Андрей Бирюков

Известно, что настройки, используемые по умолчанию при установке программного обеспечения, не являются оптимальными. Как можно настроить межсетевой экран ISA 2004, чтобы оптимизировать работу сети?

Межсетевой экран Microsoft ISA 2004 содержит множество функций, необходимых для организации полноценной работы корпоративной сети. В предыдущих статьях [1, 2] я рассмотрел вопросы, связанные с подключением пользователей к Интернету и организацией удаленного доступа к корпоративным ресурсам. Теперь наша географически распределенная корпоративная сеть может полноценно функционировать, обеспечивая как доступ локальным пользователям к ресурсам Интернета, так и доступ сотрудникам, работающим удаленно в филиалах, к ресурсам основной сети. Поскольку с течением времени численность сотрудников компании может увеличиваться, также могут расширяться филиалы, в связи с этим возрастает нагрузка на каналы связи. Увеличение пропускной способности каналов, как правило, требует дополнительных финансовых затрат, к тому же не всегда возможно. Но снизить нагрузку можно, не прибегая к каким-либо затратам, используя возможности ISA Server. Для этого имеются возможности управления трафиком, кэширование, сжатие данных и т. д.

Предыстория, исправление ошибок

Изначально в ISA 2004 некоторые из вышеперечисленных функций заложены не были. Например, отсутствовали средства управления трафиком и активное кэширование. В предыдущей версии межсетевого экрана ISA 2000 эти функции были реализованы, однако, по заверениям Microsoft, не пользовались популярностью, поэтому в первом релизе 2004 средства управления трафиком отсутствовали. Но вскоре в Microsoft осознали ошибочность такого подхода, и реализация данных средств была включена в пакет обновлений Service Pack 2.

Перехожу непосредственно к описанию тех компонентов, с помощью которых можно повысить эффективность сети.

Начну с фоновой интеллектуальной службы передачи (Background Intelligent Transfer Service – BITS), которая помогает передавать большие объемы информации без уменьшения производительности сети. Достигается это за счет передачи данных небольшими порциями, используя невостребованную доступную пропускную способность, и соединения порций данных в месте назначения. В ISA Server 2004 SP2 встроен механизм кэширования данных, полученных из центра Microsoft Update с помощью BITS. Обновление операционных систем Microsoft Windows и других продуктов компании Microsoft на компьютерах компании может использовать большую часть доступной пропускной способности сети. Это может создать особые сложности, если для подключения к Интернету используется канал с низкой пропускной способностью. Но своевременное выполнение обновлений необходимо для стабильной работы Windows-приложений. ISA предоставляет возможность для кэширования данных Microsoft Update с помощью BITS для хранения обновлений так, чтобы кэш ISA-сервера сам отвечал на запросы. Обновления могут быть получены через Интернет один раз, а затем применяться по всей корпоративной сети. Для кэширования данных Microsoft Update использует запросы HTTP по диапазону (HTTP Range Requests). За счет того, что ISA-сервер может кэшировать такие запросы, достигается дополнительная эффективность. Это увеличивает скорость обновления при низкой пропускной способности сети и безопасность сетевого окружения, так как быстрая и своевременная установка обновлений позволяет повысить устойчивость к сбоям.

Для того чтобы настроить кэширование на ISA Server, нужно проделать следующие действия:

В консоли управления ISA-сервера откройте пункт «Cache», затем определитесь с правилами «Cache Rules». В панели задач создайте правило кэширования данных для обновлений: «Create the Microsoft Update Cache Rule». На последней странице просмотрите информацию о настройке и нажмите «Finish», затем «Apply», чтобы изменения вступили в силу.