ISAServer2004作为Microsoft推出的防火墙软件,相较于ISAServer2000版本,在多网络支持、虚拟专用网络配置、用户身份验证等方面进行了大幅度升级。新增功能包括深层次HTTP协议检查、防火墙管理功能的改进等。
- 文件版本: 无
- 开发商: 来源网络
- 文件来源: 本地
- 界面语言: 简体中文
- 授权方式: 免费
- 运行平台: WINDOWS2000 WINDOWS2003(推荐WINDOWS2003 SP1以上版本)
作为著名路由级网络防火墙Microsoft® Internet Security and Acceleration Server 2000 (以下简称为ISA Server 2000)的升级版,微软已经在2004年7月13日发布了Microsoft® Internet Security and Acceleration (ISA) Server 2004(以下简称为ISA Server 2004)。它和ISA Server 2000相比,到底有哪些值得我们期待的新功能呢?本文详细地介绍ISA Server 2004的新特性,并且图文并茂的介绍了ISA Server 2004中新增加的重要功能。
图注 ISA Server 2004的120天评估版安装界面
新功能概述
和ISA Server 2000相比,ISA Server 2004中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能(包括配置导入和导出)。
ISA Server 2004新特性一览
| 应用层过滤 | |
| 功能 | 描述 |
| 基于每个策略的HTTP过滤 | 允许防火墙执行更深层次的HTTP协议状态检查,并且可以基于每个策略来配置。 |
| 阻止访问可执行文件 | 禁止用户通过HTTP协议访问Windows下的可执行文件(比如Cmd.exe) |
| 通过文件扩展名来控制 | HTTP策略可以基于文件扩展名来定义准许或者禁止访问 |
| HTTP过滤应用到所有的客户连接 | 通过HTTP策略,你可以控制所有的ISA Server 2004客户连接 |
| HTTP签名 | 可以建立“HTTP签名”来和客户请求的URL进行比较,从而精确地控制内部和外部用户 |
| 控制允许的HTTP方式 | 控制用户HTTP访问的方式。例如,你可以限制HTTP POST来阻止用户向Web站点上传数据 |
| 支持Outlook的RPC连接 | ISA Server 2004允许Internet用户通过Outlook访问内部Exchange服务器。 |
| FTP策略 | FTP策略甚至可以让用户只能下载数据 |
| 安全与防火墙 | |
| 功能 | 描述 |
| 协议支持 | 支持对任何协议(包括 IP等级协议)访问和使用的控制。 |
| 支持需要多个主连接的复杂协议 | 许多流媒体和音频/视频应用这种复杂协议在ISA Server 2004中也提供了支持。你可以管理它们,也可以通过易于使用的协议向导轻松建立协议。 |
| 可自定义的协议 | 允许控制任何协议的源和目的端口,这让你可以从更高级别上管理允许进入和流出的数据包。 |
| 方便的Hotmail支持 | 通过简单的防火墙设置即可访问Hotmail而不需要其他在客户端或者防火墙上进行特殊设置 |
| 防火墙规则向导 | ISA Server 2004包含的新规则向导集,让你建立策略更轻松。 |
| OWA发布向导 | Outlook Web Access发布向导可以很方便地建立Exchange服务器的SSL访问规则。 |
| FTP支持 | 允许访问非标准端口的Internet FTP服务。 |
| 多网络 | |
| 功能 | 描述 |
| 多网络配置 | 可以配置一个或多个网络,并使每个网络都与其他网络有明确的关系。访问策略是相对于多个网络而定义的,而不必相对于给定的内部网络。 |
| 唯一的基于网络的策略 | ISA 服务器的多网络功能使您可以限制客户端(甚至您自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。 |
| 网络模板 | ISA 服务器包含与常见网络拓扑对应的网络模板。可以使用网络模板来为网络之间的通讯配置防火墙策略。 |
| NAT 和路由网络关系 | ISA Server 2004中可以根据网络之间所允许的访问和通讯类型来定义网络关系。主要包括NAT和路由两种关系。 |
| 监视和报告 | |
| 功能 | 描述 |
| 实时日志监控 | 可以实时监控防火墙、Web Proxy和SMTP邮件的日志。 |
| 内建日志查询工具 | 支持使用内建的日志查询工具来查询日志文件。 |
| 对防火墙会话的实时监控和过滤 | 可以即时监控所有活动的防火墙会话,也可以使用内建的会话过滤工具来对会话进行过滤 |
| 连接验证器 | 你可以通过连接验证器来验证到一个指定的计算机或者URL之间是否连通。你可以通过以下方式来决定连通性:Ping、连接到特定端口的TCP或者HTTP GET。你可以通过IP地址、计算机名字或者URL来指定验证的对象。 |
| 自定义ISA Server 2004报告 | ISA Server 2004包含了一个增强的报告自定义特性,允许你在报告中记录更多信息。 |
| 报告发布 | ISA Server 2004报告生成工具可以自动保存一个副本在本地目录或者网络共享文件目录,方便其他用户访问。 |
| 报告完成后的E-mail通知 | 你可以配置报告生成工具在某个报告完成后给你发送一个电子邮件。 |
| 可以自定义报告跨越的时限 | ISA Server 2004可以让你自定义报告所跨越的时限,这给你更多的可扩展性。 |
| 增强的SQL服务器记录 | 你可以把日志记录在内部网络中另外一台运行SQL Server数据库的计算机上。 |
| 记录到MSDE数据库 | 日志可以存储为MSDE格式,记录在本地数据库增强了速度和扩展性。 |
| 管理 | |
| 功能 | 描述 |
| 管理 | ISA Server 2004包含了新的管理特性,新的用户界面包含任务面板、帮助面板、一个改进的开始向导和和全新的防火墙策略编辑器。 |
| 导入和导出 | ISA Server 2004引入了导入和导出配置信息的能力,从而大大简化了重复的配置工作。 |
| 防火墙管理员权限委派向导 | 防火墙管理员权限委派向导帮助你给用户或用户组分配管理角色。这些预定义的角色可以让你委派不同级别的管理任务到用户。 |
| ×××网络 | |
| 功能 | 描述 |
| ×××状态过滤和检测 | ×××客户端被配置为单独的网络,你可以为××× 客户端创建单独的策略。规则引擎会有区别地检查来自×××客户端的请求,对这些请求进行状态检查,并基于访问策略动态地打开连接。 |
| Site-to-Site的×××隧道的通信状态检查和过滤 | ISA Server 2004对Site-to-Site的×××隧道连接引入了状态检查和过滤机制。 |
| ×××隔离控制 | 在确认符合公司的安全要求前,可以将××× 客户端隔离到“被隔离的×××客户端”网络中。 |
| 发布×××服务器 | 使用ISA Server 2004服务器发布策略来发布×××服务器,让ISA Server 2004中智能的PPTP应用过滤器执行负责的连接管理。 |
| 支持Site-to-Site ×××链路上的IPSec隧道模式 | ISA Server 2004中可以使用IPSec隧道模式作为×××协议,而且它可以和许多第三方×××解决方案一同工作。 |
ISA Server 2004
的新特性是如此之多,以至于我们不能一一陈述。有兴趣的朋友可以参考
Microsoft
的相关介绍
[url]http://www.microsoft.com/isaserver/evaluation/whatsnew.asp[/url]。
全新的多网络架构支持
通常来说,内部网络的概念是指公司内部网络中的所有计算机,外部网络是指公司内部网络以外的所有计算机(通常指Internet)。但是由于使用移动计算机访问公司内部网络的用户的出现,从而使用户实际上成为了独立于网络的部分。分支办公室连接到总部,并希望像公司总部的内部网络组成部分一样使用总部的资源。许多公司使其公司网络中的服务器(尤其是 Web 服务器)可接受公开访问,但希望将这些服务器组织成一个单独的网络(DMZ网络)。ISA Server 2004服务器新增的多网络功能使你可以通过很简单的配置来为这些复杂的网络方案提供保护。多网络支持影响到大部分 ISA Server 2004服务器的防火墙功能。
使用 ISA Server 2004服务器的多网络功能可以限制客户端(甚至你自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。可以通过在 ISA Server 2004服务器中定义各个网络之间的关系,从而确定各个网络中的计算机如何通过 ISA Server 2004服务器相互进行通信。还可以将计算机组织成 ISA Server 2004服务器网络对象(如计算机集和地址范围),并针对各个网络对象配置相应的访问策略。
在常见的服务器发布方案中,您可能要将发布的服务器隔离在其自己的网络(如DMZ网络)中。ISA Server 2004服务器的多网络功能支持这样的方案,让你可以很方便的配置公司网络中的客户端如何访问DMZ网络,以及 Internet 上的客户端如何访问DMZ网络。你也可以配置各个不同网络之间的关系,从而在各个网络之间定义不同的访问策略。ISA Server 2004 服务器中新增了网络模板和网络模板向导的功能,使得你可以很方便的配置你的网络拓扑结构。
图注 多网络的公司网络架构
在该图中,ISA Server 2004服务器连接 Internet(外部网络)、公司网络(内部网络)和DMZ网络。ISA Server 2004服务器上有三个网络适配器,每个网络适配器都连接到其中的一个网络。通过使用 ISA Server 2004服务器,你可以在任何网络之间配置不同的访问策略,也可以确定各个网络中的计算机是否可以相互进行通讯,以及如果是,将采用什么方式。网络间是独立的,只有在你配置了允许通讯的规则时才是可访问的。
为了实施多网络方案,ISA Server 2004服务器引入了下列概念:
·网络:从 ISA Server 2004服务器的角度看,网络是可以包含一个或多个 IP 地址范围或域的元素。网络包含一台或多台计算机,并且始终对应于 ISA Server 2004服务器上的特定网络适配器。您可以对一个或多个网络应用规则。
•网络对象:创建网络后,可以将其组织成网络对象集(子网、地址范围、计算机集、URL 集或域名集)。规则可以应用于网络或网络对象。
•网络规则:可以配置网络规则,以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接关系,以及将使用哪一种连接。可以通过下列方式之一连接网络:网络地址转换 (NAT) 或路由(Route)。
增强的虚拟专用网络(×××)
ISA Server 2004
服务器改进后的×××管理功能可以帮助您轻松的设置虚拟专用网络 (×××),并且由于支持产业标准 Internet 协议安全 (IPSec),所以 ISA Server 2004 可以加入到其他供应商提供的已有 ××× 基础结构的环境中,其中包括那些对站点到站点连接采用 IPSec 隧道模式配置的环境。
图注 ISA Server 2004中全面增强了×××功能
在ISA Server 2004中,有两种类型的 ××× 连接:
•远程访问 ××× 连接。
客户端建立远程访问 ××× 连接,以连接到专用网络。ISA Server 2004服务器作为×××接入服务器,远程客户通过连接它来进入内部网络。
•站点到站点的 ××× 连接。
两个××× 服务器之间建立站点到站点的 ××× 连接,将专用网络的两个部分安全地连接起来。
将 ISA Server 2004服务器作为 ××× 服务器的好处是可以防止公司网络受到恶意 ××× 连接的威胁。通过新增的多网络支持和对 ××× 监控状态的检查,ISA Server 2004能很好的保证×××的安全。同时 ××× 服务器集成到了防火墙功能中,所以为预配置的 ××× 客户端网络定义的 ISA Server 2004服务器访问策略都适用于 ××× 用户。所有 ××× 客户端都属于 ××× 客户端网络,并且受到防火墙策略的限制。
ISA Server 2004
服务器中新增的隔离模式,可以确保在允许客户端加入 ××× 客户端网络(通常具有不受限制的内部网络访问权限)之前,先检查其是否符合公司的软件策略。通过使用隔离控制,可以在真正地允许远程 (×××) 客户端访问网络之前,将其限定为隔离模式,从而为其提供了阶段性的网络访问权限。在客户端计算机配置被调整或被断定为符合组织的特定隔离限制后,会依照您指定的隔离类型对连接应用标准的 ××× 策略。例如,隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。尽管隔离控制并不防范***者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也可以得到更正。还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时间即断开其连接。
可以为每个 ××× 客户端网络创建两个不同的策略:
•被隔离的 ××× 客户端网络。将访问限制在某些服务器的范围内,客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。
• ××× 客户端网络。可以允许访问所有公司(内部网络)资源,或者根据需要限制访问。××× 客户端网络将拥有与外部网络的 NAT 关系。系统将配置一个定义 ××× 网络与外部网络之间的 NAT 关系的网络规则
更方便的管理
ISA Server 2004
在管理方面,使用起来更加方便。
1.
全新的管理界面
为了方便管理,ISA Server 2004的管理主界面看上去更加简洁,给用户一种亲切感。
图注
ISA Server 2004
管理控制台的监视节点界面,清爽易用
2.
策略模板支持
ISA Server 2004
在网络方面一个重要的新增功能是提供了网络配置模板,可以让你轻松的设置防火墙策略。ISA Server 2004提供了5个预定义的网络模板:边缘防火墙、3向外围网络(含DMZ)、前端防火墙、背部防火墙、单网络适配器。
图注 ISA Server 2004中的模板大大降低了配置难度
3.
配置的导出和导入
ISA Server 2004
服务器新增了配置的导出和导入功能,您可以使用该功能将服务器配置参数保存到一个 .xml 文件中,然后将该信息从文件导入到另一台服务器中。你可以将配置保存到您拥有写入权限的任何目录和文件中。
图注备份、还原可以免除你重装系统之后的重复配置之苦
4.
其他管理增强
ISA Server 2004
在管理方面还增加了很多人性化的功能,让我们在管理、配置ISA Server 2004时更方便。
(1)仪表板
仪表板是ISA Server2004中的一个新颖的设计,通过它,你可以对ISA Server 2004当前的状态一清二楚。
图注一目了然的仪表盘
(2)实时的日志监控
ISA Server 2004
的日志系统是通过简化版的SQL Server来实现的,不但高效,而且可用于查询的条件达到了几十项,如Client IP、连接状态等等。
图注 ISA Server 2004中新增的“实时日志监控”
(3)强大的报告功能
报告是ISA Server 2004日志系统中一个划时代的改进。简单的操作、丰富的选项和报告发布的容易,让ISA Server 2004的报告功能成为了让网管选择ISA Server2004的一大杀手锏。
ISA Server 2004
生成的报告是纯html文件,非常方便你共享给其他用户观看。而且报告内容的详细程度,会令你大吃一惊。
图注 ISA Server 2004的报表功能十分强大
全面的协议支持
ISA Server 2004
中定义了绝大部分的通用协议,有上百种之多。不过毕竟是泊来品,ISA Server 2004把QQ定义为ICQ。
让网络更安全
作为一款企业级的防火墙软件,ISA Server 2004在安全方面也有了长足的改进。
推荐专栏更多
猜你喜欢
我的友情链接
【VMware虚拟化解决方案】UCS vmware 服务器虚拟化案例
Java线程:线程的调度-休眠
我们不得不面对的中年职场危机
职场终极密籍--记我的职业生涯
用光影魔术手制作一寸照片(8张一寸)
我的IT职场生涯: 毕业4年,月薪过万
Linux关闭休眠和屏保模式
年薪从0到10万-我的IT职场经验总结
Windows7删除休眠文件hiberfil.sys节省大量C盘空间
致IT同仁 — IT人士常犯的17个职场错误
“跳槽加薪”现象,无奈的职场规则
简述centOS 7系统用户和组的管理及配置
解析DELL R710服务器迁移操作内容
开学季出大事:某教育局丢失3台虚拟机
EVA4400存储虚拟机+数据库数据恢复成功案例
服务器数据恢复通用方法+服务器分区丢失恢复案例
在CentOS7上部署squid缓存服务器及代理功能
EMC 5400服务器raid阵列瘫痪数据恢复成功案例
服务器数据恢复案例 / raid5阵列多块硬盘离线处理方法
扫一扫,领取大礼包
转载于:https://blog.51cto.com/johnemoney/38369
扫一扫
2450
到【灌水乐园】发言
Ctrl+Enter 发布
发布
取消