Co je nového v produktu Microsoft ISA Server 2004

Od vydání poslední verze produktu Microsoft ISA Server uplynuly již čtyři roky. Je tomu pár dní, co Microsoft stojaté vody tohoto produktu rozčeřil a vydal novou verzi označenou číslem 2004. Internet Security and Acceleration (ISA) Server spojuje firewall na aplikační vrstvě, řešení pro VPN, proxy a webovou mezipaměť do jednoho komplexního balíku a my vám v dnešním článku přinášíme přehled novinek a náhledy na obrazovky.

Související odkazy

Slovník
doména
firewall
FTP
implementace
MAPI
NAT
paket
port
proxy
RPC
server
SMTP
SQL
SSL
upgrade
URL
utilita
virtuální

Databáze znalostí
kategorie Internet, sítě
Síťová chyba Windows
2000 Serveru

Uživatelská práva ve
Windows 2000 Server

Vyhledávání na FTP
serverech v lokální síti

Pro koho je ISA Server 2004

ISA Server 2004 to s rozšířením nebude mít zas až tak příliš jednoduché. Jedná se o produkt, určený převážně pro společnosti větších rozměrů a velká řada z nich již používá nějaké z alternativních řešení nebo starší verzi ISA Server 2000. Čas postupně ukáže, bude-li právě nová verze 2004 tím správným důvodem k upgrade.

Pravděpodobně se minimálně vyskytne jisté období, kdy firmy budou vyčkávat a oťukávat nové řešení před ostrým nasazením do provozu, které je často kromě financí na upgrade bude stát i nemalé úsilí při řešení problémů a zkoumání nových vlastností. Podobně se tomu právě děje například u balíčku Service Pack 2 pro Windows XP – nasazení do praxe především u velkých společností je daleko pomalejší než se původně čekalo a teprve v současné doby se začínají čísla statistik postupně plnit.

Co zde naleznete

Tento článek se rozhodně nestaví do pozice nějaké testu či srovnání produktů na úrovni ISA Serveru. Naleznete zde především výtah a stručný popis významnějších novinek v tomto produktu, které Microsoft prezentuje. Kompletní informace o produktu naleznete přímo na stránkách Microsoftu.

Zcela přepracované pracovní prostředí

Microsoft v novém ISA Serveru 2004 přepracoval ovládací prostředí. Tento fakt zajisté přispěje k větší přehlednosti, nicméně může být trnem v oku současným uživatelům plánujícím upgrade, kteří si budou muset zvykat na nové ovládání.

 Klepněte pro větší obrázek Klepněte pro větší obrázek
1-Výchozí filtry aplikací | 2-Šablony sítí

 

 Klepněte pro větší obrázek Klepněte pro větší obrázek
3-Vizuální editor zásad | 4-Panel monitorování v reálném čase

 

Klepněte pro větší obrázek Klepněte pro větší obrázek
5-Prohlížeč protokolů v reálném čase| 6-Konfigurace sítí VPN

 

Klepněte pro větší obrázek Klepněte pro větší obrázek
7-Blokování nepovoleného sdílení souborů | 8-Automatická konfigurace připojení vzdálených sítí

 

 Klepněte pro větší obrázek Klepněte pro větší obrázek
9-Integrované ověřování pomocí protokolu RADIUS pro sítě VPN | 10-Podpora tunelového režimu protokolu IPSec pro mezisíťová připojení VPN

Klepněte pro větší obrázek Klepněte pro větší obrázek
11-Publikování serveru Exchange Server | 12-Integrovaná správa sítí VPN v systému Windows

Přehled novinek v ISA Server 2004

Jste-li v současné době správci podnikové sítě či uživatelé starší verze ISA Serveru, můžete průletem následující částí článku zjistit novinky a změny, které obsahuje nová verze. Hlavní prezentovanou vlastností verze 2004 je nová bezpečnostní architektura, která poskytuje zvýšený stupeň zabezpečení.

Novinky v zabezpečení a firewallu

Firewallů je v dnešní řadě velká řada. Některé jsou dobré, některé jsou špatné. V nové verzi ISA Serveru 2004 prošel firewall několika zásadními změny a to převážně v oblasti zvýšení zabezpečení, podpory libovolného protokolu či v oblasti změny konfigurace a správy. Z prezentovaných nových vlastností můžeme například uvést:

  • Podpora libovolného protokolu včetně protokolů sady IP. Uživatelé mohou pomocí utilit jako ping či tracert vytvářet připojení VPN prostřednictvím protokolu PPTP. Navíc může být přes ISA Server povoleno propouštění datových přenosů protokolu IPSec.

  • ISA Server 2004 umožňuje řídit číslo zdrojového a cílového portu libovolného protokolu, pro který je vytvořeno pravidlo firewallu. Správce firewallu tak získává lepší kontrolu nad tím, které příchozí a odchozí pakety budou propouštěny přes firewall.

  • Podpora komplexních protokolů požadujících více primárních připojení

  • ISA Server 2004 umožňuje vytváření vlastních uživatelských skupin brány firewall, které mohou být tvořeny stávajícími skupinami v místní databázi účtů a doméně adresářové služby Active Directory.

  • ISA Server 2004 umožňuje klientům brány firewall přistupovat k webové mezipaměti pomocí filtru protokolu HTTP bez nutnosti samostatného ověření službou Web Proxy.

V oblasti nastavení zabezpečení je dále změněna celá řada stávajících funkcí, které by měly sloužit ke zrychlení administrace a celkové práce s ISA serverem.

Virtuální privátní sítě aneb VPN

ISA Server 2004 je Microsoftem také často prezentován jako dobrá základna pro vytváření virtuálních privátních sítí - VPN. ISA Server 2004 by měl přinést nové vlastnosti i v této oblasti:

  • ISA Server 2004 obsahuje plně integrovaný mechanismus sítí VPN založený na funkcích systémů Windows 2000 a Windows Server 2003.

  • Klienti sítí VPN jsou konfigurováni jako samostatné síťové zóny. Pro jednotlivé klienty sítí VPN je proto možné vytvářet samostatné zásady. Jádro zpracování pravidel brány firewall rozlišuje požadavky od různých klientů sítí VPN. Provádí stavové filtrování a kontroluje tyto požadavky a dynamicky otevírá připojení na základě zásad přístupu.

  • ISA Server 2004 rozšiřuje podporu klientů sítí VPN povolením přístupu klientů protokolu SecureNAT k Internetu bez instalace klienta brány firewall do klientského systému.

  • Stavové filtrování a kontrola pro komunikace procházející přes tunelové propojení VPN mezi sítěmi. Pomocí uživatelských a skupinových zásad je možné přesně řídit použití prostředků přes jednotlivá připojení.

  • ISA Server 2004 využívá nástrojů blokování VPN v systému Windows Server 2003 k podrobné kontrole klientů sítí VPN a integraci zásad brány firewall.

  • Pravidla publikování serverů produktu ISA Server 2004 umožňují publikování protokolů IP a serverů PPTP. Dále je pomocí funkce publikování serverů možné publikovat server VPN Windows Server 2003 NAT-T L2TP/IPSec.

  • Podpora tunelového režimu protokolu IPSec pro mezisíťová připojení VPN, což významně zvyšuje možnost spolupráce produktu ISA Server 2004 s různými řešeními VPN dalších výrobců.

Pokročilá ochrana systému

  • Stavová kontrola protokolu HTTP (filtrování na aplikační vrstvě). Rozsah této kontroly je konfigurován samostatně pro jednotlivá pravidla. Díky této možnosti lze nakonfigurovat vlastní omezení pro příchozí a odchozí přístup prostřednictvím protokolu HTTP.

  • Blokování přístupu k veškerému spustitelnému obsahu bez ohledu na příponu názvu souboru použitou pro daný prostředek.

  • Řízení stahování souborů pomocí protokolu HTTP podle přípon názvů souborů včetně zásady „povolit vše kromě určené skupiny přípon“ či „blokovat vše kromě určené skupiny přípon“.

  • Pomocí zásad protokolu HTTP produktu ISA Server 2004 je možné řídit přístup všech klientských připojení přes ISA Server 2004 prostřednictvím protokolu HTTP.

  • Řízení přístupu prostřednictvím protokolu HTTP podle „podpisů protokolu HTTP“, které je možné porovnat s adresami URL požadavků, hlavičkami požadavků, těly požadavků a těly odpovědí. Správci tak mají přesnou kontrolu nad obsahem, ke kterému mohou přistupovat interní i externí uživatelé přes firewall.

  • Řízení povolených metod protokolu HTTP určuje, které metody protokolu HTTP budou propouštěny přes bránu firewall.

  • Vynucení zabezpečení připojení RPC (remote procedure call) k serveru Microsoft Exchange z plné verze klientů MAPI, aplikace Microsoft Outlook. Pomocí zásad protokolu RPC produktu ISA Server 2004 je možné blokovat všechna nešifrovaná připojení klientů Outlook MAPI.

  • Zásady protokolu FTP povolují uživatelům stahování a ukládání souborů pomocí protokolu FTP a umožňují omezení použití protokolu FTP pouze na stahování.

  • Překladač odkazů - Některé publikované weby mohou obsahovat odkazy na interní názvy počítačů. Proto může externím klientům být k dispozici mapování na veřejně známé názvy.

Další novinky

  • Je možné nakonfigurovat více sítí, každou z nich přitom s rozdílnými vztahy k ostatním sítím. Zásady přístupu jsou definovány vzhledem k sítím a nikoli nutně vzhledem ke konkrétní interní síti. ISA Server 2004 rozšiřuje funkce firewallu a zabezpečení na datové přenosy mezi sítěmi či síťovými objekty.

  • Zásady sítí podporující více sítí umožňují chránit síť před interními i externími ohroženími zabezpečení prostřednictvím omezení komunikace mezi klienty i v rámci organizace. Vícesíťové funkce podporují složité implementace hraničních sítí a napomáhají tak konfigurovat způsob přístupu klientů v různých sítích k hraniční síti. Zásady přístupu mezi sítěmi mohou poté být založeny na jedinečné zóně zabezpečení reprezentované každou ze sítí.

  • ISA Server 2004 umožňuje definovat směrování vztahů mezi sítěmi, v závislosti na požadovaném typu přístupu a komunikace mezi sítěmi. Pakety přenášené mezi směrovanými sítěmi jsou plně podrobeny stavovému filtrování a kontrole ze strany ISA Serveru 2004.

Monitorování a zasílání zpráv

  • ISA Server 2004 zobrazuje protokoly brány firewall, služby Web Proxy a služby SMTP Message Screener v reálném čase. Konzola monitorování zobrazuje položky protokolu, jakmile je zaznamenána do souboru protokolu.

  • Funkce dotazování protokolů. Rozsah dotazů může být omezen na konkrétní časový úsek. Výsledky se zobrazují v konzoli produktu ISA Server 2004.

  • Monitorování a filtrování relací brány firewall v reálném čase. V zobrazení relace lze řadit či odpojovat jednotlivé relace či skupiny relací a pomocí integrované funkce filtrování relací filtrovat položky v rozhraní relace a zobrazovat pouze požadované relace.

  • Připojení je možné ověřovat pravidelným monitorováním připojení k určitému počítači či adrese URL z počítače s produktem ISA Server 2004. Monitorované připojení je možné určit zadáním adresy IP, názvu počítače či adresy URL.

  • Úlohy generování sestav produktu ISA Server 2004 mohou být nakonfigurovány na automatické ukládání kopií sestav do místní složky či sdílené síťové složky. Složka či sdílená složka, do které jsou ukládány sestavy, může být namapována na virtuální adresář webového serveru, takže sestavy mohou být k dispozici i dalším uživatelům.

  • E-mailová oznámení po vytvoření sestavy.

  • Protokoly je možné ukládat do databáze SQL Server umístěné v jiném počítači v interní síti.

  • Protokolování do databáze MSDE

Rychlý a zabezpečený přístup

  • ISA Server 2004 může generovat formuláře používané servery OWA pro ověřování prostřednictvím formulářů, což zvyšuje zabezpečení vzdáleného přístupu k serverům OWA, protože je neoprávněným uživatelům zabráněno v kontaktování serveru OWA.

  • Vzdálený přístup k terminálové službě pomocí protokolu SSL - Počítače se systémem Microsoft Windows Server 2003 podporují komunikaci „RDP over SSL“ a umožňují tak zabezpečené připojení pomocí protokolu SSL k terminálové službě systému Windows Server 2003. ISA Server 2004 umožňuje publikovat terminálový server pomocí technologie SSL.

Webová mezipaměť a web proxy

  • Centralizovaný mechanismus pravidel pro objekty v mezipaměti
  • Podpora protokolu RADIUS pro ověřování klientů služby Web Proxy. Pravidla publikování na webu mohou také využívat protokol RADIUS k ověřování vzdáleného přístupu.
  • Publikované webové servery jsou chráněny před neoprávněným přístupem tak, že firewall požaduje ověření uživatelů před předáním jejich požadavků na publikovaný webový server.
  • ISA Server 2004 umožňuje pomocí pravidel určovat, zda má brána firewall nahrazovat původní adresu IP vlastní adresou či předávat původní adresu IP vzdáleného klienta webovému serveru.
  • ISA Server 2004 může ověřovat vzdálená připojení pomocí dvoufaktorového ověřování protokolu SecurID. Tím je zajištěna vysoká úroveň zabezpečení ověřování, protože uživatel musí pro získání přístupu k publikovanému webovému serveru „něco znát“ a „něco mít“.

Pokud chcete vyzkoušet…

Nová verze ISA Serveru 2004 přináší nesporně řadu zajímavých novinek. Uvidíme, jak dopadne jeho nasazení v praktickém životě v podnikové sféře, do které produkt funkčně patří.

Pro případné zájemce Microsoft připravil zkušební trial verzi ISA Serveru 2004 ke stažení.

Diskuze (10) Další článek: Chyba v kódu umožní vyřadit z provozu Microsoft SQL Server

Témata článku: Microsoft, Windows, Internet, Různá omezení, Síťový protokol, Současné stahování, Radius, Možný upgrade, Nový klient, ISA, Proxy, Reálný čas, Sdílená složka, Firewall, Produkt, Libovolný soubor, Dvoufaktorové ověřování, Nové pravidlo, Interní editor, Bran, Proxy Server, Síťová komunikace, Pokročilá ochrana, Různé požadavky, Reálné nasazení


Určitě si přečtěte


Aktuální číslo časopisu Computer

Megatest mobilů do 8 000 Kč

Test bezdrátových headsetů

Linux i pro začátečníky

Jak surfovat anonymně