nowe funkcje.indd

Nowe i udoskonalone
funkcje produktu
Artykuł przeglàdowy
Czerwiec 2004
Najnowsze informacje znajdujà si´ pod adresem: http://www.microsoft.com/poland/isaserver/
Spis treÊci
Zaawansowana ochrona . . . . .
ŁatwoÊç u˝ycia . . . . . . . . . . . .
Monitorowanie i raportowanie .
Szybki i bezpieczny dost´p . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
4
5
7
Microsoft Internet Security and Acceleration Server 2004 jest
zaawansowanà zaporà filtrujàcà ruch w warstwie aplikacji. Razem
z zaporà zintegrowany jest moduł obsługujàcy wirtualne sieci
prywatne (VPN) i buforowanie Web. Takie rozwiàzanie umo˝liwia
klientom zwi´kszenie poziomu bezpieczeƒstwa i wydajnoÊci sieci,
a tym samym uzyskanie maksymalnych korzyÊci z poczynionych
inwestycji.
Zaawansowana ochrona
NowoÊç lub
udoskonalenie
Funkcje
Opis
Filtrowanie w warstwie aplikacji
Microsoft® Internet Security and Acceleration (ISA) Server 2004 stosuje reguły
filtrowania HTTP z pami´cià stanu, dzi´ki czemu zapora dokładnie kontroluje ruch
Filtrowanie HTTP dla
HTTP. FunkcjonalnoÊç ta jest okreÊlana jako filtrowanie w warstwie aplikacji. Zakres
poszczególnych reguł
kontroli mo˝na skonfigurowaç oddzielnie dla poszczególnych reguł. Pozwala to na
konfigurowanie niestandardowych ograniczeƒ dost´pu po HTTP dla ruchu zarówno
przychodzàcego, jak i wychodzàcego.
Reguły HTTP stosowane przez ISA Server 2004 mogà byç tak skonfigurowane,
Blokowanie dost´pu do treÊci by blokowały wszelkie próby połàczeƒ do zasobów wykonywalnych w systemie
wykonywalnych
operacyjnym Microsoft Windows®, niezale˝nie od rozszerzenia pliku u˝ytego dla
danego zasobu.
Mechanizm reguł HTTP stosowany przez ISA Server 2004 umo˝liwia zdefiniowanie
Kontrolowanie pobierania
reguł opartych na rozszerzeniach plików, m.in. reguły typu „dopuÊç wszystkie
plików przez HTTP na
rozszerzenia z wyjàtkiem okreÊlonego zbioru rozszerzeƒ” lub „zablokuj wszystkie
podstawie rozszerzeƒ pliku
rozszerzenia z wyjàtkiem okreÊlonego zbioru rozszerzeƒ”.
Stosowanie filtrowania
Mechanizm reguł HTTP wykorzystywany przez ISA Server 2004 pozwala na
HTTP do wszystkich
kontrolowanie dost´pu po HTTP dla wszystkich połàczeƒ klientów produktu
połàczeƒ klientów produktu
ISA Server 2004.
ISA Server 2004
Dogł´bna kontrola HTTP wykonywana przez ISA Server 2004 umo˝liwia tworzenie
„sygnatur HTTP”, które mo˝na porównywaç z adresem internetowym zawartym
Kontrola dost´pu przez HTTP
w ˝àdaniu, nagłówkiem ˝àdania, treÊcià ˝àdania i treÊcià odpowiedzi. Pozwala to
na podstawie „sygnatur HTTP”
na dokładne kontrolowanie treÊci, do jakich u˝ytkownicy wewn´trzni i zewn´trzni
mogà mieç dost´p poprzez zapor´ ISA Server 2004.
Produkt udost´pnia kontrol´ metod HTTP przepuszczonych przez zapor´. Polega
to na skonfigurowaniu ustawieƒ dost´pu u˝ytkowników do poszczególnych
Kontrola dozwolonych metod
metod. Przykładowo, mo˝na ograniczyç dost´p do metody POST protokołu HTTP,
HTTP
uniemo˝liwiajàc u˝ytkownikom wysyłanie informacji do witryn Web za pomocà tej
metody.
NowoÊç
NowoÊç
NowoÊç
NowoÊç
NowoÊç
NowoÊç
1
NowoÊç lub
udoskonalenie
Funkcje
Opis
Egzekwowanie bezpiecznych
połàczeƒ pomi´dzy usługà
Microsoft Exchange w trybie
RPC a pełnym klientem usług
przesyłania wiadomoÊci
i współpracy Microsoft
Outlook MAPI
ISA Server 2004 Secure Exchange Server Publishing Rules umo˝liwia
zdalnym u˝ytkownikom nawiàzanie połàczenia z usługà Exchange Server za
poÊrednictwem Internetu za pomocà pełnego klienta Outlook MAPI. Klient
Outlook musi byç tak skonfigurowany, by u˝ywał bezpiecznego połàczenia
RPC zapewniajàcego szyfrowanie. Reguły obsługi RPC — udost´pniane przez
ISA Server 2004 — umo˝liwiajà blokowanie wszystkich połàczeƒ z klientów Outlook
MAPI, które nie sà szyfrowane.
Mechanizm reguł dost´pu do FTP stosowany przez ISA Server 2004 mo˝na tak
skonfigurowaç, by umo˝liwiał u˝ytkownikom przesyłanie i pobieranie plików za
Reguły dost´pu do FTP
poÊrednictwem protokołu FTP bàdê ograniczał dost´p tylko do pobierania za
poÊrednictwem tego protokołu.
Niektóre opublikowane witryny Web mogà zawieraç odwołania do wewn´trznych
nazw komputerów. Ze wzgl´du na to, ˝e dla klientów zewn´trznych sà dost´pne
jedynie zapora ISA Server 2004 i zewn´trzna przestrzeƒ nazw, nie jest natomiast
Translacja łàczy
dost´pna przestrzeƒ nazw wewnàtrz sieci, takie odwołania sà tzw. łàczami
martwymi. ISA Server 2004 udost´pnia funkcj´ translacji łàczy, która umo˝liwia
tworzenie słownika definicji, pozwalajàcego na odwzorowanie wewn´trznych nazw
komputerów na nazwy publicznie dost´pne.
ISA Server 2004 umo˝liwia szczegółowe konfigurowanie opcji IP oraz dopuszczanie
Szczegółowa kontrola opcji IP
tylko wymaganych opcji, a zablokowanie wszystkich pozostałych.
NowoÊç
NowoÊç
NowoÊç
NowoÊç
Ochrona i zapora
NowoÊç
Obsługa wielu protokołów
NowoÊç
Obsługa zło˝onych
protokołów wymagajàcych
wielu połàczeƒ głównych
(primary)
NowoÊç
Dostosowane definicje
protokołów
NowoÊç
Grupy u˝ytkowników zapory
Udoskonalone
2
Uwierzytelnianie
ISA Server 2004 umo˝liwia kontrol´ u˝ycia i dost´pu do wszystkich protokołów,
w tym do protokołów poziomu IP. U˝ytkownicy mogà korzystaç z takich aplikacji,
jak ping lub tracert, a tak˝e tworzyç połàczenia przez wirtualnà sieç prywatnà
(VPN) z wykorzystaniem protokołu PPTP. ISA Server 2004 umo˝liwia ponadto
przepuszczanie ruchu IPSec.
Wiele aplikacji zwiàzanych z mediami strumieniowymi, głosem i wideo wymaga,
by zapora obsługiwała zło˝one protokoły. ISA Server 2004 nie tylko zapewnia
obsług´ takich protokołów, ale udost´pnia równie˝ łatwy w u˝yciu kreator nowych
protokołów pozwalajàcy na tworzenie definicji nowych protokołów.
ISA Server 2004 umo˝liwia kontrolowanie êródłowego i docelowego numeru
portu w ka˝dym protokole, dla którego jest tworzona reguła zapory. Administrator
zapory ISA Server 2004 mo˝e wi´c w pełni kontrolowaç pakiety przepuszczane
przez zapor´ w obu kierunkach: przychodzàcym i wychodzàcym.
ISA Server 2004 pozwala na tworzenie grup u˝ytkowników zapory, w których skład
wchodzà grupy istniejàce w lokalnej bazie kont bàdê w domenie usługi katalogowej
Active Directory®. Zwi´ksza to elastycznoÊç kontroli dost´pu na podstawie
uczestnictwa u˝ytkowników lub grup w grupach, gdy˝ administrator zapory mo˝e
tworzyç z istniejàcych grup niestandardowe grupy na potrzeby ochrony. Eliminuje
to tak˝e wymóg, by administrator zapory był jednoczeÊnie administratorem
domeny, poniewa˝ mo˝e nadawaç grupom utworzonym na potrzeby ochrony
uprawnienia zwiàzane z kontrolà dost´pu ruchu przychodzàcego i wychodzàcego.
Uwierzytelniania u˝ytkowników mo˝na dokonaç za pomocà wbudowanych
mechanizmów uwierzytelniania systemu Windows, standardów RADIUS i RSA
SecurID oraz innych przestrzeni nazw. Reguły uwierzytelniania mogà si´ odnosiç
do u˝ytkowników bàdê do grup u˝ytkowników w dowolnej przestrzeni nazw.
Niezale˝ni dostawcy mogà rozszerzaç wbudowane mechanizmy uwierzytelniania,
korzystajàc z pakietu dla programistów (SDK).
NowoÊç lub
udoskonalenie
NowoÊç
Udoskonalony
Udoskonalone
Udoskonalone
Udoskonalone
Udoskonalone
Udoskonalony
Udoskonalona
Udoskonalone
Udoskonalone
3
Funkcje
Opis
Przekazywanie uprawnieƒ
klienta zapory do usługi Web
Proxy
ISA Server 2004 umo˝liwia klientom zapory dost´p do bufora Web z filtrem HTTP
bez koniecznoÊci oddzielnego uwierzytelnienia do usługi Web Proxy.
ISA Server 2004 zawiera udoskonalony filtr HTTP, który umo˝liwia u˝ytkownikom
Dost´p przez zapor´ do
dost´p do usługi Hotmail przy u˝yciu łatwej do skonfigurowania reguły zapory.
poczty internetowej Hotmail®
Nie ma potrzeby specjalnego konfigurowania klienta lub zapory.
ISA Server 2004 znacznie rozszerza mo˝liwoÊci administratorów w zakresie
definiowania obiektów sieciowych. Mo˝na tworzyç takie obiekty, jak komputery,
Obiekty sieciowe
sieci, zbiory sieci, zakresy adresów, podsieci, zbiory komputerów i zbiory nazw
domen. Obiekty sieciowe mogà słu˝yç do definiowania ustawieƒ adresów
êródłowych i docelowych na potrzeby reguł zapory.
ISA Server 2004 zawiera nowy zestaw kreatorów reguł, które w wi´kszym ni˝
dotàd stopniu ułatwiajà tworzenie reguł dost´pu. Reguły dost´pu u˝ywane
przez ISA Server 2004 mo˝na tworzyç za pomocà zaawansowanych reguł
Kreatory reguł zapory
zapory pozwalajàcych na definiowanie w locie dowolnego elementu reguły.
Tworzenie nowego obiektu sieciowego nie wymaga wychodzenia z kreatora
reguł — udoskonalony kreator umo˝liwia utworzenie dowolnego obiektu
sieciowego lub relacji pomi´dzy obiektami.
ISA Server 2004 prezentuje reguły zapory w postaci uporzàdkowanej listy, w której
parametry połàczenia sà najpierw porównywane z regułà umieszczonà na
Reguły zapory prezentowane
poczàtku listy. ISA Server 2004 przeszukuje list´ w dół, a˝ do zlokalizowania reguły
w postaci uporzàdkowanej
odpowiadajàcej parametrom połàczenia i wówczas wykonuje akcj´ okreÊlonà
listy
w regule. Znacznie ułatwia to poznanie przyczyny, dlaczego konkretne połàczenie
jest blokowane lub przepuszczane.
Udoskonalone reguły zapory ISA Server 2004 pozwalajà na zdefiniowanie dla
Reguły dost´pu na podstawie
ka˝dego protokołu adresów êródłowych i docelowych, do których u˝ytkownik lub
u˝ytkowników i grup
grupa u˝ytkowników mogà uzyskaç dost´p. Umo˝liwia to znaczne zwi´kszenie
u˝ytkowników
elastycznoÊci kontroli dost´pu ruchu przychodzàcego i wychodzàcego.
Podstawà sieci VPN działajàcych wg protokołu SSL jest zdalny dost´p bez u˝ycia
klientów (clientless) za poÊrednictwem bezpiecznych połàczeƒ SSL. ISA Server 2004
Kreator publikacji OWA
udost´pnia kreator publikacji OWA (Outlook Web Access Publishing Wizard), który
(Outlook Web Access)
prowadzi u˝ytkownika podczas tworzenia reguły zapory oraz nawiàzuje połàczenie
SSL z OWA z serwerem Exchange. Wszystkie elementy sieciowe mo˝na tworzyç
w locie — utworzenie elementu reguły nie wymaga wyjÊcia z kreatora.
ISA Server 2004 umo˝liwia dost´p do serwerów internetowych FTP, które mogà
nasłuchiwaç w portach o alternatywnych numerach bez potrzeby specjalnego
Obsługa FTP
konfigurowania klienta lub zapory ISA Server 2004. Publikowanie serwera FTP
w portach o alternatywnych numerach odbywa si´ zgodnie z prostà regułà
publikowania serwera FTP.
Przekierowywanie portów dla
ISA Server 2004 pozwala na odbieranie połàczenia na jednym porcie, a nast´pnie
reguł publikowania serwerów
przekierowanie ˝àdania do portu o innym numerze na opublikowanym serwerze.
FTP
ISA Server 2004 umo˝liwia umieszczenie serwerów poza zaporà — w sieci
korporacyjnej lub sieci DMZ (perimeter) — oraz bezpieczne publikowanie usług
Bezpieczne publikowanie
tych serwerów. Udoskonalony kreator bezpiecznego publikowania Web ułatwia
w Web
tworzenie reguły, która pozwala u˝ytkownikom na zabezpieczenie zdalnego
dost´pu za poÊrednictwem SSL do opublikowanych serwerów Web.
ŁatwoÊç u˝ycia
NowoÊç lub
udoskonalenie
Funkcja
Opis
Ochrona i zapora
NowoÊç
Konfigurowanie Êrodowiska
wielosieciowego
NowoÊç
Specyficzne reguły dla
poszczególnych sieci
NowoÊç
Relacje pomi´dzy sieciami
z rutingiem a translacjà
adresów sieciowych (NAT)
4
Istnieje mo˝liwoÊç zdefiniowania jednej lub wi´cej chronionych sieci, przy czym
ka˝da sieç mo˝e mieç odmienne relacje wobec pozostałych. Reguły dost´pu
sà definiowane w odniesieniu do poszczególnych sieci i nie muszà odnosiç si´
jedynie do sieci wewn´trznej. ISA Server 2004 udost´pnia rozszerzone funkcje
ochrony, które mo˝na stosowaç do ruchu mi´dzy dowolnymi sieciami lub obiektami
sieciowymi.
Nowe funkcje obsługi Êrodowiska wielosieciowego udost´pnione w ISA Server 2004
umo˝liwiajà zabezpieczenie sieci przed wewn´trznymi i zewn´trznymi
zagro˝eniami, ograniczajàc komunikacj´ mi´dzy klientami nawet wewnàtrz
przedsi´biorstwa. Funkcje obsługi sieci obejmujà równie˝ zaawansowane
scenariusze ze strefami zdemilitaryzowanymi (DMZ) lub ekranowanymi podsieciami
(screened network), ułatwiajàc konfigurowanie sposobu dost´pu klientów do sieci
DMZ. Reguły dost´pu mi´dzy sieciami mo˝na okreÊliç na podstawie definicji
specyficznych stref bezpieczeƒstwa zawierajàcych poszczególne sieci.
ISA Server 2004 umo˝liwia definiowanie relacji rutingu mi´dzy sieciami w zale˝noÊci
od wskazanego typu dost´pu i komunikacji mi´dzy nimi. W niektórych przypadkach
niezb´dna jest komunikacja zapewniajàca wi´ksze bezpieczeƒstwo, lecz mniej
przezroczysta. W takich scenariuszach mo˝na zdefiniowaç relacj´ z translacjà
adresów sieciowych (NAT). W innych sytuacjach mo˝e byç wykonywany prosty
ruting ruchu poprzez ISA Server. Pakiety transmitowane mi´dzy sieciami
z rutingiem podlegajà w pełni mechanizmom filtrowania z pami´cià stanu i innym
mechanizmom kontroli oferowanym przez ISA Server 2004.
Monitorowanie i raportowanie
NowoÊç lub
udoskonalenie
Funkcja
Opis
Ochrona i zapora
NowoÊç
Monitorowanie w czasie
rzeczywistym zapisów
w dzienniku
NowoÊç
Wbudowana funkcja zapytaƒ
dotyczàcych dziennika
NowoÊç
Monitorowanie i filtrowanie
sesji zapory w czasie
rzeczywistym
NowoÊç
Funkcje weryfikacji połàczeƒ
ISA Server 2004 pozwala na monitorowanie w czasie rzeczywistym dzienników
zapory, Web Proxy oraz dziennika SMTP Message Screener. Konsola
monitorowania wyÊwietla zapisy dziennika na bie˝àco, rejestrujàc je równoczeÊnie
w pliku dziennika zapory.
Administrator mo˝e definiowaç zapytania do dziennika logów, u˝ywajàc
wbudowanej funkcji zapytaƒ. Zapytania do dzienników mogà dotyczyç
informacji zawartej w dowolnym polu dziennika. Mo˝liwe jest zaw´˝enie zakresu
zapytania do okreÊlonego czasu. Wyniki zapytania — pojawiajàce si´ na konsoli
ISA Server 2004 — mo˝na kopiowaç do schowka i wklejaç do innej aplikacji w celu
poddania ich szczegółowej analizie.
ISA Server 2004 umo˝liwia wyÊwietlanie wszystkich aktywnych połàczeƒ do zapory.
W widoku sesji mo˝na sortowaç poszczególne sesje lub ich grupy. Mo˝na równie˝
rozłàczaç aktywne sesje. Ponadto dost´pny jest wbudowany mechanizm filtrowania
sesji pozwalajàcy na filtrowanie wyÊwietlanych w interfejsie sesji z uwzgl´dnieniem
tylko wybranych sesji.
ISA Server 2004 pozwala na weryfikowanie połàczeƒ poprzez systematyczne
monitorowanie połàczeƒ z systemu, na którym działa ISA Server 2004, do
okreÊlonego adresu IP, nazwy komputera lub do adresu URL. FunkcjonalnoÊç t´
zapewnia Connection Verifier. Do weryfikacji połàczeƒ mo˝na wykorzystaç: Ping,
połàczenie TCP (Transmission Control Protocol) do okreÊlonego portu lub HTTP
GET.
Dostosowywanie raportów
tworzonych przez
ISA Server 2004
ISA Server 2004 ma udoskonalonà funkcj´ tworzenia własnych raportów,
umo˝liwiajàcà umieszczanie dodatkowych informacji w raportach zapory.
NowoÊç
Publikowanie raportów
ISA Server 2004 udost´pnia funkcj´ zadaƒ tworzenia raportów. Umo˝liwia ona
automatyczne zapisywanie kopii raportu w lokalnym lub udost´pnionym folderze.
Folder, w którym sà zapisywane raporty, mo˝e byç odwzorowany w wirtualnym
katalogu witryny WWW tak, aby dost´p do niego mieli wszyscy uprawnieni
u˝ytkownicy. JeÊli dany raport nie został opublikowany automatycznie, mo˝e
zostaç opublikowany r´cznie ju˝ po jego utworzeniu.
NowoÊç
Powiadomienie pocztà
elektronicznà o utworzeniu
raportu
Mo˝na tak skonfigurowaç zadanie tworzenia raportów, aby po stworzeniu raportu
był on wysyłany pocztà elektronicznà.
NowoÊç
OkreÊlanie czasu
przygotowania
podsumowania dziennika
Udoskonalone
Udoskonalone
Udoskonalone rejestrowanie
w dziennikach zapisywanych
do bazy danych SQL Server
NowoÊç
Rejestrowanie w dziennikach
zapisywanych do bazy
danych MSDE
5
W ISA Server tworzenie podsumowania dziennika odbywa si´ o godz. 0.30.
Informacje zawarte w podsumowaniach dziennika stanowià podstaw´ do tworzenia
raportów. W wersji ISA Server 2004 mo˝na łatwo ustawiaç czas przygotowania
podsumowania dziennika. Zwi´ksza to elastycznoÊç, pozwalajàc na swobodne
okreÊlanie godziny tworzenia raportów.
Zdarzenia mogà byç rejestrowane w dziennikach zapisywanych w bazie danych
SQL Server™, znajdujàcej w innym komputerze w sieci wewn´trznej. Udost´pniane
przez ISA Server 2004 funkcje rejestrowania w dziennikach zapisywanych do
bazy danych SQL Server zostały zoptymalizowane i zapewniajà znacznie wi´kszà
wydajnoÊç.
Dzienniki mogà byç zapisywane w formacie MSDE. Zapisywanie dzienników
w lokalnej bazie danych zwi´ksza szybkoÊç i elastycznoÊç zapytaƒ.
NowoÊç lub
udoskonalenie
Funkcja
Opis
Zarzàdzanie
Udoskonalone
Zarzàdzanie
NowoÊç
Eksport i import
NowoÊç
Kreator delegowania
uprawnieƒ dla ról
administratora zapory
6
ISA Server 2004 zapewnia funkcje zarzàdzania ułatwiajàce zapewnienie ochrony
sieci. Nowy interfejs u˝ytkownika udost´pnia takie funkcje, jak panele zadaƒ (Task
Pane), panele pomocy (Help Pane) i udoskonalony kreator Pierwsze kroki (Getting
Started). Ponadto został zmieniony wyglàd edytora reguł zapory.
ISA Server 2004 wprowadza po raz pierwszy mo˝liwoÊç eksportu i importu
konfiguracji. Administrator mo˝e u˝yç tej funkcji do zapisania parametrów
konfiguracji w pliku XML, a nast´pnie zaimportowaç te informacje do innego
serwera.
Kreator delegowania uprawnieƒ administracyjnych ułatwia przydzielanie ról
administracyjnych u˝ytkownikom i grupom u˝ytkowników. Zostały udost´pnione
wst´pnie zdefiniowane role — delegujà one pewne poziomy kontroli
administracyjnej, jakie u˝ytkownicy mogà sprawowaç nad okreÊlonymi usługami
ISA Server 2004.
Szybki i bezpieczny dost´p
NowoÊç lub
udoskonalenie
Funkcja
Opis
Bezpieczny zdalny dost´p do produktów z serii Microsoft Server
ISA Server 2004 mo˝e generowaç formularze wykorzystywane przez witryny OWA
Formularze do
do uwierzytelniania. Pozwalajà one na zwi´kszenie bezpieczeƒstwa zdalnego
NowoÊç
uwierzytelniania tworzone
dost´pu do witryn OWA, blokujàc komunikacj´ nieuwierzytelnionych u˝ytkowników
przez zapor´
z serwerem OWA.
Komputery, na których działa system operacyjny Microsoft Windows Server™ 2003,
Zdalny dost´p do usługi
mogà obsługiwaç RDP przez kanał SSL. Zapewnia to bezpieczne połàczenie SSL
NowoÊç
Terminal Services przy u˝yciu
z usługà Windows Server 2003 Terminal Services. ISA Server 2004 pozwala na
SSL
bezpieczne publikowanie usługi Terminal Server z wykorzystaniem technologii SSL.
Wirtualne sieci prywatne (VPN)
Administrowanie sieciami
ISA Server 2004 został wyposa˝ony w lepiej zintegrowany mechanizm obsługi sieci
Udoskonalone
VPN
VPN, korzystajàcy z funkcji systemów Windows 2000 i Windows Server 2003.
Dla klientów VPN — traktowanych jako oddzielna strefa sieci — mo˝na utworzyç
Filtrowanie i kontrola sieci
osobne reguły. Mechanizm reguł zapory odr´bnie kontroluje ˝àdania klientów
NowoÊç
VPN z pami´cià stanu
VPN, filtrujàc je z pami´cià stanu i uwzgl´dnieniem kontekstu, oraz dynamicznie
otwiera połàczenia zgodnie z danà regułà dost´pu.
ISA Server 2004 zapewnia rozszerzonà obsług´ klientów VPN. Umo˝liwia dost´p
Obsługa klientów SecureNAT klientów SecureNAT do Internetu bez koniecznoÊci instalowania klienta zapory
NowoÊç
VPN połàczonych z serwerem w systemie klienta. Pozwala to ponadto na zwi´kszenie bezpieczeƒstwa sieci
VPN ISA Server 2004
korporacyjnej przez stosowanie reguł z u˝yciem u˝ytkowników i grup dla klientów
SecureNAT w połàczeniach VPN.
ISA Server 2004 wprowadza po raz pierwszy filtrowanie i kontrol´ z pami´cià stanu,
Filtrowanie i kontrola
obejmujàce dowolnà komunikacj´ poprzez połàczenie VPN mi´dzy oÊrodkami.
z pami´cià stanu komunikacji Administrator mo˝e kontrolowaç, do jakich zasobów mogà uzyskiwaç dost´p
NowoÊç
przez tunel VPN mi´dzy
konkretne komputery lub sieci po drugiej stronie łàcza. Reguły dost´pu dotyczàce
oÊrodkami
u˝ytkowników i grup mogà byç u˝yte do zapewnienia szczegółowej kontroli
dost´pu do zasobów przez łàcze VPN.
ISA Server 2004 korzysta z funkcji kwarantanny w sieci VPN udost´pnianej przez
NowoÊç
Kwarantanna w sieci VPN
system Windows Server 2003. Umo˝liwia to dokładnà kontrol´ klientów VPN oraz
integracj´ z regułami zapory.
Reguły publikacji w ISA Server 2004 umo˝liwiajà publikowanie protokołów IP
i serwerów PPTP. ISA Server 2004 udost´pnia tak˝e inteligentny filtr aplikacji
NowoÊç
Publikowanie serwerów VPN PPTP, który zapewnia zarzàdzanie zło˝onymi połàczeniami. Ponadto, dzi´ki
mechanizmowi Windows Server 2003 NAT-T L2TP/IPSec, serwery VPN mogà byç
łatwo publikowane z u˝yciem ISA Server 2004 Server Publishing.
ISA Server 2004 zapewnia udoskonalonà obsług´ łàczy mi´dzy oÊrodkami,
Obsługa trybu tunelowego
umo˝liwiajàc u˝ycie trybu tunelowego IPSec jako protokołu VPN. Obsługa trybu
NowoÊç
IPSec do tworzenia kanałów
tunelu IPSec znacznie zwi´ksza zgodnoÊç produktu ISA Server 2004 z wieloma
VPN mi´dzy oÊrodkami
rozwiàzaniami VPN firm trzecich.
7
NowoÊç lub
udoskonalenie
Funkcja
Opis
Buforowanie WWW i usługa Web Proxy
ISA Server 2004 udost´pnia scentralizowany mechanizm reguł buforowania,
umo˝liwiajàcy konfigurowanie sposobów składowania i odczytywania obiektów
w buforze.
Mapowanie Êcie˝ek
ISA Server 2004 znacznie zwi´ksza elastycznoÊç publikowania Web, udost´pniajàc
w regułach publikacji w sieci mo˝liwoÊç przekierowania Êcie˝ki ˝àdanej przez u˝ytkownika na dowolnà Êcie˝k´
WWW
w opublikowanym serwerze Web.
ISA Server 2004 umo˝liwia uwierzytelnianie u˝ytkowników za pomocà usługi
Obsługa uwierzytelniania
Active Directory oraz innych baz danych przez wysłanie zapytania w standardzie
klienta usługi Web Proxy
RADIUS do Active Directory. Reguły publikowania Web umo˝liwiajà ponadto
w standardzie RADIUS
uwierzytelnianie w standardzie RADIUS połàczeƒ zdalnego dost´pu.
Zapora ISA Server 2004 ˝àda uwierzytelnienia u˝ytkownika przed przekazaniem
połàczenia do opublikowanej witryny Web, zabezpieczajàc w ten sposób
Delegowanie uwierzytelniania
opublikowane witryny przed dost´pem nieuwierzytelnionych u˝ytkowników.
podstawowego
Zapobiega to atakom polegajàcym na uzyskaniu przez nieuwierzytelnionych
u˝ytkowników dost´pu do opublikowanego serwera Web.
Zachowanie êródłowego
ISA Server 2004 umo˝liwia opcjonalnie (osobno dla poszczególnych reguł) wybór,
adresu IP w regułach
czy zapora ma zastàpiç oryginalny adres IP własnym adresem, czy te˝ przekazaç
publikowania w Web
oryginalny adres IP zdalnego klienta do serwera Web.
ISA Server 2004 udost´pnia mechanizm uwierzytelniania zdalnych połàczeƒ za
Uwierzytelnianie klientów
pomocà mechanizmu dwuelementowego uwierzytelniania SecurID. Zapewnia to
usługi Proxy w standardzie
wysoki poziom bezpieczeƒstwa uwierzytelniania, poniewa˝ u˝ytkownik ma dost´p
SecurID
do opublikowanego serwera Web, pod warunkiem ˝e zna konkretne dane (pin)
oraz ma odpowiedni przedmiot (token).
Reguły buforowania
Udoskonalone
Udoskonalone
NowoÊç
NowoÊç
NowoÊç
NowoÊç
8