ISA是微软早期的集成边缘安全网关,可以帮助企业安全人员保护内部网络与互联网之间的通讯,同时向用户提供针对应用系统和数据的快速和安全的远程访问呢能力。而Forefront产品系列推出之后,其TMG(安全网关)逐渐替代了ISA。那么对于向来很重视网络安全的用户来说,就遇到了一个问题。他们在前期可能已经部署了ISA,而且使用的很好。现在需要从ISA迁移到TMG上,该如何处理呢?
对于这个迁移的项目,笔者接触过很多过。所以在这方面也积累了不少的经验。今天借助这个平台,笔者就跟大家讨论一下。
一、迁移前需要知道的注意事项
虽然ISA与Forefront TMG都是一种基于边缘安全网关的产品,但是他们毕竟是两代人的产品。也就是说,他们之间有一定的“代沟”。如果要将ISA升级到TMG的话,会有一些限制。在迁移之前,这是必须要注意的问题。如果这些内容不了解,则在后续的工作中会到处碰壁。对此,笔者做了以下几个方面的总结。
一是迁移版本的限制。ISA从推出到现在,已经有不少的版本。估计并不并Windows操作系统的版本少。如果需要从ISA升级到Forefront TMG的话,对于ISA 的版本哟所限制。也就是说,并不是所有的ISA版本都可以迁移到TMG。据笔者所知,从ISA2006升级到Forefront TMG基本上没有问题。而如果从ISA2004升级到Forefront TMG的话,可能会遇到不少的阻碍。如系统会提示用户先打上SP3补丁之后再迁移等等。笔者的建议是,不要跨版本升级。也就是说,不要直接从ISA2004升级到Forefront TMG。而是最好从ISA2004升级到ISA2006,然后再从2006升级到Forefront TMG。这么逐步的升级,遇到的问题会少的多。
二是需要注意在迁移的过程中会被系统忽视的内容。当从ISA2006迁移到Forefront TMG的时候,迁移过程并不会将ISA中的内容全部搬迁到Forefront TMG中。有些内容在迁移过程中会被忽视。这是需要特别注意的地方。如在迁移过程中,不会迁移ISA的报告配置设置。为此在迁移完成之后要对其进行重新设置。其次,也不会迁移管理员自定义的日志字段选择。即使从ISA中导入了相关的配置,这些自定义的字段会被忽视。Forefront TMG会使用默认日志字段来覆盖管理员自定义的日志字段选择。除此之外,处罚警报时间必须出现的次数这个个性化设置也不会传递到升级后的Forefront TMG中。这也就是说,升级工作完成后,很多个性化的配置需要重新设置。
三是对第三方加载项的限制。在ISA中,管理员可以根据自己的需要,加载第三方的产品与工具。但是在迁移到Forefront TMG之后,这些第三方的加载向会被禁用掉。如果升级之后,管理员还需要用到原来的第三方加载项的话,管理员需要首先确定这个第三方加载项与TMG的兼容性。如果兼容的话,可以在升级完成之后重新启用。如果不兼容的话,则只有删掉它,或者向供应商索取支持TMG的产品。
以上三项内容是笔者总结的迁移过程中需要注意的事项。笔者再强调一遍,在迁移之前需要知道这些事项,并预先做好准备。如记录相关的参数,以便在升级之后以最快的速度恢复这些配置。
二、迁移过程中的主要任务解析
接下去笔者要给各位读者分析一下,在升级过程中主要做的工作。这里由于篇幅的限制,笔者并不会对每一个任务的具体操作进行展开。如果有需要的话,笔者在后续的文章中会将操作的细节一步步说明。在这篇文章中,笔者只说明具体要做的工作,以及每项工作中需要注意的内容。
第一项工作:了解迁移过程中的注意事项。
笔者再次强调一下,对于以上提到的注意事项,在升级之前必须要先考虑到。特别是对于一些用户的个性化配置,要有书面的文档。因为在迁移过程中,由于种种方面的原因,原先的配置会有丢失的情况。为了以防万一,在迁移之前要做好对ISA服务器的备份。
第二项工作:导出ISA服务器的配置。
虽然说很多个性化的配置无法直接导入到Forefront TMG中去。但是大部分的常规配置,笔者估计有95%以上的配置信息,还是可以直接导入到升级后的产品中去的。为此在迁移之前,需要先将原先ISA服务器中的配置文件导出来。这里特别需要说明的一点是,一定要导出ISA服务器使用的服务器证书。这一点非常的重要。如果不导出服务器证书的话,会使得后续的迁移工作功亏一篑。
第三项工作:安装并配置Forefront TMG。
笔者建议,最好是在新的服务器上重新安装并配置Forefront TMG产品。至少要对原先的ISA服务器进行格式化并重新安装操作系统后再进行Forefront TMG的安装与配置。如果由于种种原因,如ISA服务器上还部署了邮件等应用服务,此时不能够格式化。那么也许要先从服务器上卸载ISA产品。关于如果卸载ISA,用户可以参考相关的说明。不过笔者要提醒的一点就是,即使利用系统自带的卸载工具,也不能够百分之百的卸载干净。也就是说,卸载操作之后,系统中会留下不少的垃圾。为此笔者并不建议在卸载ISA后的操作系统上部署Forefront TMG。为了后续系统的稳定,笔者还是建议在全新的服务器上部署Forefront TMG产品,然后再从ISA迁移过来。
第四项工作:服务器证书与配置文件的导入。
当Forefront TMG安装部署完毕之后,需要将ISA服务器证书导入到Forefront TMG服务器中。在第二项工作中,笔者特意强调,必须要导出ISA的服务器证书。在这一步中,就需要将起导入到Forefront TMG服务器中。如果不导入的话,后续的工作,如配置文件将无法顺利导入。服务器证书导入之后,就可以将ISA的配置文件导入到Forefront TMG中。导入之后,原先ISA服务器上的95%左右的配置信息都会生效。只有少部分的个性化设置信息会丢失,需要管理员重新配置或者调整。
第五项工作:还原ISA服务器上的报告作业和防火墙日志记录。在原有的ISA服务器上,往往已经有很多的日志记录,为了后续的管理的方便,特别是刚迁移完成之后的那一段时间,需要用到以前ISA服务器中的日志信息。进行前后的对比,管理员可以分析迁移是否成功。此时就需要还原ISA服务器上的防火墙日止记录。另外,ISA服务器上的警报作业在Forefront TMG中也是支持的。在迁移完成之后,也需要对这些报告作业进行还原。
第六项工作:详细的测试。
经过以上操作之后,就需要对其进行测试。测试这一步的重要性不用笔者多说了。笔者需要说明的是,在测试的时候可以结合原先ISA服务器部署过程中的测试内容与结果。这可以起到事半功倍的效果。