首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > 升级到ISA 2004防火墙的原因
现在时间是: 2019-02-19 18:37
升级到ISA 2004防火墙的原因

(2004-11-14 00:06)
来源:ISAServer.ORG

升级到ISA 2004防火墙的原因

译自Thomas W Shinder M.D.,“Reasons to Upgrade to the 2004 ISA Firewall”,有修改

 

在你的网络中,你已经安装并配置好了ISA Server 2000防火墙,它按照你的配置运行良好。现在微软推出了一个全新的、经过改进的防火墙ISA 2004(ISA防火墙)。你可能会想,“我的ISA Server 2000防火墙已经很不错了,为什么我需要升级呢?升级需要导出和导入我原有的规则,还需要我学习如何让它正常工作”。

好问题!我过去有过同样的想法:在现有的防火墙已经按照我的配置良好运行时,为什么我需要升级我的防火墙呢?有许多原因都值得你升级你的ISA防火墙。

好消息是值得升级的原因很多,但是也太多了。所以,我选择了一些对ISA Server 2000防火墙富有经验的人会赏识的、最引人注目的原因:

  • 提供粒度控制的VPN服务;
  • IPSec隧道模式支持站点到站点的VPN;
  • 为Web发布规则保留了源IP地址;
  • 发布PPTP VPN服务器;
  • HTTP过滤器是对出入的连接基于规则来设置,包含了阻止Windows可执行文件等;
  • 可以建立包含多个主要连接的协议;
  • 防火墙用户组;
  • 对于Web代理连接的RADIUS认证;
  • 访问规则是按顺序执行的;
  • ISA防火墙的基于表单的认证可以产生认证表单;
  • Web和服务器发布规则支持端口重定向(FTP也支持!);
  • 在网络间可以使用NAT和路由关系;
  • 实时日志监视和过滤;
  • 自动保存报告为HTML文件;
  • 真实的防火墙备份和恢复;
  • 真实的多适配器ISA防火墙的DMZ联网;

看起来不错吧?让我们更近一步来看看它们是否会让你有升级的动力。

 

 

提供粒度控制的VPN服务

在全新的ISA防火墙中包含的VPN服务器和你过去见过的VPN服务器都不一样。和其他VPN服务器和网关不一样(包含ISA Server 2000的VPN服务),全新的ISA防火墙中的VPN功能允许你对VPN服务进行粒度控制,你可以通过访问控制来控制访问的用户/用户组、使用的协议和可以访问的站点。ISA防火墙对VPN之间的访问提供了全部的状态过滤和应用层状态识别检查。

例如,假设你的用户想通过远程来使用完全Outlook MAPI客户访问你内部网络中的Exchange服务器,你可以使用安全Exchange RPC发布,但是许多ISP阻止了RPC端点映射器(TCP端口135),所以你的用户可能不能正常通过非常棒的安全Exchange RPC发布规则来连接到你内部网络的Exchange服务器。

你还可以使用VPN。只要允许出站PPTP的地方,用户就可以使用VPN服务。不过使用VPN的问题在于,只要VPN客户连接到网络中,他们就可以不受限制的访问网络中的服务器。

当然,你可以建立RRAS包过滤器来限制用户访问指定的服务器。但是和硬件防火墙一样,这些包过滤器应用到所有的用户。并不是所有的VPN客户都需要访问Exchange服务器。传统的状态过滤不能对你的网络提供更高级别的保护。

全新的ISA防火墙允许你建立防火墙用户组,然后建立一个规则只允许这个防火墙用户组中的成员访问Exchange服务器,并且当这个组中的用户连接到Exchange服务器,他们只能通过完全的Outlook MAPI客户使用需要的协议。

如果这个组中的成员想使用其他协议访问Exchange服务器,他们将被拒绝掉;如果这些用户还想访问网络中的其他服务器,一样会被拒绝掉;如果你对此规则设置了一个计划时间,那么这些客户在计划时间外访问服务器,他们也会被拒绝掉。还有最好的,这些用户的名字将会在防火墙日志中进行记录,连同他们使用的协议和想连接的服务器一起。

这只是全新的ISA防火墙的VPN服务的新特性的小部分,如果你正在使用其他VPN服务,那么相信以上的内容会给你留下印象。

 

 

IPSec隧道模式支持站点到站点的VPN

使用ISA Server 2000的一个极大的障碍就是它不能和第三方的VPN网关建立IPSec隧道模式的连接。许多组织的分公司只是ISA Server 2000作为Web代理服务器,然后在ISA Server 2000面前加装一个硬件防火墙进行包过滤检查和建立IPSec隧道连接,就是因为ISA Server 2000不能和总部的VPN网关间建立IPSec模式的VPN连接。

全新的ISA防火墙可以通过IPSec隧道模式来连接到第三方的VPN网关。现在你可以丢掉分公司的两个防火墙(ISA Server 2000和硬件防火墙),全新的ISA防火墙可以为你的分公司提供完整的VPN服务、Web缓存、IPSec接入以及防火墙保护功能。

为Web发布规则保留了源IP地址

一个让ISA Server 2000防火墙管理员不喜欢它的原因就是当进行Web发布时,它不能保留远程客户的原始IP地址信息。ISA Server 2000 防火墙管理员使用Web发布规则来替代服务器发布规则是因为Web发布规则提供深度的应用层状态识别,这样可以保护发布的Web服务器。但是不能保留客户的原始IP地址信息却让管理员不能使用日志分析工具对日志进行分析:在Web日志中所有的客户IP信息都是ISA Server 2000的内部接口地址。

全新的ISA防火墙允许你在使用ISA防火墙的内部接口的IP地址信息还是远程客户的原始IP地址信息之间进行选择。呵呵,是不是非常Cool?



作者:Thomas W Shinder M.D.
责任编辑:风间子

[1] [2] [3] [4] [5] 下一页>>
上一篇:ISA Server 2004中的SOCKS过滤器
下一篇:你应该通过ISA防火墙来允许SSL吗?
相关信息:

ISA Server 2004中的锁定模式
你应该通过ISA防火墙来允许SSL吗?
远程管理ISA Server 2004
使用邮件服务器发布向导发布内部的邮件服务器
[译]微软ISA Server 2004的官方文档中对于身份认证、规则和访问策略的论述

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..