Microsoft ISA Server
Microsoft Windows Server
Microsoft Internet Security and Acceleration Server (ISA Server) — прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика.
Пришёл на смену прокси-серверу Proxy 2.0 от Microsoft. Позволяет организовать защиту локальной сети от вмешательств из сети Интернет и безопасно публиковать различные виды серверов, дает возможность распределять доступ пользователей локальной сети к ресурсам Интернет. Оснащен средствами для анализа посещаемых ресурсов, учета трафика, а также защиты против атак из сети Интернет. Имеет различные виды аутентификации и авторизации, в том числе поддерживает аутентификацию Active Directory. Поддерживает как рабочие группы, так и домены Windows NT. Имеет множество плагинов для отслеживания исходящего и входящего трафика.
Наследником ISA Server является Microsoft Forefront Threat Management Gateway (Forefront TMG).
Содержание
Версии
Примечания
Ссылки
Литература
Surface • Zune (4, 8 • 30 • 80 • HD) • MSN TV • Natural Keyboard • Keyboard • Mouse • LifeCam • LifeChat • SideWinder • UMPC • Fingerprint • Audio • Cordless Phone • Pocket PC • RoundTable • Response Point
Балмер • Кэш • Дублон • Гейтс • Гилмартин • Хастингс • Маркурдт • Носки • Панке • Ширли
Полезное
Смотреть что такое «Microsoft ISA Server» в других словарях:
Microsoft BackOffice Server — Small Business Server in Microsoft s BackOffice product line Microsoft BackOffice Server was a computer software package featuring Windows NT Server and other Microsoft server products that ran on NT server. It was marketed during the 1990s and… … Wikipedia
Microsoft windows server 2003 — Windows Server 2003 est un système d exploitation orienté serveur développé par Microsoft. Présenté le 24 avril 2003 comme le successeur de Windows Server 2000, il est considéré par Microsoft comme étant la pierre angulaire de la ligne de… … Wikipédia en Français
ISA Server — Der Microsoft® Internet Security and Acceleration Server (kurz: ISA oder ISA Server) ist eine Firewall mit Stateful Inspection und Application Layer Inspection sowie VPN und Web Cache/Proxy (Forward und Reverse Cache) Funktionalität. Der ISA… … Deutsch Wikipedia
Microsoft Windows Server 2003 — Windows Server 2003 est un système d exploitation orienté serveur développé par Microsoft. Présenté le 24 avril 2003 comme le successeur de Windows Server 2000, il est considéré par Microsoft comme étant la pierre angulaire de la ligne de… … Wikipédia en Français
Сервер ISA
Microsoft Internet Security and Acceleration Server.
Содержание
Описание
Пришел на смену прокси-серверу Proxy 2.0 от Active Directory. Поддерживает как рабочие группы, так и домены Windows NT. Помимо всего имеет множество плагинов для отслеживания исходящего и входящего трафика. На Windows 2008 уже не устанавливается. На замену ISA Server пришёл Forefront.
Версии
Ссылки
Литература
Файрволы
Полезное
Смотреть что такое «Сервер ISA» в других словарях:
ISA-сервер — … Википедия
Прокси-сервер — У этого термина существуют и другие значения, см. Прокси (значения). Прокси сервер (от англ. proxy «представитель, уполномоченный») служба (комплекс программ) в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы … Википедия
Прокси сервер — (от англ. proxy «представитель, уполномоченный») служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси серверу и запрашивает какой либо ресурс (например, e… … Википедия
Прокси‐сервер — Прокси сервер (от англ. proxy «представитель, уполномоченный») служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси серверу и запрашивает какой либо ресурс… … Википедия
Microsoft ISA Server — Microsoft Internet Security and Acceleration Server Тип Брандмауэр, VPN, Кэширование Web страниц Разработчик Microsoft Операционная система Microsoft Windows Server Последняя версия Microsoft Internet Security and … Википедия
Microsoft Forefront Threat Management Gateway — Тип Брандмауэр, VPN, Кэширование Web страниц Разработчик Microsoft Операционная система Microsoft Windows Server Последняя версия Microsoft Forefront Threat Management Gateway 2010 SP2 Лицензия Про … Википедия
Сравнение веб-серверов — Здесь приведены веб сервера (программы), предназначенные в первую очередь для работы с протоколом HTTP. Прим.: термин «родной сервер» (англ. origin server) в данном списке и документациях используется для отличия серверов первоисточников от… … Википедия
Список веб-серверов — Здесь приведены веб сервера (программы), предназначенные в первую очередь для работы с протоколом HTTP. Прим.: термин «родной сервер» (англ. origin server) в данном списке и документациях используется для отличия серверов первоисточников от… … Википедия
Прокси — сервер (от англ. proxy «представитель, уполномоченный») служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси серверу и запрашивает какой либо ресурс… … Википедия
Microsoft ISA Server 2000
C подключением сети организации к Internet — неважно, выделенное это подключение или коммутируемое, — возникает две проблемы:
Конечно, затруднений иногда оказывается гораздо больше или не бывает совсем, но, как правило, их можно свести к двум вышеназванным. Способов решения множество — все зависит от поставленных целей и от наличных средств.
Непосредственное подключение корпоративной сети к любой глобальной крайне нежелательно. Причин тому несколько. Одна из них — безопасность. Другая — различные схемы адресации IP в локальных и глобальных сетях. Распределением адресов в глобальной сети в мировом масштабе занимается организация InterNIC, а на местах — провайдеры. Организации выделяется, как правило, небольшой диапазон IP-адресов для работы в Internet. Для внутренней же адресации необходимо назначать так называемые частные адреса, которые никогда не используются для работы в Internet.
Обычно между локальной сетью и провайдером устанавливается маршрутизатор, однако в большинстве случаев его возможностей оказывается недостаточно для выполнения упомянутых задач, поскольку он обрабатывает только простые списки доступа, не выполняет функции proxy-сервера и т. п. Тут-то и возникает еще одно звено на пути в Internet — брандмауэр, или межсетевой экран. В дальнейшем я буду пользоваться первым термином.
Возможности продукта
ISA Server — это мощный расширяемый брандмауэр масштаба предприятия с богатыми возможностями управления. Один сервер может обслуживать десятки тысяч пользователей. Продукт поставляется в двух редакциях: Standard Edition и Enterprise Edition. Различия между ними следующие.
ISA Server работает только на платформе Windows 2000 Server. Для нормальной работы в небольшой организации (50—100 сотрудников, активно пользующихся Internet) достаточно компьютера PII-266 с оперативной памятью объемом 128 Mбайт при условии, что сервер не загружен больше никакими задачами. Производительность напрямую связана с размером доступного дискового пространства и оперативной памяти. Это особенно актуально для сервиса посредника Web.
ISA Server может быть установлен в режиме кэширующего сервера с функциями посредника Web или в качестве брандмауэра, а также в комбинированном режиме — изменения можно сделать в любое время с помощью повторного запуска программы установки. Чаще всего продукт применяют в комбинированном режиме, как самом универсальном, а установка и настройка в остальных режимах являются его подмножествами. Работу именно в этом режиме мы и будем рассматривать в дальнейшем.
Управление
Сразу после установки ISA Server нельзя получить доступ ни к одному ресурсу за пределами локальной сети — все запрещено, и это правильно. Для того чтобы можно было пользоваться продуктом, нужно создать правила, разрешающие необходимые действия. Они делятся на три группы:
Каждый тип разрешений соответствует одному или нескольким уровням модели OSI. Правила всех уровней дополняют друг друга. Для реализации одних задач может потребоваться создание одного правила, для других — нескольких: возможны и различные комбинации.
Чтобы разрешить произвольный доступ через ISA Server, достаточно создать два правила Allow Everything. Первое, из группы Site and Content Rules, разрешает доступ к любому сайту и типу содержимого. Второе, из группы Protocol Rules, разрешает использование всех протоколов для всех адресов назначения. Такие правила рекомендуется всегда иметь «под рукой», но только в выключенном состоянии — для целей отладки. Когда, например, что-то не работает, их можно на время включить. Если соединение появится, значит, настройки были произведены неправильно, если нет, то проблема в другом. После этого можно приступить к созданию уже реальных правил по принципу «Запрещено все, что не разрешено», т. е. настолько строгих, насколько это возможно для обеспечения нормальной работы.
При создании правила необходимо задать следующее:
К пакетным фильтрам обычно прибегают в тех случаях, когда нужно разрешить или запретить определенную активность на самом компьютере, где работает ISA Server. Часто, например, на нем устанавливают Internet Information Server. В этом случае создается пакетный фильтр для разрешения входящих запросов TCP на порт 80. При установке сервера по умолчанию создается восемь фильтров. Они разрешают, в частности, прохождение запросов DNS и ping с компьютера, где работает ISA Server.
Публикация
После того как настройка разрешений для исходящих запросов завершена, администратору предстоит разобраться с входящими. В принципе, таковых может и не быть, но сегодня практически любая организация имеет в своей сети хотя бы сервер SMTP, а значит, есть и входящие запросы. Для этих целей в консоли управления имеется ветвь Publishing Rules, а в ней подветви Web Publishing Rules и Server Publishing Rules.
Web Publishing Rules, как следует из названия, служит для публикации в Internet серверов Web, находящихся во внутренней сети. Server Publishing Rules предназначен для публикации всех прочих видов сервиса: SMTP, IMAP, POP3 и т. д. По сути, это классическое преобразование адресов (Network address Translation, NAT).
Для чего введено такое разделение? Дело в том, что публикация — типичная задача трансляции адресов, статического NAT, т. е. постановка в соответствие определенного порта внешнего IP-адреса тому же порту внутреннего. Казалось бы, все замечательно, и тот же метод можно использовать для публикации сервера Web — установили связь между адресами по номеру порта 80, и все в порядке. Но что делать, если два сайта, например http://www.test1.com и http://www.test2.com, имеют записи DNS с одинаковым IP-адресом, а физически находятся на разных серверах во внутренней сети? NAT не предусматривает такой двойной привязки. Поэтому в ISA Server реализован отдельный механизм для публикации Web. В работу включается механизм идентификации по заголовку HTTP (Host Headers). По этим заголовкам ISA Server различает запросы http, даже если они приходят на один IP-адрес, и может направлять их на разные адреса назначения во внутренней сети. Таким образом, используя всего один внешний адрес, несложно обрабатывать запросы ко множеству сайтов Web, находящихся во внутренней сети. Иначе внешнему интерфейсу пришлось бы назначать несколько IP-адресов, что приводит к утяжелению конфигурации.
Более того, контент HTTP и HTTPS может обрабатываться по-разному. Для обработки запросов HTTPS может потребоваться установка сертификата на компьютер с ISA Server.
Средствами ISA Server нельзя создать «прозрачную» публикацию, т. е. такую, когда устанавливается взаимное соответствие всех портов внешнего и внутреннего адресов. Каждый порт нужно отображать отдельно.
Мониторинг
В ISA Server имеются различные средства для контроля его работы и активности пользователей, в том числе ведутся три журнала:
Все они могут быть сохранены в текстовых файлах или в базе SQL.
В установленное время, обычно в полночь, на основании информации из журналов сервера запускается процесс генерации отчетов. Отчеты потом доступны для просмотра с консоли управления в виде файла HTML. Создаются отчеты разных видов: Summary, Traffic & Utilization, Web Using и проч. Они содержат массу полезных сведений: например, кто из пользователей порождает наибольший трафик, какие протоколы применяются, какие сайты Web наиболее популярны и т. д. Однако при всем их разнообразии удается получить далеко не всю информацию, представляющую интерес. К сожалению, отчеты нельзя настроить с учетом ваших потребностей. Поэтому остается широкий простор для применения продуктов третьих компаний.
Клиенты
ISA Server может работать с клиентами двух видов:
Для Proxy Server клиентское ПО было обязательным, а клиенты ISA Server практически не теряют в функциональности и без его применения. Это становится возможным, потому что ISA Server поддерживает NAT. Такой вариант в подавляющем большинстве случаев предпочтительнее.
Что же тогда дает Firewall Сlient? Его использование позволяет серверу распознавать так называемые вторичные соединения, т. е. устанавливать факт зависимости или независимости соединения с одного и того же IP-адреса. Это важно для их правильной обработки по сложным протоколам, в которых присутствуют соединения более чем с одним портом. Кроме того, правило с разрешением всех протоколов (Allow everything) будет обрабатываться по-разному. При наличии клиента соединения будут разрешены по любым протоколам, а при его отсутствии — только по тем, описания которых есть в конфигурации сервера.
Управление трафиком
Для обработки различных видов трафика в ISA Server существуют механизмы управления пропускной способностью — Bandwidth Priorities. Предположим, вам нужно ограничить использование протокола Real Audio, но в то же время вы не хотите запрещать его совсем. В таком случае разумнее обратиться к Bandwidth Priorities.
Этот механизм, как и другие, основан на создании набора правил, применение которых зависит от содержимого трафика или привилегий пользователя. Например, правила могут предоставлять соединениям SMTP высокий приоритет, HTTP и ftp — обычный, а мультимедийному трафику — низкий. Или почтовые серверы объединяются в одну группу, привилегированные пользователи — в другую, а все остальные — в третью. Приоритеты назначаются соответственно выполняемым задачам. Оба способа можно комбинировать.
Выделяемая полоса — не абсолютное значение, а относительное. Предположим, в одну группу выделены пользователи, которым доступ к Internet должен быть предоставлен в первую очередь, а все остальные — в другую. При этом первым вы назначили приоритет 100, вторым — 20, а скорость канала — 100 Кбит/с. Когда канал свободен и пользователь из группы с приоритетом 20 обращается к какому-то ресурсу Internet, он получает в свое распоряжение всю пропускную способность канала. Однако если в это время к нему присоединяется пользователь с приоритетом 100, то полоса делится между ними в соотношении 1/5.
Для правильной работы механизма администратор должен задать параметр «пропускная способность». Он определяет пропускную способность внешнего интерфейса и не привязан к конкретному адаптеру. Таким образом, когда сервер имеет более одного внешнего интерфейса, всем присваивается одно и то же значение. Если интерфейсы при этом соединены с каналами разной пропускной способности, то алгоритм будет работать некорректно.
Вопросы совместимости
Есть одно непременное требование: на компьютере с ISA Server не должны работать процессы, использующие протокол NAT, поскольку ISA Server сам выполняет NAT. Такими процессами могут быть, например, Internet Connection Sharing или Routing and Remote Access с включенным протоколом NAT. Поэтому перед установкой нужно проверить соблюдение указанных условий. В то же время Routing and Remote Access вполне «уживается» с ISA Server, но берет на себя функции маршрутизатора. Изменение настроек RRAS может привести к нарушению работы сервера. Следовательно, каждое такое изменение желательно проверить в тестовой среде.
Фильтры приложений
Хотя возможности ISA Server весьма широки, принципы его работы в целом достаточно примитивны. Хочу оговориться — это нельзя считать недостатком продукта, принципы работы одинаковы практически у любого брандмауэра. Каждый приходящий пакет сопоставляется с некоторым количеством условий: он проверяется по адресу источника и получателя, протоколу и т. п. Конечно, эта последовательность может быть сложнее или проще, в зависимости от набора правил, заданных администратором. Но в конечном итоге сценарий остается неизменным. Дополнительную интеллектуальность ISA Sever придают так называемые Application Filters для выполнения более сложных операций над совокупностью пакетов. Их работу можно проиллюстрировать на примере одного из фильтров, устанавливаемых по умолчанию, — FTP Filter. Как известно, протокол ftp отличается наличием двух соединений с разными портами. В общем случае нам бы пришлось создавать два правила для описания и разрешения одного протокола и еще два для публикации сервера ftp. Фильтр же регистрирует протоколы, которыми он управляет, и позволяет применять их, не вдаваясь в детали реализации.
Некоторые сетевые игры, например, требуют доступа к конкретному диапазону портов TCP, а его ширина может достигать нескольких десятков. В подобном случае для каждого порта придется создавать отдельное описание протокола, а затем все вновь определенные протоколы разрешать для использования. Фильтр позволяет решить и эту проблему.
Написание своих Application Filters открывает широкое поле деятельности для независимых разработчиков. Сегодня они предлагают большое количество продуктов, применение которых позволяет значительно расширить функциональность ISA Server.
Два из устанавливаемых фильтров — POP Intrusion и DNS Intrusion — написаны для Microsoft компанией Internet Security Systems, обладающей огромным опытом в создании продуктов для обнаружения и отражения сетевых атак. Кроме того, с помощью еще одного фильтра в реальном времени проверяется трафик SMTP с целью выявления вирусов.
Все фильтры собраны в отдельной ветви дерева консоли управления. Каждый из них при необходимости может быть отключен.
Недостатки ISA SERVER
К недостаткам ISA Server я бы отнес следующие:
Сходная проблема существует и при создании резервной копии конфигурации сервера, когда создается файл специального формата. Однако восстановить состояние сервера с его помощью можно только на том же самом компьютере! Это означает, что одновременно с созданием резервной копии конфигурации нужно архивировать состояние системы (System State в NTBackup) и восстанавливать их только вместе. Такая необходимость возникает, например, при переносе сервера на новый компьютер или при отказе оборудования. Подобного недостатка лишена корпоративная версия, так как конфигурационная информация в этом случае хранится в Active Directory, но экспортировать ее штатными средствами все равно невозможно.
Продукты независимых производителей
Для ISA Server уже создано большое количество продуктов, удачно дополняющих и расширяющих его возможности. С их списком можно ознакомиться на сайте Microsoft и на неофициальном сайте http://www.isaserver.org. Их функциональность можно разделить на два больших направления.
Подобные системы могут работать совместно с ISA Server или абсолютно независимо, например, используя только журнальные файлы. В первом случае они выполняются как Application Filters.
К сожалению, такие известные продукты, как Symantec Web Security, пока не интегрированы с ISA Server. Но, конечно, ничто не мешает выстроить из них общую цепочку серверов, чтобы повысить степень защиты, объединив возможности обоих продуктов.
Заключение
Несмотря на свою молодость, ISA Server, несомненно, основательный продукт и способен составить серьезную конкуренцию известным брендам этого сектора рынка. Подтверждением тому может служить сертификат ICSA Labs, полученный в начале прошлого года — практически одновременно с выходом на рынок.
Приятно отметить, что за полтора года его существования выпущено всего шесть заплат. Две из них закрывали бреши, которые могли вызвать отказ в обслуживании (DoS), четыре — незначительные недочеты, не связанные с безопасностью, при этом не было обнаружено ни одной уязвимости, использование которой позволило бы осуществить перехват управления или компрометацию информации. Недавно все они включены в Service Pack 1.
Евгений Протопопов — IТ-менеджер в компании Digital Design. С ним можно связаться по адресу: EvgenyP@digdes.com.
Поделитесь материалом с коллегами и друзьями
Что такое isa server
Microsoft Internet Security and Acceleration Server
(обычно сокращается до Microsoft ISA Server) — прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика.
Пришел на смену прокси-серверу Proxy 2.0 от Microsoft. Позволяет организовать защиту локальной сети от вмешательств из сети Интернет и безопасно публиковать различные виды серверов, дает возможность распределять доступ пользователей локальной сети к ресурсам Интернет. Оснащен средствами для анализа посещаемых ресурсов, учета трафика, а также защиты против атак из сети Интернет. Имеет различные виды аутентификации и авторизации, в том числе поддерживает аутентификацию Active Directory. Поддерживает как рабочие группы, так и домены Windows NT. Помимо всего имеет множество плагинов для отслеживания исходящего и входящего трафика. На Windows 2008 уже не устанавливается. На замену ISA Server пришёл Forefront.
Что такое сервер ISA Server 2006?
ISA Server 2006 – это много продуктов в одном. В одном программном пакете вы получаете:
Брандмауэр сетевого уровня (network layer firewall)
Безопасный шлюз проверки на прикладном уровне (application layer inspection security gateway)
Прямой (Forward) и обратный (reverse) Web прокси (proxy) и кэш-сервер (caching server)
Сервер удаленного доступа к VPN
Шлюз Site to site VPN
Брандмауэр сетевого уровня
ISA Server 2006, также как и брандмауэры из серии Check Point NG и Cisco PIX/ASA, это брандмауэр, который выполняет проверку пакетов (stateful packet inspection firewall). Такой брандмауэр имеет возможность просматривать информацию IP (Internet Protocol) и проверять, что злоумышленники не смогут воспользоваться уязвимостью в безопасности на сетевом уровне (network layer). ISA 2006 способен обнаруживать и защищать от атак на сетевом уровне таким образом, что злоумышленники из интернета или даже из вашей собственной организации не смогут отключить или перехватить контроль над брандмауэром ISA 2006 firewall.
Брандмауэры с проверкой пакетов появились в 1990. Однако с тех пор, последствия атак на сетевом уровне значительно возросла. В то время, как злоумышленники конца 20-го века были заинтересованы в отключении брандмауэра и уничтожения Web сайтов для поднятия собственного эго, то современные хакеры больше заинтересованы в получении и уничтожении корпоративной информации для собственной выгоды. Современные сетевые взломщики не заинтересованы в атаках на брандмауэр или уничтожении Web сервера, они более заинтересованы в том, чтобы пройти под радаром и украсть, изменить или уничтожить данные.
Шлюз проверки безопасности на прикладном уровне (Application Layer Inspection Security Gateway)
Брандмауэры, выполняющие проверку пакетов, не могут определить, на что конкретно направлена атака – против Web сервера, почтового сервера (mail server), FTP сервера или против еще какого-нибудь сетевого приложения. Все что могут брандмауэра такого типа – это защитить вашу сеть от простых сетевых атак. По этой причине необходимо также, чтобы брандмауэр проводил проверку на прикладном уровне (application layer inspection firewall) или необходим безопасный шлюз (security gateway).
После выхода сервера ISA Server 2000 в декабре 2000, он быстро стал лидером в области брандмауэров, выполняющих проверку на прикладном уровне. До выхода сервера ISA Server 2000 золотым стандартом (Gold Standard) для брандмауэров был Cisco PIX. PIX был простым брандмауэром с проверкой пакетов и не мог защитить сеть от сложных атак на прикладном уровне, с помощью которых современные хакеры пытались украсть, изменить или уничтожить корпоративные данные.
ISA 2006 продолжает традиции ISA Server и остается лидером среди брандмауэров с проверкой на прикладном уровне (application layer inspection firewall) и безопасным шлюзом (security gateway). В действительности, ISA Server называют шлюзом безопасности (secure gateway), а не брандмауэром, т.к. изначально брандмауэром называли устройство, которое выполняло только проверку пакетов. Брандмауэр ISA 2006 объединяет в себе как проверку пакетов (stateful packet inspection), так и проверку прикладного уровня (application layer inspection) и представляет собой мощное решение сетевого шлюза безопасности (network security gateway).
Прямой (Forward) и обратный (Reverse) Web прокси (Proxy) и кэш-сервер (Caching Server)
Сервер Web прокси (proxy) – это машина, которая принимает Web соединения от Web браузеров и других Web приложений и передает эти соединения результирующему Web серверу, в адрес которого пользователь отправлял свой запрос. Сервер Web прокси (proxy) может принимать соединения от пользователей в вашей корпоративной сети (corporate network) и передавать их на Internet Web сервер или он может принимать входящие соединения к Web серверам и службам в вашей корпоративной сети и передавать их на сервера компании.
Когда брандмауэр ISA Server 2006 firewall работает, как сервер Web прокси (proxy), то знает обо всех соединениях, проходящих через него. Это позволяет службам Web прокси брандмауэра ISA firewall обеспечить значительный уровень безопасности для Web соединений и защитить вашу сеть от вирусов, червей, попыток взлома, включая идентификацию и авторизацию пользователей перед тем, как разрешить им пройти через брандмауэр ISA firewall, Web proxy и кэш-сервер (caching server).
Когда службы Web proxy брандмауэра ISA firewall перехватывают Web соединения, они могут выполнять различные проверки для защиты вашей сети. Некоторые из них включают:
Предварительную аутентификацию (Pre-authenticating) пользователя на брандмауэре ISA firewall, Web proxy и кэш-сервере (caching server) для отправки входящих соединений к корпоративным Web серверам и почтовым серверам (mail server). Когда предварительная аутентификация выполняется на брандмауэре ISA firewall, это позволяет избежать появления анонимных пользователей (anonymous users), выходящих в интернет из вашей сети. Т.к. у злоумышленников нет доступа к правильными учетным записям и паролям пользователей, то они не смогут атаковать ваши Web сервера
Прозрачную аутентификацию (Transparently authentication) пользователей в корпоративной сети перед тем, как разрешать им выходить в интернет. Это позволяет ISA Server записывать имена пользователей для всех соединений, которые были сделаны через брандмауэр ISA firewall, и в результате чего вся эта информацию попадет в журнал событий и отчеты
Выполнение глубокой проверки на прикладном уровне (application layer inspection) всех Web соединений, проходящих через брандмауэр ISA firewall с помощью фильтра безопасности ISA HTTP Security Filter. Этот фильтр для проверки прикладного уровня (application layer inspection filter) позволяет брандмауэру ISA firewall очищать Web сессии и удалять из нее подозрительные и потенциально опасные HTTP команды и данные, которые могут повредить вашей сети
Контроль Web сайтов, которые разрешено посещать пользователям, времени суток, когда пользователи могут подключаться, а также контроль типов информации, которые пользователи могут загружать из Web. Например, вы можете использовать возможности Web прокси брандмауэра ISA firewall для блокирования доступа к выполняемым файлам (executable file), медиа файлам и документам, например Microsoft Word
Кэширование информации, запрашиваемой пользователями для ускорения работы с интернет и экономии трафика. Когда пользователь из корпоративной сети запрашивает Web страницу, ISA 2006 помещает эту Web страницу в Web кэш (cache). Брандмауэр ISA firewall хранит эту информацию, и когда другой пользователь совершает запрос к той же самой странице, эта Web страница достается из Web кэша (cache) и передается пользователю. В результате мы экономим время и трафик, а у пользователя появляется возможность более быстрого доступа к информации.
Сервер удаленного доступа к VPN (Remote Access VPN Server)
Все большему числу сотрудников необходим доступ к информации, которая хранится в корпоративной сети, когда они находятся вне офиса в дороге. Сотрудникам необходим доступ к документам Word, файлам PowerPoint, базам данных и многому другому в то время, когда они находятся в дороге, или во время работы на дому. Еще более важный аспект бизнеса – это возможность предоставления сторонним рабочим (off-site worker) доступа к корпоративной информации в случае особой необходимости, когда сотрудники не могут покинуть свои дома. Одни из наиболее безопасных способ, с помощью которого сотрудники могут получить доступ к этой информации – это использовать VPN сервер удаленного доступа (remote access VPN server).
Сервер VPN (virtual private networking – виртуальная частная сеть) позволяет внешним пользователям подключаться к корпоративной сети с ноутбука или рабочей станции из любого места в мире. После того, как пользователь создает безопасное VPN соединение, то компьютер это пользователя, также как и компьютер расположенный в офисе может иметь доступ к информации, хранящейся на любом сервере внутри корпоративной сети.
Одним из недостатков традиционных решений VPN серверов, предлагаемых поставщиками, является то, что после того, как пользователь подключается к VPN серверу, то у этого пользователя есть доступ к любому ресурсу в корпоративной сети (corporate network). Проблема здесь заключается в том, что компьютеры удаленных пользователей, которые используются для подключения к корпоративной сети, обычно являются неуправляемыми машинами, и поэтому возрастает опасность заражения вирусом или червем.
В сервере ISA Server 2006 эта дыра в безопасности в обычных аппаратных “hardware” VPN сервер закрыта с помощью трех мощных методов:
Мощный контроль доступа, основанный на пользователях/группах и использование принципа наименьших прав для удаленных соединений VPN
Проверка на прикладном уровне (Application layer inspection) для всех удаленных VPN соединений
Карантийный контроль ISA 2006 VPN Quarantine Control
Мощный контроль доступа, основанный на пользователях/группах и использование принципа наименьших прав для удаленных соединений VPN
ISA 2006 позволяет вам контролировать доступ к ресурсам, основываясь на учетной записи пользователя и его членстве в группе. Политика доступа (Access policy) усиливается таким образом, что в противоположность к обычным аппаратным “hardware” VPN серверам, у пользователей есть доступ только к определенным приложениям и не к чему больше. Пользователям VPN не разрешен свободный доступ ко всей корпоративной сети, а лишь к ресурсам, необходимым для их работы.
Проверка на прикладном уровне (Application Layer Inspection) для всех удаленных VPN соединений.
Выжившие после появления червя Blaster worm могут рассказать, что у них было фальшивое чувство безопасности, когда они настроили свои интернет брандмауэры для блокирования доступа к своей сети из интернет. Эти компании были по-прежнему инфицированы Blaster, но не из интернет, а от VPN пользователей. Эти компании использовали традиционные аппаратные VPN сервера для удаленного доступа, которые не могли проводить проверку прикладного уровня для VPN пользователей.
В противоположность традиционным VPN серверам удаленного доступа (remote access VPN server), ISA 2006 выполняет проверку пакетов (stateful packet) и проверку прикладного уровня (application layer inspection) для всего трафика, проходящего через VPN канал. Черви, наподобие Blaster, не могут инфицировать корпоративную сеть через VPN соединение, т.к. умный фильтр проверки на прикладном уровне (smart RPC application layer inspection filter) брандмауэра ISA firewall блокирует опасный трафик. Эта возможность проверки трафика на прикладном уровне позволяет брандмауэру ISA firewall защитить вас от зараженных компьютеров VPN клиентов точно также, как он защищает вас от опасности из интернет.
Карантийный контроль ISA Server 2006 VPN Quarantine Control
Для усиленной защиты удаленного доступа от VPN клиента, VPN сервер удаленного доступа (remote access VPN server) должен уметь изменять статус безопасности и общее состояние машины, которая подключается с помощью удаленного VPN канала. Это позволяет вам более тщательно проверять машины с минимальными требованиями к безопасности перед тем, как разрешить им доступ к корпоративной сети.
ISA Server 2006 решил эту проблему, реализовав карантийный контроль Remote Access VPN Quarantine (VPN-Q). Возможность VPN-Q позволяет вам настроить набор параметров, которым должны удовлетворять системы VPN клиента для того, чтобы получить доступ к ресурсам в корпоративной сети. Если система VPN клиента не удовлетворяет этим проверкам безопасности, то вы можете настроить инструмент VPN-Q для автоматического обновления и настройки VPN клиентов, для того чтобы они смогли пройти эту проверку. Если клиенты VPN не могут быть полностью обновлены, то соединение прерывается. Это позволяет защитить вашу компанию от зараженных компьютеров, которые могут атаковать или уничтожить информацию вашей компании.
Шлюз Site to Site VPN Gateway
Все мы надеемся, что наши компании вырастут до таких размеров, что появятся дочерние офисы (branch offices). Но с появлением дочерних офисов (branch office) увеличивается сложность и стоимость затрат, на подключение этих дочерних офисов к ресурсам главного офиса (main office).
Существует набор настроек для подключения дочернего офиса (branch office) к главному офису (main office), среди них:
Выделенный WAN канал, предоставляемый поставщиками telco
Управляемые VPN сети, предоставляемые поставщиками telco и ISP
Корпоративно управляемые VPN site to site VPN сети, уничтожаемые на VPN шлюзах (gateway) компании.
Ограниченная доступность, с помощью публикации корпоративных ресурсов
Выделенный (Dedicated) WAN канал и управляемые VPN – это прекрасное решение для компаний, для которых не важна цена вопроса. Эти настройки могут быть слишком дорогостоящими для организаций, которые заинтересованы в снижении финансовых затрат при организации взаимодействий такого типа.
VPN шлюз (gateway) позволяет вам подключить ваш главный офис (main office) ко всем вашим дочерним офисам (branch offices) с помощью недорогих интернет соединений, и сделать это достаточно безопасным способом. Каждый брандмауэр ISA firewall и шлюз безопасности (security gateway) в дочернем и главном офисе обеспечивает мощную проверку пакетов (stateful packet inspection) и проверку на прикладном уровне (application layer inspection) для информации, перемещающейся по site to site VPN каналам. Дополнительно, все соединения, выполненные пользователями из дочерних офисов (branch office) заносятся в журнал, чтобы таким образом у вас была полная история взаимодействия пользователей дочерних офисов с ресурсами главного офиса.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
