Новый брандмауэр Microsoft облегчает жизнь администраторам сетейИсточник: PCWeek/RE, №10/2004 Ричард В. Дрейган
В новой программе Microsoft Internet Security and Acceleration Server 2004, Standard Edition администраторы IT-подразделений найдут для себя много полезного. Этот более гибкий, чем его предшественники, сервер с новыми возможностями для предотвращения атак, а также несколькими замечательными административными функциями представляет собой очень важный пакет обновления для любой организации, использующей сети Windows, особенно если применять его в сочетании с IIS или Exchange. ISA Server 2004 ориентирован на малые и средние предприятия, не располагающие высококвалифицированными специалистами по IT-администрированию и обеспечению безопасности. Благодаря множеству "мастеров" для разных задач с настройкой конфигурации справится даже не самый опытный специалист в области безопасности. Инсталляция ISA Server 2004 выполняется достаточно быстро: простая программа начальной установки размещает соответствующие программы на сервере Windows Server 2003, работающем с Active Directory. Новую программу мы испытывали в небольшой сети с Web-сервером (IIS) и сервером Exchange 2003. Мы хотели во время испытаний обеспечить удаленным пользователям безопасный доступ к этим серверам. В любом перечне первоочередных работ администратора самая трудная - настройка конфигурации брандмауэра. Благодаря богатому функциями и интуитивно понятному административному интерфейсу сервера ISA Server 2004, с пиктограммами и "мастерами" (очевидный отход от типичного стиля, присущего административным интерфейсам Microsoft для предприятий), эта задача значительно упрощается. По-прежнему есть возможность иерархического просмотра объектов, как и с помощью любого модуля Microsoft Management Console (MMC), но после установки ISA Server 2004 в центре окна появляется несколько дополнительных закладок, а с правой стороны консоли - ряд "мастеров" и подсказок. Нередко после установки нового брандмауэра выясняется, что он абсолютно ничего не пропускает сквозь себя или пропускает все, без исключения, - безрадостный факт. Чтобы грамотно сконфигурировать поток сетевого трафика, нужно сначала выбрать из списка в консоли, содержащего пять общих стилей, в том числе и конфигурацию DMZ, базовую топологию сети. Затем для каждого правила брандмауэра можно выбрать в визуальном редакторе отправителя (source), получателя (destination), протокол и конкретных пользователей. Мы успешно применяли эту процедуру для назначения ряда правил для Web- и FTP-серверов, серверов электронной почты и новостей. Правила очень гибкие; их можно применять выборочно для любого сегмента вашей сети (даже виртуальной частной сети - VPN), а также для конкретных пользователей. Есть и еще один плюс: параметры конфигурации можно экспортировать и импортировать (через защищенные паролем XML-файлы), что значительно экономит время при переносе параметров с системы на систему. Нужно сказать, что в состав ISA Server 2004 не входят функции защиты от вирусов или червей; соответствующие средства нужно приобретать у сторонних поставщиков. Что касается цены, то, на наш взгляд, Microsoft за эти деньги могла бы предложить и более обширный пакет. ISA Server 2004 лучше подходит для компаний, использующих Active Directory, хотя в нем предусмотрены специальные средства для привязки к RADIUS-серверам, Exchange Server и SharePoint. Настройка виртуальной частной сети (VPN) для удаленных офисов и пользователей - это трудная задача для организаций среднего масштаба. Сервер ISA Server 2004 позволяет удаленным пользователям устанавливать защищенные соединения с помощью встроенных "мастеров" для конфигурирования VPN. Администраторы без труда настроят Web-серверы и почтовые серверы. Кроме того, ISA Server 2004 обеспечивает безопасный доступ к Exchange Server через модуль Outlook Web Access и к контенту сервера SharePoint Portal Server 2003. Другие брандмауэры, даже аппаратные, пропускают множество зашифрованных пакетов (если данные IP-заголовка допустимы). С целью отражения атак ISA Server 2004 может инспектировать содержимое пакетов, например использующих данные прикладного уровня для Exchange. Отдельный "мастер" контента позволяет публиковать и обновлять по расписанию кэшированные Web-узлы - действительно полезное новшество, которое реально экономит время пользователя. Можно кэшировать материалы Web- и FTP-узлов, а также устанавливать правила, касающиеся истечения срока действия и размера кэшированных файлов. ISA Server 2004 располагает блестящими функциями мониторинга и подготовки отчетов. Графический монитор производительности (отдельный от MMC) показывает статистические данные о работе брандмауэра и сетевую статистику в реальном времени, а на "приборной доске" административной консоли ISA Server 2004 отражается общая информация о состоянии и предупредительная информация. Можно подготовить настраиваемые отчеты брандмауэра для непрерывного вывода моментальных данных о деятельности. Предупреждения о возможных неполадках можно выборочно отправлять пользователям по электронной почте, что позволяет быстро на них реагировать. Нам также понравилась функция Connection Verifiers, с помощью которой можно составлять и затем многократно использовать тесты типа "запрос-ответ" (а также другие тесты для проверки связи в сети) между различными точками сети, что упрощает поиск неисправностей, если между узлами происходит что-то неладное. В целом эту новую мощную версию можно назвать удачей Microsoft. ISA Server 2004 обладает множеством интеллектуальных средств безопасности, и IT-администраторы по достоинству оценят глубину функций административной консоли и удобство работы с ней. |