隨著網絡技術的發展和不斷進步,在給我們提供便利的同時,來自網絡的威脅也在增加。防火墻作為內部網絡和外部公網之間的第壹道屏障,是第壹個被人們重視的網絡安全產品。然而,傳統的防火墻位於網絡安全的網絡層和傳輸層,其弱點也很明顯:它只能根據包頭的源地址、目的地址、端口號和協議類型來決定是否允許數據包通過,因此無法完全滿足各種安全需求。然而,隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術逐漸走向網絡層以外的其他安全層面,不僅完成傳統防火墻的過濾任務,還為各種網絡應用提供相應的安全服務。微軟的互聯網安全和加速(ISA)服務器就是這樣壹個新的防火墻產品。
ISA Server是壹種先進的應用層防火墻、VPN和Web cache解決方案,可以幫助客戶在現有IT架構的基礎上輕松實現網絡安全性和性能的最大化。ISA服務器具有以下優點。
首先,輕松集成現有IT資源,最大限度地提高性能和安全性。
作為Microsoft Windows Server系統的壹員,ISA Server可以很容易地與其他Microsoft server產品集成。
目前大多數企業通過在防火墻上配置VPN撥入,可以在員工不在辦公室的時候訪問公司內部的應用服務器。這種做法有很大的缺點和缺陷。首先,防火墻管理員需要為每個使用VPN撥入的員工在防火墻上開壹個驗證賬號,並在每個員工的客戶端上正確設置VPN。
其次,當直接從互聯網訪問這些應用程序時,攻擊代碼可能隱藏在安全套接字層(SSL)連接中。
第三,當員工位於遠程位置時,他們可能在防火墻後面,這將阻止客戶端訪問VPN連接。
使用ISA服務器可以很好地解決上述問題。
ISA服務器支持LDAP身份驗證,並且可以在工作組模式下工作,因此不再需要為AD目錄服務通信打開所有必要的端口,只需打開LDAP或域控制器的全局編錄端口。當用戶請求身份驗證時,ISA服務器將直接進行身份驗證,只有通過身份驗證的用戶發送的請求才會被轉發到intranet。
ISA Server內置了多個應用發布規則向導,幫助用戶簡單快捷地發布OWA、RPC over HTTP和共享點站點,實現單點登錄(SSO)。ISA服務器還具有良好的可擴展性。作為軟件防火墻,ISA Server可以安裝在Windows 2000 Server(SP4)和Windows Server 2003上,用戶可以使用免費的ISA Server SDK工具來擴展應用層過濾和訪問控制。
第二,應用層過濾。
ISA服務器提供了大量的應用層篩選器。這些篩選器可以保護ISA服務器免受針對特定應用層協議和服務的弱點和漏洞的攻擊。
第三,VPN支持。
ISA服務器支持下列VPN協議:PPTP、L2TP/IPSec。ISA服務器支持VPN客戶端訪問和站點到站點VPN連接。
VPN客戶端訪問模式允許配置為VPN客戶端的單臺計算機連接到ISA並訪問企業內部網絡的資源。VPN客戶端可以使用PPTP和L2TP/IPSec2協議。同時,ISA服務器還支持SecureID、RADIUS、EAP/TLS等多種高級身份驗證機制。
ISA Server的VPN與其他防火墻的VPN相比有很大的優勢。與許多制造商的防火墻不同,它們允許VPN客戶端完全訪問企業的內部網絡,ISA服務器可以為每個用戶的VPN連接建立防火墻訪問控制策略。當用戶與ISA服務器建立VPN連接時,他只能訪問他有權訪問的網絡資源,其他資源將不可用。
ISA Server與其他防火墻相比的另壹大優勢是VPN禁區。VPN隔離功能會在允許客戶端訪問企業網絡之前提前檢查,只有當VPN客戶端必須滿足預設的要求時,才能訪問企業內部網絡。
第四,緩存Cache。
除了防火墻和VPN功能之外,ISA服務器還可以充當Web代理服務器。它可以用作內部和外部訪問的緩存服務器。
當ISA服務器內部網絡中的用戶訪問Internet上的網站時,用戶請求的網站內容將存儲在ISA的Web緩存中。當下壹個用戶請求訪問相同的內容時,將直接從ISA服務器的緩存中讀取相關內容,而無需再次訪問該網站。這可以減少互聯網連接的數量和網絡帶寬的使用。同時,對於用戶來說,也可以提高訪問速度,提高員工的滿意度和效率。
當Internet上的用戶訪問由ISA服務器發布規則發布的網站時,ISA服務器將代替Internet用戶訪問內部網站,然後將所請求的內容傳遞給Internet用戶,並且ISA服務器還會將所請求的內容存儲在自己的緩存中。當另壹個用戶請求相同的站點內容時,他將直接從ISA服務器的緩存中讀取該內容。ISA Server的這壹功能不僅可以減少內部網絡流量,還可以確保網站始終在線。當Web服務器因日常維護、硬件或軟件故障而離線時,ISA Server的反向緩存功能將使其能夠很好地發揮Web服務器的作用,因為網站的內容已經存儲在ISA Server上,將由ISA Server提供,從而避免了用戶無法訪問網站帶來的負面影響。
第五,日誌報告。
ISA服務器提供詳細的日誌報告。用戶可以根據需要設置報告生成周期(天、周、月、年),並可以將報告以電子郵件的形式發送給管理員。報告內容包括五個方面:總結、Web使用情況、應用程序使用情況、通信和使用情況、安全。每個方面又分為不同的子類別,並以圖表或數據表的形式呈現。讓管理員壹目了然。
說了這麽多ISA防火墻的優點,再來說說它的缺點:
Isa只是壹個搭建在win平臺上的軟件應用系統,效率肯定低很多。雖然Isa server的配置可能比硬件高很多,但工作能力肯定不如前者。Isa只是加了壹臺有壹些防火墻功能的pc,把很多東西整合在壹起,取名“方便管理”,所有的功能都是隱藏的。誰也不知道他是怎麽實現具體功能的,策略制定的靈活性也不夠。pc架構本身存在缺陷,這是被攻擊的突破口之壹。硬防火至少不用像pc壹樣考慮兼容性和即插即用的問題,更安全。另外在軟件方面,硬防火的軟硬件設計在壹起,效率要高很多。