ISA Server不做爲域成員是最安全的嗎？

       我想你們都多多少少都接觸過ISA，或者使用過它，可是你有沒有想過它在工做組環境下和域環境下有什麼區別，咱們爲何都把ISA加入到工做組，而每每只關心它的安全嗎。對於大多數的人不肯定質疑我總結如下四點：一、ISA在工做組中比在域中更安全；二、若是域的安全受到威脅，ISA Server 仍然會正常工做；三、若是ISA Server的安全受到威脅，域卻不能 被訪問；四、由於ISA 運行在Windows 上自己就不安全。OKAY，我相信第四條是你們最擔憂的一點吧。認爲Windows自己就不安全，再加上一個ISA防火牆那就更風雨飄搖了。好的，我就開始分析這列舉的四點，ISA加域有什麼好處，不加入域又能給咱們帶來哪些益處和不利之處。

       首先，咱們先來談談ISA做爲域成員的好處。我相信你們選擇ISA做爲防火牆，80%的人看中了ISA的Porxy功能。能夠對不一樣類型的用戶進行訪問控制，這時候，若是ISA在工做組下就沒法實現，必須依賴咱們的活動目錄。ISA的企業版有陣列能夠實現高可用性，咱們搭建陣列能夠在工做下，也能夠在域環境下。可是若是工做在工做環境下，陣列的搭建想必是一個複雜過程，即要建立用戶，還要申請服務驗證證書和客戶端證書，而且對IT管理員排錯也是頭疼的事，而在域環境下咱們不須要建立額外的賬號，直接使用域賬號就能夠實現CSS和成員之間進行通信。ISA在域環境下對Firewall Client的支持會更簡單。對於管理來講，有人認爲ISA的可管理性不是很強，若是它受到***哪怎麼辦？因而就引入了微軟管理的平臺SCOM2007或者MOM2005,這樣能夠實現ISA服務器的所有性能和服務進行監控，並對全部安全事件進行收集，咱們經過SCOM2007強大的報告功能能夠全局性的看一些事件，管理人員會一目瞭然的瞭解ISA服務器的運行情況。換句話說，若是要對ISA服務器進行管理，那麼也必須做爲域成員才行。

       上面談的是做爲域成員的好處，可是還會存在另外一方面的聲音，那就是ISA服務器做爲域成員會出現哪些問題。好的，首先若是咱們企業的活動目錄受到危及，想必咱們ISA服務器就不能正常工做。反之，若是ISA服務器受到危及，咱們企業的活動目錄就會受到牽連，***只要能登陸到ISA服務器就能夠輕鬆的訪問我內網任何資源，想必這樣風險對一個企業來講是致命的。呵呵，可是從如今微軟相關部門統計來看，ISA服務器歷來沒有被***過。最後，是從ISA的管理來說，ISA服務器是域成員，那域內的管理人員就能夠隨便的對ISA進行訪問和配置，對於ISA服務器來講也是不安全的。

       其次，咱們再來談談ISA做爲工做組成員的好處。可能我相信你們都認識工做組是最安全的，其實我也這麼認爲。若是ISA服務器受到***的***，咱們企業內網的活動目錄不會受到任何影響，也就是說內部數據資產不受牽連，反之，企業內部活動目錄受到安全的威脅，ISA服務器仍能夠正常的工做。其實這一點來講，若是我內部活動目錄工做不正常，有我ISA服務器正常工做對企業來講意義不大了，由於內網的一些關鍵應用，如SQL Server，Exchange Server，Sharepoint Server都不能運行了，那這ISA還起什麼大做用呢，因此咱們必定要避免此類事情的發生。在工做組環境下，對於ISA服務器的管理來講，我會不須要域管理員來參與，由於ISA服務器有本身的用戶來管理，這樣服務器自身安全性有了提升。

       上面談的是做爲工做組成員的好處，那麼它在工做組下會存在什麼不足。一、CSS缺少冗餘，由於在工做組下只存在一個CSS配置實例，上面存放着ISA服務器的全部配置數據，也就是說，若是CSS不工做了，ISA服務器也就罷工了。二、須要證書保證策略存儲服務器 CSS的安全，由於是工做組，全部陣列成員須要證書進行通信，配置比較複雜。三、針對陣列的通信和管理須要本地賬號，這樣就會和公司內部的密碼策略會產生違背，不符合公司IT管理的合規性。四、對於ISA服務器的驗證，就須要配置Radius服務器，而且沒法體驗ISA2006的諸多驗證方式。

      最後，言歸正傳，ISA Server不做爲域成員是最安全的嗎?這個答案是沒有解答的，這須要根據你的實際應用來斷定它應該工做哪一種環境下，但我提出我我的的觀點就是，ISA服務器加入域是不會給企業帶來風險的，而會給咱們帶來ISA相關的更多更好的體驗，特別是在身份驗證方面，加入域會給咱們管理帶來不少的便利。

Technorati 標籤: ISA