Microsoft Forefront Threat Management Gateway (Forefront TMG), formerly known as Microsoft Internet Security and Acceleration Server (ISA Server), is a discontinued network router, firewall, antivirus program, VPN server and web cache from Microsoft Corporation. It ran on Windows Server and works by inspecting all network traffic that passes through it.[3]
Microsoft Forefront Threat Management Gateway 2010
|
Microsoft Forefront Threat Management Gateway 2010 management console |
|
| Developer(s) | Microsoft |
|---|---|
| Initial release | 1 January 1997 |
| Final release |
2010 |
| Operating system | Windows Server 2008 |
| Platform | x86-64 |
| Available in | English, Chinese (Simplified), Chinese (Traditional), French, German, Italian, Japanese, Korean, Portuguese (Brazil), Russian and Spanish[2] |
| Type | Router, firewall, antivirus program, VPN server, web cache |
| License | Trialware |
| Website | www |
Microsoft Forefront TMG offers a set of features which include:[4]
- Routing and remote access features: Microsoft Forefront TMG can act as a router, an Internet gateway, a virtual private network (VPN) server, a network address translation (NAT) server and a proxy server.
- Security features: Microsoft Forefront TMG is a firewall which can inspect network traffic (including web content, secure web content and emails) and filter out malware, attempts to exploit security vulnerabilities and content that does not match a predefined security policy. In technical sense, Microsoft Forefront TMG offers application layer protection, stateful filtering, content filtering and anti-malware protection.
- Network performance features: Microsoft Forefront TMG can also improve network performance: It can compress web traffic to improve communication speed. It also offers web caching: It can cache frequently-accessed web content so that users can access them faster from the local network cache. Microsoft Forefront TMG 2010 can also cache data received through Background Intelligent Transfer Service, such as updates of software published on Microsoft Update website.
Microsoft Proxy Server
edit
The Microsoft Forefront Threat Management Gateway product line originated with Microsoft Proxy Server. Developed under the code-name «Catapult»,[5] Microsoft Proxy Server v1.0 was first launched in January 1997,[6] and was designed to run on Windows NT 4.0. Microsoft Proxy Server v1.0 was a basic product designed to provide Internet Access for clients in a LAN Environment via TCP/IP. Support was also provided for IPX/SPX networks (primarily used in legacy Novell NetWare environments), through a WinSock translation/tunnelling client which allowed TCP/IP applications, such as web browsers, to operate transparently without any TCP/IP on the wire. Although well-integrated into Windows NT4,[7] Microsoft Proxy Server v1.0 only had basic functionality, and came in only one edition. Extended support for Microsoft Proxy Server v1.0 ended on 31 March 2002.[6]
Microsoft Proxy Server v2.0 was launched in December 1997,[8] and included better NT Account Integration, improved packet filtering support, and support for a wider range of network protocols. Microsoft Proxy Server v2.0 exited the extended support phase and reached end of life on 31 December 2004.[8]
On 18 March 2001, Microsoft launched Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000).[9] ISA Server 2000 introduced the Standard and Enterprise editions, with Enterprise-grade functionality such as High-Availability Clustering not included in the Standard Edition. ISA Server 2000 required Windows 2000 (any edition), and will also run on Windows Server 2003. In accordance with Microsoft’s Support Lifecycle Policy, ISA Server 2000 was the first ISA Server product to use the 10-year support lifecycle with 5 years of Mainstream support and five years of Extended support. ISA Server 2000 reached End of Life on 12 April 2011.[9]
Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004) was released on 8 September 2004.[10] ISA Server 2004 introduced multi-networking support[clarification needed], integrated virtual private networking configuration, extensible user and authentication models, application layer firewall support, Active Directory integration, SecureNAT[clarification needed], and improved reporting and management features. The rules based configuration was also considerably simplified over ISA Server 2000 version.
ISA Server 2004 Enterprise Edition included array support, integrated Network Load Balancing (NLB), and Cache Array Routing Protocol (CARP). One of the core capabilities of ISA Server 2004, dubbed Secure Server Publishing, was its ability to securely expose their internal servers to Internet. For example, some organizations use ISA Server 2004 to publish their Microsoft Exchange Server services such as Outlook Web Access (OWA), Outlook Mobile Access (OMA) or ActiveSync. Using the Forms-based Authentication (FBA) authentication type, ISA Server can be used to pre-authenticate web clients so that traffic from unauthenticated clients to published servers is not allowed.
ISA Server 2004 is available in two editions, Standard and Enterprise. Enterprise Edition contains features enabling policies to be configured on an array level, rather than on individual ISA Servers, and load-balancing across multiple ISA Servers. Each edition of ISA Server is licensed per processor. (The version included in Windows Small Business Server 2000/2003 Premium includes licensing for 2 processors.)
ISA Server 2004 runs on Windows Server 2003 Standard or Enterprise Edition. Appliance hardware containing Windows Server 2003 Appliance Edition and ISA Server Standard Edition is available from a variety of Microsoft Partners.[11]
Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006) was released on 17 October 2006.[12] It is an updated version of ISA Server 2004, and retains all features from ISA Server 2004 except Message Screener.
ISA Server 2006 introduced new features including:
- Support for Exchange Server 2007 (referred to as «Exchange 12» in the Microsoft ISA Server 2006 Evaluation Guide)[13]: 73
- New configuration wizards for various tasks such as setting up a «site-to-site VPN connection», publishing SharePoint services, publishing websites, creating firewall rules.[13]: 75, 80
- Introduction of single sign-on for groups of published web sites.[13]: 82
- Improvements to user authentication including the addition of LDAP Authentication support[13]: 82
- Resistance to flood attacks, to protect the ISA server from being «unavailable, compromised, or unmanageable during a flooding attack.»[13]: 55, 62–64, 81
- Performance features such as BITS Caching, Web Publishing Load Balancing and HTTP compression.[13]: 84
ISA Server Appliance Edition
Microsoft also offered ISA Server 2006 Appliance Edition. It was designed to be pre-installed onto OEM hardware (server appliances) that are sold by hardware manufacturers as a stand-alone firewall type device.[14] Along with Appliance Edition, ISA server 2006 Standard Edition and Enterprise Edition were available in preconfigured hardware.[13]: 76
Microsoft Forefront TMG MBE
edit
Microsoft Forefront Threat Management Gateway Medium Business Edition (Forefront TMG MBE) is the next version of ISA Server which is also included with Windows Essential Business Server. This version only runs on the 64-bit edition of Windows Server 2008 and does not support Enterprise edition features such as array support or Enterprise policy. Mainstream support for Forefront TMG MBE ended on 12 November 2013.[15]
Microsoft Forefront TMG 2010
edit
Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) was released on 17 November 2009.[16] It is built on the foundation of ISA Server 2006 and provides enhanced web protection, native 64-bit support, support for Windows Server 2008 and Windows Server 2008 R2, malware protection and BITS caching. Service Pack 1 for this product was released on 23 June 2010.[17] It includes several new features to support Windows Server 2008 R2 and SharePoint 2010 lines of products.[18] Service Pack 2 for this product was released on 10 October 2011.[1] On 9 September 2012 Microsoft announced no further development will take place on Forefront Threat Management Gateway 2010 and the product will no longer be available for purchase as of 1 December 2012. Mainstream support ceased on 14 April 2015 and extended support has ended on 14 April 2020.[19]
- Microsoft Servers
- Microsoft Forefront
- Microsoft Forefront Unified Access Gateway
- ^ a b «Download details: Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 2». Microsoft Download Center. Microsoft corporation. 10 October 2011. Retrieved 17 November 2011.
- ^ «Download Microsoft Forefront Threat Management Gateway 2010». Microsoft corporation. Retrieved 26 March 2010.
- ^ «Forefront Threat Management Gateway: Overview». Microsoft. Retrieved 1 March 2010.
- ^ «Forefront Threat Management Gateway: Features». Microsoft corporation. Retrieved 1 March 2010.
- ^ «Microsoft Ships Proxy Server 1.0». News Center. Microsoft. 29 October 1996. Archived from the original on 26 October 2012. Retrieved 10 June 2017.
- ^ a b «Microsoft Support Lifecycle». Retrieved 5 June 2007.
- ^ «Microsoft ISA Server». 30 July 2002. Retrieved 5 June 2007.
- ^ a b «Microsoft Support Lifecycle: Proxy Server 2.0 Standard Edition». Retrieved 5 June 2007.
- ^ a b «Microsoft Support Lifecycle ISA 2000». Retrieved 9 March 2009.
- ^ «Microsoft Support Lifecycle ISA 2004». Retrieved 9 March 2009.
- ^ «Deploy ISA Server and IAG in Minutes with Hardware Solutions». Microsoft. Retrieved 5 June 2007.
- ^ «Microsoft Support Lifecycle ISA 2006». Retrieved 9 March 2009.
- ^ a b c d e f g «Microsoft ISA Server 2006 Evaluation Guide». Microsoft. July 2006. Archived from the original (DOC) on 2 September 2006. Retrieved 31 August 2018.
- ^ «Internet Security and Acceleration Server: hardware partners». Microsoft. Archived from the original on 30 January 2009. Retrieved 21 January 2009.
- ^ «Search Product and Services Lifecycle Information — Microsoft Lifecycle».
- ^ «Forefront Threat Management Gateway 2010 Release». Forefront TMG (ISA Server) team blog. Microsoft corporation. 17 November 2009. Retrieved 26 March 2010.
It is our pleasure to announce that Forefront Threat Management Gateway (TMG) 2010 was released to manufacturing yesterday (Nov 16th, 2009) [~snip~]
- ^ «Download details: Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1». Microsoft Download Center. Microsoft corporation. 23 June 2010. Retrieved 15 July 2010.
- ^ «What’s new in Forefront TMG 2010 SP1». Microsoft TechNet. Microsoft Corporation. 15 June 2010. Retrieved 15 July 2010.
- ^ «Important Changes to Forefront Product Roadmaps». Microsoft TechNet. Microsoft Corporation. 12 September 2012. Archived from the original on 10 October 2012. Retrieved 22 September 2012.
- Official website
- TMG TechCenter
- Forefront TMG (ISA Server) Product Team Blog
- Richard Hicks’ Forefront TMG Blog
Материал из Википедии — свободной энциклопедии
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 10 июля 2011;
проверки требуют 5 правок.
Перейти к: навигация,
поиск
| Microsoft Internet Security and Acceleration Server | |
| Тип |
Брандмауэр, VPN, Кэширование Web-страниц |
|---|---|
| Разработчик |
Microsoft |
| ОС |
Microsoft Windows Server |
| Последняя версия |
Microsoft Internet Security and Acceleration Server 2006 |
| Лицензия |
Проприетарная |
| Сайт |
Microsoft Internet Security and Acceleration Server Homepage |
Microsoft Internet Security and Acceleration Server (ISA Server) — прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика.
Пришёл на смену прокси-серверу Proxy 2.0 от Microsoft. Позволяет организовать защиту локальной сети от вмешательств из сети Интернет и безопасно публиковать различные виды серверов, дает возможность распределять доступ пользователей локальной сети к ресурсам Интернет. Оснащен средствами для анализа посещаемых ресурсов, учета трафика, а также защиты против атак из сети Интернет. Имеет различные виды аутентификации и авторизации, в том числе поддерживает аутентификацию Active Directory. Поддерживает как рабочие группы, так и домены Windows NT. Имеет множество плагинов для отслеживания исходящего и входящего трафика.
Наследником ISA Server является Microsoft Forefront Threat Management Gateway (Forefront TMG).
[править] Версии
- Microsoft Proxy Server
- Microsoft Internet Security and Acceleration Server 2000
- Microsoft Internet Security and Acceleration Server 2004
- Microsoft Internet Security and Acceleration Server 2006
- Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) выпущен 17 ноября 2009[1]. Эта версия основана на ISA Server 2006 и обеспечивает улучшенную защиту веб трафика, родную поддержку 64 битных систем, поддержку Windows Server 2008 и Windows Server 2008 R2 и встроенную защиту от вредоносных программ.
[править] Примечания
- ↑ Forefront Threat Management Gateway 2010 Release. Forefront TMG (ISA Server) team blog. Microsoft corporation (17 November 2009). — «It is our pleasure to announce that Forefront Threat Management Gateway (TMG) 2010 was released to manufacturing yesterday (Nov 16th, 2009) [~snip~]» Проверено 26 марта 2010.
[править] Ссылки
- Microsoft Internet Security and Acceleration Server
- Microsoft ISA Server на русском языке
[править] Литература
- Майкл Ноэл Microsoft ISA Server 2006. Полное руководство = Microsoft ISA Server 2006 Unleashed — М.: «Вильямс», 2008. — С. 624. — ISBN 978-5-8459-1486-6.
|
п·о·р Межсетевые экраны |
||
|---|---|---|
| Бесплатные | Outpost Security Suite Free • Ashampoo FireWall Free • Comodo • Core Force (англ.) • Online Armor • PC Tools • PeerGuardian (англ.) • Sygate (англ.) | |
| Проприетарные | Ashampoo FireWall Pro • AVG Internet Security • CA Personal Firewall • DrWeb • Jetico Personal Firewall • Kaspersky • Microsoft ISA Server • Norton • Outpost • ViPNet Personal Firewall • Trend Micro (англ.) • Windows Firewall • Sunbelt (англ.) • Kerio Control • ZoneAlarm | |
| Аппаратные | Fortinet • Cisco • Juniper • Check Point • ViPNet Coordinator HW | |
| BSD | ipfw • IPFilter • PF • NPF | |
| Mac OS | NetBarrier X4 (англ.) | |
| Linux | Netfilter (Iptables • Firestarter • Iplist • NuFW • Shorewall) • Uncomplicated Firewall |
|
п·о·р Microsoft |
||
|---|---|---|
| Программное обеспечение |
Windows (компоненты) • Office • Visual Studio • Expression • Silverlight • Dynamics • Money • Encarta • Student • Works • Microsoft Security Essentials |
|
| Серверное ПО |
Windows Server • SQL Server • IIS • Exchange • BizTalk • Commerce • ISA Server • Systems Management • System Center • Licensing Services |
|
| Технологии |
Active Directory • DirectX • .NET • Windows Media • PlaysForSure • Application Virtualization |
|
| Интернет |
Windows Live • Office Live • MSNBC • msnbc.com • ninemsn • MSN • Bing • Bing Bar • EntityCube • Hotmail • Live Messenger • Live Spaces • Groups • Live ID • Ignition • CodePlex • HealthVault • Skype • SkyDrive • Vine • Zune Marketplace |
|
| Игры |
Microsoft Game Studios • Zone • XNA • Xbox • Xbox 360 • Xbox 360 S • Kinect • Xbox Live (Arcade • Marketplace) • Games for Windows (Live • Tray and Play) • Live Anywhere |
|
| Аппаратное обеспечение |
Surface • Zune (4, 8 • 30 • 80 • HD) • MSN TV • Natural Keyboard • Keyboard • Mouse • LifeCam • LifeChat • SideWinder • UMPC • Fingerprint • Audio • Cordless Phone • Pocket PC • RoundTable • Response Point |
|
| Образование |
MCP • MCTS • MCITP • MSDN • MSDNAA • MSCA • Microsoft Press • Microsoft MVP • Microsoft Student Partners |
|
| Лицензирование |
Лицензионная политика Microsoft • Client Access License • Shared Source |
|
| Подразделения |
Microsoft Research • MSN • Macintosh Business Unit • Microsoft Game Studios • Майкрософт Рус |
|
| Совет директоров |
Балмер • Кэш • Дублон • Гейтс • Гилмартин • Хастингс • Маркурдт • Носки • Панке • Ширли |
Новое средство защиты на рынке брандмауэров
[Примечание редакции. В данной статье рассматривается Microsoft Internet Security and Acceleration (ISA) Server beta 3. Поэтому приведенная здесь информация может не соответствовать окончательной версии продукта.]
Выпустив Proxy Server 1.0, Microsoft предприняла первую попытку проникновения на два новых сектора рынка: систем обеспечения безопасности в Internet и ускоренного доступа к Web. Хотя первая версия Proxy Server располагает лишь базовыми функциями защиты и несовместима с несколькими протоколами Internet, она быстро завоевала популярность у организаций, которые взяли на вооружение Windows NT и нуждаются в брандмауэрах Internet и ускоренном доступе к Web, а также инструментах управления доступом к Internet-службам.
В Proxy Server 2.0 были устранены некоторые недостатки первой версии, в частности, появились функции управления входным и выходным трафиком и возможность работы с большим количеством протоколов и приложений для клиентов, способных взаимодействовать с proxy-серверами. Microsoft также усилила защиту продукта, дополнив его усовершенствованной функцией фильтрации пакетов, с помощью которой администраторы могут определять и контролировать прохождение различных типов трафика через Proxy Server. Для многих крупных организаций главные достоинства Proxy Server заключаются в возможности использовать базу данных учетных записей пользователей NT для управления доступом к службам Internet, и функции кэширования Proxy Server — для оптимизации пропускной способности каналов связи Internet. Однако, несмотря на усовершенствованную систему безопасности Proxy Server 2.0, многие организации неохотно используют продукт в качестве основного брандмауэра из-за отсутствия в нем многих функций, имеющихся в других брандмауэрах.
Proxy Server пока не получил признания в качестве автономного продукта безопасности Internet. Поэтому разработчики Microsoft дополнили новую версию функциями, отсутствовавшими в Proxy Server 2.0. Кроме того, они постарались устранить ряд других недостатков Proxy Server 2.0, например, несовместимость с широко распространенными протоколами и необходимость установки клиентской программы для доступа к Proxy Server. Первая и вторая бета-версии продукта, пришедшего на смену Proxy Server 2.0, носили название Comet, но версия бета 3 была переименована в Microsoft Internet Security and Acceleration (ISA) Server. Новое название точнее отражает особенности продукта и целевой аудитории: рынка брандмауэров Internet.
ЧТО НОВОГО В COMET
Хотя ISA Server — потомок Proxy Server, он существенно отличается от своего предшественника. В ISA Server появились разнообразные новые функции, а многие возможности Proxy Server были усовершенствованы.
Новые функции брандмауэра. ISA Server наделен мощными функциями брандмауэра и не уступает большинству продуктов, представленных на рынке. Помимо фильтрации трафика на пакетном, канальном и прикладном уровнях, ISA Server обеспечивает проверку данных, проходящих через брандмауэр, в контексте протокола и состояния соединения (stateful packet inspection). ISA Server также защищает индивидуальные компоненты и службы на пользовательском или групповом уровнях с помощью средств Active Directory (AD) в Windows 2000 и SAM в Windows NT—большинство брандмауэров производства независимых компаний лишено этой возможности, так как они базируются на IP-адресах или используют отдельные базы данных для идентификации пользователей. Без дополнительной настройки ISA Server оповещает пользователя о нападениях нескольких типов, в том числе типа out-of-band (например, WinNuke), Ping of Death, Land, а также о «бомбах» UDP. ISA Server обеспечивает трансляцию сетевых адресов (Network Address Translation — NAT) с помощью функции SecureNAT, которая позволяет клиентам локальной сети указывать ISA Server как шлюз по умолчанию и получать безопасный доступ в Internet без установки каких-либо клиентских программ.
Администрирование на базе политик. Другая важная особенность ISA Server—администрирование с использованием политик. Администраторы ISA Server могут определить такие элементы политики, как пользователи и группы, клиентские протоколы, расписания, сайты и группы контента, и затем использовать эти элементы для управления различными параметрами через назначение политик ISA Server (например, политики доступа к клиентским протоколам, политики доступа к сайтам, политики использования полосы пропускания). Политики можно задавать на уровне массива систем ISA Server или, для AD-совместимых сетей, на уровне предприятия. Политики на уровне предприятия позволяют с помощью AD задавать политики безопасности сразу для всех подразделений компании.
Интеграция RRAS и VPN. Важное усовершенствование ISA Server — безупречная интеграция программы со службами RRAS и VPN операционной системы Windows 2000. В отличие от интеграции Proxy Server с RRAS и VPN в среде NT 4.0, процесс организации VPN с удаленным RRAS VPN сервером через ISA Server очень прост. Процедура установки облегчается благодаря удобному в использовании мастеру конфигурирования VPN, который даже запускает процедуру установки RRAS, если данная служба не была ранее установлена для локальных конфигураций VPN.
Интеллектуальное кэширование. ISA Server располагает функциями активного кэширования, с помощью которых администраторы заранее записывают в кэш информацию, загружаемую с популярных Web-узлов. Администраторы могут составить расписание автоматического обновления кэша в заранее назначенное время в течение дня.
Интеллектуальные прикладные фильтры. Администратор может определить интеллектуальные прикладные фильтры, которые управляют трафиком через ISA Server на уровне конкретных приложений. Например, можно реализовать фильтр почтового трафика, блокирующий контент определенного типа, или фильтр для потоковых аудио- или видеоданных.
Динамическая IP-фильтрация. Многие брандмауэры облегчают жизнь администратора, динамически открывая порты брандмауэра для активных клиентских сеансов в Internet и закрывая их после завершения сеанса клиентом. ISA Server располагает похожей функцией динамической фильтрации, поэтому администратору не приходится навещать брандмауэры, чтобы вручную открыть порты всякий раз, когда клиенты его сети используют новый протокол.
Масштабируемость. Масштабируемость — важная характеристика сервера кэширования в крупных организациях, так как при записи в кэш больших объемов данных производительность сервера может упасть. Чтобы разрешить подобную ситуацию и удовлетворить потребности корпоративной сети, в ISA Server предусмотрено динамическое распределение нагрузки с использованием протокола CARP (Cache Array Routing Protocol), реализованного и в Proxy Server. CARP повышает эффективность использования нескольких серверов ISA Server, автоматически пересылая клиентские запросы тому серверу, на котором вероятнее всего хранятся запрашиваемые данные. Использование ISA Server со службой балансировки нагрузки NLB (Network Load Balancing) Windows 2000 на многосерверных массивах расширяет возможности динамического распределения нагрузки и повышает общий уровень готовности систем ISA Server. ISA Server можно настроить на обслуживание нескольких каналов связи или резервных соединений (иначе называемых маршрутами — route) с другими системами ISA Server с целью повышения готовности сервера.
Правила распределения полосы пропускания. NLB—не единственная новая функция Windows 2000, используемая ISA Server. Благодаря функции QoS (Quality of Service—гарантированное качество обслуживания) и возможности управления полосой пропускания Windows 2000, ISA Server позволяет назначать правила, определяющие долю полосы пропускания для различных протоколов и типов трафика, проходящих через ISA Server между Internet и локальной сетью. Данная функция обеспечивает более тщательный контроль использования канала с Internet, чем в Proxy Server.
Усовершенствованные функции подготовки отчетов. С помощью ISA Server можно составлять подробные отчеты о событиях, связанных с доступом пользователей и безопасностью. ISA Server может автоматически составлять отчеты по расписанию и доставлять их администратору через определенные промежутки времени (например, ежедневно, еженедельно, ежемесячно).
Служба поддержки протокола H.323. В состав ISA Server входит компонент поддержки H.323, с помощью которого администраторы могут управлять вызовами IP-телефонии между приложениями, совместимыми с протоколом H.323 (например, Microsoft NetMeeting 3.0). После того, как зарегистрированы записи DNS SRV, объявляющие о наличии службы поддержки, клиенты могут подключиться к ISA Server, зарегистрировать свои имена в данной службе и установить связь с другими конечными точками — клиентами H.323.
А ГДЕ КЛИЕНТ?
Важнейшая особенность многих современных продуктов безопасности Internet — совместимость с NAT. В документе RFC 1361 комитета IETF определен набор стандартов NAT, с помощью которых один подключенный к Internet компьютер может выполнять роль шлюза Internet для клиентов локальной сети путем преобразования внутренних IP-адресов в Internet-адреса. Данная технология обеспечивает высокий уровень безопасности, поскольку защищает клиентов с внутренними IP- адресами и делает их недоступными из Internet. Кроме того, благодаря NAT снижаются расходы крупных организаций на приобретение IP-адресов, так как компаниям нужен единственный маршрутизируемый IP-адрес для устройства NAT. Еще одно важное достоинство NAT —прозрачность: для организации соединений с Internet не требуется специального программного обеспечения или конфигурирования внутренних клиентов сети (нужно лишь убедиться, что устройство NAT —шлюз по умолчанию для доступа в Internet). Благодаря этим достоинствам служба NAT превратилась из вспомогательного в стандартный компонент всех шлюзов в Internet.
Реализация NAT в ISA Server, SecureNAT, объединяет защиту и прозрачность для клиента традиционной технологии NAT с функциональностью, которая повышает безопасность ISA Server. В отличие от многих реализаций NAT, в которых не предусмотрены меры по ограничению доступа в Internet для конкретных машин или типов трафика, SecureNAT обеспечивает управление всем трафиком, проходящим через компьютер с ISA Server. Таким образом, управлять сеансами Internet можно с клиентских компьютеров (даже с клиентов без специального программного обеспечения) по таким атрибутам сеансов, как исходный или целевой IP-адрес или тип используемого протокола.
Такая возможность — важное преимущество по сравнению с Proxy Server, в котором для защиты клиентских соединений используется метод «opt in» — метод участия. Для доступа в Internet через систему Proxy Server необходимо, чтобы клиентские браузеры использовали proxy-службу или клиентское программное обеспечение. Для защиты доступа к Internet-службам через Proxy Server можно использовать функции безопасности NT, но при этом необходимо настроить клиенты на использование Proxy Server. Таким образом, у организаций, в которых пользователи могут деинсталлировать клиентские программы или настраивать систему на использование шлюза в Internet напрямую, минуя proxy-службу, могут возникнуть проблемы. Поскольку ISA Server представляет собой шлюз Internet, на котором принудительно применяются определенные администратором политики безопасности, SecureNAT гарантирует, что клиенты не могут обойти политики безопасности.
NAT входит в состав службы RRAS операционной системы Windows 2000 Server и компонента ICS (Internet Connection Sharing) Windows 2000 Professional. Однако SecureNAT — надмножество функций NAT, реализованных в RRAS и ICS. Поэтому, если протокол NAT уже установлен или ICS активизирован для какого-либо сетевого соединения, то их следует удалить перед установкой ISA Server, чтобы предотвратить конфликты между этими компонентами и SecureNAT.
Несмотря на многочисленные преимущества NAT, некоторые протоколы и прикладные программы не могут работать через SecureNAT (или любую другую версию NAT), например, ряд игровых протоколов и протоколы, в пакеты которых встраиваются клиентские IP-адреса. Кроме того, SecureNAT не поможет, если нужно ограничить доступ пользователям или группам с помощью SAM или AD. В этом случае на каждом клиенте следует установить клиентское ПО, входящее в состав ISA Server.
УСТАНОВКА ISA SERVER
Установка ISA Server довольно проста, но прежде чем к ней приступить, следует изучить некоторые особенности процедуры. Во-первых, необходимо учесть минимальные требования ISA Server к системным ресурсам. Минимальные требования ISA Server, как продукта на базе Windows 2000 Server (в среде NT 4.0 он не работает), такие же, как у любой системы Windows 2000 Server. Это означает, что нужен процессор Pentium II (или более поздней версии) и ОЗУ не менее 128 Мбайт (рекомендуется память 256 Мбайт). Кроме того, сервер должен иметь как минимум два сетевых соединения: один адаптер для внутренней сети и второй — для соединения с Internet (например, сетевая плата, адаптер ISDN, модем). Для функций кэширования необходим, по крайней мере, один том с NTFS достаточной емкости для размещения кэша. Кроме того, для организации массива серверов ISA Server компьютер необходимо подключить к AD-совместимой сети.
Для функционирования ISA Server в сети с AD в схему AD необходимо внести изменения (указать дополнительные классы и свойства объектов), поэтому прежде чем устанавливать ISA Server, нужно запустить специальную утилиту изменения схемы. Доступ к этой утилите ISA Server Enterprise Initialization можно получить из главного меню установочного компакт-диска. В бета-версии 3 ISA Server нет никаких средств для отмены изменений, внесенных в схему, поэтому не рекомендуется устанавливать бета-версии ISA Server в рабочей сети.
В процессе изменения схемы нужно указать в диалоговом окне, показанном на Экране 1, каким образом применить корпоративную политику ISA Server на уровне массива, и следует ли выполнять фильтрацию пакетов и задавать правила публикации для массива. Выбранные режимы можно изменить позднее, но прежде чем приступать к работе, рекомендуется досконально разобраться в политиках и массивах ISA Server. Определение этих терминов дается во врезке «Что такое массивы и политики ISA Server». В случае возникновения любых трудностей на этапе изменения схемы следует обратиться к файлу Ldif.log, который размещается программой установки в корневом каталоге загрузочного раздела целевого сервера.
Следующим шагом после завершения изменения схемы будет установка ISA Server. Чтобы начать процедуру установки, следует щелкнуть на пункте Install ISA Server главного меню установочного компакт-диска. Чтобы отключить конкретные функции (например, службу поддержки H.323), нужно выбрать режим Custom; в противном случае — режим Full. В ходе установки программа определяет, подключен ли сервер к AD-совместимой сети, и если это так, то проверяет, были ли внесены в схему необходимые изменения. Затем программа установки спрашивает, следует ли сделать сервер частью имеющегося массива или независимого массива. Если строится новый массив, то следует ввести его имя. В следующем диалоговом окне нужно указать, в каком режиме должен работать ISA Server. ISA Server может функционировать как сервер-брандмауэр Internet (в режиме брандмауэра), как сервер кэширования (в режиме кэширования) или выполнять обе эти функции (в комплексном режиме). После того, как выбран режим, нужно щелкнуть на кнопке Continue, и на экране появится сообщение, что программа установки останавливает службы Microsoft IIS, и пользователь должен удалить IIS после завершения установки ISA Server или изменить конфигурацию IIS таким образом, чтобы освободить порты 80 и 8080 (эти порты используются ISA Server). Хотя IIS и ISA Server можно совместить на одной машине, изменив конфигурацию IIS в соответствии с указаниями системы в диалоговом окне, я рекомендую установить общедоступный сервер IIS на другой машине, скрытой за ISA Server, не пытаясь объединить два сервера.
На нескольких следующих экранах нужно указать размеры кэша и создать таблицу локальных адресов (Local Address Table—LAT), в которой определяется пространство IP-адресов внутренней сети. На Экране 2 показано, что при построении LAT диапазон внутренних IP-адресов можно ввести вручную или, щелкнув на кнопке Table, построить LAT автоматически. При щелчке на кнопке Table открывается диалоговое окно, в котором можно автоматически указать определенные документом RFC 1918 пространства имен для частных сетей 10.x.x.x, 172,16.x.x до 172.31.x.x и 192.168.x.x. Или же можно использовать внутреннюю таблицу маршрутизации Windows 2000, чтобы назначить адресные диапазоны на основе IP-адресов сетевых плат. Если выбрано построение на основе внутренней таблицы маршрутизации Windows 2000, то следует указать только внутреннюю сетевую плату, а не внешнюю, подключенную к Internet. Кроме того, если нужно заранее учесть возможность будущего изменения пространства частных IP-адресов, можно охватить все частные адресные диапазоны, а не только задействованные в текущей конфигурации сети. При возникновении проблем следует поискать информацию о неполадках в журнале программы установки. Журнал, firewallc.log, находится в корневом каталоге загрузочного раздела сервера.
УЧЕБНИК НЕ ТОЛЬКО ДЛЯ НОВИЧКОВ
В конце процедуры установки потребуется указать, следует ли запустить утилиту ISA Server Administration и учебник Getting Started Tutorial. Я настоятельно рекомендую начать с учебника, даже администраторам, имеющим большой опыт работы с Proxy Server и другими брандмауэрами. Учебник полезен в двух отношениях: в нем приведено поэтапное описание мастеров, которые помогают настроить базовые параметры сервера, например, конфигурацию брандмауэра и кэша, и приведены исчерпывающие объяснения операций, выполняемых на каждом этапе настройки. Поскольку впоследствии почти наверняка придется выполнить дополнительную настройку, из данного руководства администратор получит сведения о многочисленных вариантах настройки ISA Server и о большинстве операций конфигурирования. Как показано на Экране 3, меню учебника состоит из двух главных разделов: одного для задания политик и второго для конфигурирования массивов.
ISA Server располагает множеством функций настройки, но нет нужды пользоваться всеми — достаточно задействовать лишь те из них, которые необходимы для конкретной сети. Удалить ненужные функции из главной консоли управления Microsoft Management Console (MMC) нельзя, но их можно удалить из учебного курса. В диалоговом окне Configure policy by (конфигурировать политику по), показанном на Экране 4, можно определить типы политик, используемые в сети. На основании выбора, сделанного пользователем, из учебника исключаются любые разделы, относящиеся к типам политик, отсутствующим в данной конфигурации.
Следующие несколько экранов учебника помогут определить основные элементы, используемые для создания правил (политик), и минимальный набор правил, необходимый для функционирования ISA Server. Задавая политики в рамках ISA Server, администратор сначала готовит различные элементы независимо друг от друга, а затем объединяет их. В правилах/политиках ISA Server используются следующие базовые элементы:
Завершающие экраны учебника относятся к настройке мер безопасности сервера, параметров кэша и маршрутизации на брандмауэре. Особенно важен раздел учебника Secure Your Server (как защитить сервер). При выборе этого раздела запускается мастер, с помощью которого можно указать один из трех заранее определенных режимов безопасности: High Security (надежная защита), Moderate Security (средний уровень) и Windows 2000 Default Security (меры защиты, выбираемые по умолчанию). Выбор уровня защиты зависит от служб и приложений, размещенных на сервере. Режим High Security больше всего подходит для автономных брандмауэров, на которых не выполняется никаких приложений или в том случае, когда нужны самые строгие меры безопасности. В режиме Moderate Security ISA Server может работать на серверах, которые играют роль контроллера домена или исполняют другие службы, такие как DNS или WINS. Я не рекомендую использовать этот режим, поскольку он предполагает слабую защиту или вовсе ее отсутствие. Режим Windows 2000 Default Security предназначен для компьютеров ISA Server, которые играют роль серверов баз данных, или приложений других типов. На этапе Secure Your Server учебник напоминает о необходимости серьезно отнестись к выбору режима безопасности, поскольку изменения в политике безопасности нельзя отменить. Данное предупреждение необходимо, так как многие прикладные программы могут работать на серверах лишь при низком уровне безопасности, и использование слишком строгих мер защиты может привести к проблемам. Поэтому рекомендуется избегать выполнения любых приложений на ISA Server или выбрать режим Windows 2000 Default Security. Если сервер используется в качестве контроллера домена и не выполняет никаких приложений, то выбор режима Moderate Security оправдан. Однако я настоятельно рекомендую испытать ISA Server в среде, имитирующей службы, которые размещены на рабочем сервере, чтобы выяснить, подходит ли тот или иной режим безопасности.
На следующих страницах учебника производится настройка дополнительных функций брандмауэра, в том числе фильтрации IP-пакетов и обнаружения попыток несанкционированного доступа. Наконец, предлагается настроить параметры маршрутизации на брандмауэре трафика, направляемого в Internet (в том числе, клиентского Web-трафика), и кэширования.
НАЗНАЧЕНИЕ ПРАВИЛ
Как только вы определили необходимые для правил элементы политик, можно приступать к настройке правил. Пользователи, завершившие работу с учебником, уже имеют опыт создания образцов правил двух важнейших типов, используемых в ISA Server: правил сайта и контента и правил протокола. С помощью правил сайта и контента в ISA Server определяют, какие пользователи или машины и в какое время могут обращаться к узлам Internet, и к каким именно. Правила протокола определяют, трафик какого типа может проходить через ISA Server.
Любой доступ в Internet через ISA Server по умолчанию запрещен, поэтому необходимо определить, по крайней мере, одно правило протокола, разрешающее трафику нужного типа проходить через сервер. Если клиенты не могут установить соединение с Internet после начального конфигурирования ISA Server, но с сервера узлы Internet доступны, то проблема, вероятно, заключается в том, что не было задано правило протокола.
Помимо правил сайта, контента и протокола, в ISA Server можно определить правила трех других основных типов. Правила полосы пропускания используются для назначения относительных приоритетов для различных типов трафика Internet и потоков данных между внутренними клиентами, защищенными ISA Server. Благодаря данной функции администраторы получают беспрецедентный уровень контроля над распределением ресурсов сети и полосы пропускания каналов Internet. Например, по правилу полосы пропускания трафику главного управляющего компании, проводящего важную видеоконференцию с акционерами, может быть присвоен более высокий приоритет, чем трафику, поступающему в браузеры рядовых сотрудников. Инструмент ISA Server Administration используется для определения и управления правилами сайтов, контента и полосы пропускания.
Правила двух других типов, публикаций Web и серверных публикаций, находятся в контейнере правил публикации для массивов, в панели управления контентом утилиты ISA Server Administration. Правила публикаций Web определяют реакцию ISA Server на запросы, поступающие от клиентов HTTP, HTTP over Secure Sockets Layer (HTTPS) и FTP (например, отказ или перенаправление запросов другому серверу).
Правила серверных публикаций определяют, как перенаправлять из ISA Server во внутренние серверы любые другие запросы, поступающие от различных клиентов. Правила серверных публикаций используются также для настройки ISA Server на обработку и перенаправление входящего и исходящего почтового трафика с внутренним почтовым сервером. Чтобы задать правила публикации электронной почты, следует щелкнуть правой кнопкой мыши на контейнере Server Publishing Rules в панели управления контентом в ISA Server Administration и выбрать пункт Publish Mail Server. В результате этой операции запускается мастер Mail Server Setup Wizard (см. Экран 5). Мастер запрашивает информацию, необходимую для настройки ISA Server на фильтрацию и перенаправление почты в сети, в том числе внешние и внутренние IP-адреса, назначенные почтовому серверу, и типы почтовых служб, запросы к которым перехватывает ISA Server.
Работая с ISA Server, я сделал множество разнообразных открытий. Во-первых, я нашел ответ на вопрос, следует ли устанавливать на рабочих станциях сети Windows ПО клиента из состава ISA Server. Хотя для функционирования брандмауэра ISA Server клиент не обязателен, его использование дает такие преимущества, как возможность указывать в правилах пользовательские и групповые имена, а не только клиентские IP-адреса. Следует установить клиент в том случае, если нужно защитить брандмауэр с помощью правил, в которых применяются имена пользователей и групп AD или SAM.
Второе преимущество клиента — автоматическое конфигурирование в процессе установки клиентских браузеров на использование брандмауэра. Процедура установки и функционирование программы клиента сервера ISA Server почти идентична процедуре для клиента Winsock в Proxy Server.
ISA Server—открытая платформа разработки. Microsoft значительно облегчила независимым поставщикам процесс создания дополнительных программ, расширяющих функциональность сервера. В состав продукта входит даже комплект разработки ПО (SDK—в каталоге \sdk на компакт-диске) ISA Server. На момент подготовки данной статьи несколько поставщиков средств безопасности объявили о выпуске продуктов, предназначенных для работы в среде ISA Server.
Несмотря на общее благоприятное впечатление, производительность ISA Server оставляет желать лучшего. При достаточной мощности тестового сервера (машина с процессором Pentium II/400 МГц и 196-Мбайт ОЗУ) производительность ISA Server часто бывала весьма невысокой. Хотелось бы надеяться, что уровень производительности окончательной версии продукта будет другим.
Кроме того, пользователям Proxy Server, переходящим на ISA Server, следует прочитать специальный документ на компакт-диске, в котором освещаются проблемы модернизации Proxy Server. Обратиться к этому полезному документу можно из главного меню установочного компакт-диска или открыв файл Pre-Migration-Considerations.htm в корневом каталоге. На компакт-диске с бета-версией 3 также имеется руководство по установке, cmtstart.htm, файл комментариев (readme.htm) в подкаталоге \ISA и основной файл справки ISA Server, isa.chm, в подкаталоге \ISA\CHMBOOK.
БУДУЩИЙ ПОБЕДИТЕЛЬ
Сервер ISA производства компании Microsoft подает очень большие надежды. Функции доступа и кэширования Proxy Server дополнены функциями брандмауэра промышленного уровня, а благодаря совместимости с NAT его стало проще использовать со стороны клиента. Официальная дата выпуска окончательной версии неизвестна, но можно предположить, что компания выпустит ISA Server к концу 2000 г.
Для работы ISA Server необходима операционная система Windows 2000 Server или Windows 2000 Advanced Server, но возможность автономного использования ISA Server в сетях без AD означает, что организациям не придется ждать, пока будет завершен переход на AD, чтобы воспользоваться преимуществами ISA Server. Кроме того, благодаря новому уровню безопасности, производительности и прозрачности ISA Server будет проще внедрять в тех подразделениях ИТ, где «не прижился» Proxy Server 2.0.
ЧТО ТАКОЕ МАССИВЫ И ПОЛИТИКИ ISA SERVER
Чтобы правильно настроить конфигурацию и развернуть Microsoft Internet Security and Acceleration (ISA) Server в сети предприятия, нужно разобраться в новых терминах, используемых при работе с данным продуктом. Массивы (arrays) — просто группа машин ISA Server, размещенных в одном месте (например, в филиале или подразделении компании). Существует два типа массивов: доменные (domain arrays) и независимые (independent arrays). Для доменных массивов требуется Active Directory (AD)-совместимая сеть; они должны быть размещены в одном домене Windows 2000. Независимые массивы хранят информацию в локальной базе данных, а не в AD. Если ISA Server работает в домене Windows NT 4.0, то следует объединить системы в независимый массив. Если системы находятся в AD-совместимой сети, то следует выбрать доменный массив — даже если имеется всего одна система ISA Server. Основание для такой рекомендации—преимущество хранения данных о конфигурации в AD, возможность применять политики в масштабе всей компании и расширить доменный массив в будущем.
На уровне массива можно назначать разнообразные правила, в том числе для узлов и контента, протоколов, публикаций и фильтрации IP-пакетов. Такой свод правил представляет собой политику массива (array policy), которая определяет, каким образом ISA Server разрешает клиентам обмениваться данными с Internet. Политику массива можно применить только к системам ISA Server в массиве. Корпоративные политики (enterprise policies) содержат похожие правила, но они могут применяться к различным массивам. Локальная политика массива может изменить корпоративную политику, но только сделав ее более строгой — политики массивов не могут смягчить или отменить корпоративные политики. Корпоративные политики — очевидный выбор для сетей с AD, так как с их помощью администраторы высокого уровня могут назначать политики масштаба компании, применяемые во всей организации.
Шон Дейли — один из редакторов журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет сертификат MCSE. Последней из его книг была «Optimizing Windows NT», выпущенная издательством IDG Books. С ним можно связаться по адресу: sean@ntsol.com.
SR-Technologix
My Learning … My Sharings
ISA Server is an acronym for Internet Security and Acceleration Server. It is a Microsoft Windows based firewall that adds heightened security and stability to your computer’s operating system and its files. The ISA Server firewall protects your internal network.
Steps
-
Place your ISA Server CD-ROM disk into your computer’s disk drive.
-
2
Double click the file “ISAAutorun.exe” which shows up once the ISA Server CD is inserted.
-
3
Select the link named “Install ISA Server” through the splash page of the Internet Security & Acceleration Server 2000 the program has automatically taken you to. The dialog box that follows will then tell you to install ISA 2000 Service Pack 1; press “Continue” to do so.
-
4
Select “Continue” on the following Welcome to the Microsoft ISA Server installation window.
-
5
Type the “CD Key” within the specified CD Key field and select “OK” to continue.
-
6
Write the Product ID that the setup system gives you to proceed with the install your ISA Server. After you have written this Product ID down, select “OK.”
-
7
Click on the “I Agree” box located in the Microsoft ISA Server Setup window.This will then prompt the dialog box for the Installation Type to come up.
-
8
Click on the “Full Installation” selection in the Installation Type dialog box.
-
9
Select “Yes” in the Microsoft ISA Server Setup window. You will then proceed to the ISA Server Setup in standalone mode.
-
10
Select the “Integrated Mode” option in the “Select the mode for this server” window. This option will utilize the full capacity of your ISA Server Firewall. Click “Continue.”
-
11
Choose a NTFS drive to put the Web cache file on the Web cache page.Type in the size of the cache in the “Cache size” area and select “Set.” Press “OK.”
-
12
Select the “Construction Table” option in the Local Address Table window. Remove the checkmark in the “Add the following private ranges” box. Add a checkmark in the “Add address ranges based on the Windows Routing Table” box. Also, remove the checkmark in the “External Interface” option then add a checkmark next to the “Internal Interface” box. Select “OK” in the LAT (Local Address Table) and then select “OK” again on the ISA Server Setup dialog box to apply the specifications you have just set up.
-
13
Click “OK” on the LAT window after you have gone over the Internal IP ranges list.
-
14
Select “OK” in the dialog box that comes up telling you to install the SMTP service in order to run the SMTP Message Screener. It will then inform you where to find instructions on how to do so.
-
15
Remove the checkmark from the “Start ISA Server Getting Started Wizard” box. Close the warning box telling you “Windows will become unstable” and then select “OK” in the “Launch ISA Management Tools” window.
-
16
Complete the setup by selecting “OK” once the dialog box pops up to inform you the setup is complete.
-
17
Select “OK” again once the dialog box telling up the setup has failed to start one or more services. Now you install the ISA Server Pack 1.
-
18
-
19
Scan the downloaded ISA Server Service Pack 1 for viruses then copy the file to the ISA Server.
-
20
Double click on the “isasp1.exe” file (ISA Server Service Pack 1 downloads under this title) and type what drive you would like your Service Pack to be extracted in with the “Choose Directory for Extracted Files” field followed by the “isasp1” file name. For example, if you want the Service Pack to be extracted in your computers drive “C,” type in “C:ISASP1.” Select “OK.”
-
21
Click the “I Agree” option in the “End User License Agreement” window.
-
22
Select “OK” in the Microsoft ISA Server Update Setup dialog box to restart your computer and complete the installation. The ISA Server Service Pack 1 is now installed with your ISA Server.
Thanks to WikiHow.com
Source: http://www.wikihow.com/Install-ISA-Server
What is ISA Server (Internet Security and Acceleration Server)?
Microsoft’s ISA Server (Internet Security and Acceleration Server) was the successor to Microsoft’s Proxy Server 2.0 (see proxy server) and was part of Microsoft’s .NET support.
It provides a number of services, including an enterprise firewall and antivirus, router, web proxy/web cache, and virtual private networking (VPN) server.
Microsoft’s ISA Server was replaced by the Microsoft Forefront Threat Management Gateway (Forefront TMG) in 2010.
In 2012, Microsoft announced that it would no longer produce updates for Forefront TMG and the product would no longer be sold as of 2012. Support ended in 2015.
How does the ISA Server work?
The ISA Server offered storage functionality for all regularly accessed web content, as well as load balancing for rerouting and reducing network traffic on the Windows Exchange Server. This provides faster access to frequently accessed webpages.
The ISA Server also allowed administrators to create policies for regulating usage and remote access based on user, group, application, destination, schedule and content type criteria to prevent data breach vulnerabilities.
The Forefront TMG was designed to work with Windows operating systems and take advantage of the security protocol Kerberos. Kerberos provides an authentication protocol used to validate a user’s identity and improve cybersecurity at the application level through packet filtering and antimalware protection.
When in use, Forefront TMG was available in two editions, Standard Edition and Enterprise Edition. Standard Edition was a standalone server that supports up to four processors, where Enterprise could support more than four processors.
Explore our ultimate guide to cybersecurity planning for businesses and learn about the five different types of firewalls. See how antimalware software works and why endpoint protection offers companies peace of mind. Also, check out Microsoft Exchange Server security best practices, some Exchange security dos and don’ts, and tools released by Microsoft to counter an uptick in Exchange Server attacks.
This was last updated in December 2021
Continue Reading About ISA Server
- The pros and cons of proxy-based security in the cloud
- How to configure proxy settings using Group Policy
- How to install the Windows Server 2019 VPN
- Inbound vs. outbound firewall rules: What are the differences?
- How a Windows antimalware tool helps endpoint security
Dig Deeper on Windows 10 security and management
-
How to secure on-prem apps with Entra Application Proxy
By: Adam Fowler
-
Third-Party Data Breaches Continue to Dominate Breach Notifications
By: Jill McKeon
-
MOVEit Breach Notifications Continue to Roll In, Impacting Health Data
By: Jill McKeon
-
How to Improve Data Normalization in Healthcare
By: Shania Kennedy
