特性
Microsoft Internet Security and Acceleration (ISA) Server 2004 是一种高级的应用层防火墙、虚拟专用网(VPN)和 Web 缓存解决方案,通过改善网络的安全和性能,它可以使消费者现有的IT投资最佳化
新增特性
ISA Server 2004 包括许多新功能和增强功能,它尤其适合于运行 Microsoft Windows Server 2003 的系统。这些新功能包括:
| • | 支持多个网络 |
| • | 支持企业网络(仅限于企业版) |
| • | 带有阵列策略的企业策略灵活集成(仅限于企业版) |
| • | 备份为.xml 文件的增强的策略备份 |
| • | 增强的 VPN 支持 |
| • | VPN隔离功能 |
| • | 创建自定义防火墙用户组的能力 |
| • | 更广泛的协议支持 |
| • | 自定义的协议定义 |
| • | Outlook Web 存取发布向导 |
| • | 简化的新用户界面 |
| • | 增强的Web 发布 |
| • | 对 FTP 上传/下载策略的增强支持 |
| • | 对服务器发布规则的端口重定向 |
| • | 用于集中对象存储的增强缓冲规则 |
| • | Web 发布规则的路径映射 |
| • | 对 Web 代理客户端身份验证的 RADIUS 支持 |
| • | 基本身份验证的委派 |
| • | SecurID 身份验证 |
| • | 防火墙生成的窗体(基于窗体的身份验证) |
| • | 增强的 SMTP 消息筛选器 |
| • | 增强的 HTTP 过滤 |
| • | 链接转换 |
| • | 增强的监视和报告 |
| • | 对高可用性防火墙网络负载均衡(NLB)的集成支持(仅限于企业版) |
| • | 用于防火墙策略存储的活动目录应用模式(ADAM)(仅限于企业版) |
| • | 对包含成百个防火墙的多重阵列的集中管理、监视和报告(仅用于阵列的企业版) |
特性一瞥
下表显示了 ISA Server 2004 标准版和企业版提供的主要功能。为比较每个版本的特性,请访问 ISA Server 2004 主页上的标准版和企业版对照 网页。
| 企业防火墙安全特性说明 | |||||||
| 特性 | 描述 | ||||||
多层防火墙安全 | 企业可以使用数据包、链路和应用程序级别的链路过滤最大限度地增强安全性:
| ||||||
状态检查 | ISA Server 2004 以动态、智能化的方式对通过防火墙的程序执行状态包过滤(状态包检查)和应用程序层状态检查。此项检查确保了通信的完整性并防止由入侵者、黑客、蠕虫、病毒和可疑命令字符串引起的安全漏洞。在应用层协议和连接状态的上下文中都进行状态检查。 | ||||||
智能应用程序过滤 | 智能应用程序过滤通过使用应用程序、命令和数据层过滤器控制应用程序特定通信,ISA Server 2004 已经超越了基本的应用程序过滤。通过对 VPN、HTTP、FTP、 SMTP、POP3、 DNS、 H.323 会议、流媒体和RPC通信进行智能过滤,ISA Server 可以根据通信的内容来接受、拒绝、重定向和修改通信。 | ||||||
安全的服务器发布 | 安全的服务器发布有助于保护Web服务器、电子邮件服务器和电子商务应用程序免遭外部攻击。ISA Server 2004 可以通过模拟已发布的服务器来添加一个安全层。Web 发布规则通过允许您指定可以访问的计算机来保护内部 Web 服务器。服务器发布规则保护内部服务器免遭外部用户的不可靠访问。智能应用程序过滤保护所有已发布的服务器免遭外部攻击。 | ||||||
入侵检测和入侵阻止 | 使用集成的入侵检测功能(基于 Internet 安全系统的技术),ISA Server 2004 可以在检测到网络入侵尝试(如端口扫描、WinNuke 或 Ping 失败)时生成警报并执行操作。 | ||||||
集成虚拟专用网络 | 通过将其服务与 Windows Server 2003 和 Windows 2000 Server 的服务集成在一起,ISA Server 2004 使您能够提供基于标准的安全远程访问,以将分支机构和远程用户连接到企业网络。您可以将 ISA Server 防火墙策略应用到VPN连接,以获得对VPN用户可以访问的资源和协议的精确控制。 | ||||||
防火墙透明度 | 通过用全球有效的IP地址替换内部IP地址,SecureNAT 为所有的IP客户端提供了透明的防火墙访问 ISA Server 计算机和保护,并且无需客户端软件或配置。成熟的应用层过滤器包括为 SecureNAT 客户端提供复杂协议支持。 | ||||||
强大的的用户身份验证 | ISA Server 2004 支持通过集成的 Windows 身份验证(Windows NT/LAN 管理器和 Kerberos ),对其防火墙和Web代理客户端支持强大的用户身份验证。对于 Web 代理客户端,本产品支持客户端证书以及摘要式身份验证、基本身份验证、基于窗体的身份验证以及匿名身份验证。ISA Server 2004 企业版可以根据防火墙或活动目录上的本地用户数据库对用户进行身份验证,也可以使用 RADIUS 对任何适用于 RADIUS 目录用户进行身份验证。 | ||||||
SSL 到 SSL 的桥接 | 对于需要经过身份验证和加密的客户端访问的 Web 服务器,ISA Server 2004可以使用 SSL 到 SSL 的桥接提供端对端的安全性和应用程序层过滤。与大多数防火墙不同,ISA Server 2004 防火墙可以在加密数据到达Web服务器之前对其进行检查。防火墙将 SSL 流解密,执行状态检查,然后重新加密数据并将其转发到已发布的 Web 服务器。 | ||||||
高可用性(仅限于企业版) | 您可以使用 ISA Server 集成 Windows NLB来为 ISA Server 阵列配置和管理高可用性。NLB 允许在线阵列成员显式地接管阵列的无用成员。集成 NLB 为 NLB 服务提供运行状况监控,并使用内嵌的双向集成功能支持所有的协议 。ISA Server 集成双向结合支持多个网络连接到阵列或穿越阵列。 | ||||||
| Web 缓存服务器 | |
| 特性 | 描述 |
高性能 Web 缓存 | ISA Server 2004 使用快速的 RAM 缓存和优化的磁盘缓存来增强访问 Internet Web 服务器的内部客户端和访问企业Web服务器的外部 Internet 用户的 Web 性能。 |
可计划的缓存 | 您可以按照定义的计划将整个 Web 站点预加载到缓存中。计划下载可以确保为每个用户提供最新的缓存内容,同时使用户可以使用离线 Web 服务器上的内容。 |
使用 CARP 增强的 Web 性能(仅限于企业级) | ISA Server 支持缓存阵列路由协议 (CARP)。CARP 通过为 Web 代理浏览器连接提供负载平衡和透明错误恢复来增强 Web 性能。CARP 有效地管理存储,并根据一个成熟的缓存规则来为 Web 缓存服务器阵列恢复缓存信息。Web 浏览器的自动配置确保了 IT 人士不必重新配置Web浏览器来支持 CARP。 |
| 直观的防火墙管理 | |
| 特性 | 描述 |
集中防火墙管理 | 您可以通过一个单独的集中管理控制台来管理所有的 ISA Server 计算机。ISA Server管理控制台允许您从一个指定位置配置、管理数以百计的 ISA Server 计算机以及 Web 缓存。 |
企业范围的防火墙策略执行(仅限于企业级) | 您可以创建一套标准的企业防火墙策略,并把它们自动应用于所有的 ISA Server 计算机和阵列中的Web缓存服务器。您可以从一个指定地点向属于多个防火墙阵列的数百个防火墙配置企业策略。ISA Server 企业管理员可以对防火墙策略进行很好的调试和细化控制,使安全策略贯穿整个企业。高级控制包括对防火墙阵列管理器的访问授权策略级别。 |
防火墙策略的集中存储(仅限于企业版) | ISA Server 使用 ADAM 来存储防火墙策略。ADAM存储允许您在本组织内的任何地方放置策略存储容器,为防火墙策略冗余和方便访问提供了加强的灵活性和可用性。 |
基于策略的访问控制 | 您可以根据用户、组、应用程序、来源、目的地、内容和计划控制入站和出站访问。ISA Server 防火墙策略向导指定下列内容:可访问哪些站点和内容;入站和出站通信是否都可以访问特定协议;以及是否允许指定 IP 地址(使用指定的协议和端口)之间的通信。 |
简化的管理 | ISA Server 2004 使您能将整个的防火墙配置复制到XML文件中。该XML文件可以复制到可移动介质或通过安全的电子邮件将其发送给其他的防火墙管理员。您可以轻松地创建一个贯穿企业的标准化防火墙配置,或使用这些配置文件来配置防火墙。您还可以复制选定的组件,如VPN配置或防火墙策略规则到一个 XML 文件中,然后导入它们。 |
活动目录集成 | ISA Server 防火墙可以利用活动目录中存储的用户数据库,对通过防火墙的输入和输出访问进行身份验证。即便 ISA Server 计算机不是活动目录域的成员,活动目录集成仍然可用。 |
图形化任务板和配置向导 | 图形化任务板和配置向导可以帮助您简化常见防火墙任务的配置。例如,向导可以在 ISA Server 2004 计算机之后的网络上发布基于 Exchange Server 的服务器、将防火墙配置为 VPV 服务器或网关或者创建一个新的防火墙规则 |
远程管理 | 您可以通过 Microsoft 管理控制台(MMC)、Windows Server 2003 远程桌面、 Windows 2000 终端服务和命令行脚本以远程方式管理 ISA Server 2004。 |
集中监测 | 您可以使用 ISA Server 集中监测功能,从一个指定位置监测所有阵列中的服务器。任何持有合适认证的防火墙管理员,可以从一个集中管理控制台环境中监测所有阵列中的所有服务器。 |
日志、报告和警报 | ISA Server 2004 以标准数据格式(如分隔的文本文件、Microsoft SQL 数据库或 SQL Server 2000 桌面引擎(MSDE)数据库)提供详细的安全和访问日志。您可以运行关于 Web 使用情况、应用程序使用情况、网络通信模式和安全性的计划内嵌报告,并可以自动将这些报告发布到本地文件夹或远程文件共享。事件驱动的警报可以触发向管理员发送电子邮件、启动和停止防火墙以及根据警报条件执行自动化操作。 |
用户级管理 | 对于ISA Server 2004 Web 代理和防火墙客户端,不仅可以根据 IP 地址还可以根据用户名来限制访问。此基于组和基于用户的访问控制对所有协议的输入和输出访问进行了更精细的控制。 |
| 可扩展的平台 | |
| 特性 | 描述 |
广泛的应用系统支持 | ISA Server 2004 支持许多 Internet 协议,其中包括 HTTP/SSL、FTP、 RDP、 Telnet、 RealAudio、 RealVideo、 IRC、 H.323、 Windows 流媒体、电子邮件以及新闻,此外还包括一百多种 Internet 和企业内部互联网协议。 |
广泛的供应商支持 | 独立供应商提供构建在 ISA Server 2004 上和与之集成的产品,包括病毒检测软件、管理工具以及内容过滤和报告软件。例如,您可以使用第三方过滤器防止将最新的病毒、Java 脚本或 ActiveX 控件下载到受保护的网络上。 |
全面的SDK | ISA Server 2004 包含一个综合 SDK,用于开发基于 ISA Server 防火墙、缓存和管理的工具。该 SDK 提供了完整的应用程序编程接口(API)文档,同时提供了有关构建附加Web过滤器、应用程序过滤器、MMC 嵌入式单元、报告工具、可脚本化的命令以及警报管理等循序渐进的示例。 |