43、利用 ISA Server 2006 为 SharePoint 提供安全的远程访问

利用 ISA Server 2006 为 SharePoint 提供安全的远程访问

1. 传统安全技术的困境与 ISA Server 的优势

在网络环境中，为了应对来自互联网的威胁，组织常常会采取一些措施。例如，当遇到通过 HTTP 端口 80 发起的攻击时，可能会临时或半永久性地完全关闭该端口的访问。然而，这种做法会对生产力产生极大影响，因为 SharePoint 的访问会受到波及，尤其是在高度依赖与外部供应商和客户进行通信与协作的现代互联基础设施中。

传统的安全技术往往需要在安全性和生产力之间进行权衡。以防火墙为例，防火墙设置得越严格，终端用户的功能性和生产力就越低。

为了在不牺牲安全性的前提下维持和提高生产力，ISA Server 内置了应用层状态检测功能，能够智能地判断特定的 Web 流量是否合法。比如，ISA Server 会检查使用 TCP 端口 80 的数据包，以确定它是否是格式正确的 HTTP 请求。可以将 ISA Server 类比为边境警卫，不仅检查护照，还配备 X 光机检查每个过境人员的行李。

随着应用层攻击变得越来越复杂，就更需要一种安全解决方案，既能提高生产力，又能降低依赖简单基于数据包过滤技术的环境中存在的风险。

2. SharePoint HTTP 流量的内在威胁

互联网的目标和用途存在一种两难境地。一方面，互联网旨在实现随时随地访问信息，将世界各地的系统连接起来，实现信息的自由交换；另一方面，这种透明度带来了巨大的风险，因为任何一个系统都可能暴露给世界上所有联网的计算机，无论是友好的还是恶意的。

为了应对这种风险，组织常常使用防火墙来限制对信息的访问。但这也限制了像