微軟 Microsoft ISA Server 2004 Enterprise Edition 英文光碟正式版 軟體簡介: 微軟MicrosoftISAServer2004EnterpriseEdition英文光碟正式版 相關網址: http://www.microsoft.com/isaserver 內容說明: 產品概觀 MicrosoftInternetSecurityandAcceleration(ISA)Server2004是一套進 階應用程式層防火牆、虛擬私人網路(VPN)和Web快取解決方案,可以改善網路 安全性與效能,使客戶能夠輕鬆地大幅度提升現有IT投資的價值。 ISAServer2004執行摘要 ISAServer2004可以為各種類型的網路,提供進階保護、易於使用以及快速且安 全的存取。特別適合用來保護執行Microsoft應用程式的網路,這些應用程式包括 MicrosoftOutlookWebAccess(OWA)、MicrosoftInternetInformationServic es、OfficeSharePointPortalServer、路由及遠端存取服務、ActiveDirectory 目錄服務等。 ISA?Server2004含有全功能、應用程式層感知的防火牆,有助於保護各種規模的組 織,不受到內部和外在威脅的攻擊。ISAServer2004會對網際網路通訊協定(如超 文字傳輸協定,HTTP)進行深入偵查,使其能夠偵測出傳統防火牆無法偵測到的多種 威脅。ISAServer的整合式防火牆和VPN架構,可以支援所有VPN流量的狀態式篩 選和偵測。防火牆同時也提供MicrosoftWindowsServer2003式隔離方案的VPN用 戶端檢查,遂而協助保護網路,以防受到透過VPN連線而侵入的攻擊。此外,全新的 使用者介面、精靈、範本以及多種管理工具,可以協助系統管理員避免一般安全性設定 的錯誤。 螢幕畫面 ISAServer2004擁有完全重新設計的使用者介面。 使用案例 對於關心網路安全性、效能、管理能力或營運成本的IT經理、網路系統管理員和資訊 安全性專業人士而言,ISAServer2004能夠為他們帶來相當大的價值。無論是小中型 企業,還是大型組織,都能同樣因ISAServer2004而受益。下一節將說明ISA Server2004支援的幾個網路案例。 讓網路外的員工可以安全輕鬆地使用電子郵件 ISAServer2004為OWA網站提供獨特的保護層級。有了簡單好用的ISAServer2004 介面,企業組織就能快速設定用來強制執行安全表單式驗證的Web發佈規則。ISA Server2004也能阻止對電子郵件伺服器的攻擊:分別透過SecureSocketsLayer (SSL)解密以及HTTP篩選,前者可以偵測SSL流量找出惡意程式碼,而後者能夠對應用 程式的內容進行深入偵查。此外,ISAServer2004會使用預先驗證以防止匿名使用者登入 ,這種方法是以內部伺服器為目標的主要攻擊方式。 ISAServer2004運用現有的多因素驗證,對於使用「遠端認證撥接用戶服務」(RADIUS) 或RSASecurID的遠端郵件案例,都能提供驗證。如此一來,ISAServer2004就能協助您 防止具有潛在危險的匿名要求進入MicrosoftExchangeServer。ISAServer2004的附件 封鎖和工作階段逾時功能,提供了更強大的防護措施,這兩項功能可以防止使用者的電子郵 件工作階段永遠保持開放的狀態,而遭到他人使用。 提供員工安全且具彈性的遠端存取權限,同時協助保護公司網路,不受惡意流量的攻擊 透過進階應用程式層篩選,ISAServer2004會偵測並分析流量以封鎖蠕蟲和病毒,加 強保護公司網路,防止Unmanaged遠端電腦透過VPN存取公司網路。您也可以使用 ISAServer指派彈性的網路原則給VPN使用者和群組,只允許這些使用者和群組存 取特定的伺服器和應用程式。為了達到進階安全性,ISAServer2004可以隔離不符合 預先設定公司原則的用戶端,而這些原則的內容涵蓋了安裝軟體更新、防毒軟體或其他 特定電腦設定。 控制網際網路存取,保護用戶端不受網際網路上惡意流量的攻擊 您可以利用ISAServer2004,輕鬆為您的使用者控制並套用網際網路存取原則,並保 護使用者不受惡意網際網路流量的攻擊。極富彈性的防火牆原則可讓網站進行內容封鎖 和篩選,改善使用者產能並同時封鎖不適當的內容。ISAServer2004也具備和Active Directory整合的內建功能,可讓您為不同的組織角色和工作層級建立自訂存取控制項。 此外,ISAServer2004中的應用程式篩選,能夠保護桌上型電腦與伺服器不受進階攻 擊,遂而提升環境的穩定性。例如,ISAServer2004中的進階HTTP篩選可以封鎖內 嵌應用程式的使用,例如常用的對等式和即時訊息應用程式。ISAServer2004中的流 量篩選功能,能夠阻止從外部存取內部用戶端所常見的多種形式攻擊,檢查輸入回覆流 量的有效性,同時並確認協力廠商附加產品不含蠕蟲或病毒。圖6解說ISAServer如 何控制網際網路存取,並協助保護用戶端不受網際網路上惡意流量的攻擊。 確保快速存取最常使用的Web內容 ISAServer2004中的快取功能可以確保快速存取常用的Web內容。透過主動快取和事 先擷取功能,ISAServer2004可以得知Web流量模式,並自動下載經常要求的網站, 讓使用者可以隨時快速的存取內容。如果下游快取已滿,ISAServer也可以將特定要求 路由到上游的快取伺服器。圖7和8解說ISAServer如何使用下游和上游快取功能, 以提供常用Web內容的快速存取。 優點 讓MicrosoftISAServer2004與其他防火牆解決方案獨樹一格的主要優點在於,其進 階的保護功能、容易使用以及提供快速安全的網際網路存取能力。 進階保護 精心設計的ISAServer2004提供可設定狀態的封包篩選和網路篩選,能夠保護您的企 業不受新一代攻擊的威脅。狀態式封包篩選會決定允許哪些封包通過安全網路電路和應 用程式層Proxy服務。這項篩選只有需要時才會動態開啟連接埠,而於通訊結束時就會 關閉連接埠。電路篩選可以對應用程式提供透明化的電路閘道,以供多平台存取 WindowsMedia技術、Telnet、RealAudio、IRC以及其他多種網際網路通訊協定和服務 。ISAServer2004的電路層安全性會搭配動態封包篩選一起運作,以增強安全性與使 用的便利性。 除了狀態式封包和電路篩選以外,ISAServer2004也會以應用程式、命令和資料感知 篩選,控制特定應用程式的流量。透過智慧型篩選VPN、HTTP、檔案傳輸通訊協定( FTP)、SimpleMailTransferProtocol(SMTP)、PostOfficeProtocol3(POP3)、網 域名稱系統(DNS)、H.323會議服務、資料流媒體和遠端程式呼叫(RPC)的流量, ISAServer可以根據其內容接受、拒絕、重新導向和修改流量。 容易使用 極具彈性的ISAServer2004,可以讓系統管理員輕鬆上手使用。其包含多重網路架構 功能、統一的VPN、透過強大視覺原則編輯器進行的防火牆管理、直覺式網路範本、自 動執行的精靈以及增強的疑難排解工具。同時,ISAServer2004會自動安裝防火牆和 Web快取元件,進而簡化防火牆的安裝程式。此外,它也支援匯出設定資訊到可延伸標 記語言(XML)、即時防火牆工作階段監視以及防火牆使用者群組等。 快速安全的存取 ISAServer2004將VPN功能充分整合到防火牆架構、加速Web快取並大幅提升防火 牆篩選速度,藉此提供快速安全的網際網路存取。內建的IPsec通道模式支援網站對網 站的VPN連線,讓ISAServer2004與分公司VPN提供者的連線,變得更加容易。 IPsec通道模式支援也提供深入的VPN用戶端偵測以及Windows式隔離解決方案的防 火牆原則支援,進而加強公司使用者社群的安全。支援最新的協力廠商篩選器和全面性 的軟體開發套件(SDK),得以進一步延伸ISAServer的功能。 新增功能 ISAServer2004包含許多新功能和改進重點,尤其是安裝在WindowsServer2003的 系統時。這些功能包括: 全新、簡化的使用者介面 支援多個網路 增強的VPN支援 VPN隔離功能 建立自訂防火牆使用者群組的能力 更廣泛的通訊協定支援 自訂通訊協定定義 OWA發佈精靈 增強的FTP上載/下載原則支援 增強的Web發佈 伺服器發佈規則的連接埠重新導向 增強的集中式物件儲存快取原則 Web發佈規則的路徑對應 WebProxy用戶端驗證的RADIUS支援 基本驗證委派 SecureID驗證 防火牆產生的表單(表單式驗證) 增強的SMTPMessageScreener 增強的HTTP篩選 連結轉譯 增強的監視和報表功能 功能概述 下表概述了ISAServer2004所提供的主要功能。 表1.ISAServer2004功能概述 企業防火牆安全性 功能說明 多層式防火牆安全性企業組織可以利用封包、電路和應用程式層級流量篩選功能,大幅 提升安全性: 狀態式封包篩選會決定允許哪些封包通過安全網路流向和應用程式層Proxy服務。狀態 式篩選只有需要時才會自動開啟連接埠,當於通訊結束時就會關閉連接埠。 電路篩選可以對應用程式提供透明化的電路閘道,以供多平台存取Telnet、RealAudio 、WindowsMedia技術、IRC以及其他多種網際網路通訊協定和服務。ISAServer不同 於其他電路層Proxy,因為ISAServer電路層安全性會搭配動態封包篩選一起運作, 以增進安全性與使用的便利性。 應用程式篩選與狀態式偵測能夠瞭解用戶端PC應用程式通訊協定(如HTTP、FTP和 Gopher)中的命令。ISAServer2004可以作為用戶端PC使用,對外部網路隱藏網路 拓樸和IP位址。 狀態式偵測ISAServer2004可以對通過防火牆的流量,採取動態、智慧型的方式執行 應用程式層狀態式偵測。為了確保通訊的完整性並防止安全性受到破壞,這項偵測會在 應用程式層通訊協定和連線狀態的內容中進行。 智慧型應用程式篩選ISAServer2004能夠利用應用程式、命令和資料感知篩選器,控 制特定應用程式的流量,因而達到超越基本應用程式篩選的效能。透過智慧型地篩選 VPN、HTTP、FTP、SMTP、POP3、DNS、H.323會議功能、資料流媒體和RPC流量,ISA Server可以根據其內容接受、拒絕、重新導向和修改流量。 安全的伺服器發佈安全的伺服器發佈功能可以加強保護Web伺服器、電子郵件伺服器 和電子商務應用程式,而不受外界攻擊。ISAServer2004會模擬已發佈的伺服器,以 提升安全性的等級。Web發佈規則能讓您指定可以存取哪些電腦,進而保護內部Web伺 服器。伺服器發佈規則會保護內部伺服器,防止外部使用者進行未經授權的存取。智慧 型應用程式篩選也會保護所有已發佈的伺服器,不受外部的攻擊。 入侵偵測使用以網際網路安全性系統技術為基礎的整合式入侵偵測功能,ISAServer 2004在偵測到網路入侵(如連接埠掃瞄、WinNuke或PingofDeath)的嘗試時,會產 生警示並執行動作。 整合式虛擬私人網路藉由將其服務整合到Windows2000和WindowsServer2003的 VPN服務,ISAServer2004可讓您提供標準的安全遠端存取,將分公司和遠端使用者 連線到公司網路。您可以將ISAServer防火牆原則套用到VPN連線,藉此對VPN使 用者可以存取的資源和通訊協定進行細微的控制。 防火牆透明化SecureNAT會將內部IP位址以全域性有效的IP位址取代,藉此對所有 IP用戶端均提供透明化的防火牆存取和保護,而不需要用戶端軟體或設定。複雜的應 用程式層篩選器提供連線管理功能,可以為SecureNAT用戶端提供複雜的通訊協定支援 。 強大的使用者驗證ISAServer2004以整合式Windows驗證(WindowsNT/LAN Manager和Kerberos)為其防火牆和WebProxy用戶端提供強大的使用者驗證。對於 WebProxy用戶端,本產品能夠支援用戶端憑證以及摘要、基本、表單式能夠和匿名的 Web驗證。ISAServer可以對照防火牆或ActiveDirectory(或者使用RADIUS)上 的本機使用者資料庫驗證使用者。 SSL對SSL橋接對於需要驗證和加密用戶端存取的Web伺服器而言,ISAServer 2004可以使用SSL對SSL橋接,提供端對端的安全性和應用程式層篩選。不像一般的 防火牆,ISAServer2004防火牆能夠在加密資料到達Web伺服器之前進行偵測。防火 牆會解密SSL資料流、執行狀態式偵測,然後將資料重新加密,再轉送到已發佈的Web 伺服器。 Web快取伺服器 功能說明 高效能的Web快取無論是對於存取內部網路Web伺服器的內部用戶端還是存取公司 Web伺服器的外部網際網路使用者,ISAServer2004都能夠使用快速RAM快取和最佳 化磁碟快取,為其大幅提升Web效能。 智慧型快取主動快取常用物件,為使用者提供最新的Web內容。ISAServer2004會 根據物件在快取中存在的時間,以及該物件上次擷取的時間,自動決定哪些網站是最常 使用,以及應該重新整理內容的頻率。ISAServer2004可以在低網路使用量期間時, 將Web內容預先載入到快取中,而不需要網路管理員進行調整。此外,Web快取可離線 預先載入儲存在CD或DVD媒體上的內容。 排程快取您可以根據已定義的排程,對整個網站進行預先載入快取。排程下載可以確保 為每個使用者提供最新的快取內容,同時也能讓離線Web伺服器上的內容提供給使用者 。 直覺式防火牆管理 功能說明 原則式存取控制您可根據使用者、群組、應用程式、來源、目的地、內容和排程,控制 輸入和輸出的存取。防火牆原則精靈會指定哪些站台和內容可供存取、對於輸入和輸出 通訊是否有特定的通訊協定可供存取,以及應該允許還是拒絕所指定IP位址(使用指 定的通訊協定和連接埠)之間的通訊。 簡化的管理ISAServer2004可讓您將整個防火牆設定複製到XML檔中。將設定複製 到卸除式媒體,或將其透過安全的電子郵件傳送給其他防火牆系統管理員,就能輕鬆在 整個組織中建立標準化的防火牆設定。另外,您也可以將選取的防火牆設定元素複製到 XML檔,並匯入元素。 ActiveDirectory整合ISAServer2004防火牆可以利用儲存在ActiveDirectory 中的使用者資料庫,以驗證透過防火牆的輸入和輸出存取。 圖形工作台和設定精靈圖形工作台和設定精靈有助於您簡化一般防火牆設定的工作。例 如,精靈可以將ExchangeServer式的伺服器發佈在ISAServer2004電腦後的網路 上、將防火牆設定為VPN伺服器或閘道,或者建立新的防火牆規則。 遠端管理您可以透過MicrosoftManagementConsole(MMC)、Windows2000終端機服 務、WindowsServer2003遠端桌面和命令列指令碼,進行ISAServer2004的遠端管 理。對於安裝在WindowsServer2003上的ISAServer2004防火牆,也可以使用安 全SSL/遠端桌面通訊協定(RDP)通道進行遠端管理。 登入、報告和警示ISAServer2004提供使用標準資料格式的詳細安全性和存取記錄檔 ,如有分隔符號號的文字檔、SQL資料庫或MicrosoftDataEngine(MSDE)資料庫。 您可針對Web用途、應用程式用途、網路流量模式和安全性執行排程的內建報告,並可 自動將這些報告發佈到本機資料夾或遠端檔案共用。事件驅動的警示會觸發給系統管理 員的電子郵件、開始和中斷防火牆服務,並根據警示條件自動執行動作。 使用者等級管理對於ISAServer2004WebProxy和防火牆的用戶端,您可以根據IP 位址和使用者名稱限制存取,藉以對所有通訊協定的輸入和輸出存取進行進一步的控制 。 可擴充的平台 功能說明 廣泛的應用程式支援ISAServer2004能夠支援多種網際網路通訊協定,包括HTTP/ SSL、FTP、RDP、Telnet、RealAudio、RealVideo、多人線上交談系統(IRC)、H.323、 WindowsMedia資料流、電子郵件以及新聞通訊協定。 廣泛的廠商支援獨立廠商提供以ISAServer2004為建置基礎以及與其整合的多種產 品,包括病毒偵測軟體、管理工具以及內容篩選和報表軟體。例如,您可以使用協力廠 商篩選器,防止最新的病毒、Java程式碼或ActiveX控制項下載到您安全的網路環境 。 延伸SDKISAServer2004包含全面性的SDK,可用於開發建置在ISAServer防火牆 上的工具、快取和管理功能。SDK提供了完整的應用程式發展介面(API)文件和逐步範 例,可供開發人員建置其他Web篩選器、應用程式篩選器、MMC嵌入式管理單元、報告 工具、可編寫指令碼的命令、警示管理等。 MicrosoftInternetSecurityandAcceleration(ISA)Server2004is anextensibleplatformthatintegratesfirewall,VPN,andcache features.ISAServerintroducesmulti-networkingsupport,easyto useandhighlyintegratedvirtualprivatenetworkingconfiguration, extendedandextensibleuserandauthenticationmodels,andimproved managementfeatures.ISAServerincludesarraysupport,integrated NetworkLoadBalancing(NLB),andCacheArrayRoutingProtocol (CARP).BecauseyoucanhavemorethanoneISAServercomputerinan array,youhavetheadvantagesofhighavailability,failover,and redundancy.ISAServerincludeslibrariesfordevelopingextensions, administrationtools,securityapplications,andothercomponents thatintegratewithandbuildontherichISAServerplatform.