MS Es 70-227 0.9 FR

Microsoft Internet Security and Acceleration
Déploiement et gestion de Microsoft Internet

Security and Acceleration Server 2000
Essentiel
de préparation
à la certification
70-227
Par :
NEDJIMI Brahim
THOBOIS Loïc
TUDURY Matthieu
23, rue Château Landon

75010 – PARIS
http://www.supinfo.com
http://www.laboratoire-microsoft.org
Essentiel v0.9
Déploiement et gestion de Microsoft Internet Security and Acceleration
Table des Matières :
Module 1 Vue d'ensemble de Microsoft ISA Server ____________________________________________________________ 5

1 Présentation d'ISA Server _________________________________________________________________________ 5
a) Éditions d'ISA Server ____________________________________________________________________________ 5
b) Avantages d'ISA Server __________________________________________________________________________ 5
c) Modes d'installation _____________________________________________________________________________ 5
2 Utilisation de la mise en cache ______________________________________________________________________ 5
a) Processus de mise en cache________________________________________________________________________ 5
b) Types de mises en cache __________________________________________________________________________ 5
3 Utilisation des pare-feu____________________________________________________________________________ 6
a) Vue d'ensemble des pares-feu ______________________________________________________________________ 6
b) Hôte bastion ___________________________________________________________________________________ 6
c) Réseau périphérique équipé d'un pare-feu tri-résident ___________________________________________________ 6
d) Réseau périphérique équipé de pare-feu dos-à-dos______________________________________________________ 6
e) Filtres et accès au réseau__________________________________________________________________________ 6
Module 2 Installation et maintenance d'ISA Server____________________________________________________________ 7
1 Installation d’ISA Server __________________________________________________________________________ 7
a) Identification des besoins matériels et logiciels ________________________________________________________ 7
b) Conditions de mise en cache directe _________________________________________________________________ 7
c) Conditions de mise en cache inversée________________________________________________________________ 7
d) Configurations requises pour le pare-feu _____________________________________________________________ 8
e) Identification des tâches à effectuer avant l’installation __________________________________________________ 8
f) Spécification de la taille du cache___________________________________________________________________ 8
g) Configuration de la table d’adresses locales ___________________________________________________________ 8
h) Mise a niveau depuis Microsoft Proxy Server 2.0 ______________________________________________________ 8
2 Installation et configuration de clients ISA Server _____________________________________________________ 9
a) Les différents clients _____________________________________________________________________________ 9
3 Quel client utiliser ? ______________________________________________________________________________ 9
Module 3 Sécurisation de l'accès à Internet _________________________________________________________________ 11
1 Composants de stratégie d’accès ___________________________________________________________________ 11
a) Traitement des demandes de client sortantes _________________________________________________________ 11
b) Création d’éléments de stratégie ___________________________________________________________________ 12
2 Configuration de stratégies et de règles d'accès _______________________________________________________ 12
3 Utilisation de l'authentification ISA Server __________________________________________________________ 12
a) Méthodes d’authentification ______________________________________________________________________ 12
Module 4 Configuration de la mise en cache ________________________________________________________________ 14
1 Vue d'ensemble de la mise en cache ________________________________________________________________ 14
a) Fonctions de mise en cache_______________________________________________________________________ 14
b) Traitement des demandes de nouveaux objets ________________________________________________________ 14
c) Traitement des demandes d'objets mis en cache _______________________________________________________ 14
2 Configuration d'une stratégie de mise en cache _______________________________________________________ 15
a) Configuration de la mise en cache HTTP ____________________________________________________________ 15
b) Configuration de stratégies d'expiration _____________________________________________________________ 15
c) Configuration de la mise en cache active ____________________________________________________________ 15
d) Configuration de la mise en cache FTP _____________________________________________________________ 15
e) Configuration des paramètres avancés du cache_______________________________________________________ 15
f) Configuration des actions liées aux objets inaccessibles ________________________________________________ 15
3 Configuration des paramètres du cache _____________________________________________________________ 16
a) Ajustement de la taille du cache ___________________________________________________________________ 16
b) Ajustement de l'allocation de mémoire ______________________________________________________________ 16
Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 2

Essentiel v0.9
4 Configuration de téléchargements de contenus planifiés________________________________________________ 16

Module 5 Configuration de l'accès pour les clients et les réseaux distants _________________________________________ 17
1 Vue d'ensemble _________________________________________________________________________________ 17
2 Connexion d'utilisateurs distants à un réseau d'entreprise______________________________________________ 17
3 Connexion de réseaux distants à un réseau local ______________________________________________________ 17
4 Configuration de réseaux privés virtuels ____________________________________________________________ 17
a) pour les connexions clientes ______________________________________________________________________ 17
b) pour les connexions entre réseau distant et réseau local _________________________________________________ 17
Module 6 Configuration du pare-feu ______________________________________________________________________ 19
1 Sécurisation du serveur __________________________________________________________________________ 19
2 Réseaux périphériques (DMZ)_____________________________________________________________________ 19
a) Configuration d’un serveur ISA dans le cas d’implémentation d’un réseau périphérique tri résidant (deuxième cas). _ 19
3 Examen du filtrage de paquets et du routage IP ______________________________________________________ 19
a) Principe du filtrage des paquets ___________________________________________________________________ 20
b) Sens dans le filtrage de paquets ___________________________________________________________________ 20
c) Configuration des options de filtre de paquets ________________________________________________________ 20
4 Configuration des filtres d’application ______________________________________________________________ 20
Module 7 Configuration de l'accès aux ressources internes ____________________________________________________ 22
1 Présentation de la publication _____________________________________________________________________ 22
a) Vue d'ensemble de la publication __________________________________________________________________ 22
b) Publication de serveurs sur un réseau périphérique dos-à-dos ____________________________________________ 22
c) Lignes directrices sur l'utilisation de la publication et du routage _________________________________________ 22
d) Vue d'ensemble des règles de publication____________________________________________________________ 22
2 Configuration de la publication Web _______________________________________________________________ 23
a) Publication d'un serveur Web _____________________________________________________________________ 23
b) Configuration de ports d'écoute pour les demandes Web entrantes ________________________________________ 23
c) Redirection de demandes vers d'autres ports__________________________________________________________ 23
d) Établissement d'une communication sécurisée ________________________________________________________ 23
e) Demande d'un canal sécurisé _____________________________________________________________________ 23
3 Configuration de la publication de serveurs__________________________________________________________ 23
a) Publication d'un serveur _________________________________________________________________________ 23
b) Publication d'un serveur de messagerie______________________________________________________________ 24
4 Ajout d'un opérateur de contrôle d'appels H.323 _____________________________________________________ 24
a) Vue d'ensemble du protocole H.323 ________________________________________________________________ 24
b) Fonctionnement de l'opérateur de contrôle d'appels H.323_______________________________________________ 24
c) Ajout et configuration d'un opérateur de contrôle d'appels H.323 _________________________________________ 24
Module 8 Surveillance et création de rapports _______________________________________________________________ 25
1 Vue d'ensemble _________________________________________________________________________________ 25
2 Surveillance de la détection des intrusions ___________________________________________________________ 25
a) Configuration de la détection des intrusions __________________________________________________________ 25
b) Événements ISA Server _________________________________________________________________________ 25
c) Configuration des alertes ________________________________________________________________________ 26
d) Affichage et réinitialisation des alertes ______________________________________________________________ 26
3 Surveillance de l'activité ISA Server ________________________________________________________________ 26
a) Configuration de la journalisation__________________________________________________________________ 26
b) Analyse de l'activité d'ISA Server à l'aide de rapports __________________________________________________ 26
c) Configuration des résumés de journaux _____________________________________________________________ 26
d) Création des tâches de rapport ____________________________________________________________________ 27
4 Surveillance de l'activité en temps réel ______________________________________________________________ 27
a) Affichage et déconnexion des sessions ISA Server ____________________________________________________ 27

Essentiel v0.9
b) Utilisation des objets de performance _______________________________________________________________ 27

5 Test de la configuration d'ISA Server _______________________________________________________________ 27
Module 9 Configuration d'ISA Server pour une entreprise _____________________________________________________ 28
1 Différences ISA Server Edition standard et ISA Server Edition entreprise ________________________________ 28
a) Avantages d'ISA Server Enterprise Edition __________________________________________________________ 28
2 Utilisation d'ISA Server Enterprise Edition__________________________________________________________ 28
a) Configuration de stratégies _______________________________________________________________________ 28
3 Installation d'ISA Server dans une entreprise ________________________________________________________ 28
a) Utilisation de groupes de serveurs _________________________________________________________________ 29
b) Autorisations requises ___________________________________________________________________________ 29
c) Promotion d’un serveur autonome _________________________________________________________________ 29
d) Maintenance des configurations d’entreprise _________________________________________________________ 29
e) Configuration de paramètres spécifiques au serveur dans ISA Server ______________________________________ 29
f) Combinaison de stratégies d'entreprise et de groupe de serveurs __________________________________________ 29
4 Gestion des connexions réseau _____________________________________________________________________ 29
a) Routage des demandes Web ______________________________________________________________________ 29
b) Routage des demandes de client pare-feu et SecureNAT ________________________________________________ 30
c) Recherche automatique de Proxy Web ______________________________________________________________ 30
5 Evolutivité d’ISA Server _________________________________________________________________________ 30
a) Le protocole CARP_____________________________________________________________________________ 30
b) Equilibrage de la charge réseau____________________________________________________________________ 30
6 Extension et automatisation des fonctionnalités d'ISA Server ___________________________________________ 30

Essentiel v0.9
Module 1
Vue d'ensemble de Microsoft ISA Server
1 Présentation d'ISA Server
ISA (Internet Security and Acceleration) Server 2000 permet de mettre en place une solution de mise en cache du
contenu Web consulté par les utilisateurs de l’entreprise, de sécuriser le réseau des attaques extérieures via un
service de pare-feu (firewall) et d’administrer l’usage que font les utilisateurs d’Internet.
a) Éditions d'ISA Server
Deux versions d’ISA sont disponibles :

- ISA Server Standard Edition : Limitée à 4 processeurs, les stratégies de configurations sont définies
localement, intégration à Active Directory limitée.
- ISA Server Entreprise Edition : Mise en cache distribuée, aucune limite d’exploitation du nombre de
processeurs, gestion centralisée des stratégies de configuration.
b) Avantages d'ISA Server
ISA fournit aux entreprises plusieurs avantages en matière de connectivité à Internet :
- Accès rapide à Internet : Le service de mise en cache permet l’exploitation optimale de la bande passante
vers Internet en évitant le téléchargement multiple d’un même fichier.
- Connexion sécurisée : Le service de pare-feu protège le réseau de l’entreprise d’attaques venues de
l’extérieur. Le trafic peut être filtré selon son contenu permettant ainsi de détecter toute activité malicieuse.
- Administration évoluée : ISA permet l’affectation de priorités pour l’usage de la bande passante
disponible. La possibilité de limiter les applications ainsi que la destination des données permet de limiter
l’usage que peuvent avoir les utilisateurs d’Internet.
- Evolutivité : Le kit de développement ISA Server permet à une entreprise de développer ses propres
composants additionnels.
c) Modes d'installation
Différents modes d’installation sont disponibles sous ISA afin d’adapter ISA au rôle qui lui a été confié :
- Mode Cache : Le mode cache permet d’améliorer les performances d’accès à Internet en stockant
localement les fichiers les plus consultés par les utilisateurs ce qui permet d’optimiser la bande passante
d’accès à Internet.
- Mode pare-feu : Permet de sécuriser le trafic réseau à l’aide de règles et d’identifier différentes attaques
connues.
- Mode intégré : Le mode intégré cumule les fonctionnalités du mode cache et du mode pare-feu.
2 Utilisation de la mise en cache
a) Processus de mise en cache
Lorsqu’un utilisateur tente d’accéder à un objet Web qui n’est pas contenu dans son cache, ISA va récupérer cet objet
sur Internet (opération mandataire).
Une fois l’objet récupéré et entreposé dans le cache, il est envoyé au client qui en avait fait la requête.
Lorsqu’un autre utilisateur essaye de télécharger ce même objet, ISA lui envoie directement l’objet contenu dans son
cache. Cet opération élimine donc la seconde requête vers Internet, économisant ainsi de la bande passante.
b) Types de mises en cache
ISA supporte trois types de mises en cache :

Essentiel v0.9
- Mise en cache directe : permet d’améliorer la vitesse de navigation des utilisateurs internes à l’entreprise
accédant à Internet.
- Mise en cache inversée : qui va accélérer l’accès des utilisateurs venant d’Internet désirant accéder aux
ressources Web internes que vous avez rendues disponibles.
- Mise en cache distribuée : La mise en cache distribuée peut s’appliquer à la mise en cache directe et
inversée. Elle consiste en la distribution du cache sur un groupe de serveurs ISA, ce qui améliore les
performances et offre une tolérance aux pannes lors de la défaillance d’un serveur ISA.
La mise en cache n’est disponible que dans l’édition Entreprise.
3 Utilisation des pare-feu
a) Vue d'ensemble des pares-feu
Le pare-feu permet de contrôler l’ensemble du trafic entrant et sortant. Il est installé à l’emplacement de
l’interconnexion entre le réseau privé et Internet.
b) Hôte bastion
L’hôte bastion est l’ordinateur qui interconnecte le réseau sensible au réseau privé. Il est composé de deux interfaces
réseau, chacune reliée à un réseau. Cet ordinateur doit être particulièrement sécurisé pour empêcher tout intrus de
s’introduire dans le réseau privé.
c) Réseau périphérique équipé d'un pare-feu tri-résident
Un pare-feu tri-résident est un ordinateur qui est équipé de trois interfaces réseau qui permettent de rendre
disponibles sur Internet certaines ressources internes (messagerie, serveur Web, …) sans que les internautes
puissent accéder au réseau de l’entreprise.
L’une des cartes sera connectée à Internet, l’autre au réseau privé et la troisième aux machines devant être
accessible aux internautes (ce réseau est appelé réseau périphérique).
d) Réseau périphérique équipé de pare-feu dos-à-dos
Ce système assure une sécurité optimale car il n’y a pas de connectivité directe entre Internet et le réseau privé. Ce
modèle est constitué de deux pares-feu (interne et externe) qui vont isoler les différents réseaux pour permettre
comme le modèle de pare-feu tri-résident de rendre disponibles sur Internet certaines ressources internes sans que
les internautes puissent accéder au réseau de l’entreprise
e) Filtres et accès au réseau
Les restrictions applicables au trafic réseau sont différentes selon qu’elles s’appliquent au trafic entrant ou au trafic
sortant :
- Contrôle du trafic sortant : Il est contrôlé par des règles ou des stratégies d’accès. Les stratégies d’accès
sont constituées de règles sur les protocoles (autorisation ou non d’un protocole) ou de règles sur les sites et
le contenu.
- Contrôle du trafic entrant : il est contrôlé par différents types de filtres. Les filtres de paquets IP (règles
sur l’adresse ou le port TCP/IP), les filtres d’application (ex : le filtre SMTP qui filtre selon la source,
l’utilisateur ou le domaine) et les filtres de détection d’intrusion (il détecte les malversation sur certain qui
peuvent être envoyé ex : DNS, POP, …).

Essentiel v0.9
Module 2
Installation et maintenance d'ISA Server
1 Installation d’ISA Server
a) Identification des besoins matériels et logiciels
Le tableau ci-dessous décrit la configuration requise pour l’installation d’ISA :
Composant Configuration requise

Système Windows 2000 Server, Advanced Server avec le Service Pack 1 ou Windows
d’exploitation 2000 Datacenter. L’installation du Service Pack 3 est recommandée.
Processeur Pentium II 300 ou supérieur*
Mémoire vive 256 Mo

1 carte réseau pour le réseau interne et une connexion (carte réseau,
Réseau
modem,…) vers un autre réseau (Internet ou autre).
Système de fichiers 1 partition NTFS
* : La version standard d’ISA prend en charge jusqu'à quatre processeurs et la versions Enterprise un nombre illimité.
b) Conditions de mise en cache directe
Voici les configurations requises pour la mise en cache directe, en fonction du nombre d’utilisateurs
Nombre
Configuration matérielle Espace disque
d’utilisateurs
1-500 PII 300Mhz, 256Mo de RAM 2 à 4Go
500-1000 PIII 550Mhz, 256Mo de RAM 10Go
> 1000 Deux PIII 550Mhz avec 256Mo de RAM pour 2000 utilisateurs 10Go par serveur
>=2000 Trois PIII 550Mhz avec 256Mo de RAM minimum 10Go par serveur
c) Conditions de mise en cache inversée
Voici les configurations matérielles requises en fonction du nombre de demandes émanant de l’extérieur (Internet) :
Nombre de réponses par

Configuration requise
seconde
Inférieur à 800 PII 300Mhz
Environ 800 PIII 550Mhz
Supérieur à 800 PIII 550Mhz pour 800. Au-delà, il faut ajouter des processeurs

Essentiel v0.9
d) Configurations requises pour le pare-feu
Débit Configuration requise
1 à 25 Mb/s PII 300Mhz, 256Mo de RAM
De 25 à 50Mb/s PIII 550Mhz, 256 Mo de RAM
Au-delà de 50Mb/s PIII 550Mhz pour 50Mb/s. Au-delà, il faut ajouter des processeurs
e) Identification des tâches à effectuer avant l’installation
Il faut, en premier lieu, vérifier que vos tables de routage Windows 2000 sont cohérentes et que vos cartes réseaux
soient bien configurées (la carte réseau interne doit permettre la communication vers tous les sous réseaux internes
qui vont exploiter ISA et la carte réseau liée a Internet doit pouvoir communiquer avec l’extérieur).
Vérifiez aussi que le service pack 1 ou ultérieur est installé sur votre serveur.
Un certain nombre d’informations seront requises lors l’installation. Parmi celles-ci, on trouve :
- les options d’installation :

o Services ISA
o Services complémentaires (opérateur de contrôle H323, filtreur de messages)
o Outils d’administration (à installer sur le serveur ou une autre machine pour l’administration distante)
- sélection d’un groupe de serveurs : permet d’ajouter le serveur a un groupe si le schéma a été initialisé pour
l’entreprise, ou de créer un groupe autonome avec comme seul membre le serveur en cours d’installation.
- Mode d’installation : pare-feu, cache ou intégré
- Configuration du cache
- Configuration de la table d’adresses locales
Remarque : Vous devrez installer ISA en tant que serveur autonome si vous utilisez l’édition Entreprise sans etre
dans un domaine Windows 2000.
f) Spécification de la taille du cache
Lors de l’installation, si vous avez choisi le mode cache ou intégré, vous devrez configurer les options du cache : taille
initiale, disque a utiliser (NTFS obligatoire).
Taille du cache recommandée : 100 Mo + 0,5Mo par client proxy, arrondie au Mo entier supérieur.
g) Configuration de la table d’adresses locales
La table d’adresses locale référence touts les adresses internes. Elle est utilisée par ISA pour déterminer les adresses
du réseau interne et celles de l’exterieur.
ISA peut se servir de la table de routage de la machine pour construire la table d’adresses locales, ainsi que des
plages d’adresses privées réservées par l’IANA (10.0.0.0 – 10.255.255.255, 192.168.0.0 – 192.168.255.255,
172.16.0.0 – 172.31.255.255).
h) Mise a niveau depuis Microsoft Proxy Server 2.0

Essentiel v0.9
La migration depuis MS Proxy Server 2.0 est prise en charge par ISA Server. Des informations complémentaires
figurent dans le fichier Pre-Migration-Consideration.htm localisé dans le CD d’installation d’ISA Server.
Pour effectuer la migration depuis Windows NT4.0 :
- Il faudra commencer par désactiver tous les services de Proxy Server 2.0
- Supprimer le serveur d’un éventuel groupes de serveurs auquel il appartiendrait
- Mettre a niveau le système vers Windows 2000 et installer le Service Pack1
- Installer ISA Server
Lors de la mise a niveau vers Windows 2000, Proxy Server peut vous signaler qu’il ne sera pas capable de
fonctionner sous Windows 2000 : il ne faut pas en tenir compte !
La majeure partie des paramètres et de la configuration de Proxy Server 2.0 sont migrés vers ISA (règles,
configuration réseau, supervision, cache,…). Néanmoins, il existe quelques différences et exceptions :
- publication : ISA n’exige pas de configuration particulière sur les serveurs de publication, alors que Proxy
Server 2.0 nécessitait qu’ils soient configurés en tant que clients du proxy Winsock
- Cache : le contenu du cache n’est pas migré. Il est supprimé. Ceci est du aux grandes différences entre les
moteurs de mémoire cache des deux versions
- SOCKS : la migration des règles SOCKS n’est pas prise en charge par ISA
- IPX : le protocole IPX n’est pas pris en charge par ISA.
Apres avoir mis a jour le serveur, vous devrez eventuellement mettre a jour les clients :
- Clients Winsock proxy : ce types de clients et les firewall clients d’ISA etant compatibles avec les deux
versions (ISA et Proxy Server 2.0), la migration peut se faire a n’importe quel moment.
- Clients Web proxy : Le port 80 est utiulisé par Proxy Server 2.0 pour les demandes HTTP alors qu’ISA
emploie le 8080. Il faut donc, soit configurer les clients pour utiliser le port 8080, soit configurer le serveur
ISA afin qu’il emploie le port 80 pour les demandes HTTP.
2 Installation et configuration de clients ISA Server
a) Les différents clients
- Client proxy Web : il se configure dans les propriétés du navigateur. L’accès à Internet est par conséquent
limité au navigateur (et aux applications capables de récupérer les paramètres du navigateur). Son utilisation
améliore les performances des requêtes Web.
- Client SecureNAT : la configuration d’un client SecureNat se fait en declarant comme passerelle du client
l’adresse IP du serveur ISA. Ce type permet de bénéficier de la sécurité et de la mise en cache, mais n’offre
pas de mécanisme d’authentification au niveau de l’utilisateur.
- Firewall Client : c’est le seul à nécessiter l’installation d’un logiciel client. Il permet la limitation des
demandes sortantes utilisant TCP et UDP par utilisateur. L’installation peut se faire depuis un partage créé à
l’installation d’ISA ( \\serveur_ISA\MSPCLNT )ou à partir d’une interface web, en copiant les fichiers
default.htm et setup.bat contenus dans le repertoire c:\program files\Microsoft ISA Server\Clients\Webinst
sur un serveur web (les clients doivent afficher la page default.htm…).
3 Quel client utiliser ?
En fonction de vos besoins, un client conviendra mieux qu’un autre. Le tableau vous aide à déterminer le client à
employer :
Vous voulez : Vous devrez utiliser :

Essentiel v0.9
Améliorer les performances web pour les clients internes Web Proxy client
Eviter d’avoir à déployer un client ou d’avoir à configurer des

SecureNat Client
paramètres dans les applications
Améliorer les performances web pour les clients internes
SecureNat Client
disposant de systèmes d’exploitation autre que Microsoft
Publier un serveur situé sur votre réseau interne SecureNAT Client
Autoriser l’accès à Internet uniquement aux utilisateurs

Firewall Client
authentifiés

Essentiel v0.9
Module 3
Sécurisation de l'accès à Internet
1 Composants de stratégie d’accès
Une stratégie d’accès se compose de deux types de règles : les règles de protocole et les règles de site et de
contenu.
Les règles de protocole définissent les protocoles que les clients sont autorisés à utiliser dans le cadre d’un accès vers
Internet.
Les règles de site et de contenu définissent le type de contenu auquel les clients peuvent accéder ainsi que les sites
auxquels les clients peuvent accéder.
Ces règles peuvent être établies dans le but d’autoriser un type d’accès ou le refuser.
a) Traitement des demandes de client sortantes

Essentiel v0.9
b) Création d’éléments de stratégie
Les stratégies sont constituées d’éléments de planification, de priorité de bande passante, d’ensembles de
destinations, d’ensembles d’adresses clients, de définitions de protocole, de groupes de contenus et d’entrées d’accès
distant.
Les planifications permettent d’activer ou de rendre inactive une stratégie sur une période de temps. La configuration
d’une planification prend la forme d’un tableau affichant les jours de la semaine et les heures de la journée par
tranches d’une heure.
Les priorités de bande passante permettent d’attribuer des priorités aux données qui transitent par le serveur ISA en
fonction du protocole utilisé. Lorsque toute la bande passante est utilisée, ISA répartira la bande passante en fonction
des différents protocoles et de la valeur qui leur est attribuée. Par exemple, si vous avez créé trois règles de
priorités : protocole FTP valeur 5, protocole Windows Media valeur 20, tous les autres protocoles à 10, vous
obtiendrez 14.2% de bande passante pour le protocole FTP, 57.1% pour le protocole Windows Media et 28.6% pour
tous les autres protocoles. Pour que le contrôle des bandes passantes soit fonctionnel, il faut les activer et définir la
bande passante de votre connexion vers le réseau extérieur.
Les ensembles de destination permettent d’autoriser ou d’interdire l’accès des ordinateurs à des destinations qui sont
définies par des FQDN ou des plages d’adresses IP. Il est possible de définir des dossiers de destination ou des
fichiers grâce à l’attribut chemin d’accès. Enfin, les ensembles de destinations peuvent être utilisés dans les règles de
bande passante ainsi que diverses autres règles.
Les ensembles d’adresses clients permettent d’autoriser ou d’interdire l’accès aux demandes Web vers l’extérieur à
des ordinateurs. La sélection des clients autorisés ou non se fait par plages IP. Ces ensembles peuvent aussi être
utilisés dans les règles de bande passante ainsi que diverses autres règles.
Les définissions de protocole permettent d’établir une corrélation entre un nom de protocole et les ressources réseau
IP qu’il utilise. Exemple : le protocole HTTP (serveur) utilise le port 80 sur le protocole TCP en entrée.
Les groupes de contenus permettent d’autoriser ou d’interdire le chargement de types de fichiers (HTTP et FTP). Un
type de contenu est définis par le ou les types MIME ainsi que les extensions de fichier associées.
2 Configuration de stratégies et de règles d'accès
Deux types de planifications de stratégies s’offrent à vous :

La plus sécurisée mais aussi la plus restrictive pour les utilisateurs : Refuser tous les accès sauf les types d’accès que
vous autorisez.
La seconde moins restrictive mais moins sécurisée : Autoriser tous les accès sauf ceux que vous refusez.
3 Utilisation de l'authentification ISA Server
L’activation de l’authentification ISA Serveur apporte de nombreux avantages. Elle permet de configurer des règles
d’accès basées sur un utilisateur ou un groupe d’utilisateurs pour l’accès aux sites Web. Les journaux ISA contiennent
des informations sur l’activité des utilisateurs.
L’authentification n’est possible que pour les clients Pare-feu et clients proxy Web. Les clients SecureNAT ne peuvent
s’authentifier sur le serveur ISA.
L’authentification des clients Pare-feu est automatique. L’authentification des clients proxy Web n’est pas
automatique, il faut configurer les clients pour qu’ils s’authentifient.
Vous pouvez configurer ISA pour qu’il exige l’authentification de toutes les demandes.
a) Méthodes d’authentification
Il existe quatre types de méthodes d’authentification :

Essentiel v0.9
L’authentification de base. Cette méthode est déconseillée car le login et le mot de passe de l’utilisateur sont envoyés
en clair sur le réseau.
L’authentification Digest. Cette méthode est plus sécurisée que la première car le mot de passe est envoyé hashé
(cryptage non réversible) - nécessite Internet Explorer à partir de la version 2.0.
L’authentification intégrée Windows. Cette méthode utilise le protocole d’authentification Kerberos V5 - nécessite
Internet Explorer.
L’authentification par certificat client. Utilise les informations contenues dans le certificat pour authentifier l’utilisateur.

Essentiel v0.9
Module 4
Configuration de la mise en cache
1 Vue d'ensemble de la mise en cache
a) Fonctions de mise en cache
Plusieurs fonctions sont implémentées dans ISA afin d’obtenir une mise en cache efficace :
- Mise en cache RAM et mise en cache sur disque : Certains objets Web fréquemment demandés sont
stockés en RAM alors que d’autres seront stockés sur le disque.
- Majorité des opérations effectuées dans la mémoire vive : Afin d’accélérer les opérations, la plupart
des opérations sont réalisées en mémoire vive.
- Répertoire d'objets mis en cache : Le fichier d’index (appelé répertoire) des objets mis en cache est
stocké en mémoire vive pour un accès rapide.
- Récupération rapide : Le répertoire est stocké périodiquement sur le disque dur, ce qui permet de le
restaurer suite à un arrêt inattendu du système.
- Fichier de cache unique : Un seul fichier de cache est créé par partition afin de minimiser le nombre
d’ouvertures/fermetures de fichiers multiples.
- Mises à jour efficaces du cache : ISA analyse la pertinence de la mise en cache de chaque objet Web.
- Mise en cache active : Tous les objets en cache sont sujets à des mises à jour permettant de ne pas
envoyer aux utilisateurs des objets obsolètes.
- Enregistrement préalable dans le cache : Certains sites peuvent être mis en cache automatiquement si
ils sont susceptibles d’être consultés par les utilisateurs.
- Nettoyage automatique : Les objets qui n’ont pas été demandés régulièrement sont automatiquement
supprimés du cache afin de réduire l’emplacement réservé.
Pour améliorer le fonctionnement du système, il est conseillé de configurer la taille du cache local des clients au
minimum.
b) Traitement des demandes de nouveaux objets
Chaque requête d’un objet Web qui n’est pas dans le cache lance la procédure suivante :
- Le service Proxy Web vérifie dans le répertoire de cache (mémoire vive) s’il dispose d’une copie de l’objet. Si
cet objet ne se trouve pas en cache, il crée une entrée dans le répertoire de cache pour lui.
- Le service récupère ensuite l’objet sur Internet et le copie dans le cache en mémoire vive (pas dans le
répertoire mais dans une partie de la mémoire réservée au fichier fréquemment demandé).
- Le service renvoie ensuite l’objet au client.
- Périodiquement, lorsque le système est moins sollicité, le service Proxy Web va déplacer des objets du cache
de la RAM dans le cache du disque (c‘est une mises à jour par lots).
- De façon périodique aussi, le service va sauvegarder le répertoire cache sur le disque dur afin de ne pas
perdre son contenu lors d’un arrêt inattendu du système.
Par défaut, le service pare-feu redirige les requêtes HTTP vers le service Proxy Web.
c) Traitement des demandes d'objets mis en cache
Chaque requête d’un objet Web qui est dans le cache lance la procédure suivante :
- Le service Web Proxy vérifie dans le répertoire de cache (mémoire vive) s’il dispose d’une copie de l’objet. Si
oui, il vérifie son emplacement (RAM ou disque).
- Il renvoie ensuite le fichier au client.

Essentiel v0.9
2 Configuration d'une stratégie de mise en cache
a) Configuration de la mise en cache HTTP
La mise en cache HTTP est automatiquement activée lorsque vous installez ISA en mode cache et en mode intégré.
Lorsque l’option est activée, ISA stocke les objets HTTP dans son cache pendant une durée (TTL) déterminée par le
type de l’objet et la fréquence d’accès au fichier ou par des paramètres que vous configurez.
Certaines pages Web incluent dans leurs metas une date d’expiration dont ISA va se servir pour déterminer la
durée de vie de l’objet dans le cache.
b) Configuration de stratégies d'expiration
Une fois la mise en cache activée, vous pouvez choisir d’employer une stratégie d’expiration pré configurée avec une
mise à jour fréquente, normael ou moins fréquente selon l’état d’occupation du réseau que vous voulez affecter (plus
les mises à jour sont fréquentes, plus la bande passante de la connexion Internet sera occupée).
Aussi, vous pouvez choisir une stratégie d’expiration personnalisée à travers trois paramètres qui sont : le
pourcentage de l’âge du contenu (ISA base le TTL des objets sur leur date de création et de modification) et les
temps minimum et maximum pendant lesquels l’objet sera en cache.
c) Configuration de la mise en cache active
Une autre option de configuration est disponible avec la mise en cache active avec laquelle ISA va automatiquement
mettre à jour les fichiers fréquemment demandés sans attendre la requête d’un client. Il est ensuite possible de
définir la fréquence de mise à jour selon trois niveaux : fréquent, normal et moins fréquent.
d) Configuration de la mise en cache FTP
Tout comme les objets HTTP, les objets FTP peuvent être mis en cache pendant une durée que vous pouvez définir
(par défaut à 1440 minutes).
e) Configuration des paramètres avancés du cache
Plusieurs paramètres avancés de la gestion du cache sont disponible afin d’optimiser l’utilisation du cache :
Option Description
Ne pas mettre d’objets en cache Permet de limiter la taille des objets mis en cache
supérieurs à
Mettre en cache les objets dont l’heure Enregistre en cache les objets dont les heures de modification ne
de la dernière modification n’est pas sont pas spécifiées.
spécifiée
Mettre en cache le contenu dynamique Met en cache le contenu dynamique.
(objets avec des " ?" dans l’URL)
Taille maximale de l’URL mise en cache Limite la taille maximale des URL mises en cache dans la mémoire.
en mémoire (octets)
f) Configuration des actions liées aux objets inaccessibles
ISA peut être configuré pour envoyer un objet en cache dont le TTL a expiré si l’objet n’est plus accessible sur
Internet.
Il peut aussi mettre en cache la réponse obtenue lorsqu’un objet n’est pas accessible (mise en cache négative)
permettant d’envoyer ce message plus rapidement. Pour l’activer, cochez l’option Mettre en cache les objets même
sans code d’état HTTP égal à 200.

Essentiel v0.9
3 Configuration des paramètres du cache
a) Ajustement de la taille du cache
Lorsqu’un lecteur est configuré afin d’être utilisé pour la mise en cache, un répertoire urlcache est créé à sa racine.
Ce répertoire contient le fichier dans lequel tous les objets mis en cache vont être stockés. Une fois que le fichier est
plein, les objets les plus anciens sont effacés pour laisser la place aux nouveaux.
Si le fichier est corrompu, il est nécessaire d’arrêter le service Proxy Web Microsoft pour pouvoir supprimer le
répertoire et ainsi forcer la recréation du fichier.
b) Ajustement de l'allocation de mémoire
ISA utilise un pourcentage de la mémoire pour mettre certains fichiers en cache. Afin d’optimiser le fonctionnement
de la mise en cache, il est préférable d’allouer un pourcentage élevé lorsque le serveur n’exécute pas d’autres
applications.
4 Configuration de téléchargements de contenus planifiés
Les téléchargements de contenus planifiés permettent de mettre à jour régulièrement le cache avec les objets HTTP
que les utilisateurs demandent. Le téléchargement peut être lancé à des heures de faible occupation de la bande
passante. Il est ainsi possible de mettre en cache l’intégralité d’un site pour une consultation locale des utilisateurs
même si la connexion est coupée.

Essentiel v0.9
Module 5
Configuration de l'accès pour les clients et les réseaux distants
1 Vue d'ensemble
Pour permettre à des utilisateurs ou ordinateurs distants d'accéder à des ressources de votre réseau, il est possible
de configurer un serveur ISA en tant que serveur VPN.
Cette configuration se fait par le biais d'assistants spécifiques à ISA Server.
Une connexion VPN permet d’utiliser l’infrastructure d'un réseau public (ex: Internet) pour relier le client et le serveur.
Chacun d’entre eux va par exemple se connecter à Internet via son ISP puis un canal virtuel sécurisé va être mis en
place entre les deux entités grâce à un protocole d'encapsulation sécurisé. L’utilisation d’Internet permet de réduire
les coûts de connexion et d’atteindre des vitesses de connexion difficilement envisageables dans le cas de connexions
directes.
Lors de connexion VPN, deux protocoles d'encapsulation spécifiques peuvent être utilisés garantissant la sécurité des
données sur le réseau publique: PPTP (Point to Point Tunneling Protocol) ou L2TP (Layer 2 Tunneling Protocol) sur
IPSec.
ISA Server exploite le service Routage et accès distant de Windows 2000 pour son VPN.
2 Connexion d'utilisateurs distants à un réseau d'entreprise
Pour permettre à un utilisateur de se connecter au réseau de l'entreprise à distance, via Internet par exemple, le
serveur ISA doit être configuré pour accepter les connexions VPN clientes.
Lorsque l'utilisateur est connecté, il accède aux ressources de l'entreprise comme s'il était physiquement sur le réseau
local.
3 Connexion de réseaux distants à un réseau local
Les VPN peuvent permettre l'interconnexion de réseaux éloignés géographiquement (WAN - Wide Area Network) via
Internet, comme le feraient des routeurs au travers de liaisons louées.
Pour permettre cette communication via ISA, il faudra un serveur ISA sur chaque réseau. Il faudra configurer un
serveur VPN local et un serveur VPN distant.
4 Configuration de réseaux privés virtuels
a) pour les connexions clientes
Dans la console Utilitaires de gestion ISA, il faut développer le serveur ou le groupe de serveurs et cliquer sur
Configuration du réseau, puis sur Configurer un réseau privé virtuel (VPN) client.
Cet assistant va configurer le service Routage et accès distant pour prendre en charge le VPN.
b) pour les connexions entre réseau distant et réseau local
Il est nécessaire dans ce cas, de configurer sur le serveur VPN ISA local un réseau privé virtuel local et sur le serveur
VPN ISA distant un réseau privé virtuel distant.
- Configuration d'un réseau privé virtuel local : dans la console Utilitaires de gestion ISA, il faut développer le
serveur ou le groupe de serveurs et cliquer sur Configuration du réseau, puis sur Configurer un réseau privé
virtuel (VPN) local. L'assistant vous demandera un certain nombre d'informations telles le protocole
d'encapsulation à utiliser, ou le type de communication (par exemple, bidirectionnelle si vous souhaitez que la
communication puisse être initiée par le serveur local ou le serveur distant). Pour finir, un fichier de
configuration (.vpc) protégé par un mot de passe que vous aurez défini sera généré. Ce fichier sera utile pour
la configuration du serveur distant.

Essentiel v0.9
- Configuration d'un réseau privé virtuel distant : dans la console Utilitaires de gestion ISA, il faut développer
le serveur ou le groupe de serveurs et cliquer sur Configuration du réseau, puis sur Configurer un réseau
privé virtuel (VPN) distant. Le chemin et le mot de passe du fichier de configuration créé sur l'autre serveur
seront requis.

Essentiel v0.9
Module 6
Configuration du pare-feu
1 Sécurisation du serveur
La sécurité du système est déterminée par différents paramètres qui sont applicables à l’aide de modèles de sécurité.
En fonction des services présents sur le serveur ISA, vous devez installer différents types de modèles :
- Modèle Dédié : Votre serveur ISA est dédié au pare-feu et n’exécute aucune autre activité.
- Modèle Modéré pour les services : Votre serveur ISA fait office de pare-feu et de serveur de
cache.
- Modèle Standard : Votre serveur ISA a d’autres fonctionnalités que pare-feu : utilisation de IIS,
Exchange…
Pour le modèle Dédié, le fichier de modèle est Hisecws.inf pour un serveur et Hisecdc.inf pour un contrôleur de
domaine.
Pour le modèle Modéré pour les services, le fichier de modèle est Securews.inf pour un serveur et Securedc.inf pour
un contrôleur de domaine.
Pour le modèle Standard, le fichier de modèle est basicws.inf pour un serveur et basicdc.inf pour un controleur de
domaine.
2 Réseaux périphériques (DMZ)
L’utilisation de réseaux périphériques permet d’échelonner les risques d’intrusion. Toutes les données devant être
accessibles du réseau interne et de l’extérieur (Internet) sont parquées dans un réseau périphérique, l’accès de
l’extérieur y est autorisé et filtré. Le réseau interne n’ayant par conséquent plus de raison d’être accédé depuis
l’extérieur, on peut y interdire toutes les connexions, ce qui renforce beaucoup la sécurité.
Il y a deux possibilités d’implémentation de réseaux périphériques :

- Placer le réseau périphérique entre le réseau Interne et le réseau Internet et installer deux serveurs ISA pare-
feu, le premier entre Internet et le réseau périphérique et le deuxième entre le réseau périphérique et le
réseau interne.
- Un unique serveur ISA avec trois interfaces réseau est configuré en pare-feu, Internet, le réseau Interne et le
réseau périphérique sont reliés au serveur ISA.
a) Configuration d’un serveur ISA dans le cas d’implémentation d’un réseau

périphérique tri résidant (deuxième cas).
Dans la plage des adresses IP internes, ajoutez uniquement l’adresse du réseau Interne.
Activez le routage IP. Cela permet de faire communiquer le réseau périphérique avec Internet.
Activez le filtrage de paquets et ajoutez des règles autorisant les protocoles pour lesquels vous avez des services sur
le réseau périphérique. Par exemple : votre serveur de mail se trouve sur le réseau périphérique, vous souhaitez
autoriser l’accès Web, et l’IMAP depuis Internet. Autorisez les connexions TCP en entrée entre Internet et le serveur
mail se trouvant sur le réseau périphérique sur les ports 25, 80 et 143. Autorisez en sortie le port 25.
3 Examen du filtrage de paquets et du routage IP
Le contrôle du trafic réseau est réalisé par trois types de services réseaux différents : Le service proxy web, le service
pare-feu proxy, le service pare-feu routage.
Le service proxy web s’occupe de transmettre les demandes des clients internes vers les serveurs Internet.
Le service pare-feu proxy filtre, traite (translation d’adresse) et transmet les demandes des clients SecureNAT et
clients pare-feu vers les serveurs sur Internet. Ce service traite les demandes utilisant les protocoles TCP et UDP.

Essentiel v0.9
Le service pare-feu routage filtre et route les paquets IP, il se différencie du service précédent car il route les paquets
plutôt que d’effectuer une translation d’adresse. Le service pare-feu routage peut aussi router des paquets autre que
IP.
a) Principe du filtrage des paquets
Dans l’entête des paquets IP sont spécifiés l’adresse IP source, le port source, l’adresse IP de destination, le port de
destination. Le filtrage de paquet permet d’autoriser ou d’interdire le passage d’un paquet en fonction de ces
paramètres.
b) Sens dans le filtrage de paquets
Des options sur le sens des paquets sont disponibles.

Pour les connexions TCP, il y a trois sens :
- Entrée : Autorise ou interdit un ordinateur d’Internet d’établir la connexion TCP.
- Sortie : Autorise ou interdit un ordinateur de votre réseau interne à établir la connexion TCP.
- Les deux : L’établissement de la connexion est autorisé depuis votre réseau interne ou depuis Internet.
Pour les connexions UDP, étant donné qu’il n’y a pas d’état connecté mais simplement un envoi de paquets sans
autre forme, il n’y a en pratique que deux sens : Envoi, Réception. Mais on peut rassembler plusieurs cas, permettant
de faire évoluer la notion de sens en UDP :
- Les deux : lorsque le sens est défini sur les deux, cela équivaut à créer une règle autorisant ou bloquant les
paquets en envoi et une seconde en réception.
- Envoyer et Recevoir : Lorsque le sens est défini sur envoyer et recevoir, ISA va essayer de simuler des
sessions : si un client Internet envoie un paquet UDP, il sera refusé. Mais si le client interne envoie un paquet
UDP, il pourra passer, puis le client Internet pourra répondre, le port ayant été débloqué pour ce client
pendant un certain laps de temps.
- Recevoir et Envoyer : même principe que pour envoyer et recevoir sauf que cette fois-ci, c’est le client
Internet qui peut établir une session.
c) Configuration des options de filtre de paquets
Il est possible d’activer des options sur le filtrage de paquets : l’enregistrement des paquets de filtre autorisés, PPTP
via le pare-feu ISA, filtrage des fragments IP, filtrage des options IP.
Enregistrer les paquets de filtre autorisés : Cette option permet d’enregistrer dans des fichiers de Log toutes les
informations sur le trafic qui est accepté par les filtres de paquets. N’utilisez cette option que pour résoudre des
problèmes, car elle augmente de façon sensible la charge processeur et la taille des fichiers de Log va très vite
augmenter.
PPTP via pare-feu ISA : Cette option permet aux clients du réseau interne de se connecter en VPN à l’aide du
protocole PPTP. Elle ajoute un filtre de paquets nommé SecureNAT.
Activation du filtrage de fragments IP : Une attaque connue utilise la fragmentation de paquets IP pour perturber le
fonctionnement d’un ordinateur. Activez cette option pour interdire la réception de paquets IP fragmentés. Attention,
vous ne pourrez plus communiquer avec certains ordinateurs sur Internet.
Activation du filtrage des options IP : Permet de refuser tous les paquets contenant Options IP dans l’entête.
Certaines attaques utilisent des paquets d’options IP pour perturber le fonctionnement d’un ordinateur.
4 Configuration des filtres d’application
Les filtres d’applications sont un complément de sécurité pour le pare-feu, en effet ils ne se limitent pas à l’analyse de
l’entête IP, mais analysent le contenu des transactions pour déterminer si un paquet est autorisé ou non. De plus, ces
filtres permettent la redirection et éventuellement la modification des données.
ISA Serveur comprend en standard un certain nombre de filtres d’applications :

Essentiel v0.9
- Filtre de détection d’intrusion DNS : Détecte et interdit certaines intrusions DNS

- Filtre d’accès FTP : Le protocole FTP envoyant des adresse IP dans les flux de données, la translation
d’adresse pose certains problèmes pour ce protocole. Le filtre d’accès FTP analyse et remplace les adresses
IP dans les flux de données pour permettre un fonctionnement correct du protocole FTP.
- Filtre H.323 : Ce filtre permet aux clients SecureNAT et pare-feu d’émettre et de recevoir des appels.
- Filtre de redirection HTTP : Ce filtre redirige les connexions HTTP des clients vers un serveur Proxy Web.
- Filtre de détection d’intrusion POP : Détecte et interdit certaines intrusions POP.
- Filtre RPC : Active la publication de serveurs utilisant les appels de procédures distantes
- Filtre SMTP : Permet de détecter et de filtrer des tentatives d’attaques sur SMTP mais aussi d’interdire
certains types de pièces jointes ou de mots clefs.
- Filtre Socks V4 : Permet à ISA de répondre aux clients utilisant le protocole SOCKS.
- Filtre de diffusion Multimédia par flux : Permet aux clients d’accéder à des trames de multi-diffusion.
(Windows Media).

Essentiel v0.9
Module 7
Configuration de l'accès aux ressources internes
1 Présentation de la publication
a) Vue d'ensemble de la publication
La publication va permettre de donner accès à certaines des ressources d’un serveur interne aux utilisateurs
d’Internet. Différents types de serveurs peuvent être publiés comme des serveurs Web, des serveurs Exchange et
tout autre type de serveur utilisant le protocole TCP/IP.
Les utilisateurs désirant accéder à cette ressource publiée, le feront via l’interface réseau publique du serveur ISA.
Ensuite ISA acheminera les informations au serveur interne via son interface publique en garantissant la sécurité et
l’intégrité des données provenant d’Internet.
Le serveur interne peut se situer sur un réseau périphérique (DMZ) en mettant en œuvre le même principe.
La publication de serveur est aussi appelée Proxy inversé. Aussi est-il possible d’activer la mise en cache des objets
Web pour les clients Internet (voir module 4) ce qui est appelé mise en cache inversée.
La mise en cache inversé n’est applicable que sur la publication de serveurs Web.
b) Publication de serveurs sur un réseau périphérique dos-à-dos
Une mise en place classique d’ISA est le mode dos à dos. Dans cette configuration, un serveur ISA assure la liaison
entre le réseau Internet et le réseau périphérique où se trouve le serveur Web. Un second serveur ISA assure la
liaison entre le réseau périphérique et le réseau de l’entreprise où se trouve une ressource devant être accessible par
le serveur Web (ex : SGBDR).
Le rôle des serveurs ISA va être de limiter les transferts de données uniquement entre les intervenants qui le
nécessitent. Ainsi les internautes ne vont accéder qu’au serveur Web sans pouvoir entrer dans le réseau privé de
l’entreprise et le serveur Web sera le seul à pouvoir accéder au SGBDR et uniquement à lui.
Ainsi, il n’est pas possible à un internaute de se connecter à une ressource interne de l’entreprise.
c) Lignes directrices sur l'utilisation de la publication et du routage
L’utilisation de la publication de serveur peut être équivalente à l’activation du routage et du filtrage. Ainsi, il convient
de suivre ces quelques indications quand à l’utilisation de l’un ou de l’autre.
Interconnexion directe entre le réseau d’entre Mise en place d’une publication de serveur.
prise et le réseau Internet, sans passer par un
réseau périphérique.
Configuration avec réseau périphérique et un Routage et filtrage entre Internet et le réseau
serveur ISA en tri-résident. périphérique et publication de serveurs entre les réseaux
interne et périphérique.
Configuration de réseau périphérique dos à dos. Publication de serveurs sur les deux serveurs ISA.
d) Vue d'ensemble des règles de publication
Règles de publication Web
Les règles de publication de serveurs Web vont permettre de déterminer le chemin des demandes à destination des
serveurs Web internes. Les protocoles supportés pour la publication Web sont HTTP, HTTP-S ou FTP. De plus, il est

Essentiel v0.9
possible de rediriger les ports afin que le port sur le serveur Web soit différent de celui auquel va accéder l’internaute
sur l’ISA. Ainsi, on peut déterminer qui aura le droit et qui sera interdit d’accès au serveur Web.
La configuration de ces règles n’est disponible que dans les configurations d’ISA en mode Cache et en mode Intégré.
Règles de publication de serveurs
Les règles de publication de serveurs vont indiquer le traitement des serveurs n’utilisant pas les protocoles HTTP,
HTTP-S ou FTP de la même façon que les règles de publication Web. Dans cette configuration, il n’est pas possible de
rediriger les ports.
La configuration de ces règles n’est disponible que dans les configurations d’ISA en mode Par-feu et en mode Intégré.
2 Configuration de la publication Web
a) Publication d'un serveur Web
La publication d’un site Web va consister à créer une règle de redirection des demandes entrantes vers un site
serveur interne. Il est aussi possible de créer des ensembles de destinations qui vont permettre de rediriger des
parties du site (ex : http://www.laboratoire-microsoft.org/certifexpress) sur différents serveurs.
Les différentes règles de publication sont évaluées linéairement. Lorsqu’une règle correspondant au critère est
trouvée, l’évaluation est stoppée. Il est possible de modifier cet ordre.
b) Configuration de ports d'écoute pour les demandes Web entrantes
Afin que le serveur ISA accepte des connexions entrantes, il est indispensable d’ouvrir un certain nombre de ports en
écoute. Par défaut ISA refuse toutes les connexions entrantes.
Une authentification peut être demandée par ISA en supplément de l’authentification réalisée par le serveur Web
interne permettant de limiter l’accès au serveur interne.
c) Redirection de demandes vers d'autres ports
Lorsqu’un client envoie une requête sur le port 80 du serveur ISA pour atteindre un serveur interne, il est possible de
rediriger cette requête vers un port différent sur le serveur Web interne.
d) Établissement d'une communication sécurisée
Lorsque ISA assure la redirection vers un serveur Web interne, il doit assurer la sécurité aussi bien entre le client et le
serveur ISA qu’entre le serveur ISA et le serveur Web. Ainsi, lorsqu’un client établit une connexion SSL jusqu’au
serveur ISA, le serveur ISA se charge de créer une session SSL jusqu’au serveur Web. Cette architecture est appelée
pontage SSL.
Le protocole SSL sera identifié parle terme https dans les URLs et utilisera le port TCP 443.
e) Demande d'un canal sécurisé
Pour une sécurité optimale, il est possible de limiter les accès au serveur Web aux seuls utilisateurs qui emploient une
connexion sécurisée SSL.
3 Configuration de la publication de serveurs
a) Publication d'un serveur
La publication d’un serveur va permettre l’accès à un serveur interne à l’entreprise à des clients venus de l’extérieur.

Essentiel v0.9
Il est possible de publier n’importe quel protocole dans une règle de publication à partir du moment où celui-ci existe
en tant que protocole entrant.
b) Publication d'un serveur de messagerie
L’assistant sécurité du serveur de courrier va vous permettre de choisir le type d’authentification permis pour
authentifier les clients sur les serveurs de messagerie. De plus, il va permettre d’activer le filtrage de contenu sur le
service SMTP entrant.
La prise en charge du filtrage avancé de contenu SMTP nécessite l’installation d’un composant facultatif qui sera
installé sur un serveur exécutant IIS de préférence différent de celui exécutant ISA.
4 Ajout d'un opérateur de contrôle d'appels H.323
a) Vue d'ensemble du protocole H.323
Le protocole H323 est un protocole régissant la manière dont les différents intervenants communiquent pour
transmettre du contenu multimédia. Microsoft NetMeeting est un exemple d’application utilisant ce protocole.
b) Fonctionnement de l'opérateur de contrôle d'appels H.323
Le principal inconvénient de ce système est qu’il est difficilement possible d’établir une communication entre deux
stations chacune située dans une entreprise et accédant à Internet via un Proxy ou un autre système de partage de
connexion Internet. Pour résoudre cette limitation, un opérateur de contrôle d’appels H.323 peut être utilisé.
En utilisant cet opérateur d’appel, le client H.323 va envoyer une requête à son serveur DNS sur Internet pour
récupérer via des enregistrements SRV l’adresse IP (publique) d’un opérateur d’appels pour le domaine de l’utilisateur
que l’on cherche à joindre.
Une fois ce serveur joint, celui-ci va router les informations vers la station du destinataire.
c) Ajout et configuration d'un opérateur de contrôle d'appels H.323
L’ajout d’un opérateur de compte n’est utile que dans le cas de sessions H.323 entrantes ; notamment dans les cas
suivants : souhait de configurer des règles de routage avancées, établir des connexions entrantes avec des clients
SecureNAT et des clients pare-feu.
L’installation de l’opérateur de contrôle se fait via le menu contextuel du nœud d’Opérateur de contrôle d’appels
H.323.
Une fois le composant installé, il faut ajouter, dans la zone DNS Internet, l’enregistrement SRV avec les
caractéristiques suivantes : Service Q931, Protocole TCP, Port 1720 et le nom d’hôte.
Pour finir, il suffit de configurer les clients pour qu’ils enregistrent les utilisateurs avec un opérateur de contrôle
d’appels.

Essentiel v0.9
Module 8
Surveillance et création de rapports
1 Vue d'ensemble
L'activité d'un serveur ISA requiert une attention particulière. Pour être alerté en cas de problème ou pour éviter les
fausses alertes, un certain nombre d'outils sont mis à disposition: stratégies de surveillance, création de rapports
d'activité ou d'analyse, alertes pour la détection d'intrusions,...
2 Surveillance de la détection des intrusions
Un système de détection d'intrusions est intégré à ISA Server. Il peut agir au niveau des paquets IP ou au niveau
application.
Au niveau des paquets IP, ISA peut détecter les attaques suivantes: Port scan, IP half scan, Land, Ping of death, UDP
bomb ou WinNuke (Windows-Out-Of-Band).
Au niveau des applications, les attaques suivantes sont détectées:
- Dépassement de nom d'hôte DNS (lorsque le nom DNS renvoyé dépasse une certaine taille)
- Dépassement de longueur DNS (lorsque l'IP renvoyée contient plus de 4 octets)
- Transfert de zone DNS depuis des ports privilégies (1-1024) ou supérieurs (> 1024)
- Dépassement de tampon POP (tentative d'obtention d'accès privilégié à un serveur exécutant une certaine
version de POP).
Une alerte peut être configurée pour se déclencher lors d'une tentative d'intrusion.
On peut engager un certain nombre d'actions lorsqu'une attaque est détectée (ajouter une entrée dans le journal des
événements système, arrêter le service Firewall, lancer une application,...).
a) Configuration de la détection des intrusions
- Configuration de la détection des intrusions IP : dans la console Utilitaires de gestion ISA, il faut développer
le serveur ou le groupe de serveurs puis Stratégie d'accès. Ensuite, il faut faire un clic droit sur Filtres de
paquets IP et en afficher les propriétés.
- Configuration du filtre de détection des intrusions : dans la console Utilitaires de gestion ISA, il faut
développer le serveur ou le groupe de serveurs puis Extensions. Il faut ensuite cliquer sur Filtres
d'application, puis faire un clic droit sur Filtres de détection d'intrusion DNS et en afficher les propriétés.
- Configuration du filtre de détection des intrusions : Dans la console Utilitaires de gestion ISA, il faut
développer le serveur ou le groupe de serveurs puis Extensions. Il faut ensuite cliquer sur Filtres
d'application, puis faire un clic droit sur Filtres de détection d'intrusion POP et en afficher les propriétés.
b) Événements ISA Server
Une tentative d'intrusion ou un problème de service ISA sont des exemples d'événements ISA. Ils sont utilisés pour la
configuration des alertes. Voici une liste d'événements que peut détecter ISA:
Evénement Description
Détection des dépassement de longueur ou de noms d'hôtes DNS, de
Intrusion DNS
transfert de zone depuis des ports privilégies ou supérieurs
Intrusion détectée Tentative d'intrusion par un utilisateur externe
Un paquet IP répondant aux critères de filtrage d'une stratégie a été
Paquet IP ignoré
intercepté et ignoré
Violation de protocole IP Un paquet IP contenant des informations corrompues a été intercepté
et abandonné

Essentiel v0.9
Usurpation d'adresse IP L'adresse IP source d'un paquet IP est invalide
Intrusion POP Attaque par dépassement de tampon POP

Les critères de filtrage d'une stratégie correspondent à ceux de la
Demande SOCKS refusée
demande, donc cette dernière est refusée.
c) Configuration des alertes
Lorsqu'un événement se produit, le service d'alertes d'ISA peut déclencher une ou plusieurs actions: envoi d'un mail,
exécution d'un programme, ajout d'une entrée dans le journal des événements, démarrage ou arrêt d'un service.
Pour configurer une alerte, il faut, dans la console Utilitaires de gestion ISA, développer le serveur ou le groupe de
serveurs puis Configuration de l'analyse. Ensuite, il faut faire un clic droit sur Alertes et créer une nouvelle alerte.
Outre l'action à mener, on peut aussi définir des seuils de déclenchement (nombre d'occurrences de l'intrusion avant
déclenchement, nombre d'événements par seconde avant déclenchement), ou le comportement d'une alerte
lorsqu'un événement se reproduit plusieurs fois (immédiat, uniquement après réinitialisation de l'alerte, ou après un
certain délai).
d) Affichage et réinitialisation des alertes
Dans la console Utilitaires de gestion ISA, il faut développer le serveur ou le groupe de serveurs puis Configuration de
l'analyse. Il faut ensuite cliquer sur Alertes pour afficher les alertes dans le volet de détails.
En faisant un clic droit sur une alerte, on accède à l'option de réinitialisation.
Remarque: suivant la configuration que vous aurez défini, une alerte devra être réinitialisée ou non avant de se
déclancher à nouveau.
3 Surveillance de l'activité ISA Server
a) Configuration de la journalisation
La journalisation permet de surveiller l'activité de chaque serveur au niveau:
- du filtre de paquets
- du service de pare-feu ISA
- du service proxy Web ISA
Les informations obtenues peuvent être soit stockées sous forme de fichiers journaux au format W3C ou ISA soit
stockées dans une base de données (via ODBC).
Remarque: les fichiers journaux sont générés sur chaque serveur du groupe et concernent uniquement son activité.
b) Analyse de l'activité d'ISA Server à l'aide de rapports
A partir des fichiers journaux, des résumés de journaux sont créés périodiquement par ISA et stockés dans une base
de données. Ces résumés sont employés pour la génération de rapports.
c) Configuration des résumés de journaux
Les résumés de journaux sont nécessaire pour créer des rapports.

Il faut donc commencer par les configurer leur génération: quotidienne, hebdomadaire, mensuelle ou annuelle.
Remarque: un résumé même quotidien peut inclure des données de la journée, du mois ou de l'année.

Essentiel v0.9
d) Création des tâches de rapport
Une tâche de rapport doit être créée et exécutée afin de générer un rapport.
Cette tâche peut être planifiée pour générer des rapports à une heure spécifique ou à intervalles réguliers.
4 Surveillance de l'activité en temps réel
a) Affichage et déconnexion des sessions ISA Server
Pour afficher les sessions clientes en cours, il faut aller dans la console Utilitaires de gestion ISA, développer le
serveur ou le groupe de serveurs puis Analyse. Il faut ensuite cliquer sur Sessions.
Pour accéder aux options de déconnection, il faut aller dans le menu Affichage et cocher Fonctionnalités avancées.
Ensuite, en faisant un clic droit sur une session, on a accès à l'option Stop.
Remarque: pour afficher ou déconnecter une session, vous devez disposer des autorisations correspondantes.
b) Utilisation des objets de performance
Lors de l’installation d'ISA Server, des objets et des compteurs sont ajoutés à l’analyseur de performances pour lui
permettre d’afficher et d’enregistrer des informations liées à ISA (contrôle de bande passante, cache, service pare-
feu, service proxy, filtrage de paquets).
5 Test de la configuration d'ISA Server
Apres avoir configuré un serveur ISA, il est recommandé de le tester à l'aide d'applications tierces, destinées à
l'évaluation de la sécurité (ports scanners, outils d'attaques,...).
Si vous ne disposez pas de telles applications, vous pouvez utiliser quelques outils Windows pour effectuer des tests
de base. Par exemple, vous pouvez utiliser Telnet sur différents ports et voir la réaction du serveur ISA. La capture de
paquets grâce au moniteur réseau (et éventuellement SMS) pourra aussi vous permettre d'afficher les données
envoyées au serveur ISA et ses réponses pour diagnostiquer d'éventuels problèmes de réseau.

Essentiel v0.9
Module 9
Configuration d'ISA Server pour une entreprise
1 Différences ISA Server Edition standard et ISA Server Edition entreprise
La version Standard d’ISA Server est limitée à un serveur, une stratégie locale et un maximum de quatre processeurs.
Des lors que cette configuration ne suffit plus, il faut opter pour un cluster de version Entreprise.
a) Avantages d'ISA Server Enterprise Edition
Groupes de serveurs : Permet une gestion centralisée. Vous configurez les paramètres du groupe de serveurs et tous
nouveau serveur ajouté au groupe se voit automatiquement configuré avec les options du groupe de serveurs. La
charge est répartie entre tous les ordinateurs d’un groupe de serveurs et une tolérance aux pannes est
automatiquement gérée au sein du groupe de serveurs.
ISA server a été spécialement développé pour gérer le multitraitement symétrique (SMP). La version Entreprise utilise
les capacités SMP de Windows 2000 Advanced Server (jusqu'à 8 processeurs) et Datacenter Server (jusqu'à 32
processeurs).
ISA server permet la répartition de charge et de bande passante grâce aux fonctionnalités de clustering de Windows
2000 Advanced Server et Datacenter Server.
Protocole CARP : ISA Server implémente le protocole CARP au sein d’un groupe de serveur pour améliorer les
performances de mise en cache et la tolérance aux pannes. De plus, à l’aide du protocole CARP, il est possible
d’effectuer une mise en cache hiérarchisée entre serveurs ISA. Cette fonctionnalité permet de rapprocher le cache
fréquemment demandé des utilisateurs de manière à obtenir de meilleures performances.
Stratégie de tiers : Permet de rendre modulable la gestion des stratégies ISA Serveur.
2 Utilisation d'ISA Server Enterprise Edition
Deux stratégies d’installation s’offrent à vous :

- Installation comme serveur autonome : ISA ne doit pas faire obligatoirement partie d’un domaine Windows
2000. Si ce n’est pas le cas, les informations de configuration sont stockées dans le Registre.
- Installation comme membre d’un groupe de serveurs : le serveur ISA doit être membre d’un domaine
Windows 2000. Les informations de configuration sont stockées dans Active Directory.
a) Configuration de stratégies
Stratégies d’entreprise : les stratégies d’entreprise comprennent les règles de site et de contenu ainsi que des règles
de protocole. Il est possible de configurer une stratégie d’entreprise de manière à ce qu’elle puisse être complétée
par une stratégie de groupe de serveurs. Cela permet de donner plus de contrôle aux administrateurs des
départements tout en définissant une base commune.
Stratégies de groupe de serveurs : les stratégies de groupe de serveurs comprennent les règles de site et de contenu,
les règles de protocole, les filtres de paquets IP, les règles de publication Web, les règles de routage et les règles de
publication des serveurs.
3 Installation d'ISA Server dans une entreprise
La première chose à faire lors de l’installation d’ISA dans une entreprise est de mettre à jour le schéma Active
Directory pour qu’il prenne en charge les classes et les attributs d’ISA. L’utilitaire Outil d’initialisation d’entreprise ISA
Server est destiné à cet effet.

Essentiel v0.9
a) Utilisation de groupes de serveurs
Tous les membres d’un groupe de serveurs doivent appartenir au même domaine Windows 2000 et au même site. Ils
doivent être installés avec le même mode choisi (cache, pare-feu, intégré). Ils doivent tous disposer du même
ensemble d’extensions.
Configuration de stratégies : la configuration d’une stratégie pour un groupe concerne tous les ordinateurs présents
dans le groupe.
Configuration des alertes : la configuration des alertes peut se faire pour l’ensemble du groupe ou sur un serveur
particulier du groupe.
Rapports : Les rapports sont stockés sur un seul ordinateur du groupe d’ordinateurs. Par défaut, les rapports sont
stockés sur l’ordinateur sur lequel vous avez configuré les tâches liées aux rapports.
Cache : Les propriétés de configuration du cache sont communes à l’ensemble des serveurs appartenant au groupe,
si vous définissez 100Mo de cache sur le groupe, alors sur chaque ordinateur du groupe 100Mo seront alloués pour le
cache.
b) Autorisations requises
Pour ajouter un serveur ISA à un groupe de serveurs, vous devez appartenir au groupe Admins du domaine, ou au
groupe Administrateurs d’entreprise de la forêt.
Pour administrer les stratégies d’entreprise, vous devez être membre du groupe Administrateurs d’entreprise de la
forêt.
c) Promotion d’un serveur autonome
Il est possible de promouvoir un serveur autonome au rang de membres d'un groupe de serveurs. Le serveur promu
est placé dans un nouveau groupe de serveurs. Un serveur ne peut être promu que s’il est membre d’un domaine
Windows 2000. Lors de la promotion, les règles qui sont plus permissives que celle de la stratégie d’entreprise sont
supprimées, et celles qui sont comprises dans la stratégie d’entreprise sont supprimées aussi par ce qu’elles sont déjà
contenues dans celle-ci.
d) Maintenance des configurations d’entreprise
Vous avez la possibilité de sauvegarder et de restaurer les stratégies d’entreprise, les stratégies de groupe de
serveur ainsi que tous les éléments liés dans des fichiers.
e) Configuration de paramètres spécifiques au serveur dans ISA Server
Lors de la configuration d’un groupe de serveurs, tous les membres du groupe reçoivent les mêmes paramètres. Il est
cependant possible de configurer des paramètres qui ne s’appliquent qu’à un seul membre du groupe. C’est le cas
pour les ports d’écoute de demandes Web, les filtres de paquets, les règles de publication de serveurs, les alertes et
la mise en cache.
f) Combinaison de stratégies d'entreprise et de groupe de serveurs
Etant donné qu’une stratégie de groupe ne peut être plus permissive qu’une stratégie d’entreprise, il est conseillé lors
de la combinaison de stratégies de spécifier toutes les autorisations dans la stratégie d’entreprise puis de restreindre
au niveau du groupe de serveurs ces autorisations.
4 Gestion des connexions réseau
a) Routage des demandes Web
Vous pouvez créer des règles pour déterminer si les demandes doivent être directement envoyées à destination,
envoyées vers un serveur en amont, redirigées vers un autre site.

Essentiel v0.9
Vous pouvez créer des règles pour rediriger des demandes en fonction de la destination. Il est, de plus, possible de
prévoir des itinéraires de substitution au cas où un serveur en amont serait indisponible. Enfin, l’utilisation du cache
et son rafraîchissement peuvent aussi être configurés en fonction de la destination.
Les règles de routage sont appliquées dans l’ordre. Par conséquent, vous devez organiser votre liste pour que les
règles s’appliquent comme vous le souhaitez.
b) Routage des demandes de client pare-feu et SecureNAT
Il est possible de router les demandes de clients pare-feu et SecureNAT à l’aide du chaînage pare-feu. Il permet de
router les demandes des clients vers des serveurs en amont.
c) Recherche automatique de Proxy Web
Les clients utilisent une entrée du serveur DHCP ou du serveur DNS pour localiser un serveur ISA. Ces échanges de
demandes se font à l’aide du protocole WPAD pour les clients Proxy et du protocole WSPAD pour les clients pare-feu.
La recherche automatique est particulièrement utile pour les clients portables qui se déplacent régulièrement.
5 Evolutivité d’ISA Server
Le protocole CARP permet que la répartition de charge et la gestion du cache soient gérées automatiquement lors de
l’évolution du nombre de serveurs ISA dans un groupe de serveurs.
Pour les clients SecureNAT, la tolérance aux pannes peut être obtenue lorsque au minimum deux ordinateurs ISA
Server sont utilisés avec l’équilibrage de charge Windows 2000 Advanced Server.
a) Le protocole CARP
Le protocole CARP permet de gérer le cache entre différents serveurs pour permettre qu’un objet ne soit présent que
sur un serveur à la fois. Le protocole CARP utilise le routage par hashage pour déterminer le chemin pour résoudre
une demande. Le hashage est une valeur qui est dérivée de l’URL de la demande web et des propriétés du serveur.
b) Equilibrage de la charge réseau
Pour pouvoir bénéficier de l’équilibrage de la charge réseau, vous devez installer vos serveurs ISA sur des Windows
2000 Advanced Server. Cela permet de regrouper ces serveurs ISA en une unité logique n’ayant qu’une seule adresse
IP. Ce processus à l’avantage d’être complètement transparent pour les clients. Pour des performances optimales et
une administration simplifiée il faut que tous les membres du cluster à équilibrage de charge réseau appartiennent au
même groupe de serveurs ISA.
6 Extension et automatisation des fonctionnalités d'ISA Server
Il est possible d’étendre les fonctionnalités d’ISA Server. En effet, vous pouvez développer des filtres d’applications et
des filtres Web de manière a optimiser l’utilisation d’Internet et/ou augmenter la sécurité.
Il est aussi possible d’automatiser certaines charges administratives à l’aide de scripts. En effet des objets COM
permettant l’administration d’ISA Server sont mis à votre disposition.

Essentiel v0.9
Notes :

MS Es 70-227 0.9 FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

MS Es 70-227 0.9 FR

Transféré par

Droits d'auteur :

Formats disponibles

Microsoft Internet Security and Acceleration

Déploiement et gestion de Microsoft Internet

23, rue Château Landon

Table des Matières :

Module 1 Vue d'ensemble de Microsoft ISA Server ____________________________________________________________ 5

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 2

4 Configuration de téléchargements de contenus planifiés________________________________________________ 16

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 3

b) Utilisation des objets de performance _______________________________________________________________ 27

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 4

1 Présentation d'ISA Server

a) Éditions d'ISA Server

Deux versions d’ISA sont disponibles :

b) Avantages d'ISA Server

ISA fournit aux entreprises plusieurs avantages en matière de connectivité à Internet :

2 Utilisation de la mise en cache

a) Processus de mise en cache

b) Types de mises en cache

ISA supporte trois types de mises en cache :

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 5

 La mise en cache n’est disponible que dans l’édition Entreprise.

3 Utilisation des pare-feu

a) Vue d'ensemble des pares-feu

c) Réseau périphérique équipé d'un pare-feu tri-résident

d) Réseau périphérique équipé de pare-feu dos-à-dos

e) Filtres et accès au réseau

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 6

1 Installation d’ISA Server

a) Identification des besoins matériels et logiciels

Le tableau ci-dessous décrit la configuration requise pour l’installation d’ISA :

Composant Configuration requise

Processeur Pentium II 300 ou supérieur*

Mémoire vive 256 Mo

b) Conditions de mise en cache directe

500-1000 PIII 550Mhz, 256Mo de RAM 10Go

c) Conditions de mise en cache inversée

Nombre de réponses par

Environ 800 PIII 550Mhz

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 7

d) Configurations requises pour le pare-feu

Débit Configuration requise

1 à 25 Mb/s PII 300Mhz, 256Mo de RAM

De 25 à 50Mb/s PIII 550Mhz, 256 Mo de RAM

e) Identification des tâches à effectuer avant l’installation

- les options d’installation :

- Mode d’installation : pare-feu, cache ou intégré

- Configuration de la table d’adresses locales

f) Spécification de la taille du cache

g) Configuration de la table d’adresses locales

h) Mise a niveau depuis Microsoft Proxy Server 2.0

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 8

Pour effectuer la migration depuis Windows NT4.0 :

2 Installation et configuration de clients ISA Server

a) Les différents clients

3 Quel client utiliser ?

Vous voulez : Vous devrez utiliser :

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 9

Eviter d’avoir à déployer un client ou d’avoir à configurer des

Publier un serveur situé sur votre réseau interne SecureNAT Client

Autoriser l’accès à Internet uniquement aux utilisateurs

Ce document est la propriété du Laboratoire Supinfo des technologies Microsoft (http://www.laboratoire-microsoft.org) 10

1 Composants de stratégie d’accès

a) Traitement des demandes de client sortantes

La mise en cache n’est disponible que dans l’édition Entreprise.