ISA防火墻

將網(wǎng)絡(luò)和用戶連接到 Internet 會引入安全性和效率問題。ISA Server 2004 為組織提供了在每個用戶的基礎(chǔ)上控制訪問和監(jiān)視使用的綜合能力。ISA 服務(wù)器保護網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護的網(wǎng)絡(luò)受到攻擊時向管理員發(fā)出警報。

ISA 服務(wù)器是防火墻，通過數(shù)據(jù)包級別、電路級別和應(yīng)用程序級別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅固、集成的入侵檢測、智能的第 7 層應(yīng)用程序篩選器、對所有客戶端的防火墻透明性、高級身份驗證、安全的服務(wù)器發(fā)布等方法，增強安全性。ISA Server 2004 可實現(xiàn)下列功能:

保護網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問。

保護 Web 和電子郵件服務(wù)器防御外來攻擊。

檢查傳入和傳出的網(wǎng)絡(luò)通訊以確保安全性。

接收可疑活動警報。

Internet 提高了組織的工作效率，但這是以內(nèi)容可訪問、訪問速度快且成本合理為前提的。ISA Server 2004 緩存通過提供本地緩存的 Web 內(nèi)容將性能瓶頸控制在最少，并節(jié)省網(wǎng)絡(luò)帶寬。ISA 服務(wù)器可實現(xiàn)下列功能:

通過從 Web 緩存(而不是擁擠的 Internet)提供對象來提高用戶的 Web 訪問速度。

通過減少鏈路上的網(wǎng)絡(luò)通訊來減少 Internet 帶寬成本。

分布 Web 服務(wù)器內(nèi)容和電子商務(wù)應(yīng)用程序，從而有效地覆蓋了全世界的客戶并有效地控制了成本。

從 ISA 服務(wù)器 Web 緩存中提供常用的 Web 內(nèi)容，并將節(jié)省出來的內(nèi)部網(wǎng)絡(luò)帶寬用于其他內(nèi)容請求。

是微軟公司的產(chǎn)品，全名叫Internet Security and Acceleration,

ISA 服務(wù)器Microsoft® Internet Security and Acceleration (ISA) Server 2004 是可擴展的企業(yè)防火墻以及構(gòu)建在 Microsoft Windows Server? 2003 和 Windows® 2000 Server 操作系統(tǒng)安全、管理和目錄上的 Web 緩存服務(wù)器，以實現(xiàn)基于策略的網(wǎng)際訪問控制、加速和管理。

Internet 為組織提供與客戶、合作伙伴和員工連接的機會。這種機會的存在，同時也帶來了與安全、性能和可管理性等有關(guān)的風險和問題。ISA 服務(wù)器旨在滿足當前通過 Internet 開展業(yè)務(wù)的公司的需要。ISA 服務(wù)器提供了多層企業(yè)防火墻，來幫助防止網(wǎng)絡(luò)資源受到病毒、黑客的攻擊以及未經(jīng)授權(quán)的訪問。ISA Server 2004 Web 緩存使得組織可以通過從本地提供對象(而不是通過擁擠的 Internet)來節(jié)省網(wǎng)絡(luò)帶寬并提高 Web 訪問速度。

無論是部署成專用的組件還是集成式防火墻和緩存服務(wù)器，ISA 服務(wù)器都提供了有助于簡化安全和訪問管理的統(tǒng)一管理控制臺。ISA 服務(wù)器為 Windows Server 2003 和 Windows 2000 Server 平臺而構(gòu)建，它通過強大的集成式管理工具來提供安全而快速的 Internet 連接。

ISA 服務(wù)器概述Microsoft® Internet Security and Acceleration (ISA) Server 2004 提供安全、快速和可管理的 Internet 連接。ISA 服務(wù)器集成了可識別應(yīng)用程序?qū)忧夜δ芡晟频亩鄬悠髽I(yè)防火墻和高性能的 Web 緩存。它構(gòu)建在 Microsoft Windows Server? 2003 和 Windows® 2000 Server 安全和目錄之上，以實現(xiàn)基于策略的網(wǎng)際安全、加速和管理。

通過組合防火墻和高性能的 Web 緩存功能，ISA Server 2004 提供了有助于降低網(wǎng)絡(luò)復雜度和減少成本的公共管理基礎(chǔ)結(jié)構(gòu)。ISA 服務(wù)器與 Windows Server 2003 和 Windows 2000 緊密集成，從而提供了一種管理用戶訪問以及防火墻規(guī)則配置的一致而有效的途徑。

安全策略和規(guī)則因組織而異。通訊量和內(nèi)容格式導致了唯一性問題。沒有單個產(chǎn)品能夠滿足所有的安全和性能需求，為了實現(xiàn)高度的可擴展性，ISA Server 2004 便應(yīng)運而生了?？捎糜?ISA 服務(wù)器的其他資料有:全面的軟件開發(fā)人員工具包 (SDK)、大型的第三方附加解決方案選集，以及可擴展的管理選件。

使用 ISA 服務(wù)器管理組件對象模型 (COM)，可以擴展 ISA 服務(wù)器的功能。管理對象還允許對通過 ISA 服務(wù)器管理完成的所有任務(wù)進行自動化處理。這意味著 ISA 服務(wù)器管理員可以通過使用管理對象來自動完成所有任務(wù)。

以在Windows XP系統(tǒng)中安裝ISA防火墻為例介紹方法:

第1步，運行安裝程序Setup.exe進入"Microsoft Firewall Client安裝向?qū)?quot;，單擊"下一步"按鈕。打開"目標文件夾"對話框，單擊"更改"按鈕選擇客戶端安裝目錄(建議保持默認目錄)，并單擊"下一步"按鈕。

第2步，打開"ISA服務(wù)器計算機選擇"對話框，在該對話框中需要指定防火墻客戶端要連接的ISA服務(wù)器計算機。選中"連接到此ISA服務(wù)器計算機"單選框，并在其下的編輯框中輸入ISA服務(wù)器的主機名或IP地址。設(shè)置完畢單擊"下一步"按鈕。

第3步，在打開的"可以安裝程序了"對話框中單擊"安裝"按鈕，打開"正在安裝Microsoft Firewall Client"對話框?？梢酝ㄟ^進度條觀察安裝進度，安裝完畢直接單擊"完成"按鈕即可。

第4步，完成安裝后防火墻客戶端會自動在網(wǎng)絡(luò)中檢測ISA Server 2004(SP2)服務(wù)器并連接。如果防火墻客戶端沒有自動連接到ISA Server 2004(SP2)服務(wù)器，用戶可以雙擊系統(tǒng)托盤中的客戶端圖標，打開Microsoft Firewall Client for ISA Server 2004(SP2)對話框。選中"手動選擇ISA服務(wù)器"單選框，在其下的編輯框中輸入ISA服務(wù)器的IP地址或主機名，并單擊"測試服務(wù)器"按鈕。

第5步，打開"正在測試ISA服務(wù)器"對話框，如果網(wǎng)絡(luò)暢通，則很快會返回ISA服務(wù)器的主機名。依次單擊"關(guān)閉"→"確定"按鈕連接至ISA Server 2004(SP2)服務(wù)器。

ISA是IndustryStandardArchitecture的縮寫ISA插槽是基于ISA總線(IndustrialStandardArchitecture，工業(yè)標準結(jié)構(gòu)總線)的擴展插槽，其顏色一般為黑色，比PCI接口插槽要長些，位于主板的最下端。其工作頻率為8MHz左右，為16位插槽，最大傳輸率16MB/sec，可插接顯卡，聲卡，網(wǎng)卡已及所謂的多功能接口卡等擴展插卡。其缺點是CPU資源占用太高，數(shù)據(jù)傳輸帶寬太小，是已經(jīng)被淘汰的插槽接口。

ISA是8/16bit的系統(tǒng)總線，最大傳輸速率僅為8MB/s，但允許多個CPU共享系統(tǒng)資源。由于兼容性好，它在上個世紀80年代是最廣泛采用的系統(tǒng)總線，不過它的弱點也是顯而易見的，比如傳輸速率過低、CPU占用率高、占用硬件中斷資源等。后來在PC'98規(guī)范中，就開始放棄了ISA總線，而Intel從i810芯片組開始，也不再提供對ISA接口的支持。

ISA卡外觀

2ISA總線時序

ISA總線是IBMPC/AT機(CPU是80286)所用的系統(tǒng)總線.。PC/AT總線經(jīng)過標準化之后的名稱。IEEE將ISA總線作為IEEEP996推薦標準。這是一個16位兼8位的總線標準。如果忽略標準化細節(jié)則可認為16位ISA總線就是PC/AT總線。由于IBMPC/AT與IBMPC、IBMPC/XT機(CPU都是8088)所用的Pc總線兼容，所以可認為8位ISA總線(16位ISA總的低8位部分)就是PC總線。

ISA總線的時序和80868088的時序基本相同但也有一些區(qū)別。有了8086/8088時序基礎(chǔ)對ISA總線時序的理解主要在于以下幾點

①地址和數(shù)據(jù)已不再分時復用信號線因此在整個總線周期內(nèi)有效。

②和8086/8088的最大模式一樣,存儲器讀/寫和I/O讀/寫的控制信號已分開,進行一種操作只需一個控制信號。

③一個典型的存儲器讀/寫周期還是由T1、T2、T3和T4組成,而I/O讀寫周期和DMA周期都自動插入了一個等待時鐘周期。

④I/OCHRAY相當于8086/8088時序中的READY信號。當總線板卡上

的存儲器或I/0電路較慢時,可利用該信號迫使CPU插入等待時鐘周期。但等待時鐘周期不得超過10個。

⑤8位ISA總線在存儲器讀/寫周期可用到20位地址,而16位ISA總線在存儲器讀寫周期中可使用24位地址。但由于受I/O指令的限制。8位和16位ISA總線的I/0讀/寫周期都只能使用低16位地址。

⑥BALE在CPU總線周期的T1期間有效,它的基本作用是進行地址鎖存。但也可以作為一個新的CPU總線周期已開始的標志。

⑦AEN有效表示DMAC正在控制系統(tǒng)總線所以它可以作為系統(tǒng)處于DMA總線周期的標志。

3ISA總線接口

執(zhí)行ISA總線規(guī)范的電路稱為。ISA總線接口。通過ISA總線接口可以為系統(tǒng)擴充存儲器。也可以擴充I/O設(shè)備。在實際應(yīng)用中對后者的需求更大因為機器主板上一般已經(jīng)或者可以安裝足夠的存儲器而I/O設(shè)備是各種各樣的。系統(tǒng)對I/O設(shè)備的需求也不盡相同。正因為如此，ISA總線又被歸類于I/O擴展總線。注意I/O設(shè)備是一個廣義的概念可以是像打印機、硬盤那樣實實在在的設(shè)備。也可以是像A/D轉(zhuǎn)換器、D/A轉(zhuǎn)換器、計數(shù)器那樣的電路。當

I/O設(shè)備是一個電路時。通常和總線接口做在一個總線板卡上習慣稱之為某某接口板(如A/D接口板)或某某接口(如D/A接口)。從ISA總線的引腳信號以及總線時序看和8086/8088最大模式時的系統(tǒng)三總線以及8086/8088的總線周期時序差別不大，因此在設(shè)計ISA總線接口特別是I/O接口時。除了下面三點需要注意外，可以采用與設(shè)計8086/8088

接口幾乎相同的方法。這三點是

1.當設(shè)計非DMA方式的I/O接口時,應(yīng)把AEN為低作為該接口工作的使能

條件。以確保在總線上進行DMA傳送時該接口不工作，否則DMA傳送時所發(fā)出的

地址與該接口設(shè)計地址相同時該接口會誤操作。

2.系統(tǒng)對ISA總線上的I/O端口地址采用部分譯碼方法。只譯碼A9、AO或

A10、A0。在選擇接口地址時應(yīng)避開系統(tǒng)已占用的地址以及它們的重疊區(qū)。

3如果所要設(shè)計的接口中包含需要CPU插入等待時鐘的功能則需設(shè)計

一個I/0CHRAY產(chǎn)生電路。以便在必要時使總線上的I/OCHRAY線為低電平。

但該電路與總線上的I/OCHRAY線的電氣連接以及有效信號出現(xiàn)和持續(xù)時

間等方面有一些要求，實際應(yīng)用時需再參閱其詳細資料。

從圖中的信號可以看出，ISA的信號與PC機(PC/XT、PC/AT)所使用的外圍芯片以及CPU類型有著十分密切的關(guān)系。如8位ISA的地址與數(shù)據(jù)線本身就是8088的地址與數(shù)據(jù)線寬度，16位ISA的24位地址與16位數(shù)據(jù)與80286一致。8位ISA的IRQ與DRQ是1片8259和1片8237的信號，16位ISA的IRQ與DRQ則是2片8259和2片8237級連等?？梢哉fISA總線是IntelCPU及外圍芯片信號的延伸。

總線信號:

(1)總線基本信號。總線基本信號指的是用于總線工作的最基本的信號，通常有復位、時鐘、電源、地線等。

(2)總線訪問信號?？偩€訪問信號指的是用于訪問數(shù)據(jù)的地址、數(shù)據(jù)線以及相應(yīng)的應(yīng)答信號。

(3)總線控制信號。ISA總線控制主要有中斷和DMA請求兩種方式。中斷方式時由ISA卡發(fā)出中斷請求而取得軟件的控制權(quán);DMA請求方式則在DMA控制器響應(yīng)請求后，由DMA控制器代為管理總線的控制，或者與MASTER信號配合取得ISA總線的真正控制權(quán)。