Сервер ISA 2000 стал первым полноценным брандмауэром от Microsoft, в который вошло множество новых, по сравнению с его предшественником Proxy Server 2.0, функций, отсутствовавших в коммерческих брандмауэрах сторонних производителей той же ценовой категории. Эти функции включали в себя:
- Многоуровневая фильтрация (фильтрация пакетов на сетевом уровне, циклическая фильтрация на транспортном уровне и фильтрация приложений на уровне приложений)
- Встроенная поддержка виртуальных частных сетей удаленного доступа (VPN) и шлюза VPN для схемы site-to-site
- Поддержка Active Directory
- Защищенное преобразование сетевых адресов (SecureNAT)
- Защищенная публикация серверов
- Отслеживание содержимого электронных писем с помощью SMTP-фильтров
- Поддержка шлюза H.323 для использования Microsoft NetMeeting и другого программного обеспечения, связанного с H.323
Сервер ISA 2004 стал первой большой переработкой Microsoft ISA Server с 2000 года. Администраторы ISA-сервера получили улучшения в следующих ключевых областях:
- Расширенная защита
- Простота использования
- Высокая производительность
Если говорить более конкретно, то в сервере 2004 увеличены возможности безопасности на уровне приложений путем внедрения политик проверки на данном уровне, возможности настройки фильтров протоколов и отношений сетевой маршрутизации. Все это помогает защищать ИТ-ресурсы и интеллектуальную собственность компании от хакеров, вирусов и несанкционированного доступа. Простые, легкие в использовании инструменты управления вместе с улучшенным пользовательским интерфейсом сокращают время знакомства с сервером для новых администраторов безопасности и помогают избежать наличия брешей в системе безопасности, возникающих из-за неправильной настройки брандмауэра.
Хотя сервер ISA 2004 поставил брандмауэры ISA на сетевом рынке на один уровень с продуктами Check Point и Cisco ASA/PIX, в нем отсутствовали некоторые возможности прямого и обратного web-прокси сервера по выбору для конкуренции с компанией Blue Coat. Хотя было очевидно, что брандмауэр и web-прокси сервер ISA 2004 более защищены и более гибкие, чем продукты Blue Coat, основные улучшения в ISA 2004 коснулись проверки обычных сетевых пакетов и проверки на уровне приложений, а не компонентов web-прокси.
Поэтому, в то время как ISA 2004 разрабатывался для того, чтобы находится на одном уровне и даже выше, чем продукция Check Point, Cisco ASA/PIX и Netscreen, улучшения в ISA 2006 нацелены на превосходство ISA-сервера над Blue Coat по трем основным параметрам: публикация web-служб Exchange-сервера, публикация сервера SharePoint Portal и публикация Internet Information Server (IIS).
Сервер ISA 2006 в сочетании с функциями web-прокси и кэширования настолько превзошел ожидания, что я считаю, что теперь ни один профессионал в области сетевой безопасности не будет даже рассматривать вопросы защиты и удаленного доступа к Exchange-серверу, серверу SharePoint Portal или IIS без наличия ISA-сервера. В противном случае можно будет ставить под сомнение мотивы лица, принимающего решения.
Прежде, чем углубиться в вопросы работы и использования ISA 2006, давайте оглянемся назад и посмотрим на ISA 2004. Нам будет проще понять функциональные возможности сервера ISA 2006, поскольку в нем есть все, что есть в ISA 2004 SP2.
Новое в ISA 2004
В сервер ISA 2004 были добавлены новые возможности и улучшены старые, полностью изменился интерфейс. Все это увеличило функциональность сервера, особенно на уровне предприятия. В качестве памятки я разместил все, что было новым в ISA 2004, в следующей таблице:
| Новое в сервер ISA 2004 | |
|---|---|
| Новая возможность | Назначение |
| Поддержка нескольких сетей | Позволяет настраивать более одной сети, каждая из которых обладает своими отношениями со всеми остальными. Вы можете определить политики доступа по отношению к сетям. В отличие от ISA Server 2000, где весь сетевой трафик проверялся в соответствии с таблицей локальных адресов (Local Address Table – LAT), в которую входили только адреса локальной сети, в ISA Server 2004 вы можете применять функции брандмауэра и защиты ко всему трафику между сетями или сетевыми объектами. |
| Политики на каждую сеть | Возможность поддержки нескольких сетей севером ISA 2004 позволяют вам защищать сеть от внутренних и внешних угроз безопасности путем ограничения соединений между клиентами даже внутри одной организации. Поддерживаются сценарии с наличием пограничных сетей (также известных как DMZ, демилитаризованные зоны), позволяющие настраивать доступ клиентов из разных сетей в пограничную сеть. Политика доступа между сетями может основываться на уникальных зонах безопасности, представленных каждой из сетей. |
| Сетевые отношения маршрутизации и NAT | Можно использовать ISA 2004 для определения отношений маршрутизации между сетями, зависящих от типа доступа и необходимых соединений между ними. В некоторых случаях вам могут потребоваться более защищенные и менее прозрачные соединения между сетями. Для этого вам потребуется определить отношения NAT. В других случаях вам будет необходима только маршрутизация трафика через ISA-сервер. В этом случае определяются отношения маршрутизации. В отличие от сервера ISA 2000, пакеты, проходящие по маршрутизируемым сетям, полностью проверяются механизмами фильтрации и проверки сервера ISA 2004. |
| Проверка обычных пакетов и проверка на уровне приложений для VPN-соединения удаленного доступа | Клиенты виртуальных частных сетей (Virtual private network – VPN) настраиваются как отдельная сетевая зона. Поэтому вы можете создать отдельные политики для VPN-клиентов. Механизм правил брандмауэра проверяет запросы VPN-клиентов, фильтруя их и динамически открывая соединения на основании политики доступа. |
| Проверка обычных пакетов и проверка на уровне приложений для трафика VPN-туннеля в схеме соединения site-to-site | Сети, соединенные сервером ISA 2000 с помощью канала site-to-site, считались доверительными, и потому к соединениям по такому каналу не применялась политика брандмауэра. В ISA 2004 существует проверка обычных пакетов и проверка на уровне приложений всех соединений VPN, проходящих по каналу site-to-site. Это позволяет контролировать ресурсы, к которым получают доступ отдельные узлы и сети с другой стороны канала. Политики доступа, основанные на пользователях/группах, используются для получения сложного контроля над использованием ресурсов через канал. |
| Поддержка клиентов SecureNAT для VPN-клиентов, соединяющихся с сервером ISA 2004 VPN | В ISA 2000 доступ к Интернету через сервер ISA 2000 VPN получали только VPN-клиенты, которые были настроены как клиенты брандмауэра. В ISA 2004 расширена поддержка VPN-клиентов, и теперь клиенты SecureNAT получают доступ в Интернет без установки на их систему клиента брандмауэра. Усилить безопасность корпоративной сети также можно путем применения политик, основанных на пользователях/группах, к клиентам VPN SecureNAT. |
| VPN-карантин | В ISA 2004 улучшена функция VPN-карантина Windows Server 2003 SP1. VPN-карантин позволяет заносить в карантин VPN-клиентов отдельной сети до того, так они не выполнят заранее определенные требования безопасности. VPN-клиенты, прошедшие проверку на безопасность, получают доступ к сети на основании политик брандмауэра для VPN-клиентов. VPN-клиентам, не прошедшим проверку на безопасность, может быть предоставлен ограниченный доступ к серверам для того, чтобы облегчить им выполнение требований сетевой безопасности. |
| Возможность публикации PPTP VPN-серверов | Используя ISA 2000, можно было публиковать только L2TP/IPSec NAT-T VPN серверы. Правила публикации в ISA 2004 позволяют публиковать все IP-протоколы и PPTP-серверы. Интеллектуальный фильтр PPTP-приложений сервера ISA 2004 выполняет комплексное управление соединением. Помимо этого, вы можете без труда опубликовать сервер Windows Server 2003 NAT-T L2TP/IPSec VPN с помощью правил серверной публикации ISA 2006. |
| Поддержка туннельного режима IPSec для каналов VPN для схемы site-to-site | Сервер ISA 2000 для соединения сетей по Интернету с помощью VPN-канала по схеме site-to-site VPN-протоколы PPTP и L2TP/IPSec. В сервере ISA 2004 улучшена поддержка такого канала, и теперь можно использовать туннельный режим протокола IPSec в качестве VPN-протокола. |
| Расширенная поддержка протоколов | В сервере ISA 2004 расширена функциональность сервера ISA 2000, позволяющая контролировать доступ и использование любого протокола, включая протоколы IP-уровня. Теперь пользователи могут использовать такие приложения, как ping и tracert, и создавать VPN-соединения с помощью протокола PPTP. Помимо этого, трафик протокола IPSec может быть разрешен на ISA-сервере. |
| Поддержка сложных протоколов, требующих нескольких первичных соединений | Многие приложения потокового аудио/видео требуют от брандмауэра возможности управления сложными протоколами. Сервер ISA 2000 мог управлять сложными протоколами, но для этого требовалось, чтобы администратор брандмауэра писал сложные сценарии для создания описаний протоколов, требующих нескольких первичных исходящих соединений. В сервере ISA 2004 это положение значительно улучшилось: теперь описания протоколов легко можно создать с помощью мастера новых протоколов. |
| Настраиваемое описание протоколов | Сервер ISA 2004 позволяет контролировать номер порта источника и получателя для любого протокола, созданного в правиле брандмауэра. Таким образом, администраторы ISA-сервера получают контроль высокого уровня над входящими и исходящими пакетами, проходящими через брандмауэр. |
| Группы пользователей брандмауэра | Сервер ISA 2000 для контроля, основанном на пользователя/группах, использовал пользователей и группы, созданные в Active Directory или локально на самом компьютере брандмауэра. Сервер ISA 2004 тоже использует эти данные, но, помимо этого, вы можете создавать свои группы, которые будут включать в себя уже существующие группы пользователей в локальной базе данных учетных записей или в домене Active Directory. Таким образом, увеличивается гибкость контроля доступа, основанного на пользователях или группах, поскольку администратор может создавать отдельные группы безопасности на основе уже существующих групп. Так что теперь от администратора брандмауэра не требуется быть администратором домена для создания групп безопасности для контроля входящего или исходящего доступа. |
| Переадресация учетных данных клиента брандмауэра службе Web Proxy | HTTP-редиректор сервера ISA 2000 должен был переадресовывать запросы к службе Web Proxy для того, чтобы клиенты брандмауэра могли пользоваться web-кэшем сервера. Во время данного процесса пользовательские учетные данные удалялись, и в случае их необходимости, запрос заканчивался неудачей. В сервере ISA 2004 данная проблема устранена с помощью разрешения доступа клиентам брандмауэра к web-кэшу через фильтр web-прокси без необходимости прохождения отдельной аутентификации службой Web Proxy (которой в сервере ISA 2004 и выше больше нет). |
| Поддержка RADIUS для аутентификации клиентов Web-прокси | Для того чтобы производить аутентификацию клиентов web-прокси, сервер ISA 2000 должен был быть членом домена Active Directory, или же учетная запись пользователя должна была находиться в локальной базе данных учетных записей компьютера. Сервер ISA 2004 разрешает проводить аутентификацию пользователей в Active Directory и других базах данных для аутентификации, используя RADIUS для запроса к Active Directory. Для аутентификации соединений удаленного доступа правила web-публикации также могут использовать RADIUS. |
| Делегирование базовой аутентификации | Опубликованные web-сайты защищены от неаутентифицированного доступа, поскольку сервер ISA 2004 аутентифицирует пользователей до того, как соединение будет переадресовано на опубликованный сайт. Таким образом, опубликованные web-сайты защищены от действий неаутентифицированных пользователей. |
| Сохранение IP-адреса источника в правилах web-публикации | В сервере ISA 2000 правила web-публикации до переадресации запроса на опубликованный web-сервер заменяли IP-адрес источника IP-адресом внутреннего интерфейса брандмауэра. В сервере ISA 2004 данная проблема исправлена. Теперь до создания правила вы можете определить, нужно ли заменять IP-адрес оригинала адресом брандмауэра или передавать на web-сервер адрес удаленного клиента. |
| Вставка IP-адреса ISA-сервера в качестве адреса источника в правилах публикации серверов | В правилах публикации серверов в сервере ISA 2000 требовалось сохранять IP-адрес внешнего клиента, поскольку нужно было, чтобы опубликованный сервер был SecureNET-клиентом ISA-сервера. В ISA 2004 у вас появилась возможность либо сохранять IP-адрес клиента, либо заменять его IP-адресом ISA-сервера. Таким образом, опубликованный сервер теперь может и не быть SecureNET-клиентом, и, помимо этого, добавляются дополнительные возможности для более гибкого внедрения. |
| Аутентификация SecurID для клиентов Web-прокси | Сервер ISA 2004 может производить аутентификация удаленных соединений с помощью двухфакторной аутентификации SecurID. Это дает очень высокий уровень безопасности аутентификации, поскольку пользователь для получения доступа к опубликованному web-серверу обязан «знать» определенные параметры. |
| Аутентификация на основе форм для доступа к OWA | Сервер ISA 2004 может создавать формы для аутентификации на сайтах Outlook Web Access.Таким образом увеличивается безопасность удаленного доступа к OWA-сайтам, поскольку контакты неаутентифицированных пользователей с OWA-сервером исключены. |
| Мастер безопасной web-публикации | Новый Мастер безопасной web-публикации дает возможность создания SSL VPN-туннелей к web-сайтам вашей внутренней сети. Использование SSL-сопряжения разрешает ISA-серверу декодировать зашифрованный трафик и передавать ему механизму проверки политик HTTP. SSL-туннелирование передает неизмененный зашифрованный трафик опубликованному web-серверу. |
| Принудительное шифрование безопасных соединений Exchange RPC | Для предотвращения нешифрованных соединений клиентов Outlook MAPI из Интернета на сервере ISA 2004 можно установить политики RPC. Таким образом увеличивается безопасность сети и серверов Exchange, поскольку учетные данные пользователя и информация не может передаваться в незашифрованном формате. |
| HTTP-фильтрация до использования правил | В сервере ISA 2004 политика HTTP позволяет брандмауэру производить проверку на уровне приложений HTTP (фильтрация на уровне приложений). Проверка производится до использования правил. Это позволяет настраивать собственные ограничения на входящий и исходящий HTTP-доступ. |
| Возможность блокирования доступа ко всему исполняемому содержимому | Политику HTTP сервера ISA 2004 можно настроить так, чтобы все соединения к исполняемому содержимому Windows блокировались, не взирая на расширения файла ресурса. |
| Возможность контроля скачивания HTTP-файла по расширению | HTTP-политика сервера ISA 2004 позволяет разрешать все расширения файлов, все, кроме определенной группы, или же блокировать все расширения, за исключением определенной группы. |
| HTTP-фильтрация всех клиентских соединений с сервером ISA 2004 | Сервер ISA 2000 мог блокировать содержимое на основании MIME-типов для соединений web-прокси клиента по протоколу HTTP или на основании расширений файлов для соединений по протоколу. В сервере ISA 2004 политика HTTP позволяет контролировать HTTP-доступ всех соединений с сервером ISA 2004. |
| Возможность блокирования содержимого HTTP по ключевым словам или строкам (подписям) | HTTP-проверка в сервере ISA 2004 позволяет создавать “подписи HTTP”, которые можно сравнивать с URL запроса, заголовком запроса, телом запроса, заголовками ответа и телом ответа. Так вы можете четко контролировать содержимое, к которым получает внутренний или внешний пользователь через сервер ISA 2004. |
| Возможность контроля разрешенных методов HTTP | Вы можете контролировать разрешенные метода HTTP с помощью установки контроля доступа пользователя к различным методам. Например, вы можете ограничить использование метода HTTP POST для предотвращения возможности отсылки данных этим методом на web-сайты. |
| Возможность блокировки нешифрованных соединений с Exchange RPC от клиентов Outlook MAPI | Правила безопасной публикации Exchange-сервера позволяют удаленным пользователям соединяться с Exchange-сервером с помощью полнофункционального клиента Outlook MAPI через Интернет. Однако, клиенты Outlook должны быть настроены на использование безопасных соединений RPC для того, чтобы соединения шифровались. Политика RPC сервера ISA 2004 позволяет блокировать все нешифрованные соединения клиентов Outlook MAPI. |
| Политики FTP | Политики FTP в сервере ISA 2004 могут быть настроены на разрешение пользователям закачивать и скачивать данные по протоколу FTP. Можно ограничить использование FTP только скачиванием. |
| Переводчик ссылок | В некоторые опубликованные web-сайты могут включаться ссылки на внутренние имена компьютеров. Поскольку внешним клиентам доступны только ISA-сервер и внешнее, а не внутреннее, именное пространство, данные ссылки выдают ошибки. В сервере ISA 2004 существует функция перевода ссылок, которая позволяет создавать словарь определений и привязывать внутренние имена компьютеров к именам, доступным снаружи. |
| Просмотр записей журналов в режиме реального времени | Сервер ISA 2004 позволяет просматривать журналы брандмауэра, web-прокси и сортировщика сообщений SMTP (SMTP Message Screener) в режиме реального времени. Консоль просмотра показывает записи журналов в том виде, в каком они находятся в файле журнала сервера. |
| Встроенная возможность запроса к журналу | Вы можете составлять запросы к файлам журналов с помощью встроенной функции запросов. Запрашивать можно информацию, содержащуюся в любом полу журнала. Можно ограничить запрос временными рамками. Результат запроса отобразится в консоли сервера ISA 2004 и может быть скопирован в буфер обмена и вставлен в любое другое приложение для детального анализа. |
| Проверка связи | На постоянной основе можно проверять связь с определенным компьютером или адресом URL с помощью функции Connection Verifiers (Проверка связи). Можно настроить метод определения связи: команда «ping», соединение с определенным портом по TCP или HTTP-метод GET. Соединение для проверки выбирается путем указания IP-адреса, имени компьютера или URL. |
| Публикация отчетов | Функцию создания отчетов в сервере ISA 2004 настраивается на автоматическое сохранение копии отчета в локальную или общую сетевую папку. Эту папку можно присоединить к виртуальным папкам web-сайта для того, чтобы остальные пользователи могли просмотреть отчет. Отчеты, не настроенные на автоматическую публикацию после создания, можно публиковать и вручную. |
| Уведомление по электронной почте о создании отчета | Функцию создания отчетов можно настроить на отсылку сообщения электронной почты после завершения создания отчета. |
| Возможность настройки времени для создания сводки по журналам | В сервере ISA 2000 время создания сводок по журналам было жестко установлено на 0:30. Отчеты основываются на информации, содержащейся в сводках журналов. В ISA 2004 вы легко можете настроить время создания сводок. Определив время создания отчетов, вы сможете повысить гибкость системы. |
| Возможность запись журналов в базу данных MSDE | Теперь по умолчанию журналы сохраняются в формате MSDE. Запись журналов в локальную базу данных увеличивает скорость выполнения запросов и гибкость. |
| Возможность импорта и экспорта настроек | В ISA-сервере представлена возможность импорта и экспорта информации о настройках. Данную функцию можно использовать для сохранения параметров конфигурации в XML-файл, а затем импортировать данные из файла на другой сервер. |
| Мастер передачи полномочий для роли «Администратор брандмауэра» | Мастер передачи полномочий для роли «Администратор брандмауэра» помогает назначать администраторами пользователей или группы пользователей. Данная роль предоставляет пользователям администраторские права для работы с определенными службами сервера ISA 2006. |
Таблица 1
Все эти новые возможности добавляют серверу функциональность и гибкость по сравнению с тем, что было в сервере ISA 2000. Все они также включены и в сервер ISA 2006. Но что же они значат?
- Поддержка нескольких сетей значительно увеличивает масштабируемость и гибкость сервера ISA 2004, а также дает возможность осуществления сложного контроля над применением различных уровней безопасности и доступа к различным сетям.
- Новые возможности для VPN делают виртуальные частные сети, работающие через ISA-сервер, более легкими в использовании и более защищенными. Публикация PPTP VPN серверов – крайне важна для предприятий, которые, по некоторым причинам, не хотят использовать для всех VPN-соединений протокол L2TP/IPSec. VPN-карантин усиливает защиту сети, разрешая устанавливать критерии для VPN-клиентов, которым разрешен доступ в корпоративную сеть. Поддержка туннельного режима протокола IPSec значительно повышает возможность взаимодействия сервера ISA 2004 с большим количеством VPN-шлюзов сторонних производителей.
- Новые возможности брандмауэра (и улучшение тех функций, которые были и в сервере ISA 2000) предоставляют более жесткий контроль над тем, что находится и что не находится в сети. Эти улучшения позволяют серверу ISA 2004 конкурировать с такими производителями брандмауэров, как Check Point и PIX/ASA.
- Новые функции Web-кэширования и Web-прокси облегчают публикацию web-сайтов, предоставляя администраторам ISA-серверов больший контроль над кэшем, а также увеличивая безопасность всех опубликованных web-сайтов.
- Новые функции удаленного доступа повышают удобство и простоту использования Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync (EAS), служб терминала и Outlook RPC/HTTP. Возможность блокирования нешифрованных соединений Exchange RPC значительно увеличивает безопасность защищенных сценариев публикации Exchange RPC. В сервере ISA 2000 при включенной функции Exchange RPC нельзя было делать различие между шифрованными и нешифрованными соединениями: все соединения были разрешены. Возможность блокирования нешифрованных соединений была включена в пакет обновлений 1 для сервера ISA 2000, однако, для ее включения требовалось вносить изменения в реестр. В сервере ISA 2004 данная задача свелась к простой установке флажка.
- Новые функции проверки на уровне приложений расширяют уровень контроля администраторов над содержимым web-сайтов и почтовых сообщений, облегчают выбор блокируемых элементов, и гарантируют, что пользователи получат доступ к, необходимым ресурсам. Например, блокирование подписи можно использовать в качестве механизма контроля спама при нахождении ключевого слова или строки в сообщении. Можно использовать эти функции и в качестве антивирусного средства и средства распознавания распространенных SMTP-атак. К сожалению, служба сортировщика сообщений SMTP (SMTP Message Screener) исключена из сервера ISA Server 2006, поскольку было решено, что покупатели предпочтут использовать Antigen для контроля спама и вирусов. Однако в настоящий момент Antigen для SMTP не встроен в линейку продуктов ISA Server 2006.
- Новые возможности мониторинга и отчетов крайне важны для предприятия, которому необходимо предоставлять детальную информацию для доказательства соответствия государственным и промышленным стандартам безопасности. Возможность импорта и экспорта информации о конфигурации позволяет легко создавать резервные копии настроек или же устанавливать несколько серверов с одинаковой конфигурацией.
- Перевод ссылок важен при публикации сайтов, содержащих ссылки на внутренние ресурсы (например, сайты SharePoint, которые должны быть доступны для внешних пользователей). Эта возможность была включена еще в пакет обновлений 1 для сервера ISA 2000, но в ISA 2004 пользоваться ей стало гораздо проще. В сервере ISA 2006 данная функция еще более улучшилась, особенно в том, что касается работы сайтов сервера SharePoint Portal
- Новые мастера, такие как мастер делегирования полномочий, мастер публикации OWA и мастер публикации безопасных web-сайтов, помогут вам проще и быстрее выполнять обычные задания, а также защитят от неправильных настроек (которые являются одной из основных причин отказа брандмауэров). В сервере ISA 2006 мастера web-публикаций подверглись дальнейшим улучшениям по сравнению с сервером ISA 2004.
Предоставляя дополнительную защиту приложениям Microsoft, сервер ISA 2004 защищает критически важные активы пользователей и помогает организациям соответствовать всем требованиям безопасности коммуникаций. Помимо этого, сервер ISA 2004 предоставляет защиту самым распространенным сценариям работы, таким как совместная работа, удаленный доступ и публикация серверов. В сервере ISA 2006 все эти функции не только присутствуют: они были значительно улучшены, о чем мы и поговорим в следующих разделах.
Улучшения в ISA 2004
При разработке пользовательского интерфейса сервера ISA 2004 было решено отказаться от консоли управления сервера ISA 2000. Новый интерфейс стал более интуитивным и функциональным; наличие трех панелей и вкладок позволяет с легкостью настраивать и управлять ISA-сервером.
В новом интерфейсе все задачи управления находятся под рукой, нет необходимости для поиска нужной опции копаться в файлах помощи или пробираться сквозь дебри диалоговых окон.
Чем сервер ISA 2006 лучше сервера ISA 2000/2004
Многие администраторы ISA-серверов, работающих с серверами ISA 2000 или 2004, захотят узнать, зачем нужно переходить на сервер ISA 2006. В то время как необходимость перехода с сервера ISA 2000 на ISA 2004 была достаточно понятна из-за серьезных изменений и улучшений, изменения в ISA2006 по сравнению с ISA2004 скорее инкрементны и предоставляют более гибкий переход, чем обновление ISA2000 до ISA2004.
Для среднего администратора ISA-сервера большинство новых функций и возможностей ISA2006 с первого взгляда кажутся гораздо сложнее для понимания по сравнению с ISA2004. Пользовательский интерфейс остался прежним, сетевая модель прежняя, не произошло изменений и в том, как ISA-сервер производит контроль исходящего доступа, нет изменений и в основном наборе ключевых сетевых и обычных для брандмауэра функций.
Большинство улучшений сервера ISA 2006 касаются безопасной web-публикации. Информационное письмо от Microsoft сообщает о трех основных областях, подвергшихся изменениям
- Безопасная публикация приложений
- Шлюз для филиалов
- Защита Web-доступа
Лица, принимающие решения в технических вопросах сразу обнаружат, что, по сравнению с сервером ISA 2004 SP2, в сервере ISA 2006 относительно небольшим изменениям подверглись контроль и защита исходящего доступа, а также сценарии использования шлюза для филиала. Однако, они обратят внимание на то, что безопасная публикация приложений получила значительные улучшения. Если быть точным, то речь идет о безопасной web-публикации.
Еще одна значительная разница между серверами ISA 2006 и ISA 2004 состоит в том, что в ISA 2006 гораздо более устойчивый механизм отслеживания червей и других типов атак переполнения. Некоторые серверы ISA 2004 испытывали атаки червей и переполнения DNS (обратите внимание, что атаки такого типа никогда не нарушали работу ISA-сервера, а лишь оказывали влияние на его производительность). В ISA 2006 встроен механизм защиты от переполнения нестраничного буфера памяти, поэтому даже при самых тяжелых атаках червей типа отказа от обслуживания или переполнения DNS, ISA 2006 будет работать, в то время как серверу ISA 2004 могла бы потребоваться перезагрузка.
Мои рекомендации по переходу с ISA 2004 на ISA 2006 следующие:
- Защита сервера ISA 2006 от червей и переполнения DNS увеличит период работоспособности и стабильность системы. Обновления проверки обычных пакетов и работа функций IDS/IPS в ISA 2006 стоят того, чтобы производить переход.
- Значительным улучшениям подверглась безопасность удаленных соединений с OWA, OMA, Exchange ActiveSync и RPC/HTTP Outlook. Вы сможете легко настраивать регистрацию и смену пароля с помощью форм, а также автоматически оповещать пользователей о том, сколько дней у них осталось до следующей смены пароля
- Администраторы ISA-сервера при публикации серверов SharePoint Portal на ISA2004 могли испытывать затруднения и, помимо этого, получали не всю возможную функциональность этих серверов. С помощью ISA2006 вы сможете получить полную функциональность при публикации сервера SharePoint Portal, поскольку одной из задач, ставившихся перед ISA2006, был безопасный удаленный доступ к серверам SharePoint Portal
- Для всех администраторов ISA-сервера, публикующих web-сайты, включая серверы Exchange и SharePoint Portal, появилась возможность использования аутентификации с помощью форм с любым типом сценарияweb-публикации, а редактирование формы регистрации теперь полностью поддерживается Microsoft
- Для всех администраторов ISA-сервера, публикующих безопасные сайты, требующие предварительной аутентификации на ISA-сервере, были разработаны дополнительные механизмы аутентификации, которые включают в себя аутентификацию LDAP и одноразовый пароль RADIUS. Оба этих метода аутентификации позволяют убрать ISA-сервер, на котором публикуются web-сайты, из домена Active Directory, однако он все рано сможет аутентифицировать пользователей домена. Метод одноразового пароля RADIUS предоставляет администраторам ISA-сервера еще один способ двухфакторной аутентификации и используется в том случает, если администраторы не хотят использовать SecurID.
- Любой администратор ISA-сервера, заинтересованный в публикации web-групп, получит множество преимуществ от перехода с ISA 2004 на ISA 2006. Особенно порадуются те, кто использует внешние серверы Exchange и желает установить два и более дополнительных внешних серверов Exchange, настроенных как отказоустойчивая избыточная web-группа. Функция балансировки нагрузки web-группы, использующаяся в ISA 2006, устраняет необходимость создания SecureNET-клиентов внешних Exchange-серверов, что требовалось ранее при использовании балансировки нагрузки на массиве внешних Exchange-серверов. В действительности, функция балансировки нагрузки web-группы полностью устраняет необходимость использования балансировки нагрузки на массиве внешних серверов Exchange или аппаратного устройства балансировки нагрузки от стороннего производителя. Вы можете полностью отказаться от аппаратного устройства балансировки нагрузки от стороннего производителя, за который вам придется к тому же и заплатить, и воспользоваться более высокой безопасностью, лучшей производительностью и удобным управлением сессиями.
Хотя с первого взгляда может показаться, что набор изменений не такой уж большой, все улучшения, внедренные в сервер ISA 2006, крайне полезны для компаний, публикующих web-сайты. Вы можете подумать, что это является не самой распространенной задачей для ISA-сервера, но, насколько я знаю, в большинстве случаев ISA-сервер используется как обратный прокси-сервер, а это именно то, на что и нацелены все улучшения, внедренные разработчиками ISA-сервера.
Новое и улучшенное в сервере ISA 2006, а также решения по web-прокси и кэшированию
В таблице показан неполный список новых и обновленных функций, включенных в сервер ISA 2006.
| Новое и улучшенное в сервере ISA 2006 | |
|---|---|
| Новая возможность | Назначение |
| Балансировка нагрузки web-групп НОВОЕ |
Балансировка нагрузки web-групп позволяет администраторам ISA-сервера публиковать группу web-серверов, на которых хранится однотипная информация или же они выполняют похожие роли. ISA-сервер предоставляет возможность использования как балансировку нагрузки, так и обработку отказа и восстановление после отказа для опубликованной web-группы. NLB на массиве ISA-серверов или на web-группе не требуется. Вы убедитесь в полезности данной функции, поскольку теперь вам не придется включать NLB на группе (и членам группы теперь не нужно быть клиентами SecureNET), а также не придется тратиться на покупку дорогого внешнего устройства балансировки нагрузки, такого как F5. |
| Поддержка аутентификации с помощью форм для всех правил web-публикации НОВОЕ |
В ISA 2004 аутентификация с помощью форм поддерживалась только для правил web-публикации Outlook Web Access. В сервере ISA 2006 данная поддержка расширена, и теперь вы можете использовать аутентификацию с помощью форм для всех сайтов, опубликованных с помощью правил web-публикации. |
| Принудительное делегирование Kerberos НОВОЕ |
В ISA 2004 аутентификация с помощью пользовательских сертификатов могла выполняться на ISA-сервере, но данные пользователя не могли быть переданы опубликованному web-серверу, и пользователи получали большое количество сообщений аутентификации. В ISA 2006 пользователь может пройти предварительную аутентификацию на ISA-сервере, а затем его данные передаются в виде учетных данных Kerberos на опубликованные web-серверы, что устраняет появление нескольких окон аутентификации и повышает квалификацию пользователя. |
| Поддержка расширенного делегирования аутентификации | В ISA 2004 была поддержка только базовой аутентификации. Сервер ISA 2006 расширяет возможности делегирования аутентификации, разрешая передавать учетные данные в виде Kerberos, встроенной аутентификации, Negotiate или базовой аутентификации. Таким образом увеличивается гибкость внедрения ISA-серверов, поскольку многие опубликованные web-серверы не поддерживают базовую аутентификацию. Помимо этого, повышается безопасность сценариев web-публикации, в которых SSL-сопряжение не является возможным, а также устраняется передача основных учетных данных в явном виде. |
| Разрешение имен отдельно от имени CONNECT правил web-публикации НОВОЕ |
В сервере ISA 2004 для разрешения имен и отсылки опубликованному серверу имени CONNECT использовалось одно и то же имя. Создавалась ситуация, при которой администратор ISA-сервера должен был создавать разделенную структуру DNS или же вносить в файл HOSTS на ISA-сервере запись о пользователе для разрешения имени CONNECT в IP-адрес опубликованного сервера внутренней сети. В сервере ISA 2006 данная проблема решена: вы можете указывать имя или IP-адрес отдельно от имени CONNECT, которое используется правилом web-публикации. |
| Улучшенные мастер правил web-публикации Exchange-сервера | Мастер правил web-публикации Exchange-сервера в ISA 2006 подвергся улучшениям, которые позволяют публиковать любые версии Exchange-сервера от 5.5 до 2007 легче, чем это было ранее. |
| Встроенная поддержка для изменения пароля в форме регистрации НОВОЕ |
В сервере ISA 2004 практически не было никакой поддержки для разрешения пользователям менять свой пароль на форме регистрации при использовании аутентификации с помощью форм. Теперь в сервер ISA 2006 встроена возможность изменения пароля пользователем прямо в форме регистрации. Для этого не требуется никаких специальных настроек ни на ISA-сервере, ни на опубликованном OWA-сервере |
| Встроенная поддержка напоминания о смене пароля в форме регистрации НОВОЕ |
В сервере ISA 2004 не было встроенной функции напоминания пользователям о дате истечения срока действия пароля. В ISA 2006 данная проблема решена. Вы можете настраивать предупреждения, указав срок, через который у пользователя истекает срок действия пароля. |
| Улучшенный мастер публикации почтового сервера | В ISA 2004 для публикации web и не-web служб Exchange-сервера использовался один мастер публикации почтового сервера. В сервере ISA 2006 web и не-web службы разделены на два отдельных мастера, так что теперь вам будет проще публиковать не-web протоколы почтового сервера Exchange. |
| Мастер публикации сервера SharePoint Portal НОВОЕ |
В ISA2004 была возможность публикации серверов SharePoint Portal, но сделать это было сложно, к тому же из-за проблем с переводом ссылок доступными из Интернета становились не все функции. Сервер ISA 2006 решает эту проблему расширенной поддержкой публикации серверов SharePoint Portal Server и словарем перевода ссылок, в связи с чем публикация серверов SharePoint Portal становится полноценной. |
| Единственная регистрация НОВОЕ |
Одна из самых необходимых функций, которая не нашла свое отражение в ISA 2004, была единственная регистрация. При использовании ISA 2004 пользователям приходилось заново проходить аутентификацию даже в том случае, если они соединялись с web-сервером из того же домена, что и оригинальный web-сервер. В ISA 2006 данная проблема решается с помощью единственной регистрации на основе приемника/домена. Если web-серверы входят в один домен и опубликованы с помощью одного web-приемника, пользователям не нужно проходить повторную аутентификацию, а учетные данные берутся из кэша. |
| Поддержка групповых сертификатов для опубликованного web-сервера НОВОЕ |
Сервер ISA 2004 поддерживал групповые сертификаты для web-приемников, но не для опубликованных web-серверов, расположенных за ISA-сервером. В ISA 2006 расширена поддержка групповых сертификатов, и теперь администратор ISA-сервера может использовать их на опубликованном web-сервере. |
| Расширенные ограничения клиентских сертификатов и настраиваемый список доверия сертификатов НОВОЕ |
Расширенные ограничения клиентских сертификатов и настраиваемый список доверия сертификатов – это абсолютно новая функция сервера ISA 2006. Ограничения клиентских сертификатов позволяют вам устанавливать ограничения на сертификаты, предоставляемые пользователями при аутентификации с помощью сертификатов. Ограничения основываются на: - Издателе - Объекте - Расширенном использовании ключа - Расширения� Помимо этого, вы можете установить ограничения по OID (Object ID – идентификатор объекта), предоставляемому сертификатом пользователя Настраиваемый список доверия позволяет устанавливать определенные доверенные центры сертификации для каждого web-приемника. Данный список доверенных центров сертификации отличен от списка доверенных центров сертификации компьютера ISA-сервера. Эта функция позволяет администраторам ISA-сервера ограничивать пользовательские сертификаты, использующиеся для аутентификации на ISA-сервере, только теми, которые выданы определенными центрами сертификации, например такими, как частные центры сертификации компании. Это позволит внедрить аутентификацию с помощью сертификатов как единственный метод аутентификации, чтобы ограничить доступ только корпоративными компьютерами и устройствами типа PDA и коммуникаторов |
| Применение базовой аутентификации для клиентов, не использующих web-браузер НОВОЕ |
Одной из проблем администраторов сервера ISA 2004 была необходимость создания двух приемников, требующих два различных сертификата, для сайтов RPC/HTTP и OWA при включенной аутентификации с помощью форм на web-приемнике OWA. Сервер ISA 2006 определяет строку «user-agent» в запросе пользователя и применяет базовую аутентификацию, если клиент не является web-браузером. Это позволяет публиковать OWA-сайт с включенной аутентификацией с помощью форм и RPC/HTTP-сайт с помощью одного web-приемника. Конечным результатом является то, сайты RPC/HTTP и OWA с аутентификацией с помощью форм могут быть опубликованы с помощью одного внешнего IP-адреса, чего нельзя было сделать в сервере ISA 2004. |
| Расширенный словарь перевода ссылок | Словари перевода ссылок используются для изменения содержимого страниц, возвращаемых внешним пользователям. Данная функция полезна в тех случаях, когда web-приложения используют имя компьютера при ответах, отсылаемых внешним клиентам, т.к. внешние клиенты не могут соединяться с серверами с помощью их внутренних имен. В сервер ISA 2006 встроен расширенный словарь перевода ссылок, который автоматически заполняется на основе ваших установок в правиле web-публикации. Это позволит администраторам ISA-сервера предоставлять внешним пользователям необходимый им необходим доступ к нескольким серверам, опубликованным на ISA-сервере. Например, данная функция позволяет пользователям OWA получать ссылки на сервер SharePoint Portal и автоматически получать доступ по этим ссылкам без необходимости сложной настройки сайта OWA и сервера SharePoint Portal, а также ISA-сервера. |
| Перевод перекрестного массива ссылок НОВОЕ |
Перевод перекрестного массива ссылок позволяет публиковать web-сайты на нескольких массивах и получать словарь перевода ссылок, который будет доступен для всех массивов в одной группе сервера ISA Enterprise Edition. Это значительно упрощает внедрение, поскольку список заполняется автоматически, а ручная перенастройка не нужна. |
| Улучшенная поддержка CARP в сервере ISA 2006 Enterprise Edition | В версии ISA 2004 SP2 в алгоритм CARP были внесены некоторые изменения, которые были перенесены и в сервер ISA 2006. Так что теперь вместо применения исключений CARP к адресам URL, на которых вы не хотите использовать балансировку нагрузки, вы создаете исключения CARP для URL, на которых вы хотите использовать балансировку нагрузки. Это изменение было сделано вместе с другими изменениями, вошедшими в ISA 2004 SP2, в которых вместо использования URL для определения члена массива, обрабатывающего запрос, теперь используется FQDN. Так исключается проблема управления сессиями для соединений, которые могут быть распределены между несколькими членами массива с определенным адресом URL, содержащим такую же страницу или сессию. |
| BITS-кэширование для сайтов Microsoft Update | Функция BITS-кэширование для сайтов Microsoft Update была представлена в ISA 2004 SP2, а затем была перенесена и в сервер ISA 2006. BITS-кэширование значительно увеличивает пропускную способность каналов site-to-site или WAN, освобождая большую пропускную способность для филиалов, которые в ином случае не смогли бы справиться с трафиком обновлений с серверов, расположенных в главном офисе или в Интернете. Серверы главного офиса также получают преимущество от оптимизации пропускной способности, предоставляемой BITS-кэшированием. |
| Поддержка HTTP-сжатия | Поддержка HTTP-сжатия была представлена в ISA 2004 SP2, а затем была перенесена и в сервер ISA 2006. HTTP-сжатие позволяет администраторам ISA-сервера контролировать с каких серверов клиенты запрашивают компрессию и какие серверы могут возвращать сжатые данные. HTTP-сжатие крайне полезно при наличии филиалов, где во главу угла ставится пропускная способность канала связи с главным офисом. |
| Поддержка Diffserv QoS для соединений по протоколу HTTP | Поддержка Diffserv QoS была представлена в ISA 2004 SP2, а затем была перенесена и в сервер ISA 2006. Diffserv – это метод, который используется в сетях с разрешенной функцией Diffserv для распределения приоритетов определенным пакетам. Администраторы ISA-сервера могут использовать Diffserv для определения приоритета пакетов, отправленных к определенным серверам |
| Добавление нескольких в консоли управления ISA-сервера НОВОЕ |
Сервер ISA 2004 поддерживал несколько VIP IP-адресов. Однако, для добавления одного или нескольких VIP администраторам ISA-сервера приходилось производить настройку не в консоли управления, а в свойствах протокола TCP/IP сетевого адаптера. В сервере ISA 2006 данная ситуация улучшена: теперь администраторы могут добавлять VIP-адреса прямо в консоли управления. |
| Мастер соединения филиала НОВОЕ |
При использовании ISA 2004 внедрение ISA-серверов филиалов было достаточно сложным; иногда требовалось создавать VPN-соединение по схеме site-to-site, а затем, после установки VPN-туннеля, пытаться присоединить ISA-сервер филиала к домену. В ISA 2006 устранена данная сложность с помощью мастера внедрения филиала, позволяющего администраторам ISA-сервера создавать простой файл ответов, с помощью которого даже пользователь, не знакомый с техническими тонкостями, сможет включить ISA-сервер на стороне филиала и выполнить данный файл по простой ссылке. |
| Возможность назначения нескольких сертификатов одному web-приемнику НОВОЕ |
В сервере ISA 2004 администраторы могли привязать в web-приемнику только один сертификат. При желании использовать один и тот же web-приемник для публикации нескольких безопасных web-сайтов, это рождало определенные проблемы. Сервер ISA 2006 позволяет привязывать к одному web-приемнику несколько сертификатов и применять один web-приемник в нескольких правилах публикации, что позволяет использовать единственную регистрацию и облегчить работу конечного пользователя. |
| Поддержка настраиваемых форм для аутентификации с помощью форм НОВОЕ |
В ISA 2004 аутентификация с помощью форм поддерживалась только для публикации сайтов OWA, а настройка форм не поддерживалась вообще. Сервер ISA 2006 позволяет использовать аутентификацию с помощью форм для публикации любых сайтов. Поддерживается и настройка форм аутентификации. |
| LDAP-аутентификация для правил web-публикации НОВОЕ |
При работе с сервером ISA 2004, если ISA-сервер не был членом домена, единственным способом предварительной аутентификации пользователей было использование аутентификации RADIUS в правилах web-публикации. Аутентификация RADIUS ограничена, поскольку они не разрешает администраторам усиливать группы Active Directory. Сервер ISA 2006 позволяет использовать LDAP-аутентификацию на ISA-серверах, не являющихся членами домена, и пользоваться преимуществами групп Active Directory. Помимо этого, сервер ISA 2006 может быть настроен на использование нескольких LDAP-серверов для просмотра строк аутентификации и передачи запроса на необходимый LDAP-сервер (контроллер домена Active Directory). |
| Одноразовые пароли RADIUS (One-Time Passwords – OTP) для правил web-публикации НОВОЕ |
Еще одним доступным методом аутентификации не-членов домена в правилах web-публикации стали одноразовые пароли RADIUS (One-Time passwords – OTP). RADIUS OTP позволяет пользователям проходить аутентификацию с помощью пароля, который действителен только один раз и не может быть использован повторно. |
| Улучшенное управление cookie | Сервер ISA 2004 не предоставлял администраторам приемлемый метод управления cookie на компьютерах клиентов, соединяющихся с опубликованными web-ресурсами. Сервер ISA 2006, дает администраторам возможность контроля утвержденных cookie и настраиваемое кэширование учетных данных. |
| Расширенные настройки уменьшения переполнения | В сервер ISA 2004 была включена функция основных настроек уменьшения переполнения, помогавшая защищать сеть, с которой был соединен ISA-сервер, а также и сам ISA-сервер. В сервере ISA 2006 используется тот же самый механизм защиты от переполнения, который помогает при борьбе против многих видов атак |
| Программа изучения опыта покупателя НОВОЕ |
Программа изучения опыта покупателя представляет собой механизм, с помощью которого компания Microsoft может получать информацию о методах внедрения и использования ISA-сервера. Никакая персональная информация в Microsoft не отсылается. Данная информация помогает компании Microsoft понять, как нужно улучшать данный продукт в следующих пакетах обновлений и версиях. Первый раз такая программа была представлена в сервере ISA 2004 SP2. |
| Поддержка опубликованных серверов хранения настроек НОВОЕ |
Сервер ISA 2006 позволяет администраторам соединяться с серверами хранения настроек главного офиса даже при отсутствии VPN-соединения между филиалом и главным офисом. Вы можете публиковать сервер хранения настроек главного офиса и настроить ISA-сервер филиала на соединение с опубликованным сервером хранения настроек через Интернет на случай, если VPN-соединение будет недоступно. |
| Расширенная поддержка SSL-ускорителей в сценариях с балансировкой нагрузки НОВОЕ |
Если сбалансированный массив публикует безопасные SSL Web-сайты, то на всех членах массива должен быть установлен один и тот же сертификат web-сайта, разрешающий входящие соединения к опубликованному web-сайту. При использовании карт SSL-ускорителей могут возникать проблемы, поскольку для каждой SSL-карты необходим свой сертификат, отличный от других. Сервер ISA 2006 поддерживает привязку различных сертификатов к каждой карте в массиве для лучшей поддержки SSL-ускорителей. |
| Поддержка исходящего SSL-сопряжения (необходимое дополнение) НОВОЕ |
Хотя данная функция не входит в базовый продукт, администраторы ISA-сервера могут значительно увеличить безопасность сети с помощью дополнения к ISA-серверу под названием ClearTunnel (www.collectivesoftware.com). ClearTunnel позволяет ISA-серверу производить проверку на уровне приложений исходящих SSL-соединений и предотвращать потенциальные угрозы от Интернета, которые могут попасть в сеть по шифрованному SSL-туннелю. Исходящие SSL-соединения являются основной угрозой корпоративной сети, поэтому возможность проверки таких соединений является значительным усилением безопасности сети, которую предоставляет ISA-сервер. |
| Обновленный пакет управление MOM | В сервер ISA 2006 входит обновленный пакет MOM. |
| Улучшенная система оповещения | Сервер ISA 2006 использует те же самые оповещения систем настройки и безопасности, какие были и в ISA 2004, а также несколько новых оповещений, которые помогают администраторам в решении проблем с настройкой, сертификатами, безопасностью и сообщениями об угрозах. Новые оповещения позволят легче и быстрее устранять неисправности. |
| Мастер создания VPN по схеме Site-to-Site и поддержка автоматического файла ответов НОВОЕ |
В сервере ISA 2000 использовался мастер создания VPN по схеме Site-to-Site, который устранял сложности настройки VPN-соединений. Эта функция не была включена в сервер ISA 2004. В сервере ISA 2006 она снова появилась, и с ее помощью создание VPN-соединений станет легче, чем раньше. Помимо этого, для упрощения создания VPN по схеме Site-to-Site, мастер дает администратору ISA-сервера главного офиса создавать простой файл ответов для пользователей филиала, который они будут использовать для автоматического соединения с ISA-сервера филиала с ISA-сервером главного офиса корпоративной сети. |
| Запись в журнал сервера, ответственного за соединение НОВОЕ |
Одной из частых жалоб администраторов ISA-сервера была невозможность записи в журнал сервера, ответственного за соединение к серверам, опубликованным с помощью правил web-публикации. В сервере ISA 2006 есть возможность добавления сервера в файлы журнала web-прокси. |
Таблица 2
Заключение
Как вы видите, в ISA 2006 включено гораздо больше нового, чем может показаться с первого взгляда. Хотя сервер ISA 2006 не имеет таких больших различий с предыдущим продуктом, как было в случае перехода с сервера ISA 2000, я думаю, что переходить на ISA 2006 стоит хотя бы по причинам увеличенной функциональности и соответствия ожиданиям пользователей, а также из-за увеличенного времени работоспособности сервера и его надежности.