Wednesday, October 17th, 2018

Почему Вам необходима новая версия брандмауэра 2004 ISA

Published on Февраль 9, 2009 by   ·   Комментариев нет

Вы пользуетесь брандмауэром ISA Server 2000? Не видите причин для установки новой версии 2004 ISA? Если так, что эта статья расскажет Вам о вещах, без которых Вы, возможно, не сможете жить!

Вы успешно пользуетесь брандмауэром ISA Server 2000 и он выполняет необходимые Вам функции. Компания Microsoft предлагает Вам новую улучшенную версию ISA 2004 (ISA брандмауэр). Наверняка Вы подумаете: «Мой брандмауэр ISA Server 2000 работает отлично. Зачем тратить время на скучную установку новой версии, для которой потом нужно будет экспортировать и импортировать мои старые правила, изучать новые свойства программы и иметь дело с теми проблемами, с которыми сталкиваешься, когда выходит в свет новый продукт фирмы Microsoft?»

Хороший вопрос! Я думаю точно так же. Зачем подвергать себя излишнему стрессу и напрягаться при установке новой версии брандмауэра, если старая версия вполне успешно делает то, что мне нужно. Должны быть более веские причины для установки новой версии, иначе лучше все оставить все как есть.

У меня есть хорошая новость: существует очень много причин для установки новой версии. Чтобы не быть голословным, я тщательно подобрал список свойств, которые очень понравятся ветеранам, закаленным в боях с брандмауэром ISA Server 2000 firewall, и являются весомыми причинами для установки новой версии:

  • В том числе и VPN сервер
  • Поддержка режима IPSec туннеля для VPN соединений «сайт к сайту»
  • Защита исходных IP адресов при публикации веб-сервера
  • Публикация PPTP VPN сервера
  • Определение правил для HTTP фильтрации (включая блокирование исполняемых файлов Windows) входящих и исходящих соединений
  • Создание описаний протоколов с множеством первичных портов соединения
  • Группы брандмауэра
  • RADIUS аутентификация для веб-прокси соединений
  • Упорядоченный список правил доступа
  • Авторизация с использованием форм с помощью механизма создания форм брандмауэра ISA
  • Перенаправление соединений на другой порт для правил публикации веб- или других серверов (а также FTP !)
  • Определение маршрутов и преобразование сетевых адресов для соединений между различными сетями
  • Монитор журнала брандмауэра в реальном времени
  • Автоматическое сохранение отчетов в формате HTML
  • Удобное сохранение и восстановление резервных версий конфигурации брандмауэра
  • Работа в зоне DMZ с мультиадаптером брандмауэра ISA

Ну как, неплохо выглядит? Давайте познакомимся поближе с каждой из этих особенностей и посмотрим, сможет ли хоть одна из них, а может и несколько, убедить Вас установить новую версию.

В том числе и VPN сервер

Сервер VPN, включенный в поставку нового брандмауэра ISA, — это то, что Вы раньше никогда не видели. В отличие от большинства серверов и шлюзов VPN (включая сервер и шлюз ISA Server 2000 VPN) VPN возможности нового брандмауэра ISA обеспечивают тщательный контроль за пользователями, группами, протоколами и доступа к сайтам. Брандмауэр ISA использует как фильтрацию с учетом состояния протоколов, так и проверку прикладного уровня с учетом состояния протоколов для соединений, проходящих через канал связи VPN.

Например, предположим, что Ваши пользователи хотели бы использовать полнофункциональный клиент Outlook MAPI для удаленного доступа к Exchange Server. Можно было бы использовать удаленный вызов процедур (RPC), но существует множество провайдеров Internet, которые блокируют конечный RPC маппер (TCP 135), так что правило RPC публикации Exchange будет заблокировано для пользователей при подключении Outlook к корпоративному Exchange Server.

Другая возможность — использовать VPN. Почти все отели, дворцы съездов и аэропорты используют исходящий протокол PPTP, так как даже самые элементарные аппаратные брандмауэры, использующие фильтрацию с учетом состояния протоколов, содержат редактор трансляции сетевых адресов по протоколу PPTP. Проблема VPN заключается в следующем: как только пользователь подключается к сети через VPN, он может получить доступ к любому серверу или рабочей станции в этой сети.

Конечно, Вы можете создать пакетные фильтры маршрутизации и удаленного доступа (RRAS) и ограничить доступ пользователей определенными серверами, но, как и аппаратный брандмауэр, эти пакетные фильтры используются для всех. Не каждому необходимо получать доступ к Exchange Server при VPN соединении. Обычная фильтрация с учетом состояния не позволяет контролировать доступ на том уровне, который необходим, чтобы обеспечить наилучшую защиту сети.

Брандмауэр ISA позволяет создать группу пользователей брандмауэра, а затем создать правило, которое позволит получить доступ к Exchange Server только пользователям этой группы. Также пользователи, входящие в эту группу, могут пользоваться только теми протоколами, которые им необходимы для доступа к Exchange Server через клиента Outlook MAPI.

Если члены этой группы попытаются получить доступ к Exchange Server с помощью другого протокола — в доступе будет отказано. Если члены этой группы попытаются получить доступ к другому серверу этой сети — также будет отказано в доступе. Если Вы создали расписание и пользователи попытаются получить доступ к серверу вне установленного расписанием времени, то опять же им будет отказано в доступе. И что лучше всего, имена пользователей, протоколы и сервера, к которым они пытались получить доступ, записываются в журнал регистрации брандмауэра.

Это только верхушка айсберга преимуществ нового VPN сервера и шлюза брандмауэра ISA. Если Вы пользуетесь услугами ISA Server 2000 VPN, тогда Вы, несомненно, захотите попробовать новые возможности его VPN, и я уверен, Вы будете приятно удивлены.

Поддержка режима IPSec туннеля для VPN соединений «сайт к сайту»

Одной из самых больших проблем при использовании брандмауэра ISA Server 2000 является невозможность установить соединение в режиме IPSec с VPN шлюзом третьей стороны. Многим организациям приходится урезать функциональность брандмауэра ISA Server 2000 и отводить ему роль обычного прокси-сервера для филиалов все потому, что брандмауэр ISA Server 2000 не может установить VPN соединение в режиме IPSec со шлюзом VPN головного офиса.

Новый брандмауэр ISA может установить соединение с третьей стороной в режиме IPSec по принципу «сайт к сайту». Теперь можно подсоединиться к брандмауэру ISA филиала и использовать его свойства полностью. Теперь нет необходимости устанавливать стандартный аппаратный брандмауэр с учетом состояния протоколов вместе с прокси-сервером брандмауэра ISA Server 2000 — новая версия 2004 может быть одновременно VPN для головного офиса, приложением для кэширования страниц Internet и брандмауэром.

Защита исходных IP адресов при публикации веб-сервера

Одна из самых главных проблем, которая сводит с ума администраторов брандмауэра ISA Server 2000 — то, что нет возможности защитить исходные IP адреса удаленных клиентов, когда они подсоединяются к веб-серверу с помощью правил публикации веб-сервера.

Администраторы брандмауэра ISA Server 2000 предпочли бы использовать правила публикации веб-серверов вместо правил публикации обычных серверов, так как, правила публикации веб-серверов предоставляют возможность тщательного контроля над прикладным уровнем с учетом состояния протоколов на том уровне, на котором это необходимо при публикации веб-серверов. Но отсутствие средств защиты исходных IP адресов удаленных хостов делает невозможным использование журналов регистрации веб-сервера для анализа сайтов — все исходные IP адреса заменяются IP адресом внутреннего интерфейса брандмауэра ISA Server 2000.

Новый ISA брандмауэр позволяет выбрать, какой IP адрес будет отображаться — внутреннего интерфейса ISA брандмауэра или исходный IP адрес удаленного хоста. Если Вы не хотите, чтобы Ваш веб-сервер был клиентом SecureNAT , тогда используйте внутренний адрес для удаленного IP адреса, который видит веб-сервер. Если же Вы хотите оставить исходный адрес для анализа журнала регистрации, тогда можно просто настроит правила веб-публикации так, чтобы этот адрес был защищен. Все просто!

Публикация PPTP VPN сервера

Многие администраторы брандмауэра ISA Server 2000 используют передачу с подтверждением приема, что позволяет поместить сервера, работающие непосредственно с Internet в защищенную зону DMZ между брандмауэрами ISA.

Хотя конфигурация с подтверждением приема брандмауэра ISA Server 2000 работает неплохо, возникают некоторые проблемы с входящими VPN соединениями к внутренней сети. Вы можете попробовать использовать метод «туннель в туннеле», когда пользователи устанавливают VPN соединение к внешнему брандмауэру ISA Server 2000, а потом создают второй VPN туннель внутри первого для того, чтобы подсоединиться к брандмауэру конечного сервера ISA Server 2000.

Новый ISA брандмауэр предоставляет возможность опубликовать конечный VPN сервер. Улучшенный PPTP (Point-to-Point Tunneling Protocol) фильтр теперь позволяет устанавливать PPTP исходящие и входящие соединения. Теперь Ваши пользователи смогут создать VPN соединение к связующему брандмауэру ISA, а правла публикации сервера перенаправят PPTP VPN соединение к конечному ISA брандмауэру. И больше никаких «туннель в туннуле». Отлично!

Определение правил для HTTP фильтрации (включая блокирование исполняемых файлов Windows) входящих и исходящих соединений

Брандмауэр ISA Server 2000 предоставляет возможность очень тщательного контроля прикладного уровня с учетом состояния протоколов для опубликованных веб-серверов при использовании URLScan и правил веб-публикации.

Однако если возникает необходимость более подробной проверки входящих соединений, то приходится прибегать к услугам стороннего приложения. То же самое происходит и для исходящих веб-соединений — у Вас есть возможность основного контроля прикладного уровня протоколов с учетом их состояний, но, к сожалению, осуществить тщательный контроль HTTP соединений, который действительно необходим для отражения внутренних и внешних атак 21-го века, Вы не можете.

Новый брандмауэр ISA представляет усовершенствованный фильтр HTTP, в котором Вы можете подключать и изменять отдельные правила. Предположим, что Вам нужно создать правило, которое запрещало бы определенной группе пользователей доступ к исполняемым файлам Windows. Нет проблем! Все, что Вам нужно сделать — это поставить галочку. Вам даже не придется указывать, какое расширение будет у этих файлов, брандмауэр ISA сможет сам определить, является ли данный файл исполняемым, даже если его расширение .mom ;-)

Фильтр HHTP брандмауэра ISA исследует любые свойства HTTP соединений и блокирует соединения в соответствии с установленными Вами параметрами, используя при этом определенные правила. Нужно заблокировать приложение Kazaa, используя правило для доступа? Тут даже думать не надо. Если пользователи будут ограничены только веб-соединениями, то все, что Вам нужно — внести информацию о заголовке хоста Kazaa в фильтр HTTP. Супер!

Создание описаний протоколов с множеством первичных портов соединения

Для брандмауэра ISA Server 2000 было практически невозможным создания описания протоколов, которые включали в себя множество первичных портов соединения. За один раз можно было создать только одно описание протокола, а потом включать все эти описания в одно правило.

Новая версия брандмауэра ISA решает эту проблему. Вы можете определить диапазон первичных соединений при создании описания протокола. Теперь Вам не нужно сидеть день и ночь за вводом 500 первичных портов соединений по одному за раз. Фантастика!

Группы брандмауэра

Брандмауэр ISA Server 2000 позволяет Вам контролировать исходящие и входящие соединения отдельных пользователей и групп посредством создания локальных групп и пользователей, а также глобальных групп и пользователей в домене. Если Вам потребуется создать свой собственный тип группы для контроля входящего и исходящего доступа, то Вам придется создавать эту группу на уровне Active Directory (для локального SAM — Security Account Manager (администратора учетных данных в системе защиты) брандмауэра ISA Server 2000). Это значит, что для создания этих групп Вам нужно быть администратором домена или, что еще хуже, Вам придется просить администратора домена создать для Вас эти группы.

Новая версия брандмауэра ISA позволяет создавать собственные группы брандмауэра, которые можно использовать в правилах доступа. Вместо того, чтобы использовать глобальные группы домена для контроля входящего и исходящего доступа через ISA брандмауэр, все, что Вам будет нужно — это возможность получать информацию о доменных группах. Теперь Вы можете создавать собственные группы брандмауэра, например, Web Only, Exchange MAPI Group или RDP and Web Only, а затем заполнить эти группы пользователями и группами, которые уже есть в Active Directory.

Теперь Вам не придется умолять администраторов доменов создать Вам группу. Неплохо!

RADIUS аутентификация для веб-прокси соединений

Многие организации хотели бы использовать улучшенное ведение журнала регистрации и систему формирования отчетов, которые предлагает брандмауэр ISA Server 2000, для получения списка пользователей, посещающих сайты во внутренней сети в течение определенного периода времени. Проблема заключается в том, что брандмауэр ISA Server 2000 должен быть членом домена, чтобы проверять регистрационную информацию о пользователе, пославшем исходящий запрос.

Если у такой организации только один брандмауэр ISA Server 2000, то он находится во внешней сети. Нежелательно располагать члена домена во внешней сети, поэтому они не могут позволить себе использовать возможность ISA Server 2000 записывать имена пользователей и сайты, которые они посетили. (При этом это возможно, если существует другой брандмауэр ISA Server 2000 перед первым, тогда становится возможным сделать конечный брандмауэр ISA Server 2000 членом домена).

Новая версия брандмауэра ISA решает эту проблему для организаций, которые хотели бы поместить его во внешней сети, с помощью проверки регистрационной информации о пользователе по протоколу RADIUS для исходящих и входящих соединений к прокси-серверу. Можно сконфигурировать брандмауэр ISA так, чтобы RADIUS серверу высылались учетные записи для аутентификации пользователей. Эта возможность делает необязательным включение брандмауэра в домен для аутентификации исходящих соединений веб-прокси сервера.

Замечание: Очень распространено ошибочное мнение, что брандмауэр ISA должен быть членом домена для публикации ресурсов, необходимых для аутентификации. Все версии брандмауэра ISA поддерживают возможность передачи основной информации, когда брандмауэр замораживает соединение для того, чтобы передать учетные записи веб-сайту. Затем веб-сайт пересылает учетную запись аутентифицирующему серверу (Active Directory DC) и возвращает результат брандмауэру ISA. Если пользователь успешно аутентифицирован, тогда соединение передается опубликованному веб-серверу. Брандмауэр любой из версий 2000 или 2004 не должен быть членом домена для того, чтобы поддерживать передачу основной аутентификации!

Упорядоченный список правил доступа

Я возьму на себя риск утверждать, что большинство администраторов брандмауэра ISA Server 2000 не совсем уверены, когда по-настоящему применяются конкретные правила. Они примерно представляют себе, что сначала обрабатываются пользователи, которые не могут быть аутентифицированы, потом те, которые проходят аутентификацию, а потом нужно что-то сделать в зависимости от того, было ли это соединение с веб-прокси сервером, клиент брандмауэра или соединение с SecureNAT.

Все это сильно утомляет, и администраторам остается только надеяться, что ситуацию смогут исправить правила запрета доступа, они уверены, что эти правила должны быть проверены до правил разрешения доступа.

Новая версия полностью меняет модель политики предоставления доступа. Теперь брандмауэр ISA использует простой, унифицированный и упорядоченный список правил. Правила проверяются сверху вниз. Применяется первое правило, которое подходит к запросу соединения. И неважно, был ли это веб-прокси сервер, брандмауэр или SecureNAT, и неважно, было ли это правило разрешения или запрета. Применяется первое правило, которое соответствует параметрам соединения. Все просто!

Авторизация с использованием форм с помощью механизма создания форм брандмауэра ISA

Если Вы когда-нибудь пользовались веб-интерфейсом Outlook и подключали авторизацию с использованием форм в Exchange 2003 Server, то наверняка видели форму, которая позволяет зайти в Outlook через веб-интерфейс. Проблема при создании формы программой Outlook заключается в том, что чтобы получить доступ к форме, нужно дать право на неавторизованное соединение напрямую к веб-интерфейсу Outlook. Не знаю, как Вам, а мне бы не хотелось, чтобы кто угодно мог получить неавторизованный доступ к веб-серверу моего Outlook.

Создатели брандмауэра ISA поняли, что неавторизованное соединение к веб-интерфейсу — это очень плохо. Предоставление неавторизованных соединений раскрывает большие возможности для атак злоумышленников. Поэтому они включили в новую версию брандмауэра ISA протокол ISA аутентификации при помощи форм.

При публикации веб-интерфейса Outlook с использованием протокола ISA аутентификации при помощи форм, форма создается брандмауэром ISA. Пользователь вводит свои данные в форму и посылает их брандмауэру ISA. Брандмауэр пересылает их веб-интерфейсу Outlook, а тот в свою очередь проверяет его и отсылает котроллеру домена. Веб-интерфейс информирует брандмауэр ISA о результатах аутентификации. Если данные корректны, предоставляется доступ к веб-интерфейсу Outlook, если нет, то соединение прерывается.

В дополнение к этому брандмауэр ISA создает формы для всех версий веб-интерфейса Outlook. Без брандмауэра ISA Вы можете получить аутентификацию с использованием форм только для Exchange 2003. А с брандмауэром ISA — аутентификацию с использованием форм для всех версий веб-интерфейса Outlook, включая Outlook 5.5 и Outlook 2000. Брандмауэр ISA не только создает формы для защиты от неавторизованных соединений к веб-интерфейсу Outlook, но также позволяет блокировать приложения и автоматически прекращать работу пользователей по истечении заранее установленного периода времени или если они вышли с сайта веб-интерфейса Outlook.

Если Вам необходим удаленный доступ к веб-интерфейс Outlook, тогда лучшее что Вы можете сделать для его безопасности — это установить новую версию брандмауэра ISA.

Перенаправление соединений на другой порт для правил публикации веб- или других серверов (а также FTP !)

Одно из наиболее известных неудобств брандмауэра ISA Server 2000, о котором много говорят, — это невозможность перенаправления на другой порт с помощью правил публикации серверов. Например, когда Вы публикуете сервер через 25-ый порт TCP внешнего интерфейса брандмауэра ISA, это соединение перенаправляется на порт с тем же номером опубликованного сервера во внешней сети. Это было достаточно раздражающим, так как даже элементарный аппаратный фильтр пакетов мог это сделать.

Новая версия решает эту проблему и позволяет перенаправлять соединение на другой порт с помощью Server Publishing Rule Wizard. Например, Вы можете создать правила публикации почтового сервера, которые будут принимать входящие соединения на 26-й TCP порт и затем перенаправлять их на 25-й TCP порт почтового сервера корпоративной сети.

Одно из самых больших достижений новой версии заключается в том, что теперь можно публиковать FTP сервера на чередующиеся порты. Брандмауэр ISA может ожидать входящие FTP запросы на чередующихся портах и перенаправлять запрос на соединение на чередующиеся порты. Новый фильтр FTP доступа делает это возможным.

Также брандмауэр ISA может пересылать входящие веб-запросы точно также, как и брандмауэр ISA Server 2000. Прослушиватель веб-сети может быть настроен на прослушивание любого номера TCP порта и перенаправдять HTTP и HTTPS запросы на любой номер порта веб-сервера корпоративной сети.

Определение маршрутов и преобразование сетевых адресов для соединений между различными сетями

Подход к работе в сети брандмауэра ISA Server 2000 достаточно прост. Есть внешняя сеть и внутренняя сеть. Любой хост с IP адресом в таблице локальных адресов считался хостом внутренней сети, а любой хост, чей IP адрес не был включен в эту таблицу, считался хостом внешней сети. Все коммуникации между внутренними и внешними хостами были осуществлены с помощью преобразования сетевых адресов. Для всех соединения внутренних хостов был проложен маршрут, и для всех соединений внешних хостов был проложен определенный маршрут (как в примере конфигурации защищенной зоны DMZ Trihomed).

Все изменилось в новой версии. Нет более таблицы локальных адресов. Таблица локальных адресов навсегда ушла из брандмауэра ISA. Кардинально изменилось определение внутренней сети, и больше не надо определять маршруты для локальных и внешних хостов. По умолчанию, внешняя сеть включает в себя те IP адреса, которые брандмауэр ISA не определил ни для какой другой знакомой ему сети. Не нужно делать никаких предположений относительно преобразования сетевых адресов или проложения маршрутов между внешней сетью, определенной по умолчанию, и какой-либо другой сетью.

Теперь с новой версией брандмауэра ISA Вы можете выбрать между преобразованием сетевых адресов и установкой маршрута для любых двух сетей. Вы можете определить маршрут между сетью Internet и зоной безопасности DMZ, и преобразование адресов для заранее определенной внутренней зоной и одной из внутренних сетей. А, возможно, Вы установите маршрут между одной из внутренних сетей и одной из зон безопасности DMZ и преобразование адресов для другой внутренней сетью и другой зоной безопасности DMZ (а, возможно, и той же самой DMZ! ) Выбор за Вами, если Вы пользуетесь новым брандмауэром ISA.

Монитор журнала брандмауэра в реальном времени

Брандмауэр ISA Server 2000 обладает удобной системой регистрации в журнале событий брандмауэра и веб-прокси служб, но при этом извлечь информацию из журналов оказывается достаточно сложным заданием. Другая проблема заключается в том, что для просмотра записей журнала в реальном времени, Вам необходимо использовать другое приложение.

Новая версия решает и эти проблемы. Появляется возможность хранить журнал в SQL формате, в виде текстовых файлов или хранить в новой усовершенствованно MSDE базе. Выбрав расширенный режим ведения журнала, Вы получаете возможность просматривать записи журнала в реальном времени, а также накладывать на них любой фильтр. Вы можете также сделать запрос по уже существующим записям в журнале. В журнал встроен очень мощный и простой в использовании механизм запросов, который может быть очень полезен при исправлении ошибок и анализе трафика.

Автоматическое сохранение отчетов в формате HTML

Новая версия брандмауэра ISA имеет такую же удобную систему отчетов, что и версия ISA Server 2000. Однако, хотя бы раз в день у пользователя возникал вопрос о том, как можно сохранить отчеты в HTML формате на веб-сервере. Брандмауэр ISA Server 2000 не дает на этот вопрос ответа.

В новой версии можно установить автоматическое сохранение в HTML формате на локальный жесткий диск брандмауэра ISA или автоматическое сохранение отчетов на веб-сервер. Также можно настроить брандмауэр ISA так, чтобы он высылал email сообщение, оповещающее о том, что был создан отчет, и содержащее ссылку на этот отчет. Изящно, не так ли?

Удобное сохранение и восстановление резервных версий конфигурации брандмауэра

Отсутствие систематического создания резервных копий и их восстановления — одна из самых известный черт брандмауэра ISA Server 2000. Эта версия может сохранить конфигурацию брандмауэра и восстановить ее только на ту же машину и только на текущую инсталляцию на этой машине. Если же Вам придется переустановить Windows и ISA на своей машине или перенести конфигурацию брандмауэра ISA Server 2000 на другую машину, то восстановление резервных копий будет невозможным.

В отличие от старой версии новая версия брандмауэра ISA позволяет сохранять резервную копию всей конфигурации и восстанавливать ее на любой машине с установленным брандмауэром ISA 2004. С помощью этого свойства новой версии Вы можете сохранить резервную копию всей конфигурации брандмауэра в .xml файл. В дальнейшем этот .xml файл можно использовать для восстановления конфигурации на этой же машине с переустановленными Windows и брандмауэром ISA или совсем на другой машине с установленным брандмауэром ISA.

Помимо возможности создания резервной копии полной конфигурации брандмауэра ISA, Вы также можете создать копию его отдельных компонентов. Вы можете создать копию созданных правил брандмауэра ISA и добавить их к правилам другого брандмауэра. Или, например сделать копию только двух или трех правил, таких как правила HTTP публикации для веб-интерфейса Outlook и RPC. C новой версией Вам не потребуется особых усилий ни для создания копий всей конфигурации, ни для какой-либо ее части.

Работа в зоне DMZ с мультиадаптером брандмауэра ISA

При использовании брандмауэра ISA Server 2000 защитная зона DMZ была очень сильно ограничена, так как DMZ должна была использовать открытые адреса и фильтрация пакетов с учетом их состояний производилась только между сетью Internet и сетью DMZ. Это значит, что работа в сети DMZ заключалась примерно в том же, что и обычная фильтрация пакетов с учетом их состояний у любого аппаратного брандмауэра. Таким образом, Вы не могли воспользоваться преимуществом фильтрации на прикладном уровне соединений сегмента открытых адресов DMZ с сетью Internet с учетом их состояний.

Новая версия брандмауэра ISA поддерживает полный набор DMZ операций в сети для групповых брандмауэров ISA. DMZ сегментирует брандмауэр и использует открытые или частные адреса. Вы можете проложить маршрута или преобразовать сетевые адреса между сегментом DMZ и Internet или другой сетью и сегментом DMZ. Сконфигурировав один или 20 DMZ сегментов, Вы можете проложить маршрута или преобразовать сетевые адреса между любой сетью и сегментами DMZ. Что наиболее важно, все соединения между сегментом DMZ и другой сетью подвергаются фильтрации с учетом состояний (как и в любом обычном аппаратном брандмауэре), а также проверке прикладного уровня с учетом состояний.

Использование всех возможностей сети DMZ обеспечивает полный контроль соединений между сетью Internet, корпоративными сетями и вашими зонами DMZ, Позволяя создавать сложные DMZ сценарии. Больше нет проблем при создании партнерских экстрасетей, авторизованных DMZ сегментов и анонимного досутпа к сегментам DMZ.

Резюме

Теперь Вы можете пользоваться свойствами обычных брандмауэров с фильтрацией с учетом состояний, при этом новая версия предоставляет возможность легкой проверки прикладного уровня с учетом состояний. Я уверен, что новый брандмауэр ISA будет выделяться на рынке брандмауэров в течение нескольких следующих лет, так как обычные брандмауэры работающие с пакетными фильтрами не способны отразить современные атаки злоумышленников.

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]