БРАНДМАУЭРЫ
Microsoft сделала очередной шаг по пути усиления своих позиций на рынке брандмауэров: в августе ею был выпущен Internet Security and Acceleration (ISA) Server 2004. Этот продукт предназначен для защиты ИС предприятий любого масштаба от внутренних и внешних атак и оптимизации объема информационного трафика при работе с данными. Он объединяет в себе усовершенствованный трехуровневый межсетевой экран уровня приложений, средства организации и управления виртуальными частными сетями (VPN), а также службу кэширования Web-данных (см. таблицу).
Пока ISA Server 2004 представлен выпуском Standard Edition. К концу года ожидается вариант Enterprise Edition, который будет располагать расширенными возможностями по управлению распределенным комплексом серверов для создания маштабируемых решений корпоративного уровня.
Первый продукт Microsoft для обеспечения безопасности коропоративных систем при взаимодействии с внешним миром - Proxy Server - появился в середине 1996-го. Спустя полтора года была выпущена вторая версия с повышенной производительностью межсетевого экрана и расширенными возможностями кэширования. Следующий вариант системы разрабатывался более трех лет и был представлен на рынке в начале 2001-го под новым названием - Internet Security and Acceleration Server 2000, что должно было отразить внесенные в продукт качественные изменения (как по функциональности, так и по масштабируемости решения).
Новые функции ISA Server 2004 |
В состав ISA Server 2004 включено большое количество новых функций, которые наиболее полно проявляются в том случае, если продукт установлен на компьютере с Windows Server 2003:n новый упрощенный интерфейс; n поддержка нескольких сетей; n улучшенная поддержка VPN; - изолирование VPN-подключений; n создание групп пользователей межсетевого экрана; - расширенная поддержка протоколов; n переработанные определения протоколов; - мастер публикации Outlook Web Access; - усовершенствованная политика загрузки и передачи данных по протоколу FTP; - улучшенная Web-публикация; n перенаправление портов для правил публикации серверов; - улучшенные правила централизованного кэширования объектов; - отображение пути для правил Web-публикации; - поддержка службы RADIUS при проверке подлинности клиентов; - делегирование базовой проверки подлинности; - проверка подлинности SecureID; - формы, созданные межсетевым экраном (проверка подлинности на основе форм); - усовершенствованное средство контроля сообщений SMTP; - улучшенная фильтрация протокола НТТР; - преобразование ссылок; - усовершенствованные функции мониторинга и отчетности. |
В ISA Server 2004 включено немало новшеств, но два из них наиболее принципиальны. Во-первых, в продукте полностью переработана внутренняя архитектура, что позволило не просто повысить производительность, но и обеспечить поддержку нескольких сетей и VPN; таким образом, его можно применять в качестве межсетевого экрана на периметре корпоративной сети или на уровне подразделения без изменения архитектуры сети. Во-вторых, реализован новый интерфейс пользователя, который благодаря расширенным средствам администрирования обеспечивает единое управление сетью VPN и брандмауэром, реализуемое с помощью удобного средства редактирования политик.
Ключевыми технологиями в решении являются динамическая фильтрация пакетов и фильтрация каналов. Алгоритм динамической фильтрации избирательно открывает доступ пакетов данных в защищенные области сети и к прокси-службам программных систем: по мере необходимости порты открываются, а по завершении сеанса связи - закрываются. Средства же фильтрации каналов реализуют прозрачные для приложений шлюзы каналов для стандартного (не привязанного к ОС) доступа к Telnet, RealAudio, Windows Media, IRC (Internet Relay Chat) и многим другим протоколам и службам Интернета. Эти два вида фильтрации в ISA Server 2004 используются совместно и реализуют простые и надежные средства обеспечения безопасности.
Кроме того, при помощи фильтров команд и данных приложений система контролирует информационные потоки. Средства настраиваемой фильтрации потоков данных позволяют пропускать, блокировать, перенаправлять или изменять данные, передаваемые по протоколам HTTP, FTP, SMTP, POP3, DNS, данные конференций по протоколу H.323, потокового мультимедиа, RPC и VPN.
В новом продукте повышена Web-производительность внутренних клиентов, получающих доступ к Интернет-серверам, а также внешних Интернет-пользователей, которые подключаются к Web-серверу предприятия. Для обеспечения максимальной производительности ISA Server 2004 использует быстрое кэширование в оперативной памяти и оптимизированный дисковый кэш. Имеется возможность предварительной загрузки в кэш целых Web-узлов по определенному графику. Встроенная реализация туннельного режима IPsec для VPN-подключений "узел в узел" позволяет ISA Server 2004 подключаться к VPN филиалов, а поддержка Windows Quarantine (одна из самых важных новых возможностей сервера) повышает безопасность работы удаленных пользователей.
Основные возможности Microsoft ISA Server 2004 | |
Возможность | Описание |
Защита важных корпоративных приложений и данных | |
Многоуровневая проверка содержимого | Включает межсетевой экран уровня приложения, обеспечивающий защиту от атак, вирусов и нежелательного потока данных и одновременно позволяющий передавать данные приложений через Интернет |
Встроенная поддержка виртуальных частных сетей (VPN) | Обеспечивает безопасность входящих сообщений и защиту сети от внутренних атак. Встроенная поддержка туннельного режима IPSec позволяет без труда осуществить соединение между узлами и дистанционное подключение через VPN |
Улучшенные механизмы проверки подлинности | Проверка подлинности пользователей сети во встроенных пространствах имен Windows или по протоколу RADIUS с помощью разнообразных механизмов проверки учетных данных, включая RSA SecurID |
Простое управление политиками безопасности сети и конфигурацией межсетевого экрана | |
Возможность поддержки нескольких сетей и сетевых шаблонов | Позволяет быстро развертывать ISA Server 2004 в действующей ИС в качестве межсетевого экрана на периметре корпоративной сети, в отделе или филиале - без изменения топологии сети |
Единый интерфейс управления межсетевым экраном и VPN | Обеспечивает простые в использовании средства управления, включая визуальное средство редактирования политик, помогающее сократить время обучения и свести к минимуму бреши в защите из-за неправильной настройки |
Усовершенствованное устранение неполадок | Включает новую панель наблюдения с возможностью просмотра журнала в режиме реального времени, позволяющую просматривать сводную информацию о состоянии межсетевого экрана с подробными сведениями |
Высокая скорость доступа и повышение производительности | |
Расширенная архитектура межсетевого экрана | Обеспечивает более быстрое прохождение разрешенного потока данных через межсетевой экран, тем самым повышая производительность сети. Фильтрация на уровне приложений и возможность централизованной настройки политик кэширования объектов позволяет повысить п |
Высокая скорость доступа в Интернет | Веб-кэш сервера ISA позволяет повысить эффективность работы пользователей и сократить затраты на передачу данных за счет хранения веб-содержимого на локальном сервере |
ISA Server 2004 отличается гибкостью и простотой в использовании и включает поддержку многосетевой архитектуры, унифицированное средство управления VPN и брандмауэром в виде визуального редактора политик, понятные сетевые шаблоны, автоматизированные мастера, усовершенствованные средства устранения неполадок, функции экспорта данных о конфигурации в формат XML, средства мониторинга сеансов в режиме реального времени, группы пользователей межсетевого экрана и т.д. Графические панели задач и мастера конфигурации служат для упрощения навигации и настройки стандартных задач. Так, с помощью мастера можно опубликовать сервер Exchange в сети под защитой компьютера ISA Server 2004, настроить брандмауэр на выполнение функций сервера или шлюза VPN или создать новое правило межсетевого экрана (см. рисунок).
Управление конфигурацией сервера
Средства управления и настройки ISA Server 2004 предусматривают следующие типовые сценарии применения данного решения:
- доступ сотрудников к электронной почте за пределами сети;
- предоставление информации из интрасети предприятия через Интернет;
- доступ партнеров к данным внутри корпоративной сети;
- дистанционный доступ для сотрудников с одновременной защитой корпоративной сети от атак злоумышленника;
- взаимодействие филиалов с основным офисом через Интернет;
- контроль доступа в Интернет и защита клиентов от атак из Интернета;
- быстрый доступ к часто используемому Web-контенту.
В состав ISA Server 2004 включены подробная справка по разработке средств на основе функций межсетевого экрана, кэширования и управления продуктом, а также полная документация на прикладной интерфейс и примеры создания дополнительных Web-фильтров и фильтров приложений, оснасток ММС, средств составления отчетов, сценариев, оповещений и т.д. Уже сейчас целый ряд независимых разработчиков предлагает программы (в том числе антивирусное ПО, средства управления, фильтрации содержания и составления отчетов), которые созданы для использования с ISA Server с учетом особенностей этого продукта.