技术讲座--IT安全和管理系列一-课件

ISAServer2019新功能新功能趙驚人趙驚人趙驚人趙驚人資深講師資深講師資深講師資深講師精誠公司恆逸資訊教育訓練中心精誠公司恆逸資訊教育訓練中心精誠公司恆逸資訊教育訓練中心精誠公司恆逸資訊教育訓練中心 edu.uuu.tw edu.uuu.tw http:/msservermag.tw http:/msservermag.tw預先基礎需求熟悉技術：熟悉技術：WindowsServer2019WindowsServer2019的管理經驗的管理經驗的管理經驗的管理經驗ActiveDirectoryActiveDirectory的操作經驗的操作經驗的操作經驗的操作經驗了解知識：了解知識：防火牆的基本知識防火牆的基本知識防火牆的基本知識防火牆的基本知識網際網路通訊協定的經驗網際網路通訊協定的經驗網際網路通訊協定的經驗網際網路通訊協定的經驗Level200議程大綱什麼是什麼是ISAServer2019綜觀綜觀ISAServer2019新功能新功能安全應用程式發行安全應用程式發行Web存取保護存取保護分公司閘道分公司閘道VPN(Site-to-Site)什麼是什麼是ISAServer2019?什麼是 ISA Server 2019？ISA Server 2019 ISA Server 2019 是一個整合性的閘道器，用於保護是一個整合性的閘道器，用於保護ITIT環境，防止來環境，防止來自自InternetInternet的威脅，更能讓使用者安全地在任何時間的威脅，更能讓使用者安全地在任何時間、任何地點存取任何地點存取微軟應用程式與資料。微軟應用程式與資料。你可以使用你可以使用ISAServer2019做什麼？做什麼？安全的應用程式發佈安全的應用程式發佈分公司閘道分公司閘道網頁存取保護網頁存取保護強化微軟應用程式基強化微軟應用程式基礎架構的安全礎架構的安全網路合理化網路合理化防護防護IT環境環境ISA Server 2019 版本ISA2019標準版標準版ISA2019企業版企業版安裝 ISA Server 2019Den-DC-01Den-ISA-01DMZ內部網路內部網路Internet確認 ISA Server 2019 啟動ISAServer2019新功能新功能ISA Server 2019 簡介ISAServer2019是一套可延伸的企業級防是一套可延伸的企業級防火牆及網站快取伺服器。火牆及網站快取伺服器。藉由藉由ISAServer2019可以為企業網路提供可以為企業網路提供如下的特性：如下的特性：安全的安全的安全的安全的 InternetInternet連線連線連線連線快速的快速的快速的快速的 WebWeb存取存取存取存取一致性的管理一致性的管理一致性的管理一致性的管理可延伸的平台可延伸的平台可延伸的平台可延伸的平台高可用性、錯誤移轉及備援高可用性、錯誤移轉及備援高可用性、錯誤移轉及備援高可用性、錯誤移轉及備援綜觀 ISA Server 2019 新功能整合的安全整合的安全有效的管理有效的管理快速及安全存取快速及安全存取網頁存取保護網頁存取保護分公司閘道分公司閘道安全的應用程式發佈安全的應用程式發佈驗證驗證單次登入多重驗證(SSL 憑證)後端使用LDAP/RADIUS OTPKCD/NTLM/協議委派自訂表單驗證快取快取/頻寬頻寬Windows Update(BITS)快取HTTP 壓縮流量回復支援慢速線路的防火儲存區ISA2019ISA2019發佈發佈/保護保護自動連結轉換Exchange/SharePoint精靈網頁發佈負載平衡ISA Server 2019 新功能?發佈發佈/保護保護手動連結轉換驗證驗證後端使用Active Directory/RADIUSHTTP 基本驗證委派OWA 表單快取快取/頻寬頻寬防火牆儲存區部署在分公司綜觀 ISA Server 2019 新功能(續)保護您的保護您的 MicrosoftMicrosoft 應用程式基礎結構應用程式基礎結構以可設定狀況的封裝檢查、應用程式層的篩選和完以可設定狀況的封裝檢查、應用程式層的篩選和完以可設定狀況的封裝檢查、應用程式層的篩選和完以可設定狀況的封裝檢查、應用程式層的篩選和完善的發行工具來保護您公司的應用程式、服務和資善的發行工具來保護您公司的應用程式、服務和資善的發行工具來保護您公司的應用程式、服務和資善的發行工具來保護您公司的應用程式、服務和資料。料。料。料。效率化您的效率化您的 ITIT 網路網路統一的防火牆和加入統一的防火牆和加入統一的防火牆和加入統一的防火牆和加入 WebWeb快取、頻寬管理和完善快取、頻寬管理和完善快取、頻寬管理和完善快取、頻寬管理和完善存取控制的存取控制的存取控制的存取控制的 VPNVPN來簡化您的管理與使用者經驗。來簡化您的管理與使用者經驗。來簡化您的管理與使用者經驗。來簡化您的管理與使用者經驗。保護您的保護您的 ITIT 環境環境透過可深入掃描與封鎖有害內容和網站的細微原則透過可深入掃描與封鎖有害內容和網站的細微原則透過可深入掃描與封鎖有害內容和網站的細微原則透過可深入掃描與封鎖有害內容和網站的細微原則和完善工具，去除惡意程式碼和其他攻擊所造成的和完善工具，去除惡意程式碼和其他攻擊所造成的和完善工具，去除惡意程式碼和其他攻擊所造成的和完善工具，去除惡意程式碼和其他攻擊所造成的損害效果。損害效果。損害效果。損害效果。安全的應用程式發佈安全的應用程式發佈安全應用程式發佈整合的安全性整合的安全性增強的多重驗證機制增強的多重驗證機制增強的多重驗證機制增強的多重驗證機制(智慧卡、單次密碼智慧卡、單次密碼智慧卡、單次密碼智慧卡、單次密碼)LDAPLDAP驗證支援驗證支援驗證支援驗證支援可自訂表單型態的預先驗證可自訂表單型態的預先驗證可自訂表單型態的預先驗證可自訂表單型態的預先驗證增強的驗證委派增強的驗證委派增強的驗證委派增強的驗證委派(包括包括包括包括 NTLMNTLM、KerberosKerberos和和和和 SecurID)SecurID)改善的工作階段管理改善的工作階段管理改善的工作階段管理改善的工作階段管理有效的管理有效的管理提供提供提供提供 WebWeb發行負載平衡發行負載平衡發行負載平衡發行負載平衡提供提供提供提供 ExchangeExchange、SharePointSharePoint和其他和其他和其他和其他 WebWeb伺服器的伺服器的伺服器的伺服器的自動化工具自動化工具自動化工具自動化工具增強的憑證管理增強的憑證管理增強的憑證管理增強的憑證管理快速安全的存取快速安全的存取單一登入單一登入單一登入單一登入自動化連結轉換自動化連結轉換自動化連結轉換自動化連結轉換安全的應用程式發佈ExchangeIntranetWebServerSharePointADExternalWebServer管理者管理者使用者使用者ISA2019相容設備相容設備DMZ內部網路內部網路Internet總部總部整合的安全整合的安全有效率的管理有效率的管理支援智慧卡與單次密碼支援智慧卡與單次密碼自訂登入表單自訂登入表單使用使用LDAP LDAP 向向ADAD驗證驗證網頁發佈負載平衡網頁發佈負載平衡快速及安全的存取快速及安全的存取驗證委派驗證委派 (NTLM,(NTLM,Kerberos)Kerberos)加強閒置的加強閒置的SessionSession管理管理Exchange&SharePoint Exchange&SharePoint 發佈工具發佈工具加強管理憑證加強管理憑證單一登入可以用於多重資單一登入可以用於多重資源存取源存取自動轉換連結自動轉換連結Web 發行負載平衡當企業的網站需要提供給大量的使用者進行存取時，最快的解決方案便當企業的網站需要提供給大量的使用者進行存取時，最快的解決方案便當企業的網站需要提供給大量的使用者進行存取時，最快的解決方案便當企業的網站需要提供給大量的使用者進行存取時，最快的解決方案便是建構所謂的網站伺服器農場。然而該如何讓農場中的每一部伺服是建構所謂的網站伺服器農場。然而該如何讓農場中的每一部伺服是建構所謂的網站伺服器農場。然而該如何讓農場中的每一部伺服是建構所謂的網站伺服器農場。然而該如何讓農場中的每一部伺服器都可以適當的為使用者提供服務，則常見的作法有：器都可以適當的為使用者提供服務，則常見的作法有：器都可以適當的為使用者提供服務，則常見的作法有：器都可以適當的為使用者提供服務，則常見的作法有：DNSDNS輪詢。其優點為簡單、其缺點為缺乏容錯及負載平衡的效果。輪詢。其優點為簡單、其缺點為缺乏容錯及負載平衡的效果。輪詢。其優點為簡單、其缺點為缺乏容錯及負載平衡的效果。輪詢。其優點為簡單、其缺點為缺乏容錯及負載平衡的效果。WindowsNLBWindowsNLB。其優點為可以達到容錯及負載平衡的效果、其缺點為設定上較為複。其優點為可以達到容錯及負載平衡的效果、其缺點為設定上較為複。其優點為可以達到容錯及負載平衡的效果、其缺點為設定上較為複。其優點為可以達到容錯及負載平衡的效果、其缺點為設定上較為複雜。雜。雜。雜。為此為此為此為此 ISAServer2019ISAServer2019提供了第三種作法，也就是由提供了第三種作法，也就是由提供了第三種作法，也就是由提供了第三種作法，也就是由 ISAServerISAServer發佈發佈發佈發佈後端整個網站伺服器農場。其特性為設定上較後端整個網站伺服器農場。其特性為設定上較後端整個網站伺服器農場。其特性為設定上較後端整個網站伺服器農場。其特性為設定上較 NLBNLB容易，並且一樣可容易，並且一樣可容易，並且一樣可容易，並且一樣可以提供容錯及負載平衡的效果。以提供容錯及負載平衡的效果。以提供容錯及負載平衡的效果。以提供容錯及負載平衡的效果。負載平衡的部分可以採負載平衡的部分可以採負載平衡的部分可以採負載平衡的部分可以採 cookiebasedcookiebased或或或或 source-IPbasedsource-IPbased。容錯的部分，容錯的部分，容錯的部分，容錯的部分，ISAServerISAServer則可以直接對伺服器農場中的每一部主機進行則可以直接對伺服器農場中的每一部主機進行則可以直接對伺服器農場中的每一部主機進行則可以直接對伺服器農場中的每一部主機進行狀態的監控。無法提供服務的伺服器，狀態的監控。無法提供服務的伺服器，狀態的監控。無法提供服務的伺服器，狀態的監控。無法提供服務的伺服器，ISAServerISAServer將不會把使用者的請將不會把使用者的請將不會把使用者的請將不會把使用者的請求導向至該主機。並且當主機需要維護時，管理者也可以手動的將主機求導向至該主機。並且當主機需要維護時，管理者也可以手動的將主機求導向至該主機。並且當主機需要維護時，管理者也可以手動的將主機求導向至該主機。並且當主機需要維護時，管理者也可以手動的將主機設定為排出設定為排出設定為排出設定為排出(Draining)(Draining)的狀態，如此將不會影響到既有的使用者，的狀態，如此將不會影響到既有的使用者，的狀態，如此將不會影響到既有的使用者，的狀態，如此將不會影響到既有的使用者，並且新的使用者也將不會被導向至該部主機。並且新的使用者也將不會被導向至該部主機。並且新的使用者也將不會被導向至該部主機。並且新的使用者也將不會被導向至該部主機。指定伺服器指定伺服器農場成員農場成員確認伺服器確認伺服器農場成員連線狀態農場成員連線狀態設定負載平衡機制設定負載平衡機制建立Web Listener建立Server FarmDen-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Web-01發佈Server FarmDen-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Web-01測試Server FarmDen-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Web-01Gen-Web-01伺服器發佈ISAServer2019針對伺服器發佈所新增的針對伺服器發佈所新增的功能有：功能有：為為為為 ExchangeServerExchangeServer相關的相關的相關的相關的 webweb存取設計了專屬的發存取設計了專屬的發存取設計了專屬的發存取設計了專屬的發佈精靈，可支援佈精靈，可支援佈精靈，可支援佈精靈，可支援 Exchange5.5Exchange5.5、20002000、20192019及及及及 V12V12。發佈作業可以針對單一的發佈作業可以針對單一的發佈作業可以針對單一的發佈作業可以針對單一的 ExchangeServerExchangeServer或針對伺服或針對伺服或針對伺服或針對伺服器農場進行發佈。器農場進行發佈。器農場進行發佈。器農場進行發佈。為為為為 SharePointSharePoint設計了專屬的發佈精靈。設計了專屬的發佈精靈。設計了專屬的發佈精靈。設計了專屬的發佈精靈。網站發佈精靈可以發佈單一網站、伺服器農場或者同時網站發佈精靈可以發佈單一網站、伺服器農場或者同時網站發佈精靈可以發佈單一網站、伺服器農場或者同時網站發佈精靈可以發佈單一網站、伺服器農場或者同時發佈多個網站。發佈多個網站。發佈多個網站。發佈多個網站。支援支援Exchange網頁發佈與網頁發佈與SharePoint發佈發佈支援多樣性網站發佈支援多樣性網站發佈建立HTTPS Web Listener發佈OWADen-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Msg-01Gen-Web-01測試OWA及表單驗證Den-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Msg-01Gen-Web-01使用者身份驗證使用者身份驗證ISAServer2019ISAServer2019在用戶端身份驗證所做的加強包括了在用戶端身份驗證所做的加強包括了在用戶端身份驗證所做的加強包括了在用戶端身份驗證所做的加強包括了支援可完全自訂化的支援可完全自訂化的支援可完全自訂化的支援可完全自訂化的 HTTPHTTP表單驗證機制：表單驗證機制：表單驗證機制：表單驗證機制：以往以往以往以往 ISAServerISAServer所支援的表單驗證機制僅限於對所支援的表單驗證機制僅限於對所支援的表單驗證機制僅限於對所支援的表單驗證機制僅限於對 ExchangeServerExchangeServer的的的的 OWAOWA，而，而，而，而 ISAServer2019ISAServer2019除了支援除了支援除了支援除了支援 ExchangeServerOWAExchangeServerOWA的表單驗證的表單驗證的表單驗證的表單驗證機制之外，另外也可以對一般的網站進行表單驗證的支援，並且後端的驗機制之外，另外也可以對一般的網站進行表單驗證的支援，並且後端的驗機制之外，另外也可以對一般的網站進行表單驗證的支援，並且後端的驗機制之外，另外也可以對一般的網站進行表單驗證的支援，並且後端的驗證伺服器可以為證伺服器可以為證伺服器可以為證伺服器可以為 ADAD、LDAPLDAP、RADIUSRADIUS、SecureIDSecureID及及及及 RADIUSRADIUS單次密碼單次密碼單次密碼單次密碼驗證。驗證。驗證。驗證。增強的驗證委派：增強的驗證委派：增強的驗證委派：增強的驗證委派：以往使用者在經由以往使用者在經由以往使用者在經由以往使用者在經由 ISAServerISAServer存取後端網站時，倘若存取後端網站時，倘若存取後端網站時，倘若存取後端網站時，倘若 ISAServerISAServer本身的本身的本身的本身的驗證機制啟動；而網站本身的驗證機制也啟動，則此時使用者必須輸入二驗證機制啟動；而網站本身的驗證機制也啟動，則此時使用者必須輸入二驗證機制啟動；而網站本身的驗證機制也啟動，則此時使用者必須輸入二驗證機制啟動；而網站本身的驗證機制也啟動，則此時使用者必須輸入二次帳號次帳號次帳號次帳號/密碼。為了解決這個問題，管理者可以啟動密碼。為了解決這個問題，管理者可以啟動密碼。為了解決這個問題，管理者可以啟動密碼。為了解決這個問題，管理者可以啟動 ISAServerISAServer的基本委的基本委的基本委的基本委派功能，如此使用者只需要登入一次，便可以通過派功能，如此使用者只需要登入一次，便可以通過派功能，如此使用者只需要登入一次，便可以通過派功能，如此使用者只需要登入一次，便可以通過 ISAServerISAServer及網站主及網站主及網站主及網站主機的驗證。但是此方法僅限於基本驗證機制，如果使用其他的驗證機機的驗證。但是此方法僅限於基本驗證機制，如果使用其他的驗證機機的驗證。但是此方法僅限於基本驗證機制，如果使用其他的驗證機機的驗證。但是此方法僅限於基本驗證機制，如果使用其他的驗證機制，則制，則制，則制，則 ISAServerISAServer將不提供基本委派的功能。將不提供基本委派的功能。將不提供基本委派的功能。將不提供基本委派的功能。在在在在 ISAServer2019ISAServer2019中，驗證委派的部分除了支援基本驗證外，另外也開中，驗證委派的部分除了支援基本驗證外，另外也開中，驗證委派的部分除了支援基本驗證外，另外也開中，驗證委派的部分除了支援基本驗證外，另外也開始支援了包括始支援了包括始支援了包括始支援了包括 NTLMNTLM、KerberosKerberos及及及及 SecurIDSecurID等驗證機制。等驗證機制。等驗證機制。等驗證機制。表單驗證與表單驗證與指定後端驗證機制指定後端驗證機制自訂表單驗證網頁自訂表單驗證網頁增強驗證委派增強驗證委派憑證管理對於安全的網路架構而言，憑證服務永遠扮演著重對於安全的網路架構而言，憑證服務永遠扮演著重對於安全的網路架構而言，憑證服務永遠扮演著重對於安全的網路架構而言，憑證服務永遠扮演著重要的角色。特別是在要的角色。特別是在要的角色。特別是在要的角色。特別是在 SSLSSL的運作機制中，憑證更是的運作機制中，憑證更是的運作機制中，憑證更是的運作機制中，憑證更是不可或缺的關鍵要素。但是也因為這樣的原因，當不可或缺的關鍵要素。但是也因為這樣的原因，當不可或缺的關鍵要素。但是也因為這樣的原因，當不可或缺的關鍵要素。但是也因為這樣的原因，當管理者在進行管理者在進行管理者在進行管理者在進行 ISAServerISAServer相關設定時，卻常常因相關設定時，卻常常因相關設定時，卻常常因相關設定時，卻常常因為憑證的問題而造成了系統無法正常運作。為憑證的問題而造成了系統無法正常運作。為憑證的問題而造成了系統無法正常運作。為憑證的問題而造成了系統無法正常運作。ISAServer2019ISAServer2019在憑證管理作業新增的功能有：在憑證管理作業新增的功能有：在憑證管理作業新增的功能有：在憑證管理作業新增的功能有：在單一的在單一的在單一的在單一的 WebListenerWebListener中，支援多張憑證的使用。中，支援多張憑證的使用。中，支援多張憑證的使用。中，支援多張憑證的使用。在在在在 ISAServe2019ISAServe2019的管理介面中可以直接檢視憑證的狀態的管理介面中可以直接檢視憑證的狀態的管理介面中可以直接檢視憑證的狀態的管理介面中可以直接檢視憑證的狀態在警示功能中增加了憑證逾期的相關事件。在警示功能中增加了憑證逾期的相關事件。在警示功能中增加了憑證逾期的相關事件。在警示功能中增加了憑證逾期的相關事件。當憑證逾期時，管理者可以檢視或收到警示通知。當憑證逾期時，管理者可以檢視或收到警示通知。當憑證逾期時，管理者可以檢視或收到警示通知。當憑證逾期時，管理者可以檢視或收到警示通知。WebListener支援支援多張憑證多張憑證憑證狀態檢視畫面憑證狀態檢視畫面憑證相關警示功能憑證相關警示功能發佈SharePoint及驗證委派Den-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Msg-01Gen-Web-01Den-Web-02工作階段管理在傳統的驗證過程中，使用者被驗證成功的狀態，是由用戶在傳統的驗證過程中，使用者被驗證成功的狀態，是由用戶在傳統的驗證過程中，使用者被驗證成功的狀態，是由用戶在傳統的驗證過程中，使用者被驗證成功的狀態，是由用戶端的電腦所保留。如此的驗證方式在某些情況中，可能會造端的電腦所保留。如此的驗證方式在某些情況中，可能會造端的電腦所保留。如此的驗證方式在某些情況中，可能會造端的電腦所保留。如此的驗證方式在某些情況中，可能會造成使用上的不便成使用上的不便成使用上的不便成使用上的不便(使用者可能常常需要重新驗證使用者可能常常需要重新驗證使用者可能常常需要重新驗證使用者可能常常需要重新驗證)或是安全上或是安全上或是安全上或是安全上的瑕疵的瑕疵的瑕疵的瑕疵(使用者已經登出，但系統卻仍然保留驗證成功的狀使用者已經登出，但系統卻仍然保留驗證成功的狀使用者已經登出，但系統卻仍然保留驗證成功的狀使用者已經登出，但系統卻仍然保留驗證成功的狀態態態態)。表單驗證的運作機制為使用者在通過身份驗證後，系統會發表單驗證的運作機制為使用者在通過身份驗證後，系統會發表單驗證的運作機制為使用者在通過身份驗證後，系統會發表單驗證的運作機制為使用者在通過身份驗證後，系統會發給使用者給使用者給使用者給使用者 cookiecookie，而往後使用者的身份將經由此，而往後使用者的身份將經由此，而往後使用者的身份將經由此，而往後使用者的身份將經由此 cookiecookie進進進進行確認。因此只要行確認。因此只要行確認。因此只要行確認。因此只要 cookiecookie保持在有效的狀態，則使用者就保持在有效的狀態，則使用者就保持在有效的狀態，則使用者就保持在有效的狀態，則使用者就不需要對系統進行重新驗證的動作。並且當使用者的工作階不需要對系統進行重新驗證的動作。並且當使用者的工作階不需要對系統進行重新驗證的動作。並且當使用者的工作階不需要對系統進行重新驗證的動作。並且當使用者的工作階段結束段結束段結束段結束(如登出或關閉瀏覽器如登出或關閉瀏覽器如登出或關閉瀏覽器如登出或關閉瀏覽器)，則，則，則，則 cookiecookie將喪失其有效性，將喪失其有效性，將喪失其有效性，將喪失其有效性，如此將可以確保系統的安全性。如此將可以確保系統的安全性。如此將可以確保系統的安全性。如此將可以確保系統的安全性。ISAServer2019ISAServer2019在工作階段的管理在工作階段的管理在工作階段的管理在工作階段的管理(cookie(cookie的有效性管理的有效性管理的有效性管理的有效性管理)除了保有除了保有除了保有除了保有 ISAServer2019ISAServer2019的優點外，另外更增加了對於不的優點外，另外更增加了對於不的優點外，另外更增加了對於不的優點外，另外更增加了對於不同狀態電腦可以提供更有彈性的設定，包括了是否要使用永同狀態電腦可以提供更有彈性的設定，包括了是否要使用永同狀態電腦可以提供更有彈性的設定，包括了是否要使用永同狀態電腦可以提供更有彈性的設定，包括了是否要使用永久有效的久有效的久有效的久有效的 cookiecookie、或者是對公用電腦與私有電腦可以有不、或者是對公用電腦與私有電腦可以有不、或者是對公用電腦與私有電腦可以有不、或者是對公用電腦與私有電腦可以有不同的設定。同的設定。同的設定。同的設定。工作階段管理工作階段管理單一登入當使用者經由當使用者經由當使用者經由當使用者經由 ISAServerISAServer存取企業內部的多個網存取企業內部的多個網存取企業內部的多個網存取企業內部的多個網站時，由於每一個網站都啟用了自身的驗證機制，站時，由於每一個網站都啟用了自身的驗證機制，站時，由於每一個網站都啟用了自身的驗證機制，站時，由於每一個網站都啟用了自身的驗證機制，因此使用者必須要對每一個網站進行各自的身份驗因此使用者必須要對每一個網站進行各自的身份驗因此使用者必須要對每一個網站進行各自的身份驗因此使用者必須要對每一個網站進行各自的身份驗證，如此將造成使用者在使用上的不便。證，如此將造成使用者在使用上的不便。證，如此將造成使用者在使用上的不便。證，如此將造成使用者在使用上的不便。藉由藉由藉由藉由 ISAServer2019ISAServer2019所提供的所提供的所提供的所提供的 SSOSSO，使用者在通，使用者在通，使用者在通，使用者在通過驗證後，便可以不需要單獨的對後端每一個網站過驗證後，便可以不需要單獨的對後端每一個網站過驗證後，便可以不需要單獨的對後端每一個網站過驗證後，便可以不需要單獨的對後端每一個網站進行額外的身份確認。進行額外的身份確認。進行額外的身份確認。進行額外的身份確認。使用使用使用使用 SSOSSO的條件為：的條件為：的條件為：的條件為：ISAServerISAServer使用表單驗證機制驗證使用者身份。使用表單驗證機制驗證使用者身份。使用表單驗證機制驗證使用者身份。使用表單驗證機制驗證使用者身份。ISAServerISAServer所發佈的網站必須採用相同的所發佈的網站必須採用相同的所發佈的網站必須採用相同的所發佈的網站必須採用相同的 DNSDNS尾碼。尾碼。尾碼。尾碼。單一登入設定畫面單一登入設定畫面單一登入與Session管理Den-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Msg-01Gen-Web-01Den-Web-02連結轉換當企業內部網站被發佈至當企業內部網站被發佈至當企業內部網站被發佈至當企業內部網站被發佈至 InternetInternet時，網頁中超連結所指向時，網頁中超連結所指向時，網頁中超連結所指向時，網頁中超連結所指向的路徑，可能會有讓外部使用者無法存取的問題。這是因為的路徑，可能會有讓外部使用者無法存取的問題。這是因為的路徑，可能會有讓外部使用者無法存取的問題。這是因為的路徑，可能會有讓外部使用者無法存取的問題。這是因為網頁中超連結所指向的都是外部網路所存取不到的內部網路網頁中超連結所指向的都是外部網路所存取不到的內部網路網頁中超連結所指向的都是外部網路所存取不到的內部網路網頁中超連結所指向的都是外部網路所存取不到的內部網路位址位址位址位址(主機名稱主機名稱主機名稱主機名稱)。藉由藉由藉由藉由 ISAServerISAServer所提供的連結轉換功能，這樣的問題可以所提供的連結轉換功能，這樣的問題可以所提供的連結轉換功能，這樣的問題可以所提供的連結轉換功能，這樣的問題可以輕鬆解決。因為在啟用連結轉換功能後，輕鬆解決。因為在啟用連結轉換功能後，輕鬆解決。因為在啟用連結轉換功能後，輕鬆解決。因為在啟用連結轉換功能後，ISAServerISAServer可以可以可以可以將網頁中超連結所指向的內部位址相對轉換為外部位址，或將網頁中超連結所指向的內部位址相對轉換為外部位址，或將網頁中超連結所指向的內部位址相對轉換為外部位址，或將網頁中超連結所指向的內部位址相對轉換為外部位址，或者也可以利用關鍵字的方式，將特定的內部位址轉換為外部者也可以利用關鍵字的方式，將特定的內部位址轉換為外部者也可以利用關鍵字的方式，將特定的內部位址轉換為外部者也可以利用關鍵字的方式，將特定的內部位址轉換為外部位址。位址。位址。位址。ISAServer2019ISAServer2019除了保有此項功能外，另外更加強了此功除了保有此項功能外，另外更加強了此功除了保有此項功能外，另外更加強了此功除了保有此項功能外，另外更加強了此功能，強化的部分有：能，強化的部分有：能，強化的部分有：能，強化的部分有：自動化連結轉換。自動化連結轉換。自動化連結轉換。自動化連結轉換。當網站被發佈時連結轉換功能將自動啟用。當網站被發佈時連結轉換功能將自動啟用。當網站被發佈時連結轉換功能將自動啟用。當網站被發佈時連結轉換功能將自動啟用。全新設計的轉換引擎。全新設計的轉換引擎。全新設計的轉換引擎。全新設計的轉換引擎。支援多國語系字元。支援多國語系字元。支援多國語系字元。支援多國語系字元。全域連結轉換設定全域連結轉換設定連結轉換設定連結轉換設定(預設已啟用預設已啟用)連結轉換Den-DC-01Den-ISA-01DMZ內部網路內部網路InternetDen-Msg-01Gen-Web-01Den-Web-02Web存取保護存取保護Web 存取保護 整合的安全性增強流量恢復功能增強流量恢復功能增強流量恢復功能增強流量恢復功能增強的蠕蟲恢復功能增強的蠕蟲恢復功能增強的蠕蟲恢復功能增強的蠕蟲恢復功能完善的警示觸發程序與回應完善的警示觸發程序與回應完善的警示觸發程序與回應完善的警示觸發程序與回應有效的管理增強的資源控制增強的資源控制增強的資源控制增強的資源控制外部網站外部網站攻擊者攻擊者DMZ內部網路內部網路Internet網站網站管理者管理者總部總部整合的安全整合的安全有效率的管理有效率的管理網頁存取保護加強保護加強保護 DoS/DDoS DoS/DDoS 攻攻擊擊防止蠕蟲建立太多連線防止蠕蟲建立太多連線廣泛的警示的觸發與回應廣泛的警示的觸發與回應加強資源控制，防止攻擊加強資源控制，防止攻擊者者快速及安全的存取快速及安全的存取對抗來自於網路的威脅對於現今的網路環境而言，分散式阻斷服務對於現今的網路環境而言，分散式阻斷服務攻擊與網路蠕蟲是最主要的威脅來源攻擊與網路蠕蟲是最主要的威脅來源ISAServer2019所提供的流量恢復功能可所提供的流量恢復功能可以用以對抗類似的網路威脅：以用以對抗類似的網路威脅：大量網路蠕蟲散播的攻擊。大量網路蠕蟲散播的攻擊。大量網路蠕蟲散播的攻擊。大量網路蠕蟲散播的攻擊。同步同步同步同步(Syn)(Syn)攻擊。攻擊。攻擊。攻擊。阻斷服務攻擊。阻斷服務攻擊。阻斷服務攻擊。阻斷服務攻擊。分散式阻斷服務攻擊。分散式阻斷服務攻擊。分散式阻斷服務攻擊。分散式阻斷服務攻擊。HTTPHTTP炸彈攻擊。炸彈攻擊。炸彈攻擊。炸彈攻擊。對抗來自於網路的威脅(續)流量恢復功能同時也可以經由資源控管的機制防止流量恢復功能同時也可以經由資源控管的機制防止流量恢復功能同時也可以經由資源控管的機制防止流量恢復功能同時也可以經由資源控管的機制防止 ISAServerISAServer遭受到阻斷服務攻擊，防禦的機制有：遭受到阻斷服務攻擊，防禦的機制有：遭受到阻斷服務攻擊，防禦的機制有：遭受到阻斷服務攻擊，防禦的機制有：LogthrottlingLogthrottling：當攻擊行為超過臨界值時，：當攻擊行為超過臨界值時，：當攻擊行為超過臨界值時，：當攻擊行為超過臨界值時，ISAISA會暫時停止記錄相會暫時停止記錄相會暫時停止記錄相會暫時停止記錄相關的攻擊行為。關的攻擊行為。關的攻擊行為。關的攻擊行為。ControlofmemoryconsumptionControlofmemoryconsumption：ISAISA會針對系統記憶體進行監會針對系統記憶體進行監會針對系統記憶體進行監會針對系統記憶體進行監控。當系統資源不足時，控。當系統資源不足時，控。當系統資源不足時，控。當系統資源不足時，ISAISA將會停止提供服務給新的連線；但是將會停止提供服務給新的連線；但是將會停止提供服務給新的連線；但是將會停止提供服務給新的連線；但是會既有的連線將會繼續提供服務。並且此功能只有在會既有的連線將會繼續提供服務。並且此功能只有在會既有的連線將會繼續提供服務。並且此功能只有在會既有的連線將會繼續提供服務。並且此功能只有在 ISAISA遭受到攻遭受到攻遭受到攻遭受到攻擊時才會自動啟動。擊時才會自動啟動。擊時才會自動啟動。擊時才會自動啟動。ControlofpendingDNSqueriesControlofpendingDNSqueries：此機制可用以防止用戶端以大：此機制可用以防止用戶端以大：此機制可用以防止用戶端以大：此機制可用以防止用戶端以大量的量的量的量的 DNSDNS解析動作造成解析動作造成解析動作造成解析動作造成 ISAISA需要處理過多待處理的名稱解析查詢。需要處理過多待處理的名稱解析查詢。需要處理過多待處理的名稱解析查詢。需要處理過多待處理的名稱解析查詢。設定流量恢復設定流量恢復流量恢復Den-DC-01Den-ISA-01DMZ內部網路內部網路Internet分公司閘道分公司閘道Exchange內部網站內部網站SharePointAD外部網站外部網站使用者使用者ISA2019相相容陣列容陣列DMZ內部網路內部網路InternetSite-to-SiteVPN分公司分公司總部總部使用者使用者CSS管理者管理者將ISA Server 2019 當成分公司閘道整合的安全整合的安全有效率的管理有效率的管理BITS BITS 快取可加速軟體更快取可加速軟體更新新自動安裝自動安裝快速及安全的存取快速及安全的存取在低頻寬下可以快速傳遞在低頻寬下可以快速傳遞原則原則加強憑證管理加強憑證管理HTTP HTTP 壓縮及快取壓縮及快取DiffServ IP DiffServ IP 設定設定分公司閘道 整合的安全性BITSBITS快取快取快取快取 快速安全的存取快速安全的存取提供提供提供提供 HTTPHTTP流量壓縮流量壓縮流量壓縮流量壓縮提供提供提供提供 DiffServIPDiffServIP設定設定設定設定有效的管理自動化的自動化的自動化的自動化的 VPNVPN連線工具連線工具連線工具連線工具卸除式媒體上的回應檔案卸除式媒體上的回應檔案卸除式媒體上的回應檔案卸除式媒體上的回應檔案 BITS 快取BITS(BITS(BackgroundIntelligentTransferServiceBackgroundIntelligentTransferService)是一種是一種是一種是一種用來傳遞大量資料的技術。資料是以片段的方式利用網路閒用來傳遞大量資料的技術。資料是以片段的方式利用網路閒用來傳遞大量資料的技術。資料是以片段的方式利用網路閒用來傳遞大量資料的技術。資料是以片段的方式利用網路閒置的時候進行傳遞，因此並不直接影響網路效能。現有置的時候進行傳遞，因此並不直接影響網路效能。現有置的時候進行傳遞，因此並不直接影響網路效能。現有置的時候進行傳遞，因此並不直接影響網路效能。現有 WindowsUpdateWindowsUpdate的機制便是利用這樣的方式傳遞大量檔的機制便是利用這樣的方式傳遞大量檔的機制便是利用這樣的方式傳遞大量檔的機制便是利用這樣的方式傳遞大量檔案。案。案。案。對於企業而言對於企業而言對於企業而言對於企業而言 WindowsUpdateWindowsUpdate，是維持網路安全重要的，是維持網路安全重要的，是維持網路安全重要的，是維持網路安全重要的基石。然而進行基石。然而進行基石。然而進行基石。然而進行 WindowsUpdateWindowsUpdate時所耗用的頻寬，卻是時所耗用的頻寬，卻是時所耗用的頻寬，卻是時所耗用的頻寬，卻是企業網路必須付出的代價。雖然藉由企業網路必須付出的代價。雖然藉由企業網路必須付出的代價。雖然藉由企業網路必須付出的代價。雖然藉由 BITSBITS的技術，可以將的技術，可以將的技術，可以將的技術，可以將更新時，網路所必須花費的成本降低。但是對於小型的網路更新時，網路所必須花費的成本降低。但是對於小型的網路更新時，網路所必須花費的成本降低。但是對於小型的網路更新時，網路所必須花費的成本降低。但是對於小型的網路環境而言，這仍然會造成一定的衝擊。環境而言，這仍然會造成一定的衝擊。環境而言，這仍然會造成一定的衝擊。環境而言，這仍然會造成一定的衝擊。BITSBITS快取是快取是快取是快取是 ISAServer2019ISAServer2019所加入的新功能。藉由此功所加入的新功能。藉由此功所加入的新功能。藉由此功所加入的新功能。藉由此功能能能能 ISAServerISAServer的除了快取一般的的除了快取一般的的除了快取一般的的除了快取一般的 HTTPHTTP資料外，另外也可資料外，另外也可資料外，另外也可資料外，另外也可以針對以針對以針對以針對 BITSBITS的資料進行快取。並且在快取規則中，預設也的資料進行快取。並且在快取規則中，預設也的資料進行快取。並且在快取規則中，預設也的資料進行快取。並且在快取規則中，預設也針對了針對了針對了針對了 WindowsUpdateWindowsUpdate相關的網站啟用了相關的網站啟用了相關的網站啟用了相關的網站啟用了 BITSBITS快取的快取的快取的快取的機制。機制。機制。機制。針對針對WindowsUpdate相關網站之預設相關網站之預設快取規則快取規則啟用啟用BITS快取快取HTTP 流量壓縮與 DiffServ IPHTTPHTTP流量壓縮流量壓縮流量壓縮流量壓縮ISAServer2019ISAServer2019提供提供提供提供 HTTPHTTP流量壓縮的功能。流量壓縮的功能。流量壓縮的功能。流量壓縮的功能。藉由藉由藉由藉由 HTTPHTTP流量壓縮可以讓資料在傳遞時變的更有效率。流量壓縮可以讓資料在傳遞時變的更有效率。流量壓縮可以讓資料在傳遞時變的更有效率。流量壓縮可以讓資料在傳遞時變的更有效率。ISAServer2019ISAServer2019可以提供壓縮過的資料給用戶端或者是向特定的可以提供壓縮過的資料給用戶端或者是向特定的可以提供壓縮過的資料給用戶端或者是向特定的可以提供壓縮過的資料給用戶端或者是向特定的網路要求取得經過壓縮的資料。網路要求取得經過壓縮的資料。網路要求取得經過壓縮的資料。網路要求取得經過壓縮的資料。DiffServIPDiffServIP當分公司與總公司之間的通訊有不同的重要性時，假如可以根據封當分公司與總公司之間的通訊有不同的重要性時，假如可以根據封當分公司與總公司之間的通訊有不同的重要性時，假如可以根據封當分公司與總公司之間的通訊有不同的重要性時，假如可以根據封包的優先順序來區分封包，則如此便能善用有限的頻寬。包的優先順序來區分封包，則如此便能善用有限的頻寬。包的優先順序來區分封包，則如此便能善用有限的頻寬。包的優先順序來區分封包，則如此便能善用有限的頻寬。ISAServer2019ISAServer2019可以藉由使用差異服務可以藉由使用差異服務可以藉由使用差異服務可以藉由使用差異服務(DiffServ)(DiffServ)通訊協定來針通訊協定來針通訊協定來針通訊協定來針對對對對 HTTPHTTP相關流量提供排定封包優先順序。相關流量提供排定封包優先順序。相關流量提供排定封包優先順序。相關流量提供排定封包優先順序。DiffServDiffServ通訊協定能提供一種架構，以便於網際網路上部署可擴充通訊協定能提供一種架構，以便於網際網路上部署可擴充通訊協定能提供一種架構，以便於網際網路上部署可擴充通訊協定能提供一種架構，以便於網際網路上部署可擴充的服務辨識。的服務辨識。的服務辨識。的服務辨識。DiffServDiffServ會在每個封包的會在每個封包的會在每個封包的會在每個封包的 IPIP標頭中，使用標籤來標示標頭中，使用標籤來標示標頭中，使用標籤來標示標頭中，使用標籤來標示其優先順序，如此封包在傳輸時便可以依照其優先順序進行傳遞。其優先順序，如此封包在傳輸時便可以依照其優先順序進行傳遞。其優先順序，如此封包在傳輸時便可以依照其優先順序進行傳遞。其優先順序，如此封包在傳輸時便可以依照其優先順序進行傳遞。啟用啟用HTTP壓縮壓縮回應已壓縮之回應已壓縮之HTTP資料資料要求已壓縮之要求已壓縮之HTTP資料資料啟用差異服務設定啟用差異服務設定指定封包優先順序指定封包優先順序針對網址啟用差異服務針對網址啟用差異服務針對網域指定差異服務針對網域指定差異服務針對網路指定差異服務針對網路指定差異服務BITS 快取Den-DC-01Den-ISA-01DMZ內部網路內部網路InternetHTTP 壓縮Den-DC-01Den-ISA-01DMZ內部網路內部網路InternetDiffServ 差異服務Den-DC-01Den-ISA-01DMZ內部網路內部網路InternetSite-to-SiteVPN簡化分公司 VPN 環境之部署現今的企業為了節省其網路通訊的成本，大多都會在總公司現今的企業為了節省其網路通訊的成本，大多都會在總公司現今的企業為了節省其網路通訊的成本，大多都會在總公司現今的企業為了節省其網路通訊的成本，大多都會在總公司與分公司之間建置與分公司之間建置與分公司之間建置與分公司之間建置 SitetoSiteVPNSitetoSiteVPN的解決方案。的解決方案。的解決方案。的解決方案。藉由藉由藉由藉由 ISAServerISAServer所提供完善的所提供完善的所提供完善的所提供完善的 VPNVPN解決方案，企業可以輕解決方案，企業可以輕解決方案，企業可以輕解決方案，企業可以輕易的在總公司與分公司之間建構出功能完整的易的在總公司與分公司之間建構出功能完整的易的在總公司與分公司之間建構出功能完整的易的在總公司與分公司之間建構出功能完整的 VPNVPN網路環網路環網路環網路環境。境。境。境。但是對於大多數的企業而言，其分公司對於資訊人員的編制但是對於大多數的企業而言，其分公司對於資訊人員的編制但是對於大多數的企業而言，其分公司對於資訊人員的編制但是對於大多數的企業而言，其分公司對於資訊人員的編制通常都有人力不足，甚至是沒有資訊人員編制的現象。因此通常都有人力不足，甚至是沒有資訊人員編制的現象。因此通常都有人力不足，甚至是沒有資訊人員編制的現象。因此通常都有人力不足，甚至是沒有資訊人員編制的現象。因此在建構在建構在建構在建構 VPNVPN環境時，或多或少都會造成一些影響。環境時，或多或少都會造成一些影響。環境時，或多或少都會造成一些影響。環境時，或多或少都會造成一些影響。為了改善這樣的現象，為了改善這樣的現象，為了改善這樣的現象，為了改善這樣的現象，ISAServer2019ISAServer2019除了保有原先除了保有原先除了保有原先除了保有原先 ISAISAServer2019Server2019所有所有所有所有 VPNVPN的相關功能外，另外更增加了對於的相關功能外，另外更增加了對於的相關功能外，另外更增加了對於的相關功能外，另外更增加了對於分公司分公司分公司分公司 VPNVPN環境建置的支援。環境建置的支援。環境建置的支援。環境建置的支援。簡化分公司 VPN 環境之部署(續)BranchOfficeVPNConnectivityWizardBranchOfficeVPNConnectivityWizard是一支可以用來是一支可以用來是一支可以用來是一支可以用來簡化分公司簡化分公司簡化分公司簡化分公司 VPNVPN設定的精靈。其主要功能如下：設定的精靈。其主要功能如下：設定的精靈。其主要功能如下：設定的精靈。其主要功能如下：用以自動建立分公司與總公司的用以自動建立分公司與總公司的用以自動建立分公司與總公司的用以自動建立分公司與總公司的 VPNVPN連線，可支援連線，可支援連線，可支援連線，可支援 L2TPL2TP及及及及 IPSecIPSec。將將將將 ISAServerISAServer加入網域。加入網域。加入網域。加入網域。將將將將 ISAServerISAServer加入加入加入加入 現有陣列環境或建立新的陣列。現有陣列環境或建立新的陣列。現有陣列環境或建立新的陣列。現有陣列環境或建立新的陣列。在分公司在分公司在分公司在分公司 ISAServerISAServer可以執行可以執行可以執行可以執行 BranchOfficeVPNBranchOfficeVPNConnectivityWizardConnectivityWizard之前，總公司之前，總公司之前，總公司之前，總公司 ISAServerISAServer必須先行必須先行必須先行必須先行設定完成。需要的設定有設定完成。需要的設定有設定完成。需要的設定有設定完成。需要的設定有 RemoteSiteNetworkRemoteSiteNetwork的建立及的建立及的建立及的建立及設定適當的網路規則及存取規則。設定適當的網路規則及存取規則。設定適當的網路規則及存取規則。設定適當的網路規則及存取規則。BranchOfficeVPNConnectivityWizardBranchOfficeVPNConnectivityWizard的執行程式位於的執行程式位於的執行程式位於的執行程式位於 ISAServer2019ISAServer2019的安裝目錄中，執行檔名稱為：的安裝目錄中，執行檔名稱為：的安裝目錄中，執行檔名稱為：的安裝目錄中，執行檔名稱為：AppCfgWzd.exeAppCfgWzd.exe。BranchOfficeVPNConnectivityWizardBranchOfficeVPNConnectivityWizard之執行，可以採之執行，可以採之執行，可以採之執行，可以採精靈的方式一步步的完成，或者管理者可以事先利用精靈的方式一步步的完成，或者管理者可以事先利用精靈的方式一步步的完成，或者管理者可以事先利用精靈的方式一步步的完成，或者管理者可以事先利用 BranchOfficeVPNConnectivityWizardBranchOfficeVPNConnectivityWizard建立自動回應檔，建立自動回應檔，建立自動回應檔，建立自動回應檔，而後在執行精靈時指定以回應檔作為設定依據。而後在執行精靈時指定以回應檔作為設定依據。而後在執行精靈時指定以回應檔作為設定依據。而後在執行精靈時指定以回應檔作為設定依據。BranchOfficeVPNConnectivityWizard安裝憑證發佈CSS建立BO Array建立總部VPNDen-DC-01Den-ISA-01內部網路內部網路InternetDen-ISA-02建立分公司VPNDen-DC-01Den-ISA-01內部網路內部網路InternetDen-ISA-02建立存取規則Den-DC-01Den-ISA-01內部網路內部網路InternetDen-ISA-02參考資源ExchangeServer2019 microsoft/taiwan/exchangemicrosoft/taiwan/exchangeISAServer2019 microsoft/taiwan/isaservermicrosoft/taiwan/isaserverExchangeServer2019Resourcesmsexchange.orgmsexchange.orgISAServerResourcesisaserver.orgisaserver.orgTechNet CD標準版內容 一年十二期一年十二期MicrosoftKnowledgeBase精通所有產品的精通所有產品的ResourceKits讓系統保持最佳狀態的讓系統保持最佳狀態的ServicePacks、Patches、drivers、tools等等等等實務技術文章、評估與部署指南實務技術文章、評估與部署指南TechNet技術訓練課程技術訓練課程(SeminarOnline)個案研討、建置策略白皮書個案研討、建置策略白皮書.TechNetPlusCD內容TechNetPlusTechNet標準版光碟的內容標準版光碟的內容Microsoft各種最新產品的各種最新產品的Beta評估版評估版以及以及正式評估版光碟正式評估版光碟microsoft/technet/subscriptions謝謝大家！謝謝大家！敬請填寫問卷 提供您寶貴的意見 2019 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Mic