产品概述

ISA Server 2004向企业网络外部雇员提供高度安全的电子邮件访问

Microsoft Internet Security and Acceleration (ISA) Server 2004 为 Microsoft Office Outlook Web 访问 web站点提供了独特级别的保护。利用 ISA Server 2004易于使用的用户界面，企业能够迅速设置 Web 发布规则，强制执行基于窗体的验证。

ISA Server 2004 还通过安全插槽层 (SSL) 解密 (SSL 桥接)用于检查 SSL 通信中是否具有恶意代码，还通过 HTTP 过滤提供对应用程序内容的深入检查，阻止针对电子邮件服务器的攻击。

此外，ISA Server 2004 能够进行用户验证，验证阻止匿名连接邮件服务器。阻止匿名连接可以阻止匿名用户登录的尝试，即一种以内部邮件服务器为目标的主要攻击手段。

ISA Server 2004 利用企业内部现有的多重身份验证，对于无论是远程邮件方案使用的是远程验证拨号服务 (RADIUS) 还是 RSA SecurID，还是 Microsoft 基于窗体的认证，均能提供安全认证和授权。这样，ISA Server 2004 帮助您阻止可能存在危险的匿名请求到达 Microsoft Exchange Server。

基于窗体认证的附件阻止和会话超时功能还提供了进一步的保护。附件阻止功能能够阻止用户使用 Outlook Web 访问打开附件，而会话超时功能，可以防止用户的电子邮件会话无限期保持打开状态而为他人所使用。

在防火墙停止工作的时候，ISA Server 2004 企业版可以帮助用户解决无法接受邮件的问题。ISA Server 和 Microsoft Windows 网络负载均衡(NLB)紧密集成，通过负网络载均衡在线阵列成员接替离线的阵列成员，大大增强了防火墙正常运行时间。此外，集成网络负载均衡的 ISA Server 由于采用了智能负载均衡算法，将阵列中任何 ISA Server 因网络流量过大而瘫痪的几率降到最低，从而提高了用户电子邮件的表现。

图 1 描绘了 ISA Server 2004 如何帮助您为企业网络外部的员工提供安全的电子邮件访问。

图 1，ISA Server 2004 使您安全、轻松地为网络外部的员工提供电子邮件访问

为远程用户提供对企业内部网络信息的安全访问

Internet Security and Acceleration (ISA) Server 2004 使用 web 和服务器发布规则来通过 Internet 安全地发布信息。通过 Internet 向 Internet 用户发布信息，可以将企业网络内部计算机资源提供给外部用户使用。

ISA Server 集成的 Web 和服务器发布向导自动执行普通的安装任务，并且减少了错误配置的风险。另外，发布 Web 服务器的链接转换可以智能地将内部链接转换为公共可访问的 URLs 。 ISA Server 还能够检查 Web 和其他网络通信的合法性，如强制限制有效的 URLs 。 除此之外，ISA Server 可以从现有的密钥鉴别架构中对用户进行审核鉴别，从而允许您阻挡那些潜在的，不希望出现的危险匿名请求到达已经发布的服务器。

使用 ISA Server 2004 企业版，您可以提高远程访问的可用性。ISA Server 完全支持 windows 网络负载均衡（NLB），对已经发布的 Web 服务器和其他发布的网络服务提供了失败转移和负载均衡功能，例如：Microsoft SQL Server，文件传输协议（FTP），以及简单邮件传输协议 (SMTP)。 当ISA Server 2004企业版负载均衡阵列成员不可用的时候，其他阵列成员会取代停止运作的服务器。只有当所有阵列成员全部停止服务的时候访问才会停止。

图 2 描绘了ISA Server 在使公司内部信息在 Internet 上的可用的同时，如何帮助保护您的企业网络。

图 2 描绘了 ISA Server 2004 使您轻松、安全地通过 Internet 发布企业内部信息

可以使您的合作伙伴安全地访问企业网络信息

使用 ISA Server 2004 中的集成 VPN 功能，可以安全地以站点对站点 VPN 方式，将业务合作伙伴连接到您的企业网络，同时限制它们对特定服务器和应用程序的访问。

ISA Server 2004 对合作伙伴与企业网络之间的所有通信进行加密，确保机密性并防止数据被盗取或者被修改。此外，高安全性 VPN 站点间链接提供您的合作伙伴与您的企业间网络互访，而这种访问对于企业间来说是透明的，安全的，在企业网间访问是加密的。在企业以及合作伙伴网络上的用户永远不会注意到他们之间的连接是通过虚拟专用网络连接的，同时也永远不需要重新配置他们的应用程序来使用站点间虚拟专用网络连接。

此外，VPN 网关服务器彼此相互进行二次身份验证：第一次验证是对发起连接的计算机进行验证，而第二次验证是对发起 VPN 站点到站点链接的用户账号进行验证。 这种双重验证提供了当今 VPN 站点到站点连接的最高安全级别。

在计算机和点对点用户账号验证完成之后，ISA Server 对通过VPN连接的所有通信执行强制访问控制。通过强制执行访问控制，可以限制合作伙伴漫游企业网络的能力，使其只能得到相关资源。

ISA Server 也可以对大量网络协议执行深层的网络应用层检查，这项功能进一步帮助您保护企业网络免遭如今对企业网络造成巨大危害的高级应用层应用程序攻击。

系统运行时的状态检查的防火墙策略，对于要实现高安全性远程访问和站点到站点的 VPN 连接解决方案是至关重要的。ISA Server 2004 企业版增加了 VPN 服务器和网关与 Microsoft Windows 网络负载均衡(NLB)的集成功能。当所有NLB阵列不可用的时候，VPN 连接才停止工作。此外，ISA Server 2004企业版集中管理模式允许您在单独的位置，通过使用 ISA Server 管理控制台将高级安全访问策略应用到ISA Server 2004 企业版的 VPN 服务器上。

图 3 描绘了 ISA Server 2004 在允许您的合作伙伴访问相关资源的同时，如何保护您的企业网络。

图 3 描绘了利用 ISA Server 2004 ，允许您为您的合作伙伴提供相关的企业资源访问

为员工提供远程访问所需要的企业网络资源

>通过高级应用层检查，ISA Server 2004 可以通过检查和分析 VPN 远程访问呢客户端通信来阻止蠕虫和病毒，有助于保护您的企业网络避免中断远程计算机通过 VPN 访问企业网络。您可以使用 ISA Server 来向 VPN 用户和组分配灵活的网络策略，允许他们访问指定的服务器和应用程序，同时阻止他们连接到企业网络上的其他资源。

ISA Server 2004 通过隔离那些关于软件更新的安装，防病毒软件，或其他特定计算机配置等不符合预先配置的企业策略的客户端，提供了高级安全性。

图 4 描绘了当员工进行远程访问时，ISA Server 2004 如何帮助保护企业网络。

图4描绘了ISA Server 2004 使员工安全、灵活地对企业网络进行远程访问，同时帮助保护网络免遭恶意通信的攻击

使企业分支机构通过 Internet 与总部进行安全通信

ISA Server 2004 的 VPN 网关允许管理员将整个网络通过 VPN，站点对站点连接到一起。例如，如果您的公司有一个或者多个分之机构，您可以用 ISA Server 把您所有分支机构连接到总部的 VPN 网关上。

ISA Server 驱动的防火墙管理器支持 Internet 协议安全（IPSec）隧道模式的 VPN 协议，能够设置强大的访问控制，包括对通过VPN的站点对站点的链接进行通信的用户，组，站点，计算机，协议以及应用层的特定控制。通过适当设置这些强大访问控制, 本地网络上的用户只能够访问远程网络上被允许访问的内容,同时远程网络用户也只可以访问到被指定的本地网路资源。强大的 ISA Server 访问控制允许企业雇员访问能够帮助他们完成工作的必要信息，同时阻止访问所有其他计算机资源。

对于全球分布的企业来说，分支机构的防火墙管理已经成为挑战。因为分支机构通常没有符合资格的 IT 员工来管理本地防火墙。ISA Server 2004 企业版通过在企业内集中管理所有防火墙解决了这个问题。企业防火墙管理员只需在总部，就可以管理所有分布各分支机构的企业版防火墙阵列。同时 ISA Server 2004 企业版完全支持 Windows 网络负载均衡（NLB），从而确保了 VPN 站点对站点的链接拥有最高的运行时间。

图 5 示范说明了 ISA Server 如何帮助您在分支机构和总部之间建立安全连接。

图 5 描绘了 ISA Server 2004 如何帮助您在分支机构和总部之间建立安全通信

控制 Internet 访问并保护客户端免遭 Internet 上恶意通信的攻击

利用 Internet Security and Acceleration (ISA) Server 2004，您可以对用户进行轻松控制，并且为您的用户端口应用 Internet 访问策略，实现保护用户免遭 Internet 上恶意通信的攻击。灵活的防火墙策略允许阻挡某些 Web 站点，也可以过滤掉某些内容，这些策略都用来提高用户的生产力，以及阻挡不适当的内容。ISA Server 与活动目录的目录服务集成的特性，使您为基于活动目录的用户和组，根据不同企业成员和不同工作级别建立特定的访问控制。

另外，ISA Server 的应用层状态过滤功能，通过保护客户端计算机和服务器免遭高级攻击，实现提高您的应用环境可靠性。

例如，ISA Server 中的高级 HTTP 过滤，可以阻挡那些的嵌入式应用程序，如常见点对点的和即时消息应用系统。ISA Server 的通信过滤功能还通过阻挡外部对内部非授权的访问，检查通信中输入的回复通信的有效性，以及检查第三方提供的插件是否带有蠕虫和病毒来阻断常见形式的 Internet 攻击。

图 6 显示了 ISA Server 2004 如何控制 Internet 访问，同时帮助保护客户端免遭网络恶意通信的攻击。

图 6 描绘了 ISA Server 2004 控制 Internet 流量并且保护客户端遭恶意通信攻击

确保对经常使用的 Web 内容进行快速访问

ISA Server 2004 中的缓存功能可以确保对经常使用的 Web 内容的快速访问。ISA Server 还可以在下游缓存已满的情况下将特定请求发送到上游缓存服务器。

图 7 和图 8 显示了 ISA Server 如何使用其下游和上游缓存功能，提供对经常使用的 Web 内容进行快速访问。

图 7 显示了下下游缓存提供对经常使用的 Web 内容进行快速访问

图 8 显示了当下游缓存已满时上游缓存开始发挥作用

除了路由 Web 请求到上游缓存和下游缓存Web缓存服务器之外，ISA Server 2004 企业版还通过缓存阵列路由协议(CARP)支持 Web 缓存服务器阵列。智能的 CARP 运算规则显著地加快了 Web 访问速度，并且通过 CARP 运算规则的容错能力和负载均衡功能增强了 Web 访问的可靠性。CARP 运算规则对 Web 访问提供了容错能力，它通过允许 Web 浏览器绕过停止运行的阵列服务器，使其连接到正在运行的阵列成员从而实现了 Web 正常连接。另外，CARP 的缓存阵列对 Web 连接自动进行负载均衡，从而保证了在 Web 浏览高峰期没有任何一个阵列成员因为负载过大而停止服务。

ISA Server 2004 企业版缓存阵列也是非常有效的。不会发生 Web 内容被缓存二次的事情，这一方法大大增加了原本被缓存到单一阵列的 Web 内容。缓存阵列对于减少因不断增多的 Web 连接而占用的Internet带宽具有巨大的潜力。在有分支机构的办公环境中，这一点是非常重要的，可以实现获得 Web 内容而不会额外地产生昂贵的 Internet 连接费用。