ISA Server与传统防火墙比较的优势(附图)

日期: 2010-03-29 来源:TechTarget中国

  随着网络技术的发展和不断进步,在给我们提供便利的同时,来自网络的威胁也随之增多。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品。然而传统防火墙处于网络安全的网络层和传输层,其弱点也是明显的:只能根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过,因而各种安全要求不可能充分满足。

  但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。微软公司的Internet Security and Acceleration (ISA) Server 就是这样的一种新型的防火墙产品。ISA Server是一个高级的应用层防火墙,VPN和Web缓存的解决方案,可以帮助客户在现有的IT架构基础上轻松地最大化地提升网络的安全和性能。ISA Server和传统防火墙比较有以下几大优点:

  一、 轻松整合现有IT资源,最大限度提升性能和安全性

  作为微软Windows Server System中的一员,ISA Server可以实现和微软其他服务器产品的轻松整合。

  目前,绝大部分企业通过在防火墙上配置VPN拨入来实现公司员工不在办公室时也可以访问公司内部资源。这种做法存在着极大的不足和缺陷。首先,防火墙管理员需要为每个使用VPN拨入的员工在防火墙上开设验证帐号,在每个员工的客户端上进行VPN正确设置。第二,从 Internet 直接访问这些应用程序,攻击可能会隐藏在“安全套接字层”(SSL) 连接中。第三,当员工位于远程位置时,他们可能位于防火墙之后,从而会阻止客户端访问 VPN 连接。

  使用ISA Server就可以很好的解决上述问题。解决方法是利用 ISA Server 的发布应用程序功能。当通过 ISA Server发布应用程序时,可以保护服务器免于直接的外部访问,因为用户无法访问该服务器的名称和 IP 地址。用户访问 ISA Server 计算机,然后该计算机根据服务器发布规则条件将该请求转发给服务器。对于启用 SSL 的Web应用程序,在 ISA Server收到客户端请求后,会对请求进行解密并检查,然后终止与客户端计算机的 SSL 连接。

  ISA Server支持LDAP身份验证。ISA Server工作在工作组模式,因此不再需要为AD目录服务通信打开所有必需的端口,只需打开和域控制器之间的 LDAP 或全局编录端口。在用户请求身份验证时,ISA Server将直接进行验证,只有经过验证的请求才会被转发到内网。

  ISA Server内建有多个应用程序发布规则向导,帮助用户简单快捷的实现OWA,RPC over HTTP和 Share point站点的发布,并可实现单点登录(SSO)。ISA Server的RPC筛选器使得使用Outlook的用户在任何地方都可以访问Exchange服务器,而不管他们是在内网还是公司外网。
   
  ISA Server还具有很好的扩展性。ISA Server作为一个软件防火墙,可以安装在Windows 2000 Server(SP4)和Windows Server 2003上,并可由用户使用免费的ISA Server SDK工具进行应用层过滤,访问控制等方面的扩展。
 
  二、 应用层过滤
   
  ISA Server提供了大量的应用层筛选器。这些筛选器可以保护ISA Server避免来自针对特殊应用层协议和服务的弱点和漏洞的攻击。

ISA Server与传统防火墙比较的优势1

  在所有这些筛选器中,又以HTTP筛选器功能留给人印象最深。ISA Server的HTTP筛选器可以配置为根据HTTP连接的实际上任何一个方面来检查和阻止HTTP连接,包括阻止:
  
   Java scripts
   ActiveX 控件
   文件共享型应用
   基于文件扩展名类型和MIME类型
   HTTP上载
   基于任何内容的URL
   包含密码的Web页面
   
  除了可以使用预设的筛选器外,微软还提供了ISA Server Software Development Kit (SDK),这个工具让企业可以创建属于他们自己的特定的筛选器。任何会使用C++的程序员,将不需要花更多时间就可以直接使用ISA Server SDK。
 
  三、 VPN

  ISA Server支持以下VPN协议:PPTP,L2TP/IPSec。ISA Server支持VPN客户端访问和站点与站点VPN连接2种模式。

  VPN客户端访问模式允许配置为VPN客户端的单台计算机可以连接到ISA 并可以访问企业内部网络的资源。VPN客户端可以使用PPTP和L2TP/IPSec2种协议。同时,ISA Server还支持像SecureID,RADIUS和EAP/TLS等多种高级身份验证机制。

  站点与站点VPN连接模式允许ISA Server建立与其它VPN服务器(可以是非ISA 服务器)的连接,将2个不同的网络通过Internet连接在一起。站点与站点VPN连接可以帮助企业省去了架设专线的费用。

  ISA Server的VPN相对其他防火墙的VPN有很大的优势。与很多厂商的防火墙允许VPN客户端可以完全访问企业内部网络不同,ISA Server可以针对每用户的VPN连接建立防火墙访问控制策略。当一个用户建立与ISA Server的VPN连接后,他只能访问他被授权可以访问的网络资源,其他资源都将不可用。

  ISA Server相比其他防火墙另一个大的优点就是VPN隔离区。VPN隔离功能会在允许客户端访问企业网络之前进行预先检查,只有在VPN客户端必须满足预先设定的要求后才可以访问企业内部网络。

ISA Server与传统防火墙比较的优势2

  在满足企业设定的安全标准之前,它们会被放置在一个叫做VPN隔离区的网络内。企业的隔离策略可以是要求VPN客户端必须安装了最新的安全更新和补丁,升级了最新的病毒库定义等等。隔离策略可以进行集中管理而不需要对每个客户端进行单独设置。虽然有些其他厂商的产品目前也开始支持类似的功能,但是却需要在每个客户端安装额外的软件,也增加了费用。而ISA Server VPN隔离策略支持任何Windows的VPN客户端,不需要购买其他软件和额外的授权许可费用,对VPN客户端的连接数量也没有任何限制。
 
  四、 Cache缓存

  ISA Server除了防火墙和VPN功能外,还可以充当Web代理服务器。它可以同时作为内部对外访问和外部对内访问的缓存服务器。

  当处在ISA Server内部网络的某个用户访问Internet上某个Web站点,该用户请求访问的该站点的内容会被存放在ISA的Web缓存中,当下个用户请求访问同样的内容时,将直接从ISA Server缓存中读取相关的内容而不需要再次从Internet上访问。这样可以很好的降低Internet连接数和网络带宽的使用量。同时,对用户来说,还可以增加访问速度,提升员工的满意度和效率。

  对于处在Internet上用户访问某台通过ISA Server 发布规则发布的Web站点时,ISA Server将代替Internet用户去访问处在Internal上的Web站点,然后再将请求内容传递给Internet用户,同时ISA Server还会将请求内容存放在自己的缓存中。当另外一个用户请求相同站点内容时,他将从ISA Server的缓存中直接读取。ISA Server的这个功能一来可以很好的降低Internal网络流量,二来可以保证Web站点永久在线。当Web服务器因为日常维护,硬件或软件故障而离线时,ISA Server的反向缓存功能将使它能够很好的担当起Web服务器的角色,因为网站的内容已经存放在ISA Server上,将由ISA Server来提供,避免了用户无法访问Web站点产生的负面影响。
 
  五、 日志报告
   
  ISA Server提供了详细的日志报告。用户可以根据需要设置报告产生的周期(天,周,月,年),并且可以将报告以邮件形式发送给管理员。报告的内容包括了摘要,Web使用,应用程序使用,通讯和使用以及安全性5大方面。每个方面下面又分成各个小类,并以图表或数据表格的形式展现出来。让管理员看了之后一目了然。

ISA Server与传统防火墙比较的优势3

ISA Server与传统防火墙比较的优势4

 

ISA Server与传统防火墙比较的优势5

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐