ISA Server 2006 Enterprise Edition 采用多層式企業(yè)及數(shù)組模型。ISA Server 企業(yè)包含一或多個數(shù)組，藉由這些數(shù)組集結(jié)企業(yè)內(nèi)部的 ISA Server 防火墻計(jì)算機(jī)。每個企業(yè)皆單獨(dú)管理自己的數(shù)組成員。

企業(yè)及數(shù)組的設(shè)定信息存放在 ISA Server 設(shè)定存放區(qū)服務(wù)器內(nèi)。每個企業(yè)擁有一或多臺設(shè)定存放區(qū)服務(wù)器。當(dāng)您在安裝 ISA Server 設(shè)定存放區(qū)服務(wù)器組件時，可選擇建立新的企業(yè)，或是建立現(xiàn)有設(shè)定存放區(qū)服務(wù)器的復(fù)本。企業(yè)中的數(shù)組成員會與設(shè)定存放區(qū)服務(wù)器進(jìn)行通訊，以取得最新的設(shè)定信息。

同一數(shù)組中的 ISA Server 計(jì)算機(jī)系共享相同的設(shè)定、企業(yè)原則及數(shù)組原則，以便于體制管理及系統(tǒng)管理。當(dāng)您修改數(shù)組設(shè)定并套用變更時，會更新所有的數(shù)組成員。集中化的系統(tǒng)管理能夠以一臺計(jì)算機(jī)執(zhí)行所有的系統(tǒng)管理工作。

ISA Server Enterprise Edition 使用防火墻原則來保護(hù)網(wǎng)絡(luò)，并控制進(jìn)出組織的網(wǎng)絡(luò)流量。防火墻原則包含于企業(yè)層級和數(shù)組層級定義的存取及發(fā)行規(guī)則。企業(yè)系統(tǒng)管理員可對整個企業(yè)實(shí)施精細(xì)的原則控制，包括授與數(shù)組系統(tǒng)管理員原則授權(quán)的層級。

企業(yè)原則

身為 ISA Server 企業(yè)系統(tǒng)管理員，您須定義企業(yè)原則，以套用到企業(yè)中的一或多個數(shù)組。企業(yè)原則的使用方式如下：

• 建立企業(yè)原則來套用組織全體的標(biāo)準(zhǔn)防火墻原則。例如，您可以在企業(yè)原則中建立一項(xiàng)規(guī)則，用來拒絕從內(nèi)部網(wǎng)絡(luò)流向因特網(wǎng)的 FTP 流量。

• 將企業(yè)原則套用到一或多個數(shù)組。如此可簡化數(shù)組管理，并確實(shí)在企業(yè)層級為安全原則把關(guān)。不用辛苦地針對每個數(shù)組建立及管理原則，而變更也只須套用到企業(yè)原則即可。

您亦可根據(jù)數(shù)組功能來建立企業(yè)原則。例如，您可以建立用來處理虛擬私人網(wǎng)絡(luò) (VPN) 聯(lián)機(jī)的數(shù)組、處理發(fā)行的數(shù)組，以及控制 Web Proxy 因特網(wǎng)存取的數(shù)組。建立下列三種企業(yè)原亦不失為良策：

• 適用于 VPN 數(shù)組的企業(yè)存取原則

• 適用于發(fā)行數(shù)組的企業(yè)存取原則

• 適用于因特網(wǎng)存取數(shù)組的企業(yè)存取原則

每個企業(yè)原則含有一組適用于數(shù)組類型且依序排列的存取規(guī)則。ISA Server 本身提供一個不可修改或刪除的預(yù)設(shè)企業(yè)原則。其中含有拒絕所有流量的單一預(yù)設(shè)規(guī)則 (全部拒絕)。如此可確保企業(yè)預(yù)設(shè)為鎖定狀態(tài)，只接受您明確定義的允許流量。

設(shè)定企業(yè)原則

請依照下列步驟，設(shè)定企業(yè)環(huán)境及企業(yè)原則：

1.定義企業(yè)層級系統(tǒng)管理角色。定義企業(yè)系統(tǒng)管理員和企業(yè)原則系統(tǒng)管理員。

2.建立企業(yè)網(wǎng)絡(luò)及網(wǎng)絡(luò)規(guī)則。建立企業(yè)網(wǎng)絡(luò)作為企業(yè)層級存取規(guī)則中的來源及目的地使用，或?qū)⑵浼{入數(shù)組層級網(wǎng)絡(luò)的定義之中。建立網(wǎng)絡(luò)規(guī)則，用以指定企業(yè)網(wǎng)絡(luò)彼此之間的通訊方式。

3.建立企業(yè)原則。首先建立企業(yè)原則，隨后定義原則中所使用的規(guī)則。在企業(yè)層級建立規(guī)則元素 (例如：通訊協(xié)議定義)，再使用這些元素作為企業(yè)層級規(guī)則的參數(shù)，用以判定允許進(jìn)出企業(yè)網(wǎng)絡(luò)的流量為何。在企業(yè)層級建立的規(guī)則元素亦可用于數(shù)組層級存取規(guī)則。企業(yè)原則中的每個規(guī)則皆可以定義，使其可套用在數(shù)組原則之前或之后。規(guī)則排序是 ISA Server 檢查規(guī)則時的重要依據(jù)。系統(tǒng)會使用第一個符合 ISA Server 所收到的要求之規(guī)則，不再檢查后續(xù)規(guī)則。