Обзор сервера ISA Server 2004 Standard Edition Корпорация Майкрософт Дата публикации: Май 2004 г Данный документ является предварительным описанием, и содержащиеся в нем сведения могут претерпеть значительные изменения перед выпуском окончательной коммерческой версии описываемого в нем продукта. Сведения, содержащиеся в данном документе, отражают текущую позицию корпорации Майкрософт в отношении обсуждаемых вопросов на момент публикации. Поскольку корпорация Майкрософт должна реагировать на изменение рыночных условий, данный документ не должен рассматриваться как обязательство со стороны корпорации Майкрософт и корпорация Майкрософт не может гарантировать точность представленных сведений после публикации. Этот документ предназначен только ознакомления. В ДАННОМ ДОКУМЕНТЕ КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ. На пользователе лежит ответственность за соблюдение всех применимых в данном случае законов об авторском праве. В рамках, предусмотренных законами об авторских правах, никакая часть настоящего документа не может быть воспроизведена, сохранена, представлена в какой-либо системе хранения данных или передана в какой бы то ни было форме, какими бы то ни было средствами (электронными, механическими, фотокопировальными, записывающими или другими) и в каких бы то ни было целях без специального письменного разрешения корпорации Майкрософт. Корпорация Майкрософт может являться правообладателем патентов и заявок, поданных на получение патента, товарных знаков и объектов авторского права, которые имеют отношение к содержанию данного документа. Предоставление вам данного документа не означает передачи какой-либо лицензии на использование данных патентов, товарных знаков и объектов авторского права, за исключением использования, явно оговоренного в лицензионном соглашении корпорации Майкрософт. Названия предприятий, организаций и изделий, а также имена, даты и события, используемые в качестве примеров, являются вымышленными. Не планировались и не должны подразумеваться какие-либо аналогии с реальными компаниями, организациями, людьми или событиями. © 2003. Microsoft Corporation. Все права защищены. Microsoft, Windows, Windows 2000, Windows 2000 Server, Windows Server 2003, Windows Server System, ISA Server, and ISA Server 2004 являются зарегистрированными товарными знаками корпорации Майкрософт в США и других странах. Обзор сервера ISA Server 2004 Standard Edition Сервер Microsoft® ISA (Internet Security and Acceleration) Server 2004 — это решение, объединяющее в себе последние достижения в области обеспечения безопасности сетей и реализующее функциональные возможности мощного трехуровневого межсетевого экрана, средства управления частными виртуальными сетями (VPN) и службы веб-кэширования. Использование ISA Server 2004 позволяет повысить эффективность уже произведенных предприятием вложений средств в информационные технологии путем повышения безопасности и производительности имеющейся сети. Сервер Microsoft® ISA (Internet Security and Acceleration) Server 2004 годится для использования в качества средства защиты локальной сети в организации любого размера. Усовершенствованные средства защиты В ISA Server 2004 реализована динамическая фильтрация пакетов и фильтрация каналов. Алгоритм динамической фильтрации избирательно открывает доступ пакетов данных в защищенные области сети и к прокси-службам программных систем. Служба динамической фильтрации по мере необходимости производит открытие, а по завершении сеанса связи — закрытие портов. Средства же фильтрации каналов реализуют прозрачные для приложений шлюзы каналов для стандартного (не привязанного к операционной системе) доступа к Telnet, RealAudio, Windows Media™, IRC (Internet Relay Chat), а также многим другим протоколам и службам Интернета. Фильтрация каналов сервера ISA Server 2004 используется совместно с динамической фильтрацией пакетов, реализуя простые в использовании и надежные средства обеспечения безопасности. Помимо фильтрации пакетов и каналов, при помощи фильтров команд и данных приложений ISA Server 2004 позволяет контролировать потоки данных приложений. Средства настраиваемой фильтрации потоков данных позволяют пропускать, блокировать, перенаправлять или изменять данные, передаваемые по протоколам HTTP, FTP, SMTP, POP3, DNS, конференциям по протоколу H.323, потокового мультимедиа, RPC и каналам VPN. Простота использования ISA Server 2004 отличается гибкостью и простотой в использовании и включает поддержку многосетевой архитектуры, унифицированное средство управления виртуальными частными сетями (VPN) и межсетевым экраном в виде визуального редактора политик, понятные сетевые шаблоны, автоматизированные мастера, усовершенствованные средства устранения неполадок, функции экспорта данных о конфигурации в формат XML, средства мониторинга сеансов межсетевого экрана в режиме реального времени, группы пользователей межсетевого экрана и т. д. Быстрое и надежное получение доступа ISA Server 2004 обеспечивает быстрый и надежный доступ к сети с полными возможностями виртуальной частной сети (функции которой полностью интегрированы в архитектуру межсетевого экрана), быстрое веб-кэширование, а также оптимизированную скорость фильтрации на межсетевом экране. Встроенная поддержка туннельного режима IPsec для VPN-подключений «узел в узел» позволяет ISA Server 2004 легко подключаться к виртуальным частным сетям филиалов, а поддержка Windows Quarantine (одна из самых важных новых возможностей сервера) — повысить безопасность работы удаленных пользователей. Возможности ISA Server расширены поддержкой последних версий фильтров сторонних разработчиков, а также наличием справки SDK. Обзор ISA Server 2004 Standard Edition 1 Развертывание ISA Server 2004 В ISA Server 2004 реализованы функциональные возможности, необходимые организациям для ведения бизнеса в сегодняшних условиях. Безопасный и простой метод предоставления доступа к электронной почте сотрудникам за пределами сети. Безопасный и простой метод предоставления информации из интрасети предприятия через Интернет. Безопасный метод предоставления партнерам доступа к данным внутри корпоративной сети. Безопасный и гибкий метод предоставления удаленного доступа для сотрудников с одновременной защитой корпоративной сети от возможных атак злоумышленника. Безопасный метод взаимодействия филиалов с основным офисом через Интернет. Контроль доступа к Интернету и защита клиентов от возможных атак из Интернета. Быстрый доступ к часто используемому веб-содержанию. ISA Server предназначен для использования в организациях любого размера специалистами в области информационных технологий и безопасности, а также сетевыми администраторами, на которых возложены обязанности обеспечения безопасности, производительности, управляемости и экономической эффективности работы сетей. Для упрощения настройки в ISA Server 2004 одновременно устанавливаются межсетевой экран и средства веб-кэширования. Далее в документе рассмотрены разные сценарии развертывания ISA Server 2004. Безопасный и простой метод предоставления доступа к электронной почте сотрудникам за пределами сети Простой в использовании интерфейс ISA Server 2004 позволяет быстро установить защиту сервера Exchange в Интернете. Для быстрого развертывания, а также снижения риска создания ошибочной конфигурации выполнение стандартных задач автоматизируется с помощью мастера веб-публикации почтового сервера. Кроме того, ISA Server 2004 предотвращает возможные атаки на почтовые серверы. Команды, которые направлены на использование возможных уязвимостей или раскрытие избыточной информации, блокируются. В ISA Server 2004 предусмотрена возможность предварительной проверки подлинности пользователей, что позволяет блокировать потенциально опасные анонимные запросы до их попадания на сервер Exchange. Outlook (RPC, RPC/HTTP) Обозреватель (OWA, OMA) Интерфейс Exchange Интернет Прочее (POP, IMAP) Прочие организации (SMTP) Защищенная область Обзор ISA Server 2004 Standard Edition 2 Безопасный и простой метод предоставления данных корпоративной интрасети через Интернет В ISA Server 2004 реализован безопасный метод доступа к приложениям внутренней корпоративной сети из Интернета путем веб-публикации и публикации сервера. Интегрированные мастера веб-публикации и публикации сервера автоматизируют выполнение стандартных задач, и позволяют снизить риск создания ошибочной конфигурации. Средства преобразования ссылок осуществляют интеллектуальное преобразование внутренних ссылок в адреса внешних веб-узлов. Благодаря усовершенствованным защитным функциям ISA Server 2004 может контролировать допустимость содержания потока данных и принудительно подставлять разрешенные URL-адреса. Интернет Веб-серверы ISA Server 2004 Клиент Защищенная область Безопасные средства предоставления партнерам доступа к данным внутри корпоративной сети С помощью интегрированного компонента VPN пользователи сервера ISA Server 2004 могут подключать партнеров к своей сети, одновременно ограничивая доступ к определенным серверам и приложениям. Для обеспечения конфиденциальности и целостности данных ISA Server 2004 шифрует весь поток данных между внутренними сетями внешних организаций и корпоративной сетью предприятия. Серверы конечных точек VPN-подключения проверяют подлинность друг друга, после чего ISA Server 2004 применяет политики доступа и маршрутизации, ограничивающие доступ партнера к корпоративной сети. Кроме того, пользователи ISA Server 2004 для защиты корпоративной сети от возможных атак на прикладном уровне могут назначать строгие правила фильтрации данных приложений. Интернет ISA Server 2004 Корпоративная сеть Сеть партнера Обзор ISA Server 2004 Standard Edition 3 Безопасный и гибкий метод предоставления удаленного доступа для сотрудников с одновременной защитой корпоративной сети от возможных атак С помощью усовершенствованной фильтрации на уровне приложений ISA Server 2004 защищает сеть от неконтролируемых удаленных компьютеров, устанавливающих VPNподключение к корпоративной сети. Кроме того, в процессе проверки и анализа потока данных блокируются вирусы и «черви». Пользователям и группам VPN могут быть назначены гибкие сетевые политики, предоставляющие доступ только к определенным серверам и приложениям. Наконец, ISA Server 2004 может автоматически блокировать доступ к сети с клиентских компьютеров, не соответствующих принятым на предприятии политикам в отношении установленных пакетов обновления, средств антивирусной защиты и других критериев. Интернет ISA Server 2004 Удаленные пользователи Корпоративная сеть Безопасный метод взаимодействия филиалов с основным офисом через Интернет Входящий в состав сервера ISA Server 2004 VPN-шлюз позволяет администратору объединять различные сети (например, основного офиса и филиалов) с помощью VPNподключения «узел в узел». Функция маршрутизатора VPN туннельного режима IPSec используется для управления доступом пользователей, групп, узлов, компьютеров, протоколов и данных уровня приложений при подключениях «узел в узел». Пользователи имеют доступ только к разрешенному содержанию удаленной сети, а пользователи удаленной сети имеют доступ только к явно предоставленным ресурсам локальной сети. ISA Server 2004 Интернет ISA Server 2004 Филиал Обзор ISA Server 2004 Standard Edition Корпоративная сеть 4 Управление доступом к Интернету и защита клиентов от возможных атак из Интернета В ISA Server 2004 предусмотрена возможность применения и управления политиками доступа пользователей к Интернету, а также защиты пользователей от возможных атак из Интернета. Гибкие политики межсетевого экрана служат для блокирования вебузлов, а также проведения фильтрации содержания в целях повышения производительности труда пользователей и отсечения нежелательного содержания. Интеграция с Active Directory позволяет создавать элементы управления доступом для разных организационных ролей и должностных уровней. С помощью усовершенствованной фильтрации данных протокола HTTP можно блокировать использование встроенных приложений, например, голосовых, видео и других одноранговых служб или средств обмена мгновенными сообщениями. Реализованные в сервере ISA Server 2004 средства фильтрации данных приложений позволяют защитить рабочие компьютеры и серверы от возможных атак, повышая надежность сетевой среды предприятия. Кроме того, для предотвращения возможных атак служит фильтрация потока данных: внутренние клиенты недоступны за пределами сети, ответный входящий поток данных подвергается проверке, и допускается подключение надстроек сторонних производителей, обеспечивающих защиту от вирусов. Клиенты Интернет ISA Server 2004 Корпоративная сеть Обзор ISA Server 2004 Standard Edition 5 Быстрый доступ к часто используемому веб-содержанию Функции кэширования ISA Server 2004 позволяют быстро получать доступ к часто используемому веб-содержанию. Средства предварительной загрузки позволяют администратору вручную указать веб-узлы, к которым обращаются наиболее часто, для предварительной загрузки их содержания, а с помощью активного кэширования сервер ISA Server 2004 распознает закономерности в веб-потоке данных и автоматически загружает содержание часто запрашиваемых веб-узлов. В случае необходимости ISA Server 2004 направляет специальные запросы внешним серверам кэширования. Кроме того, встроенная проверка подлинности позволяет проверять исходящие запросы на соответствие заданным условиям. Интернет Кэш К эш (предшествующий) Корпоративная сеть Корпоративная сеть К эш (последующий) Филиал Обзор ISA Server 2004 Standard Edition Интернет К эш (последующий) Филиал 6 Краткий обзор функций Краткий обзор функций Microsoft ISA Server Функция Описание Межсетевой экран предприятия Многоуровневый межсетевой экран Для достижения максимального уровня безопасности сетей предприятий используются фильтрация пакетов, фильтрация каналов и фильтрация потока данных приложений. В процессе динамической фильтрации пакетов выявляются пакеты, которые будут пропущены в защищенные области сети, а также к прокси-службам прикладного уровня. При этом по мере необходимости автоматически производится открытие, а по завершении сеанса связи — закрытие соответствующих портов. Фильтрация каналов обеспечивает прозрачный для приложений шлюз для межплатформенного доступа к Telnet, RealAudio, Windows Media™, IRC (Internet Relay Chat), а также многим другим протоколам и службам Интернета. В отличие от других межсетевых экранов каналов, фильтрация каналов ISA Server 2004 работает совместно с динамической фильтрацией пакетов, что обеспечивает простоту использования и повышает общую безопасность работы сети. Фильтрация и динамическая проверка данных приложений способна распознавать команды протоколов (например, НТТР, FTP и Gopher), поступающие от клиентских компьютеров. Сервер ISA Server имперсонирует во внутренней сети клиентские компьютеры, скрывая от внешней среды внутреннюю топологию сети и IP-адреса предприятия. Динамическая проверка данных приложений ISA Server 2004 динамически проводит интеллектуальную проверку потока данных на уровне приложений, проходящего через межсетевой экран. Во избежание возможных разрывов подключения и для предотвращения нарушения системы безопасности это осуществляется с учетом контекста данных приложения и состояния подключения. Интеллектуальная фильтрация данных приложений Помимо базовой фильтрации данных приложений сервер ISA Server 2004 контролирует поток данных приложений, распознавая в нем данные и команды при помощи специальных фильтров. Средства интеллектуальной фильтрации позволяют на основе анализа содержания потока данных пропускать, блокировать, перенаправлять или изменять данные протоколов HTTP, FTP, SMTP, POP3, DNS, данных конференций по протоколу H.323, потокового мультимедиа, удаленного вызова процедур и VPN. Обзор ISA Server 2004 Standard Edition 7 Краткий обзор функций Microsoft ISA Server Функция Безопасная публикация серверов Определение вторжения Встроенная поддержка виртуальных частных сетей (VPN) Описание Механизм безопасной публикация серверов позволяет защитить в Интернете от внешних атак веб-серверы, почтовые серверы и приложения электронной торговли. Сервер ISA Server способен выдавать себя за опубликованный сервер, реализуя дополнительный уровень защиты. Для защиты внутренних серверов организации в правилах веб-публикации можно определить доступные компьютеры, а правила публикации средств управления сервером защищают внутренние серверы от незаконного получения доступа внешними пользователями. Кроме того, опубликованные серверы защищены от атак извне с помощью интеллектуальной фильтрации данных приложений. Интегрированный компонент обнаружения вторжений (разработанный на основе технологии компании Internet Security Systems) уведомляет пользователя и предпринимает необходимые действия в случае обнаружения попытки незаконного проникновения в сеть (например, сканирования портов, использования средств «WinNuke» или «Ping of Death»). Для предоставления стандартного безопасного удаленного доступа используются встроенные службы виртуальных частных сетей Windows 2000 и Windows Server 2003. ISA Server 2004 поддерживает безопасные VPN-подключения филиалов или удаленных пользователей к основному офису. Политика межсетевого экрана применяется к VPNподключениям и позволяет точно контролировать протоколы и ресурсы, к которым получают доступ пользователи таких подключений. Прозрачность межсетевого экрана Путем замены внутреннего IP-адреса на внешний механизм SecureNAT предоставляет прозрачный доступ к межсетевому экрану и защиту для всех IP-клиентов (независимо от конфигурации клиента и без необходимости использования специального программного обеспечения). Сложные фильтры прикладного уровня, которые служат для управления подключением, предоставляют комплексную поддержку клиентам SecureNAT. Надежная проверка подлинности пользователей Для клиентов веб-прокси и межсетевого экрана ISA Server 2004 поддерживается аутентификация Windows (NTLM и Kerberos). Для клиентов веб-прокси поддерживаются клиентские сертификаты, выборочная, базовая, анонимная проверка подлинности, а также проверка подлинности на основе форм. Проверка подлинности пользователей может проводиться по данным локальной базы данных на межсетевом экране, Active Directory или с помощью службы RADIUS. Мост SSL-SSL Для серверов, использующих доступ только по зашифрованным и проверенным каналам, ISA Server 2004 поддерживает механизм фильтрации моста «SSL-SSL». В отличие от большинства межсетевых экранов, зашифрованные данные могут быть проверены до попадания на сервер. Межсетевой экран ISA Server 2004 расшифровывает поток SSL, производит динамическую проверку, а затем повторно шифрует и пересылает данные опубликованному веб-серверу. Обзор ISA Server 2004 Standard Edition 8 Краткий обзор функций Microsoft ISA Server Функция Описание Сервер веб-кэширования Высокопроизводительное веб-кэширование Повышена веб-производительность для внутренних клиентов, получающих доступ к серверам Интернета, а также внешних пользователей Интернета, которые подключаются к веб-серверу предприятия. Для обеспечения максимальной веб-производительности ISA Server 2004 использует быстрое кэширование в оперативной памяти и оптимизированный дисковый кэш. Интеллектуальное кэширование Благодаря активному кэшированию часто используемых объектов пользователь получает веб-содержание последней версии. ISA Server 2004 автоматически определяет часто используемые веб-узлы, а также необходимую частоту обновления их содержания (на основании продолжительности пребывания объекта в кэше или времени последнего извлечения объекта). В периоды низкого потребления сетевых ресурсов ISA Server 2004 без вмешательства диспетчера сети осуществляет предварительную загрузку веб-содержания в кэш. Кроме того, веб-кэш ISA Server 2004 может быть использован для предварительной загрузки автономного содержания, которое хранится на компакт- или DVD-дисках. Кэширование по графику Существует возможность предварительной загрузки в кэш целых веб-узлов по определенному графику. Это позволяет предоставить пользователям в рамках предприятия доступ к содержанию на автономных вебсерверах. Удобное управление межсетевым экраном Управление доступом с помощью политик Организация может контролировать входящий и исходящий доступ по пользователям, группам, приложениям, источникам и местам назначения, изменению контента, а также по расписанию. С помощью мастеров политик межсетевого экрана определяются доступные веб-узлы и содержание, доступность определенного протокола для установки входящих и исходящих подключений, а также разрешения на установку подключений между определенными IP-адресами с помощью заданных протоколов и портов. Упрощенное управление В ISA Server 2004 конфигурацию межсетевого экрана можно целиком скопировать в файл XML. После этого такой файл переносится на съемный носитель или отправляется в составе безопасного почтового сообщения администратору другого межсетевого экрана для обеспечения стандартной конфигурации в рамках всей организации. Кроме того, скопировать в файл XML, а затем импортировать можно и отдельные элементы конфигурации. Интеграция с Active Directory Межсетевой экран ISA Server 2004 для проверки подлинности входящих и исходящих подключений использует базу данных пользователей Active Directory Графические панели задач и мастера конфигурации Графические панели задач и мастера конфигурации служат для упрощения навигации и настройки стандартных задач. Так, с помощью мастера можно опубликовать сервер Exchange в сети под защитой компьютера ISA Server 2004, настроить межсетевой экран на выполнение функций сервера или шлюза VPN или создать новое правило межсетевого экрана. Обзор ISA Server 2004 Standard Edition 9 Краткий обзор функций Microsoft ISA Server Функция Удаленное управление Журналы, отчеты и оповещения Управление на уровне пользователя Описание Управление ISA Server 2004 может осуществляться в удаленном режиме с помощью оснастки MMC, служб терминалов Windows 2000 и удаленного рабочего стола Windows Server 2003. Для удаленного управления межсетевым экраном ISA Server 2004 на компьютере Windows Server 2003 может использоваться безопасное туннелирование SSL/RDP. Кроме того, удаленное управление службами ISA Server 2004 возможно с помощью сценариев, запускаемых из командной строки. В стандартных форматах (текстовые файлы с символамиразделителями, базы данных SQL и MSDE) создаются подробные журналы безопасности и доступа. Кроме того, существует возможность создания по определенному графику стандартных отчетов об использовании сети и приложений, моделях потока сетевых данных и безопасности с автоматической публикацией в локальной папке или удаленном общем ресурсе. Оповещения на основе событий служат для отправки сообщений администратору, запуска и остановки служб межсетевого экрана, а также автоматического выполнения действий на основании заданных критериев. Существует возможность ограничения доступа клиентов межсетевого экрана и веб-прокси ISA Server 2004 для каждого отдельного пользователя (а не просто по IPадресам), что позволяет более точно контролировать получение входящего и исходящего доступа по всем протоколам. Расширяемая платформа Поддержка широкого круга приложений ISA Server 2004 поддерживает многие протоколы Интернета, в т. ч. HTTP/SSL, FTP, RDP, Telnet, RealAudio и RealVideo, IRC, H.323, потоковое мультимедиа Windows, почтовые и новостные протоколы. Широкая поддержка со стороны сторонних разработчиков Независимые разработчики предлагают программы (например, антивирусное программное обеспечение, средства управления, фильтрации содержания и составления отчетов), которые созданы для использования с ISA Server с учетом особенностей продукта. Так, существуют фильтры сторонних разработчиков, которые могут быть использованы для предотвращения загрузки в защищенную сеть предприятия последних версий вирусов, сценариев Java и элементов управления ActiveX®. Справка SDK В состав ISA Server 2004 включены подробные файлы справки по разработке средств на основе функций межсетевого экрана, кэширования и управления продуктом, а также полная документация API и примеры создания дополнительных веб-фильтров и фильтров приложений, оснасток ММС, средств составления отчетов, сценариев, оповещений и т. д. Обзор ISA Server 2004 Standard Edition 10 Новые функции ISA Server 2004 В состав ISA Server 2004 включено большое количество усовершенствований и новых функций, которые наиболее полно проявляются в случае установки продукта на компьютере с Windows Server 2003: новый упрощенный интерфейс поддержка нескольких сетей улучшенная поддержка VPN изолирование VPN-подключений создание групп пользователей межсетевого экрана расширенная поддержка протоколов переработанные определения протоколов мастер публикации OWA усовершенствованная политика загрузки и передачи данных по протоколу FTP улучшенная веб-публикация перенаправление портов для правил публикации серверов улучшенные правила централизованного кэширования объектов отображение пути для правил веб-публикации поддержка службы RADIUS при проведении проверки подлинности клиентов веб-прокси делегирование базовой проверки подлинности проверка подлинности SecureID формы, созданные межсетевым экраном (проверка подлинности на основе форм) усовершенствованное средство контроля сообщений SMTP улучшенная фильтрация протокола НТТР преобразование ссылок усовершенствованные функции мониторинга и отчетности Обзор ISA Server 2004 Standard Edition 11