ISA 2004 王者歸來 (2004-08-24 13:46) 來源:ISA中文站 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ISA 2004王者歸來
作爲著名路由級網絡防火牆Microsoft® Internet Security and Acceleration Server 2000 (以下簡稱爲ISA Server 2000)的升級版,微軟已經在2004年7月13日發佈了Microsoft® Internet Security and Acceleration (ISA) Server 2004(以下簡稱爲ISA Server 2004)。它和ISA Server 2000相比,到底有哪些值得我們期待的新功能呢?本文詳細地介紹ISA Server 2004的新特性,並且圖文並茂的介紹了ISA Server 2004中新增加的重要功能。 從ISA 2000的發佈到現在,已經過去了4個年頭,且不論網絡應用和防火牆在這期間都發生了很大變化,就連微軟最新的服務器操作系統Windows Server 2003,ISA Server 2000在不安裝補丁的情況下都是不支持的。經過了長時間的測試,微軟ISA Server 2000的繼任者ISA Server 2004,已經在2004年7月13日正式發佈了。
圖注 ISA Server 2004的120天評估版安裝界面
新功能概述 和ISA Server 2000相比,ISA Server 2004中引入了多網絡支持、易於使用且高度集成的虛擬專用網絡配置、擴展的和可擴展的用戶和身份驗證模型、深層次的HTTP協議檢查以及經過改善的管理功能(包括配置導入和導出)。 ISA Server 2004新特性一覽
ISA Server 2004的新特性是如此之多,以至於我們不能一一陳述。有興趣的朋友可以參考Microsoft的相關介紹http://www.microsoft.com/isaserver/evaluation/whatsnew.asp。 作者:風間子 作者:風間子 作者:風間子 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
[1] [2] [3] [4] 下一頁>> |
全新的多網絡架構支持 通常來說,內部網絡的概念是指公司內部網絡中的所有計算機,外部網絡是指公司內部網絡以外的所有計算機(通常指Internet)。但是由於使用移動計算機訪問公司內部網絡的用戶的出現,從而使用戶實際上成爲了獨立於網絡的部分。分支辦公室連接到總部,並希望像公司總部的內部網絡組成部分一樣使用總部的資源。許多公司使其公司網絡中的服務器(尤其是 Web 服務器)可接受公開訪問,但希望將這些服務器組織成一個單獨的網絡(DMZ網絡)。ISA Server 2004服務器新增的多網絡功能使你可以通過很簡單的配置來爲這些複雜的網絡方案提供保護。多網絡支持影響到大部分 ISA Server 2004服務器的防火牆功能。 使用 ISA Server 2004服務器的多網絡功能可以限制客戶端(甚至你自己組織內部的客戶端)之間的通訊,從而防止網絡受到內部和外來的安全威脅。可以通過在 ISA Server 2004服務器中定義各個網絡之間的關係,從而確定各個網絡中的計算機如何通過 ISA Server 2004服務器相互進行通信。還可以將計算機組織成 ISA Server 2004服務器網絡對象(如計算機集和地址範圍),並針對各個網絡對象配置相應的訪問策略。 在常見的服務器發佈方案中,您可能要將發佈的服務器隔離在其自己的網絡(如DMZ網絡)中。ISA Server 2004服務器的多網絡功能支持這樣的方案,讓你可以很方便的配置公司網絡中的客戶端如何訪問DMZ網絡,以及 Internet 上的客戶端如何訪問DMZ網絡。你也可以配置各個不同網絡之間的關係,從而在各個網絡之間定義不同的訪問策略。ISA Server 2004 服務器中新增了網絡模板和網絡模板嚮導的功能,使得你可以很方便的配置你的網絡拓撲結構。
圖注 多網絡的公司網絡架構
在該圖中,ISA Server 2004服務器連接 Internet(外部網絡)、公司網絡(內部網絡)和DMZ網絡。ISA Server 2004服務器上有三個網絡適配器,每個網絡適配器都連接到其中的一個網絡。通過使用 ISA Server 2004服務器,你可以在任何網絡之間配置不同的訪問策略,也可以確定各個網絡中的計算機是否可以相互進行通訊,以及如果是,將採用什麼方式。網絡間是獨立的,只有在你配置了允許通訊的規則時纔是可訪問的。 爲了實施多網絡方案,ISA Server 2004服務器引入了下列概念: ·網絡:從 ISA Server 2004服務器的角度看,網絡是可以包含一個或多個 IP 地址範圍或域的元素。網絡包含一臺或多臺計算機,並且始終對應於 ISA Server 2004服務器上的特定網絡適配器。您可以對一個或多個網絡應用規則。 •網絡對象:創建網絡後,可以將其組織成網絡對象集(子網、地址範圍、計算機集、URL 集或域名集)。規則可以應用於網絡或網絡對象。 •網絡規則:可以配置網絡規則,以定義並描述網絡拓撲。網絡規則確定了兩個網絡之間是否存在連接關係,以及將使用哪一種連接。可以通過下列方式之一連接網絡:網絡地址轉換 (NAT) 或路由(Route)。
增強的虛擬專用網絡(VPN) ISA Server 2004服務器改進後的VPN管理功能可以幫助您輕鬆的設置虛擬專用網絡 (VPN),並且由於支持產業標準 Internet 協議安全 (IPSec),所以 ISA Server 2004 可以加入到其他供應商提供的已有 VPN 基礎結構的環境中,其中包括那些對站點到站點連接採用 IPSec 隧道模式配置的環境。 圖注 ISA Server 2004中全面增強了VPN功能 在ISA Server 2004中,有兩種類型的 VPN 連接: •遠程訪問 VPN 連接。 客戶端建立遠程訪問 VPN 連接,以連接到專用網絡。ISA Server 2004服務器作爲VPN接入服務器,遠程客戶通過連接它來進入內部網絡。 •站點到站點的 VPN 連接。 兩個VPN 服務器之間建立站點到站點的 VPN 連接,將專用網絡的兩個部分安全地連接起來。 將 ISA Server 2004服務器作爲 VPN 服務器的好處是可以防止公司網絡受到惡意 VPN 連接的威脅。通過新增的多網絡支持和對 VPN 監控狀態的檢查,ISA Server 2004能很好的保證VPN的安全。同時 VPN 服務器集成到了防火牆功能中,所以爲預配置的 VPN 客戶端網絡定義的 ISA Server 2004服務器訪問策略都適用於 VPN 用戶。所有 VPN 客戶端都屬於 VPN 客戶端網絡,並且受到防火牆策略的限制。 ISA Server 2004服務器中新增的隔離模式,可以確保在允許客戶端加入 VPN 客戶端網絡(通常具有不受限制的內部網絡訪問權限)之前,先檢查其是否符合公司的軟件策略。通過使用隔離控制,可以在真正地允許遠程 (VPN) 客戶端訪問網絡之前,將其限定爲隔離模式,從而爲其提供了階段性的網絡訪問權限。在客戶端計算機配置被調整或被斷定爲符合組織的特定隔離限制後,會依照您指定的隔離類型對連接應用標準的 VPN 策略。例如,隔離限制可能規定在連接到您的網絡時應安裝並啓用特定的防病毒軟件。儘管隔離控制並不防範攻擊者,但是已授權的用戶在訪問網絡前,其計算機配置可以得到驗證,如有必要,也可以得到更正。還可以使用計時器設置來指定在客戶端不滿足配置要求的情況下經過多長時間即斷開其連接。 可以爲每個 VPN 客戶端網絡創建兩個不同的策略: •被隔離的 VPN 客戶端網絡。將訪問限制在某些服務器的範圍內,客戶端可以從這些服務器下載必要的更新以便達到軟件策略的要求。 • VPN 客戶端網絡。可以允許訪問所有公司(內部網絡)資源,或者根據需要限制訪問。VPN 客戶端網絡將擁有與外部網絡的 NAT 關係。系統將配置一個定義 VPN 網絡與外部網絡之間的 NAT 關係的網絡規則。 作者:風間子 |
<<上一頁 [1] [2] [3] [4] 下一頁>> |
更方便的管理 ISA Server 2004在管理方面,使用起來更加方便。 1.全新的管理界面 爲了方便管理,ISA Server 2004的管理主界面看上去更加簡潔,給用戶一種親切感。
圖注ISA Server 2004管理控制檯的監視節點界面,清爽易用 2.策略模板支持 ISA Server 2004在網絡方面一個重要的新增功能是提供了網絡配置模板,可以讓你輕鬆的設置防火牆策略。ISA Server 2004提供了5個預定義的網絡模板:邊緣防火牆、3向外圍網絡(含DMZ)、前端防火牆、背部防火牆、單網絡適配器。
圖注 ISA Server 2004中的模板大大降低了配置難度 3.配置的導出和導入 ISA Server 2004服務器新增了配置的導出和導入功能,您可以使用該功能將服務器配置參數保存到一個 .xml 文件中,然後將該信息從文件導入到另一臺服務器中。你可以將配置保存到您擁有寫入權限的任何目錄和文件中。
圖注備份、還原可以免除你重裝系統之後的重複配置之苦 4.其他管理增強 ISA Server 2004在管理方面還增加了很多人性化的功能,讓我們在管理、配置ISA Server 2004時更方便。 (1)儀表板 儀表板是ISA Server2004中的一個新穎的設計,通過它,你可以對ISA Server 2004當前的狀態一清二楚。
圖注一目瞭然的儀表盤 (2)實時的日誌監控 ISA Server 2004的日誌系統是通過簡化版的SQL Server來實現的,不但高效,而且可用於查詢的條件達到了幾十項,如Client IP、連接狀態等等。
圖注 ISA Server 2004中新增的“實時日誌監控” (3)強大的報告功能 報告是ISA Server 2004日誌系統中一個劃時代的改進。簡單的操作、豐富的選項和報告發布的容易,讓ISA Server 2004的報告功能成爲了讓網管選擇ISA Server2004的一大殺手鐗。 ISA Server 2004生成的報告是純html文件,非常方便你共享給其他用戶觀看。而且報告內容的詳細程度,會令你大吃一驚。
圖注 ISA Server 2004的報表功能十分強大 全面的協議支持 ISA Server 2004中定義了絕大部分的通用協議,有上百種之多。不過畢竟是泊來品,ISA Server 2004把QQ定義爲ICQ。
圖注 ISA Server 2004支持上百種協議 作者:風間子 |
<<上一頁 [1] [2] [3] [4] 下一頁>> |
讓網絡更安全 作爲一款企業級的防火牆軟件,ISA Server 2004在安全方面也有了長足的改進。 1.基於每個策略的HTTP過濾 ISA Server 2004中的HTTP過濾策略是基於每條防火牆策略的,只要這防火牆策略中包含了HTTP協議,就可以配置該防火牆策略的HTTP策略。如下面兩張圖,第二條和第三條兩個不同的策略都包含有HTTP協議(協議爲所有出站通訊,包含HTTP協議),所以都可以“配置HTTP”。
圖注 基於策略的HTTP過濾
2.阻止對所有可執行文件的訪問 我們知道,對於Windows 2000/XP/2003下的攻擊,很多時候是以得到服務器的Shell爲目標的,這就需要執行服務器上的Cmd.exe。ISA Server 2004中可以明確禁止訪問服務器上的Exe可執行文件,這樣類似的攻擊就不防而滅了……
圖注 禁止訪問服務器上的可執行文件從而防止對服務器發動特定攻擊
3.擴展名決定是否可以下載 通過配置HTTP過濾,你可以通過文件的擴展名來控制用戶可以訪問的Web內容。
圖注 只允許用戶訪問有限的Web內容
4.“HTTP簽名”控制HTTP訪問 ISA Server 2004的深層HTTP檢查機制可以讓你建立“HTTP簽名”來和客戶請求的URL進行比較,這樣可以讓你精確的控制通過ISA Server 2004防火牆進行訪問的內部和外部用戶,例如微軟安全公告MS04-013中的OE溢出漏洞,是通過在HTTP頭中的路徑名來進行。你可以在“配置HTTP”中阻止帶有這個特徵的HTTP數據。
圖注 “HTTP簽名”可以防止類似“Download.Jet”的蠕蟲攻擊
5.FTP策略 在ISA Server 2004提供了一個FTP策略,可以設置是否允許用戶上傳數據到FTP服務器中。
圖注 如果選擇只讀,則用戶只能從FTP服務器上下載數據而不能上傳
寫在最後 作爲一次全新架構的升級,和ISA Server 2000相比,ISA Server 2004也不僅僅是增加和改進功能,在管理的易用性方面也有了長足的進步,強烈建議有預算的朋友升級。不過ISA Server 2004中也取消了部分功能,如帶寬的優先級控制等。 作者:風間子 |
<<上一頁 [1] [2] [3] [4] |