Microsoft держит курс на безопасность
Сегодня при работе с Internet брандмауэр так же важен, как маршрутизаторы, концентраторы и коммутаторы. И хотя для подключения к Internet брандмауэр иметь необязательно, если у организации его нет, это фактически означает, что взломщикам предоставляется полная свобода действий. Продолжая ориентироваться на усиление системы безопасности, Microsoft выпустила новую версию защитного экрана, Microsoft Internet Security and Acceleration (ISA) Server, ставшую общедоступной в середине июля 2004 г. Ниже перечислены 10 самых важных новых функций ISA Server 2004.
10. Усовершенствованная консоль управления брандмауэром. Прежняя оснастка Microsoft Management Console (MMC) заменена в ISA Server 2004 новой консолью управления. Новая консоль проще в обращении и содержит мастер для начинающих Getting Started Wizard.
9. Шаблоны сетей. ISA Server 2004 включает пять шаблонов сетей, которые легко конфигурируются как демилитаризованные зоны (DMZ), виртуальные частные сети (VPN), а также обычные сетевые топологии, правила маршрутизации и политики защитного экрана для трафика между внутренней и внешней сетями.
8.Визуальный редактор политик. ISA Server 2004 содержит визуальный редактор политик, позволяющий с легкостью создавать политики безопасности защитного экрана и избегать ошибок конфигурации, приводящих к ослаблению безопасности.
7.Интегрированная аутентификация по протоколу RADIUS. Новая поддержка аутентификации и контроля учетных данных RADIUS позволяет ISA Server 2004 проверять входящие соединения VPN, используя службу Microsoft Internet Authentication Service (IAS, выпущенную вместе с Windows Server 2003) или разработки на основе RADIUS независимых поставщиков.
6.Правила кэширования. ISA Server 2004 прежде всего является брандмауэром. Тем не менее продукт в полном смысле соответствует своему названию — Internet Security and Acceleration (безопасность и ускорение работы в Internet) и, подобно предыдущим выпускам, ISA Server 2004 кэширует контент для ускорения клиентского доступа. Новая функция позволяет задавать контент, подлежащий кэшированию, способ доступа к контенту и время его хранения в кэше.
5.Поддержка множественных сетевых топологий. Одним из крупных архитектурных изменений в ISA Server 2004 является поддержка множественных сетевых топологий. В отличие от ISA Server 2000, поддерживавшего, помимо DMZ, только одну внешнюю и одну внутреннюю сеть, ISA Server 2004 поддерживает много внутренних и внешних сетей.
4.Раздельная настройка политик безопасности для сетей. С поддержкой множества сетей тесно связана поддержка настройки политик безопасности для каждой из них. Сетевые правила ISA Server 2004 позволяют указать, разрешены ли соединения между сетями, и если разрешены, перечислить типы разрешенных соединений. Эти политики безопасности можно применять для ограничения возможностей как внутренних, так и внешних соединений.
3.Туннельный режим IPSec для VPN. Новая поддержка соединений IP Security (IPSec) VPN позволяет ISA Server 2004 обеспечивать доступ VPN через PPTP, Layer Two Tunneling Protocol (L2TP) и IPSec, что означает максимальное взаимодействие с продуктами VPN независимых поставщиков.
2.Импорт и экспорт конфигурации. ISA Server 2004 позволяет импортировать и экспортировать настройки конфигурации сервера через файл формата XML. По выбору можно сохранить либо полную конфигурацию сервера, либо только часть настроек. Необходимо назначить пароль сохраняемому файлу конфигурации, и пользователь, импортирующий настройки, должен знать этот пароль.
1.Усовершенствованное фильтрование на уровне приложений. Одно из несомненных достоинств ISA Server, фильтрование на уровне приложений, приобретает со временем все большее значение по мере роста трафика Web-служб и других каналов, использующих приложения, через порт 80. Фильтрование на уровне приложений позволяет брандмауэру проверять входящий трафик не только на уровне TCP/UDP. ISA Server 2004 может фильтровать уровни с первого по четвертый и управлять доступом почти для всех протоколов, включая протоколы IP-уровня.
Майкл Оти — старший технический редактор Windows & .NET Magazine и президент компании TECA. С ним можно связаться по адресу: mikeo@teca.com