在你的网络中,你已经安装并配置好了ISA Server 2000防火墙,它按照你的配置运行良好。现在微软推出了一个全新的、经过改进的防火墙ISA 2004(ISA防火墙)。你可能会想,“我的ISA Server 2000防火墙已经很不错了,为什么我需要升级呢?升级需要导出和导入我原有的规则,还需要我学习如何让它正常工作”。
好问题!我过去有过同样的想法:在现有的防火墙已经按照我的配置良好运行时,为什么我需要升级我的防火墙呢?有许多原因都值得你升级你的ISA防火墙。
好消息是值得升级的原因很多,但是也太多了。所以,我选择了一些对ISA Server 2000防火墙富有经验的人会赏识的、最引人注目的原因:
提供粒度控制的VPN服务;
IPSec隧道模式支持站点到站点的VPN;
为Web发布规则保留了源IP地址;
发布PPTP VPN服务器;
HTTP过滤器是对出入的连接基于规则来设置,包含了阻止Windows可执行文件等;
可以建立包含多个主要连接的协议;
防火墙用户组;
对于Web代理连接的RADIUS认证;
访问规则是按顺序执行的;
ISA防火墙的基于表单的认证可以产生认证表单;
Web和服务器发布规则支持端口重定向(FTP也支持!);
在网络间可以使用NAT和路由关系;
实时日志监视和过滤;
自动保存报告为HTML文件;
真实的防火墙备份和恢复;
真实的多适配器ISA防火墙的DMZ联网;
看起来不错吧?让我们更近一步来看看它们是否会让你有升级的动力。
提供粒度控制的VPN服务
在全新的ISA防火墙中包含的VPN服务器和你过去见过的VPN服务器都不一样。和其他VPN服务器和网关不一样(包含ISA Server 2000的VPN服务),全新的ISA防火墙中的VPN功能允许你对VPN服务进行粒度控制,你可以通过访问控制来控制访问的用户/用户组、使用的协议和可以访问的站点。ISA防火墙对VPN之间的访问提供了全部的状态过滤和应用层状态识别检查。
例如,假设你的用户想通过远程来使用完全Outlook MAPI客户访问你内部网络中的Exchange服务器,你可以使用安全Exchange RPC发布,但是许多ISP阻止了RPC端点映射器(TCP端口135),所以你的用户可能不能正常通过非常棒的安全Exchange RPC发布规则来连接到你内部网络的Exchange服务器。
你还可以使用VPN。只要允许出站PPTP的地方,用户就可以使用VPN服务。不过使用VPN的问题在于,只要VPN客户连接到网络中,他们就可以不受限制的访问网络中的服务器。
当然,你可以建立RRAS包过滤器来限制用户访问指定的服务器。但是和硬件防火墙一样,这些包过滤器应用到所有的用户。并不是所有的VPN客户都需要访问Exchange服务器。传统的状态过滤不能对你的网络提供更高级别的保护。
全新的ISA防火墙允许你建立防火墙用户组,然后建立一个规则只允许这个防火墙用户组中的成员访问Exchange服务器,并且当这个组中的用户连接到Exchange服务器,他们只能通过完全的Outlook MAPI客户使用需要的协议。
如果这个组中的成员想使用其他协议访问Exchange服务器,他们将被拒绝掉;如果这些用户还想访问网络中的其他服务器,一样会被拒绝掉;如果你对此规则设置了一个计划时间,那么这些客户在计划时间外访问服务器,他们也会被拒绝掉。还有最好的,这些用户的名字将会在防火墙日志中进行记录,连同他们使用的协议和想连接的服务器一起。
这只是全新的ISA防火墙的VPN服务的新特性的小部分,如果你正在使用其他VPN服务,那么相信以上的内容会给你留下印象。
IPSec隧道模式支持站点到站点的VPN
使用ISA Server 2000的一个极大的障碍就是它不能和第三方的VPN网关建立IPSec隧道模式的连接。许多组织的分公司只是ISA Server 2000作为Web代理服务器,然后在ISA Server 2000面前加装一个硬件防火墙进行包过滤检查和建立IPSec隧道连接,就是因为ISA Server 2000不能和总部的VPN网关间建立IPSec模式的VPN连接。
全新的ISA防火墙可以通过IPSec隧道模式来连接到第三方的VPN网关。现在你可以丢掉分公司的两个防火墙(ISA Server 2000和硬件防火墙),全新的ISA防火墙可以为你的分公司提供完整的VPN服务、Web缓存、IPSec接入以及防火墙保护功能。
为Web发布规则保留了源IP地址
一个让ISA Server 2000防火墙管理员不喜欢它的原因就是当进行Web发布时,它不能保留远程客户的原始IP地址信息。ISA Server 2000 防火墙管理员使用Web发布规则来替代服务器发布规则是因为Web发布规则提供深度的应用层状态识别,这样可以保护发布的Web服务器。但是不能保留客户的原始IP地址信息却让管理员不能使用日志分析工具对日志进行分析:在Web日志中所有的客户IP信息都是ISA Server 2000的内部接口地址。
全新的ISA防火墙允许你在使用ISA防火墙的内部接口的IP地址信息还是远程客户的原始IP地址信息之间进行选择。呵呵,是不是非常Cool?
发布PPTP VPN服务器
许多ISA 2000防火墙管理员使用背靠背的防火墙配置,这样允许他们在DMZ区域放置面向Internet的服务器。
但是在这种情况下,连接到内部网络的VPN服务会有问题。你可以使用“隧道中的隧道”模式,外部用户先和外部的前端ISA Server 2000防火墙建立VPN隧道连接,然后再和背端的ISA Server 2000防火墙建立第二个VPN隧道连接。
当你升级后,全新的ISA防火墙将允许你直接发布背端的VPN服务器!升级后的PPTP过滤器支持出站和入站的PPTP连接。你的用户可以向前端的ISA防火墙建立VPN连接,然后前端ISA防火墙的服务器发布规则将转发PPTP VPN连接到背端的ISA防火墙上,以后再也不需要什么“隧道中的隧道”了!
HTTP过滤器是对出入的连接基于规则来设置,包含了阻止Windows可执行文件等
在你使用URLScan和Web发布规则时,ISA Server 2000防火墙对发布的Web服务器执行全面的、深度的应用层状态识别。
但是,如果你想对进入的连接进行更多的检查,你需要安装第三方的应用插件;同样的情况也出现在检查出站的Web连接时,你可以进行一些基本的应用层状态识别,但是不能执行你真正想做到的针对21世纪的攻击方式的粒度控制。
全新的ISA防火墙具有非常完善的HTTP安全过滤器,它可以基于每条规则进行配置。例如,假设你想建立一条规则来阻止一个用户组访问Windows可执行文件。No problem,在全新的ISA防火墙中,这只是一个勾选一个标记的操作。并且,ISA防火墙不是只是简单的判断文件扩展名,它具有检查这个文件是否是Windows可执行文件的能力,就算扩展名是.mom 。:)
ISA防火墙的HTTP安全过滤器可以检查一个HTTP通信的任何一方面,阻止匹配你设置的参数的连接。例如,想阻Kazaa?你只需要在HTTP安全过滤器中输入Kazaa的头信息就可以了。
可以建立包含多个主要连接的协议
在ISA Server 2000中,你一次只能定义一个主要连接的定义。如果要建立包含多个主要连接端口的协议,你需要建立多个协议定义。
在全新的ISA防火墙中,定义协议时可以设置起始端口及结束端口,这样你可以建立包含一个端口范围的主要连接的协议定义。
防火墙用户组
ISA Server 2000防火墙允许你基于本地和域用户组来控制出站和入站访问。如果你想建立一个自定义的组来进行出站和入站访问控制,那么你需要在活动目录或者ISA Server 20000本地中进行建立,这意味者你必须需要域管理员或者本地管理员权限,或者去找管理员帮忙。
全新的ISA防火墙现在允许你建立可用于访问规则的自定义的防火墙用户组。和必须使用域全局组来控制不一样,你只需要能够读取域中的组信息就可以了。现在你可以在防火墙上通过引用活动目录或者本地用户来建立自定义用户组,而再也不需要去找别人帮忙了。
对于Web代理连接的RADIUS认证
许多组织想利用ISA Server 2000防火墙的日志和报告功能,这样他们可以获得内部用户访问外部网络的统计信息。问题是为了认证发起外部连接请求的用户,ISA Server 2000防火墙需要成为域的成员。
这些组织可能只有一个防火墙,所以ISA Server 2000防火墙放置在Internet的边缘。此时,将ISA Server 2000作为域成员是不安全的,所以这些组织不得不放弃在ISA Server 2000中记录用户名的想法(与之对比的是,在背靠背防火墙环境中,将背端的ISA Server 2000防火墙作为域成员是可以的)。
全新的ISA防火墙通过为Web代理使用RADIUS认证来解决了这个问题,这样移除了对ISA防火墙必须是域成员才能认证域用户的需求。
注意:
对于发布需要身份验证的资源时,对于ISA防火墙必须是域成员才能验证域用户的认识是一种误解。所有版本的ISA防火墙都支持基本验证。例如,在外部用户访问发布的需要身份验证的Web站点时,ISA防火墙冻结了连接,然后转发用户身份验证信息到Web站点。Web站点转发用户身份信息到一个认证服务器(活动目录DC)然后将认证结果返回到ISA防火墙,如果用户成功通过了身份验证,那么ISA防火墙允许这个访问发布的Web服务器的连接,否则就会拒绝。在这种情况下,ISA防火墙(2000或者2004)不需要成为域成员来支持基本身份验证。
访问规则是按顺序执行的
我冒昧的说,大部分ISA Server 2000防火墙管理员根本没有真正确认某条规则是否被激活了。它们的规则是没有认证用户的规则通常会先执行,然后是认证了用户的的,然后再由是Web代理客户、防火墙客户或者SNAT连接来决定,并且是拒绝的规则优先执行。
