您的位置: 网界网 > 周报全文 > 正文

[周报全文]ISA Server与传统防火墙比较的优势

2007年12月26日 13:49:04 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:现代防火墙技术已经逐步走向网络层之外的其他安全层次,ISA  Server 就是其中的代表。

标签
微软
防火墙
ISA Server
 

【CNW.com.cn 专稿】随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,ISA  Server 就是其中的代表。

考虑威胁

随着网络技术的发展和不断进步,在给我们提供便利的同时,来自网络的威胁也随之增多。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品。然而传统防火墙处于网络安全的网络层和传输层,其弱点也是明显的:只能根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过,因而各种安全要求不可能充分满足。

但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。微软公司的Internet Security and AccelerationISAServer 就是这样的一种新型的防火墙产品。

五大优势

ISA Server是一个高级的应用层防火墙、VPNWeb缓存的解决方案,可以帮助客户在现有的IT架构基础上轻松地最大化地提升网络的安全和性能。ISA Server和传统防火墙比较有以下几大优点。

第一,轻松整合现有IT资源,最大限度提升性能和安全性。

作为微软Windows Server System中的一员,ISA Server可以实现和微软其他服务器产品的轻松整合。

目前,绝大部分企业通过在防火墙上配置VPN拨入来实现公司员工不在办公室时也可以访问公司内部的应用程序服务器。这种做法存在着极大的不足和缺陷。首先,防火墙管理员需要为每个使用VPN拨入的员工在防火墙上开设验证账号,在每个员工的客户端上进行VPN正确设置。

其次,从 Internet 直接访问这些应用程序,攻击代码可能会隐藏在“安全套接字层”(SSL)连接中。

再次,当员工位于远程位置时,他们可能位于防火墙之后,从而会阻止客户端访问 VPN 连接。

使用ISA Server就可以很好的解决上述问题。解决方法是利用 ISA Server 的应用程序发布功能。当通过 ISA Server发布应用程序时,可以保护服务器免于直接的外部访问,因为用户无法访问该服务器的名称和IP地址。用户访问 ISA Server 计算机,然后该计算机根据服务器发布规则条件将该请求转发给应用程序服务器。对于启用 SSL Web应用程序,在 ISA Server收到客户端请求后,会对请求进行解密并检查,然后创建与客户端计算机的 SSL 连接。

ISA Server支持LDAP身份验证,并且能够工作在工作组模式,因此不再需要为AD目录服务通信打开所有必需的端口,只需打开和域控制器之间的 LDAP 或全局编录端口。在用户请求身份验证时,ISA Server将直接进行验证,只有经过验证的用户发送的请求才会被转发到内网。

ISA Server内建有多个应用程序发布规则向导,帮助用户简单快捷的实现OWARPC over HTTP Share point站点的发布,并可实现单点登录(SSO)ISA ServerRPC筛选器使得使用Outlook的用户在任何地方都可以访问Exchange服务器,而不管他们是在内网还是公司外网。

ISA Server还具有很好的扩展性。ISA Server作为一个软件防火墙,可以安装在Windows 2000 ServerSP4)和Windows Server 2003上,并可由用户使用免费的ISA Server SDK工具进行应用层过滤、访问控制等方面的扩展。

第二,应用层过滤。

ISA Server提供了大量的应用层筛选器。这些筛选器可以保护ISA Server避免来自针对特殊应用层协议和服务的弱点和漏洞的攻击。

在所有这些筛选器中,又以HTTP筛选器功能留给人印象最深。ISA ServerHTTP筛选器可以配置为根据HTTP连接的实际上任何一个方面来检查和阻止HTTP连接,包括阻止:Java scriptsActiveX 控件;文件共享型应用;基于文件扩展名类型和MIME类型;HTTP上载;基于任何内容的URL;包含密码的Web页面。

除了可以使用预设的筛选器外,微软还提供了ISA Server Software Development Kit (SDK),这个工具让企业可以创建属于他们自己的特定的筛选器。任何会使用C++的程序员,将不需要花更多时间就可以直接使用ISA Server SDK

第三,VPN支持。

ISA Server支持以下VPN协议:PPTP,L2TP/IPSecISA Server支持VPN客户端访问和站点与站点VPN连接2种模式。

VPN客户端访问模式允许配置为VPN客户端的单台计算机可以连接到ISA 并可以访问企业内部网络的资源。VPN客户端可以使用PPTPL2TP/IPSec2种协议。同时,ISA Server还支持像SecureIDRADIUSEAP/TLS等多种高级身份验证机制。

站点与站点VPN连接模式允许ISA Server建立与其它VPN服务器(可以是非ISA 服务器)的连接,将2个站点通过Internet连接在一起。站点与站点VPN连接可以帮助企业省去了架设专线的费用。

ISA ServerVPN相对其他防火墙的VPN有很大的优势。与很多厂商的防火墙允许VPN客户端可以完全访问企业内部网络不同,ISA Server可以针对每用户的VPN连接建立防火墙访问控制策略。当一个用户建立与ISA ServerVPN连接后,他只能访问他被授权可以访问的网络资源,其他资源都将不可用。

ISA Server相比其他防火墙另一个大的优点就是VPN隔离区。VPN隔离功能会在允许客户端访问企业网络之前进行预先检查,只有在VPN客户端必须满足预先设定的要求后才可以访问企业内部网络。

在满足企业设定的安全标准之前,它们会被放置在一个叫做VPN隔离区的网络内。企业的隔离策略可以是要求VPN客户端必须安装了最新的安全更新和补丁,升级了最新的病毒库定义等等。隔离策略可以进行集中管理而不需要对每个客户端进行单独设置。虽然有些其他厂商的产品目前也开始支持类似的功能(+微信关注网络世界),但是却需要在每个客户端安装额外的软件,也增加了部署和维护的费用。而ISA Server VPN隔离策略支持任何WindowsVPN客户端,不需要购买其他软件和额外的授权许可费用,对VPN客户端的连接数量也没有任何限制。

第四,Cache缓存。

ISA Server除了防火墙和VPN功能外,还可以充当Web代理服务器。它可以同时作为内部对外访问和外部对内访问的缓存服务器。

当处在ISA Server内部网络的某个用户访问Internet上某个Web站点,该用户请求访问的该站点的内容会被存放在ISAWeb缓存中,当下个用户请求访问同样的内容时,将直接从ISA Server缓存中读取相关的内容而不需要再次访问该网站。这样可以很好的降低Internet连接数和网络带宽的使用量。同时,对用户来说,还可以增加访问速度,提升员工的满意度和效率。

对于处在Internet上用户访问某台通过ISA Server 发布规则发布的Web站点时,ISA Server将代替Internet用户去访问处在Internal上的Web站点,然后再将请求内容传递给Internet用户,同时ISA Server还会将请求内容存放在自己的缓存中。当另外一个用户请求相同站点内容时,他将从ISA Server的缓存中直接读取。ISA Server的这个功能一来可以很好的降低Internal网络流量,二来可以保证Web站点永久在线。当Web服务器因为日常维护,硬件或软件故障而离线时,ISA Server的反向缓存功能将使它能够很好的担当起Web服务器的角色,因为网站的内容已经存放在ISA Server上,将由ISA Server来提供,避免了用户无法访问Web站点产生的负面影响。

第五,日志报告。

ISA Server提供了详细的日志报告。用户可以根据需要设置报告产生的周期(天,周,月,年),并且可以将报告以邮件形式发送给管理员。报告的内容包括了摘要,Web使用,应用程序使用,通讯和使用以及安全性5大方面。每个方面下面又分成各个小类,并以图表或数据表格的形式展现出来。让管理员看了之后一目了然。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]