ISA2004产品概述

使用方案

对于关注网络的安全、性能、易管理性或运营成本的 IT 经理人、网络管理员和信息安全专业人员来说，ISA Server 2004 颇有价值。无论是中小型组织还是大型组织均可从中受益。以下各节介绍了 ISA Server 2004 支持的一些网络方案。

安全、轻松地使电子邮件对网络外部的员工可用

ISA Server 2004 为 OWA Web 站点提供了独特级别的保护。利用 ISA Server 2004 易于使用的界面，组织可以快速设置 Web 发布规则，强制进行基于安全窗体的身份验证。ISA Server 2004 还通过安全套接字层 (SSL) 解密（用于检查 SSL 通信中是否具有恶意代码）和 HTTP 筛选（提供对应用程序内容的深入检查）阻止针对电子邮件服务器的攻击。此外，ISA Server 2004 使用预身份验证防止匿名用户登录（一种以内部服务器为目标的主要攻击手段）。

ISA Server 2004 利用现有的多因素身份验证，无论远程邮件方案使用的是远程验证拨号服务 (RADIUS) 还是 RSA SecurID，均能提供身份验证。这样，ISA Server 2004 帮助您阻止可能存在危险的匿名请求到达 Microsoft Exchange Server。ISA Server 2004 的附件阻止和会话超时功能还提供了进一步的保护，可以防止用户的电子邮件会话无限期保持打开状态而为他人所使用。

图 1 显示了 ISA Server 2004 如何帮助企业网络外部的员工进行安全的电子邮件访问

图 1：ISA Server 2004 使您能够安全、轻松地让企业网络外部的员工访问电子邮件

安全、轻松地通过 Internet 提供 Intranet 信息

ISA Server 2004 将 Web 和服务器发布用于 Intranet 应用程序,以安全地通过 Internet 发布信息。集成的 Web 和服务器发布向导自动执行常见任务并降低了错误配置的风险。此外，ISA Server 2004 中的链接转换功能可将内部链接智能转换为可公开访问的站点。ISA Server 2004 还可以检查通信的合法性、强制实现有效的 URL 以及通过现有的身份验证框架对用户进行预身份验证，这样您便可以阻止可能存在危险的匿名请求到达已发布的服务器。图 2 显示了 ISA Server 2004 如何在通过 Internet 提供 Intranet 信息的同时保护您的企业网络。

图 2：ISA Server 2004 使您能够安全、轻松地通过 Internet 发布 Intranet 信息

使合作伙伴能够安全地访问有关的企业网络信息

使用 ISA Server 2004 中的集成 VPN 功能，可以安全地将业务合作伙伴连接到您的企业网络，同时限制它们对特定服务器和应用程序的访问。ISA Server 2004 对合作伙伴与企业网络之间的所有通信进行加密，确保机密性并防止数据被修改。此外，VPN 终结点服务器相互进行身份验证，并且在完成身份验证后，ISA Server 2004 会强制执行访问和路由策略，以限制合作伙伴漫游企业网络的能力。还可以使用 ISA Server 2004 应用严格的应用程序筛选规则，以帮助保护企业网络免遭高级应用程序层的攻击。图 3 显示了 ISA Server 如何在为合作伙伴提供相关信息的同时保护您的企业网络。

图 3：使用 ISA Server 2004，可以使您的合作伙伴安全地访问有关的企业信息

为员工提供安全、灵活的远程访问，同时帮助保护企业网络免遭恶意通信的攻击

通过高级应用程序层筛选，ISA Server 2004 可以通过检查和分析通信来阻止蠕虫和病毒，帮助防止非托管的远程计算机通过 VPN 访问企业网络。还可以使用 ISA Server 向 VPN 用户和组分配灵活的网络策略，只允许他们访问特定服务器和应用程序。对于高级安全性，ISA Server 2004 可以隔离那些不符合预先配置的企业策略（关于软件更新安装、防病毒软件或其他特定计算机配置）的客户端。图 4 显示了 ISA Server 如何帮助在为员工提供远程访问的同时保护企业网络。

图 4：通过 ISA Server 2004 可以使员工安全、灵活地对企业网络进行远程访问，同时帮助保护网络免遭恶意通信的攻击

使分支机构能够通过 Internet 与总部安全地通信

ISA Server 2004 VPN 网关使管理员可以通过 VPN 站点到站点链接将整个网络连接在一起，例如，将组织的总部与分支机构彼此连接。ISA Server 2004 中的 Internet 协议安全 (IPSec) 隧道模式 VPN 路由器功能使防火墙管理员能够设置严格的访问控制，包括对通过站点到站点链接移动的通信进行用户、组、站点、计算机、协议和应用程序层特定控制。设置这些控制后，本地网络上的用户只能访问远程网络上的允许内容，而远程网络用户只能访问指定的本地网络资源。图 5 显示了 ISA Server 如何帮助在分支机构与总部之间提供安全的连接。

图 5：ISA Server 2004 帮助在分支机构与总部之间提供安全的通信

控制 Internet 访问并保护客户端免遭 Internet 上的恶意通信的攻击

使用 ISA Server 2004，您可以轻松地为用户群控制和应用 Internet 访问策略，以及保护用户免遭恶意 Internet 通信的攻击。通过灵活的防火墙策略，可以阻止 Web 站点并对内容进行筛选，以便提高用户工作效率并阻止不适当的内容。ISA Server 2004 的另一特色是与 Active Directory 的内置集成，使您能够针对不同的组织角色和作业级别建立自定义访问控制。

此外，ISA Server 2004 中的应用程序筛选使您能够保护桌面和服务器免遭高级攻击，从而提高环境的可靠性。例如，ISA Server 2004 中的高级 HTTP 筛选可以阻止使用嵌入式应用程序，如常见的对等应用程序和即时消息应用程序。通过阻止从外部访问内部客户端、检查入站答复通信的有效性和确认第三方附件不包含蠕虫或病毒，ISA Server 2004 中的通信筛选还可以阻止许多常见形式的攻击。图 6 显示了 ISA Server 如何控制 Internet 访问并帮助保护客户端免遭 Internet 上恶意通信的攻击。

图 6：ISA Server 2004 控制 Internet 通信并帮助保护客户端免遭恶意通信的攻击

确保对最常用的 Web 内容的快速访问

ISA Server 2004 中的缓存功能可以确保对常用的 Web 内容的快速访问。通过活动缓存和预取功能，ISA Server 2004 可以了解 Web 通信模式并自动下载通常请求的 Web 站点以使它们更容易使用。ISA Server 还可以在下游缓存已满的情况下将特定请求路由到上游缓存服务器。图 7 和图 8 显示了 ISA Server 如何使用其下游和上游缓存功能提供对常用 Web 内容的快速访问。

图 7：下游缓存提供对常用 Web 内容的快速访问

图 8：上游缓存在下游缓存已满时可用

优势

相对于其他防火墙解决方案，Microsoft ISA Server 2004 的主要优势包括它的高级保护功能、易用性以及提供快速、安全的 Internet 访问的能力。

1、高级保护

ISA Server 2004 旨在通过提供有状态数据包筛选和链路筛选来保护企业免遭新型的攻击。有状态数据包筛选确定允许哪些数据包通过并到达受保护的网络链路和应用程序层代理服务。此筛选只在需要时动态打开端口，并在通信结束时关闭这些端口。链路筛选为 Windows Media 技术、Telnet、RealAudio、IRC 以及许多其他 Internet 协议和服务的多平台访问提供了应用程序透明的链路网关。ISA Server 2004 的链路层安全性与动态数据包筛选配合工作，从而增强了安全性和易用性。

除了有状态数据包和链路筛选以外，ISA Server 2004 还使用应用程序、命令和数据层筛选器控制应用程序特定通信。通过对 VPN、HTTP、文件传输协议 (FTP)、简单邮件传输协议 (SMTP)、邮局协议 3 (POP3)、域名系统 (DNS)、H.323 会议、流媒体和远程过程调用 (RPC) 通信进行智能筛选，ISA Server 可以根据通信的内容来接受、拒绝、重定向和修改通信。

2、易于使用

ISA Server 2004 十分灵活，并易于管理员使用。它包含多网络体系结构功能、统一的 VPN 以及通过可靠的可视化策略编辑器、直观的网络模板、自动化向导和增强的疑难解答工具进行的防火墙管理。ISA Server 2004 还可以通过自动安装防火墙和 Web 缓存组件来简化防火墙安装。此外，它还支持将配置信息导出到可扩展标记语言 (XML)、实时防火墙会话监视、防火墙用户组等功能。

3、快速、安全的访问

ISA Server 2004 通过将 VPN 功能完全集成到防火墙体系结构、加速 Web 缓存和最大化防火墙筛选速度，提供了快速、安全的 Internet 访问。用于站点到站点 VPN 连接的内置 IPsec 隧道模式支持使连接 ISA Server 2004 与分支机构 VPN 提供商变得十分容易。IPsec 隧道模式支持还为基于 Windows 的隔离解决方案提供了深入的 VPN 客户端检查和防火墙策略支持，从而帮助增强公司用户社区的安全性。对最新的第三方筛选器和综合软件开发工具包 (SDK) 的支持进一步扩展了 ISA Server 的功能。

新功能

ISA Server 2004 包括许多新功能和增强功能，尤其是安装在运行 Windows Server 2003 的系统上时。这些功能包括：

• 简化的新用户界面
• 支持多个网络
• 增强的 VPN 支持
• VPN 隔离功能
• 创建自定义防火墙用户组的能力
• 更广泛的协议支持
• 自定义的协议定义
• OWA 发布向导
• 对 FTP 上载/下载策略的增强支持
• 增强的 Web 发布
• 对服务器发布规则的端口重定向
• 用于集中对象存储的增强缓存规则
• Web 发布规则的路径映射
• 对 Web 代理客户端身份验证的 RADIUS 支持
• 基本身份验证的委派
• SecureID 身份验证
• 防火墙生成的窗体（基于窗体的身份验证）
• 增强的 SMTP Message Screener
• 增强的 HTTP 筛选
• 链接转换
• 增强的监视和报告

ISA Server 2004 功能一览

企业防火墙安全

功能

说明

多层防火墙安全

组织可以使用数据包、链路和应用程序级别的通信筛选最大限度地增强安全性：

• 有状态数据包筛选确定允许哪些数据包通过并到达受保护的网络链路和应用程序层代理服务。有状态筛选只在需要时自动打开端口，并在通信结束时关闭这些端口。
• 链路筛选为 Telnet、RealAudio、Windows Media 技术、IRC 以及许多其他 Internet 协议和服务的多平台访问提供了应用程序透明的链路网关。与其他链路层代理不同，ISA Server 链路层安全可以与动态数据包筛选配合工作，从而增强安全性和易用性。
• 应用程序筛选和有状态检查可以识别客户端 PC 应用程序协议（如 HTTP、FTP 和 Gopher）中的命令。ISA Server 2004 代表客户端 PC 进行操作，并对外部网络隐藏网络拓扑结构和 IP 地址。

有状态检查

ISA Server 2004 以动态、智能化的方式对通过防火墙的通信执行应用程序层有状态检查。为确保通信的完整性并防止安全漏洞，在应用程序层协议和连接状态的上下文中都进行此项检查。

智能应用程序筛选

通过使用应用程序、命令和数据层筛选器控制应用程序特定通信，ISA Server 2004 已经超越了基本的应用程序筛选。通过对 VPN、HTTP、FTP、SMTP、POP3、DNS、H.323 会议、流媒体和 RPC 通信进行智能筛选，ISA Server 可以根据通信的内容来接受、拒绝、重定向和修改通信。

安全的服务器发布

安全的服务器发布有助于保护 Web 服务器、电子邮件服务器和电子商务应用程序免遭外部攻击。ISA Server 2004 可以通过模拟已发布的服务器来添加一个安全层。Web 发布规则通过允许您指定可以访问的计算机来保护内部 Web 服务器。服务器发布规则保护内部服务器免遭外部用户的不可靠访问。智能应用程序筛选保护所有已发布的服务器免遭外部攻击。

入侵检测

使用集成的入侵检测功能（基于 Internet 安全系统的技术），ISA Server 2004 可以在检测到网络入侵尝试（如端口扫描、WinNuke 或 ping 失败）时生成警报并执行操作。

集成的虚拟专用网络

通过将其服务与 Windows 2000 和 Windows Server 2003 的 VPN 服务集成在一起，ISA Server 2004 使您能够提供基于标准的安全远程访问，以将分支机构和远程用户连接到企业网络。您可以将 ISA Server 防火墙策略应用于 VPN 连接，以获得对 VPN 用户可以访问的资源和协议的精确控制。

防火墙透明度

通过用全球有效的 IP 地址替换内部 IP 地址，SecureNAT 为所有 IP 客户端提供了透明的防火墙访问和保护，并且无需客户端软件或配置。成熟的应用程序层筛选器包括为 SecureNAT 客户端提供复杂协议支持的连接管理功能。

严格的用户身份验证

ISA Server 2004 支持通过集成的 Windows 身份验证（Windows NT/LAN 管理器和 Kerberos）对其防火墙和 Web 代理客户端进行严格的用户身份验证。对于 Web 代理客户端，本产品支持客户端证书以及摘要式身份验证、基本身份验证、基于窗体的身份验证和匿名 Web 身份验证。ISA Server 可以根据防火墙或 Active Directory 上的本地用户数据库（也可以使用 RADIUS）对用户进行身份验证。

SSL 到 SSL 的桥接

对于需要经过身份验证和加密的客户端访问的 Web 服务器，ISA Server 2004 可以使用 SSL 到 SSL 的桥接提供端对端的安全性和应用程序层筛选。与大多数防火墙不同，ISA Server 2004 防火墙可以在加密数据到达 Web 服务器之前对其进行检查。防火墙将 SSL 流解密，执行有状态检查，然后重新加密数据并将其转发到已发布的 Web 服务器。

Web 缓存服务器

功能

说明

高性能 Web 缓存

ISA Server 2004 使用快速的 RAM 缓存和优化的磁盘缓存来增强访问 Internet Web 服务器的内部客户端和访问企业 Web 服务器的外部 Internet 用户的 Web 性能。

智能缓存

常用对象的前瞻性缓存可为用户提供最新的 Web 内容。ISA Server 2004 根据对象在缓存中存在的时间以及上次检索该对象的时间，自动确定最常用的 Web 站点及其内容的刷新频率。无需网络管理员干预，ISA Server 2004 可在网络使用率较低期间将 Web 内容预加载到缓存中。此外，Web 缓存可以预加载 CD 或 DVD 介质上存储的脱机内容。

计划缓存

可以按照定义的计划将整个 Web 站点预加载到缓存中。计划下载可以确保为每个用户提供最新的缓存内容，同时使用户可以使用脱机 Web 服务器上的内容。

直观的防火墙管理

功能

说明

基于策略的访问控制

可以根据用户、组、应用程序、来源、目的地、内容和计划控制入站和出站访问。防火墙策略向导指定下列内容：可访问哪些站点和内容；入站和出站通信是否都可以访问特定协议；以及是否允许指定 IP 地址（使用指定的协议和端口）之间的通信。

简化的管理

ISA Server 2004 使您能将整个防火墙配置复制到 XML 文件中。通过将配置复制到可移动介质或通过安全的电子邮件将其发送给其他防火墙管理员，可以轻松地创建一个组织通用的标准化防火墙配置。还可以将防火墙配置的选定元素复制到 XML 文件中，然后导入它们。

Active Directory 集成

ISA Server 2004 防火墙可以利用 Active Directory 中存储的用户数据库对通过防火墙的入站和出站访问进行身份验证。

图形任务板和配置向导

图形任务板和配置向导可以帮助您简化常见防火墙任务的配置。例如，向导可以在 ISA Server 2004 计算机之后的网络上发布基于 Exchange Server 的服务器、将防火墙配置为 VPN 服务器或网关或者创建一个新的防火墙规则。

远程管理

可以通过 Microsoft 管理控制台 (MMC)、Windows 2000 终端服务、Windows Server 2003 远程桌面和命令行脚本以远程方式管理 ISA Server 2004。对于 Windows Server 2003 上安装的 ISA Server 2004 防火墙，还可以使用安全的 SSL/远程桌面协议 (RDP) 隧道进行远程管理。

记录、报告和警报

ISA Server 2004 以标准数据格式（如分隔的文本文件、SQL 数据库或 Microsoft 数据引擎 (MSDE) 数据库）提供详细的安全和访问日志。可以运行关于 Web 使用情况、应用程序使用情况、网络通信模式和安全性的计划内置报告，并可以自动将这些报告发布到本地文件夹或远程文件共享。事件驱动的警报可以触发向管理员发送电子邮件、启动和停止防火墙服务以及根据警报条件执行自动化操作。

用户级管理

对于 ISA Server 2004 Web 代理和防火墙客户端，不仅可以根据 IP 地址还可以根据用户名来限制访问，从而对所有协议的入站和出站访问进行更精细的控制。

可扩展的平台

功能

说明

广泛的应用程序支持

ISA Server 2004 支持许多 Internet 协议，包括 HTTP/SSL、FTP、RDP、Telnet、RealAudio、RealVideo、Internet 中继聊天 (IRC)、H.323、Windows 媒体流以及电子邮件和新闻协议。

广泛的供应商支持

独立供应商提供构建在 ISA Server 2004 上和与之集成的产品，包括病毒检测软件、管理工具以及内容筛选和报告软件。例如，可以使用第三方筛选器防止将最新的病毒、Java 脚本或 ActiveX 控件下载到受保护的网络上。

全面的 SDK

ISA Server 2004 包含一个综合 SDK，用于开发基于 ISA Server 防火墙、缓存和管理功能的工具。该 SDK 提供了完整的应用程序编程接口 (API) 文档，同时提供了有关构建附加 Web 筛选器、应用程序筛选器、MMC 嵌入式单元、报告工具、可脚本化的命令以及警报管理等的逐步示例。