ISA Server 2004使用心得
时间:2005/6/3 10:28:00
阅读:1474
前两天下载了ISA Server 2004,开始使用时,使用起来的感觉非常不错,但没用多久就出了问题,机器老是重起,死机,卸了ISA后机器没问题,难道我安装时出了问题?后来又重装了多次,问题依旧,没办法,在网上搜了一下相关资料,呵呵,原来ISA跟瑞星在冲突,删除瑞星后没问题了,哈哈。
ISA Server 2004称得上是目前世界上最好的路由级软件防火墙一点没错,用起来一个字,爽,它可以让你的企业内部网络安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。ISA Server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用。在安装ISA Server时,你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和配置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现客户不能访问外部网络的问题。ISA Server还可以使用缓存加快用户的INTERNET访问速度,使用缓存规则可以指定存储在缓存中的内容类型,以及从缓存提供对象的方式。根据您组织的需求,可以将缓存规则应用于所有站点或指定站点中的内容,以及所有内容或指定的内容类型。此外,您可以限制对象被视为有效的时间长短,以及缓存规则处理过期对象的方式。
使用ISA Server 2004对局域网用户来说简直是一种苛刻,为什么这样说呢,哈哈,因为实时监控是ISA Server 2004最强大的功能之一,您不但能够看到员工访问了什么网站以及上网时间,甚至像他们正在浏览什么网页、下载什么数据都是一目了然。只要你花上几分钟进行设置就能够禁止即时通讯软件QQ、MSN、MYIM等,还可以限制只能上指定的网站。
ISA Server 2004的文本日志格式本身就很清晰,如果希望做大量的分析工作,ISA Server 2004也可以将日志存储在SQL数据库中,这样 便可以做更多的分析工作了。ISA Server 2004内置的IDS(入侵检测)功能可以检测出很多黑客攻击行为并记录下来,如WinNuke、Land、端口扫描等,甚至像原先很难对付的DOS攻击如今在ISA Server2004中也提供了有效的抵御办法。
下表列出了新增的和改进的 ISA Server 2004 功能,以后有更多ISA Server 2004的资料继续加入该文章中。
| 多网络 |
| 新增功能或改进功能 |
功能 |
描述 |
| 新增 |
多网络配置 |
可以配置一个或多个网络,并使每个网络都与其他网络有明确的关系。访问策略是相对于多个网络而定义的,而不必相对于给定的内部网络。在 ISA Server 2000 中,所有通讯的检查都相对于只包含内部网络中的地址范围的本地地址表 (LAT),但是 ISA Server 2004 扩展了防火墙和安全功能,以便适用于任何网络之间的通讯。 |
| 新增 |
唯一的各网络策略 |
ISA 服务器的多网络功能使您可以限制客户端(甚至您自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。多网络功能支持复杂的外围网络(也称 DMZ、网络隔离或被筛选的子网)方案,以便您可以配置不同网络中的客户端如何访问外围网络。 |
| 新增 |
对所有通讯的监控状态的检查 |
可以根据协议以及连接状态的具体情况检查通过防火墙的数据,而不论源或目标为何。 |
| 新增 |
NAT 和路由网络关系 |
通过使用 ISA 服务器,可以根据网络之间所允许的访问和通讯类型来定义网络之间的关系。在某些情况下,您可能希望网络之间的通讯更安全、透明度更低。在这些情况下,可以定义网络地址转换 (NAT) 关系。在其他情况下,您可能仅仅希望通过 ISA 服务器路由通讯。在这些情况下,可以定义路由关系。 |
| 新增 |
网络模板 |
ISA 服务器包含与常见网络拓扑对应的网络模板。可以使用网络模板来为网络之间的通讯配置防火墙策略。当应用网络模板时,ISA 服务器依照指定的策略创建必要的规则集,以便允许通讯。 |
| 虚拟专用网络 |
| 新增功能或改进功能 |
功能 |
描述 |
| 改进 |
VPN 管理 |
ISA 服务器包含一种高度集成的虚拟专用网络 (VPN) 机制。可以通过“ISA 服务器管理”来管理 VPN 连接,就像管理通过物理的方式连接的网络和客户端一样。ISA 服务器的全部功能都可以用于 VPN 连接,其中包括监视、日志记录以及会话管理。 |
| 新增 |
对 VPN 的监控状态的检查 |
VPN 客户端被配置为单独的网络。因此,可以为 VPN 客户端创建单独的策略。规则引擎有区别地检查来自 VPN 客户端的请求,对这些请求进行监控状态的检查,并基于访问策略动态地打开连接。 |
| 新增 |
与第三方 VPN 解决方案的互操作性 |
由于支持产业标准 Internet 协议安全 (IPSec),所以 ISA Server 2004 可以加入到其他供应商提供的已有 VPN 基础结构的环境中,其中包括那些对站点到站点连接采用 IPSec 隧道模式配置的环境。 |
| 新增 |
隔离控制 |
ISA 服务器可以将 VPN 客户端隔离到“被隔离的 VPN 客户端”网络中,直到确认它们符合公司的安全要求。 |
| 安全和防火墙 |
| 新增功能或改进功能 |
功能 |
描述 |
| 新增 |
扩展的协议支持 |
通过允许您控制对任何协议(包括 IP-等级协议)的访问和使用,ISA Server 2004 扩展了 ISA Server 2000 功能。可以使用 ping 和 tracert 等应用程序,并使用点对点隧道协议 (PPTP) 来创建 VPN 连接。此外,还可以通过 ISA 服务器启用 Internet 协议安全 (IPSec) 通讯。 |
| 改进 |
身份验证 |
可以使用内置的 Microsoft Windows® 或远程身份验证拨号用户服务 (RADIUS) 身份验证类型或其他名称空间来对用户进行身份验证。规则可以应用于任何名称空间中的用户或用户组。第三方供应商可以使用软件开发工具包来扩展这些内置的身份验证类型,从而提供额外的身份验证机制。 |
| 改进 |
发布 |
使用 ISA 服务器,可以将服务器置于防火墙的后面(在公司网络或外围网络中),并安全地发布其服务。 |
| 缓存 |
| 新增功能或改进功能 |
功能 |
描述 |
| 改进 |
缓存规则 |
使用 ISA 服务器的集中式缓存规则机制,可以配置如何检索存储在缓存中的对象,以及如何从缓存中提供对象。 |
| 管理 |
| 新增功能或改进功能 |
功能 |
描述 |
| 改进 |
管理 |
ISA 服务器包含新的管理功能,这使您可以更容易地保护您的网络。新的用户界面中包含任务窗格、“帮助”选项卡、改进的入门向导,以及面貌一新的防火墙策略编辑器。 |
| 新增 |
导出和导入 |
ISA 服务器中引入了导出和导入配置信息的功能。可以使用此功能将配置参数保存到一个 .xml 文件中,然后将信息从该文件导入到另一台服务器中,从而使用户只需通过复制即可将防火墙配置部署到多个站点中。 |
| 新增 |
仪表板 |
用于提供关键监视信息的汇总版本的单一视图。如果发现了问题,可以打开详细的监视视图以了解更多信息。 |
| 新增 |
日志查看器 |
ISA 服务器日志查看器实时地显示防火墙日志。可以采用联机实时模式或历史记录审阅模式显示日志。可以对日志字段应用筛选以找到特定的项目。 |
| 改进 |
报告 |
可以对 Web 使用、应用程序使用、网络通讯模式和安全性生成重复的或一次性的报告。 |