随着企业信息化建设的不断发展,越来越多的信息需要通过网络进行高效传递,网络的触角遍及企业中的每一个角落。企业在提高效益的同时,也增加了越来越大的风险隐患。黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等,已成为影响非常广泛的安全威胁,而且发生的频率越来越高,攻击手段变化多端。网络安全问题不容置疑地又被推到了信息化进程的首要位置。
在2007年,Microsoft ForeFront家族产品逐一亮相,ISA Server 2006又一次成为人们关注的对象。这一次它不是单打独斗,而是Microsoft ForeFront阵营里的前排哨兵。作为微软企业安全解决方案的一部分,ISA Server 2006的特性能否满足企业网络的安全需求呢?
企业对网络安全的需求
综合性
随着近两年越来越多的恶性网络安全事件的爆发,企业的信息管理者已经感觉到网络安全问题不再仅仅是网络中某个环节上的问题,在很多时侯,企业需要全面、综合地提高自身网络的安全性能。
防火墙、病毒防护、VPN连接、身份验证、访问控制、流量控制、服务器发布、客户端安全集中管理、补丁管理、事件报告及报表等网络安全涉及到的内容,虽然不能完全综合到一款软件上,但一个好的网络安全产品的综合性是不可或缺的。网络安全管理者都不希望每种网络安全方面的部署都要新架一台服务器来作为支持。
集成性
没有一个网络安全管理者希望,在企业的网络安全的部署中,有一款产品与已经部署好的或者即将部署的产品之间互相对立、格格不入。相反,他们都希望各种产品能相互沟通、相互依存,各自的功能和产生的数据信息能被其它产品所利用,各类产品可以紧密地集成在一起,让企业网络安全更清晰可控,更便于部署和管理。
网络部署中涉及到许多硬件、软件服务商,在各类产品之间可能存在着意想不到的网络安全隐患。因此,在部署中需要尽可能地使用产品线比较丰富和完善的厂商的产品,增强产品间的集成性,可以从网络建立的初期就减少“非受迫性”网络安全事故。
易用性
众所周知,IT部门的工作十分忙碌。如果网络安全产品的复杂度很高,那么IT技术人员就不得不牺牲更多的休息时间去适应企业网络安全方面的新产品。使用易用性高的产品则可以减少IT技术人员在学习新知识中花的时间,从而更好地专注于企业的网络安全服务。
另外,并不是每一个公司都有强大的技术团队来为网络安全提供保障,一旦网络安全事件发生,会给企业造成很大的损失。使用一些易用性强的产品,将对企业网络高效运行提供一定的保障作用。
可用性
如果企业部署的安全产品三天两头地Down掉,如一句俗语所说:“泥菩萨过河,自身难保”,那企业网络还有什么安全可言呢!所以,可用性是网络安全的最基本的要求。只有网络安全产品正常可用,它才能起到保护企业网络安全的作用。
病从口入,祸从口出。网络边界的安全是网络安全中很重要的一个部分。以上的分析表明,企业的网络安全问题需要一款好的网络边界产品。ISA Server 2006就是这样一款集成的边界安全网关产品,在用户对应用系统和数据进行快速而安全的远程访问的同时,能够保护企业IT环境免受来自基于Internet的威胁。
ISA Server 2006的特性
综合性
ISA Server 2006不但可以作为高效的Web代理、强大的防火墙、安全的VPN,还可以作为内部服务器的发布平台。同时,它可协助企业保护其环境免受内部和来自Internet的威胁。借助代理——防火墙的混合架构、深入的内容检查、细化的策略以及全面的报警和监控功能,它能够更加轻松地管理和保护企业网络。
通过设置合理的防火墙策略,ISA Server 2006可以控制哪些用户可以上网、在什么时间上、使用哪些协议、访问哪些网站等,另外,它可以细化到控制用户访问哪种类型的文件,并可以控制含有某些签名的数据包的传递。这样用户就可以轻松地对一些IM软件和P2P软件进行控制,让网络可以更高效地运转。
ISA Server 2006的VPN功能可以让身处公网的移动办公用户通过VPN拔入到企业内部,如同内部办公一样方便。企业也可将它用于连接和保护他们的分支机构,同时有效地利用网络带宽。通过提供诸如HTTP压缩、内容缓存(包括软件更新)以及站点对站点的虚拟专用网功能,它能够更加轻松地、安全地扩展企业网络。
ISA Server 2006的内部服务器发布功能,使企业能够让企业网络以外的远程用户以更加安全的方式访问其Exchange、SharePoint以及其他Web应用服务器。在访问任何发布服务器之前,用户都必须进行身份验证,在应用层进行状态检查,并提供自动发布工具。ISA Server 2006能够更加轻松地保护通过Internet对企业应用系统实施的访问。
ISA Server 2006还拥有强大的报表功能,让企业可以通过数据分析报表,了解网络的使用情况,为企业决策提供重要的依据。
集成性
ISA Server 2006诞生于微软这个大家庭,与生俱来就有与企业已有的微软其它产品紧密集成的特性。它通过使用Windows内建的LDAP、RADIUS或者RSA SecurID验证,实现对用户的身份验证。前端和后端设置分离,提供更高的灵活性和细化程度。它支持将单点登录用于对Web站点的验证,可以对任何命名空间中的用户或用户组应用规则,同时,第三方供应商能够使用SDK来扩展这些内置的验证机制。
ISA Server 2006通过使用内置的各类发布规则,将SharePoint站点、Exchange服务器、Exchange Web客户端、内部网站、非Web服务器等内网资源发布出去,并且通过链接转换的设置,可以让网站的发布更安全、灵活,并能保证网站上链接的有效性。
ISA Server 2006不但可以和微软自己的产品很好地集成,还可以与路由器配合,通过配置差异服务(DiffServ)控制封包的优先顺序,以达到高效使用有限的带宽。
易用性
ISA Server 2006提供了图形化的任务面板管理和安装向导,十分灵活并易于管理员使用。它包含多网络体系结构功能、统一的VPN,可通过可靠的可视化策略编辑器、直观的网络模板、自动化向导和增强的疑难解答工具进行防火墙管理、服务器发布和访问控制,它还支持导出配置信息、实时防火墙会话监视、防火墙用户组等功能,使管理员能够将精力集中到业务规则而不是繁琐的操作步骤上。
ISA Server 2006沿用了一贯的图形化管理界面、简洁的安装向导,让初次接触的人也可顺利地安装。根据网络实际环境,用户可以从网络模板中选择一种网络模式,轻松地将它的网络关系配置完成。通过防火墙策略向导,可以选择访问源、访问目标、访问使用的协议、访问时间、例外等选项,让用户很轻松地完成企业所要的访问策略的设置。
VPN的设置简化到只有4步,配置VPN地址范围、启用VPN客户端访问、建立访问规则(VPN客户端对内部网络)、配置允许拔入的用户,一个看似复杂的VPN的配置,在谈笑间就完成了。
ISA Server 2006的易用性不仅仅体现在以上方面,其他很多看似复杂的功能在ISA里可以很容易地得到实现,而且掌握这些技巧不需要太多时间。一切都很自然,让用户仿佛感觉已经使用过ISA Server 2006很久了。
稳定性
ISA Server 2006不但提供了强大的自我保护功能,还在企业版中提供了阵列和网络负载平衡功能。在ISA Server 2006中,用户可以找到启用入侵检测和DNS攻击检测、配置淹没缓解设置、配置IP保护等几个配置项。
通过配置淹没缓解设置,简化客户端IP警报集中和连接限额,提高了抵制蠕虫的灵活性,将已感染病毒的计算机对网络的影响降到最低。增强的淹没保护和入侵检测功能,有助于阻止淹没攻击,如拒绝服务(DoS)攻击和分布式拒绝服务(DDoS)攻击。
配置IP保护,可通过完善的反电子欺骗机制来提供IP电子欺骗保护。ISA Server 2006通过检查数据包的源IP地址是否有效来防止IP电子欺骗。
配置了启用入侵检测和DNS攻击检测,当网络将要受到攻击时,ISA Server 2006入侵检测机制将进行识别,并执行一组已配置操作或警报。为检测恶意入侵者,ISA Server会将网络通信量和日志条目与众所周知的攻击方法进行对比,可疑活动将触发警报,并进行包括连接终止、服务终止、电子邮件警报和日志记录等操作。
ISA Server 2006的确是一款功能强大、性能优良的网络边界安全产品,可以使管理人员轻松地控制网络内外的数据传递,增强网络的安全性。