Быстрый доступ к часто используемому веб-содержанию

Межсетевой экран предприятия

Многоуровневый межсетевой экран

Для достижения максимального уровня безопасности сетей предприятий используются фильтрация пакетов, фильтрация каналов и фильтрация потока данных приложений.

• В процессе динамической фильтрации пакетов выявляются пакеты, которые будут пропущены в защищенные области сети, а также к прокси-службам прикладного уровня. При этом по мере необходимости автоматически производится открытие, а по завершении сеанса связи — закрытие соответствующих портов.

• Фильтрация каналов обеспечивает прозрачный для приложений шлюз для межплатформенного доступа к Telnet, RealAudio, Windows Media™, IRC (Internet Relay Chat), а также многим другим протоколам и службам Интернета. В отличие от других межсетевых экранов каналов, фильтрация каналов ISA Server 2004 работает совместно с динамической фильтрацией пакетов, что обеспечивает простоту использования и повышает общую безопасность работы сети.

• Фильтрация и динамическая проверка данных приложений способна распознавать команды протоколов (например, НТТР, FTP и Gopher), поступающие от клиентских компьютеров. Сервер ISA Server имперсонирует во внутренней сети клиентские компьютеры, скрывая от внешней среды внутреннюю топологию сети и IP-адреса предприятия.

Динамическая проверка данных приложений

ISA Server 2004 динамически проводит интеллектуальную проверку потока данных на уровне приложений, проходящего через межсетевой экран. Во избежание возможных разрывов подключения и для предотвращения нарушения системы безопасности это осуществляется с учетом контекста данных приложения и состояния подключения.

Интеллектуальная фильтрация данных приложений

Помимо базовой фильтрации данных приложений сервер ISA Server 2004 контролирует поток данных приложений, распознавая в нем данные и команды при помощи специальных фильтров. Средства интеллектуальной фильтрации позволяют на основе анализа содержания потока данных пропускать, блокировать, перенаправлять или изменять данные протоколов HTTP, FTP, SMTP, POP3, DNS, данных конференций по протоколу H.323, потокового мультимедиа, удаленного вызова процедур и VPN.

Безопасная публикация серверов

Механизм безопасной публикация серверов позволяет защитить в Интернете от внешних атак веб-серверы, почтовые серверы и приложения электронной торговли. Сервер ISA Server способен выдавать себя за опубликованный сервер, реализуя дополнительный уровень защиты. Для защиты внутренних серверов организации в правилах веб-публикации можно определить доступные компьютеры, а правила публикации средств управления сервером защищают внутренние серверы от незаконного получения доступа внешними пользователями. Кроме того, опубликованные серверы защищены от атак извне с помощью интеллектуальной фильтрации данных приложений.

Определение вторжения

Интегрированный компонент обнаружения вторжений (разработанный на основе технологии компании Internet Security Systems) уведомляет пользователя и предпринимает необходимые действия в случае обнаружения попытки незаконного проникновения в сеть (например, сканирования портов, использования средств «WinNuke» или «Ping of Death»).

Встроенная поддержка виртуальных частных сетей (VPN)

Для предоставления стандартного безопасного удаленного доступа используются встроенные службы виртуальных частных сетей Windows 2000 и Windows Server 2003. ISA Server 2004 поддерживает безопасные VPN-подключения филиалов или удаленных пользователей к основному офису. Политика межсетевого экрана применяется к VPN-подключениям и позволяет точно контролировать протоколы и ресурсы, к которым получают доступ пользователи таких подключений.

Прозрачность межсетевого экрана

Путем замены внутреннего IP-адреса на внешний механизм SecureNAT предоставляет прозрачный доступ к межсетевому экрану и защиту для всех IP-клиентов (независимо от конфигурации клиента и без необходимости использования специального программного обеспечения). Сложные фильтры прикладного уровня, которые служат для управления подключением, предоставляют комплексную поддержку клиентам SecureNAT.

Надежная проверка подлинности пользователей

Для клиентов веб-прокси и межсетевого экрана ISA Server 2004 поддерживается аутентификация Windows (NTLM и Kerberos). Для клиентов веб-прокси поддерживаются клиентские сертификаты, выборочная, базовая, анонимная проверка подлинности, а также проверка подлинности на основе форм. Проверка подлинности пользователей может проводиться по данным локальной базы данных на межсетевом экране, Active Directory или с помощью службы RADIUS.

Мост SSL-SSL

Для серверов, использующих доступ только по зашифрованным и проверенным каналам, ISA Server 2004 поддерживает механизм фильтрации моста «SSL-SSL». В отличие от большинства межсетевых экранов, зашифрованные данные могут быть проверены до попадания на сервер. Межсетевой экран ISA Server 2004 расшифровывает поток SSL, производит динамическую проверку, а затем повторно шифрует и пересылает данные опубликованному веб-серверу.

Сервер веб-кэширования

Высокопроизводитель‑ное веб-кэширование

Повышена веб-производительность для внутренних клиентов, получающих доступ к серверам Интернета, а также внешних пользователей Интернета, которые подключаются к веб-серверу предприятия. Для обеспечения максимальной веб-производительности ISA Server 2004 использует быстрое кэширование в оперативной памяти и оптимизированный дисковый кэш.

Интеллектуальное кэширование

Благодаря активному кэшированию часто используемых объектов пользователь получает веб-содержание последней версии. ISA Server 2004 автоматически определяет часто используемые веб-узлы, а также необходимую частоту обновления их содержания (на основании продолжительности пребывания объекта в кэше или времени последнего извлечения объекта). В периоды низкого потребления сетевых ресурсов ISA Server 2004 без вмешательства диспетчера сети осуществляет предварительную загрузку веб-содержания в кэш. Кроме того, веб-кэш ISA Server 2004 может быть использован для предварительной загрузки автономного содержания, которое хранится на компакт- или DVD-дисках.

Кэширование по графику

Существует возможность предварительной загрузки в кэш целых веб-узлов по определенному графику. Это позволяет предоставить пользователям в рамках предприятия доступ к содержанию на автономных веб-серверах.

Удобное управление межсетевым экраном

Управление доступом с помощью политик

Организация может контролировать входящий и исходящий доступ по пользователям, группам, приложениям, источникам и местам назначения, изменению контента, а также по расписанию. С помощью мастеров политик межсетевого экрана определяются доступные веб-узлы и содержание, доступность определенного протокола для установки входящих и исходящих подключений, а также разрешения на установку подключений между определенными IP-адресами с помощью заданных протоколов и портов.

Упрощенное управление

В ISA Server 2004 конфигурацию межсетевого экрана можно целиком скопировать в файл XML. После этого такой файл переносится на съемный носитель или отправляется в составе безопасного почтового сообщения администратору другого межсетевого экрана для обеспечения стандартной конфигурации в рамках всей организации. Кроме того, скопировать в файл XML, а затем импортировать можно и отдельные элементы конфигурации.

Интеграция с Active Directory

Межсетевой экран ISA Server 2004 для проверки подлинности входящих и исходящих подключений использует базу данных пользователей Active Directory

Графические панели задач и мастера конфигурации

Графические панели задач и мастера конфигурации служат для упрощения навигации и настройки стандартных задач. Так, с помощью мастера можно опубликовать сервер Exchange в сети под защитой компьютера ISA Server 2004, настроить межсетевой экран на выполнение функций сервера или шлюза VPN или создать новое правило межсетевого экрана.

Удаленное управление

Управление ISA Server 2004 может осуществляться в удаленном режиме с помощью оснастки MMC, служб терминалов Windows 2000 и удаленного рабочего стола Windows Server 2003. Для удаленного управления межсетевым экраном ISA Server 2004 на компьютере Windows Server 2003 может использоваться безопасное туннелирование SSL/RDP. Кроме того, удаленное управление службами ISA Server 2004 возможно с помощью сценариев, запускаемых из командной строки.

Журналы, отчеты и оповещения

В стандартных форматах (текстовые файлы с символами-разделителями, базы данных SQL и MSDE) создаются подробные журналы безопасности и доступа. Кроме того, существует возможность создания по определенному графику стандартных отчетов об использовании сети и приложений, моделях потока сетевых данных и безопасности с автоматической публикацией в локальной папке или удаленном общем ресурсе. Оповещения на основе событий служат для отправки сообщений администратору, запуска и остановки служб межсетевого экрана, а также автоматического выполнения действий на основании заданных критериев.

Управление на уровне пользователя

Существует возможность ограничения доступа клиентов межсетевого экрана и веб-прокси ISA Server 2004 для каждого отдельного пользователя (а не просто по IP-адресам), что позволяет более точно контролировать получение входящего и исходящего доступа по всем протоколам.

Расширяемая платформа

Поддержка широкого круга приложений

ISA Server 2004 поддерживает многие протоколы Интернета, в т. ч. HTTP/SSL, FTP, RDP, Telnet, RealAudio и RealVideo, IRC, H.323, потоковое мультимедиа Windows, почтовые и новостные протоколы.

Широкая поддержка со стороны сторонних разработчиков

Независимые разработчики предлагают программы (например, антивирусное программное обеспечение, средства управления, фильтрации содержания и составления отчетов), которые созданы для использования с ISA Server с учетом особенностей продукта. Так, существуют фильтры сторонних разработчиков, которые могут быть использованы для предотвращения загрузки в защищенную сеть предприятия последних версий вирусов, сценариев Java и элементов управления ActiveX®.

Справка SDK

В состав ISA Server 2004 включены подробные файлы справки по разработке средств на основе функций межсетевого экрана, кэширования и управления продуктом, а также полная документация API и примеры создания дополнительных веб-фильтров и фильтров приложений, оснасток ММС, средств составления отчетов, сценариев, оповещений и т. д.