ISA Server 2006 Enterprise Edition 采用多層式企業(yè)及數(shù)組模型。ISA Server 企業(yè)包含一或多個(gè)數(shù)組，藉由這些數(shù)組集結(jié)企業(yè)內(nèi)部的 ISA Server 防火墻計(jì)算機(jī)。每個(gè)企業(yè)皆單獨(dú)管理自己的數(shù)組成員。

企業(yè)及數(shù)組的設(shè)定信息存放在 ISA Server 設(shè)定存放區(qū)服務(wù)器內(nèi)。每個(gè)企業(yè)擁有一或多臺(tái)設(shè)定存放區(qū)服務(wù)器。當(dāng)您在安裝 ISA Server 設(shè)定存放區(qū)服務(wù)器組件時(shí)，可選擇建立新的企業(yè)，或是建立現(xiàn)有設(shè)定存放區(qū)服務(wù)器的復(fù)本。企業(yè)中的數(shù)組成員會(huì)與設(shè)定存放區(qū)服務(wù)器進(jìn)行通訊，以取得最新的設(shè)定信息。

同一數(shù)組中的 ISA Server 計(jì)算機(jī)系共享相同的設(shè)定、企業(yè)原則及數(shù)組原則，以便于體制管理及系統(tǒng)管理。當(dāng)您修改數(shù)組設(shè)定并套用變更時(shí)，會(huì)更新所有的數(shù)組成員。集中化的系統(tǒng)管理能夠以一臺(tái)計(jì)算機(jī)執(zhí)行所有的系統(tǒng)管理工作。

ISA Server Enterprise Edition 使用防火墻原則來(lái)保護(hù)網(wǎng)絡(luò)，并控制進(jìn)出組織的網(wǎng)絡(luò)流量。防火墻原則包含于企業(yè)層級(jí)和數(shù)組層級(jí)定義的存取及發(fā)行規(guī)則。企業(yè)系統(tǒng)管理員可對(duì)整個(gè)企業(yè)實(shí)施精細(xì)的原則控制，包括授與數(shù)組系統(tǒng)管理員原則授權(quán)的層級(jí)。

企業(yè)原則

身為 ISA Server 企業(yè)系統(tǒng)管理員，您須定義企業(yè)原則，以套用到企業(yè)中的一或多個(gè)數(shù)組。企業(yè)原則的使用方式如下：

• 建立企業(yè)原則來(lái)套用組織全體的標(biāo)準(zhǔn)防火墻原則。例如，您可以在企業(yè)原則中建立一項(xiàng)規(guī)則，用來(lái)拒絕從內(nèi)部網(wǎng)絡(luò)流向因特網(wǎng)的 FTP 流量。

• 將企業(yè)原則套用到一或多個(gè)數(shù)組。如此可簡(jiǎn)化數(shù)組管理，并確實(shí)在企業(yè)層級(jí)為安全原則把關(guān)。不用辛苦地針對(duì)每個(gè)數(shù)組建立及管理原則，而變更也只須套用到企業(yè)原則即可。

您亦可根據(jù)數(shù)組功能來(lái)建立企業(yè)原則。例如，您可以建立用來(lái)處理虛擬私人網(wǎng)絡(luò) (VPN) 聯(lián)機(jī)的數(shù)組、處理發(fā)行的數(shù)組，以及控制 Web Proxy 因特網(wǎng)存取的數(shù)組。建立下列三種企業(yè)原亦不失為良策：

• 適用于 VPN 數(shù)組的企業(yè)存取原則

• 適用于發(fā)行數(shù)組的企業(yè)存取原則

• 適用于因特網(wǎng)存取數(shù)組的企業(yè)存取原則

每個(gè)企業(yè)原則含有一組適用于數(shù)組類型且依序排列的存取規(guī)則。ISA Server 本身提供一個(gè)不可修改或刪除的預(yù)設(shè)企業(yè)原則。其中含有拒絕所有流量的單一預(yù)設(shè)規(guī)則 (全部拒絕)。如此可確保企業(yè)預(yù)設(shè)為鎖定狀態(tài)，只接受您明確定義的允許流量。

設(shè)定企業(yè)原則

請(qǐng)依照下列步驟，設(shè)定企業(yè)環(huán)境及企業(yè)原則：

1.定義企業(yè)層級(jí)系統(tǒng)管理角色。定義企業(yè)系統(tǒng)管理員和企業(yè)原則系統(tǒng)管理員。

2.建立企業(yè)網(wǎng)絡(luò)及網(wǎng)絡(luò)規(guī)則。建立企業(yè)網(wǎng)絡(luò)作為企業(yè)層級(jí)存取規(guī)則中的來(lái)源及目的地使用，或?qū)⑵浼{入數(shù)組層級(jí)網(wǎng)絡(luò)的定義之中。建立網(wǎng)絡(luò)規(guī)則，用以指定企業(yè)網(wǎng)絡(luò)彼此之間的通訊方式。

3.建立企業(yè)原則。首先建立企業(yè)原則，隨后定義原則中所使用的規(guī)則。在企業(yè)層級(jí)建立規(guī)則元素 (例如：通訊協(xié)議定義)，再使用這些元素作為企業(yè)層級(jí)規(guī)則的參數(shù)，用以判定允許進(jìn)出企業(yè)網(wǎng)絡(luò)的流量為何。在企業(yè)層級(jí)建立的規(guī)則元素亦可用于數(shù)組層級(jí)存取規(guī)則。企業(yè)原則中的每個(gè)規(guī)則皆可以定義，使其可套用在數(shù)組原則之前或之后。規(guī)則排序是 ISA Server 檢查規(guī)則時(shí)的重要依據(jù)。系統(tǒng)會(huì)使用第一個(gè)符合 ISA Server 所收到的要求之規(guī)則，不再檢查后續(xù)規(guī)則。