오늘은 ISA 서버에서 정책은 어디에 저장되는지와 Enterprise와 Standard 에디션과의 차이점에 대해서 알아보겠습니다.
ISA Server Enterprise와 Standard 에디션은 정책 저장에 대해서 서로 다른 위치를 사용합니다.
ISA 정책이 상당히 크기 때문에(3rd-Party 장비에 비해 큽니다) 레지스트리가 최대 하이브 크기를 초과합니다. 그래서, ISA installer는 ISA 저장소를 위해 분리된 하이브 파일을 생성합니다. 이 하이브 파일은 %IsaInstallFolder%\StgData\ 위치에 있습니다.
레지스트리에서 10K를 초과하는 모든 정책 데이타는 위 폴더에 레지스트리같이 BLOB(Binary Large Objects)에 기록됩니다. 그리고 포인터는 레지스트리 대신에 파일로 대체됩니다. BLOB파일에 직접 접근이 가능하지만, 오직 ISA Storage를 통해서만 처리가 됩니다.
모든 정책 저장소 활성(읽기/쓰기, 내보내기/가져오기)은 ISA Storage Service(isastg)에 요청을 통해서 운영이 됩니다. ISA Installer set은 이 파일에 의도하지 않거나, 악의적으로 손상되는것을 막습니다.
Standard 에디션
ISA Server Standard 에디션은 공유 정책 저장소가 필요하지 않습니다. 그래서 오직 로컬 정책 저장소만 있습니다. 이 저장소는 세개의 레지스트리로 분리되어 있습니다.
HKLM\IsaStg_Eff1 트래픽 정책 저장
HKLM\IsaStg_Eff1Policy 낮은 수준의 정책(공격 감지, 서비스 장애 완화 등등) 저장
HKLM\IsaStg_Eff1Prot 프로토콜 정의 저장
시작할 때, Microsoft Firewall(fwsrv)는 현재 정책을 읽기 위해 Microsoft ISA Storage(isastg)를 호출합니다. 만약 시작하는 도중 정책을 읽는데 에러가 발생하면 fwsrv는 경고를 기록하고 잠금(lockdown) 모드로 들어갑니다.
Enterprise 에디션
Enterprise 에디션은 ISA 정책을 두 위치에 저장합니다. 하나는 CSS(Configuration Storage Server)에 있고 다른 하나는 각각 배열 구성원의 레지스트리에 있습니다. 만약 새로운 방화벽 정책 규칙을 만든다면 규칙은 첫번째로 CSS에 전달됩니다. 그것은 ADAM에 추가가 될 수 있습니다. 그리고 로컬 레지스트리에 복사가 됩니다. 만약 운영중에 로컬에서 규칙을 만들고 CSS에 액세스가 되지 않는다면 이 정책은 로컬 레지스트리로 전달되지 않는다는 것을 의미 합니다. 만약 CSS로 연결이 되지 않는다면 새로운 규칙을 만들 수 없기 때문에 현재 로컬의 저장소와 레지스트리에 적용된 규칙으로 운영됩니다.
Enterprise 에디션의 저장소 위치입니다.
HKLM\IsaStg_Cache* 정책 변경 작업 공간으로 사용됩니다.
HKLM\IsaStg_Eff[1|2] 트래픽 정책이 복사됩니다.
HKLM\IsaStg_ Eff[1|2]Policy 낮은 수준 정책(공격 감지, 서비스 장애 완화 등등) 복사되는 위치
HKLM\IsaStg_ Eff[1|2]Prot 프로토콜 정의가 복사되는 위치
활성 정책 위치는 HKLM\Software\Microsoft\Fpc\Storage\ActiveEffective에 저장됩니다. 이 값은 각각의 성공적인 정책 변경에 대해서 HKLM\IsaStg_Eff1*과 HKLM\IsaStg_Eff2*에 순차적으로 저장됩니다. 이렇게 저장을 하면 두가지 이점이 있습니다.
1. ISA는 현재 정책과 과거 정책을 비교할 수 있습니다. 그러면 ISA가 기능적으로 이상이 발생했을 때 변경된 점을 찾을 수 있습니다.
2. 만약 여러가지 이유로 새로운 정책 업데이트가 실패 할 경우 ISA를 이전 정책으로 되돌릴 수 있습니다.
Standard에서도 시작할 때 현재 정책을 읽기 위해서 Microsoft Firewall(fwsrv)는 Microsoft ISA Storage(isastg)를 호출합니다. 만약 시작 중, 정책을 읽기위해 요청하는 중 isastg가 에러를 반환한다면 fwsrv는 경고를 기록합니다. 레지스트리와 저장소 위치를 읽을 수 없는 경우에는 잠금(lockdown)모드로 들어갈 수 없습니다. Enterprise는 Standard 에디션보다 복원이 잘 됩니다.
참고. ssastg_eff에 저장된 정책은 Standard 에디션 정책과 구별되는 형식으로 저장됩니다. 그러므로 이 정책들에 대한 Enterprise 구문은 손실됩니다.
1. ISA Standard 에디션은 오직 한개의 정책 저장소를 가지고 있습니다. 따라서 정책 저장소 업데이트나 초기 로드가 실패하면 정상 동작을 할 수 없습니다.
2. ISA Enterprise 에디션은 CSS를 사용할 수 없을 때 조차도, firewall/proxy가 최근 성공한 구성 정책을 가지고 운영할 수 있습니다. 시스템 로컬 복사가 적절하게 초기화 되는데 실패한다면 방화벽 서비스는 정책을 읽어오는데 실패 한 것에 대해 잠김(Lockdown)모드로 들어갈 것 입니다.
3. 여러분은 레지스트리 기반의 Enterprise 에디션 정책을 CSS 형식의 저장소로 변경할 수 없습니다.
4. 장애 복구 상황에서, 여러분은 레지스트리 키를 내보내거나 방화벽 정책을 새로 만들기 위해서 새로운 시스템에서 가져 올 수 없습니다.
5. 여러분의 Enterprise 방화벽 솔루션에 대해 단일 CSS를 배포 할 때, 만약 CSS가 실패한다면 여러분은 모든 Enterprise를 새로 구성해야하는 위험이 있습니다.
6. 만약 재해 복구를 위해 ISA 내보내기/가져오기 방법을 사용한다면 여러분은 데이타를 잃어버릴 위험이 있습니다.
