- •Аннотация
- •Содержание
- •Введение
- •Общее описание isa Server 2004 Standard Edition
- •Усовершенствованные средства защиты
- •Простота использования
- •Быстрое и надежное получение доступа
- •Гибкость решения
- •Развертывание isa Server 2004
- •Безопасный и простой метод предоставления доступа к электронной почте сотрудникам за пределами сети
- •Безопасный и простой метод предоставления данных корпоративной интрасети через Интернет
- •Безопасные средства предоставления партнерам доступа к данным внутри корпоративной сети
- •Безопасный и гибкий метод предоставления удаленного доступа для сотрудников с одновременной защитой корпоративной сети от возможных атак
- •Безопасный метод взаимодействия филиалов с основным офисом через Интернет
- •Управление доступом к Интернету и защита клиентов от возможных атак из Интернета
- •Быстрый доступ к часто используемому веб-содержанию
- •Краткий обзор функций
- •Новые функции isa Server 2004
- •Технические характеристики
- •Рейтинг брандмауэров и место в нем isa Server 2004 Сравнение isa Server 2004 с другими брандмауэрами
- •Параметры сравнения isa Server 2004
- •Поддержка аппаратной платформы и системные требования
- •Надежность
- •Масштабируемость
- •Расширяемость
- •Высокая работоспособность
- •Совместимость/способность к взаимодействию
- •Интеграция с Active Directory
- •Интеграция с серверами Exchange
- •Работа в смешанной сетевой среде
- •Сравнение брандмауэров isa Server 2004 и CheckPoint
- •CheckPoint: поддержка платформы и системные требования
- •CheckPoint: возможности фильтрации на уровне приложения
- •Check Point: поддержка vpn
- •Check Point: Web-кэширование
- •Заключение
- •Список литературы:
CheckPoint: возможности фильтрации на уровне приложения
В своих новейших продуктах «NG with Application Intelligence» (NG с возможностью работы на уровне приложения) компания CheckPoint предлагает возможности фильтрации на уровне приложения. В продуктах компании CheckPoint прикладные прокси называются «серверами безопасности», а для обозначения технологий предупреждения атак на уровне приложения, встроенных в FireWall-1 и SmartDefense используется термин «Application Intelligence». Компания Check Point сравнительно недавно стала использовать фильтрацию на уровне приложения (эта функция
не включалась в версии до 4.0). Фильтрация содержимого может выполняться посредством плагина URL Filtering Protocol Server for FW-1 (SurfControl). Этот плагин предоставляет список категорий секретных Web-сайтов, и его можно установить на компьютере с FW-1 или на отдельном сервере. Фильтрация содержимого также может выполняться посредством
CPV-сервера (Content Vectoring Protocol, протокол векторизации содержимого). Устройства и службы фильтрации содержимого типа Websense могут работать совместно с FW-1.
Брандмауэр ISA Server 2004 выполняет интеллектуальную проверку с отслеживанием соединений с использованием интеллектуальных прикладных фильтров. В нем можно не только определить достоверность данных, проходящих через брандмауэр в заголовках запроса и ответа, но и осуществлять фильтрацию по текстовым цепочкам для фильтрации по ключевым словам или отфильтровывать определенные типы файлов. Как и FW-1, ISA Server 2004 работает с Websense, SurfControl и другими продуктами от сторонних производителей, предназначенными для фильтрации. Брандмауэр ISA Server 2004 проверяет все аспекты HTTP-соединений. SMTP-фильтр защищает от неверных SMTP-команд, которые вызывают переполнение буфера, а средство контроля SMTP-сообщений блокирует спам и почту, содержащую опасные вложения. RPC-фильтрация ISA Server защищает от атак и вредоносных кодов, направленных на службы RPC, и пропускает через сервер Exchange только законные соединения. DNS-фильтрация предотвращает атаки на уровне приложения, нацеленные на опубликованные DNS-серверы, а фильтры РОРЗ защищают опубликованные почтовые серверы РОРЗ от атак. ISA Server SDK позволяет легко создавать Web-фильтры и прикладные фильтры.
Check Point: поддержка vpn
Компания CheckPoint предоставляет ряд различных решений в области создания виртуальных частных сетей:
■ VPN-1 Edge: для удаленных узлов/филиалов;
■ VPN-1 Express: для предприятий среднего размера с большим количеством узлов и поддержкой до 500 пользователей;
■ VPN-1 Pro: сложные сети уровня предприятия (включает в себя FW-1);
■ VSX: для виртуальных локальных сетей, центров обработки данных, крупных сегментированных сетей.
Все они поддерживают проверку с отслеживанием состояния соединений, URL-фильтрацию, VPN-подключения «узел-в-узел» и сертификаты Х.509. Функции обнаружения вторжений SmartDefense, фильтрация содержимого и прикладные прокси (сервер безопасности), восстановление после отказа с отслеживанием состояния соединений и выравнивание нагрузки поддерживаются только в VPN-1 Express, VPN-1 Pro и VSX. К другим функциям VPN относятся:
■ возможность создавать VPN-подключения с помощью одношаговой операции (one-click VPNs);
■ шифрование и проверка подлинности для IPSec-трафика;
■ в качестве стандарта шифрования в SecuRemote используется 128—256-битное AES-шифрование, а для шифрования данных 56— 168-битное ЗОЕЗ-шифрование;
■ поддержка VPN QoS с помощью дополнительного модуля (FoodGate-1);
■ поддержка VPN-подключений на базе протокола SSL посредством Web-браузера;
■ поддержка VPN-клиента Microsoft L2TP.
Программное обеспечение CheckPoint SecureClient (программное обеспечение VPN-клиента, доступное за дополнительную плату) обеспечивает функциональность, сходную с функцией изолирования VPN-подключений ISA Server (в CheckPoint эта функция называется «client configuration verification» проверка конфигурации клиента), и также предоставляет для клиентской машины персональный брандмауэр.
Брандмауэр ISA Server 2004 обеспечивает поддержку контроля пользовательского и группового доступа и VPN-подключения удаленного доступа и «узел-в-узел», причем проверка и фильтрация с отслеживанием состояния соединений позволяют вам контролировать то, что проходит через VPN-подключение. VPN-подключения подчиняются политикам брандмауэра точно так же, как и любое другое подключение; это обеспечивает тщательный контроль используемых протоколов, серверов, с которыми можно устанавливать соединение, время суток/продолжительность соединения и IP-адрес, с которого разрешено соединение. Кроме того:
■ ISA Server поддерживает сертификаты Х.509 для шифрования IPSec-трафика и общие ключи для организаций, которые не хотят использовать PKI.
■ VPN мастера ISA Server позволяют с легкостью устанавливать VPN-подключения.
ISA Server поддерживает использование СМАК для создания VPN-коннектоидов, позволяющих пользователям устанавливать соединение с VPN одним щелчком мыши, и поддерживает автоматически загружаемую телефонную книгу. СМАК также позволяет вам настраивать маршруты для VPN-клиентов. Мастера СМАК позволяют с легкостью справиться со всеми задачами не только администратору, но и пользователю.
■ ISA Server использует интернет-стандарт IETF RFC L2TP IPSec Nat Traversal (NAT-T) для установки соединений с VPN Server 2003.
■ ISA Server 2004 поддерживает стандарт шифрования 3DES.
■ ISA Server 2004 не поддерживает VPN QoS, однако QoS имеет ограниченную функциональность за пределами корпоративной сети, потому что каждый промежуточный маршрутизатор также должен поддерживать QoS, а вероятность этого низкая.
■ ISA Server поддерживает SSL-туннелирование.
■ ISA Server 2004 поддерживает клиенты Microsoft PPTP и L2TP.
■ ISA Server поддерживает изолирование VPN-подключений посредством функции изолирования в Windows Server 2003 с использованием клиентов Windows PPTP и L2TP без дополнительной платы.