Раздел: Документация

0 ... 8 9 10 11 12 13 14 ... 131

Таблица 1-2. (продолжение)

Унифицированное управление

Управление доступом на основе политик

Многоуровневое управление

Управление пропускной способностью

Интеграция со службой каталогов Active Directory

Графические панели задании (taskpad) и мастеры конфигурирования

Удаленное управление

Ведение журналов, отчетность и

Управление входящим и исходящим досупом осуществляется на основании информации о пользователях, данных групп, приложений и адресатов, а также в зависимости от типа

информации и по расписанию. Мастеры конфигурации

политик позволяют определить узлы и содержимое, доступ к которым разрешен, а также ограничить перечень доступных протоколов раздельно дляи исходящего трафики.

Кроме того, можно разрешить или запретить связь между конкретными IP-адресами по указанным протоколам и портам

Версия Enterprise Edition поддерживает многоуровневое управление на основе политик доступа уровня массив и предприятия. Таким образом обеспечивается преемственность политики предприятия в филиалах и подразделениях, причем местные вправе дополнительно определять локальные

правила в соответствии с потребностями своих подразделений

Обеспечивается возможность управлять пропускной способностью и использованием сети, назначая приоритеты при

выделении пропускной способности для конкретных запросов

информации в Интернете на уровне групп, приложений, узлов или типов информации. На ISA-сервере используются преимущества службы управления качеством в Интеграция со службой каталогов Active Directory при развертывании ISA-сервера необязательна, однако она позволяет централизованно управлять и хранить в Active Directory информацию обо всех пользователях, правилах и конфигурации. В версии Enterprise Edition служба Active Directory позволяет использовать единую схему, развертывать кэширующие массивы,распространять изменения параметров масштаба предприятия, получать доступ к политикам доступа

и публикации, а также выполнять мониторинг конфигураций

Эти элементы облегчают перемещение по интерфейсу и выполнение стандартных задач по конфигурированию. В частности, мастеры применяются для публикации серверов Microsoft Exchange Server, конфигурирования ISA-сервера в качестве шлюза VPN или для создания правил узлов и содержимого

ISA-серверы управляются удаленно посредством оснасток ММС или службы терминалов в Windows 2000 (Microsoft Windows 2000 Terminal Services). Кроме того, для удаленного управления службамиадминистраторам предо-

ставляется возможность применять сценарии командной строки

Детализированные журналы безопасности и доступа создаются в стандартных форматах данных, в том числе в форматах W3C и ODBC. Существует возможность создавать встроенные отчеты ооб использовании приложений, схемах сетевого

трафика и безопасности. Оповещения на основе событий можно настраивать для автоматической отправки электронной

почты администраторам, остановки или запуска служб или другкх действий, определяемых критериями оповещения

(см. еле-). стрЛ

---

2

основные еведеяив об isa-сер >ере

глаза 1

Таблица 1-2. (окончание)

Возможностьдостоинства

Управление на уровнеАдминистраторы вправе управлять средствами службы

пользователейбрандмауэра ISA-сервера, предоставляя доступ на уровне

отдельных пользователей, а не просто IP-адресов, что

более точное управление доступом как для

входящего, так и исходящего трафика для всех протоколов

Практикум. Презентация,ISA-серверу

Сейчас вы посмотрите 15-минутную мультимедийную презентацию, посвященную возможностям и преимуцествам ISA-сервера. Для этого дважды щелкните файл ISA Demo.exe, расположенный в папке \Exercises\Chapterl\ на прилагаемом к книге компакт-диске.

Резюме

ISA-сервер позволяет создавать решения подключения к Мтериегу масштаба целого предприятия, которые содержат устойчивь й многофункциональный брандмауэр и масштабируемый Web-кэш для ускорения работы в Интернете. Брандмауэр и сервер кэширования \\еЬ-соах-ржичою можно разнсргынаг> как по отдельности, так и совмещать — все определяется проектом сети и требованиями заказчика.

ISA-сервер поставляется в двух версиях, что позволяет удовлетворить любые бизнес-требования и требования к проектам сетей заказчика. ISA Server Standard Edition позволяет обеспечить функции брандмауэра сервера кэширования для предприятия в небольших компаниях, рабочих группах и отдельных подразделениях. Версия ISA Server Enterprise

Edition предназначена для более крупных организаций и является масштабируемым решением с поддержкой брандмауэра и се рвера Web-кэширования благодаря поддержке многосерверных массивов и многоуровневых политик.

Развитые функции безопасности ISA-сервера базируются на мощных возможностях баз данных безопасности в Windows 2000 и позволяют конфигурировать правила безопасности основанные на конкретных типах графика на уровне отдельных пользователей, компьютеров или групп Windows 2000.

.Консоль управления ISA Management обеспечивает простоту управления брандмауэром и кэшем ISA-сервера. Она базируется на консоли ММС и объединяет все «рычаги управления» ISA-сервером, позволяя централизованно контролировать его работу с помощью мастеров и панелей заданий, которые существенно упрощают наиболее популярные процедуры управления. ISA-сервер также обеспечивает мощные средства управления безопасностью на основе политик. Администраторы получают возможность управлять доступом и пропускной способностью, определяя их для любых существующих элементов политики — пользователей, компьютеров, протоколов, типовнапол-

нения, расписаний и Web-узлов. Наконец, ISA-сервер - это чрезвычайно гибкая расширяемая платформа с собственным комплектом ресурсов для разработчиков (SDK) и набором типовых сценариев, которые позволяют настраивать архитектуру подключения к Интернету в соответствии с потребностям бизнеса.

---

Занятие 2, Брандмауэр на базе ISA-сервера

Интернет предоставляет организациям новые возможности связи с клиентами, партнерами и сотрудниками, однако его использование связано с определенным риском и трудное-ими, что вызывает необходимость принятия дополнительных мер для обеспечения безопасности, производительности и управляемости. Вместе с ростом популярности Интернета растут и требования к производительности и безопасности. Брандмауэр ISA-сервера позволяет решить многие связанные с зашитой проблемы, предоставляя возможности по управлению доступом как извне к корпоративным сетевым ресурсам, так и из сети к серверам в Интернете. Управление доступом осуществляется на основании правил, реализуемых согласно настраиваемым политикам, число которых практически ничем не ограничено.

Изучив материал этого занятия, вы сможете:

0 рассказать о трехуровневой фильтрации на ISA-сервере;

D рассказать о встроенных фильтрах приложений на ISA-сервере;

D описать типы обнаруживаемых ISA-сервером атак на уровне пакетов и на уровне

приложений.

Продолжительность занятия - около 35 минут.

Методы фильтрации

Брандмауэр обеспечивает защиту, применяя различные методы фильтрации, в том числе фильтрацию пакетов, низкоуровневую фильтрацию протоколов и фильтрацию трафика приложений. На развитых брандмауэрах предприятия, к числу которых относится ISA-сервер, эти методы объединяются для обеспечения защиты на многих уровнях сети.

Фильтрация IP-пакетов

Фильтры пакетов позволяют управлять входящим и исходящим потоками IP-пакетов через ISA-сервер (рис. 1-4). При включенной фильтрации пакетов (включение и отключение фильтрации выполняется в диалоговом окне IP Packet Filters Properties) на внешнем интерфейсе игнорируются есть не пропускаются) все пакеты, прохождение которых не разрешено явно. Система перехватывает и оценивает пакеты до того, как они попадут на

более высокий уровень брандмауэра или на фильтр приложений.

; Заголовок IPЗаголовокПолезные данные

Кто отправил? Куда? Какой службе/приложению? Какие данные?

Рис. 1-4. Фильтрация IP-пакетов

Сконфигурировав фильтры IP-пакетов на разрешение пересылки лишь ограниченного числа вполне определенных типов пакетов, вы существенно повысите защищенность своей сети. Фильтрация IP-пакетов также позволяет блокировать трафик от конкретных серверов Интернета и не пропускать пакеты, которые явно относятся к наиболее популярным видам атак. Кроме того, вам предоставляется право заблокировать пакеты, адресо-

0 ... 8 9 10 11 12 13 14 ... 131