置例項,上面存放著ISA伺服器的所有配置資料,也就是說,如果CSS不工作了,ISA伺服器也就罷工了。2、需要證書保證策略儲存伺服器 CSS的安全,因為是工作組,所有陣列成員需要證書進行通訊,配置比較複雜。3、針對陣列的通訊和管理需要本地帳號,這樣就會和公司內部的密碼策略會產生違背,不符合公司IT管理的合規性。4、對於ISA伺服器的驗證,就需要配置Radius伺服器,並且無法體驗ISA2006的諸多驗證方式。
最後,言歸正傳,ISA Server不作為域成員是最安全的嗎?這個答案是沒有解答的,這需要根據你的實際應用來判定它應該工作哪種環境下,但我提出我個人的觀點就是,ISA伺服器加入域是不會給企業帶來風險的,而會給我們帶來ISA相關的更多更好的體驗,特別是在身份驗證方面,加入域會給我們管理帶來很多的便利。
本文轉自 chinaperrylee 51CTO部落格,原文連結:http://blog.51cto.com/perry/151314,如需轉載請自行聯絡原作者
相關文章
- 你是世界上最優秀的開發人員嗎?
- 讓員工成為安全解決方案,而非安全隱患
- 你知道Laravel為什麼會成為最優雅的PHP框架嗎?LaravelPHP框架
- 中國在人工智慧領域成為全球最‘吸金’的國家人工智慧
- 類的域(field ,資料成員)是基本型別時的預設值型別
- 成為軟體工程師最精彩的地方是什麼?軟體工程工程師
- TypeScript成為VisualStudio的正式成員TypeScript
- 黑客公開Twitch完整原始碼,稱這是對其不作為的報復黑客原始碼
- Google七成為男性員工 超過六成是白種人Go
- 綠盟科技成為首批工業網際網路安全“領航”計劃成員
- 美創科技正式成為“資料安全強基計劃”成員單位
- 為什麼你成為不了團隊核心成員
- 是什麼讓C#成為最值得學習的程式語言
- 寫程式碼可能是成為軟體工程師最容易的部分軟體工程工程師
- DevOps 專業人員如何成為網路安全擁護者dev
- 成員變數和區域性變數變數
- 美國網路安全促進委員會的主要成員
- Morketing 專訪 | MarTech 的最後一公里,是做好場域資料管理嗎?
- 為什麼Laravel會成為最成功的PHP框架LaravelPHP框架
- 為什麼 Laravel 會成為最成功的 PHP 框架?LaravelPHP框架
- C#快速入門教程(4)——類成員的作用域C#
- 成員變數和區域性變數的區別變數
- 你的模型真的陷入區域性最優點了嗎?模型
- 對於靜態成員來說是類的建構函式,對於例項成員是類的原型物件。函式原型物件
- 為什麼說 SaCa DataViz 是最適合業務人員的視覺化工具?視覺化
- 什麼是DevSecOps?開發人員如何為安全而左移dev
- 為什麼 C++ 中成員函式指標是 16 位元組?C++函式指標
- java是最值得學習的程式語言嗎?Java
- 如何成為更好的軟體開發人員
- 成為不可取代員工的6項策略
- 6、域滲透中查詢域使用者對域成員機器關係
- 谷歌成為Eclipse基金會戰略成員谷歌Eclipse
- Linux有望成為Vista新成員(轉)Linux
- 喜訊|易念科技成為中國網路空間安全人才教育聯盟成員單位
- Windows Phone惡意軟體率僅0.3% 成為最安全手機平臺Windows
- 如何成為資料庫管理員(DBA)?資料庫
- 使用類繼承還是類的成員變數繼承變數
- C++中的static成員、static const成員和const成員的初始化C++