Раздел: Документация

0 ... 7 8 9 10 11 12 13 ... 131

3Основныеоб (SA-cepsepa

Глава 1

Рис. 1-3. Общая схема архитектуры ISA сервера

Клиенты Web-прокси — это любые поддерживающие стандарты CERN Web-приложения, например Microsoft Internet Explorer. Запросы от клиентов Web-прокси направляются в службу Web-прокси ISA-сервера для определения возможности предоставления доступа. Служба Web-прокси возвращает опрошенный объект непосредственно из Интернета (одновременно размещая его копию в кэше) или из кэша ISA-сервера.

В таблице 1-2 описаны основные возможности ISA-сервера.

lafumia 1-2. Основные «юзможности Microsoft ISA Server

Возможность	Достоинства
Режим брандмауэра
предприятия
Контроль на основании	ISA-cepsi!)динамически и «иигеллекпуалько» следит за
всех состояний	графиком, пересылаемым через брандмауэр, контролируя
	протоколы и состояние подключения для обеспечения
	непрерывной связи и предотвращения нарушений защиты

---

Таблица 1-2. (продолжение)

Возможность

Достоинства

о Интеллектуальная»

Безопасная публикации серверов, в том числе Wfcb-серверов

Обнаружение вторжений

Интегрированная технология виртуальных частных сетей (VPN)

Запрещение изменений системной конфигурации

Разбиение потоковых мультимедийных данных

«Прозрачность» брандмауэра

ISA-сервер обеспечивает не только базовые функции по фильтрация трафика приложений. Специальные фильтры, распознающие виды данных, позволяют управлять трафиком отдельных приложений. Поддерживается пересылка, блокирование, переадресация и модификация данных средствами интеллектуальной фильтрации протоколов HTTP, FTP, SMTP, электронной почты, конференций Н.323 (мультимедиа), потоковых мультимедийных данных и RPC

Зашита Vfeb-серверов, почтовых серверов и приложений электронного бизнеса от атак извне обеспечивается механизмом безопасной публикации серверов. ISA-сервер выступает

от имени опубликованного сервера, обеспечивая дополнительный уровень зашиты. Правила %Ь-публикапии позволяют защитить \№Ь-серверы путем разрешения доступа лишь определенным компьютерам. Правила публикации серверов серверы от несанкционированного доступа

них пользователей

Встроенные механизмы обнаружения атак основаны на технологии компании Internet Security Systems Inc. (1SS). В случае обнаружения вторжения инициируется оповещение и выполняются ответные действия. Обнаруживаются сканирование портов (port scan), WinNuke и «Ping смерти» (Ping of Dealh) Обеспечивается поддержка основанного на стандартах удаленного доступа с применением VPN-служб в Windows 2000. ISA-сервер поддерживает безопасные VPN-подключения, в том

числе подключения филиалов и удаленных пользователей

к корпоративной сети через Интернет

Мастер Security Configuration позволяет администраторам

заблокировать компьютеры для любых изменений конфигурации путем определения соответствующего уровня безопасности в зависимости от функций, выполняемых ISA-сервером

в корпоративной сети

Значительный объем пропускной способности удается сэкономить за счет разбиения потоковых данных средствами фильтров мультимедиа ISA-сервера, которые, получая данные из

Интернета, располагают их на сервере Windows Media Technologies Server и предоставляют для доступа пользователям

внутренней сети

Протоколобеспечивает расширяемые и «прозрач-

ные» механизмы зашиты брандмауэра для всех IP-клиентов путем динамической замены глобальных IP-адресов на локальные. При этом не требуется никакого дополнительного клиентского ПО и программ конфигурирования клиентов

(см. сжд. стр.)

---

\ ООсновные сведения об tSA-сервере

Глава

Таблица 1-2. (продолжение)

Возможность

Достоинства

Надежная аутентификации пользователей

Двухэтапная аутентификация по протоколу ssl (сопряжение)

Обеспечивается стандартными средствами аутентификации

Windows I nt LAI и kobems). выполняется на основании сертиф iкатов клиентов и хешей. Кроме того, поддерживается базовая и анонимная аутентификация в Web

На Web-серьерач. где следует обеспечить аутентификацию и шифрование при клиентском доступе, ISA-сервер обеспечивает сктозную безопасность и фильтрацию брандмауэра посредством двухэтапной процедуры с применением протокола SSL. На «ер: ov. этапе isa-cepnep запрашивает у клиента сертификат пользователя и проверяет содержащиеся в нем данные, а на втором — представляет свой собственный сертификат сервера Web-серверу. В отличие от большинства брандмауэров ISA-сер-верпроверять зашифрованные данные до того, как

они поступят на vffeb-сервер

Режим сервера кэшировании Web-информации

Высокопроизводительное №Ь-кэширование

« И нтелл е кту ал ьное»

кэширование

по расписанию

Распределенное и иерархическое кэширование

При наличии ISA-сервера производительность доступа к кор-извне и доступ пользователей внутренней сети в Интернет существенно возрастает за счет быстрого кэшированияв оперативной памяти и на

Фуикцил активного кэширования ISA-сервером популярной заметно облегчает клиентам получение самых свежих данных. ISA-сервер автоматически определяет, какие Web-узлы наиболее популярны и как часто информация на них

(а значит, с какой периодичностью нужно лять еев кэше) на основании информации о том, как

долгохранится в кэше или как давно он был загружен.

ер активно загружаетв кэш в периоды

низкой загрузки сети, при этом не требуется вмешательства сети

Существует возможность загружать в кэш содержимое полых

по расписанию загодя, до того как к ним обратятся клиенты Загрузка по расписанию гарантирует актуальность предоставляемых пользователям данных и данных, хранящихся на серверах-зеркалах

В версии ISA Server Enterprise Edition можно сконфигурировать распределенное кэширование в массивах ISA-серверов. Кроме того, администраторы вправе создавать иерархии, или цепочки, кэшей, что позволяет клиентам получать доступ к информации из ближайшего к ним кэша

0 ... 7 8 9 10 11 12 13 ... 131