О Microsoft Internet Security and Acceleration Server 2004

Вслед за первой попыткой реализации брандмауэра и технологии Internet-кэширования в продукте, известном под названием Microsoft Proxy Server, Microsoft выпустила куда более интересный серверный продукт — Microsoft Internet Security and Acceleration (ISA) Server 2000. Технология ISA Server 2000 обеспечивает возможности многослойного брандмауэра для использования в организациях, модуль доступа к глобальной сети, службы кэширования, проверки пакетов с учетом состояния соединения и другие возможности защиты, реализованные в форме расширяемого высокопроизводительного пакета программ. Спустя четыре года Microsoft подготовила выпуск брандмауэра третьего поколения — ISA Server 2004. Новая версия предлагает еще более широкий диапазон функциональных возможностей, включая предназначенную для аппаратных реализаций версию, которая может представлять интерес для крупных предприятий.

Защита на уровне приложений и интеграция со службами Microsoft

Самое существенное усовершенствование, реализованное в ISA Server 2004, — глубокая проверка соединений по протоколу HTTP с учетом их состояний (т. е. фильтрация на уровне приложений). Такая возможность — настоящий подарок для предприятий, ориентированных на использование продуктов Microsoft, так как предполагает интеллектуальную фильтрацию входящего и исходящего сетевого трафика, порождаемого Microsoft Exchange Server, Internet Information Services (IIS) и Windows SharePoint Services (WSS). Возможно также использование политик ISA Server для активизации безопасных соединений между Exchange Server и Microsoft Outlook. При этом, однако, необходима настройка конфигурации клиента Outlook на использование безопасного удаленного вызова процедуры (RPC).

Для настройки элементов процедуры проверки пакетов как во входящем, так и в исходящем сетевом трафике, в ISA Server 2004 используется механизм, построенный на основе правил. Опытные пользователи могут настроить конфигурацию ISA Server 2004 на работу с инструментами помещения в карантин Windows 2003 VPN Quarantine, входящими в набор ресурсов Windows Server 2003 Resource Kit. Настройка конфигурации таких инструментов — дело непростое, однако результатом является гарантия, что клиентская система получает соединение с сетью только при условии установки самых последних исправлений в системе безопасности, которые считаются необходимыми в данной организации.

Более простые инструменты управления

В ISA Server 2004 реализована модернизированная управляющая консоль на базе технологии Microsoft Management Console (MMC), предлагающая простые программы-мастера и списки задач, облегчающие реализацию конфигураций с заданными свойствами для широкого диапазона сетевых топологий, поддерживаемых ISA Server. В частности, консоль явно упрощает настройку вновь приобретенного продукта ISA Server 2004 на функционирование в качестве пограничного сервера или узла в комбинированной среде, составленной из внутренней, периферийной, внешней, частной (VPN) и прочих сетевых зон, каждая из которых имеет собственные стратегии и правила маршрутизации. Особенно удачно спроектирован редактор политик, позволяющий, как в среде Visual Studio (VS), формировать политики, буквально «нанизывая» свойства на правила методом перетаскивания. Редактор построен на базе языка XML, что позволяет импортировать и экспортировать конфигурации для резервного копирования или распространения по нескольким узлам.

Трудно переоценить важность очень простого в применении нового пользовательского интерфейса. Неправильная настройка конфигурации брандмауэра является одной из основных причин нарушения межсетевой защиты. Простота конфигурации в сочетании с легкостью обновления программного решения обеспечивает технологии ISA Server 2004 преимущество над большинством аппаратно реализованных брандмауэров.

В ISA Server 2004 также реализована новая инструментальная панель текущего контроля, позволяющая получить итоговое представление о состоянии сеанса, предупреждениях, событиях, функционировании систем и другую информацию. Программа просмотра журналов в реальном времени обеспечивает отображение журналов брандмауэра, Web Proxy и SMTP Message Screener.

Поддержка аппаратных средств по выбору

Партнеры Microsoft, включая Celestix Networks, HP и Network Engines, планируют выпуск устройств межсетевой защиты на базе ISA Server, большей частью ориентированных на средние и крупные предприятия. Являясь, по существу, одноцелевыми серверами Windows 2003 с полузамкнутой архитектурой, эти устройства обеспечивают полный набор функциональных возможностей ISA Server 2004 и характеризуются гибкостью применения. Производители аппаратных средств предусматривают обслуживание таких устройств, используя единую точку соприкосновения во взаимодействии с клиентами по вопросам продаж, обслуживания и поддержки. Из-за высокого уровня цен (3 тыс. долл. и выше за младшие модели и 10 тыс. долл. и выше за решения в стоечном исполнении) эти брандмауэры не подходят для обслуживания предприятий малого бизнеса. Хотелось бы, чтобы результатом сотрудничества Microsoft с партнерами в области аппаратного обеспечения стало также появление недорогих вариантов устройств межсетевой защиты.

О Microsoft Internet Security and Acceleration Server 2004

Защита на уровне приложений и интеграция со службами Microsoft

Более простые инструменты управления

Поддержка аппаратных средств по выбору

Рекомендации