Вслед за первой попыткой реализации брандмауэра и технологии Internet-кэширования в продукте, известном под названием Microsoft Proxy Server, Microsoft выпустила куда более интересный серверный продукт — Microsoft Internet Security and Acceleration (ISA) Server 2000. Технология ISA Server 2000 обеспечивает возможности многослойного брандмауэра для использования в организациях, модуль доступа к глобальной сети, службы кэширования, проверки пакетов с учетом состояния соединения и другие возможности защиты, реализованные в форме расширяемого высокопроизводительного пакета программ. Спустя четыре года Microsoft подготовила выпуск брандмауэра третьего поколения — ISA Server 2004. Новая версия предлагает еще более широкий диапазон функциональных возможностей, включая предназначенную для аппаратных реализаций версию, которая может представлять интерес для крупных предприятий.
Защита на уровне приложений и интеграция со службами Microsoft
Самое существенное усовершенствование, реализованное в ISA Server 2004, — глубокая проверка соединений по протоколу HTTP с учетом их состояний (т. е. фильтрация на уровне приложений). Такая возможность — настоящий подарок для предприятий, ориентированных на использование продуктов Microsoft, так как предполагает интеллектуальную фильтрацию входящего и исходящего сетевого трафика, порождаемого Microsoft Exchange Server, Internet Information Services (IIS) и Windows SharePoint Services (WSS). Возможно также использование политик ISA Server для активизации безопасных соединений между Exchange Server и Microsoft Outlook. При этом, однако, необходима настройка конфигурации клиента Outlook на использование безопасного удаленного вызова процедуры (RPC).
Для настройки элементов процедуры проверки пакетов как во входящем, так и в исходящем сетевом трафике, в ISA Server 2004 используется механизм, построенный на основе правил. Опытные пользователи могут настроить конфигурацию ISA Server 2004 на работу с инструментами помещения в карантин Windows 2003 VPN Quarantine, входящими в набор ресурсов Windows Server 2003 Resource Kit. Настройка конфигурации таких инструментов — дело непростое, однако результатом является гарантия, что клиентская система получает соединение с сетью только при условии установки самых последних исправлений в системе безопасности, которые считаются необходимыми в данной организации.
Более простые инструменты управления
В ISA Server 2004 реализована модернизированная управляющая консоль на базе технологии Microsoft Management Console (MMC), предлагающая простые программы-мастера и списки задач, облегчающие реализацию конфигураций с заданными свойствами для широкого диапазона сетевых топологий, поддерживаемых ISA Server. В частности, консоль явно упрощает настройку вновь приобретенного продукта ISA Server 2004 на функционирование в качестве пограничного сервера или узла в комбинированной среде, составленной из внутренней, периферийной, внешней, частной (VPN) и прочих сетевых зон, каждая из которых имеет собственные стратегии и правила маршрутизации. Особенно удачно спроектирован редактор политик, позволяющий, как в среде Visual Studio (VS), формировать политики, буквально «нанизывая» свойства на правила методом перетаскивания. Редактор построен на базе языка XML, что позволяет импортировать и экспортировать конфигурации для резервного копирования или распространения по нескольким узлам.
Трудно переоценить важность очень простого в применении нового пользовательского интерфейса. Неправильная настройка конфигурации брандмауэра является одной из основных причин нарушения межсетевой защиты. Простота конфигурации в сочетании с легкостью обновления программного решения обеспечивает технологии ISA Server 2004 преимущество над большинством аппаратно реализованных брандмауэров.
В ISA Server 2004 также реализована новая инструментальная панель текущего контроля, позволяющая получить итоговое представление о состоянии сеанса, предупреждениях, событиях, функционировании систем и другую информацию. Программа просмотра журналов в реальном времени обеспечивает отображение журналов брандмауэра, Web Proxy и SMTP Message Screener.
Поддержка аппаратных средств по выбору
Партнеры Microsoft, включая Celestix Networks, HP и Network Engines, планируют выпуск устройств межсетевой защиты на базе ISA Server, большей частью ориентированных на средние и крупные предприятия. Являясь, по существу, одноцелевыми серверами Windows 2003 с полузамкнутой архитектурой, эти устройства обеспечивают полный набор функциональных возможностей ISA Server 2004 и характеризуются гибкостью применения. Производители аппаратных средств предусматривают обслуживание таких устройств, используя единую точку соприкосновения во взаимодействии с клиентами по вопросам продаж, обслуживания и поддержки. Из-за высокого уровня цен (3 тыс. долл. и выше за младшие модели и 10 тыс. долл. и выше за решения в стоечном исполнении) эти брандмауэры не подходят для обслуживания предприятий малого бизнеса. Хотелось бы, чтобы результатом сотрудничества Microsoft с партнерами в области аппаратного обеспечения стало также появление недорогих вариантов устройств межсетевой защиты.
Рекомендации
ISA Server 2004, хотя и заметно усовершенствованный по сравнению с предшественником, все же имеет некоторые слабые стороны. Так, существенным недостатком является неполная интеграция с технологией Microsoft Small Business Server (SBS) 2003 и ее уникальными инструментами управления. Однако, по словам представителей Microsoft, работа над интеграцией с SBS 2003 ведется, что в перспективе должно привести к появлению более изящного решения. Далее, широкое развертывание функциональных возможностей технологии помещения в карантин невозможно до выхода обновления Windows 2003 под кодовым названием R2 (Release 2) с более развитыми функциями карантина. Наконец, технология ISA Server 2004 явно ориентирована на продукты Microsoft. Возможность работы технологии в неоднородных средах предусмотрена, однако интеграция с серверами, не относящимися к продуктам Microsoft, возможна лишь при условии выпуска независимыми разработчиками продуктов для расширения систем на основе наращиваемой платформы ISA.
Поль Тюрро — редактор новостей в Windows 2000 Magazine. Готовит еженедельные выпуски Windows 2000 Magazine UPDATE (http://www.win2000mag.net/email), а также ежедневные выпуски новостей WinInfo (http://www.wininformant.com/). С ним можно связаться по адресу: thurott@win2000mag.com