Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Présentation technique de Microsoft Internet Security and Acceleration Server (ISA Server) 2000 (2)

Sommaire

Mise en cache Web pour un accès rapide

La mise en cache peut améliorer de manière considérable la performance du réseau, en réduisant le trafic et la latence, et en améliorant l’expérience des utilisateurs en offrant un accès plus rapide. Elle permet également d’économiser la bande passante réseau en stockant et en desservant localement les contenus les plus fréquemment demandés.

ISA Server inclut un cache Web évolutif qui améliore la performance du navigateur client, diminue le temps de réponse de l’utilisateur et réduit la consommation de la bande passante des connexions Internet. La mise en cache peut aussi être utilisée pour distribuer le contenu autour d’un réseau interne ou à plusieurs points de connexion au réseau (POP, Points of Presence) autour d’Internet, rapprochant le contenu fréquemment consulté par des utilisateurs pour économiser la bande passante et améliorer leur expérience.

La mise en cache peut être déployée afin d’améliorer la performance pour les utilisateurs du réseau (interne) accédant aux ressources sur Internet (externe). Elle est aussi appelée « accélération du navigateur » ou « mise en cache avant ». ISA Server peut aussi être déployé dans une configuration « d’accélération serveur », ou « mise en cache inversée », pour améliorer et accélérer l’accès des utilisateurs externes aux serveurs Web internes.

ISA Server offre un cache très performant et évolutif. La mise en cache RAM et une utilisation efficace du disque réduisent la latence et garantissent un accès rapide au contenu mis en cache. Avec ISA Server Enterprise Edition, vous pouvez distribuer le cache dans un groupe de serveurs pour agir comme un cache virtuel à haute capacité, fractionnant la charge pour une meilleure évolutivité, offrant un service d’équilibrage de charge automatique et de tolérance aux pannes.

Fonctionnalités de mise en cache pour le Web ISA

Les fonctionnalités clés de la mise en cache pour le Web de ISA Server sont les suivantes :

  • Cache pour le Web très performant

  • évolutivité

  • Mise en cache distribuée et hiérarchique

  • Mise en cache active

  • Téléchargement de contenu planifié

  • Prise en charge de la diffusion multimédia par flux

  • Contrôle du cache programmable

Cache pour le Web très performant

La mise en cache RAM rapide et la banque de cache disque optimisée de ISA Server accélèrent l’accès au Web et économisent la bande passante réseau. Le service proxy Web de ISA Server maintient un cache d’objets Web et tente de satisfaire aux requêtes du client à partir du cache. Si la requête ne peut pas être satisfaite à partir du cache, l’ordinateur ISA Server initie une nouvelle requête de la part du client. Une fois que le serveur Web distant répond à l’ordinateur ISA Server, ce dernier met en cache la réponse à la requête du client d’origine et envoie une réponse au client.

La mise en cache RAM de ISA Server garde les éléments « les plus fréquents » dans la mémoire RAM. Elle optimise le temps de réponse en récupérant ces éléments de la mémoire et non du disque. La banque de cache disque optimisée de ISA Server minimise l’accès au disque pour les opérations de lecture et d’écriture. Ces techniques optimisent le temps de réponse et la performance d’ensemble du système.

ISA Server prend en charge la mise en cache avant pour les requêtes sortantes vers Internet. ISA Server prend également en charge la mise en cache inversée pour les requêtes entrantes vers le serveur Web d’une entreprise. Les clients à la mise en cache avant et inversée tirent profit de la gamme complète des fonctionnalités de mise en cache et de routage de ISA Server.

ISA Server inclut un serveur redirecteur HTTP qui permet aux clients pare-feu et SecureNAT de bénéficier des fonctionnalités de mise en cache sans aucune configuration supplémentaire sur le navigateur Web client. Lorsque le redirecteur HTTP est activé, les requêtes Web des clients pare-feu et SecureNAT peuvent être mises en cache.

évolutivité

Avec ISA Server Enterprise Edition, vous pouvez déployer votre cache de plusieurs manières simples et efficaces. Vos ordinateurs ISA Server individuels peuvent être déployés en ajoutant plus de processeurs (en utilisant SMP), plus de disques et plus de mémoire RAM (ISA Server Standard Edition , peut évoluer en ajoutant plus de processeurs, quatre au maximum ; cependant, la Standard Edition n’évolue pas en groupe).

De plus, l’utilisation du protocole CARP (Cache Array Routing Protocol) permet aux ordinateurs ISA Server Enterprise Edition, d’être réunis en groupes qui sont affichés et gérés comme un cache logique partitionné. Un groupe peut être utilisé pour offrir des services de tolérance aux pannes, d’équilibrage de charge et de mise en cache distribuée. Les groupes permettent non seulement à un groupe d’ordinateurs ISA Server d’être traité et géré comme une entité logique et unique, mais aussi d’améliorer la performance et d’économiser la bande passante. Les groupes permettent aux requêtes des clients d’être distribuées entre plusieurs ordinateurs ISA Server, ce qui améliore le temps de réponses des clients. De plus, la charge étant distribuée entre tous les serveurs dans le groupe, vous pouvez obtenir un bon niveau de performance même avec un matériel modeste.

D’autres fonctionnalités permettent d’améliorer l’évolutivité de ISA Server, parmi lesquelles :

  • Multi-traitement symétrique : ISA Server a été conçu pour être plus performant avec plusieurs processeurs en optimisant la technologie de multi-traitement symétrique (SMP, Symmetrical Multiprocessing) de Windows 2000. Contrairement à de nombreux autres produits, ISA Server utilise la puissance de traitement supplémentaire pour accroître la performance ;

  • équilibrage de la charge réseau : ISA Server utilise le service d’équilibrage de charge réseau (NLB, Network Load Balancing) de Windows 2000 Advanced Server afin de prendre en charge la tolérance aux pannes et d’assurer une disponibilité, une efficacité et une performance élevées grâce au clustering de plusieurs ordinateurs ISA Server. Le service NLB est particulièrement utile pour les configurations de déploiement incluant le pare-feu, le cache inversé (publication Web) et la publication serveur ;

  • CARP : pour le cache avant, ISA Server Enterprise Edition, utilise le protocole CARP (Cache Array Routing Protocol) pour permettre une évolution transparente et une efficacité extrême lors de l’utilisation d’un groupe d’ordinateurs ISA Server. Le protocole CARP utilise un routage basé sur le hachage afin d’assurer un « chemin pour la résolution de requêtes » prévisible au travers d’un groupe. Le chemin pour la résolution de requêtes, basé sur un hachage des identités et des URL des membres du groupe, signifie que pour une requête d’URL donnée, l’explorateur ou le serveur proxy en aval connaît l’emplacement exact du stockage de l’information dans le groupe, et ce, qu’elle ait été déjà mise en cache à partir d’une requête précédente ou qu’elle soit livrée et mise en cache sur Internet pour la première fois. CARP élimine le contenu en double qui se produit autrement sur un groupe de serveurs cache, en offrant une distribution uniforme de la charge et une évolution positive. Il s’ajuste automatiquement pour ajouter ou supprimer des serveurs dans le groupe. Le routage basé sur le hachage signifie que lorsqu’un serveur est mis hors ligne ou ajouté, seul une réallocation minimale des emplacements cache des URL est requise.

Mise en cache distribuée et hiérarchique

Vous pouvez configurer votre réseau pour placer des caches le plus près possible des utilisateurs ou dans des configurations chaînées avec des routes multiples et secondaires. Ce scénario est très efficace dans un modèle de filiales interconnectées hiérarchiquement.

Avec ISA Server Enterprise Edition, la mise en cache du contenu est distribuée dans un groupe d’ordinateurs ISA Server Enterprise Edition. En distribuant la charge des objets mis en cache, ISA Server améliore la performance de la mise en cache et tolère les pannes au cas où un ordinateur ISA Server deviendrait indisponible.

ISA Server prend également en charge la mise en cache chaînée (ou hiérarchique). Le terme chaînage réfère à une connexion hiérarchique entre des ordinateurs ISA Server individuels ou des groupes d’ordinateurs ISA Server Enterprise Edition. Les requêtes des clients sont envoyées en amont par le biais de la chaîne de serveurs cache jusqu’à ce que l’objet requis soit trouvé. Le chaînage est un moyen efficace pour répartir la charge des serveurs et la tolérance aux pannes.

Vous pouvez organiser des ordinateurs ISA Server dans une hiérarchie pour une utilisation par des filiales ou des départements. Les requêtes des clients sont envoyées en amont par le biais de la hiérarchie jusqu’à ce que l’objet requis soit trouvé. Lorsque l’objet est situé sur un serveur en amont, il est mis en cache à chaque cache du serveur jusqu’à ce qu’il soit retourné au client.

Mise en cache distribuée et hiérarchique

La figure illustre le fonctionnement du chaînage. Elle présente un client d’une filiale requérant un objet Internet. La requête est envoyée à l’ordinateur ISA Server de la filiale, puis au siège social (régional ou global) avant d’être envoyée vers Internet. Après avoir récupéré l’objet à partir d’Internet, l’ordinateur ISA Server du siège social met en cache l’objet requis et le renvoie à l’ordinateur ISA Server de la filiale. à la filiale, l’ordinateur ISA Server met en cache l’objet puis le renvoie au client. La mise en cache hiérarchique est utile dans ce scénario au fur et à mesure que les objets sont initialement routés par le biais du siège social vers Internet tandis que les requêtes suivantes pour le même objet sont traitées directement à partir des groupes d’ordinateurs ISA Server de la filiale.

La mise en cache chaînée est très importante car elle permet à la mise en cache de prendre place plus près des utilisateurs. Par exemple, au sein d’une entreprise, la mise en cache peut se déplacer d’un emplacement central et unique à la périphérie du réseau d’une organisation vers les niveaux de la filiale et du groupe de travail. Avec un fournisseur d’accès Internet (FAI), la mise en cache peut se déplacer vers un point de présence régional par opposition à un point de présence central. De plus, la mise en cache chaînée offre un service de tolérance aux pannes en ce sens qu’elle offre une route secondaire lorsque la route primaire ne fonctionne pas.

Routage du proxy Web

Les règles de routage du proxy Web poussent le concept de chaînage un peu plus loin en vous permettant de router conditionnellement des requêtes en fonction de la destination. Par exemple, une organisation avec une filiale au Royaume-Uni peut installer un ordinateur ISA Server à la filiale. Le groupe de la filiale peut être connecté à un FAI au Royaume-Uni. Une règle de routage sur l’ordinateur ISA Server de la filiale pourrait diriger les requêtes pour les hôtes Internet au Royaume-Uni vers le FAI local, tandis que toutes les autres requêtes seraient dirigées vers le groupe ISA Server au siège social. De cette manière, l’ordinateur ISA Server en aval, à la filiale au Royaume-Uni, bénéficie du cache ISA Server au siège social. De plus, la mise en cache supplémentaire d’objets locaux (récupérés du FAI local) sur l’ordinateur ISA Server de la filiale local accroît cet avantage.

Routage du proxy Web

La figure ci-dessus illustre la manière dont les requêtes du proxy Web peuvent être routées sur différents serveurs en fonction de la destination requise. Ici, l’ordinateur ISA Server de la filiale route les requêtes des clients pour tous les sites domestiques vers Internet. Les requêtes des clients pour tous les autres sites sont routées vers l’ordinateur ISA Server en amont au siège social.

Authentification chaînée

ISA Server prend en charge l’authentification chaînée lors du routage de requêtes vers un serveur en amont. Les requêtes sont chaînées vers un serveur en amont lorsque les règles de routage ISA Server sont configurées de la sorte. Avant que la requête ne soit routée, l’ordinateur ISA Server en aval peut demander à ce que le client s’authentifie. De plus, lorsque la requête est routée, le serveur en amont peut aussi demander une authentification. Dans ce cas, l’ordinateur ISA Server en aval passe les informations d’authentification du client au serveur en amont.

De temps en temps, il est possible que le serveur en amont ne puisse pas identifier les clients qui requièrent l’objet. Dans ce cas, l’ordinateur ISA Server en aval peut passer ses propres informations, principalement en se faisant passer pour le client faisant la requête, au serveur en amont. Lorsque vous configurez les paramètres du serveur en aval, vous spécifiez le compte à utiliser lors du passage de requêtes de clients vers un serveur en amont. De plus, le serveur en amont peut déléguer l’authentification du client au proxy en aval. Dans ce cas, le serveur en amont authentifie seulement le serveur en aval qui, à son tour, s’occupe de l’authentification du client actuel.

Mise en cache active

La mise en cache active vous aide à optimiser l’utilisation de la bande passante grâce à l’actualisation proactive du contenu fréquemment consulté. ISA Server peut être configuré pour mettre à jour automatiquement les objets dans un cache. Grâce à la mise en cache active, les objets qui sont consultés fréquemment sont automatiquement mis à jour avant leur expiration lors de périodes de trafic réseau faible.

La mise en cache active constitue un moyen de maintenir les objets dans le cache actualisés en les comparant au serveur Web d’origine avant que l’objet n’arrive à expiration et qu’un client n’y accède. L’objectif est d’accélérer les accès clients qui nécessitent normalement un aller-retour au serveur d’origine afin de revalider les données. étant donné la dépense associée à cette fonctionnalité (au niveau du traitement du proxy et de la bande passante réseau), l’objectif est d’actualiser uniquement les objets qui sont susceptibles d’être consultés à l’avenir par un client. La popularité au plus pur ne constitue pas un guide valable car de nombreuses pages populaires n’expirent jamais en raison de l’actualisation manuelle des pages par les clients pour maintenir les données actualisées. De plus, un objet peut être populaire pour une courte période de temps. Le code de mise en cache active tente d’identifier les objets correspondant précisément au schéma du contenu consulté, qui pourraient bénéficier de l’actualisation active, à savoir les objets qui expirent et qui sont ensuite sollicités par un client.

Durée de vie d’un objet mis en cache activement.

  1. Un objet est demandé par un client (peut-être pour la première fois), puis téléchargé.

  2. Il arrive à expiration.

  3. Si un client accède à cet objet en un temps inférieur à « N » de ses périodes de durée de vie (TTL, Time To Live), il est ajouté à la liste de cache actif.

  4. Tant que l’on y accède au moins une fois au cours des « n » périodes TTL après avoir été actualisé, il reste dans la liste de cache actif.

  5. Lorsqu’il est dans la liste de cache actif, l’objet est actualisé avant qu’il n’arrive à expiration. L’heure exacte à laquelle il est actualisé dépend du niveau d’activité du proxy. Si le proxy est relativement inoccupé, l’objet est actualisé lorsqu’il arrive environ à moitié de son délai d’expiration. Si le proxy est très occupé, il n’est pas actualisé avant son expiration. D’autres valeurs intermédiaires du niveau d’activité du proxy entraînent des actualisations intermédiaires.

  6. Si l’objet n’est pas consulté au cours de cette période, il est supprimé de la liste et doit satisfaire au critère d’origine pour retrouver sa place dans la liste.

Téléchargement de contenu planifié

ISA Server étend plus encore la performance de la mise en cache grâce à une fonctionnalité de téléchargement de cache personnalisable. Vous pouvez utiliser la fonctionnalité de téléchargement de contenu planifié de ISA Server pour télécharger le contenu HTTP directement dans le cache de l’ordinateur ISA Server, sur demande ou conformément au plan. Cela vous permet de mettre à jour le cache de l’ordinateur ISA Server avec le contenu HTTP dont vous pensez qu’il sera demandé par les clients de votre organisation. Ce contenu peut être atteint directement à partir du cache de l’ordinateur ISA Server au lieu de l’être à partir d’Internet.

Vous pouvez télécharger une URL unique, plusieurs URL ou un site Web entier. Lorsque vous créez un travail de téléchargement de contenu dans le cache planifié, vous pouvez limiter le contenu à télécharger. Par exemple, vous pouvez limiter le téléchargement à un domaine unique. De manière similaire, vous pouvez limiter le nombre de liens à suivre. Vous pouvez aussi limiter le téléchargement à du contenu texte. Lorsque vous planifiez un téléchargement de contenu, vous pouvez configurer la mise en cache de contenu dynamique en configurant le cache ISA Server pour stocker les objets, même si les en-têtes de contrôle de cache HTTP indiquent qu’il n’est pas nécessaire qu’ils soient mis en cache. Le téléchargement est effectué conformément à un calendrier préconfiguré et au besoin périodique.

Vous pouvez configurer les travaux de téléchargement de contenu planifiés pour des requêtes Web sortantes et entrantes. Pour les requêtes Web sortantes, vous déterminez les objets qui sont le plus souvent demandés par les utilisateurs Internet. Vous pouvez planifier des travaux qui récupèrent les objets à partir d’Internet et les charger dans le cache. Pour les requêtes Web entrantes, vous pouvez planifier des travaux de téléchargement de contenu qui récupèrent le contenu de vos serveurs Web internes et qui maintiennent le contenu dans le cache de l’ordinateur ISA Server.

Prise en charge de la diffusion multimédia par flux

Microsoft ISA Server offre un filtre de diffusion multimédia par flux qui permet de prendre en charge de manière transparente les formats multimédias populaires. De plus, le fractionnement de flux multimédias en direct sur la passerelle peut économiser la bande passante. Les clients pare-feu et SecureNAT peuvent désormais avoir accès aux protocoles de diffusion multimédia par flux pour accéder à des serveurs de diffusion multimédia par flux tels que Microsoft WMT (Windows Media Technology) Server. Ces protocoles sont :

  • le protocole MMS (Microsoft Windows Media), qui permet l’accès client et la publication serveur sur Windows Media Player ;

  • le protocole PNN (Progressive Networks), qui permet l’accès client et la publication serveur sur RealPlayer ;

  • le protocole RSTP (Real Time Streaming Protocol), qui permet l’accès client et la publication serveur sur RealPlayer G2 et QuickTime 4.

Contrôle du cache programmable

Microsoft ISA Server inclut des fonctionnalités de contrôle de cache. Celles-ci permettent aux objets mis en cache d’être chargés ou supprimés de manière programmée à l’aide de l’API de mise en cache. Vous pouvez spécifier si certains types d’objets HTTP doivent être mis en cache par ISA Server :

  • les objets dont la taille est supérieure à une taille spécifiée ;

  • les objets dont la dernière date de modification n’est pas spécifiée ;

  • les objets qui n’ont pas une réponse de 200 ;

  • les objets avec des points d’interrogation dans leur URL.

Dans un scénario de pontage SSL, ISA Server peut mettre en cache des objets HTTP et SSL. Vous pouvez aussi utiliser l’objet COM FPCWebRequestConfiguration pour décider si les objets SSL doivent être mis en cache.

Sécurité accrue grâce à la mise en cache

ISA Server accroît la sécurité même lorsqu’il est utilisé uniquement en mode de mise en cache car il vous permet d’utiliser une stratégie d’accès pour restreindre l’accès aux données. Par exemple, les règles de sites et de contenus peuvent empêcher des utilisateurs particuliers d’accéder à des sites, même si vous n’utilisez pas le mode de pare-feu. ISA Server autorise la mise en cache à la fois du contenu interne et du contenu externe, de sorte que les organisations peuvent bénéficier de la vitesse et de l’efficacité accrues de la mise en cache tout en contrôlant l’accès des employés et d’autres personnes à des sites Internet restreints par une stratégies ou à des données propriétaires à l’intérieur de l’entreprise.

Gestion unifiée et intégration avec Windows 2000

ISA Server tire profit de la gestion unifiée issue de l’intégration avec Windows 2000. Vous pouvez gérer les utilisateurs, la configuration et les règles ISA Server avec le service Active Directory de Windows 2000. L’authentification, les services réseau, les outils de gestion et le contrôle de la bande passante étendent les technologies de Windows 2000. ISA Server est basé sur la technologie de Windows 2000 afin d’offrir une sécurité, une performance et une gestion avancées. La liste ci-dessous regroupe les technologies de Windows 2000 sur lesquelles ISA Server a été basé pour offrir un meilleur niveau de sécurité, de performance et de gestion.

  • Traduction d’adresses réseau (NAT, Network Address Translation). ISA Server est fourni avec SecureNAT, une extension de la technologie NAT intégrée à Windows 2000 Server.

  • Réseau privé virtuel intégré (VPN). ISA Server peut être configuré comme un serveur VPN pour prendre en charge les communications de type « passerelle vers passerelle » sécurisées ou les communications à accès distant de type « client vers passerelle » sur Internet. Le VPN intégrant les normes de Windows 2000 prend en charge les protocoles PPTP (Point-to-Point Tunneling Protocol) et L2TP/IPSec (Layer 2 Tunneling Protocol/Internet Protocol Security).

  • Authentification. ISA Server prend en charge les méthodes d’authentification de Windows, y compris les certificats Basic, NTLM, Kerberos et numériques.

  • Renforcement du système. ISA Server utilise les modèles de sécurité de Windows 2000 pour verrouiller le système d’exploitation à différents niveaux de sécurité.

  • Stockage dans Active Directory. Dans des groupes multi-serveurs, les informations de configuration et de stratégies de ISA Server Enterprise Edition, sont stockées de manière centrale dans Active Directory. De plus, ISA Server peut appliquer des contrôles d’accès aux utilisateurs et aux groupes définis dans Active Directory.

  • Gestion des stratégies par niveau. En combinant Active Directory avec ISA Server Enterprise Edition, l’administrateur de l’entreprise peut définir une ou plusieurs stratégies d’entreprise et les appliquer aux groupes dans l’entreprise. Cette approche permet une gestion par niveau de l’accès ainsi qu’un modèle d’administration évolutif.

  • Administration de la console MMC (Microsoft Management Console). L’interface de gestion de ISA Server est un composant logiciel enfichable MMC offrant à la fois un affichage des blocs de tâches et un affichage avancé pour la navigation. La console MMC d’administration ISA est extensible et permet d’intégrer des produits tiers en toute transparence, offrant ainsi une interface de gestion unique.

  • Qualité de service (QoS, Quality of Service). ISA Server permet de gérer le contrôle de la bande passante, exploitant la technologie QoS de Windows 2000 consistant à donner la priorité au trafic des données.

  • Prise en charge de plusieurs processeurs. ISA Server tire profit de l’architecture à multi-traitement symétrique (SMP, Symmetrical Multiprocessing) de Windows 2000 pour développer la performance avec des ordinateurs à plusieurs processeurs (ISA Server Standard Edition , peut prendre en charge quatre processeurs au maximum).

  • Découverte automatique côté client. En prenant en charge les technologies WPAD et WSPAD, les navigateurs Internet peuvent découvrir automatiquement l’ordinateur ISA Server sur le réseau sans avoir à configurer les clients.

  • Objet COM d’administration. ISA offre un accès par programmation au moteur des règles et à toutes les options administratives.

  • Filtres Web. Les filtres Web de ISA Server, basés sur l’interface ISAPI, peuvent inspecter ou contrôler le trafic HTTP et FTP au niveau de la passerelle.

  • Alarmes. Les alarmes ISA Server peuvent consigner des événements dans le journal des événements de Windows 2000.

Administration intégrée

ISA Server vous permet d’administrer le pare-feu, le cache Web et les services du proxy avec un ensemble cohérent d’outils et de règles, y compris le contrôle d’accès, la création de rapports, la mise en place d’alarmes et l’analyse. ISA Server combine à la fois les fonctionnalités de pare-feu et de cache à la « périphérie du réseau » dans un seul produit. Il peut être intégré dans un serveur unique ou un groupe de serveurs, ou déployé d’une manière modulaire en utilisant des machines séparées pour chaque composant tout en partageant l’administration et la stratégie. La gestion unifiée de ISA Server permet de gérer à la fois la sécurité du réseau et la performance Web. Au moyen d’une interface unique, les administrateurs peuvent définir des stratégies d’accès qui sont appliquées à la fois au pare-feu et au cache, offrant un contrôle cohérent de l’accès à Internet.

Contrôle de l’accès par stratégie

Grâce au contrôle de l’accès par stratégie, vous pouvez mettre en place une stratégie d’utilisation d’Internet en contrôlant l’accès par utilisateur, groupe, application, destination, calendrier et type de contenu. De nombreuses entreprises possèdent des stratégies d’utilisation, expliquées dans un manuel ou dans un document destiné au personnel, définissant les accès autorisés, restreints ou interdits des utilisateurs. ISA Server permet à une organisation de garantir que ses employés et utilisateurs externes satisfont à ces stratégies en inspectant toutes les requêtes entrantes et sortantes et en appliquant ces règles d’accès.

Les règles de ISA Server sont basées sur des éléments prédéfinis, personnalisables, extensibles et réutilisables, notamment :

  • des ensembles d’adresses de clients : adresses IP ou ,avec Active Directory, des utilisateurs et des groupes authentifiés ;

  • des ensembles de destination : adresses URL ;

  • des protocoles ;

  • des groupes de contenu (pour le trafic HTTP et FTP mis en tunnel) : types MIME et extensions de fichiers ;

  • des calendriers ;

  • des priorités de bande passante.

Une fois que ces éléments ont été définis, ils sont utilisés pour créer une stratégie d’accès, comprenant des règles de protocoles et des règles de sites et de contenus. Les règles de protocoles définissent les protocoles qui peuvent être utilisés pour communiquer entre le réseau local et Internet. Par exemple, une règle de protocole peut permettre à des clients d’utiliser le protocole HTTP. Les règles de sites et de contenus définissent le contenu de sites Internet spécifiques qui peut être consulté par les clients derrière l’ordinateur ISA Server. Par exemple, une règle de protocole peut permettre à des clients d’accéder à n’importe quelle destination Internet. Les règles de protocoles et les règles de sites et de contenus sont toutes deux traitées au niveau de l’application.

Les règles d’accès ne sont pas classées. Toutefois, les règles refusant l’accès sont prioritaires par rapport à celles qui autorisent l’accès.

Les règles d’accès s’appliquent au contenu stocké dans le cache ISA Server ainsi qu’au contenu franchissant le pare-feu. Ce contrôle d’accès unifié garantit que la stratégie d’utilisation de l’entreprise est mise en place de manière permanente, même pour le contenu mis en cache à l’intérieur du réseau. L’autorisation de l’utilisateur est requise pour accéder à tout contenu, peu importe son emplacement sur le réseau.

Des assistants vous offrent une assistance pas à pas pour créer de nouveaux éléments de stratégie et de nouvelles règles, vous assurant que toutes les informations requises sont incluses.

Les règles d’accès s’appliquent à tous les types de clients : les clients pare-feu, SecureNAT et proxy Web.

En plus de la stratégie d’accès à Internet, vous pouvez configurer une stratégie de publication pour les requêtes entrantes. Celle-ci comprend des règles de publication serveur et des règles de publication Web. Les règles de publication serveur filtrent toutes les requêtes entrantes et les connectent aux serveurs appropriés derrière l’ordinateur ISA Server. Les règles de publication serveur mappent les requêtes entrantes vers les serveurs Web appropriés derrière l’ordinateur ISA Server.

Stratégie par niveau

ISA Server Enterprise Edition, prend en charge deux types de stratégie : l’une au niveau des groupes et l’autre au niveau de l’entreprise. La stratégie d’accès au niveau des groupes (stratégie locale) est utilisée pour les serveurs et les groupes autonomes. En tant qu’administrateur de l’entreprise, vous pouvez définir des éléments de stratégie et des règles au niveau de l’entreprise. Vous pouvez sélectionner une stratégie d’entreprise centralisée qui s’applique à tous les groupes de l’entreprise ou une stratégie plus flexible au moyen de laquelle chaque administrateur de groupe peut définir une stratégie locale. La stratégie d’entreprise peut être appliquée à un groupe quelconque et peut être complétée par une stratégie propre au groupe.

Vous pouvez créer des stratégies au niveau de l’entreprise et des groupes locaux afin de les appliquer de manière centralisée ou locale. Vous pouvez installer ISA Server en tant que serveur autonome ou en tant que membre d’un groupe (dans ce cas, avec ISA Server Enterprise Edition). Les membres d’un groupe partagent la même configuration, facilitant la gestion et l’administration. Lorsque vous modifiez la configuration d’un groupe, tous les ordinateurs ISA Server au sein du groupe sont également modifiés, notamment toutes leurs stratégies d’accès et de cache.

L’administration centralisée peut aussi signifier une plus grande sécurité. Toutes les tâches administratives peuvent être accomplies depuis un ordinateur et la configuration est appliquée à tous les serveurs, garantissant qu’ils disposent tous des mêmes stratégies d’accès. Cela est particulièrement utile dans les organisations de taille importante où les groupes peuvent regrouper de nombreux ordinateurs ISA Server.

Stratégie de groupe

Vous pouvez créer des règles de sites et de contenus, des règles de protocoles, des filtres de paquets IP, des règles de publication Web et des règles de publication serveur au niveau d’un groupe. Ces règles forment une stratégie de groupe. La stratégie de groupe détermine la manière dont les clients ISA Server communiquent avec Internet et les types de communication autorisés. Comme son nom l’indique, la stratégie de groupe s’applique uniquement aux ordinateurs ISA Server du groupe.

Stratégie d’entreprise

L’entreprise pousse cette gestion centralisée encore plus loin, en vous permettant d’implémenter une ou plusieurs stratégies d’entreprise, comprenant les règles de sites et de contenus, et les règles de protocoles. Une stratégie d’entreprise peut être appliquée à un groupe et peut être complétée par une stratégie propre au groupe. Cette approche met en œuvre les stratégies d’entreprise au niveau des filiales et des départements, tout en permettant aux administrateurs locaux de restreindre davantage l’accès.

Vous pouvez déterminer la manière dont une stratégie d’entreprise devrait être utilisée par les administrateurs de groupe dans l’organisation. L’administrateur de l’entreprise peut choisir d’adopter une stratégie très restrictive. Dans ce cas, aucune stratégie de groupe ne peut être configurée. à l’opposé, l’administrateur de l’entreprise peut implémenter une stratégie très libérale, permettant aux administrateurs de groupe de définir des règles. Dans ce cas, aucune stratégie d’entreprise n’est appliquée au groupe. Vous pouvez également suivre une approche mixte en autorisant des stratégies de groupe tout en mettant en œuvre une stratégie d’entreprise. Dans ce scénario, l’administrateur de groupe peut définir les règles d’une stratégie de groupe qui restreignent alors plus la stratégie d’entreprise.

Par exemple, une stratégie d’entreprise peut uniquement autoriser l’accès à des adresses HTTP et refuser toute communication utilisant une autre définition de protocole. Un groupe qui suit cette stratégie d’entreprise peut ajouter une règle qui restreint l’utilisation du protocole HTTP. La stratégie de groupe ne peut toutefois pas contredire la stratégie de l’entreprise et autoriser un mode de communication en utilisant d’autres protocoles.

Interface utilisateur intuitive

Vous administrez ISA Server avec une interface MMC, des blocs de tâches graphiques et des assistants qui simplifient la gestion de la sécurité et du cache, rendant la gestion ISA puissante et facile à utiliser. L’interface est également extensible au moyen des objets COM d’administration ISA Server. Un Guide de mise en route, un ensemble puissant « d’assistants » et un bloc de tâches facilitent le déploiement et la personnalisation. Les administrateurs de réseau ont à leur disposition des outils puissants pour surveiller, consigner des événements dans des journaux, définir des alarmes et générer des rapports. ISA tire également profit d’une intégration étroite avec Windows 2000 pour vous permettre de rester concentrer sur la tâche et non l’outil.

Des études indiquent que les faiblesses au niveau de la sécurité sont le plus souvent causées par des pare-feu mal configurés et non par des erreurs de conception matérielles ou logicielles. Par conséquent, Microsoft a investi beaucoup d’efforts pour garantir la plus grande clarté possible au niveau de l’interface utilisateur et la présence des outils et des astuces nécessaires pour en simplifier l’administration. L’administrateur de ISA Server peut se concentrer sur les tâches prioritaires et mettre en œuvre la sécurité, définir les stratégies et accélérer l’accès à Internet au lieu de passer son temps à apprendre un outil pour accomplir les tâches souhaitées.

ISA Server possède une interface utilisateur cohérente qui a fait des applications et services de Microsoft un modèle global de cohérence de conception et de facilité d’utilisation.

MMC (Microsoft Management Console)

L’interface de gestion de ISA Server est un composant logiciel enfichable MMC offrant à la fois un affichage des blocs de tâches et un affichage avancé pour la navigation. Elle est utilisée pour accomplir une vaste gamme de tâches administratives, y compris la création de règles de protocoles, l’affichage de sessions et de rapports, la configuration de la consignation d’événements dans des journaux et d’alarmes, l’activation de la mise en cache active, la gestion de la bande passante, la gestion des groupes, etc. La console MMC d’administration ISA est extensible et permet d’intégrer des produits tiers en toute transparence, offrant ainsi une interface de gestion unique.

Blocs de tâches

Vous pouvez exécuter ISA Server en mode d’affichage Bloc de tâches ou Avancé. L’affichage des blocs des tâches comprend des raccourcis pour exécuter des tâches telles que le démarrage d’assistants, l’ouverture de pages de propriétés et de pages Web. Cet affichage est disponible pour la plupart des objets dans l’arborescence de la console.

Assistants

ISA Server est livré avec plusieurs « assistants » qui vous guident tout au long des étapes nécessaires à la création de règles, la publication de serveurs, le renforcement du système, etc. Parmi les assistants ISA, vous pouvez trouver :

  • l’Assistant Installation ;

  • l’Assistant VPN ISA local ;

  • l’Assistant VPN ISA distant ;

  • l’Assistant Création de règles de protocoles ;

  • l’Assistant Sécurité du système.

Aide en ligne

ISA Server possède un système d’aide en ligne complet, comprenant un index et des fonctions de recherche versatiles vous permettant de trouver rapidement les informations dont vous avez besoin.

Consignation des événements dans des journaux

ISA Server prend en charge la consignation approfondie des événements dans des journaux. Vous pouvez configurer la consignation des événements dans des journaux pour déclencher des alarmes. Une vaste gamme d’événements est consignée dans les journaux, des informations de gestion du réseau de base telles que les problèmes d’espace disque disponible et de configuration jusqu’aux alarmes de sécurité indiquant la violation d’une stratégies d’accès ou une attaque par des pirates.

ISA Server produit trois journaux : Filtre de paquets, Service proxy Web et Service de pare-feu. L’administrateur peut sélectionner parmi les trois formats de journaux mentionnés ci-dessous.

  • Fichier de format étendu W3C (par défaut) : les journaux W3C contiennent à la fois des données et des directives décrivant la version, la date et les champs consignés. Les champs étant décrits dans le fichier, les champs non sélectionnés ne sont pas consignés. La tabulation est utilisée comme caractère délimiteur. La date et l’heure sont à l’heure de Greenwich (GMT).

  • Format texte ISA Server : le format ISA contient uniquement des données sans directives. Tous les champs sont toujours consignés, les champs non sélectionnés sont consignés sous forme de tiret pour indiquer qu’ils sont vides. La virgule est utilisée comme caractère délimiteur. La date et l’heure sont à l’heure locale.

  • Consignation d’événements dans une base de données OBDC (Open Database Connectivity), telle que Microsoft Access ou SQL Server™ : les fichiers journaux sont créés sur chaque ordinateur ISA Server dans le groupe en utilisant des paramètres de configuration à l’échelle du groupe. Pour des raisons de sécurité, vous devriez toujours consigner les événements dans des volumes NTFS. Les fichiers journaux enregistrés sur des partitions NTFS peuvent être compressés pour réduire l’espace disque requis.

Fonctionnalité intégrée de création de rapports

ISA Server inclut un ensemble de rapports prédéfinis qui peut être étendu par d’autres rapports de fournisseurs tiers. Les rapports prédéfinis sont mentionnés ci-après.

  • Rapports récapitulatifs. Les rapports récapitulatifs comprennent un ensemble de rapports qui illustrent l’utilisation du trafic réseau par application. Les rapports récapitulatifs combinent les données des journaux Service proxy Web et Service de pare-feu. Ces rapports peuvent être utiles à l’administrateur réseau ou à la personne gérant ou planifiant la connectivité Internet de l’entreprise.

  • Rapports d’utilisation du Web. Les rapports d’utilisation du Web comprennent un ensemble de rapports qui détaillent les principaux utilisateurs du Web, les réponses communes et les navigateurs. Les rapports sont basés sur les journaux service proxy Web. Ces rapports peuvent être utiles à l’administrateur réseau ou à la personne gérant ou planifiant la connectivité Internet de l’entreprise. Ils indiquent la manière dont le Web est utilisé dans une entreprise.

  • Rapports d’utilisation des applications. Les rapports d’utilisation des applications illustrent l’utilisation des applications Internet dans une entreprise : trafic entrant et sortant, utilisateurs principaux, applications clientes et destinations. Les rapports d’utilisation des applications sont basés sur les journaux de service de pare-feu. Ces rapports peuvent être utiles à l’administrateur réseau ou à la personne gérant ou planifiant la connectivité Internet de l’entreprise puisqu’ils permettent de planifier la capacité réseau et de déterminer les stratégies de bande passante.

  • Rapports de trafic et d’utilisation. Les rapports de trafic et d’utilisation illustrent l’utilisation totale d’Internet par application, protocole et direction, le trafic moyen et les connexions simultanées de pointe, le taux de présence en cache, les erreurs et d’autres statistiques. Les rapports de trafic et d’utilisation combinent les données des journaux Service proxy Web et Service de pare-feu. Ces rapports peuvent aider à planifier et à surveiller la capacité réseau et à déterminer les stratégies de bande passante.

  • Rapports de sécurité. Les rapports de sécurité illustrent les tentatives d’infraction à la sécurité du réseau. Les rapports sont basés sur les journaux des services proxy Web, de pare-feu et filtre à paquets. Les rapports de sécurité peuvent aider à identifier les attaques ou les infractions de sécurité avant qu’elles ne se produisent.

Surveillance et alarmes

La session d’observation en temps réel vous permet de faire le suivi des données de session en temps réel et des données d’analyse de la performance. Vous pouvez également définir des alarmes pour notifier un administrateur, arrêter un service ou exécuter un script suite à d’importants événements système. La fonctionnalité d’alarme de ISA Server notifie les administrateurs lorsque des événements spécifiés se produisent et peut déclencher une série d’actions lorsqu’un événement se produit. Le service d’alarme de ISA Server agit comme répartisseur et comme filtre d’événements. Il est responsable d’identifier les événements, de vérifier si certaines conditions sont remplies et d’exécuter les actions correspondantes.

Vous pouvez définir l’exécution de l’une ou plusieurs des actions suivantes suite à une situation d’alarme :

  • envoyer un message électronique ;

  • exécuter une commande ;

  • consigner l’événement dans le journal des événements de Windows 2000 ;

  • arrêter ou démarrer un service ISA Server : service de pare-feu ISA ou service proxy Web.

Vous pouvez utiliser l’outil d’administration de ISA Server pour afficher la liste complète des événements fournis avec ISA Server et pour configurer les actions qui devraient être déclenchées lorsqu’un événement se produit. Vous pouvez sélectionner l’événement qui déclenche une action d’alarme et limiter la condition à un serveur particulier dans le groupe. Vous pouvez également configurer les éléments ci-dessous.

  • Combien de fois l’événement doit-il se produire par seconde avant de déclencher une alarme (également appelé le seuil de l’événement) ?

  • Combien d’événements doit-il se produire avant de déclencher de nouveau l’alarme ?

  • Quel est le délai précédant le déclenchement d’une nouvelle alarme ?

Priorités de bande passante

Vous pouvez définir des priorités de bande passante pour optimiser l’allocation de ressources, accorder les priorités de bande passante par utilisateur, groupe, application, site de destination ou type de contenu. Avec ISA Server, vous pouvez contrôler l’utilisation de la bande passante en configurant des règles de bande passante. Les règles de bande passante déterminent le volume de bande passante qui devrait être alloué pour toute requête de connexion, conformément aux paramètres suivants :

  • une ou plusieurs définitions de protocoles ;

  • utilisateurs ou adresses IP ;

  • ensembles de destination ;

  • calendrier ;

  • types de contenu.

Vous pouvez définir la priorité de bande passante soit d’après la priorité de planification par défaut de Windows 2000, soit d’après une priorité de bande passante que vous avez précédemment configurée. Si vous sélectionnez l’option par défaut de Windows 2000, les communications spécifiées disposeront d’une bande passante réseau minimum.

Les règles de bande passante sont classées de telle sorte que la règle de bande passante par défaut est traitée en dernier. Pour chaque nouvelle connexion, l’ordinateur ISA Server traite les règles de bande passante dans l’ordre. La première règle est traitée en premier. Si la requête correspond aux conditions spécifiées par la règle, la priorité de bande passante est appliquée à la requête. Sinon, la règle suivante est traitée. Ce processus continue jusqu’à ce que la dernière règle par défaut soit traitée et appliquée à la requête.

Gestion de plusieurs serveurs

Les ordinateurs ISA Server Enterprise Edition, peuvent être regroupés en groupes. Un groupe est un groupe d’ordinateurs ISA Server Enterprise Edition, utilisé pour offrir des services de tolérance aux pannes, d’équilibrage de charge et de mise en cache distribuée. Les groupes permettent de traiter et de gérer un groupe d’ordinateurs ISA Server Enterprise Edition, comme une entité logique et unique.

Tous les serveurs dans le groupe partagent une configuration commune. Cela permet de réduire les dépenses de gestion puisque le groupe n’est configuré qu’une seule fois et que la configuration est appliquée à tous les serveurs du groupe. Par ailleurs, vous pouvez appliquer une stratégie d’entreprise à un groupe, ce qui vous permet de centraliser la gestion pour toutes les groupes de votre entreprise.

Gestion à distance

ISA Server prend en charge la gestion à distance des ordinateurs ISA Server en utilisant la console MMC, les services Terminal Server de Windows 2000 ou les scripts de ligne de commande DCOM. Vous pouvez gérer à distance un ordinateur ISA Server en appliquant l’une des méthodes ci-dessous.

  • Installation d’ISA Management et connexion à l’ordinateur ISA Server

  • Exécution du client Terminal Server et connexion à l’ordinateur ISA Server

  • Administration à distance en utilisant ISA Management

Lors du processus d’installation, vous pouvez choisir d’installer uniquement ISA Management. Une fois l’installation terminée, vous pouvez exécuter ISA Management et vous connecter à un ordinateur ISA Server distant pour le gérer.

Pour gérer un ordinateur ISA Server distant, vous devez être membre du groupe Administrateurs ou Opérateurs de serveur sur l’ordinateur distant. Par ailleurs, le compte utilisateur et l’ordinateur serveur doivent tous deux être membres du même domaine ou se trouver dans des domaines approuvés.
<< 1 2 3 >>

Dernière mise à jour le mercredi 21 mars 2001

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.