ISA Server不做为域成员是最安全的吗？

       我想你们都多多少少都接触过ISA，或者使用过它，可是你有没有想过它在工做组环境下和域环境下有什么区别，咱们为何都把ISA加入到工做组，而每每只关心它的安全吗。对于大多数的人不肯定质疑我总结如下四点：一、ISA在工做组中比在域中更安全；二、若是域的安全受到威胁，ISA Server 仍然会正常工做；三、若是ISA Server的安全受到威胁，域却不能 被访问；四、由于ISA 运行在Windows 上自己就不安全。OKAY，我相信第四条是你们最担忧的一点吧。认为Windows自己就不安全，再加上一个ISA防火墙那就更风雨飘摇了。好的，我就开始分析这列举的四点，ISA加域有什么好处，不加入域又能给咱们带来哪些益处和不利之处。

       首先，咱们先来谈谈ISA做为域成员的好处。我相信你们选择ISA做为防火墙，80%的人看中了ISA的Porxy功能。能够对不一样类型的用户进行访问控制，这时候，若是ISA在工做组下就没法实现，必须依赖咱们的活动目录。ISA的企业版有阵列能够实现高可用性，咱们搭建阵列能够在工做下，也能够在域环境下。可是若是工做在工做环境下，阵列的搭建想必是一个复杂过程，即要建立用户，还要申请服务验证证书和客户端证书，而且对IT管理员排错也是头疼的事，而在域环境下咱们不须要建立额外的账号，直接使用域账号就能够实现CSS和成员之间进行通信。ISA在域环境下对Firewall Client的支持会更简单。对于管理来讲，有人认为ISA的可管理性不是很强，若是它受到***哪怎么办？因而就引入了微软管理的平台SCOM2007或者MOM2005,这样能够实现ISA服务器的所有性能和服务进行监控，并对全部安全事件进行收集，咱们经过SCOM2007强大的报告功能能够全局性的看一些事件，管理人员会一目了然的了解ISA服务器的运行情况。换句话说，若是要对ISA服务器进行管理，那么也必须做为域成员才行。

       上面谈的是做为域成员的好处，可是还会存在另外一方面的声音，那就是ISA服务器做为域成员会出现哪些问题。好的，首先若是咱们企业的活动目录受到危及，想必咱们ISA服务器就不能正常工做。反之，若是ISA服务器受到危及，咱们企业的活动目录就会受到牵连，***只要能登陆到ISA服务器就能够轻松的访问我内网任何资源，想必这样风险对一个企业来讲是致命的。呵呵，可是从如今微软相关部门统计来看，ISA服务器历来没有被***过。最后，是从ISA的管理来说，ISA服务器是域成员，那域内的管理人员就能够随便的对ISA进行访问和配置，对于ISA服务器来讲也是不安全的。

       其次，咱们再来谈谈ISA做为工做组成员的好处。可能我相信你们都认识工做组是最安全的，其实我也这么认为。若是ISA服务器受到***的***，咱们企业内网的活动目录不会受到任何影响，也就是说内部数据资产不受牵连，反之，企业内部活动目录受到安全的威胁，ISA服务器仍能够正常的工做。其实这一点来讲，若是我内部活动目录工做不正常，有我ISA服务器正常工做对企业来讲意义不大了，由于内网的一些关键应用，如SQL Server，Exchange Server，Sharepoint Server都不能运行了，那这ISA还起什么大做用呢，因此咱们必定要避免此类事情的发生。在工做组环境下，对于ISA服务器的管理来讲，我会不须要域管理员来参与，由于ISA服务器有本身的用户来管理，这样服务器自身安全性有了提升。

       上面谈的是做为工做组成员的好处，那么它在工做组下会存在什么不足。一、CSS缺少冗余，由于在工做组下只存在一个CSS配置实例，上面存放着ISA服务器的全部配置数据，也就是说，若是CSS不工做了，ISA服务器也就罢工了。二、须要证书保证策略存储服务器 CSS的安全，由于是工做组，全部阵列成员须要证书进行通信，配置比较复杂。三、针对阵列的通信和管理须要本地账号，这样就会和公司内部的密码策略会产生违背，不符合公司IT管理的合规性。四、对于ISA服务器的验证，就须要配置Radius服务器，而且没法体验ISA2006的诸多验证方式。

      最后，言归正传，ISA Server不做为域成员是最安全的吗?这个答案是没有解答的，这须要根据你的实际应用来断定它应该工做哪一种环境下，但我提出我我的的观点就是，ISA服务器加入域是不会给企业带来风险的，而会给咱们带来ISA相关的更多更好的体验，特别是在身份验证方面，加入域会给咱们管理带来不少的便利。

Technorati 标签: ISA