ISA 2004王者歸來(ISA中文站)

ISA 2004 王者歸來

（2004-08-24 13:46）

來源：ISA中文站

ISA 2004王者歸來　

　

作爲著名路由級網絡防火牆Microsoft® Internet Security and Acceleration Server 2000 （以下簡稱爲ISA Server 2000）的升級版，微軟已經在2004年7月13日發佈了Microsoft® Internet Security and Acceleration (ISA) Server 2004（以下簡稱爲ISA Server 2004）。它和ISA Server 2000相比，到底有哪些值得我們期待的新功能呢？本文詳細地介紹ISA Server 2004的新特性，並且圖文並茂的介紹了ISA Server 2004中新增加的重要功能。

從ISA 2000的發佈到現在，已經過去了4個年頭，且不論網絡應用和防火牆在這期間都發生了很大變化，就連微軟最新的服務器操作系統Windows Server 2003，ISA Server 2000在不安裝補丁的情況下都是不支持的。經過了長時間的測試，微軟ISA Server 2000的繼任者ISA Server 2004，已經在2004年7月13日正式發佈了。

圖注 ISA Server 2004的120天評估版安裝界面

　

　

新功能概述

和ISA Server 2000相比，ISA Server 2004中引入了多網絡支持、易於使用且高度集成的虛擬專用網絡配置、擴展的和可擴展的用戶和身份驗證模型、深層次的HTTP協議檢查以及經過改善的管理功能（包括配置導入和導出）。

ISA Server 2004新特性一覽

應用層過濾
功能	描述
基於每個策略的HTTP過濾	允許防火牆執行更深層次的HTTP協議狀態檢查，並且可以基於每個策略來配置。
阻止訪問可執行文件	禁止用戶通過HTTP協議訪問Windows下的可執行文件(比如Cmd.exe)
通過文件擴展名來控制	HTTP策略可以基於文件擴展名來定義准許或者禁止訪問
HTTP過濾應用到所有的客戶連接	通過HTTP策略，你可以控制所有的ISA Server 2004客戶連接
HTTP簽名	可以建立“HTTP簽名”來和客戶請求的URL進行比較，從而精確地控制內部和外部用戶
控制允許的HTTP方式	控制用戶HTTP訪問的方式。例如，你可以限制HTTP POST來阻止用戶向Web站點上傳數據
支持Outlook的RPC連接	ISA Server 2004允許Internet用戶通過Outlook訪問內部Exchange服務器。
FTP策略	FTP策略甚至可以讓用戶只能下載數據
安全與防火牆
功能	描述
協議支持	支持對任何協議（包括 IP等級協議）訪問和使用的控制。
支持需要多個主連接的複雜協議	許多流媒體和音頻/視頻應用這種複雜協議在ISA Server 2004中也提供了支持。你可以管理它們，也可以通過易於使用的協議嚮導輕鬆建立協議。
可自定義的協議	允許控制任何協議的源和目的端口，這讓你可以從更高級別上管理允許進入和流出的數據包。
方便的Hotmail支持	通過簡單的防火牆設置即可訪問Hotmail而不需要其他在客戶端或者防火牆上進行特殊設置
防火牆規則嚮導	ISA Server 2004包含的新規則嚮導集，讓你建立策略更輕鬆。
OWA發佈嚮導	Outlook Web Access發佈嚮導可以很方便地建立Exchange服務器的SSL訪問規則。
FTP支持	允許訪問非標準端口的Internet FTP服務。
多網絡
功能	描述
多網絡配置	可以配置一個或多個網絡，並使每個網絡都與其他網絡有明確的關係。訪問策略是相對於多個網絡而定義的，而不必相對於給定的內部網絡。
唯一的基於網絡的策略	ISA 服務器的多網絡功能使您可以限制客戶端（甚至您自己組織內部的客戶端）之間的通訊，從而防止網絡受到內部和外來的安全威脅。
網絡模板	ISA 服務器包含與常見網絡拓撲對應的網絡模板。可以使用網絡模板來爲網絡之間的通訊配置防火牆策略。
NAT 和路由網絡關係	ISA Server 2004中可以根據網絡之間所允許的訪問和通訊類型來定義網絡關係。主要包括NAT和路由兩種關係。
監視和報告
功能	描述
實時日誌監控	可以實時監控防火牆、Web Proxy和SMTP郵件的日誌。
內建日誌查詢工具	支持使用內建的日誌查詢工具來查詢日誌文件。
對防火牆會話的實時監控和過濾	可以即時監控所有活動的防火牆會話，也可以使用內建的會話過濾工具來對會話進行過濾
連接驗證器	你可以通過連接驗證器來驗證到一個指定的計算機或者URL之間是否連通。你可以通過以下方式來決定連通性：Ping、連接到特定端口的TCP或者HTTP GET。你可以通過IP地址、計算機名字或者URL來指定驗證的對象。
自定義ISA Server 2004報告	ISA Server 2004包含了一個增強的報告自定義特性，允許你在報告中記錄更多信息。
報告發布	ISA Server 2004報告生成工具可以自動保存一個副本在本地目錄或者網絡共享文件目錄，方便其他用戶訪問。
報告完成後的E-mail通知	你可以配置報告生成工具在某個報告完成後給你發送一個電子郵件。
可以自定義報告跨越的時限	ISA Server 2004可以讓你自定義報告所跨越的時限，這給你更多的可擴展性。
增強的SQL服務器記錄	你可以把日誌記錄在內部網絡中另外一臺運行SQL Server數據庫的計算機上。
記錄到MSDE數據庫	日誌可以存儲爲MSDE格式，記錄在本地數據庫增強了速度和擴展性。
管理
功能	描述
管理	ISA Server 2004包含了新的管理特性，新的用戶界面包含任務面板、幫助面板、一個改進的開始嚮導和和全新的防火牆策略編輯器。
導入和導出	ISA Server 2004引入了導入和導出配置信息的能力，從而大大簡化了重複的配置工作。
防火牆管理員權限委派嚮導	防火牆管理員權限委派嚮導幫助你給用戶或用戶組分配管理角色。這些預定義的角色可以讓你委派不同級別的管理任務到用戶。
VPN網絡
功能	描述
VPN狀態過濾和檢測	VPN客戶端被配置爲單獨的網絡，你可以爲VPN 客戶端創建單獨的策略。規則引擎會有區別地檢查來自VPN客戶端的請求，對這些請求進行狀態檢查，並基於訪問策略動態地打開連接。
Site-to-Site的VPN隧道的通信狀態檢查和過濾	ISA Server 2004對Site-to-Site的VPN隧道連接引入了狀態檢查和過濾機制。
VPN隔離控制	在確認符合公司的安全要求前，可以將VPN 客戶端隔離到“被隔離的VPN客戶端”網絡中。
發佈VPN服務器	使用ISA Server 2004服務器發佈策略來發布VPN服務器，讓ISA Server 2004中智能的PPTP應用過濾器執行負責的連接管理。
支持Site-to-Site VPN鏈路上的IPSec隧道模式	ISA Server 2004中可以使用IPSec隧道模式作爲VPN協議，而且它可以和許多第三方VPN解決方案一同工作。

ISA Server 2004的新特性是如此之多，以至於我們不能一一陳述。有興趣的朋友可以參考Microsoft的相關介紹http://www.microsoft.com/isaserver/evaluation/whatsnew.asp。

作者：風間子
責任編輯：風間子

作者：風間子
責任編輯：風間子

作者：風間子
責任編輯：風間子

[1] [2] [3] [4] 下一頁>>

全新的多網絡架構支持

通常來說，內部網絡的概念是指公司內部網絡中的所有計算機，外部網絡是指公司內部網絡以外的所有計算機（通常指Internet）。但是由於使用移動計算機訪問公司內部網絡的用戶的出現，從而使用戶實際上成爲了獨立於網絡的部分。分支辦公室連接到總部，並希望像公司總部的內部網絡組成部分一樣使用總部的資源。許多公司使其公司網絡中的服務器（尤其是 Web 服務器）可接受公開訪問，但希望將這些服務器組織成一個單獨的網絡（DMZ網絡）。ISA Server 2004服務器新增的多網絡功能使你可以通過很簡單的配置來爲這些複雜的網絡方案提供保護。多網絡支持影響到大部分 ISA Server 2004服務器的防火牆功能。

使用 ISA Server 2004服務器的多網絡功能可以限制客戶端（甚至你自己組織內部的客戶端）之間的通訊，從而防止網絡受到內部和外來的安全威脅。可以通過在 ISA Server 2004服務器中定義各個網絡之間的關係，從而確定各個網絡中的計算機如何通過 ISA Server 2004服務器相互進行通信。還可以將計算機組織成 ISA Server 2004服務器網絡對象（如計算機集和地址範圍），並針對各個網絡對象配置相應的訪問策略。

在常見的服務器發佈方案中，您可能要將發佈的服務器隔離在其自己的網絡（如DMZ網絡）中。ISA Server 2004服務器的多網絡功能支持這樣的方案，讓你可以很方便的配置公司網絡中的客戶端如何訪問DMZ網絡，以及 Internet 上的客戶端如何訪問DMZ網絡。你也可以配置各個不同網絡之間的關係，從而在各個網絡之間定義不同的訪問策略。ISA Server 2004 服務器中新增了網絡模板和網絡模板嚮導的功能，使得你可以很方便的配置你的網絡拓撲結構。

圖注 多網絡的公司網絡架構

　

在該圖中，ISA Server 2004服務器連接 Internet（外部網絡）、公司網絡（內部網絡）和DMZ網絡。ISA Server 2004服務器上有三個網絡適配器，每個網絡適配器都連接到其中的一個網絡。通過使用 ISA Server 2004服務器，你可以在任何網絡之間配置不同的訪問策略，也可以確定各個網絡中的計算機是否可以相互進行通訊，以及如果是，將採用什麼方式。網絡間是獨立的，只有在你配置了允許通訊的規則時纔是可訪問的。

爲了實施多網絡方案，ISA Server 2004服務器引入了下列概念：

·網絡：從 ISA Server 2004服務器的角度看，網絡是可以包含一個或多個 IP 地址範圍或域的元素。網絡包含一臺或多臺計算機，並且始終對應於 ISA Server 2004服務器上的特定網絡適配器。您可以對一個或多個網絡應用規則。

•網絡對象：創建網絡後，可以將其組織成網絡對象集（子網、地址範圍、計算機集、URL 集或域名集）。規則可以應用於網絡或網絡對象。

•網絡規則：可以配置網絡規則，以定義並描述網絡拓撲。網絡規則確定了兩個網絡之間是否存在連接關係，以及將使用哪一種連接。可以通過下列方式之一連接網絡：網絡地址轉換 (NAT) 或路由（Route）。

　

　

增強的虛擬專用網絡(VPN)

ISA Server 2004服務器改進後的VPN管理功能可以幫助您輕鬆的設置虛擬專用網絡 (VPN)，並且由於支持產業標準 Internet 協議安全 (IPSec)，所以 ISA Server 2004 可以加入到其他供應商提供的已有 VPN 基礎結構的環境中，其中包括那些對站點到站點連接採用 IPSec 隧道模式配置的環境。

圖注 ISA Server 2004中全面增強了VPN功能

在ISA Server 2004中，有兩種類型的 VPN 連接：

•遠程訪問 VPN 連接。

客戶端建立遠程訪問 VPN 連接，以連接到專用網絡。ISA Server 2004服務器作爲VPN接入服務器，遠程客戶通過連接它來進入內部網絡。

•站點到站點的 VPN 連接。

兩個VPN 服務器之間建立站點到站點的 VPN 連接，將專用網絡的兩個部分安全地連接起來。

將 ISA Server 2004服務器作爲 VPN 服務器的好處是可以防止公司網絡受到惡意 VPN 連接的威脅。通過新增的多網絡支持和對 VPN 監控狀態的檢查，ISA Server 2004能很好的保證VPN的安全。同時 VPN 服務器集成到了防火牆功能中，所以爲預配置的 VPN 客戶端網絡定義的 ISA Server 2004服務器訪問策略都適用於 VPN 用戶。所有 VPN 客戶端都屬於 VPN 客戶端網絡，並且受到防火牆策略的限制。

ISA Server 2004服務器中新增的隔離模式，可以確保在允許客戶端加入 VPN 客戶端網絡（通常具有不受限制的內部網絡訪問權限）之前，先檢查其是否符合公司的軟件策略。通過使用隔離控制，可以在真正地允許遠程 (VPN) 客戶端訪問網絡之前，將其限定爲隔離模式，從而爲其提供了階段性的網絡訪問權限。在客戶端計算機配置被調整或被斷定爲符合組織的特定隔離限制後，會依照您指定的隔離類型對連接應用標準的 VPN 策略。例如，隔離限制可能規定在連接到您的網絡時應安裝並啓用特定的防病毒軟件。儘管隔離控制並不防範攻擊者，但是已授權的用戶在訪問網絡前，其計算機配置可以得到驗證，如有必要，也可以得到更正。還可以使用計時器設置來指定在客戶端不滿足配置要求的情況下經過多長時間即斷開其連接。

可以爲每個 VPN 客戶端網絡創建兩個不同的策略：

•被隔離的 VPN 客戶端網絡。將訪問限制在某些服務器的範圍內，客戶端可以從這些服務器下載必要的更新以便達到軟件策略的要求。

• VPN 客戶端網絡。可以允許訪問所有公司（內部網絡）資源，或者根據需要限制訪問。VPN 客戶端網絡將擁有與外部網絡的 NAT 關係。系統將配置一個定義 VPN 網絡與外部網絡之間的 NAT 關係的網絡規則。

作者：風間子
責任編輯：風間子

<<上一頁 [1] [2] [3] [4] 下一頁>>

　

更方便的管理

ISA Server 2004在管理方面，使用起來更加方便。

1.全新的管理界面

爲了方便管理，ISA Server 2004的管理主界面看上去更加簡潔，給用戶一種親切感。

圖注ISA Server 2004管理控制檯的監視節點界面，清爽易用

2.策略模板支持

ISA Server 2004在網絡方面一個重要的新增功能是提供了網絡配置模板，可以讓你輕鬆的設置防火牆策略。ISA Server 2004提供了5個預定義的網絡模板：邊緣防火牆、3向外圍網絡（含DMZ）、前端防火牆、背部防火牆、單網絡適配器。

圖注 ISA Server 2004中的模板大大降低了配置難度

3.配置的導出和導入

ISA Server 2004服務器新增了配置的導出和導入功能，您可以使用該功能將服務器配置參數保存到一個 .xml 文件中，然後將該信息從文件導入到另一臺服務器中。你可以將配置保存到您擁有寫入權限的任何目錄和文件中。

圖注備份、還原可以免除你重裝系統之後的重複配置之苦

4.其他管理增強

ISA Server 2004在管理方面還增加了很多人性化的功能，讓我們在管理、配置ISA Server 2004時更方便。

(1)儀表板

儀表板是ISA Server2004中的一個新穎的設計，通過它，你可以對ISA Server 2004當前的狀態一清二楚。

圖注一目瞭然的儀表盤

(2)實時的日誌監控

ISA Server 2004的日誌系統是通過簡化版的SQL Server來實現的，不但高效，而且可用於查詢的條件達到了幾十項，如Client IP、連接狀態等等。

圖注 ISA Server 2004中新增的“實時日誌監控”

(3)強大的報告功能

報告是ISA Server 2004日誌系統中一個劃時代的改進。簡單的操作、豐富的選項和報告發布的容易，讓ISA Server 2004的報告功能成爲了讓網管選擇ISA Server2004的一大殺手鐗。

ISA Server 2004生成的報告是純html文件，非常方便你共享給其他用戶觀看。而且報告內容的詳細程度，會令你大吃一驚。

圖注 ISA Server 2004的報表功能十分強大

全面的協議支持

ISA Server 2004中定義了絕大部分的通用協議，有上百種之多。不過畢竟是泊來品，ISA Server 2004把QQ定義爲ICQ。

圖注 ISA Server 2004支持上百種協議

　

作者：風間子
責任編輯：風間子

<<上一頁 [1] [2] [3] [4] 下一頁>>

讓網絡更安全

作爲一款企業級的防火牆軟件，ISA Server 2004在安全方面也有了長足的改進。

1．基於每個策略的HTTP過濾

ISA Server 2004中的HTTP過濾策略是基於每條防火牆策略的，只要這防火牆策略中包含了HTTP協議，就可以配置該防火牆策略的HTTP策略。如下面兩張圖，第二條和第三條兩個不同的策略都包含有HTTP協議（協議爲所有出站通訊，包含HTTP協議），所以都可以“配置HTTP”。

圖注 基於策略的HTTP過濾

　

2．阻止對所有可執行文件的訪問

我們知道，對於Windows 2000/XP/2003下的攻擊，很多時候是以得到服務器的Shell爲目標的，這就需要執行服務器上的Cmd.exe。ISA Server 2004中可以明確禁止訪問服務器上的Exe可執行文件，這樣類似的攻擊就不防而滅了……

圖注 禁止訪問服務器上的可執行文件從而防止對服務器發動特定攻擊

　

3．擴展名決定是否可以下載

通過配置HTTP過濾，你可以通過文件的擴展名來控制用戶可以訪問的Web內容。

圖注 只允許用戶訪問有限的Web內容

　

4．“HTTP簽名”控制HTTP訪問

ISA Server 2004的深層HTTP檢查機制可以讓你建立“HTTP簽名”來和客戶請求的URL進行比較，這樣可以讓你精確的控制通過ISA Server 2004防火牆進行訪問的內部和外部用戶，例如微軟安全公告MS04-013中的OE溢出漏洞，是通過在HTTP頭中的路徑名來進行。你可以在“配置HTTP”中阻止帶有這個特徵的HTTP數據。

圖注 “HTTP簽名”可以防止類似“Download.Jet”的蠕蟲攻擊

　

5.FTP策略

在ISA Server 2004提供了一個FTP策略，可以設置是否允許用戶上傳數據到FTP服務器中。

圖注 如果選擇只讀，則用戶只能從FTP服務器上下載數據而不能上傳

　

寫在最後

作爲一次全新架構的升級，和ISA Server 2000相比，ISA Server 2004也不僅僅是增加和改進功能，在管理的易用性方面也有了長足的進步，強烈建議有預算的朋友升級。不過ISA Server 2004中也取消了部分功能，如帶寬的優先級控制等。

作者：風間子
責任編輯：風間子

<<上一頁 [1] [2] [3] [4]