ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Политика доступа брандмауэра ISA (известная так же как политика брандмауэра) включает правила публикации Web-сервера (Web Publishing Rules), правила публикации сервера (Server Publishing Rules) и правила доступа (Access Rules). Правила публикации Web-сервера и обычного сервера используются для предоставления входящего доступа (inbound access), а правила доступа применяются для управления исходящим доступом (outbound access). Концепции входящего и исходящего доступа в новом брандмауэре ISA более запутаны по сравнению с интерпретацией этих понятий в ISA Server 2000. Это объясняется тем, что ISA Server 200базировался на таблице локальных адресов (Local Address Table, LAT) и определения входящего и исходящего доступа были связаны с этой таблицей. Входящий доступ определялся как входящие соединения хоста, не имеющего таблицы локальных адресов, с хостами (внешними и внутренними) на базе LAT. У нового брандмауэра ISA нет таблицы локальных адресов и не существует концепции «внутренней» сети, подобной внутренней сети в ISA Server 2000, определяемой таблицей локальных адресов. Вообще правила публикации Web-северов и обычных серверов следует применять, если необходимо разрешить соединения хоста, не входящего в сеть, защищенную брандмауэром ISA, с хостом, размещенным в сети, защищенной брандмауэром ISA. Правила доступа применяются для управления соединениями между любыми двумя сетями. Существует единственное ограничение — нельзя создать правила доступа для управления соединением между сетями, использующими средства преобразования сетевых адресов (Network Address Translation, NAT), если инициирующий связь хост находится в узле сетевого соединения, не применяющего NAT. Предположим, что имеется связь с преобразованием сетевых адресов между стандартной внутренней сетью (internal network) и Интернетом. Можно создать правила доступа, которые управляют соединением между внутренней сетью и Интернетом, потому что инициирующие связь хосты находятся на стороне, использующей преобразование сетевых адресов. Но невозможно сформировать правило доступа для соединения и н тер нет-хоста и внутренней сети, поскольку интернетхосты находятся на стороне соединения, не применяющего средства NAT. Если определен маршрут между сетью-источником информации, или исходной сетью, и сетью-адресатом информации, можно создать правила доступа, действующие в обоих направлениях.