Microsoft ISA Server 2000, 스탠더드 버전 - 설치 및 구축 가이드

SECURITY 2001/03/06 13:04
Microsoft ISA Server 2000, 스탠더드 버전 - 설치 및 구축 가이드

이 장의 내용
down 서문: 이 가이드의 내용
down 1장: 소개
down 2장: 계획 시 고려할 사항
down 3장: ISA Server 설치
down 4장: Microsoft Proxy Server 2.0에서 마이그레이션
down 5장: ISA Server, 엔터프라이즈 버전으로 업그레이드
down 6장: 클라이언트 설치와 구성
down 7장: 구축 시나리오
down 저작권

서문: 이 가이드의 내용 Back to Top

인터넷은 고객, 파트너 및 직원들을 연결하는 새로운 기회를 조직에 제공합니다. 인터넷이 커다란 기회를 제공하는 반면 보안, 성능 및 관리 효율성과 같은 새로운 위험과 문제가 발생합니다. Microsoft ISA(Internet Security and Acceleration) Server는 현재의 인터넷 기반 비즈니스의 요구를 해결합니다. ISA Server는 네트워크 리소스를 보호하는 데 도움이 되는 다단계 방화벽을 제공합니다. ISA Server의 웹 캐시를 사용하면 조직은 네트워크 대역폭을 절약하고 주기적으로 혼잡한 인터넷을 통하는 대신 로컬 원본의 개체를 이용하여 사용자에게 더욱 빠른 웹 액세스를 제공합니다.

전용 구성 요소로 구축하든 통합된 방화벽과 캐싱 서버로 구축하든 ISA Server는 보안과 액세스 관리를 단순화하는 통합 관리 콘솔을 제공합니다. Windows 2000 플랫폼에 구축되는 ISA Server는 강력한 통합 관리 도구를 사용하여 안전하고 빠른 인터넷 연결을 제공합니다.

ISA Server는 보안, 성능, 관리 효율성 또는 네트워크의 운영 비용에 관심을 가지고 있는 모든 규모의 조직에서 정보 기술 관리자, 네트워크 관리자 및 정보 보안 전문가에게 가치를 제공합니다. ISA Server는 소규모 사무실과 지사에서 인터넷 서비스 공급자(ISP)와 웹 호스팅 회사, 전자 상거래 사이트에 이르기까지 많은 시나리오에서 사용할 수 있습니다.

대상 독자

이 가이드는 자사 네트워크에 ISA Server를 설치하고 구축하는 방법을 알고 싶어하는 시스템 전문가, 네트워크 관리자 및 소규모 기업의 고급 사용자를 대상으로 합니다. 가이드는 사용자가 DNS, DHCP, 라우팅과 원격 액세스, TCP/IP 네트워킹 및 기타 Windows 네트워킹 구성 요소에 대한 이해를 포함하여 기본 네트워킹 개념에 익숙하다고 가정합니다.

이 가이드의 목적

이 가이드는 ISA Server에 대한 개요를 제공하고 이 소프트웨어의 구현을 계획하는 데 필요한 배경 정보를 제공합니다.

가이드는 설치 프로세스의 세부 절차, 설치 후 구성을 위한 검사 목록 및 ISA Server를 네트워크에서 어떻게 사용할 수 있는지에 대한 자세한 예제 시나리오도 포함하고 있습니다.

이 가이드는 다음과 같은 장으로 구성되어 있습니다.

  • 1장, "소개"는 ISA Server를 소개하고 그 기능을 설명합니다.
  • 2장, "계획 고려 사항"은 ISA Server를 설치하기 전에 고려할 문제를 설명합니다. 따라서 ISA Server 컴퓨터를 몇 대나 설치하고 어떻게 구성할 것인지 결정하는 데 도움이 됩니다.
  • 3장, "ISA Server 설치"는 설치 프로세스를 안내합니다. 여기서는 하드웨어 구성과 설치 프로세스를 자세히 설명합니다.
  • 4장, "Microsoft Proxy Server 2.0에서 마이그레이션"은 기존 Proxy Server 2.0 정책과 구성을 ISA Server 구성으로 마이그레이션하는 방법을 설명합니다.
  • 5장, "ISA Server, 엔터프라이즈 버전으로 업그레이드"는 ISA Server, 엔터프라이즈 버전으로 업그레이드하는 방법을 설명합니다.
  • 6장, "클라이언트 설치 및 구성"은 ISA Server 클라이언트를 설명하고 ISA Server 클라이언트를 구성하는 단계를 자세히 설명합니다.
  • 7장, "구축 시나리오"는 일반적은 네트워크 구성에 대해 설명하고 ISA Server를 사용하여 이런 시나리오를 구현하는 단계를 자세히 설명합니다.

1장: 소개 Back to Top

이 장에서는 Microsoft ISA(Internet Security and Acceleration) Server의 개요를 제공합니다. 또한 ISA Server가 네트워크에서 사용할 수 있는 일반적인 시나리오 몇 가지를 설명합니다.

이 장은 4가지 절로 이루어져 있습니다.

  • ISA Server 소개
  • 기능 및 사용법 시나리오

ISA Server 소개

인터넷에서 이루어지는 비즈니스 활동과 연결된 기업 네트워크 수가 폭발적으로 증가하면서 네트워크 성능을 향상시키고 개선하는 것은 물론 안정한 연결을 제공하는 강력하고 관리하기 쉬운 인터넷 게이트웨이에 대한 필요성이 전보다 더욱 커졌습니다. ISA Server는 방화벽과 완전한 웹 캐시 솔루션을 모두 포함하고 있는 완벽한 인터넷 연결 솔루션을 제공함으로써 이런 요구를 만족합니다. 이들 서비스는 서로 보완적입니다. 네트워크에 ISA Server를 설치할 때 이 기능 중 하나 또는 둘 모두 사용할 수 있습니다.

ISA Server는 사용자가 어떤 사이트, 프로토콜 및 컨텐트가 ISA Server 컴퓨터를 통과할 수 있는지 지정하는 여러 가지 규칙을 구성하여 기업 보안 정책을 구현할 수 있도록 하여 네트워크를 보호합니다. ISA Server는 인터넷과 내부 클라이언트 컴퓨터 간의 요청과 응답을 모니터하여 기업 네트워크에서 액세스할 수 있는 컴퓨터를 제어합니다. 또한 ISA Server는 내부 클라이언트가 인터넷에서 액세스할 수 있는 컴퓨터를 제어합니다.

ISA Server는 패킷 필터링과 침입 감지를 포함한 많은 보안 옵션을 제공합니다. 사용자 수준 정보나 인터넷 프로토콜(IP) 주소에 기반한 액세스 정책을 만들고 규칙 적용 시기를 제어할 수 있습니다.

ISA Server에는 보안 게시 기능이 있습니다. ISA Server를 사용하여 게시 정책을 정의하여 내부 게시 서버를 보호하고 인터넷 클라이언트에 안전하게 액세스하도록 할 수 있습니다.

ISA Server는 자주 요청하는 개체의 캐시를 구현합니다. 조직이 가장 자주 사용하거나 인터넷 클라이언트가 액세스하는 데이터가 들어 있는 캐시를 구성할 수 있습니다.

ISA Server는 확장 가능합니다. ISA 관리에는 관리자가 고급 프로그래밍 언어나 스크립트 언어를 사용하여 프로그램할 수 있는 대응하는 COM 인터페이스가 있습니다. 핵심 방화벽 기능은 응용 프로그램 필터나 웹 필터를 구현하는 다른 개발자가 확장할 수 있습니다. 캐시 기능은 캐시 응용 프로그램 인터페이스(API)를 사용하여 향상시킬 수 있습니다. ISA 관리 인터페이스는 타사 확장을 위한 통합 관리 도구를 제공하도록 확장할 수 있습니다.

기능 및 사용법 시나리오

00

Microsoft는 현재의 인터넷을 활용한 비즈니스에서 요구하는 보안, 성능 및 관리 효율성 등을 해결하는 제품을 설계하기 위해 고객과 공동으로 작업해 왔습니다. 다음 절에서는 몇 가지 일반적인 사용자 시나리오를 조사하고 ISA Server 기능을 사용하여 네트워크에서 시나리오를 구현하는 방법을 설명합니다.

강력한 보안을 사용한 인터넷 연결

ISA Server는 내부 클라이언트의 인터넷에 대한 보안 게이트웨이의 기능을 수행하는 전용 방화벽으로 구축할 수 있습니다. 액세스 정책을 설정하면 관리자는 네트워크에 비승인 액세스와 악의 있는 컨텐트의 유입을 차단하는 것은 물론 아웃바운드 트래픽을 제한할 수 있습니다.

ISA Server는 네트워크 액세스 보안을 위한 포괄적인 솔루션을 제공합니다. ISA Server는 다음과 같은 방화벽과 보안 기능을 포함하고 있습니다.

  • 나가는 권한 정책. ISA Server를 사용하여 내부 클라이언트가 인터넷에 액세스하는 방법을 제어하는 사이트 및 컨텐트 규칙과 프로토콜 규칙을 구성할 수 있습니다. 사이트와 컨텐트 규칙은 액세스할 수 있는 사이트와 컨텐트를 지정합니다. 프로토콜 규칙은 특정 프로토콜이 인바운드나 아웃바운드 통신을 위해 액세스할 수 있는지 여부를 나타냅니다.
  • 침입 탐지. 통합된 침입 탐지 메커니즘은 네트워크에 대한 특정 공격이 시작될 때 이를 경고할 수 있습니다. 예를 들어, 포트 스캔 시도가 탐지되면 ISA Server 컴퓨터가 사용자에게 경고하도록 구성할 수 있습니다.
  • 시스템 보안 마법사. ISA Server Security Wizard를 사용하면 미리 정의된 템플릿을 사용하여 적절한 보안 수준을 설정하여 Windows 2000을 잠글 수 있습니다.
  • 응용 프로그램 필터. ISA Server는 실제 데이터를 검사하는 응용 프로그램 인식 필터를 사용하여 응용 프로그램 관련 소통량을 분석하게 제어합니다. HTTP(Hypertext Transfer Protocol), FTP(File Transfer Protocol), SMTP(Simple Mail Transfer Protocol), 전자 메일, H.323 회의, 스트리밍 미디어, 원격 프로시저 호출(RPC) 등의 지능적인 필터링 등을 사용할 수 있습니다.
  • VPN 지원. ISA Server는 Microsoft Windows 2000의 통합 가상 개인 네트워킹(VPN) 서비스를 사용하는 표준 기반의 안전한 원격 액세스를 포함하고 있습니다.

생산적인 인터넷 액세스

인터넷 액세스는 현대의 지식 노동자에게는 필수적인 도구입니다. 네트워크 게이트웨이를 통과하는 과도한 인터넷 소통량으로 웹 액세스 성능은 생산성에 병목 현상을 일으킬 수 있습니다. ISA Server의 웹 캐싱 기능은 인터넷 컨텐트를 사용자 가까이에 캐싱하여 더욱 빠른 웹 액세스 성능을 제공합니다. 뿐만 아니라, 정책 기반 액세스 제어를 사용하여 관리자는 하루의 특정 시간, 컨텐트 종류 등을 기준으로 특정 사용자에게 허용되는 웹 사이트를 제한할 수 있습니다. 빠른 캐싱과 액세스 제어를 사용하면 ISA Server는 인터넷 연결을 관리하는 비용을 낮추고 인터넷 사용자의 생산성을 개선하는 데 도움을 줄 수 있습니다. ISA Server는 RAM 캐싱과 효율적인 파일 입/출력을 사용하여 빠른 캐시 성능을 제공합니다.

ISA Server 캐싱 기능은 다음과 같습니다.

  • 계층적 캐싱. ISA Server를 사용하면 캐시 계층을 설정하여 클라이언트가 지리적으로 가장 가까운 캐시에서 액세스할 수 있도록 ISA Server 컴퓨터를 연결할 수 있습니다.
  • 역방향 캐싱. ISA Server는 게시 서버의 HTTP와 FTP 컨텐트를 캐시하여 액세스 가능성을 향상시킬 수 있습니다.
  • 예약 캐싱. 예약 캐시 컨텐트 다운로드 서비스를 사용하면 공통적으로 요청하는 컨텐트를 ISA Server 컴퓨터가 인터넷에서 캐시로 다운로드해야 하는 시기를 구성할 수 있습니다.

빠르고 확장 가능한 게시 및 전자 상거래

조직이 인터넷 전자 상거래 소매업자이건 또는 기업을 확장하려는 대형 조직이건 인터넷은 비즈니스 전략에서 중요한 부분을 차지합니다. 조직은 특히 한 번의 마우스 클릭이 성패를 좌우하는 상황에서 느리고 응답이 없는 전자 상거래 웹 사이트에 돈을 투자할 여유는 없습니다. ISA Server의 웹 캐시는 성장하는 기업과 함께 확장되는 빠른 웹 응답을 사용자에게 제공합니다. 로컬 네트워크에 있는 컴퓨터에서 개체를 요청하는 인터넷 클라이언트도 캐싱을 이용할 수 있습니다.

ISA Server를 사용하면 내부 네트워크의 보안을 손상시키지 않고 인터넷에 서비스를 게시할 수 있습니다. 내부 서버의 보안 계층을 향상시키면서 어떤 요청을 ISA Server 컴퓨터 뒤에 있는 다운스트림 서버에 보내야 할지 결정하는 웹 게시와 서버 게시 규칙을 구성할 수 있습니다.

ISA Server 기능을 사용하여 다음과 같은 서버를 게시할 수 있습니다.

  • 안전한 웹 게시. 웹 게시 규칙을 사용하면 내부 웹 서버에 안전하게 액세스할 수 있습니다. 웹 게시 규칙은 외부 클라이언트에게 내부 웹 서버에 대한 액세스 권한을 부여하면서 불필요한 액세스는 금지합니다.
  • 안전한 응용 프로그램 서버 게시. 서버 게시 규칙을 사용하면 게시 서버에 지루한 구성이나 설치 절차를 요구하지 않고 내부 서버가 특정 클라이언트에 액세스하도록 할 수 있습니다.

    ISA Server에는 로컬 네트워크에서 Exchange Server 구성을 쉽게 도와주는 Mail Server Security 마법사가 포함되어 있습니다.

통합 관리

보안과 캐싱을 별도로 관리하면 대개 별도의 네트워크 기술, 인프라 장비 및 숙련된 관리자가 필요하므로 복잡성, 비용 및 불일치가 증가합니다. ISA Server의 단일화된 정책 기반 관리 도구는 관리자가 중앙 위치에서 인터넷 연결을 안전하게 관리하여 네트워크 복잡성을 줄이고 총 소유 비용을 낮추도록 도와 줍니다.

조직은 종종 일관성 있는 방화벽과 캐시 정책에서 혜택을 받습니다. ISA Server로 관리를 통합하면 방화벽과 캐시 인프라를 별도 관리할 필요 없이 이들 정책을 한 곳에서 관리할 수 있습니다.

2장: 계획 시 고려할 사항 Back to Top

이 장에서는 Microsoft ISA(Internet Security and Acceleration) Server를 계획하고 조직에 구축하는 데 필요한 정보에 중점을 둡니다. 이 장이 ISA Server를 구축하는 데 필요한 많은 정보를 제공하지만 모든 네트워킹 문제를 다루지는 않습니다.

아래의 표는 ISA Server 구축을 계획할 때 고려해야 하는 항목을 나타낸 것입니다.

문제
 설명
 참조
컴퓨터는 몇 대나 필요한가?
 하드웨어 구성과 인터넷 연결은 ISA Server를 사용하는 방법에 따라 다릅니다.
 "용량 계획 지침"
어떤 ISA Server 기능이 필요한가?
 특정 네트워크 요구를 만족하는 특정 ISA Server 기능을 선택할 수 있습니다.
 "ISA Server 기능 선택"
사용자의 요구 사항은 무엇인가?
 클라이언트 구성 방법을 결정할 수 있도록 사용자가 요구하는 응용 프로그램과 서비스를 확인합니다.
 "클라이언트 요구 사항 평가"
기존 네트워크를 다시 구성해야 하는가?
 ISA Server가 기존 네트워크와 어떻게 상호 작용할지 생각합니다.
 기존 네트워크 고려 사항

이 장은 4가지 절로 이루어져 있습니다.

  • 용량 계획 지침
  • ISA Server 기능 선택
  • 클라이언트 요구 사항 평가
  • 다른 네트워크 서비스와의 상호 작용

용량 계획 지침

성능을 개선하려면 예상되는 부하를 만족시키는 ISA Server 하드웨어와 인터넷 연결을 계획해야 합니다. 다음 절에서는 다양한 사용 시나리오에 대해 권장하는 시스템 구성에 대해 설명합니다.

최소 요구 사항

ISA Server를 사용하려면 다음과 같은 시스템이 필요합니다.

  • 300MHz 이상의 Pentium II 호환 CPU가 있는 개인용 컴퓨터
  • 운영 체제의 경우 컴퓨터는 서비스 팩 1 이상이 설치된 Microsoft Windows 2000 Server, 서비스 팩 1 이상이 설치된 Windows 2000 Advanced Server 또는 Windows 2000 Datacenter Server를 실행해야 합니다.
  • 256MB RAM
  • 20MB의 사용 가능한 공간
  • 내부 네트워크와 통신하기 위해 Windows 2000 호환 네트워크 어댑터
  • NTFS 파일 시스템으로 포맷한 로컬 하드 디스크 파티션 한 개

ISA Server를 실행하는 컴퓨터에서 최대 4개의 프로세스를 사용할 수 있습니다. ISA Server는 5개 이상의 프로세서를 가진 컴퓨터에 설치되지 않습니다.

방화벽이나 통합 모드에서 ISA Server를 사용하는 경우 네트워크 어댑터가 두 개 필요합니다.

참고 항상 최신 서비스 팩을 사용하십시오.

원격 관리 요구 사항

원격으로 ISA Server를 관리하려면 Windows 2000 Professional 이상을 실행할 수 있는 ISA Management만 설치해야 합니다.

대신, ISA Server를 실행하는 컴퓨터의 원격 관리 모드에서 터미널 서비스를 설치할 수 있습니다. 이 경우 모든 원격 관리에 대해 다른 컴퓨터에 ISA Management 도구를 설치할 필요가 없습니다. 대신, 터미널 서비스 세션을 사용하여 ISA Server를 관리할 수 있습니다.

정방향 캐싱 요구 사항

ISA Server는 웹 브라우저 클라이언트에 액세스할 수 있는 자주 요청하는 인터넷 개체를 중앙의 캐시에서 관리하는 정방향 캐싱 서버로 구축할 수 있습니다. 이 경우에, 얼마나 많은 웹 브라우저 클라이언트가 인터넷에 액세스할 것인지 고려하십시오. 아래의 표는 인터넷에 있는 개체에 액세스할 것으로 예상되는 내부 클라이언트 수에 맞는 하드웨어 구성을 나열합니다.

사용자 수
 ISA Server 컴퓨터
 RAM(MB)
 캐싱에 할당된 디스크 공간
최대 500명
 Pentium II, 300 MHz 프로세서를 가진 단일 ISA Server 컴퓨터
 256
 2GB-4GB
500 - 1,000
 Pentium III, 550 MHz 프로세서가 두 개인 단일 ISA Server 컴퓨터
 256
10GB
1,000명 이상
 Pentium III, 550 MHz 프로세서를 가진 ISA Server 컴퓨터 두 대
각 서버에 256
 각 서버에 10GB

사용자가 1,000명을 초과하면 더 빠른 프로세서와 더 많은 메모리를 가진 하드웨어를 사용하거나 ISA Server 컴퓨터 추가를 고려할 수 있습니다. 자세한 내용은 "컴퓨터 추가"를 참조하십시오.

둘 이상의 ISA Server 컴퓨터를 설치할 때는 컴퓨터를 일렬로 그룹화할 수 있는 ISA Server, 엔터프라이즈 버전으로 업그레이드를 고려하십시오. 자세한 내용은 5장 "ISA Server, 엔터프라이즈 버전으로 업그레이드"를 참조하십시오.

게시 요구 사항(역방향 캐싱)

ISA Server는 데이터를 요청하는 외부 사용자를 위한 캐싱을 제공할 수 있습니다. 예를 들어, 상용 웹 비즈니스를 호스트하거나 업무 파트너에 대한 액세스를 제공하는 인터넷 및 조직의 웹 서버 사이에 구축할 수 있습니다. 이 경우 외부 클라이언트가 얼마나 자주 게시 서버에 있는 개체를 요청하는지 고려해야 합니다.

아래의 표는 역방향 캐싱 시나리오에서 인터넷(외부) 사용자로부터 예상되는 요청 수에 맞는 하드웨어 구성을 나열합니다.

초 당 적중 개수
 ISA Server 컴퓨터
100개 이하
 Pentium II, 300 MHz 프로세서를 가진 단일 ISA Server 컴퓨터
최대 250개
 Pentium III, 450MHz 프로세서를 가진 단일 ISA Server 컴퓨터
250개 이상
 Pentium III, 550MHz 프로세서를 가진 ISA Server 컴퓨터
각각 초 당 250개의 적중 수를 갖는 추가 ISA Server 컴퓨터. 성능 모니터를 사용하여 병목을 확인하고 필요하면 추가 서버나 강력한 하드웨어를 추가할 수도 있습니다.

RAM의 경우 메모리 요구 사항은 게시하려는 캐시 가능한 컨텐트 크기에 따라 다릅니다. 이상적으로 모든 캐시 가능한 컨텐트는 메모리에 맞아야 합니다. 예를 들어, 게시하는 웹 사이트가 250MB의 컨텐트로 구성된 경우 256MB의 RAM이면 충분합니다.

컴퓨터 추가

위에서 자세히 설명한 용량 계획을 지침으로 하여 ISA Server 컴퓨터가 몇 대 필요한지 결정할 수 있습니다. 어떤 경우에는 추가 ISA Server 컴퓨터를 추가하거나 기존 컴퓨터에 프로세서를 추가하여 성능을 높일 것인지 결정해야 합니다. 각 옵션마다 장점이 다릅니다.

새 컴퓨터를 추가할 때는 ISA Server 컴퓨터 배열을 만들 수 있도록 ISA Server 엔터프라이즈 버전으로 업그레이드하는 것을 고려하십시오. 배열은 더 나은 내결함성 시스템을 보장해 줍니다. 한 컴퓨터가 작동을 멈추면 다른 컴퓨터가 기능을 계속하게 됩니다. 뿐만 아니라, ISA Server의 중앙 배열 관리 때문에 서버를 배열에 추가할 때 몇 가지 추가 ISA Server 관리 문제가 있음을 의미합니다.

반면에 다른 컴퓨터를 추가하면 추가 하드웨어를 구입하고 관리해야 할뿐 아니라 컴퓨터에 다른 소프트웨어(예: 운영 체제)를 설치해야 한다는 것을 의미합니다.

ISA Server 기능 선택

ISA Server는 방화벽과 캐싱 기능을 모두 설치할 수 있습니다. 방화벽 기능만 설치하거나 캐시 기능만 설치할 수도 있습니다. 설치 프로세스의 일부로 방화벽, 캐시 또는 통합 모드 중에서 설치 모드를 선택합니다.

방화벽 모드에서는 기업 네트워크와 인터넷 간의 통신을 제어하는 규칙을 구성하여 네트워크 통신 보안을 유지할 수 있습니다. 방화벽 모드에서는 또한 내부 서버를 게시하여 내부 서버의 데이터를 인트라넷 사용자와 공유할 수도 있습니다.

캐시 모드에서는 자주 액세스하는 개체를 사용자 가까이에 저장하여 네트워크 성능을 개선하고 대역폭을 절약할 수 있습니다. 인터넷 사용자의 요청을 적절한 웹 서버로 라우팅할 수 있습니다.

통합 모드에서는 모든 캐시와 방화벽 기능을 사용할 수 있습니다. 캐시 성능 요구와 보안 요구를 모두 고려하는 정책을 구성할 수 있습니다.

선택하는 모드에 따라 여러 가지 기능을 사용할 수 있습니다. 아래의 표는 방화벽과 캐시 모드에 어떤 기능을 사용할 수 있는지 나열합니다. 통합 모드에서는 모든 기능을 사용할 수 있습니다.

ISA Server 기능 선택

기능
 방화벽
 캐시
액세스 정책
예(HTTP와 HTTPS 프로토콜만 해당)
응용 프로그램 필터
아니오
캐시 구성
 아니오
방화벽과 SecureNAT 클라이언트 지원
아니오
패킷 필터링
아니오
실시간 모니터링

보고서

서버 게시
아니오
가상 개인 네트워킹
아니오
웹 필터

웹 게시

웹 프록시 클라이언트 지원

클라이언트 요구 사항 평가

ISA Server는 다음 종류의 클라이언트를 지원합니다.

  • 웹 프록시 클라이언트. 웹 프록시 클라이언트는 요청을 직접 ISA Server에 보내지만 인터넷 액세스는 브라우저로 제한됩니다. HTTP 1.1을 웹 프록시 클라이언트로 지원하는 웹 브라우저를 구성할 수 있습니다.
  • SecureNAT 클라이언트. 보안 네트워크 주소 변환(SecureNAT) 클라이언트는 보안과 캐싱을 제공하지만 사용자 수준 인증은 허용하지 않습니다. SecureNAT 클라이언트를 구성하려면 클라이언트 컴퓨터의 기본 게이트웨이를 ISA Server의 인터넷 프로토콜(IP) 주소로 설정하기만 하면 됩니다. SecureNAT 클라이언트는 기본 게이트웨이 변경 이외의 구성은 요구하지 않기 때문에 TCP/IP를 사용하는 모든 컴퓨터는 SecureNAT 클라이언트가 될 수 있습니다.
  • 방화벽 클라이언트. 방화벽 클라이언트는 TCP와 사용자 데이터그램 프로토콜(UDP)을 사용하는 요청에 대해 아웃바운드 액세스의 경우 사용자별로 액세스를 제한합니다. 방화벽 클라이언트를 구성하려면 각 클라이언트 컴퓨터에서 방화벽 클라이언트 프로그램을 설치해야 합니다. Microsoft Windows Millennium Edition, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0 또는 Windows 2000을 실행하는 컴퓨터에서만 방화벽 클라이언트 프로그램을 설치할 수 있습니다.

클라이언트 소프트웨어를 구축하거나 구성하기 전에 조직의 요구를 평가합니다. 내부 클라이언트가 어떤 응용 프로그램과 서비스를 요구하는지 확인합니다. 서버를 게시하는 방법을 평가한 다음, 이 요구를 ISA Server가 지원하는 클라이언트 종류에 매핑합니다.

요구
 클라이언트 종류
내부 클라이언트의 웹 요청 성능 개선
 웹 프록시 클라이언트
클라이언트 소프트웨어 구축이나 클라이언트 컴퓨터 구성하지 않음
 SecureNAT 클라이언트. SecureNAT 클라이언트는 소프트웨어나 특정 구성을 요구하지 않습니다
Microsoft 이외의 운영 체제를 가진 환경에서 웹 성능 개선
 SecureNAT 클라이언트. SecureNAT 클라이언트 요청은 ISA Server의 방화벽 서비스로 투명하게 전달된 다음 캐싱을 위해 캐싱 서비스로 전달됩니다.
내부 네트워크에 있는 서버 게시
 SecureNAT 클라이언트. 내부 서버는 SecureNAT 클라이언트로 게시할 수 있으며 게시 서버에서 특정 구성 설정을 만들 필요가 없습니다. 게시 서버를 방화벽 클라이언트로 설정하는 것은 좋지 않습니다.
승인된 사용자만 인터넷 액세스 허용
 방화벽 클라이언트. 방화벽 클라이언트에 대해 사용자 기반 액세스 정책 규칙을 구성할 수 있습니다.

다른 네트워크 서비스와의 상호 작용

전에는 Windows 2000 Server에서 라우팅과 원격 액세스를 사용하여 네트워크 서비스와 컴퓨터를 원격 클라이언트가 사용할 수 있도록 한 적이 있을 것입니다. ISA Server는 원격 연결을 제공하고 광범위하고 유연한 보안 기능을 제공하여 라우팅과 원격 액세스를 확장합니다. ISA Server 패킷 필터링은 라우팅과 원격 액세스 패킷 필터링을 대체합니다. ISA Server는 라우팅과 원격 액세스를 위해 구성된 전화 접속 연결을 사용합니다.

마찬가지로, 인터넷에 액세스하기 위해 이전에 Windows 2000의 인터넷 연결 공유(ICS)나 네트워크 주소 변환(NAT) 기능을 사용한 적이 있을 것입니다. ISA Server는 조직의 기능을 대체하고 향상시키면서 NAT나 ICS 대신 사용할 수 있습니다. ISA Server는 NAT나 ICS가 사용할 수 있는 연결을 제공하고 복잡한 보안과 캐싱 기능을 추가합니다.

3장: ISA Server 설치 Back to Top

이 장에서는 Microsoft ISA(Internet Security and Acceleration) Server를 설치하는 방법을 설명합니다.

이 장은 4가지 절로 이루어져 있습니다.

  • ISA Server를 설치하기 전에
  • ISA Server 설치
  • 다음 단계

ISA Server를 설치하기 전에

ISA Server를 설치하기 전에 하드웨어를 설치하고 ISA Server를 실행할 컴퓨터의 소프트웨어를 구성해야 합니다.

다음 절의 정보를 사용하여 ISA Server 컴퓨터가 사전 설치 요구 사항을 만족하는지 확인하십시오. 작업에 대한 자세한 내용은 하드웨어 구성요소나 Microsoft Windows 2000에서 제공하는 설명서를 참조하십시오.

네트워크 어댑터 설치

직접 연결(예: T1, T3, xDSL 또는 케이블 모뎀)이나 전화 접속 연결을 통해 네트워크를 인터넷에 연결할 수 있습니다. 직접 연결을 선택한 경우 ISA Server를 실행하는 컴퓨터를 인터넷에 연결하는 네트워크 어댑터를 설치해야 합니다.

외부 네트워크 어댑터의 TCP/IP 등록 정보를 설정할 때 ISP에게 올바른 설정을 확인하십시오. DNS 이름 검색에 사용할 DNS 서버의 IP 주소, 서브넷 마스크, 기본 게이트웨이 및 IP 주소를 알아야 합니다. 경우에 따라 ISP가 클라이언트 주소의 동적 할당을 위해 DHCP 또는 부트스트랩 프로토콜(BOOTP)을 사용할 수 있습니다.

일반적으로 ISA Server는 IP 기본 게이트웨이 하나만 가지게 됩니다. 내부 네트워크 어댑터가 아닌 외부 네트워크 어댑터에만 기본 게이트웨이의 IP 주소를 구성해야 합니다. 내부 카드의 기본 게이트웨이 설정은 비워두면 됩니다.

네트워크 어댑터를 설정하는 설명은 Windows 온라인 도움말을 참조하십시오.

TCP/IP 설정

내부 네트워크 어댑터의 TCP/IP 등록 정보를 설정할 때 ISA Server 컴퓨터에 영구 예약된 IP 주소와 로컬 네트워크의 적절한 서브넷 마스크를 입력해야 합니다. DHCP에 의해 할당된 주소는 ISA Server 컴퓨터에 선택된 기본 게이트웨이를 재설정할 수 있으므로 내부 네트워크 어댑터에 사용해서는 안됩니다. 외부 네트워크 어댑터는 DHCP 또는 기본 게이트웨이와 DNS 설정을 포함하여 정적으로 정의된 IP 주소를 사용할 수 있습니다.

설정한 후에 Windows 2000 Server에 제공된 Ping.exe 유틸리티나 이와 유사한 유틸리티를 다른 내부 IP 클라이언트 컴퓨터에 사용하여 네트워크 연결을 확인하고 네트워크 어댑터와 기타 하드웨어가 제대로 구성되었는지 확인할 수 있습니다.

모뎀 또는 ISDN 어댑터 설정

외부 네트워크 어댑터를 사용하여 직접 연결 대신 전화 접속 연결을 통해 인터넷에 연결을 선택한 경우 서버에 모뎀이나 ISDN 어댑터를 사용해야 합니다.

ISDN 어댑터에 따라 Windows 2000에서 두 ISDN 채널을 보지 못할 수 있습니다. 일반적으로 ISDN 카드용 드라이버는 두 번째 채널에 대해 대역폭 기반 연결을 관리하므로 Windows 2000을 사용하여 드라이버를 관리할 수 없습니다. 두 채널 모두 구성할 수 있도록 네트워크 어댑터가 설정되었으며 ISP가 두 채널을 사용하는 연결을 지원하는지 확인하십시오.

ISDN 어댑터나 모뎀을 설정하는 자세한 내용은 Windows 2000 도움말을 참조하십시오.

Windows 2000 라이팅 테이블

로컬 주소 테이블(LAT)은 ISA Server 컴퓨터 뒤에 있는 내부 네트워크가 사용하는 모든 IP 주소 범위를 가진 테이블입니다. ISA Server는 LAT를 사용하여 내부 네트워크의 시스템과 외부 네트워크가 통신하는 방법을 제어하고 패킷 필터 드라이버를 로드하여 어떤 네트워크 어댑터를 보호해야 하는지 결정합니다.

ISA Server는 Windows 2000 라우팅 테이블에 기반하여 LAT를 구축할 수 있습니다. 또한 RFC 1918의 IANA(Internet Assigned Numbers Authority)에서 정의한 개인 IP 주소 범위를 선택할 수도 있습니다. 이 세 블록의 주소는 개인 인트라넷 전용으로 예약되어 있으며 공개 인터넷에서는 절대 사용할 수 없습니다.

컴퓨터가 라우팅된 내부 네트워크에 연결되어 있는데 라우팅 토폴로지나 정적 경로 추가 방법을 잘 모르는 경우 내부 클라이언트가 사용하는 IP 주소 범위를 포함하도록 테이블을 수동으로 구축할 수 있습니다.

기본 게이트웨이는 ISA Server 컴퓨터의 내부 인터페이스에 설정할 수 없기 때문에 완벽한 연결을 얻기 위해서는 내부 네트워크에 정적 경로를 만들어야 합니다. 명령 프롬프트에서 ROUTE 명령을 사용하여 만들 수 있습니다.

LAT을 올바로 구성하면 ISA Server가 내부 네트워크의 다른 부분에 액세스하기 위해 어떤 네트워크 어댑터를 사용할지 결정할 수 있습니다. 라우팅 테이블을 올바로 설정하지 못하면 LAT가 제대로 구축되지 않을 수 있습니다. 그럴 경우 내부 IP 주소에 대한 클라이언트 요청이 인터넷에 제대로 라우팅되지 않거나 방화벽 서비스를 통해 리디렉션될 수 있습니다.

필요할 경우 설치 후에 LAT를 수동으로 편집하여 ISA Server 컴퓨터와 방화벽 클라이언트가 ISA Server를 사용하고 리소스에 직접 액세스하는 시기를 올바로 결정할 수 있도록 내부 라우터에 있는 것을 포함하여 조직 내부의 다른 모든 네트워크 세그먼트를 포함시켜야 합니다.

LAT를 만들 때 개인 네트워크의 주소만 포함해야 합니다. 즉, ISA Server 컴퓨터의 외부 주소, 모든 인터넷 사이트 또는 인터넷 서비스 공급자 측의 DNS 서버를 포함한 다른 외부 주소는 추가하지 말아야 한다는 뜻입니다. LAT를 올바로 구성하지 않을 경우 네트워크는 공격 받기 쉽습니다.

LAT는 ISA Server 컴퓨터의 중앙에 유지됩니다. 방화벽 클라이언트는 미리 설정된 일정한 간격으로 LAT 업데이트를 자동으로 다운로드하고 수신합니다.

ISA Server 설치

ISA Server를 설치할 때 다음 정보를 제공하도록 요청 받습니다.

  • CD 키. 이 키는 ISA Server CD-ROM 케이스 뒷면에 있는 10자리 숫자입니다.
  • 설치 옵션. 표준 설치, 전체 설치 또는 사용자 지정 설치를 선택할 수 있습니다.
  • 모드. 방화벽 모드, 캐시 모드 또는 통합 모드로 ISA Server를 설치할 수 있습니다.
  • 캐시 구성. 통합 모드나 캐시 모드에서 ISA Server를 설치할 경우 사용할 캐시 드라이버와 캐시 크기를 구성해야 합니다.
  • 로컬 주소 테이블(LAT) 구성. 통합 모드나 방화벽 모드에서 ISA Server를 설치할 경우 LAT에 포함할 주소 범위를 구성해야 합니다.

중요 ISA Server를 설치하기 전에 Windows 2000 서비스 팩 1 이상이 설치되어 있는지 확인하십시오.

서버 소프트웨어를 설치하려면 다음 단계를 수행하십시오.

  1. ISA Server CD-ROM을 CD-ROM 드라이브에 넣거나 공유 네트워크 폴더에서 ISAautorun.exe를 실행합니다.
  2. Microsoft ISA Server Setup에서 Install ISA Server를 누릅니다.
  3. 최종 사용자 사용권 계약에서 설명하는 규정과 내용을 승인하는 경우 Continue를 누릅니다.
  4. 제품 상자에 있는 제품 등록 번호를 입력합니다.
  5. 최종 사용자 사용권 계약 내용을 읽고 규정과 내용에 동의하는 경우 I Agree를 누릅니다.
  6. Typical Installation, Full Installation 또는 Custom Installation을 누릅니다.

    Custom Installation을 누른 경우 설치할 ISA Server 구성 요소에 해당하는 확인란을 선택합니다. 선택할 수 있는 구성 요소는 다음과 같습니다.

    • ISA 서비스
    • 추가 기능 서비스
    • 관리 도구
  7. 설치할 ISA Server 모드를 누릅니다.
  8. 설치 프로그램이 인터넷 정보 서비스(IIS)를 중지한다는 경고 메시지를 나타낸 후에 캐시 모드나 통합 모드에서 설치를 선택한 경우 캐시 드라이브를 구성합니다.
  9. 방화벽 모드나 통합 모드에서 ISA Server를 설치하는 경우 LAT를 구성합니다.
  10. ISA Server를 시작할 때 Getting Started Wizard를 실행하려면 Start ISA Administrator Getting Started Wizard 확인란을 선택합니다.

참고

  1. 설치 프로그램은 기본 포트가 80, HTTP 표준이기 때문에 IIS 웹 서비스를 중지합니다. ISA Server는 이 포트를 사용하여 웹 게시를 허용하고 웹 게시 규칙을 만들 때 이 포트에서 내부와 외부 클라이언트의 웹 요청을 수신합니다.
  2. ISA Server를 설치하는 동안 캐싱에 사용할 수 있는 디스크 드라이브를 선택할 수 있습니다. 기본적으로 설치 과정은 가장 큰 NTFS 파티션을 검색하고 최소 150MB의 여유 공간이 있을 경우 기본 캐시 크기를 100MB로 설정합니다. 캐시 드라이브를 구성할 때 NTFS 파일 시스템을 사용하여 포맷한 드라이브를 적어도 하나 할당하고 캐싱을 위해 최소한 5MB를 할당해야 합니다. 그러나, 적어도 100MB를 할당하고 HTTP나 FTP 프로토콜을 사용하는 각 클라이언트에 대해 가장 가까운 MB로 반올림한 0.5MB를 추가하는 것이 좋습니다.

다음 단계

설치 후에 ISA Server는 기업 네트워크와 인터넷 간의 모든 통신을 효과적으로 차단합니다. 액세스 정책을 구성할 때까지 명시적으로 액세스를 허용하는 프로토콜 규칙 및 사이트와 컨텐트 규칙을 사용하여 통신은 허용되지 않습니다. 마찬가지로, 내부 네트워크에 있는 컴퓨터에 인터넷 클라이언트가 액세스할 수 있도록 하려면 게시 규칙을 구성해야 합니다.

설치 후 기본 설정

설치한 후에 ISA Server는 아래 표에 나열된 기본 설정을 사용합니다.

기능
 기본 설정
사용자 권한
 로컬 컴퓨터에 있는 관리자 그룹의 구성원은 정책을 구성할 수 있습니다.
로컬 주소 테이블
 설치 프로세스 동안 지정한 항목을 포함합니다.
패킷 필터링
 방화벽 모드와 통합 모드에서 사용되며
캐시 모드에서는 사용되지 않습니다.
액세스 제어
 "Allow Rule"이라는 기본 사이트 및 컨텐트 규칙은 항상 모든 사이트의 모든 컨텐트에 대해 모든 클라이언트 액세스를 허용합니다. 그러나, 프로토콜 규칙이 정의되지 않았기 때문에 소통량 통과는 허용되지 않습니다.
게시
 내부 서버는 외부 클라이언트에 액세스할 수 없습니다. 기본 웹 게시 규칙은 모든 요청을 무시합니다.
라우팅
 모든 웹 프록시 클라이언트 요청을 인터넷에서 직접 검색합니다.
캐싱
 캐시 크기는 설치 동안 지정된 크기로 설정됩니다. HTTP와 FTP 캐싱이 사용됩니다. 활성 캐싱은 사용되지 않습니다.
경고
 모든 포트 스캔 공격, 삭제된 패킷, 프로토콜 위반 및 UDP bomb 공격 등을 제외한 모든 경고가 활성화됩니다.
클라이언트 구성
 설치하거나 구성하면 방화벽과 웹 프록시 클라이언트는 자동 검색을 사용할 수 있습니다. 방화벽 클라이언트의 웹 브라우저 응용 프로그램은 방화벽 클라이언트가 설치될 때 구성됩니다.

Getting Started Wizard

ISA Server를 설치한 후에 ISA Server를 사용하여 기업 보안과 인터넷 액세스 지침을 구현할 수 있습니다. 첫 번째 단계로 네트워크를 설명하는 정책 요소를 만들어야 합니다. 컴퓨터를 클라이언트 주소 집합으로 그룹화하고 사용자는 Windows 2000 보안 그룹으로 그룹화합니다. 인터넷에 있는 컴퓨터와 도메인을 포함하는 대상 집합을 만듭니다. 인터넷과 통신하는 데 사용할 수 있는 프로토콜을 정의합니다. 그런 다음 정책 규칙을 만들 때 기업 지침을 구현하는 정책 요소를 사용합니다.

Getting Started Wizard는 ISA Server 정책을 정의하고 구성하는 단계를 안내합니다. 완료하고 나면 ISA Server는 인터넷에 대한 네트워크 연결을 안전하게 지켜줍니다.

Getting Started Wizard는 다음 작업 수행에 도움을 줍니다.

  • 규칙을 만들 때 사용할 정책 요소 만들기
  • 프로토콜 규칙 및 사이트와 컨텐트 규칙 만들기
  • 시스템 보안 수준 설정 및 패킷 필터링 구성
  • 클라이언트 요청을 대상 서버로 경로 지정하는 방법을 결정하기 위한 라우팅과 체인 구성
  • 어떤 개체를 캐시할 것인지 결정하기 위한 캐시 정책 만들기

ISA Server 정책을 구성한 후에 네트워크에서 클라이언트를 설정하고 구성하는 방법을 알려면 5장을 읽으십시오. 그런 다음 6장을 읽으면 특정 구축 시나리오를 배울 수 있습니다.

4장: Microsoft Proxy Server 2.0에서 마이그레이션 Back to Top

Microsoft ISA(Internet Security and Acceleration) Server는 Microsoft Proxy Server 2.0 사용자를 위한 완전한 마이그레이션 경로를 지원합니다. 대부분의 프록시 서버 규칙, 네트워크 설정, 모니터링 구성 및 캐시 구성은 ISA Server로 마이그레이션됩니다. 뿐만 아니라, ISA Server는 이기종 클라이언트 기반에서 자체 방화벽 클라이언트 소프트웨어와 함께 Winsock 프록시 클라이언트 소프트웨어를 계속 지원합니다.

ISA Server는 Proxy Server 2.0에 비해 많은 새 기능이 추가되고 변경되었습니다. 이 변경은 서버 구성과 업그레이드 시나리오에 영향을 미칩니다. 이 장에서는 관리자가 ISA Server로 업그레이드하는 프로세스 일부로 고려해야 하는 주요 항목에 대해 설명합니다.

이 장은 4가지 절로 이루어져 있습니다.

  • 마이그레이션하는 이유
  • 마이그레이션 프로세스
  • Proxy Server 2.0 구성 마이그레이션

마이그레이션하는 이유

ISA Server는 "프록시"보다 기능이 풍부하지만 Proxy Server 2.0의 뒤를 잇는 제품입니다. Proxy Server 2.0과 비교하여 ISA Server의 새 기능이나 상당히 개선된 기능은 다음과 같습니다.

  • 안정적인 검사, 폭 넓은 응용 프로그램 지원 및 통합된 침입 감지의 기능이 있는 다중 레이어 방화벽
  • 통합된 가상 개인 네트워킹
  • 시스템 강화
  • 컨텐트 예약 다운로드를 포함하여 RAM 캐싱과 최적화된 캐시 저장소
  • 그래픽 작업 창과 공통 작업을 위한 마법사를 포함하여 단일화된 관리 콘솔
  • 모든 클라이언트에 투명
  • 고급, 통과 및 SSL(Secure Sockets Layer) 인증 지원
  • 사용자 지정 경고, 세부 로깅 및 보고를 포함한 향상된 모니터링 기능
  • 포괄적인 소프트웨어 개발 키트를 갖춘 확장 가능한 플랫폼

마이그레이션 프로세스

Proxy Server 2.0 컴퓨터의 배열을 마이그레이션하려면 모든 구성원을 제거하는 것이 좋습니다. 각 구성원은 배열에 있는 모든 서버에 복제한 동일한 규칙을 유지합니다. 또한, 모든 서버는 동일한 네트워크 구성(예: 필요 시 전화 접속 설정)과 모니터링 구성(예: 경고)을 유지합니다.

Microsoft Proxy Server 2.0을 ISA Server, 스탠더드 버전으로 마이그레이션할 때 ISA Server를 배열 구성원으로 설치할 수 없습니다. ISA Server를 배열 구성원으로 설치하려면 ISA Server, 엔터프라이즈 버전을 설치해야 합니다.

Proxy Server 2.0을 ISA Server로 마이그레이션을 준비할 때 고려해야 할 추가 문제가 많이 있습니다.

  • Proxy Server 1.0, BackOffice Server 4.0 또는 Small Business Server 4.0에서 직접 업그레이드하는 것은 지원되지 않습니다.
  • ISA Server로 업그레이드를 시작한 후에 Proxy Server 2.0으로 돌아오는 자동 옵션은 없습니다.
  • ISA Server는 IPX 프로토콜을 지원하지 않습니다.
  • Proxy Server 2.0에서 업그레이드하기 전에 현재 설정의 전체 백업을 수행하십시오.

또한 ISA Server는 Windows 2000 Server 이상을 실행하는 컴퓨터에만 설치할 수 있습니다. 따라서 Microsoft Proxy Server 2.0의 현재 버전이 Windows NT 4.0에서 실행되는 경우 다음 단계를 수행하십시오.

  1. 모든 프록시 서버 서비스를 중지하고 사용하지 않도록 합니다. 이렇게 하려면 명령 프롬프트에 net stop 서비스 이름을 입력합니다. 다음은 프록시 서버 서비스와 해당 서비스 이름입니다.

    프록시 서버 서비스

    서비스 이름

    Microsoft Winsock 프록시 서비스

    wspsrv

    Microsoft Proxy Server 관리

    mspadmin

    프록시 경고 알림 서비스

    mailalrt

    World Wide Web Publishing 서비스

    w3svc

  2. Windows 2000으로 업그레이드합니다. Windows 2000에서는 Proxy Server 2.0이 작동하지 않는다는 메시지가 나타날 수 있습니다. 이 메시지는 무시해도 좋습니다. 자세한 내용은 http://www.microsoft.com/proxy/default.asp 의 Proxy Server 2.0 홈 페이지를 참조하십시오.
  3. 이제 ISA Server 설치 프로그램을 시작할 수 있습니다. 특정 지침은 3장을 참조하십시오.

설치할 때 방화벽 작업에 필요한 핵심 서비스는 비활성화되기 때문에 설치 절차를 수행하는 동안 업그레이드할 컴퓨터는 인터넷에서 연결 해제하는 것이 좋습니다.

Proxy Server 2.0 구성 마이그레이션

대부분의 프록시 서버 규칙, 네트워크 설정, 모니터링 구성 및 캐시 구성은 ISA Server로 마이그레이션됩니다.

프록시 체인

Proxy Server 2.0과 ISA Server 컴퓨터의 혼합 체인이 지원됩니다.

Proxy Server 2.0을 실행하는 컴퓨터가 ISA Server 컴퓨터의 다운스트림이면 웹 프록시 체인만 지원됩니다. Proxy Server 2.0은 업스트림 Winsock 프록시 체인을 지원하지 않습니다.

ISA Server 컴퓨터가 다운스트림 서버이면 웹 프록시와 방화벽 체인이 모두 지원됩니다. Proxy Server 2.0에서는 "방화벽 체인"을 "Winsock 프록시 체인"이라고 합니다.

웹 프록시 클라이언트 요청

Proxy Server 2.0은 클라이언트 HTTP 요청을 포트 80에서 수신했지만 ISA Server를 설치하면 웹 프록시 서비스를 포트 8080에서 수신합니다. 따라서, ISA Server 컴퓨터에 연결되는 모든 다운스트림 구성원(또는 브라우저)는 포트 8080에 연결해야 합니다. 또한 ISA Server가 포트 80에서 수신하도록 구성할 수 있습니다.

게시

Proxy Server 2.0은 게시 서버를 Winsock 프록시 클라이언트로 구성하도록 요구했습니다. ISA Server를 사용하면 게시 서버에 특별한 구성이나 소프트웨어 설치 없이도 내부 서버를 게시할 수 있습니다. 대신 ISA Server 컴퓨터는 게시 서버를 SecureNAT 클라이언트로 취급합니다. ISA Server 컴퓨터에 구성된 웹 게시 규칙과 서버 게시 규칙을 사용하면 서버는 특정 외부 클라이언트에 안전하게 액세스할 수 있습니다. 게시 서버에는 추가 구성이 필요하지 않습니다.

캐시

Proxy Server 2.0 캐시 구성은 캐시 드라이브 사양, 크기 및 기타 등록 정보를 포함하여 ISA Server로 마이그레이션됩니다.

ISA Server의 캐시 저장 엔진은 아주 다르고 더 복잡하기 때문에 Proxy Server 2.0 캐시 컨텐트는 마이그레이션되지 않습니다. ISA Server 설치의 일부로 삭제되고 기존 캐시와 드라이브 설정에 기반하여 새 저장 엔진이 만들어집니다.

참고 캐시 크기와 캐시에 있는 개체 수에 따라 삭제 프로세스는 시간이 걸릴 수 있습니다.

SOCKS

ISA Server는 SOCKS 응용 프로그램 필터를 포함하고 있어 클라이언트 요청이 허용되는지 확인하기 위해 해당 정책을 사용하여 클라이언트 SOCKS 응용 프로그램이 네트워크와 통신할 수 있습니다. Proxy Server 2.0 SOCKS 규칙을 ISA Server 정책으로 마이그레이션하는 것은 지원하지 않습니다.

인증

ISA Server는 기본, 다이제스트, 통합 Windows 및 클라이언트 인증서와 같은 인증 방법을 지원합니다. 기본적으로 ISA Server를 설치할 때 통합 Windows 인증 방법은 웹 요청에 대해 구성됩니다. Proxy Server 2.0에서 기본 및 통합 인증이 기본적으로 사용됩니다.

Internet Explorer 5는 통합 Windows 인증을 지원하지만 다른 웹 브라우저는 기본 인증 방법만 지원할 수 있습니다. 이 경우 사용자를 인증할 수 없기 때문에 요청은 허용되지 않습니다. ISA Server는 이전에 프록시 서버에서 허용했던 웹 요청을 거부합니다. 모든 웹 요청에 대해 기본 인증을 구성할 수 있습니다.

규칙과 정책

아래의 표는 Proxy Server 2.0 규칙과 기타 구성 정보를 ISA Server 컴퓨터에서 마이그레이션하는 방법을 설명합니다.

Proxy Server 2.0
 ISA Server 컴퓨터
도메인 필터
 사이트 및 컨텐트 규칙
Winsock 권한 설정
 프로토콜 규칙
게시 등록 정보
 웹 게시 규칙
정적 패킷 필터
 열렸거나 차단된 IP 패킷 필터
웹 프록시 라우팅 규칙
 라우팅 규칙

새 규칙에 대해 필요하면 정책 요소가 만들어집니다. 로컬 주소 테이블, 자동 전화 접속 설정, 경고, 로그 설정 및 클라이언트 구성 등의 추가 구성 정보도 마이그레이션됩니다.

5장: ISA Server, 엔터프라이즈 버전으로 업그레이드 Back to Top

조직이 성장하고 인터넷을 사용한 통신 요구가 증가하면서 Microsoft ISA(Internet Security and Acceleration) Server, 스탠더드 버전을 엔터프라이즈 버전으로 업그레이드하는 것을 고려해야 합니다. 엔터프라이즈 버전에는 다음과 같은 기능이 있습니다.

  • 향상된 확장성, 성능, 내결함성 및 중앙 관리를 위해 다중 서버 배열로 구축할 수 있습니다.
  • 정책 관리의 두 가지 수준을 지원합니다. 배열 정책은 서버의 전체 배열에 적용할 수 있습니다. 엔터프라이즈 정책은 조직의 모든 배열에 적용할 수 있습니다.
  • ISA Server 컴퓨터에서 프로세서 수에는 제한이 없습니다. 스탠더드 버전은 프로세서가 4개로 제한됩니다.

이 장에서는 ISA Server, 엔터프라이즈 버전으로 업그레이드하는 방법을 설명합니다. 이 장은 4가지 절로 이루어져 있습니다.

  • 엔터프라이즈 버전으로 업그레이드
  • 배열 이해
  • 엔터프라이즈 정책 설정

엔터프라이즈 버전 업그레이드 프로세스

다음 단계를 수행하여 ISA Server, 스탠더드 버전에서 ISA Server, 엔터프라이즈 버전으로 업그레이드할 수 있습니다.

  1. 업그레이드하면 정책은 유지되지만 만약을 위해 ISA Server 정책을 백업하는 것이 좋습니다.
  2. ISA Server, Enterprise Edition CD-ROM에서 설치 프로그램을 실행합니다. 설치 프로세스는 ISA Server, 스탠더드 버전의 설치 프로세스와 매우 비슷합니다.

    설치 프로세스는 ISA Server 컴퓨터를 독립 실행형 서버로 설치합니다.

  3. ISA Server Enterprise Initialization 프로그램을 실행합니다. 엔터프라이즈를 초기화하는 자세한 내용은 ISA Server, Enterprise Edition Help를 참조하십시오.
  4. 독립 실행형 서버를 배열 구성원으로 수준을 올립니다. 서버 수준 올리기에 대한 자세한 내용은 ISA Server, Enterprise Edition Help를 참조하십시오.

배열 이해

ISA Server, 스탠더드 버전을 ISA Server, 엔터프라이즈 버전으로 업그레이드할 때 배열 구성원이나 독립 실행형 서버로 설치될 수 있습니다.

독립 실행형 서버는 ISA Server, 스탠더드 버전 기능과 비슷합니다. 표준 기능 이외에 ISA Server, 엔터프라이즈 버전은 배열로 수준을 올릴 수 있습니다. 독립 실행형 서버로 수준 올리기에 대한 자세한 내용은 ISA Server, Enterprise Edition Help를 참조하십시오.

배열은 내결함성, 로드 균형 조정 및 분산 캐싱을 제공하는 데 사용하는 ISA Server 컴퓨터의 그룹입니다. 배열을 사용하면 ISA Server 컴퓨터의 그룹을 단일의 논리적 엔티티로 취급하고 관리할 수 있습니다.

배열에 있는 모든 서버는 공통 구성을 공유합니다. 이렇게 하면 배열이 구성되고 구성이 배열에 있는 모든 서버에 적용되기 때문에 관리 오버헤드가 줄어듭니다. 뿐만 아니라, 엔터프라이즈의 모든 배열을 중앙에서 관리할 수 있도록 엔터프라이즈 정책을 배열에 적용할 수 있습니다.

배열 설치는 성능 향상을 의미하기도 합니다. 배열을 사용하면 클라이언트 요청을 여러 ISA Server 컴퓨터에 분산시킬 수 있어 클라이언트에 대한 응답 시간을 개선할 수 있습니다. 배열에 있는 모든 서버에 로드가 분산되기 때문에 적당한 하드웨어를 가지고도 좋은 성능을 얻을 수 있습니다.

ISA Server 컴퓨터를 배열 구성원으로 설치하려면 컴퓨터가 Windows 2000 도메인의 구성 요소가 되어야 합니다. 뿐만 아니라, ISA Server 엔터프라이즈는 ISA Server 컴퓨터를 배열 구성원으로 설치하기 전에 초기화해야 합니다. 자세한 내용은 ISA Server, Enterprise Edition Help를 참조하십시오.

ISA Server, 엔터프라이즈 버전은 특별한 구성 요구 사항 없이 Windows NT 4.0 도메인에 독립 실행형 서버로 설치할 수 있습니다.

모든 배열 구성원은 같은 도메인과 같은 사이트에 있어야 합니다.

엔터프라이즈 정책 설정

엔터프라이즈 초기화 과정에서 엔터프라이즈 관리자는 엔터프라이즈 정책을 배열 수준에서 적용하는 방법을 선택할 수 있습니다.

  • 엔터프라이즈 정책만 해당. 이 경우 엔터프라이즈 수준의 관리자는 선택한 엔터프라이즈 정책만 적용함을 나타냅니다. 배열 수준에서 새 규칙을 추가할 수 없습니다.
  • 엔터프라이즈와 배열 정책 조합. 이 경우 배열 정책이 엔터프라이즈 정책에 추가됩니다. 엔터프라이즈 정책은 배열 정책보다 우선합니다. 즉, 배열 정책은 추가 제한 사항이 있지만 엔터프라이즈 정책보다 더 허용적일 수는 없습니다.
  • 배열 정책만 해당. 이 경우 엔터프라이즈 정책은 배열에 적용됩니다. 배열 관리자는 액세스를 허용하거나 거부하는 규칙을 만들 수 있습니다.

중요 기본 엔터프라이즈 정책 설정을 수정하면 배열 정책에서 엔터프라이즈 정책으로 변경하거나, 그 반대의 경우에 이전에 구성한 기본 엔터프라이즈 정책 설정을 사용하지 않는 배열에만 새 설정이 적용됩니다. 이전의 기본 엔터프라이즈 정책 설정을 사용하는 배열에 대한 엔터프라이즈 정책 설정은 사용자 지정 설정으로 변경되며 이전 기본 설정을 사용하여 구성됩니다.

게시 규칙은 엔터프라이즈 수준에서 만들 수 없습니다. 그러나, 엔터프라이즈 관리자는 웹 게시 규칙이나 서버 게시 규칙을 만들어 배열이 서버를 게시하도록 허용할 것인지 지정할 수 있습니다.

마찬가지로, 엔터프라이즈 수준에서는 패킷 필터링을 사용할 수 없습니다. 그러나, 엔터프라이즈 관리자는 패킷 필터링을 배열 수준에서 사용하도록 할지 결정합니다. 아니면 엔터프라이즈 관리자는 배열 관리자가 패킷 필터링 사용 여부를 결정하도록 할 수 있습니다.

6장: 클라이언트 설치와 구성 Back to Top

Microsoft ISA(Internet Security and Acceleration) Server를 설치한 후에 클라이언트를 구성하고 적절한 방화벽 클라이언트 소프트웨어를 설치할 수 있습니다.

ISA Server용 클라이언트를 구축하거나 구성하기 전에 조직의 요구 사항을 고려해야 합니다. 자세한 내용은 2장의 "클라이언트 요구 사항 평가"를 참조하십시오.

이 장에서는 ISA Server 클라이언트를 구성하는 방법을 설명합니다. 이 장은 4가지 절로 이루어져 있습니다.

  • ISA Server 클라이언트 비교
  • 웹 프록시 클라이언트 구성
  • SecureNAT 클라이언트 구성
  • 방화벽 클라이언트 구성

ISA Server 클라이언트 비교

ISA Server는 다음과 같은 클라이언트를 지원합니다.

  • 웹 프록시 클라이언트
  • 보안 네트워크 주소 변환(SecureNAT) 클라이언트
  • 방화벽 클라이언트

아래의 표는 ISA Server가 지원하는 클라이언트 종류이며 클라이언트에 대한 기능 지원을 비교합니다.

기능
 SecureNAT 클라이언트
 방화벽 클라이언트
 웹 프록시 클라이언트
설치 필요
 아니오. 그러나 네트워크 구성을 변경해야 합니다.
아니오. 웹 브라우저를 구성해야 합니다.
운영 체제 지원
 TCP/IP를 지원하는 모든 운영 체제
 Windows 플랫폼만 해당
 모든 TCP/IP 플랫폼
프로토콜 지원
 기본 연결을 가진 프로토콜과 응용 프로그램 필터가 정의한 프로토콜
 모든 Winsock 응용 프로그램
 HTTP, HTTPS 및 FTP
사용자 수준 인증
 아니오. IP 주소로만 인증
 예. IP 주소로도 인증
 웹 브라우저가 인증 정보를 전달
서버 게시
 구성이나 설치가 필요하지 않음
 구성 파일 필요
 N/A

방화벽 클라이언트 컴퓨터와 SecureNAT 클라이언트 컴퓨터 모두 웹 프록시 클라이언트가 될 수도 있습니다. 컴퓨터에 있는 웹 응용 프로그램이 명시적으로 ISA Server를 사용하도록 구성된 경우에는 웹 요청(HTTP, FTP 및 HTTPS)이 웹 프록시 서비스로 직접 보내집니다. 다른 모든 요청은 방화벽 서비스에 의해 먼저 처리됩니다.

웹 프록시 클라이언트 구성

다른 소프트웨어를 설치하여 웹 프록시 클라이언트를 구성할 필요는 없습니다. 그러나, 클라이언트 컴퓨터에 웹 브라우저를 구성하여 ISA Server 컴퓨터를 프록시 서버로 사용해야 합니다.

중요 스트리밍 미디어 클라이언트와 같은 웹 브라우저 도우미 응용 프로그램이 웹 프록시 클라이언트의 기능을 하지 못하면 이 응용 프로그램은 ISA Server를 사용하여 웹에 연결하지 못합니다. 이런 응용 프로그램이 웹에 연결할 수 있도록 하려면 웹 프록시 클라이언트 이외에 SecureNAT 클라이언트나 방화벽 클라이언트를 사용하십시오.

ISA Server를 구성하는 정확한 구성 단계는 사용하는 웹 브라우저에 따라 다릅니다.

Internet Explorer 5를 구성하려면 다음 단계를 수행하십시오.

  1. Internet Explorer 5를 시작하고 도구 메뉴에서 인터넷 옵션을 누르고 연결탭을 누른 다음 LAN 설정을 누릅니다.
  2. LAN 설정에서 프록시 서버 사용 확인란을 선택합니다.
  3. 주소 상자에 ISA Server 컴퓨터에 대한 경로를 입력합니다.
  4. 포트에서 포트에 ISA Server가 클라이언트 연결에 사용하는 포트 번호를 입력합니다
  5. (선택 사항) 로컬 컴퓨터에 연결할 때 브라우저가 ISA Server를 무시하도록 하려면 로컬 주소에 프록시 서버 사용 안함 확인란을 선택합니다. 로컬 컴퓨터가 ISA Server를 무시하면 성능이 향상될 수 있습니다.

SecureNAT 클라이언트 구성

SecureNAT 클라이언트는 특정 소프트웨어를 클라이언트 컴퓨터에 구축할 필요가 없지만 네트워크는 적절히 구성해 주어야 합니다. 이 절에서는 SecureNAT 클라이언트에 대한 네트워크 고려 사항을 자세히 설명합니다.

SecureNAT 클라이언트를 위한 기본 게이트웨이 설정

SecureNAT 클라이언트는 특정 소프트웨어를 클라이언트 컴퓨터에 구축할 필요가 없습니다. 그러나, SecureNAT 클라이언트를 보호하고 클라이언트 요청을 서비스하려면 ISA Server 컴퓨터의 네트워크 토폴로지를 구성해야 합니다.

특히, SecureNAT 클라이언트를 위한 기본 게이트웨이는 적절히 구성해 주어야 합니다. 기본 게이트웨이 속성을 설정할 때 어떤 종류의 네트워크 토폴로지를 구성하는지 확인하십시오.

  • 간단한 네트워크. 간단한 네트워크 토폴로지는 SecureNAT 클라이언트와 ISA Server 컴퓨터 간에 어떤 라우터도 구성하지 않습니다.
  • 복잡한 네트워크. 복잡한 네트워크 토폴로지는 SecureNAT 클라이언트와 ISA Server 컴퓨터 간에 여러 서브넷을 연결하는 하나 이상의 라우터가 구성되어 있습니다.

간단한 네트워크에서 SecureNAT 클라이언트를 구성하려면 SecureNAT 클라이언트의 인터넷 프로토콜(IP) 기본 게이트웨이 설정을 ISA Server 컴퓨터 내부 네트워크 주소 카드의 IP 주소로 설정해야 합니다. 클라이언트에 있는 TCP/IP 네트워크 제어판 설정을 사용하여 수동으로 설정할 수 있습니다. 아니면, DHCP를 사용하여 클라이언트에 대해 이 설정을 자동으로 구성할 수 있습니다.

복잡한 네트워크에서 SecureNAT 클라이언트를 구성하려면 기본 게이트웨이 설정을 클라이언트의 로컬 세그먼트에 있는 라우터로 설정하고 라우터가 인터넷을 향하는 소통량을 ISA server의 내부 인터페이스로 제대로 라우팅하는지 확인해야 합니다.

최적 상태에서는 라우터가 ISA Server 컴퓨터에 대한 최단 경로를 사용해야 합니다. 또한, 라우터가 기업 네트워크 외부의 주소를 향하는 패킷을 무시하도록 구성해서는 안됩니다. ISA Server가 패킷 라우팅 방법을 결정합니다.

SecureNAT 클라이언트는 아마 로컬 네트워크에 있는 컴퓨터와 인터넷의 개체를 요청할 것입니다. 따라서 SecureNAT은 외부와 내부 호스트에 대해 이름을 확인할 수 있는 DNS 서버를 사용하도록 구성해야 합니다.

내부 네트워크와 인터넷 액세스

인터넷 액세스만 하는 경우 SecureNAT 클라이언트는 인터넷에서 DNS 서버를 사용하는 TCP/IP 설정으로 구성해야 합니다. SecureNAT 클라이언트가 인터넷에 있는 DNS 서버에 연결할 수 있는 프로토콜 규칙을 만들어야 합니다. 이 프로토콜 규칙은 미리 정의된 DNS 쿼리(클라이언트) 프로토콜을 사용해야 합니다.

DNS 서버가 내부 네트워크에 있는 경우 양방향 소통량을 허용하는 정책을 만들어야 합니다. 즉, DNS 서버의 DNS 쿼리가 인터넷 루트 서버를 포함한 외부 DNS 서버에 도달할 수 있는 프로토콜 규칙을 만들어야 합니다.

방화벽 클라이언트 구성

방화벽 클라이언트 소프트웨어를 설치하기 전에 ISA Server 소프트웨어를 설치해야 합니다. ISA Server를 설치할 때 ISA Server가 인터넷에 요청을 보낼 때 어떤 방화벽 클라이언트에 연결할지 구성합니다.

클라이언트 소프트웨어를 설치한 후에 방화벽 클라이언트 소프트웨어에서 이름을 변경하여 클라이언트가 연결할 서버 이름을 수정할 수 있습니다. 자세한 내용은 방화벽 클라이언트 온라인 도움말을 참조하십시오.

방화벽 클라이언트 구성 요소

ISA Server는 클라이언트를 설치하는 동안 클라이언트 컴퓨터에 다음과 같은 구성 요소를 설치합니다.

  • Mspclnt.ini는 ISA Server가 관리하는 공유 클라이언트 구성 파입니다.
  • Msplat.txt에는 ISA Server가 관리하는 공유 클라이언트 로컬 주소 테이블과 로컬 도메인 테이블이 들어 있습니다.
  • 방화벽 클라이언트 응용 프로그램

설치한 후에 이 구성 요소 모두에 대해 기본 설정을 변경할 수 있습니다.

방화벽 클라이언트 소프트웨어를 설치하려면 다음 단계를 수행하십시오.

  1. 명령 프롬프트에서 Path\Setup을 입력합니다. 여기서 Path는 공유 ISA Server 클라이언트 설치 파일에 대한 경로입니다. 일반적으로 이 파일은 ISA Server 컴퓨터의 Systemroot\Program Files\Microsoft ISA Server\Clients에 있으며 MSPclnt로 공유됩니다.
  2. 화면의 지시를 따릅니다.

참고 ISA Server 컴퓨터에 방화벽 클라이언트 소프트웨어를 설치하지 마십시오.

7장: 구축 시나리오 Back to Top

Microsoft ISA(Internet Security and Acceleration) Server는 다양한 네트워크 토폴로지에 구축할 수 있습니다. 이 절에서는 일반적인 네트워크 구성 몇 가지를 설명합니다. 실제 네트워크 구성은 이곳에서 설명하는 것과 다르지만 기본 개념과 구성 논리는 사용자의 구성에 적용할 수 있는 통찰력을 제공합니다.

이 장은 4가지 절로 이루어져 있습니다.

  • 소형 네트워크의 방화벽과 캐싱
  • 원격 클라이언트 연결
  • 내결함성을 위한 ISA Server 컴퓨터의 그룹화
  • 웹 게시 시나리오
  • 보안 서버 게시 시나리오
  • 주변 네트워크 시나리오

소형 네트워크의 방화벽과 캐싱

ISA Server는 내부 클라이언트가 네트워크에 안전하게 연결할 수 있도록 소형 네트워크에 구축할 수 있습니다. 다목적 기능 때문에 ISA Server는 내부 클라이언트를 위한 캐싱 버서의 역할도 할 수 있습니다. 이 절에서 설명하는 시나리오는 클라이언트가 인터넷에 액세스해야 하는 작은 기업을 위한 일반적인 설치와 구성을 보여줍니다.

특성과 요구 사항

이 시나리오의 기업은 500인 미만의 사용자가 인터넷에 액세스해야 하는 작은 규모의 회사입니다. 특정한 한 부서는 Windows 스트리밍 미디어 서버에 액세스해야 하지만 대부분의 사용자는 웹 액세스(HTTP 또는 FTP)만 하면 됩니다. 회사는 다음 요구 사항을 가진 환경에서 인터넷 액세스를 제공하는 안정적인 방법을 필요로 합니다.

  • ISA Server 컴퓨터는 회사가 인터넷에 연결하는 유일한 연결 통로입니다.
  • 회사는 인터넷에 연결할 때 요구 시 전화 접속 연결을 사용합니다.
  • 회사는 모든 사용자에게 클라이언트 소프트웨어를 구축할 생각은 없습니다.

이 시나리오에서 회사는 판매, 연구 개발 및 인사 등 3개 부서를 두고 있습니다. 판매와 연구 개발 부서는 HTTP에 무제한 액세스해야 하지만 특정 웹 사이트에만 액세스하면 됩니다. 모든 부서의 직원에게 업무 시간 후에 HTTP 액세스를 허용합니다. 또한 모든 직원은 업무 시간 후에 Windows 미디어 응용 프로그램에 액세스할 수 있습니다.

네트워크 구성

이 시나리오에서 ISA Server는 로컬 네트워크와 인터넷 간에 연결 수단으로 이용하도록 회사 네트워크를 설정합니다. 사용자는 웹 프록시 클라이언트나 SecureNAT 클라이언트로 설정됩니다. 사용자가 인터넷에 액세스할 수 있도록 규정하는 액세스 정책은 ISA Server 컴퓨터에 구성됩니다.

ISA Server 컴퓨터 설치

ISA Server는 통합 모드에서 독립 실행형 서버로 설치됩니다. 인터넷 서비스 공급자(ISP)에게 연결하기 위해 네트워크 전화 접속 연결을 설정합니다. ISA Server 컴퓨터에는 내부 네트워크에 연결된 네트워크 카드와 인터넷에 전화 접속 연결하기 위한 모뎀이 잇습니다.

웹 브라우저, Outlook 또는 터미널 서버 같은 다른 서비스는 ISA Server 컴퓨터에서 실행되지 않습니다.

isast01

클라이언트 설치

대부분의 경우 사용자는 웹 액세스만 필요로 합니다. 이런 이유로 관리자는 대부분의 클라이언트를 웹 프록시 클라이언트로 설치합니다. 웹 프록시 클라이언트의 경우 웹 브라우저는 프록시 서버가 ISA Server 컴퓨터가 되도록 구성됩니다. 웹 브라우저에 있는 프록시 서버 포트는 ISA Server 컴퓨터의 나가는 웹 요청 설정은 포트 8080에서 수신하도록 설정된 것으로 가정하여 8080로 설정됩니다.

일부 사용자는 Windows 스트리밍 미디어 프로토콜을 사용하므로 이들 사용자의 컴퓨터도 SecureNAT 클라이언트로 구성됩니다. SecureNAT 클라이언트의 기본 게이트웨이는 ISA Server 컴퓨터의 IP 주소로 설정됩니다. 이런 식으로 인터넷에 대한 모든 요청은 ISA Server 컴퓨터로 전달되고, 여기서 액세스 정책에 따라 요청을 처리합니다.

ISA Server 정책 구성

ISA Server 컴퓨터를 설치한 후에 관리자는 ISA 관리를 사용하여 액세스 정책을 구현합니다.

정책 규칙을 만들기 전에 관리자는 다음과 같은 정책 요소를 만듭니다.

  1. 부서마다 다른 인터넷 액세스가 허용되기 때문에 각 부서에 대응하는 세 가지 클라이언트 주소 집합이 필요합니다. 각 클라이언트 주소 집합은 세 가지 부서의 컴퓨터 IP 주소를 포함합니다. 판매; 연구 개발인사.
  2. 업무 지침은 작업 시간 동안 액세스할 수 있는 인터넷의 특정 사이트를 규정합니다. 따라서 관리자는 이들 사이트를 포함하는 근무 사이트라고 하는 대상 집합을 만듭니다. 이런 식으로 하여 단일 대상 집합에 규칙을 적용할 수 있습니다.
  3. 업무 지침은 작업 시간 이후에는 모든 직원이 인터넷에 액세스할 수 있도록 허용하므로 관리자는 근무 시간 외에 인터넷 액세스를 허용하는 규칙을 만들 때 사용할 수 있는 근무 시간 외라는 일정을 만듭니다.
  4. 인터넷에 액세스하는 데 전화 접속 연결이 사용되기 때문에 관리자는 Call_ISP라고 하는 전화 접속 항목을 만듭니다. 전화 접속 항목은 ISA Server가 인터넷에 있는 개체에 액세스해야 할 때마다 사용됩니다.

참고 방화벽 클라이언트 소프트웨어가 클라이언트 컴퓨터에 설치된 경우 주소 집합 대신 Windows 2000 사용자 그룹을 만들 수 있습니다.

관리자는 다음 단계를 수행하여 액세스 정책을 구현합니다.

  1. ISA Server가 포트 8080에서 수신하도록 ISA Server의 나가는 웹 요청 등록 정보를 구성합니다.
  2. 인터넷의 대상 서버에 웹 요청을 라우팅하는 라우팅 규칙을 만듭니다.

    관리자는 모든 클라이언트 요청을 인터넷에 라우팅하는 라우팅 규칙을 만듭니다. 라우팅 규칙은 요청된 개체의 유효한 버전이 ISA Server 캐시에 없으면 ISA Server가 인터넷에서 지정한 대상에서 직접 모든 대상에 대한 개체 요청을 검색하도록 구성됩니다. 라우팅 규칙은 요청이 인터넷으로 라우팅될 때 Call_ISP 전화 접속 항목을 사용하도록 구성됩니다.

  3. 웹 개체가 아닌 모든 요청은 인터넷에 있는 대상 서버로 라우팅되도록 방화벽 체인을 구성합니다.

    클라이언트가 웹 프로토콜 이외의 프로토콜을 사용하는 인터넷에 있는 서버의 개체를 요청하면 ISA Server는 Call_ISP 전화 접속 항목을 사용하여 인터넷에 접속합니다.

  4. 모든 사람이 모든 대상에 액세스를 허용하는 기본 사이트와 컨텐트 규칙이 있는지 확인합니다.

    ISA Server는 설치하는 동안 이 규칙을 만들지만, 사용자는 프로토콜 규칙을 만든 후에만 액세스가 허용됩니다.

    판매 부서와 연구 개발 부서의 사용자에 대해 제한된 인터넷 액세스를 허용하려면 관리자는 다음과 같은 규칙을 만듭니다.

    • 판매연구 개발 클라이언트 주소가 항상 HTTP 프로토콜을 사용하도록 설정하는 프로토콜 규칙
    • 판매연구 개발 클라이언트 주소 집합을 허용하는 사이트와 컨텐트 규칙은 근무 시간 사이트 대상 집합에 있는 모든 대상에 액세스합니다.
    • 판매연구 개발 클라이언트 주소 집합을 허용하는 사이트와 컨텐트 규칙은 근무 시간 외 일정 동안 모든 대상에 액세스합니다.
    • 인사 부서의 사용자가 근무 시간 이후에 HTTP를 사용할 수 있도록 하기 위해 관리자는 다음 규칙을 만듭니다.
    • HR, 판매연구 개발 클라이언트 주소 집합이 근무 시간 외 일정 동안 HTTP 프로토콜을 사용하도록 허용하는 프로토콜 규칙
    • HR, 판매연구 개발 클라이언트 주소 집합이 근무 시간 외 일정 동안 모든 대상에 액세스하도록 허용하는 사이트와 컨텐트 규칙
    • 모든 직원이 스트리밍 미디어 컨텐트에 액세스할 수 있도록 하기 위해 관리자는 다음 규칙을 만듭니다.
    • HR, 판매연구 개발 클라이언트 주소 집합이 근무 시간 외 일정 동안 MMS - Windows 미디어 클라이언트 프로토콜을 사용하도록 허용하는 프로토콜 규칙

라우팅, 정책 요소, 프로토콜 규칙 및 사이트와 컨텐트 규칙에 대한 자세한 내용은 ISA Server Help를 참조하십시오.

원격 클라이언트 연결

가정용 컴퓨터로 기업 네트워크에 전화 접속 연결하여 재택 근무하는 직원들이 늘어나고 있습니다. 직원들이 가상 개인 네트워크(VPN) 연결을 설정하는 것이 점점 보편화되고 있습니다. 이 시나리오에서 사용자는 로컬 ISP로 전화 접속 연결합니다. 다른 쪽에서는 회사 네트워크에 있는 서버가 ISP에 연결되고 둘 사이에 터널이 설정됩니다.

네트워크 구성

ISA Server는 통합 모드에서 독립 실행형 서버로 설치됩니다. 인터넷 서비스 공급자(ISP)에게 연결하기 위해 ISA Server 컴퓨터에 네트워크 전화 접속 연결을 구성합니다. ISA Server 컴퓨터에도 내부 네트워크에 연결된 네트워크 카드가 있습니다.

ISA Server 컴퓨터는 특정한 원격 클라이언트에서 네트워크 리소스와 통신할 수 있도록 VPN 서버로 구성됩니다.

VPN을 통해 ISA Server 컴퓨터에 연결되는 클라이언트는 DNS과 WINS 같은 회사 네트워크 리소스에 액세스할 수 있어야 합니다.

원격 클라이언트 컴퓨터에는 로컬 ISP에 전화 접속하도록 구성된 전화 접속 연결이 있어야 합니다.

ISA Server 구성

ISA Server를 컴퓨터에 설치하고 난 후에 관리자는 ISA 관리를 사용하여 컴퓨터를 ISA Server VPN으로 구성합니다. 관리자는 다음 작업을 수행합니다.

    Client to Server VPN Wizard를 사용하여 ISA Server가 클라이언트 연결을 받아 들이도록 설정합니다. 마법사는 다음 작업을 수행합니다.

    • 라우팅과 원격 액세스를 VPN 서버로 구성합니다.
    • 인증과 암호화 방법을 시행합니다.
    • 라우팅과 원격 액세스에서 정적 패킷 필터를 열어 인터넷 프로토콜 보안(IPSec) 프로토콜을 통해 지점간 프로토콜(PPTP)과 계층 2 터널링 프로토콜(L2TP)을 허용합니다.

    다음과 같이 구성된 클라이언트 컴퓨터에서 네트워크 전화 접속 연결을 만듭니다.

    • 네트워크 연결 종류는 VPN입니다. 인터넷을 통해 개인 네트워크에 연결을 선택하여 수행됩니다.
    • 대상 주소는 ISA Server VPN의 IP 주소입니다.

참고 ISA Server가 회사 네트워크에서 인터넷으로 액세스를 금지하는 경우 원격 클라이언트는 ISA Server를 사용하도록 구성되어 있어야 합니다.

내결함성을 위한 ISA Server 컴퓨터의 그룹화

ISA Server는 다른 Windows 2000 Server 및 Advanced Server 서비스와 함께 사용하여 내결함성과 균형이 있는 네트워크를 만들 수 있습니다. 다음 절에서는 이 목표를 달성하기 위해 DNS 서버를 구성하는 방법과 Windows 2000 Advanced Server에서 네트워크 로드 균형을 구성하는 방법을 설명합니다. 다음 단원에서는 이러한 구성을 설명합니다.

DNS 사용

방화벽 클라이언트는 둘 이상의 ISA Server 컴퓨터가 Windows 2000 DNS 서버와 함께 사용될 때 내결함성을 얻을 수 있습니다.

관리자는 DNS를 사용하여 ISA Server 컴퓨터에 같은 이름을 할당합니다. 이런 식으로 클라이언트가 ISA Server 컴퓨터의 DNS 이름을 지정하여 ISA Server 컴퓨터의 개체를 요청하면 DNS 서버는 라운드 로빈 방식으로 ISA Server 컴퓨터 중 하나에 이름을 확인합니다. DNS와 라운드 로빈에 대한 자세한 내용은 Windows 2000 도움말에서 "라운드 로빈 구성"을 참조하십시오.

다음 단계를 수행하여 새 리소스 레코드를 영역에 추가하도록 DNS 서버를 구성하십시오.

  1. 시작을 누르고 프로그램, 관리 도구를 차례로 가리킨 다음 DNS를 누릅니다.
  2. 동작 메뉴에서 새 호스트를 누릅니다.
  3. 이름에 ISA Server 컴퓨터의 DNS 호스트 이름을 입력합니다.
  4. IP 주소에 ISA Server 컴퓨터의 IP 주소를 입력합니다.
  5. 호스트 추가를 눌러 새 호스트 레코드를 영역에 추가합니다.
  6. 각 ISA Server 컴퓨터에 대해 3단계에서 5단계를 반복합니다.

네트워크 로드 균형 사용

SecureNAT 클라이언트의 경우 둘 이상의 ISA Server 컴퓨터를 Windows 2000 Advanced Server에서 네트워크 로드 균형과 함께 사용하면 내결함성을 얻을 수 있습니다. Windows 2000 Advanced Server를 실행하는 둘 이상의 컴퓨터 리소스를 단일 클러스터에 결합하면 네트워크 로드 균형은 웹 서버와 기타 업무에 중요한 서버가 요구하는 안정성과 성능을 제공할 수 있습니다. 각 네트워크 로드 균형 컴퓨터는 ISA Server를 실행합니다.

네트워크 로드 균형은 TCP/IP 네트워킹 프로토콜을 사용하는 서버 프로그램을 실행하는 여러 컴퓨터를 함께 클러스터링 합니다. 네트워크 로드 균형을 사용하면 고유한 전용 IP 주소를 사용하여 기존 주소 지정 기능을 유지하면서 IP 주소에 의해 클러스터에 있는 모든 컴퓨터를 주소 지정할 수 있습니다. 네트워크 로드 균형은 TCP/IP 소통량의 형태로 호스트를 통해 들어오는 클라이언트 요청을 분산시킵니다.

참고 네트워크 로드 균형은 Windows 2000 Advanced Server에서만 사용할 수 있습니다.

네트워크 로드 균형은 각 ISA Server 컴퓨터가 내부 네트워크 카드에 고유한 IP 주소를 가질 것을 요구합니다. 또한, 네트워크 로드 균형 클러스터는 두 ISA Server 컴퓨터 모두가 사용하게 될 IP 주소를 가지고 있어야 합니다. 네트워크 로드 균형과 클러스터에 대한 자세한 내용은 Windows 2000 Advanced Server Help의 "Network Load Balancing"을 참조하십시오.

다음 단계를 수행하여 ISA Server 컴퓨터에 네트워크 로드 균형을 구성하십시오.

  1. ISA Server 컴퓨터가 같은 모드로 설치되었는지 확인합니다.

    각 ISA Server 컴퓨터에서 내부 네트워크 어댑터의 네트워크 로드 균형 등록 정보를 다음과 같이 수정합니다.

    • 기본 IP 주소를 네트워크 로드 균형 클러스터의 IP 주소로 설정합니다. 이 주소는 클러스터 IP 주소이며 클러스터의 모든 호스트에 대해 동일하게 설정해야 합니다. 이 IP 주소는 클러스터를 하나의 단위로 주소 지정하는 데 사용되며 클러스터에 대해 지정하는 전체 인터넷 이름의 IP 주소가 되어야 합니다.
    • 네트워크 로드 균형 클러스터에 있는 각 시스템에 고유한 우선 순위를 할당합니다.
    • 전용 IP 주소를 ISA Server 컴퓨터 내부 네트워크 어댑터의 IP 주소로 설정합니다. 이 IP 주소는 클러스터의 각 호스트를 개별적으로 주소 지정하는 데 사용되므로 각 호스트에 대해 고유해야 합니다. 대개 클러스터 작업을 위해 IP 주소를 선택하기 전에 호스트에 할당되는 원본 IP 주소입니다.

단일 네트워크 어댑터의 경우 TCP/IP 스택은 전용 주소를 우선하면서, 전용 주소와 클러스터 주소를 모두 갖도록 구성해야 합니다. 두 네트워크 어댑터가 있는 컴퓨터의 경우 전용 주소를 가진 네트워크 어댑터는 클러스터 주소를 가진 네트워크 어댑터보다 더 낮은 메트릭 값(즉, 높은 우선 순위)을 가져야 합니다.

SecureNAT 클라이언트의 기본 게이트웨이는 클러스터의 전용 IP 주소로 구성해야 합니다. 즉, 클러스터의 가상 주소는 게이트웨이 주소로 사용되어야 합니다. 이런 식으로, 모든 요청은 네트워크 로드 균형에 의해 처리됩니다.

웹 게시 시나리오

ISA Server의 웹 게시 기능은 웹 컨텐트를 안전하게 게시하려는 조직에 이점이 있습니다. ISA Server는 상용 웹 비즈니스를 호스트하거나 업무 파트너에 대한 액세스를 제공하는 조직의 웹 서버를 보호할 수 있습니다. ISA Server 컴퓨터는 외부에 웹 서버를 가장하고, 웹 서버는 내부 네트워크 서비스에 대한 액세스를 유지합니다.

게시하는 웹 서버는 ISA Server와 같은 컴퓨터 또는 다른 컴퓨터에 있을 수 있습니다. 다음 절에서는 웹 게시 시나리오에 대한 네트워크 구성을 보여줍니다.

ISA Server 컴퓨터 구성

웹 게시 시나리오를 설정하는 방법에 관계없이 ISA Server는 들어오는 웹 요청을 수신하도록 구성되어야 합니다. 들어오는 웹 요청 등록 정보는 ISA Server 컴퓨터에서 어떤 IP 주소와 포트가 들어오는 웹 요청을 수신하는지 지정합니다. 들어오는 웹 요청 등록 정보는 내부 서버에 액세스할 때 필요한 인증도 확인합니다.

DNS 서버 구성

웹 서버를 게시할 때 외부 클라이언트는 내부 DNS 서버와 함께 이름을 확인하는 데 필요할 수 있습니다. 이렇게 내부 DNS 서버 자체가 게시 서버입니다. DNS 서버가 SecureNAT 클라이언트인 경우 구성할 필요가 없습니다. ISA Server를 설치한 후에 DNS 서버를 게시하는 ISA Server 컴퓨터에 서버 게시 규칙을 만듭니다. 서버 게시 규칙에 대한 자세한 내용은 ISA Server Help를 참조하십시오.

로컬 네트워크의 웹 서버 시나리오

여기에서 설명하는 웹 게시 시나리오에서 ISA Server는 로컬 네트워크 내의 컴퓨터에 있는 내부 웹 서버의 컨텐트를 안전하게 지켜줍니다.

여기에서 설명하는 회사는 http://example.microsoft.com/Marketing과 http://example.microsoft.com/Development 두 웹 사이트를 게시합니다. 사이트 컨텐트는 각각 Mktg와 Dev라는 별도의 두 내부 웹 서버에 있습니다. 인터넷 사용자가 http://example.microsoft.com/Marketing 또는 http://example.microsoft.com/Development에 있는 개체를 요청하면 해당하는 웹 서버로 요청을 라우팅하는 실제 ISA Server 컴퓨터로 요청이 보내집니다.

아래의 그림은 시나리오를 설명합니다.


현재 사용하는 브라우저가 인라인 프레임을 지원하지 않을 경우 여기를 누르면 새 창에서 볼 수 있습니다.

웹 서버의 인터넷 프로토콜 주소는 절대 노출되지 않습니다. 대신, 인터넷 사용자는 ISA Server 컴퓨터 IP 주소를 지정하여 웹 서버에 액세스합니다.

관리자는 다음 단계를 수행하여 내부 웹 서버를 게시합니다.

  1. DNS 서버가 정식 도메인 이름을 ISA Server 컴퓨터의 IP 주소로 매핑하는지 확인합니다. 인터넷 클라이언트는 도메인 이름을 사용하여 컨텐트를 요청합니다.
  2. ISA Server 들어오는 웹 요청 등록 정보를 구성합니다. IP 주소는 외부 인터페이스의 IP 주소를 포함해야 합니다.

    다음 정책 요소를 만듭니다.

    • 컴퓨터 example.microsoft.com과 경로 \Marketing\*을 포함해야 하는 Marketing이라는 대상 집합. 이 집합은 ISA Server가 해당 내부 서버에 요청을 적절히 라우팅하기 위해 일치시키려고 시도하는 호스트 헤더입니다.
    • 컴퓨터 example.microsoft.com과 경로 \Development\*를 포함해야 하는 Development라는 대상 집합

    다음 규칙을 구성합니다.

    • 대상 집합이 Marketing으로 구성된 Mktg 컴퓨터를 게시하는 웹 게시 규칙
    • 대상 집합이 Development로 구성된 Dev 컴퓨터를 게시하는 웹 게시 규칙

ISA Server 컴퓨터의 웹 서버 시나리오

일부 조직은 웹 서버와 ISA Server를 같은 컴퓨터에 설치할 수 있습니다.

이 시나리오에 사용되는 회사는 http://widgets.microsoft.com에 있는 웹 사이트를 게시합니다.

isast03

이 시나리오에서 관리자는 ISA Server를 구성하여 다음 방법 중 하나를 사용하여 웹 컨텐트를 게시할 수 있습니다.

  • 웹 게시 규칙을 만들어 게시
  • IP 패킷 필터를 만들어 게시

다음 절에서는 이런 방법을 사용하여 ISA Server를 구성하는 방법을 설명합니다.

웹 게시 규칙을 사용하여 ISA Server 컴퓨터에 웹 서버 게시

이 시나리오에서 관리자는 ISA Server 컴퓨터가 외부 인터페이스 카드의 포트 80에서 들어오는 요청을 수신하도록 구성합니다. 기본적으로, 웹 서버도 들어오는 요청에 대해서 포트 80에서 수신합니다.

이런 충돌을 피하기 위해 관리자는 다음 중 하나를 수행해야 합니다.

  • 80 이외의 포트에서 수신하거나 다른 네트워크 어댑터에서 수신하도록 웹 서버를 구성한 다음, 요청을 웹 서버에 있는 적절한 포트로 전달하는 ISA Server 컴퓨터에 웹 게시 규칙을 만듭니다.
  • 웹 서버가 다른 IP 주소에서 수신하도록 구성합니다. 예를 들어, 웹 서버는 127.0.0.1에서 수신할 수 있습니다. 이런 식으로, 웹 서버는 로컬 컴퓨터의 요청만 수신합니다. 이런 요청은 실제로 ISA Server에서 오게 됩니다.

패킷 필터링을 사용하여 ISA Server 컴퓨터에 웹 서버 게시

ISA Server 컴퓨터에 있는 웹 서버를 게시하는 다른 방법은 IP 패킷 필터를 구성하는 것입니다. IP 패킷 필터는 포트 80에 도착하는 모든 패킷을 ISA Server 컴퓨터에 있는 웹 서버로 전달합니다. 패킷 필터를 사용하면 웹 서버는 들어오는 웹 요청에 대해 포트 80에서 수신할 수 있습니다.

참고 이런 경우 ISA Server가 포트 8080에서 수신하고 웹 서버는 포트 80에서 내부 클라이언트의 요청을 수신하기 때문에 나가는 웹 요청에 충돌이 없습니다. 그러나, ISA Server의 자동 복구 기능은 포트 80에서 수신하도록 구성해서는 안되며 기능을 해제해서도 안됩니다.

관리자는 다음 단계를 수행하여 ISA Server 컴퓨터에 있는 웹 서버를 게시합니다.

  1. 패킷 필터링을 사용 가능하게 합니다.
  2. ISA Server 컴퓨터의 외부 IP 주소에 있는 포트 80에 도착하는 모든 인바운드 TCP 패킷을 허용하는 IP 패킷 필터를 만듭니다.
  3. 자동 검색 기능을 해제합니다.

참고 포트 80은 인터넷 정보 서비스(IIS)가 사용하기 때문에 이곳에서 설명한 방법을 사용할 때 ISA Server 컴퓨터에 웹 서버를 게시하는 웹 게시 규칙을 만들지 마십시오.

자동 검색은 포트 8080에서 사용할 수 있습니다. DHCP 서버를 구성한 경우 다른 포트에서도 사용할 수 있습니다.

보안 서버 게시 시나리오

회사 간의 전자 상거래가 널리 보급되면서 많은 조직이 내부 서버는 보호하면서 동시에 특정 외부 사용자가 액세스할 수 있도록 할 필요를 느끼고 있습니다. ISA Server의 역방향 게시 기능을 사용하면 외부 클라이언트에 의한 내부 서버 액세스를 보호할 수 있습니다.

일반적인 ISA Server 시나리오는 메일 서버의 SMTP(Simple Mail Transfer Protocol) 통신 보안을 포함합니다. 예를 들어, ISA Server는 Microsoft Exchange Server를 보호할 수 있습니다. Mail Server Secure Publishing Wizard는 Exchange Server와 인터넷 사이의 통신을 허용하는 데 필요한 정책을 구성합니다. 마법사는 특정 포트에 있는 인터넷 사용자를 지정된 내부 IP 주소로 리디렉션하는 서버 게시 규칙을 추가합니다. 마법사는 또한 나가는 통신에 대해 동적으로 포트를 여는 프로토콜 규칙도 만듭니다.

게시하려는 Exchange Server는 ISA Server 컴퓨터나 로컬 네트워크에 있을 수 있습니다. 다음 절에서는 몇 가지 Exchange Server 게시 시나리오를 설명합니다.

참고 이전에 Microsoft Proxy Server 2.0을 사용한 경우 프록시 서버 컴퓨터의 외부 인터페이스에서 포트 25를 캡처하기 위해 wspcfg.ini 파일을 사용하여 Exchange Server를 Winsock Proxy 클라이언트로 구성했을 수 있습니다. 이 경우 해당 구성은 ISA Server에서 작동합니다. 그러나, ISA Server의 서버 게시 규칙을 사용하는 경우 Exchange Server에서 wspcfg.ini 파일을 제거하고 ISA Server Mail Security Wizard를 사용하는 것이 좋습니다.

로컬 네트워크의 Exchange Server

이 시나리오에서 Exchange Server는 로컬 네트워크에 있으며 그림에서 보는 것처럼 ISA Server 컴퓨터에 의해 보호됩니다.

isast04

ISA Server Mail Server Security Wizard에서 다음 프로토콜 중 하나 이상을 사용하여 외부 클라이언트에 사용할 수 있도록 Exchange Server를 구성할 수 있습니다.

  • MAPI(메시징 응용 프로그래밍 인터페이스)
  • POP3(Post Office Protocol 3)
  • IMAP4(인터넷 메시징 액세스 프로토콜 4)
  • NNTP(네트워크 뉴스 전송 Protocol)
  • Secure NNTP

마법사는 ISA Server가 보호하는 각 메일 서비스에 해당하는 하나 이상의 서버 게시 규칙을 만듭니다. 마법사가 만든 서버 게시 규칙은 다음 매개 변수를 갖습니다.

  • 메일 서버의 내부 IP 주소
  • ISA Server 컴퓨터에 의해 노출된 외부 주소
  • 선택된 메일 서버에 대한 프로토콜

마법사가 만든 새 규칙 이름은 모두 Mail wizard rule이라는 접두사를 갖습니다.

또한 Mail Server Security Wizard는 나가는 메일 소통량을 허용하는 프로토콜 규칙을 만듭니다. 프로토콜 규칙에는 다음과 같은 매개 변수가 있습니다.

  • SMTP(Simple Mail Transfer Protocol )(클라이언트)
  • 클라이언트 집합은 Exchange Server의 내부 IP 주소를 포함합니다.

클라이언트 이름 확인

POP3, IMAP4 및 HTTP 클라이언트는 DNS 이름이나 IP 주소로 Exchange Server를 실행하는 컴퓨터에 액세스할 수 있으므로 메일 클라이언트가 사용하는 DNS 이름을 ISA Server 컴퓨터 외부 IP 주소로 매핑하는 것이 좋습니다.

MAPI 클라이언트의 경우 인터넷에 있는 DNS 서버는 Exchange Server를 실행하는 컴퓨터 이름을 확인하고 ISA Server 컴퓨터의 외부 네트워크 어댑터에 있는 IP 주소와 일치시켜야 합니다. 참고 이 경우 DNS 서버는 Exchange Server 컴퓨터의 내부 이름을 ISA Server의 외부 IP 주소에 매핑해야 합니다. 따라서 서버 종류는 메일 서버가 아닌 서버로 설정해야 합니다. SMTP 서비스를 게시하는 경우 MX(Mail Exchange) 레코드가 필요하며 또한 ISA Server 컴퓨터의 외부 IP를 가리켜야 합니다.

ISA Server 컴퓨터의 Exchange Server

이 시나리오에서 ISA Server와 Exchange Server는 아래의 그림처럼 같은 컴퓨터에 있습니다.

isast05

Mail Server Security Wizard를 사용하여 ISA Server 컴퓨터에 있는 Exchange Server를 게시할 수 있습니다. 이 시나리오에서 Mail Server Security Wizard는 사용자가 선택하는 각 메일 서비스에 대해 IP 패킷 필터를 만듭니다. 예를 들어, Mail Server Security Wizard를 실행하고 나가는 SMTP 메일과 POP3 클라이언트 요청을 지정하는 경우 다음과 같은 IP 패킷 필터가 만들어집니다.

  • 원격 포트에서 로컬 포트 25에 인바운드 TCP 연결을 허용하는 IP 패킷 필터. 이 필터는 들어오는 SMTP 패킷을 허용합니다.
  • 원격 포트 25에서 모든 로컬 포트에 아웃바운드 TCP 연결을 허용하는 IP 패킷 필터. 이 필터는 나가는 SMTP 패킷을 허용합니다.
  • 원격 포트에서 로컬 포트 110에 인바운드 TCP 연결을 허용하는 IP 패킷 필터. 이 필터는 들어오는 POP3 패킷을 허용합니다.
  • 원격 포트 110에서 모든 로컬 포트에 아웃바운드 TCP 연결을 허용하는 IP 패킷 필터. 이 필터는 나가는 POP3 패킷을 허용합니다.

참고 이 시나리오에서 Outlook 클라이언트는 로컬 네트워크 외부에서 Exchange Server에 액세스할 수 없습니다.

주변 네트워크 시나리오

주변 네트워크(DMZ, 완충 지역분리된 서브넷이라고도 함)는 조직의 개인 네트워크와 인터넷과 별도로 설정되는 작은 네트워크입니다. 주변 네트워크를 사용하면 외부 사용자가 주변 네트워크에 있는 특정 서버에 액세스하면서 내부 회사 네트워크에 액세스하는 것은 방지할 수 있습니다. 조직은 주변 네트워크에 있는 컴퓨터에서 내부 네트워크에 있는 컴퓨터에 아주 제한된 액세스만 허용할 수 있습니다.

주변 네트워크는 회사의 전자 메일과 웹 서버를 구축하는 데 주로 사용됩니다. 주변 네트워크는 다음 구성 중 하나로 설정할 수 있습니다.

  • 주변 네트워크의 어느 한쪽에 두 ISA Server 컴퓨터를 가진 백-투-백 주변 네트워크
  • 동일한 ISA Server 컴퓨터로 보호되는 주변 네트워크와 로컬 네트워크를 가진 3-홈 ISA Server 컴퓨터

백 투 백 주변 네트워크 시나리오

백 투 백 주변 네트워크 구성에서 두 ISA Server 컴퓨터는 주변 네트워크의 어느 한 쪽에 있습니다. 주변 네트워크DMZ, 완충 지역분리된 서브넷이라고도 합니다. 그림은 백 투 백 주변 네트워크 구성을 보여줍니다.

isast06

이 구성에서 두 ISA Server 컴퓨터는 한쪽은 인터넷에, 다른 한쪽은 로컬 네트워크에 서로 연결되어 있습니다. 주변 네트워크는 두 서버 사이에 있습니다. 두 ISA Server 모두 통합 모드나 방화벽 모드로 설정되어 공격자가 내부 네트워크에 들어오려면 두 시스템에 침입해야 하기 때문에 손상 위험이 줄어듭니다.

관리자는 다음 단계를 수행하여 주변 네트워크에 있는 서버를 인터넷 등의 외부 클라이언트가 사용할 수 있도록 만듭니다.

  1. 회사 네트워크(ISA Server 2로 표시)에 연결된 ISA Server 컴퓨터의 로컬 주소 테이블(LAT)이 회사 네트워크 컴퓨터의 IP 주소를 포함하도록 구성합니다.
  2. 인터넷에 연결된 ISA Server의 LAT가 회사 네트워크에 연결된 ISA Server의 IP 주소와 주변 네트워크에 있는 모든 게시 서버의 IP 주소를 포함하도록 구성합니다.
  3. 웹 게시 규칙을 만들어 IIS Server를 게시합니다.
  4. Creates a server publishing rule to publish the SQL Server, configuring the server publishing rule to apply to the SQL protocol.서버 게시 규칙을 만들어 SQL Server를 게시하고, 서버 게시 규칙을 구성하여 SQL 프로토콜에 적용합니다.
  5. 웹 게시 규칙을 만들어 IIS Server를 게시하고, 호스트한 사이트에 요청을 리디렉션하는 규칙을 구성합니다.

3-홈 주변 네트워크 시나리오

3-홈 주변 네트워크에서는 단일 ISA Server 컴퓨터가 3개의 네트워크 어댑터로 설정됩니다.

  • 한 네트워크 어댑터는 회사 네트워크의 내부 클라이언트에 연결합니다.
  • 두 번째 네트워크 어댑터는 주변 네트워크에 있는 회사 네트워크 서버에 연결합니다. 주변 네트워크의 IP 주소는 로컬 주소 테이블(LAT)에 있어서는 안됩니다.
  • 세 번째 네트워크 어댑터는 인터넷에 연결합니다.

그림은 이 주변 네트워크 시나리오를 보여줍니다.

isast07

관리자는 다음 단계를 수행하여 3-홈 ISA Server를 가진 주변 네트워크를 설정합니다.

  1. LAT이 회사 네트워크의 모든 주소를 포함하도록 구성합니다. LAT은 주변 네트워크의 주소를 포함해서는 안됩니다.
  2. 패킷 필터링과 IP 라우팅을 사용 가능하게 합니다.
  3. 주변 네트워크에 있는 각 서버에 대해 IP 패킷 필터링을 만듭니다. 각 IP 패킷 필터에 대해 로컬 컴퓨터는 주변 네트워크에 있는 서버의 IP 주소로 지정해야 합니다.

저작권 Back to Top

URL과 기타 인터넷 웹 사이트 참조를 포함하여 이 설명서의 내용은 예고 없이 변경될 수 있습니다. 용례에 사용된 회사, 기관, 제품, 사람 및 이벤트 등은 실제 데이터가 아닙니다. 어떠한 실제 회사, 기관, 제품, 사람 또는 이벤트와도 연관시킬 의도가 없으며 그렇게 유추해서도 안됩니다. 해당 저작권법을 준수하는 것은 사용자의 책임입니다. 저작권의 권리와 별도로, 이 설명서의 어떠한 부분도 Microsoft의 명시적인 서면 승인 없이는 어떠한 형식이나 수단(전기적, 기계적, 복사기에 의한 복사, 디스크 복사 또는 다른 방법)으로 또는 어떠한 목적으로도 복제하거나, 검색 시스템에 저장 또는 도입하거나, 전송할 수 없습니다.

Microsoft는 본 설명서 내용과 관련된 특허권, 상표권, 저작권 또는 기타 지적 소유권을 보유할 수 있습니다. 서면 사용권 계약에 따라 Microsoft에서 귀하에게 명시적으로 권리를 제공하지 않으면, 이 설명서 제공으로는 이러한 특허권, 상표권, 저작권 또는 기타 지적 소유권 등에 대한 어떠한 사용권도 귀하에게 부여되지 않습니다.

© 1995-2001 Microsoft Corporation. All rights reserved.

Exchange, Microsoft, MS-DOS, Windows 및 Windows NT는 미국, 대한민국 및/또는 기타 국가에서의 Microsoft Corporation의 등록 상표 또는 상표입니다.

본 문서에 나오는 실제 회사와 제품 이름은 해당 소유권자의 상표일 수 있습니다.

최종 수정일 : 2001.3.22

Posted by networkpark
TAG , ,
트랙백 0, 댓글 0개가 달렸습니다.