Caratteristiche nuove e migliorate di ISA Server 2004
Microsoft Internet Security and Acceleration (ISA) Server 2004 è un'avanzata soluzione di firewall a livello di applicazione, VPN (Virtual Private Network) e caching Web che consente di ottimizzare gli ambienti IT esistenti migliorando le prestazioni e la sicurezza delle reti. ISA Server 2004 offre numerose caratteristiche nuove e migliorate:
| • | Filtri a livello di applicazione |
| • | Sicurezza e firewall |
| • | Supporto per più reti |
| • | Monitoraggio e reporting |
| • | Gestione |
| • | Accesso remoto protetto ai server Microsoft |
| • | Supporto per reti VPN |
| • | Caching Web e proxy Web |
In questa pagina
 | Protezione avanzata |
| Semplicità di utilizzo |
| Accesso rapido e protetto |
Protezione avanzata
| Filtri a livello di applicazione | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Novità | Filtri HTTP basati su regole | I criteri HTTP di ISA Server 2004 consentono di eseguire avanzate verifiche stateful inspection HTTP (filtri a livello di applicazione), la cui portata è configurata in base a regole specifiche. Grazie a questa funzionalità, è possibile definire limitazioni personalizzate per gli accessi HTTP in entrata e in uscita. |
Novità | Blocco dell'accesso a tutti i contenuti eseguibili | I criteri HTTP di ISA Server 2004 possono essere configurati in modo da bloccare tutti i tentativi di connessione ai contenuti eseguibili del sistema operativo Microsoft Windows, indipendentemente dall'estensione del nome di file utilizzata per la risorsa. |
Novità | Controllo del download di file HTTP in base alle estensioni | I criteri HTTP di ISA Server 2004 permettono di definire criteri basati sulle estensioni dei nomi di file, come ad esempio "consenti tutte le estensioni tranne un gruppo specifico" o "blocca tutte le estensioni tranne un gruppo specifico". |
Novità | Applicazione di filtri HTTP a tutte le connessioni client di ISA Server 2004 | Utilizzando i criteri HTTP di ISA Server 2004, è possibile controllare l'accesso HTTP per tutte le connessioni client di ISA Server 2004. |
Novità | Controllo dell'accesso HTTP sulla base di "firme HTTP" | L'ispezione HTTP avanzata di ISA Server 2004 consente di creare "firme HTTP" confrontabili con l'URL, le intestazioni e il corpo della richiesta, oltre che con il corpo della risposta. In questo modo è possibile disporre del massimo controllo sul tipo di contenuti accessibili agli utenti interni ed esterni attraverso il firewall ISA Server 2004. |
Novità | Controllo dei metodi HTTP consentiti | È possibile controllare i metodi HTTP consentiti attraverso il firewall impostando specifici controlli sull'accesso degli utenti ai diversi metodi. Ad esempio, è possibile limitare le modalità di utilizzo del metodo HTTP POST per impedire l'invio di dati su siti Web. |
Novità | Controllo Attivazione di connessioni RPC (Remote Procedure Call) protette di Microsoft Exchange dal client MAPI di messaggistica e collaborazione Microsoft Outlook | Le regole di ISA Server 2004 per la pubblicazione protetta dei server Exchange permettono agli utenti remoti di connettersi a Exchange Server utilizzando via Internet tutte le funzionalità del client MAPI Outlook. È tuttavia necessario che il client Outlook sia configurato per l'utilizzo di connessioni RPC protette, in modo da consentire la crittografia delle connessioni. Con il criterio RPC di ISA Server 2004 è possibile bloccare tutte le connessioni non crittografate di client MAPI Outlook. |
Novità | Criteri FTP | I criteri FTP (File Transfer Protocol) di ISA Server 2004 possono essere configurati in modo da consentire agli utenti di caricare e scaricare contenuti tramite FTP o limitare l'accesso solo al download. |
Novità | Conversione di collegamenti | Alcuni siti Web pubblicati possono includere riferimenti a nomi interni di computer che potrebbero apparire come collegamenti interrotti, poiché solo il firewall e lo spazio dei nomi esterno di ISA Server 2004 sono disponibili ai client esterni, a differenza dello spazio dei nomi della rete interna. ISA Server 2004 offre una funzionalità di conversione dei collegamenti utilizzabile per creare un dizionario di definizioni che associa i nomi interni dei computer a nomi pubblici. |
Novità | Controllo di precisione delle opzioni IP | Con ISA Server 2004 è possibile configurare le opzioni IP in modo estremamente dettagliato, per consentire l'accesso ai soli utenti autorizzati e bloccare tutti gli altri. |
| Sicurezza e firewall | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Novità | Supporto avanzato per i protocolli | ISA Server 2004 garantisce il massimo controllo sull'accesso e l'utilizzo di qualunque protocollo, inclusi quelli di livello IP. È quindi possibile utilizzare applicazioni quali ping e tracert per creare connessioni VPN tramite PPTP. Inoltre, il traffico IPSec può essere abilitato attraverso ISA Server. |
Novità | Supporto per protocolli complessi che richiedono più connessioni principali | Molte applicazioni multimediali e voce/video richiedono la gestione di protocolli complessi da parte del firewall. È possibile utilizzare la procedura guidata New Protocol Wizard di ISA Server 2004 per gestire tali protocolli e crearne le definizioni. |
Novità | Definizioni personalizzabili dei protocolli | Con ISA Server 2004 è possibile controllare il numero delle porte di origine e di destinazione di qualunque protocollo per cui è stata creata una regola firewall. Grazie a questa funzionalità l'amministratore del firewall ISA Server 2004 può definire con la massima precisione i pacchetti di cui sono consentite l'entrata e l'uscita attraverso il firewall. |
Novità | Gruppi di utenti per il firewall | È possibile utilizzare ISA Server 2004 per creare gruppi personalizzati di utenti per il firewall, costituiti da gruppi preesistenti nel database locale degli account o nel dominio del servizio Active Directory. Il risultato è una maggiore flessibilità nel controllo dell'accesso in base all'utente o al gruppo di appartenenza, poiché l'amministratore del firewall può creare gruppi di protezione personalizzati sulla base dei gruppi già esistenti. Pertanto non è più necessario che l'amministratore del firewall sia un amministratore di dominio per definire gruppi di protezione personalizzati per il controllo dell'accesso in entrata o in uscita. |
Miglioramento | Autenticazione | Gli utenti possono essere autenticati attraverso sistemi di autenticazione integrati Windows, RADIUS, RSA SecurID o altri spazi dei nomi. È possibile applicare regole a utenti o gruppi di utenti in qualsiasi spazio dei nomi. I produttori di software di terze parti possono utilizzare il Software Development Kit (SDK) per estendere questi sistemi di autenticazione integrati. |
Novità | Inoltro delle credenziali del client firewall al servizio Web Proxy | ISA Server 2004 consente ai client firewall di accedere alla cache Web con il filtro HTTP senza richiedere un'autenticazione distinta con il servizio Web Proxy. |
Miglioramento | Accesso alla posta elettronica sul Web di Hotmail attraverso il firewall | Il filtro HTTP avanzato consente agli utenti di accedere a Hotmail tramite una regola firewall semplice da configurare che non richiede impostazioni speciali a livello di client o firewall. |
Miglioramento | Oggetti di rete | È possibile estendere notevolmente le capacità di definizione degli oggetti di rete creando computer, reti, insiemi di reti, intervalli di indirizzi, subnet, insiemi di computer e insiemi di nomi di dominio. Questi oggetti vengono utilizzati per definire le impostazioni relative all'origine e alla destinazione per le regole firewall. |
Miglioramento | Procedure guidate per la creazione di regole firewall | ISA Server 2004 include un nuovo set di procedure guidate per la creazione di regole, che semplificano ulteriormente la definizione dei criteri di accesso. È possibile creare criteri di accesso o configurarli velocemente con un'avanzata regola firewall, creando automaticamente nel corso della procedura guidata tutte le relazioni o gli oggetti di rete necessari. |
Miglioramento | Rappresentazione delle regole firewall come elenco ordinato | Le regole firewall sono rappresentate sotto forma di elenco ordinato in cui i parametri di connessione vengono innanzitutto confrontati con la prima regola dell'elenco. Vengono quindi esaminate le successive regole dell'elenco, finché non è rilevata una regola corrispondente ai parametri di connessione e non viene applicato il criterio corrispondente. Questo approccio ai criteri per l'utilizzo del firewall rende molto più semplice determinare perché una specifica connessione viene consentita o rifiutata. |
Miglioramento | Criteri di accesso basati su utenti e gruppi | Grazie alle avanzate regole firewall, è possibile definire l'origine e la destinazione di ciascun protocollo a cui un utente o un gruppo è autorizzato ad accedere. Il risultato è una maggiore flessibilità nel controllo degli accessi in entrata e in uscita. |
Miglioramento | Procedura guidata per la pubblicazione di Outlook Web Access | L'accesso remoto indipendente dal client attraverso connessioni SSL protette è alla base del funzionamento delle reti VPN SSL. La procedura guidata di ISA Server 2004 per la pubblicazione di Outlook Web Access fornisce tutte le indicazioni necessarie per la creazione di una regola firewall e consente di creare una connessione SSL di Outlook Web Access a Exchange Server. Tutti gli elementi della rete, inclusi i criteri, possono essere creati rapidamente nel corso della procedura guidata. |
Miglioramento | Supporto FTP | ISA Server 2004 consente di accedere ai server FTP su Internet utilizzando porte alternative senza richiedere speciali configurazioni sul client o sul firewall. Per la pubblicazione di server FTP su numeri di porta alternativi è sufficiente definire una regola specifica. |
Miglioramento | Reindirizzamento delle porte per le regole di pubblicazione di server FTP | Utilizzando ISA Server 2004, è possibile ricevere una connessione su un numero di porta e reindirizzare la richiesta a un'altra porta sul server pubblicato. |
Miglioramento | Pubblicazione sul Web protetta | È possibile posizionare i server dietro il firewall, sia sulla rete aziendale che su una perimetrale (nota anche come zona demilitarizzata o subnet schermata), e pubblicarne i servizi in modo protetto. Grazie alla rinnovata procedura guidata per la pubblicazione sul Web, ancora più sicura, è possibile creare in modo rapido una regola che consenta l'accesso remoto SSL protetto ai server Web pubblicati. |
Semplicità di utilizzo
| Supporto per più reti | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Novità | Configurazione di più reti | È possibile configurare una o più reti, ognuna delle quali è correlata in maniera specifica alle altre. I criteri di accesso vengono definiti in relazione alle reti e non necessariamente in relazione a una particolare rete interna. ISA Server 2004 estende le funzionalità del firewall e di protezione anche al traffico tra qualsiasi rete o oggetto di rete. |
Novità | Criteri univoci per le reti | Le nuove funzionalità di ISA Server 2004 per il supporto di più reti garantiscono la protezione della rete da problemi di sicurezza interni ed esterni, limitando la comunicazione tra client anche all'interno dell'organizzazione. Sono inoltre supportati avanzati scenari di rete perimetrale che consentono di configurare le modalità di accesso dei client situati in reti diverse. I criteri di accesso tra le reti possono quindi basarsi sulla zona di sicurezza univoca rappresentata da ogni rete. |
Novità | Relazioni di routing e basate su NAT | È possibile utilizzare ISA Server 2004 per definire relazioni di routing fra le reti, a seconda del tipo di accesso e di comunicazione richiesti. In alcuni casi, è necessaria una comunicazione più sicura e meno trasparente tra le reti. In questi scenari, è possibile definire una relazione NAT. In altre situazioni, occorre instradare il traffico attraverso ISA Server. In questi scenari, è possibile definire una relazione di routing. I pacchetti trasferiti attraverso reti instradate sono sottoposti alle procedure di filtro e stateful inspection di ISA Server 2004. |
Novità | Modelli di rete | Sono disponibili cinque modelli di rete che corrispondono alle topologie più comuni. Utilizzando uno di questi modelli per configurare i criteri del firewall, vengono automaticamente creati i necessari criteri e le relazioni di rete. |
Novità | Bilanciamento del carico di rete (solo edizione Enterprise) | Questa funzionalità fornisce il failover in tempo reale e il bilanciamento del carico delle connessioni effettuate tramite un array di ISA Server 2004 Enterprise Edition. Il failover in tempo reale garantisce la massima disponibilità per gli array di tipo enterprise, mentre il bilanciamento del carico distribuisce in modo equilibrato le connessioni tra i server dell'array, per impedire il rallentamento delle attività di rete. |
| Monitoraggio e reporting | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Novità | Monitoraggio in tempo reale delle voci di registro | Con ISA Server 2004 è possibile visualizzare in tempo reale i registri relativi a firewall, Web Proxy e SMTP Message Screener. La console di monitoraggio visualizza le voci esattamente come appaiono nel file di registro del firewall. |
Novità | Funzionalità integrata per le query nel registro | Utilizzando questa funzionalità incorporata è possibile effettuare query nei file di registro per cercare informazioni contenute in qualsiasi campo. È possibile limitare l'ambito della query a un intervallo di tempo specifico. I risultati vengono visualizzati nella console di ISA Server 2004 e possono essere copiati negli Appunti e incollati in un'altra applicazione per un'analisi più dettagliata. |
Novità | Filtro e monitoraggio in tempo reale delle sessioni del firewall | È possibile visualizzare tutte le connessioni attive al firewall. Nella visualizzazione delle sessioni è anche possibile ordinare o disconnettere singole sessioni o gruppi di sessioni. Inoltre, utilizzando la funzionalità integrata di filtro, è possibile filtrare le voci nell'interfaccia delle sessioni per concentrarsi solo sulle sessioni di maggior interesse. |
Novità | Verifica delle connessioni | È possibile verificare la connettività utilizzando la funzionalità Connection Verifiers per monitorare regolarmente le connessioni a un URL (Uniform Resource Locator) o a un computer specifico dal computer ISA Server 2004. È possibile configurare il metodo da utilizzare per determinare la connettività: Ping, TCP (Transmission Control Protocol) connesso a una porta specifica o HTTP GET. Per selezionare la connessione da monitorare è sufficiente specificare un indirizzo IP, un nome di computer o un URL. |
Miglioramento | Personalizzazione dei report di ISA Server 2004 | ISA Server 2004 include un'avanzata funzionalità di personalizzazione dei report per l'aggiunta di ulteriori informazioni. |
Novità | Pubblicazione dei report | È possibile configurare i report di ISA Server 2004 in modo da salvarne automaticamente una copia in una cartella locale o in una condivisione di file in rete, che possono essere associate alla directory virtuale di un sito Web per consentire anche ad altri utenti la visualizzazione dei report. È anche possibile pubblicare manualmente i report che non sono stati configurati per la pubblicazione automatica dopo la creazione. |
Novità | Notifica e-mail dopo la creazione di un report | È possibile configurare un report in modo che, una volta creato, l'utente riceva un messaggio e-mail di conferma. |
Novità | Personalizzazione dell'ora per la creazione dei riepiloghi di registro | ISA Server 2004 è preconfigurato a livello di codice per la creazione di riepiloghi di registro alle 00.30. I report sono basati sulle informazioni contenute in tali riepiloghi. Per una maggiore flessibilità, è possibile personalizzare facilmente il momento in cui vengono creati i riepiloghi di registro di ISA Server 2004. |
Miglioramento | Registrazione avanzata in SQL Server | È possibile memorizzare i registri in un altro computer della rete interna che esegue un database di SQL Server. La registrazione in SQL Server da ISA Server 2004 è stata ottimizzata in modo da garantire prestazioni più elevate. |
Novità | Registrazione in database MSDE | I registri ora possono essere memorizzati in formato MSDE in un database locale, in modo da aumentare la flessibilità e la velocità di esecuzione delle query. |
| Gestione | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Miglioramento | Gestione | ISA Server 2004 include nuove funzionalità di gestione che rendono ancora più semplice proteggere la rete. Le nuove caratteristiche dell'interfaccia utente includono riquadri attività, riquadri della Guida in linea, una procedura guidata Getting Started Wizard migliorata e una nuova interfaccia per lo strumento Firewall Policy Editor. |
Novità | Esportazione e importazione | ISA Server 2004 offre la possibilità di esportare e importare informazioni di configurazione, in modo da salvare i parametri di configurazione in un file XML e importare i dati dal file in un altro server. |
Novità | Procedura guidata per la delega di autorizzazioni per i ruoli amministrativi del firewall | La procedura guidata Administration Delegation Wizard consente di assegnare ruoli amministrativi predefiniti a utenti e gruppi, delegando il livello di controllo amministrativo sui servizi specificati di ISA Server 2004. |
Miglioramento | Registrazione e reporting centralizzati (solo edizione Enterprise) | ISA Server 2004 consente la registrazione e la creazione di report relativi al traffico attraverso tutti i membri di un array di tipo enterprise. Non è quindi necessario raccogliere le informazioni dai file di registro di ciascun firewall e raggrupparle per creare un unico report. |
Novità | Memorizzazione centralizzata dei criteri per il firewall (solo edizione Enterprise) | Per la memorizzazione dei criteri relativi al firewall, ISA Server 2004 utilizza Active Directory Application Mode (ADAM). La memorizzazione ADAM consente di posizionare contenitori di archiviazione dei criteri in qualsiasi punto dell'organizzazione, garantendo una maggiore flessibilità, disponibilità e facilità di accesso. |
Miglioramento | Criteri aziendali (solo edizione Enterprise) | È possibile garantire un maggior controllo degli standard di protezione anche nelle organizzazioni più grandi con strutture distribuite in varie aree geografiche impostando criteri di protezione a livello aziendale, con l'applicazione di livelli di array e criteri locali in base alle esigenze. |
Novità | Configurazione automatica di array (solo edizione Enterprise) | Utilizzando una semplice procedura guidata è possibile aggiungere in modo dinamico nuovi server e array all'organizzazione. Le informazioni relative alla configurazione e ai criteri vengono lette automaticamente dal database ADAM. |
Miglioramento | Administration Pack per Microsoft Operations Manager (MOM) | Un pacchetto MOM di nuova progettazione per ISA Server 2004, disponibile per il download, consente a livello aziendale il monitoraggio di eventi e il consolidamento delle attività più comuni relative al firewall. |
Accesso rapido e protetto
| Accesso remoto protetto ai server Microsoft | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Novità | Form generati dal firewall per l'autenticazione basata su form | ISA Server 2004 è in grado di generare i form utilizzati dai siti di Microsoft Outlook Web Access per l'autenticazione basata su form. In questo modo l'accesso remoto ai siti di Outlook Web Access è ancora più sicuro, dal momento che gli utenti non autenticati non possono accedere al server di Outlook Web Access. |
Novità | Accesso remoto a Servizi terminal tramite SSL | I computer con sistema operativo Microsoft Windows Server 2003 supportano il protocollo RDP su SSL per consentire connessioni SSL protette a Servizi terminal di Windows Server 2003. Con ISA Server 2004 è possibile pubblicare in modo sicuro Terminal Server utilizzando la tecnologia SSL protetta. |
| Supporto per reti VPN | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Miglioramento | Amministrazione VPN | ISA Server 2004 include una funzionalità VPN pienamente integrata, basata sulle caratteristiche di Windows Server 2003 e Windows 2000 Server. |
Novità | Filtro e stateful inspection per le reti VPN | I client VPN sono configurati come una zona di rete separata, per cui è possibile creare criteri distinti. Il motore delle regole firewall controlla in modo differenziato le richieste provenienti dai client VPN, filtrandole, eseguendo verifiche stateful inspection ed effettuando in modo dinamico connessioni basate sui criteri di accesso. |
Novità | Supporto client SecureNAT per client VPN connessi a server VPN ISA Server 2004 | ISA Server 2004 estende il supporto client VPN consentendo l'accesso a Internet da client SecureNAT senza richiedere l'installazione del client firewall. È anche possibile aumentare la sicurezza delle reti aziendali imponendo ai client VPN SecureNAT un criterio firewall basato su utenti o gruppi. |
Novità | Filtro e verifica stateful inspection per le comunicazioni su tunnel VPN da sito a sito | ISA Server 2004 introduce il filtro e la verifica stateful inspection per tutte le comunicazioni che avvengono attraverso una connessione VPN da sito a sito, con il risultato che è possibile controllare le risorse accessibili da reti o host specifici all'altra estremità del collegamento. È anche possibile utilizzare criteri di accesso basati su utenti o gruppi per ottenere un controllo dettagliato dell'utilizzo delle risorse con il collegamento. |
Novità | Quarantena per le connessioni VPN | ISA Server 2004 utilizza gli strumenti di quarantena per le connessioni VPN di Windows Server 2003 per l'ispezione avanzata dei client VPN e l'integrazione dei criteri per il firewall. |
Novità | Pubblicazione di server VPN | Le regole di pubblicazione server di ISA Server 2004 consentono di pubblicare protocolli IP e server PPTP, mentre il filtro intelligente per le applicazioni PPTP esegue le complesse attività di gestione delle connessioni. È anche possibile pubblicare con facilità il server VPN L2TP/IPSec NAT-T di Windows Server 2003. |
Novità | Supporto in modalità tunnel IPSec per collegamenti VPN da sito a sito | ISA Server 2004 migliora il supporto per i collegamenti da sito a sito durante l'utilizzo della modalità tunnel IPSec come protocollo VPN, garantendo una maggiore interoperabilità con una vasta gamma di soluzioni VPN di altri produttori. |
| Caching Web e proxy Web | ||
| Caratteristica nuova o migliorata | Funzionalità | Descrizione |
Miglioramento | Regole di caching | Grazie a questa funzionalità centralizzata di ISA Server, è possibile configurare le modalità di recupero degli oggetti memorizzati nella cache. |
Miglioramento | Associazione di percorsi per le regole di pubblicazione sul Web | Con ISA Server 2004 la pubblicazione sul Web è molto più flessibile poiché è possibile reindirizzare il percorso inviato al firewall dall'utente a qualsiasi percorso desiderato sul server Web pubblicato. |
Novità | Supporto RADIUS per l'autenticazione di client proxy Web | Con ISA Server 2004 è possibile autenticare gli utenti in Active Directory e altri database di autenticazione utilizzando RADIUS per eseguire query in Active Directory. RADIUS può essere utilizzato anche con le regole di pubblicazione sul Web per autenticare le connessioni di accesso remoto. |
Novità | Delega dell'autenticazione di base | La protezione dall'accesso non autorizzato dei siti Web pubblicati è garantita dall'autenticazione degli utenti nel firewall ISA Server 2004 prima dell'inoltro della connessione al sito Web pubblicato. In questo modo si evita che utenti non autenticati accedano al server Web pubblicato. |
Novità | Mantenimento dell'indirizzo IP di origine nelle regole di pubblicazione sul Web | ISA Server 2004 consente di definire per ogni regola se il firewall deve sostituire l'indirizzo IP originale del client remoto con il proprio o inoltrarlo al server Web. |
Novità | Array di caching Web con supporto CARP (solo edizione Enterprise) | Gli array di caching Web con supporto CARP (Cache Array Routing Protocol) di ISA Server 2004 Enterprise Edition estendono notevolmente le funzionalità di caching Web per l'ottimizzazione delle prestazioni e dell'utilizzo della larghezza di banda incluse in tutte le versioni di ISA Server 2004. Gli array di caching Web offrono funzionalità di bilanciamento del carico e failover per l'accesso al Web da qualsiasi browser. |