ISA Server 2004 中的新增功能和改进功能
Microsoft Internet Security and Acceleration (ISA) Server 2004 是高级应用程序防火墙、虚拟专用网 (VPN)和 Web 缓存解决方案。它通过提高网络安全性和性能,使客户能够最大限度地利用现有 IT 投资。ISA Server 2004 提供以下新增功能和改进功能:
| • | 应用程序层过滤 |
| • | 安全性和防火墙 |
| • | 多个网络 |
| • | 监视和报告 |
| • | 管理 |
| • | 保护对 Microsoft Server 的远程访问 |
| • | 虚拟专用网 |
| • | Web 缓存和 Web 代理 |
高级保护
| 应用程序层过滤 | ||
| 新增或改进功能 | 功能 | 描述 |
新增功能 | 按规则进行 HTTP 过滤 | ISA Server 2004 HTTP 策略允许防火墙进行深层 HTTP 状态检查(应用程序层过滤)。检查的范围可以按规则进行配置。使用此项功能,您就可以配置自定义的 HTTP 入站和出站访问限制。 |
新增功能 | 阻止对所有可执行内容的访问 | 您可以配置 ISA Server 2004 的 HTTP 策略,阻止所有对 Microsoft Windows 操作系统可执行内容的连接尝试,无论资源带有何种扩展名。 |
新增功能 | 通过文件扩展名控制 HTTP 文件下载 | 使用 ISA Server 2004 HTTP 策略,您可以根据文件扩展名定义策略,包括“允许所有扩展名,除了指定的扩展名组”或“阻止所有扩展名,除了指定的组”。 |
新增功能 | HTTP 过滤应用于所有 ISA Server 2004 客户端连接 | 使用 ISA Server 2004 HTTP 策略,您可以控制所有对 ISA Server 2004 客户端连接的 HTTP 访问。 |
新增功能 | 根据“HTTP 签名”控制 HTTP 访问 | ISA Server 2004 的深层 HTTP 检查可以帮助您创建“HTTP 签名”,然后可以使用“HTTP 签名”来比较请求的 URL、请求的标题、请求正文和响应正文。这使您可以精确控制内部和外部用户可通过 ISA Server 2004 防火墙进行访问的内容。 |
新增功能 | 控制被允许的 HTTP 方法 | 通过对用户访问设置不同的访问控制方法,您可以控制允许哪种 HTTP 方法通过防火墙。例如,您可以限制 HTTP POST 方法,从而阻止用户使用 HTTP POST 方法向 Web 站点发送数据。 |
新增功能 | 对来自全部 Microsoft Outlook 消息处理和协作 MAPI 客户端的 Microsoft Exchange 远程过程调用 (RPC) 连接进行保护 | ISA Server 2004 Secure Exchange Server 发布规则通过 Internet 使用全功能的 Outlook MAPI 客户端向 Exchange Server 为远程用户提供连接。但是,Outlook 客户端必须被配置为使用 RPC,以便对连接进行加密。使用 ISA Server 2004 RPC 策略,您可以阻止所有未加密的 Outlook MAPI 客户端连接。 |
新增功能 | FTP 策略 | 您可以配置 ISA Server 2004 的 FTP 策略,允许用户通过 FTP 进行上传和下载,或是限定用户的 FTP 访问只能用于下载。 |
新增功能 | 链接转换器 | 有些已经发布的 Web 站点可能包含对计算机内部名称的引用。由于外部客户端仅可以访问 ISA Server 2004 防火墙和外部名称空间(而不是内部网络名称控件),因此这些引用就显示为断开的链接。ISA Server 2004 包含一个链接转换功能,您可以使用此功能来创建一个字典,包含可以映射到已知名称的内部计算机名称的定义。 |
新增功能 | 对 IP 选项的细化控制 | 使用 ISA Server 2004,您可以在粒度级基础上配置 IP 选项,并仅允许需要的链接,而阻止所有其他链接。 |
| 安全性和防火墙 | ||
| 新增或改进功能 | 功能 | 描述 |
新增功能 | 广泛的协议支持 | ISA Server 2004 使您可以控制访问并使用任何协议,包括 IP 层协议。然后,用户就可以使用应用程序(例如 ping 和 tracert)来创建使用 PPTP 的 VPN 连接。此外,可以通过 ISA Server 启用 IPSec 流量。 |
新增功能 | 支持要求多个主连接的复杂协议 | 许多流媒体和音频/视频应用程序要求防火墙管理复杂的协议。您可以使用新的 ISA Server 2004 New Protocol Wizard,帮助管理这些协议,并创立协议定义。 |
新增功能 | 可自定义的协议定义 | 使用 ISA Server 2004,您可以控制为其创建防火墙规则的任何协议的源端口号和目标端口号。这使得 ISA Server 2004 防火墙管理员可以控制允许哪些数据包通过防火墙入站和出站。 |
新增功能 | 防火墙用户组 | 您可以使用 ISA Server 2004 来创建由本地帐户数据库或是由 Active Directory 目录服务域中预先存在的组所组成的自定义防火墙组。这提高了根据用户或组成员关系来控制访问的灵活性,因为防火墙管理员可以从这些现存组中创建自定义安全组。这就使防火墙管理员不必是域管理员也可以信任自定义安全组进行入站或出站访问控制。 |
改进功能 | 身份验证 | 可以使用内置的 Windows、RADIUS 或 RSA SecurID 身份验证输入或其他名称空间对用户进行身份验证。规则可以应用于所有名称空间的用户或用户组。第三方供应商可以使用软件开发工具包 (SDK) 来扩展这些内置的验证机制。 |
新增功能 | 防火墙客户端凭据被转发给 Web Proxy 服务 | ISA Server 2004 允许防火墙客户端使用 HTTP 过滤器访问 Web 缓存,而不要求 Web Proxy 服务使用单独的身份验证。 |
改进功能 | 通过防火墙进行基于 Web 的 Hotmail 电子邮件访问 | ISA Server 2004 改进的 HTTP 过滤器使用户可以通过易于配置的防火墙规则访问 Hotmail,而无需在客户端或防火墙进行特定配置。. |
改进功能 | 网络对象 | 您可以通过创建计算机、网络、网络组、地址范围、子网、计算机组和域名组,极大扩展定义网络对象的能力。这些网络对象用于定义防火墙规则的源和目标设置。 |
改进功能 | 防火墙规则向导 | ISA Server 2004 包含一组新的规则向导,从而使得创建访问策略比以往更为容易。您可以使用复杂的防火墙规则,随意创建访问策略、或配置需要的策略元素。您无需离开规则向导创建网络对象;任何网络对象或关系都可以在新向导中创建。 |
改进功能 | 防火墙规则表现为有序列表 | ISA Server 2004 防火墙规则表现为一个有序列表,在列表中连接参数排在第一位,对应于列表顶端的规则。ISA Server 2004 在规则列表中向下移动,直到它找到匹配连接参数的规则,并强制实施与规则匹配的策略。这一对应于防火墙策略的方法使得确定为什么允许或拒绝某个特定的连接更为容易。 |
改进功能 | 基于用户/组的访问策略 | 使用 ISA Server 2004 经过增强的防火墙规则,您可以定义用户或组可以访问的每个协议的源或目标。这极大地提高了入站和出站访问控制的灵活性。 |
改进功能 | Outlook Web Access 发布向导 | 通过安全 SSL 连接的无客户端远程访问形成了 SSL VPN 的核心。ISA Server 2004 Outlook Web Access 发布向导将引导您创建防火墙规则,并创建到 Exchange Server 的 WA SSL 连接。可以随时创建所有网络元素,您无需离开向导就能创建策略元素。 |
改进功能 | FTP 支持 | ISA Server 2004 使您可以访问 Internet FTP 服务器、侦听备用端口号,而不用在客户端或 ISA Server 2004 防火墙上进行特定配置。发布在备用端口号上的 FTP 服务器仅仅需要一条简单的 FTP Server 发布规则。 |
改进功能 | FTP Server 发布规则的端口重定向 | 使用 ISA Server 2004,您可以收到某个端口号上的连接,并将该请求重定向到发布服务器的其他端口号。 |
改进功能 | 安全的 Web 发布 | 使用 ISA Server,您可以将服务器放在防火墙后面——在公司网络上,或者在周边网络(也称为非军事化区域 [DMZ] 或受屏蔽子网),并安全地发布它们的服务。使用改进的安全 Web 发布向导,您可以轻松地创建一条规则,以便允许用户保护对已发布 Web 服务器的 SSL 远程访问。 |
易于使用
| 多个网络 | ||
| 新增或改进功能 | 功能 | 描述 |
新增功能 | 多种网络配置 | 您可以配置一个或多个网络,每个网络都和其他网络具有不同的关系。访问策略是相对于网络进行定义的,但不必对应于某个特定的内部网络进行定义。ISA Server 2004 将防火墙和安全功能扩展到了任何网络或网络对象之间的流量上。 |
新增功能 | 每个网络独一无二的策略 | ISA Server 2004 新增的多网络功能通过限制客户端(即使是在您自己的组织中)之间的通信,使您可以保护网络免受内外部的安全威胁。多网络功能支持复杂的周边环境,有助于您配置不同网络中的客户端访问周边网络的方式。这样,网络间的访问策略就可以建立在每个网络所代表的唯一安全区域的基础之上。 |
新增功能 | 路由和 NAT 网络关系 | 您可以根据访问类型和网络之间必需的通信,使用 ISA Server 2004 来定义网络之间的路由关系。在一些情况下,您可能需要让网络间的通信更安全、更不透明。对于这些情况,您可以定义一个 NAT 关系。在其他情况下,您可能希望通过 ISA Server 来路由流量。对于这些情况,您可以定义一个路由关系。在路由网络之间移动的数据包对于 ISA Server 2004 状态过滤和检查机制来说是完全公开的。 |
新增功能 | 网络模板 | 包括对应普通网络拓扑的五种网络模板。在您使用其中一种模板来配置防火墙策略后,ISA Server 2004 将自动建立必要的防火墙策略和网络关系。 |
新增功能 | 网络负载均衡功能(仅限于企业版) | 通过 ISA Server 2004 企业版阵列,提供连接的实时失败转移和负载均衡。实时的失败转移功能激活了用于企业阵列的高可用性。与此同时,负载均衡在防火墙阵列中平均地分发连接,从而防止防火墙造成的网络阻塞。 |
| 监视和报告 | ||
| 新增或改进功能 | 功能 | 描述 |
新增功能 | 实时的日志输入监视 | 使用 ISA Server 2004,您可以实时查看防火墙、 Web Proxy 和 SMTP Message Screener 日志。监视控制台会以日志项被记录到防火墙日志时的样子显示日志项。 |
新增功能 | 内置的日志查询功能 | 您可以使用内置的日志查询功能来查询日志文件。可以查询日志记录的任何字段所包含的信息。您可以将查询范围限制为特定时间段。结果会显示在 ISA Server 2004 控制台中,并可以将其复制到“剪贴板”并粘贴到其他应用程序中,以进行详细的分析。 |
新增功能 | 防火墙会话的实时监视和过滤 | 使用 ISA Server 2004,您可以查看所有到防火墙的活动连接。从会话视图中,您可以排序或断开单个会话或会话组的连接。此外,您可以过滤会话界面中的条目,以便集中查看使用了内置会话过滤功能的会话。 |
新增功能 | 连接验证程序 | 您可以使用“连接验证程序”,通过使用 ISA Server 2004 计算机定期监视到一台特定计算机或统一资源定位器 (URL) 的连接,对连接进行验证。您可以配置使用何种方法来确定连接:Ping、连接到特定端口的传输控制协议 (TCP) 或是 HTTP GET。您可以通过指定 IP 地址、计算机名或 URL 来选择要监视哪个连接。 |
改进功能 | 自定义 ISA Server 2004 报告 | ISA Server 2004 包含增强的报告自定义功能,以便在防火墙报告中增加更多信息。 |
新增功能 | 报告发布 | 您可以配置 ISA Server 2004 的报告作业,自动在本地文件夹或网络文件共享中保存一个报告副本。保存报告的文件夹或文件共享可以被映射为某个网站虚拟目录,这样其他用户就可以查看报告。您还可以在报告创建后手动发布没有被配置为自动发布的报告。 |
新增功能 | 报告创建后的电子邮件通知 | 您可以配置一个报告作业,让其在作业完成后给您发送一封电子邮件。 |
新增功能 | 自定义创建日志摘要的时间 | ISA Server 2004 采用硬编码的形式指定在 12:30 A.M 创建日志摘要。报告基于日志摘要包含的信息。您可以方便地自定义创建 ISA Server 2004 日志摘要的时间,这使您可以灵活确定创建报告的时间。 |
改进功能 | 增强的 SQL Server 日志记录功能 | 您可以将日志记录到在内部网络中运行 SQL Server 数据库的其他计算机上。我们已经对 ISA Server 2004 SQLServer 日志功能进行了优化,以便提供更好的性能。 |
新增功能 | 记录日志到 MSDE 数据库中 | 现在,日志能够以 MSDE 格式存储。将日志记录到本地数据库可提高查询速度和灵活性。 |
| 管理 | ||
| 新增或改进功能 | 功能 | 描述 |
改进功能 | 管理 | ISA Server 2004 包含了新的管理功能,这使得保护网络的工作更加轻松。新的用户界面功能包括“任务面板”、“帮助面板”、改进的“入门向导”以及“防火墙策略编辑器”的新外观。 |
新增功能 | 导入和导出 | ISA Server 2004 引入了导出和导入配置信息的功能。您可以使用此功能将配置参数保存到 XML 文件,然后从此文件中将这些信息导入到其他服务器中。 |
新增功能 | 防火墙管理员角色的委派权限向导 | “管理员委派向导”可帮助您将管理角色分配给用户和租。这些预定义的角色可以委派用户对指定的 ISA Server 2004 服务拥有一定的管理控制能力。 |
改进功能 | 集中的日志记录和报告功能(仅限于企业版) | ISA Server 2004 通信上的日志和报告在企业阵列的全部成员间移动。从来都不需要从每道防火墙收集日志文件信息,或将其整理来创建统一的报告信息。 |
新增功能 | 防火墙的集中存储功能(仅限于企业版) | ISA Server 2004 将 Active Directory Application Mode (ADAM) 用于防火墙策略存储。ADAM 存储功能使您能够将策略存储容器放置在企业中的任意位置, 从而为防火墙策略冗余和便利的访问具有更多的灵活性和可用性。 |
改进功能 | 企业策略(仅限于企业版) | 通过设置企业级的安全性策略,并恰当地应用阵列级别和本地策略,对分布在多个不同地点的企业的安全标准获得统一的控制。 |
新增功能 | 自动阵列配置(仅限于企业版) | 利用简易的向导,向企业和阵列大幅度添加新的服务器。ISA Server 自动读取用于配置和策略详情的 ADAM 数据库。 |
改进功能 | 用于 Microsoft Operations Manager (MOM) 的管理服务包 | 用于 ISA Server 2004 的新设计的 MOM 服务包确保实现企业级的活动监控和普通防火墙活动(可单独下载)的合并。 |
快速和安全的访问
| 保护对 Microsoft Server 的远程访问 | ||
| 新增或改进功能 | 功能 | 描述 |
新增功能 | 防火墙生成表单以便进行基于表单的身份验证 | ISA Server 2004 可以生成 Microsoft Outlook Web Access 站点使用的表单,以便进行基于表单的身份验证。它通过阻止未经验证的用户连接 Outlook Web Access 服务器,提高了远程访问 Outlook Web Access 站点的安全性。 |
新增功能 | 使用 SSL 远程访问终端服务 | 运行 Microsoft Windows Server 2003 操作系统的计算机支持 SSL 上的 RDP,以便允许到 Windows Server 2003 Terminal Services 的安全 SSL 连接。使用 ISA Server 2004,您可以使用安全的 SSL 技术安全地发布您的终端服务器。 |
| 虚拟专用网 | ||
| 新增或改进功能 | 功能 | 描述 |
改进功能 | 虚拟专用网 (VPN) 管理 | ISA Server 2004 包含全面集成的 VPN 机制,后者建立在 Windows 2000 和 Windows Server 2003 功能的基础之上。 |
新增功能 | VPN 的状态过滤和检查 | VPN 客户端被配置为单独的网络区域。因此,您可以为 VPN 客户端单独创建策略。防火墙规则引擎会分别检查来自 VPN 客户端的请求。引擎会根据状态来过滤和检查这些请求,并根据访问策略动态开放连接。 |
新增功能 | 对连接到 ISA Server 2004 VPN 服务器的 VPN 客户端的 SecureNAT 客户端支持 | ISA Server 2004 允许 SecureNAT 客户端在客户端系统上没有安装防火墙客户端的情况下访问 Internet,从而扩展了 VPN 客户端支持。您也可以通过强制对 VPN SecureNAT 客户端实施基于用户/组的防火墙策略来提高公司网络的安全性。 |
新增功能 | 对通过站点到站点 VPN 通道传输的通信数据进行状态过滤和检查 | ISA Server 2004 引入了对通过站点到站点 VPN 通道进行传输的通信数据的状态过滤和检查。其结果是,您可以控制特定主机或网络可在链接的另一侧访问的资源。您可以使用基于用户/组的访问策略来获得对该链接可使用哪些资源的详细控制能力。 |
新增功能 | VPN 隔离 | ISA Server 2004 利用了 Windows Server 2003 VPN 隔离工具,以便进行深层次的 VPN 客户端检查和集成您的防火墙策略。 |
新增功能 | 发布 VPN 服务器 | 使用 ISA Server 2004 服务器发布规则来发布 IP 协议和 PPTP 服务器。ISA Server 2004 智能 PPTP 应用程序过滤器可以执行复杂的连接管理工作。此外,您可以使用 ISA Server 2004 Server Publishing 轻松发布 Windows Server 2003 NAT-T L2TP/IPSec VPN 服务器。 |
新增功能 | 对站点到站点 VPN 链接的 IPSec 通道模式支持 | ISA Server 2004 通过使用 IPSec 通道模式作为 VPN 协议,从而改进了对站点到站点链接的支持。IPSec 通道模式支持大大提高了 ISA Server 2004 与第三方 VPN 解决方案的互操作性。 |
| Web 缓存和 Web 代理 | ||
| 新增或改进功能 | 功能 | 描述 |
改进功能 | 缓存规则 | 使用集中的 ISA Server 缓存规则机制,您可以配置如何在缓存中检索合获得已经存储的对象。 |
改进功能 | Web 发布规则的路径映射 | ISA Server 2004 极大提高了 Web 发布的灵活性,因为您可以将用户发送到防火墙的路径重定向为已发布 Web 服务器上的任何路径。 |
新增功能 | Web Proxy 客户端身份验证的 RADIUS 支持 | 使用 ISA Server 2004,您可以通过使用 RADIUS 来查询 Active Directory,从而在 Active Directory 和其他身份验证数据库中对用户进行身份验证。Web 发布规则也可以使用 RADIUS 来验证远程访问连接的身份。 |
新增功能 | 基本身份验证的委派 | 已发布的 Web 站点要求 ISA Server 2004 防火墙在将连接转发到已发布网站之前验证用户身份,从而保护了自身不会受到未经验证的访问。这防止了未经验证的用户访问已发布的 Web 服务器。 |
新增功能 | 在 Web 发布规则中保留源 IP 地址 | 使用 ISA Server 2004,您可以根据每个规则分别选择是将远程客户端的原始 IP 替换为它自己的地址,还是将原始 IP 转发给 Web 服务器。 |
新增功能 | CARP-驱动 Web 缓存阵列 (仅限于企业版) | ISA Server 2004 企业版缓存阵列路由协议 (CARP)激活的 Web 缓存阵列极大地扩展了对带宽的节省、以及包含在 ISA Server 2004 所有版本中的性能增强的 Web 缓存。 Web 缓存阵列提供负载均衡功能和用于任意 Web 浏览器的 Web 访问的失败转移功能。 |