ISA防火墻簡(jiǎn)介

是微軟公司的產(chǎn)品，全名叫Internet Security and Acceleration,

ISA 服務(wù)器Microsoft® Internet Security and Acceleration (ISA) Server 2004 是可擴(kuò)展的企業(yè)防火墻以及構(gòu)建在 Microsoft Windows Server? 2003 和 Windows® 2000 Server 操作系統(tǒng)安全、管理和目錄上的 Web 緩存服務(wù)器，以實(shí)現(xiàn)基于策略的網(wǎng)際訪問(wèn)控制、加速和管理。

Internet 為組織提供與客戶、合作伙伴和員工連接的機(jī)會(huì)。這種機(jī)會(huì)的存在，同時(shí)也帶來(lái)了與安全、性能和可管理性等有關(guān)的風(fēng)險(xiǎn)和問(wèn)題。ISA 服務(wù)器旨在滿足當(dāng)前通過(guò) Internet 開(kāi)展業(yè)務(wù)的公司的需要。ISA 服務(wù)器提供了多層企業(yè)防火墻，來(lái)幫助防止網(wǎng)絡(luò)資源受到病毒、黑客的攻擊以及未經(jīng)授權(quán)的訪問(wèn)。ISA Server 2004 Web 緩存使得組織可以通過(guò)從本地提供對(duì)象(而不是通過(guò)擁擠的 Internet)來(lái)節(jié)省網(wǎng)絡(luò)帶寬并提高 Web 訪問(wèn)速度。

無(wú)論是部署成專(zhuān)用的組件還是集成式防火墻和緩存服務(wù)器，ISA 服務(wù)器都提供了有助于簡(jiǎn)化安全和訪問(wèn)管理的統(tǒng)一管理控制臺(tái)。ISA 服務(wù)器為 Windows Server 2003 和 Windows 2000 Server 平臺(tái)而構(gòu)建，它通過(guò)強(qiáng)大的集成式管理工具來(lái)提供安全而快速的 Internet 連接。

ISA 服務(wù)器概述Microsoft® Internet Security and Acceleration (ISA) Server 2004 提供安全、快速和可管理的 Internet 連接。ISA 服務(wù)器集成了可識(shí)別應(yīng)用程序?qū)忧夜δ芡晟频亩鄬悠髽I(yè)防火墻和高性能的 Web 緩存。它構(gòu)建在 Microsoft Windows Server? 2003 和 Windows® 2000 Server 安全和目錄之上，以實(shí)現(xiàn)基于策略的網(wǎng)際安全、加速和管理。

將網(wǎng)絡(luò)和用戶連接到 Internet 會(huì)引入安全性和效率問(wèn)題。ISA Server 2004 為組織提供了在每個(gè)用戶的基礎(chǔ)上控制訪問(wèn)和監(jiān)視使用的綜合能力。ISA 服務(wù)器保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問(wèn)、執(zhí)行狀態(tài)篩選和檢查，并在防火墻或受保護(hù)的網(wǎng)絡(luò)受到攻擊時(shí)向管理員發(fā)出警報(bào)。

ISA 服務(wù)器是防火墻，通過(guò)數(shù)據(jù)包級(jí)別、電路級(jí)別和應(yīng)用程序級(jí)別的通訊篩選、狀態(tài)篩選和檢查、廣泛的網(wǎng)絡(luò)應(yīng)用程序支持、緊密地集成虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)、系統(tǒng)堅(jiān)固、集成的入侵檢測(cè)、智能的第 7 層應(yīng)用程序篩選器、對(duì)所有客戶端的防火墻透明性、高級(jí)身份驗(yàn)證、安全的服務(wù)器發(fā)布等方法，增強(qiáng)安全性。ISA Server 2004 可實(shí)現(xiàn)下列功能:

保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問(wèn)。

保護(hù) Web 和電子郵件服務(wù)器防御外來(lái)攻擊。

檢查傳入和傳出的網(wǎng)絡(luò)通訊以確保安全性。

接收可疑活動(dòng)警報(bào)。

Internet 提高了組織的工作效率，但這是以內(nèi)容可訪問(wèn)、訪問(wèn)速度快且成本合理為前提的。ISA Server 2004 緩存通過(guò)提供本地緩存的 Web 內(nèi)容將性能瓶頸控制在最少，并節(jié)省網(wǎng)絡(luò)帶寬。ISA 服務(wù)器可實(shí)現(xiàn)下列功能:

通過(guò)從 Web 緩存(而不是擁擠的 Internet)提供對(duì)象來(lái)提高用戶的 Web 訪問(wèn)速度。

通過(guò)減少鏈路上的網(wǎng)絡(luò)通訊來(lái)減少 Internet 帶寬成本。

分布 Web 服務(wù)器內(nèi)容和電子商務(wù)應(yīng)用程序，從而有效地覆蓋了全世界的客戶并有效地控制了成本。

從 ISA 服務(wù)器 Web 緩存中提供常用的 Web 內(nèi)容，并將節(jié)省出來(lái)的內(nèi)部網(wǎng)絡(luò)帶寬用于其他內(nèi)容請(qǐng)求。

通過(guò)組合防火墻和高性能的 Web 緩存功能，ISA Server 2004 提供了有助于降低網(wǎng)絡(luò)復(fù)雜度和減少成本的公共管理基礎(chǔ)結(jié)構(gòu)。ISA 服務(wù)器與 Windows Server 2003 和 Windows 2000 緊密集成，從而提供了一種管理用戶訪問(wèn)以及防火墻規(guī)則配置的一致而有效的途徑。

安全策略和規(guī)則因組織而異。通訊量和內(nèi)容格式導(dǎo)致了唯一性問(wèn)題。沒(méi)有單個(gè)產(chǎn)品能夠滿足所有的安全和性能需求，為了實(shí)現(xiàn)高度的可擴(kuò)展性，ISA Server 2004 便應(yīng)運(yùn)而生了?？捎糜?ISA 服務(wù)器的其他資料有:全面的軟件開(kāi)發(fā)人員工具包 (SDK)、大型的第三方附加解決方案選集，以及可擴(kuò)展的管理選件。

使用 ISA 服務(wù)器管理組件對(duì)象模型 (COM)，可以擴(kuò)展 ISA 服務(wù)器的功能。管理對(duì)象還允許對(duì)通過(guò) ISA 服務(wù)器管理完成的所有任務(wù)進(jìn)行自動(dòng)化處理。這意味著 ISA 服務(wù)器管理員可以通過(guò)使用管理對(duì)象來(lái)自動(dòng)完成所有任務(wù)。

以在Windows XP系統(tǒng)中安裝ISA防火墻為例介紹方法:

第1步，運(yùn)行安裝程序Setup.exe進(jìn)入"Microsoft Firewall Client安裝向?qū)?quot;，單擊"下一步"按鈕。打開(kāi)"目標(biāo)文件夾"對(duì)話框，單擊"更改"按鈕選擇客戶端安裝目錄(建議保持默認(rèn)目錄)，并單擊"下一步"按鈕。

第2步，打開(kāi)"ISA服務(wù)器計(jì)算機(jī)選擇"對(duì)話框，在該對(duì)話框中需要指定防火墻客戶端要連接的ISA服務(wù)器計(jì)算機(jī)。選中"連接到此ISA服務(wù)器計(jì)算機(jī)"單選框，并在其下的編輯框中輸入ISA服務(wù)器的主機(jī)名或IP地址。設(shè)置完畢單擊"下一步"按鈕。

第3步，在打開(kāi)的"可以安裝程序了"對(duì)話框中單擊"安裝"按鈕，打開(kāi)"正在安裝Microsoft Firewall Client"對(duì)話框。可以通過(guò)進(jìn)度條觀察安裝進(jìn)度，安裝完畢直接單擊"完成"按鈕即可。

第4步，完成安裝后防火墻客戶端會(huì)自動(dòng)在網(wǎng)絡(luò)中檢測(cè)ISA Server 2004(SP2)服務(wù)器并連接。如果防火墻客戶端沒(méi)有自動(dòng)連接到ISA Server 2004(SP2)服務(wù)器，用戶可以雙擊系統(tǒng)托盤(pán)中的客戶端圖標(biāo)，打開(kāi)Microsoft Firewall Client for ISA Server 2004(SP2)對(duì)話框。選中"手動(dòng)選擇ISA服務(wù)器"單選框，在其下的編輯框中輸入ISA服務(wù)器的IP地址或主機(jī)名，并單擊"測(cè)試服務(wù)器"按鈕。

第5步，打開(kāi)"正在測(cè)試ISA服務(wù)器"對(duì)話框，如果網(wǎng)絡(luò)暢通，則很快會(huì)返回ISA服務(wù)器的主機(jī)名。依次單擊"關(guān)閉"→"確定"按鈕連接至ISA Server 2004(SP2)服務(wù)器。

ISA是IndustryStandardArchitecture的縮寫(xiě)ISA插槽是基于ISA總線(IndustrialStandardArchitecture，工業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)總線)的擴(kuò)展插槽，其顏色一般為黑色，比PCI接口插槽要長(zhǎng)些，位于主板的最下端。其工作頻率為8MHz左右，為16位插槽，最大傳輸率16MB/sec，可插接顯卡，聲卡，網(wǎng)卡已及所謂的多功能接口卡等擴(kuò)展插卡。其缺點(diǎn)是CPU資源占用太高，數(shù)據(jù)傳輸帶寬太小，是已經(jīng)被淘汰的插槽接口。

ISA是8/16bit的系統(tǒng)總線，最大傳輸速率僅為8MB/s，但允許多個(gè)CPU共享系統(tǒng)資源。由于兼容性好，它在上個(gè)世紀(jì)80年代是最廣泛采用的系統(tǒng)總線，不過(guò)它的弱點(diǎn)也是顯而易見(jiàn)的，比如傳輸速率過(guò)低、CPU占用率高、占用硬件中斷資源等。后來(lái)在PC'98規(guī)范中，就開(kāi)始放棄了ISA總線，而Intel從i810芯片組開(kāi)始，也不再提供對(duì)ISA接口的支持。

ISA卡外觀

2ISA總線時(shí)序

ISA總線是IBMPC/AT機(jī)(CPU是80286)所用的系統(tǒng)總線.。P(pán)C/AT總線經(jīng)過(guò)標(biāo)準(zhǔn)化之后的名稱(chēng)。IEEE將ISA總線作為IEEEP996推薦標(biāo)準(zhǔn)。這是一個(gè)16位兼8位的總線標(biāo)準(zhǔn)。如果忽略標(biāo)準(zhǔn)化細(xì)節(jié)則可認(rèn)為16位ISA總線就是PC/AT總線。由于IBMPC/AT與IBMPC、IBMPC/XT機(jī)(CPU都是8088)所用的Pc總線兼容，所以可認(rèn)為8位ISA總線(16位ISA總的低8位部分)就是PC總線。

ISA總線的時(shí)序和80868088的時(shí)序基本相同但也有一些區(qū)別。有了8086/8088時(shí)序基礎(chǔ)對(duì)ISA總線時(shí)序的理解主要在于以下幾點(diǎn)

①地址和數(shù)據(jù)已不再分時(shí)復(fù)用信號(hào)線因此在整個(gè)總線周期內(nèi)有效。

②和8086/8088的最大模式一樣,存儲(chǔ)器讀/寫(xiě)和I/O讀/寫(xiě)的控制信號(hào)已分開(kāi),進(jìn)行一種操作只需一個(gè)控制信號(hào)。

③一個(gè)典型的存儲(chǔ)器讀/寫(xiě)周期還是由T1、T2、T3和T4組成,而I/O讀寫(xiě)周期和DMA周期都自動(dòng)插入了一個(gè)等待時(shí)鐘周期。

④I/OCHRAY相當(dāng)于8086/8088時(shí)序中的READY信號(hào)。當(dāng)總線板卡上

的存儲(chǔ)器或I/0電路較慢時(shí),可利用該信號(hào)迫使CPU插入等待時(shí)鐘周期。但等待時(shí)鐘周期不得超過(guò)10個(gè)。

⑤8位ISA總線在存儲(chǔ)器讀/寫(xiě)周期可用到20位地址,而16位ISA總線在存儲(chǔ)器讀寫(xiě)周期中可使用24位地址。但由于受I/O指令的限制。8位和16位ISA總線的I/0讀/寫(xiě)周期都只能使用低16位地址。

⑥BALE在CPU總線周期的T1期間有效,它的基本作用是進(jìn)行地址鎖存。但也可以作為一個(gè)新的CPU總線周期已開(kāi)始的標(biāo)志。

⑦AEN有效表示DMAC正在控制系統(tǒng)總線所以它可以作為系統(tǒng)處于DMA總線周期的標(biāo)志。

3ISA總線接口

執(zhí)行ISA總線規(guī)范的電路稱(chēng)為。ISA總線接口。通過(guò)ISA總線接口可以為系統(tǒng)擴(kuò)充存儲(chǔ)器。也可以擴(kuò)充I/O設(shè)備。在實(shí)際應(yīng)用中對(duì)后者的需求更大因?yàn)闄C(jī)器主板上一般已經(jīng)或者可以安裝足夠的存儲(chǔ)器而I/O設(shè)備是各種各樣的。系統(tǒng)對(duì)I/O設(shè)備的需求也不盡相同。正因?yàn)槿绱耍琁SA總線又被歸類(lèi)于I/O擴(kuò)展總線。注意I/O設(shè)備是一個(gè)廣義的概念可以是像打印機(jī)、硬盤(pán)那樣實(shí)實(shí)在在的設(shè)備。也可以是像A/D轉(zhuǎn)換器、D/A轉(zhuǎn)換器、計(jì)數(shù)器那樣的電路。當(dāng)

I/O設(shè)備是一個(gè)電路時(shí)。通常和總線接口做在一個(gè)總線板卡上習(xí)慣稱(chēng)之為某某接口板(如A/D接口板)或某某接口(如D/A接口)。從ISA總線的引腳信號(hào)以及總線時(shí)序看和8086/8088最大模式時(shí)的系統(tǒng)三總線以及8086/8088的總線周期時(shí)序差別不大，因此在設(shè)計(jì)ISA總線接口特別是I/O接口時(shí)。除了下面三點(diǎn)需要注意外，可以采用與設(shè)計(jì)8086/8088

接口幾乎相同的方法。這三點(diǎn)是

1.當(dāng)設(shè)計(jì)非DMA方式的I/O接口時(shí),應(yīng)把AEN為低作為該接口工作的使能

條件。以確保在總線上進(jìn)行DMA傳送時(shí)該接口不工作，否則DMA傳送時(shí)所發(fā)出的

地址與該接口設(shè)計(jì)地址相同時(shí)該接口會(huì)誤操作。

2.系統(tǒng)對(duì)ISA總線上的I/O端口地址采用部分譯碼方法。只譯碼A9、AO或

A10、A0。在選擇接口地址時(shí)應(yīng)避開(kāi)系統(tǒng)已占用的地址以及它們的重疊區(qū)。

3如果所要設(shè)計(jì)的接口中包含需要CPU插入等待時(shí)鐘的功能則需設(shè)計(jì)

一個(gè)I/0CHRAY產(chǎn)生電路。以便在必要時(shí)使總線上的I/OCHRAY線為低電平。

但該電路與總線上的I/OCHRAY線的電氣連接以及有效信號(hào)出現(xiàn)和持續(xù)時(shí)

間等方面有一些要求，實(shí)際應(yīng)用時(shí)需再參閱其詳細(xì)資料。

從圖中的信號(hào)可以看出，ISA的信號(hào)與PC機(jī)(PC/XT、PC/AT)所使用的外圍芯片以及CPU類(lèi)型有著十分密切的關(guān)系。如8位ISA的地址與數(shù)據(jù)線本身就是8088的地址與數(shù)據(jù)線寬度，16位ISA的24位地址與16位數(shù)據(jù)與80286一致。8位ISA的IRQ與DRQ是1片8259和1片8237的信號(hào)，16位ISA的IRQ與DRQ則是2片8259和2片8237級(jí)連等?？梢哉f(shuō)ISA總線是IntelCPU及外圍芯片信號(hào)的延伸。

總線信號(hào):

(1)總線基本信號(hào)?？偩€基本信號(hào)指的是用于總線工作的最基本的信號(hào)，通常有復(fù)位、時(shí)鐘、電源、地線等。

(2)總線訪問(wèn)信號(hào)?？偩€訪問(wèn)信號(hào)指的是用于訪問(wèn)數(shù)據(jù)的地址、數(shù)據(jù)線以及相應(yīng)的應(yīng)答信號(hào)。

(3)總線控制信號(hào)。ISA總線控制主要有中斷和DMA請(qǐng)求兩種方式。中斷方式時(shí)由ISA卡發(fā)出中斷請(qǐng)求而取得軟件的控制權(quán);DMA請(qǐng)求方式則在DMA控制器響應(yīng)請(qǐng)求后，由DMA控制器代為管理總線的控制，或者與MASTER信號(hào)配合取得ISA總線的真正控制權(quán)。