ISA产品概述.docx
- 文档编号:3438156
- 上传时间:2022-11-23
- 格式:DOCX
- 页数:9
- 大小:137.56KB
ISA产品概述.docx
《ISA产品概述.docx》由会员分享,可在线阅读,更多相关《ISA产品概述.docx(9页珍藏版)》请在冰豆网上搜索。
ISA产品概述
ISA产品概述
什么是ISAServer2004?
MicrosoftInternetSecurityandAcceleration(ISA)Server2004是高级应用层防火墙、虚拟专用网络(VPN)和Web缓存解决方案,它使客户能够通过提高网络安全和性能,轻松地从现有的IT投资获得最大收益。
ISAServer2004有两种可用版本:
标准版和企业版。
在本产品概述中提到的ISAServer2004的功能特点除非特别说明均适用于上述两个版本。
ISAServer2004为各种类型的网络提供了高级保护、易用性和快速、安全的访问。
它尤其适合于保护需要为不同地域设置多重防火墙阵列的大型企业网络,实现运行Microsoft客户端和服务器应用程序,如MicrosoftOffice,MicrosoftOutlookWeb访问(OWA),MicrosoftInternetInformationServices(IIS),OfficeSharePointPortalServer,路由和远程访问服务,活动目录的目录服务等,以及其他更多的Microsoft应用系统,服务器,和服务。
ISAServer2004包含一个功能完善的应用层感知防火墙,有助于保护各种规模的企业免遭外部和内部威胁的攻击。
ISAServer2004对Internet协议(如超文本传输协议(HTTP))执行深入检查,这使它能检测到许多传统防火墙检测不到的威胁。
ISAServer的集成防火墙和VPN体系结构支持对所有VPN通信进行有状态过滤和检查。
该防火墙还为基于MicrosoftWindowsServer2003的隔离解决方案提供了VPN客户端检查,帮助保护网络免遭通过VPN连接进入的攻击。
此外,全新的用户界面、向导、模板和一组管理工具可以帮助管理员避免常见的安全配置错误。
ISAServer2004向企业网络外部雇员提供高度安全的电子邮件访问
MicrosoftInternetSecurityandAcceleration(ISA)Server2004为MicrosoftOfficeOutlookWeb访问web站点提供了独特级别的保护。
利用ISAServer2004易于使用的用户界面,企业能够迅速设置Web发布规则,强制执行基于窗体的验证。
ISAServer2004还通过安全插槽层(SSL)解密(SSL桥接)用于检查SSL通信中是否具有恶意代码,还通过HTTP过滤提供对应用程序内容的深入检查,阻止针对电子邮件服务器的攻击。
此外,ISAServer2004能够进行用户验证,验证阻止匿名连接邮件服务器。
阻止匿名连接可以阻止匿名用户登录的尝试,即一种以内部邮件服务器为目标的主要攻击手段。
ISAServer2004利用企业内部现有的多重身份验证,对于无论是远程邮件方案使用的是远程验证拨号服务(RADIUS)还是RSASecurID,还是Microsoft基于窗体的认证,均能提供安全认证和授权。
这样,ISAServer2004帮助您阻止可能存在危险的匿名请求到达MicrosoftExchangeServer。
基于窗体认证的附件阻止和会话超时功能还提供了进一步的保护。
附件阻止功能能够阻止用户使用OutlookWeb访问打开附件,而会话超时功能,可以防止用户的电子邮件会话无限期保持打开状态而为他人所使用。
在防火墙停止工作的时候,ISAServer2004企业版可以帮助用户解决无法接受邮件的问题。
ISAServer和MicrosoftWindows网络负载均衡(NLB)紧密集成,通过负网络载均衡在线阵列成员接替离线的阵列成员,大大增强了防火墙正常运行时间。
此外,集成网络负载均衡的ISAServer由于采用了智能负载均衡算法,将阵列中任何ISAServer因网络流量过大而瘫痪的几率降到最低,从而提高了用户电子邮件的表现。
图1描绘了ISAServer2004如何帮助您为企业网络外部的员工提供安全的电子邮件访问。
图1,ISAServer2004使您安全、轻松地为网络外部的员工提供电子邮件访问
为远程用户提供对企业内部网络信息的安全访问
InternetSecurityandAcceleration(ISA)Server2004使用web和服务器发布规则来通过Internet安全地发布信息。
通过Internet向Internet用户发布信息,可以将企业网络内部计算机资源提供给外部用户使用。
ISAServer集成的Web和服务器发布向导自动执行普通的安装任务,并且减少了错误配置的风险。
另外,发布Web服务器的链接转换可以智能地将内部链接转换为公共可访问的URLs。
ISAServer还能够检查Web和其他网络通信的合法性,如强制限制有效的URLs。
除此之外,ISAServer可以从现有的密钥鉴别架构中对用户进行审核鉴别,从而允许您阻挡那些潜在的,不希望出现的危险匿名请求到达已经发布的服务器。
使用ISAServer2004企业版,您可以提高远程访问的可用性。
ISAServer完全支持windows网络负载均衡(NLB),对已经发布的Web服务器和其他发布的网络服务提供了失败转移和负载均衡功能,例如:
MicrosoftSQLServer,文件传输协议(FTP),以及简单邮件传输协议(SMTP)。
当ISAServer2004企业版负载均衡阵列成员不可用的时候,其他阵列成员会取代停止运作的服务器。
只有当所有阵列成员全部停止服务的时候访问才会停止。
图2描绘了ISAServer在使公司内部信息在Internet上的可用的同时,如何帮助保护您的企业网络。
图2描绘了ISAServer2004使您轻松、安全地通过Internet发布企业内部信息
可以使您的合作伙伴安全地访问企业网络信息
使用ISAServer2004中的集成VPN功能,可以安全地以站点对站点VPN方式,将业务合作伙伴连接到您的企业网络,同时限制它们对特定服务器和应用程序的访问。
ISAServer2004对合作伙伴与企业网络之间的所有通信进行加密,确保机密性并防止数据被盗取或者被修改。
此外,高安全性VPN站点间链接提供您的合作伙伴与您的企业间网络互访,而这种访问对于企业间来说是透明的,安全的,在企业网间访问是加密的。
在企业以及合作伙伴网络上的用户永远不会注意到他们之间的连接是通过虚拟专用网络连接的,同时也永远不需要重新配置他们的应用程序来使用站点间虚拟专用网络连接。
此外,VPN网关服务器彼此相互进行二次身份验证:
第一次验证是对发起连接的计算机进行验证,而第二次验证是对发起VPN站点到站点链接的用户账号进行验证。
这种双重验证提供了当今VPN站点到站点连接的最高安全级别。
在计算机和点对点用户账号验证完成之后,ISAServer对通过VPN连接的所有通信执行强制访问控制。
通过强制执行访问控制,可以限制合作伙伴漫游企业网络的能力,使其只能得到相关资源。
ISAServer也可以对大量网络协议执行深层的网络应用层检查,这项功能进一步帮助您保护企业网络免遭如今对企业网络造成巨大危害的高级应用层应用程序攻击。
系统运行时的状态检查的防火墙策略,对于要实现高安全性远程访问和站点到站点的VPN连接解决方案是至关重要的。
ISAServer2004企业版增加了VPN服务器和网关与MicrosoftWindows网络负载均衡(NLB)的集成功能。
当所有NLB阵列不可用的时候,VPN连接才停止工作。
此外,ISAServer2004企业版集中管理模式允许您在单独的位置,通过使用ISAServer管理控制台将高级安全访问策略应用到ISAServer2004企业版的VPN服务器上。
图3描绘了ISAServer2004在允许您的合作伙伴访问相关资源的同时,如何保护您的企业网络。
图3描绘了利用ISAServer2004,允许您为您的合作伙伴提供相关的企业资源访问
为员工提供远程访问所需要的企业网络资源
>通过高级应用层检查,ISAServer2004可以通过检查和分析VPN远程访问呢客户端通信来阻止蠕虫和病毒,有助于保护您的企业网络避免中断远程计算机通过VPN访问企业网络。
您可以使用ISAServer来向VPN用户和组分配灵活的网络策略,允许他们访问指定的服务器和应用程序,同时阻止他们连接到企业网络上的其他资源。
ISAServer2004通过隔离那些关于软件更新的安装,防病毒软件,或其他特定计算机配置等不符合预先配置的企业策略的客户端,提供了高级安全性。
图4描绘了当员工进行远程访问时,ISAServer2004如何帮助保护企业网络。
图4描绘了ISAServer2004使员工安全、灵活地对企业网络进行远程访问,同时帮助保护网络免遭恶意通信的攻击
使企业分支机构通过Internet与总部进行安全通信
ISAServer2004的VPN网关允许管理员将整个网络通过VPN,站点对站点连接到一起。
例如,如果您的公司有一个或者多个分之机构,您可以用ISAServer把您所有分支机构连接到总部的VPN网关上。
ISAServer驱动的防火墙管理器支持Internet协议安全(IPSec)隧道模式的VPN协议,能够设置强大的访问控制,包括对通过VPN的站点对站点的链接进行通信的用户,组,站点,计算机,协议以及应用层的特定控制。
通过适当设置这些强大访问控制,本地网络上的用户只能够访问远程网络上被允许访问的内容,同时远程网络用户也只可以访问到被指定的本地网路资源。
强大的ISAServer访问控制允许企业雇员访问能够帮助他们完成工作的必要信息,同时阻止访问所有其他计算机资源。
对于全球分布的企业来说,分支机构的防火墙管理已经成为挑战。
因为分支机构通常没有符合资格的IT员工来管理本地防火墙。
ISAServer2004企业版通过在企业内集中管理所有防火墙解决了这个问题。
企业防火墙管理员只需在总部,就可以管理所有分布各分支机构的企业版防火墙阵列。
同时ISAServer2004企业版完全支持Windows网络负载均衡(NLB),从而确保了VPN站点对站点的链接拥有最高的运行时间。
图5示范说明了ISAServer如何帮助您在分支机构和总部之间建立安全连接。
图5描绘了ISAServer2004如何帮助您在分支机构和总部之间建立安全通信
控制Internet访问并保护客户端免遭Internet上恶意通信的攻击
利用InternetSecurityandAcceleration(ISA)Server2004,您可以对用户进行轻松控制,并且为您的用户端口应用Internet访问策略,实现保护用户免遭Internet上恶意通信的攻击。
灵活的防火墙策略允许阻挡某些Web站点,也可以过滤掉某些内容,这些策略都用来提高用户的生产力,以及阻挡不适当的内容。
ISAServer与活动目录的目录服务集成的特性,使您为基于活动目录的用户和组,根据不同企业成员和不同工作级别建立特定的访问控制。
另外,ISAServer的应用层状态过滤功能,通过保护客户端计算机和服务器免遭高级攻击,实现提高您的应用环境可靠性。
例如,ISAServer中的高级HTTP过滤,可以阻挡那些的嵌入式应用程序,如常见点对点的和即时消息应用系统。
ISAServer的通信过滤功能还通过阻挡外部对内部非授权的访问,检查通信中输入的回复通信的有效性,以及检查第三方提供的插件是否带有蠕虫和病毒来阻断常见形式的Internet攻击。
图6显示了ISAServer2004如何控制Internet访问,同时帮助保护客户端免遭网络恶意通信的攻击。
图6描绘了ISAServer2004控制Internet流量并且保护客户端遭恶意通信攻击
确保对经常使用的Web内容进行快速访问
ISAServer2004中的缓存功能可以确保对经常使用的Web内容的快速访问。
ISAServer还可以在下游缓存已满的情况下将特定请求发送到上游缓存服务器。
图7和图8显示了ISAServer如何使用其下游和上游缓存功能,提供对经常使用的Web内容进行快速访问。
图7显示了下下游缓存提供对经常使用的Web内容进行快速访问
图8显示了当下游缓存已满时上游缓存开始发挥作用
除了路由Web请求到上游缓存和下游缓存Web缓存服务器之外,ISAServer2004企业版还通过缓存阵列路由协议(CARP)支持Web缓存服务器阵列。
智能的CARP运算规则显著地加快了Web访问速度,并且通过CARP运算规则的容错能力和负载均衡功能增强了Web访问的可靠性。
CARP运算规则对Web访问提供了容错能力,它通过允许Web浏览器绕过停止运行的阵列服务器,使其连接到正在运行的阵列成员从而实现了Web正常连接。
另外,CARP的缓存阵列对Web连接自动进行负载均衡,从而保证了在Web浏览高峰期没有任何一个阵列成员因为负载过大而停止服务。
ISAServer2004企业版缓存阵列也是非常有效的。
不会发生Web内容被缓存二次的事情,这一方法大大增加了原本被缓存到单一阵列的Web内容。
缓存阵列对于减少因不断增多的Web连接而占用的Internet带宽具有巨大的潜力。
在有分支机构的办公环境中,这一点是非常重要的,可以实现获得Web内容而不会额外地产生昂贵的Internet连接费用。
提供高可用性,实时失败转移,以及为输入和输出连接进行负载均衡
如今的互联的业务依赖于持久可靠的Internet访问。
ISAServer2004企业版通过集成了网络负载均衡支持,利用ISAServer企业阵列自动透明地将停止运行的防火墙移开,从而保证了计算机正常运行时间,有助于增加通过防火墙阵列连接的输入和输出运行时间。
用户永远不需要再次配置客户端计算机,并且防火墙策略永远不需要手动更新,即使一个或者多个阵列成员处于不可用的状态。
除了对ISAServer2004企业版阵列成员提供实时的失败转移容错,集成的负载均衡支持功能允许对通过ISAServer阵列成员产生的连接进行自动的负载均衡。
负载均衡优化了性能,同时通过防止单阵列成员因为网络流量过大而崩溃来提高Internet性能。
企业版本的智能NLB算法将通过阵列的连接均匀分布开,从而实现最快和最可靠的Internet访问。
好处
相对于其他防火墙解决方案,MicrosoftISAServer2004的主要优势包括了它的高级应用层检测和保护功能,易于使用,提供快速、安全的Internet访问的能力,分布式防火墙墙集中管理能力,以及易于与目前的防火墙和VPN结构集成的功能。
高级保护
ISAServer2004旨在通过提供有状态数据包过滤和链路过滤来保护企业免遭新型的攻击。
状态数据包过滤确定允许哪些数据包通受保护的网络链路和应用程序层代理服务。
状态过滤动态打开所需要的端口,并在通信结束时关闭这些端口。
链路过滤为MicrosoftWindowsMedia技术、Telnet、RealAudio、IRC以及许多其他Internet协议,和服务的多平台访问提供了应用层透明的链路网关。
ISAServer2004的链路层安全性与动态数据包过滤配合工作,从而增强了安全性和易用性。
除了状态数据包和链路过滤以外,ISAServer2004还使用应用程序、命令和数据感知过滤器控制应用程序特定通信。
通过对VPN、HTTP、文件传输协议(FTP)、简单邮件传输协议(SMTP)、邮局协议版本3(POP3)、域名系统(DNS)、H.323会议、流媒体,和远程过程调用(RPC)通信进行智能过滤,ISAServer可以根据通信的内容来接受、拒绝、重定向和修改通信。
易于使用
ISAServer2004十分灵活,并易于管理员使用。
它包含了多重网络体系结构功能,集成的VPN,以及通过强健的虚拟策略编辑器,节省时间的网络模板,自动化的防火墙策略向导,以及增强的故障解决工具,实现对防火墙的直观管理。
ISAServer2004还可以通过自动安装防火墙和Web缓存服务来简化防火墙安装。
此外,ISAServer2004标准版支持输出本地防火墙策略,并且ISAServer2004企业版还支持将本地防火墙策略和配置信息导出到(XML)文件,对每个阵列的防火墙成员、防火墙用户组以及更多内容进行实时的防火墙会话监控。
快速、安全的访问
ISAServer2004通过将VPN功能完全集成到防火墙体系结构、加速Web缓存和优化防火墙过滤引擎,提供了快速、安全的Internet访问。
用于站点到站点VPN连接的内置IPsec隧道模式支持,使连接ISAServer2004与分支机构VPN网关变得十分容易。
IPsec隧道模式与第三方VPN网关的连接中包括了深入的VPN客户端检查和防火墙策略支持,有助于企业建立更安全的虚拟专用网络和防火墙基础架构。
对最新的第三方过滤器和综合软件开发工具包(SDK)的支持进一步扩展了ISAServer的功能。
集中日志和报告
企业越来越感到他们自己在收集关于企业用户Internet活动综合日志然后提交付和本地区、州和联邦提法规要求的详尽报告上压力越来越大。
此外,执法部门可能需要强制访问企业企业的Internet活动日志来帮助民事与刑事调查。
ISAServer2004标准版可以记录所有通过防火墙的活动,而企业版则允许集中记录和报告所有企业成员的活动。
集中化的日志和报告极大地简化了搜寻基于每个用户、组、服务器、网络信息的工作。
ISAServer包括一个综合报告生成器,它记录了通过任意ISAServer而产生的关于Internet活动的主要信息。
与现有防火墙和VPN构架轻松集成
很多公司想要利用ISAServer2004应用层检测能力能提供的那种增强的安全级别,但是他们已经有了一个防火墙和VPN构架,同时不想或者不需要重新构建一个新的构架。
ISAServer支持这些企业将其强大功能与现有的防火墙和VPN构架轻松地结合。
一个或多个ISAServer计算机可以放置在状态包检测防火墙后面工作,以最少的管理花费增强了整个企业的安全性。
ISAServer计算机也可以放置在特定用户、部门和服务区域前面工作,从而提供增强的状态过滤和对这个网段进行状态应用层检测。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISA 产品 概述