© Ричард В. Дрейган
Статья была опубликована в PCWeek/RE, №10/2004
В новой программе Microsoft Internet Security and Acceleration Server 2004, Standard Edition администраторы IT-подразделений найдут для себя много полезного. Этот более гибкий, чем его предшественники, сервер с новыми возможностями для предотвращения атак, а также несколькими замечательными административными функциями представляет собой очень важный пакет обновления для любой организации, использующей сети Windows, особенно если применять его в сочетании с IIS или Exchange. ISA Server 2004 ориентирован на малые и средние предприятия, не располагающие высококвалифицированными специалистами по IT-администрированию и обеспечению безопасности. Благодаря множеству «мастеров» для разных задач с настройкой конфигурации справится даже не самый опытный специалист в области безопасности.
Инсталляция ISA Server 2004 выполняется достаточно быстро: простая программа начальной установки размещает соответствующие программы на сервере Windows Server 2003, работающем с Active Directory. Новую программу мы испытывали в небольшой сети с Web-сервером (IIS) и сервером Exchange 2003. Мы хотели во время испытаний обеспечить удаленным пользователям безопасный доступ к этим серверам.
В любом перечне первоочередных работ администратора самая трудная — настройка конфигурации брандмауэра. Благодаря богатому функциями и интуитивно понятному административному интерфейсу сервера ISA Server 2004, с пиктограммами и «мастерами» (очевидный отход от типичного стиля, присущего административным интерфейсам Microsoft для предприятий), эта задача значительно упрощается. По-прежнему есть возможность иерархического просмотра объектов, как и с помощью любого модуля Microsoft Management Console (MMC), но после установки ISA Server 2004 в центре окна появляется несколько дополнительных закладок, а с правой стороны консоли — ряд «мастеров» и подсказок.
Нередко после установки нового брандмауэра выясняется, что он абсолютно ничего не пропускает сквозь себя или пропускает все, без исключения, — безрадостный факт. Чтобы грамотно сконфигурировать поток сетевого трафика, нужно сначала выбрать из списка в консоли, содержащего пять общих стилей, в том числе и конфигурацию DMZ, базовую топологию сети. Затем для каждого правила брандмауэра можно выбрать в визуальном редакторе отправителя (source), получателя (destination), протокол и конкретных пользователей. Мы успешно применяли эту процедуру для назначения ряда правил для Web- и FTP-серверов, серверов электронной почты и новостей. Правила очень гибкие; их можно применять выборочно для любого сегмента вашей сети (даже виртуальной частной сети — VPN), а также для конкретных пользователей. Есть и еще один плюс: параметры конфигурации можно экспортировать и импортировать (через защищенные паролем XML-файлы), что значительно экономит время при переносе параметров с системы на систему.
Нужно сказать, что в состав ISA Server 2004 не входят функции защиты от вирусов или червей; соответствующие средства нужно приобретать у сторонних поставщиков. Что касается цены, то, на наш взгляд, Microsoft за эти деньги могла бы предложить и более обширный пакет. ISA Server 2004 лучше подходит для компаний, использующих Active Directory, хотя в нем предусмотрены специальные средства для привязки к RADIUS-серверам, Exchange Server и SharePoint.
Настройка виртуальной частной сети (VPN) для удаленных офисов и пользователей — это трудная задача для организаций среднего масштаба. Сервер ISA Server 2004 позволяет удаленным пользователям устанавливать защищенные соединения с помощью встроенных «мастеров» для конфигурирования VPN. Администраторы без труда настроят Web-серверы и почтовые серверы. Кроме того, ISA Server 2004 обеспечивает безопасный доступ к Exchange Server через модуль Outlook Web Access и к контенту сервера SharePoint Portal Server 2003.
Другие брандмауэры, даже аппаратные, пропускают множество зашифрованных пакетов (если данные IP-заголовка допустимы). С целью отражения атак ISA Server 2004 может инспектировать содержимое пакетов, например использующих данные прикладного уровня для Exchange. Отдельный «мастер» контента позволяет публиковать и обновлять по расписанию кэшированные Web-узлы — действительно полезное новшество, которое реально экономит время пользователя. Можно кэшировать материалы Web- и FTP-узлов, а также устанавливать правила, касающиеся истечения срока действия и размера кэшированных файлов.
ISA Server 2004 располагает блестящими функциями мониторинга и подготовки отчетов. Графический монитор производительности (отдельный от MMC) показывает статистические данные о работе брандмауэра и сетевую статистику в реальном времени, а на «приборной доске» административной консоли ISA Server 2004 отражается общая информация о состоянии и предупредительная информация. Можно подготовить настраиваемые отчеты брандмауэра для непрерывного вывода моментальных данных о деятельности.
Предупреждения о возможных неполадках можно выборочно отправлять пользователям по электронной почте, что позволяет быстро на них реагировать. Нам также понравилась функция Connection Verifiers, с помощью которой можно составлять и затем многократно использовать тесты типа «запрос-ответ» (а также другие тесты для проверки связи в сети) между различными точками сети, что упрощает поиск неисправностей, если между узлами происходит что-то неладное.
В целом эту новую мощную версию можно назвать удачей Microsoft. ISA Server 2004 обладает множеством интеллектуальных средств безопасности, и IT-администраторы по достоинству оценят глубину функций административной консоли и удобство работы с ней.
За дополнительной информацией обращайтесь в компанию Interface Ltd.
INTERFACE Ltd. |
|