随着网络技术的发展和不断进步，在给我们提供便利的同时，来自网络的威胁也随之增多。作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品。然而传统防火墙处于网络安全的网络层和传输层，其弱点也是明显的：只能根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过，因而各种安全要求不可能充分满足。

　　但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。微软公司的Internet Security and Acceleration (ISA) Server 就是这样的一种新型的防火墙产品。ISA Server是一个高级的应用层防火墙，VPN和Web缓存的解决方案，可以帮助客户在现有的IT架构基础上轻松地最大化地提升网络的安全和性能。ISA Server和传统防火墙比较有以下几大优点：

　　一、 轻松整合现有IT资源，最大限度提升性能和安全性

　　作为微软Windows Server System中的一员，ISA Server可以实现和微软其他服务器产品的轻松整合。

　　目前，绝大部分企业通过在防火墙上配置VPN拨入来实现公司员工不在办公室时也可以访问公司内部资源。这种做法存在着极大的不足和缺陷。首先，防火墙管理员需要为每个使用VPN拨入的员工在防火墙上开设验证帐号，在每个员工的客户端上进行VPN正确设置。第二，从 Internet 直接访问这些应用程序，攻击可能会隐藏在“安全套接字层”(SSL) 连接中。第三，当员工位于远程位置时，他们可能位于防火墙之后，从而会阻止客户端访问 VPN 连接。

　　使用ISA Server就可以很好的解决上述问题。解决方法是利用 ISA Server 的发布应用程序功能。当通过 ISA Server发布应用程序时，可以保护服务器免于直接的外部访问，因为用户无法访问该服务器的名称和 IP 地址。用户访问 ISA Server 计算机，然后该计算机根据服务器发布规则条件将该请求转发给服务器。对于启用 SSL 的Web应用程序，在 ISA Server收到客户端请求后，会对请求进行解密并检查，然后终止与客户端计算机的 SSL 连接。

　　ISA Server支持LDAP身份验证。ISA Server工作在工作组模式，因此不再需要为AD目录服务通信打开所有必需的端口，只需打开和域控制器之间的 LDAP 或全局编录端口。在用户请求身份验证时，ISA Server将直接进行验证，只有经过验证的请求才会被转发到内网。

　　ISA Server内建有多个应用程序发布规则向导，帮助用户简单快捷的实现OWA，RPC over HTTP和 Share　point站点的发布，并可实现单点登录(SSO)。ISA Server的RPC筛选器使得使用Outlook的用户在任何地方都可以访问Exchange服务器，而不管他们是在内网还是公司外网。
   
　　ISA Server还具有很好的扩展性。ISA Server作为一个软件防火墙，可以安装在Windows 2000 Server(SP4)和Windows Server 2003上，并可由用户使用免费的ISA Server SDK工具进行应用层过滤，访问控制等方面的扩展。
 
　　二、 应用层过滤
   
　　ISA Server提供了大量的应用层筛选器。这些筛选器可以保护ISA Server避免来自针对特殊应用层协议和服务的弱点和漏洞的攻击。

　　在所有这些筛选器中，又以HTTP筛选器功能留给人印象最深。ISA Server的HTTP筛选器可以配置为根据HTTP连接的实际上任何一个方面来检查和阻止HTTP连接，包括阻止：
  
   Java scripts
   ActiveX 控件
   文件共享型应用
   基于文件扩展名类型和MIME类型
   HTTP上载
   基于任何内容的URL
   包含密码的Web页面
   
　　除了可以使用预设的筛选器外，微软还提供了ISA Server Software Development Kit (SDK)，这个工具让企业可以创建属于他们自己的特定的筛选器。任何会使用C++的程序员，将不需要花更多时间就可以直接使用ISA Server SDK。
 
　　三、 VPN

　　ISA Server支持以下VPN协议：PPTP,L2TP/IPSec。ISA Server支持VPN客户端访问和站点与站点VPN连接2种模式。

　　VPN客户端访问模式允许配置为VPN客户端的单台计算机可以连接到ISA 并可以访问企业内部网络的资源。VPN客户端可以使用PPTP和L2TP/IPSec2种协议。同时，ISA Server还支持像SecureID，RADIUS和EAP/TLS等多种高级身份验证机制。

　　站点与站点VPN连接模式允许ISA Server建立与其它VPN服务器(可以是非ISA 服务器)的连接，将2个不同的网络通过Internet连接在一起。站点与站点VPN连接可以帮助企业省去了架设专线的费用。

　　ISA Server的VPN相对其他防火墙的VPN有很大的优势。与很多厂商的防火墙允许VPN客户端可以完全访问企业内部网络不同，ISA Server可以针对每用户的VPN连接建立防火墙访问控制策略。当一个用户建立与ISA Server的VPN连接后，他只能访问他被授权可以访问的网络资源，其他资源都将不可用。

　　ISA Server相比其他防火墙另一个大的优点就是VPN隔离区。VPN隔离功能会在允许客户端访问企业网络之前进行预先检查，只有在VPN客户端必须满足预先设定的要求后才可以访问企业内部网络。

　　在满足企业设定的安全标准之前，它们会被放置在一个叫做VPN隔离区的网络内。企业的隔离策略可以是要求VPN客户端必须安装了最新的安全更新和补丁，升级了最新的病毒库定义等等。隔离策略可以进行集中管理而不需要对每个客户端进行单独设置。虽然有些其他厂商的产品目前也开始支持类似的功能，但是却需要在每个客户端安装额外的软件，也增加了费用。而ISA Server VPN隔离策略支持任何Windows的VPN客户端，不需要购买其他软件和额外的授权许可费用，对VPN客户端的连接数量也没有任何限制。
 
　　四、 Cache缓存

　　ISA Server除了防火墙和VPN功能外，还可以充当Web代理服务器。它可以同时作为内部对外访问和外部对内访问的缓存服务器。

　　当处在ISA Server内部网络的某个用户访问Internet上某个Web站点，该用户请求访问的该站点的内容会被存放在ISA的Web缓存中，当下个用户请求访问同样的内容时，将直接从ISA Server缓存中读取相关的内容而不需要再次从Internet上访问。这样可以很好的降低Internet连接数和网络带宽的使用量。同时，对用户来说，还可以增加访问速度，提升员工的满意度和效率。

　　对于处在Internet上用户访问某台通过ISA Server 发布规则发布的Web站点时，ISA Server将代替Internet用户去访问处在Internal上的Web站点，然后再将请求内容传递给Internet用户，同时ISA Server还会将请求内容存放在自己的缓存中。当另外一个用户请求相同站点内容时，他将从ISA Server的缓存中直接读取。ISA Server的这个功能一来可以很好的降低Internal网络流量，二来可以保证Web站点永久在线。当Web服务器因为日常维护，硬件或软件故障而离线时，ISA Server的反向缓存功能将使它能够很好的担当起Web服务器的角色，因为网站的内容已经存放在ISA Server上，将由ISA Server来提供，避免了用户无法访问Web站点产生的负面影响。
 
　　五、 日志报告
   
　　ISA Server提供了详细的日志报告。用户可以根据需要设置报告产生的周期(天，周，月，年)，并且可以将报告以邮件形式发送给管理员。报告的内容包括了摘要，Web使用，应用程序使用，通讯和使用以及安全性5大方面。每个方面下面又分成各个小类，并以图表或数据表格的形式展现出来。让管理员看了之后一目了然。