Цель этой статьи заключается в том, чтобы познакомить вас с
брандмауэром ISA firewall и помочь вам узнать об его
возможностях и инструментах.
Недавно я встречался с некоторыми покупателями и
консультантами, которые напомнили мне о ситуации, о которой я
давно знал. Знаете ли вы, что большинство людей в
действительности не знают, что такое брандмауэр ISA firewall,
и что он делает? Я думаю, некоторое замешательство вносит
название продукта. Во-первых, существует “Internet Security
and Acceleration (безопасность и ускорение интернета)”,
которая в действительности ничего вам не говорит о назначении
и функциях продукта, а во-вторых, добавьте название “Server
(сервер)” к названию продукта, и вы приведете в замешательство
еще больше людей, т.к. большинство людей не ассоциируют
брандмауэр с сервером брандмауэра.
Конечно, люди могут зайти на сайт Microsoft
Web site и попытаться выяснить, что такое
брандмауэр ISA firewall, и для чего он нужен. Но как и
большинство страниц на сайте Microsoft.com, он сложно читаются
и часто бывает непонятно, что это за продукт и для чего он
необходим. Вы сможете увидеть, что его называют “security
gateway (шлюз безопасности)”, что является модным термином в
бизнесе. Вы можете также услышать название “secure application
publishing (безопасная публикация приложений)”. Хорошо, а что
же это такое в общем? Проблема заключается в том, что
покупатели и консультанты не всегда хорошо понимают
маркетинговый язык, а просто хотят узнать, что такое
брандмауэр ISA firewall, и для чего он нужен.
ISA Server 2006 – это новейшая версия продукта Microsoft из
серии Internet Security and Acceleration Server. Впервые
представленный в декабре 2000, ISA Server 2000 был первой
версией продукта под названием ISA Server. Основная
обновленная версия ISA Server была выпущена в мае 2004 и была
окрещена ISA Server 2004. В эту версию были включены
значительные изменения и доработки, в результате чего он в
встал в одни ряд с другими мощными брандмауэрами и другими
продуктами, касающихся компьютерной безопасности, таких как
Check Point NG, Cisco PIX/ASA и Blue Coat. Для большинства
людей ISA Server 2006 был выпущен в августе 2006.
ISA Server 2006 – это многофункциональный продукт, который
был разработан для того, чтобы удовлетворить уникальным
требованиям виртуальности любой организации. Совмещая в себе
роли интегрированного брандмауэра (integrated firewall), Web
прокси (proxy), VPN сервер и шлюза (gateway), ISA Server 2006
можно настроить для работы в каждой из этих ролей или набора
этих ролей. Такая гибкость позволяет вам установить ISA Server
в вашей сети с минимальными изменениями вашей действующей
инфраструктуры и запустить необходимые вам службы безопасности
(security services).
Для того, что бы помочь вам понять, что может сделать ISA
Server или шлюз безопасности (security gateway) серии NS9200
для обеспечения безопасности основных приложений и серверов
вашей сети, мы обсудим следующие темы:
- Что такое ISA Server 2006?
- Что появилось нового и улучшенного в ISA Server 2006
- В чем различие между стандартной версией ISA Server 2006
Standard Edition и корпоративной версией (Enterprise
Edition)?
Что такое сервер ISA Server 2006?
ISA Server 2006 – это много продуктов в одном. В одном
программном пакете вы получаете:
- Брандмауэр сетевого уровня (network layer firewall)
- Безопасный шлюз проверки на прикладном уровне
(application layer inspection security gateway)
- Прямой (Forward) и обратный (reverse) Web прокси (proxy)
и кэш-сервер (caching server)
- Сервер удаленного доступа к VPN
- Шлюз Site to site VPN
Брандмауэр сетевого уровня
ISA Server 2006, также как и брандмауэры из серии Check
Point NG и Cisco PIX/ASA, это брандмауэр, который выполняет
проверку пакетов (stateful packet inspection firewall). Такой
брандмауэр имеет возможность просматривать информацию IP
(Internet Protocol) и проверять, что злоумышленники не смогут
воспользоваться уязвимостью в безопасности на сетевом уровне
(network layer). ISA 2006 способен обнаруживать и защищать от
атак на сетевом уровне таким образом, что злоумышленники из
интернета или даже из вашей собственной организации не смогут
отключить или перехватить контроль над брандмауэром ISA 2006
firewall.
Брандмауэры с проверкой пакетов появились в 1990. Однако с
тех пор, последствия атак на сетевом уровне значительно
возросла. В то время, как злоумышленники конца 20-го века были
заинтересованы в отключении брандмауэра и уничтожения Web
сайтов для поднятия собственного эго, то современные хакеры
больше заинтересованы в получении и уничтожении корпоративной
информации для собственной выгоды. Современные сетевые
взломщики не заинтересованы в атаках на брандмауэр или
уничтожении Web сервера, они более заинтересованы в том, чтобы
пройти под радаром и украсть, изменить или уничтожить
данные.
Шлюз проверки безопасности на прикладном уровне
(Application Layer Inspection Security Gateway)
Брандмауэры, выполняющие проверку пакетов, не могут
определить, на что конкретно направлена атака – против Web
сервера, почтового сервера (mail server), FTP сервера или
против еще какого-нибудь сетевого приложения. Все что могут
брандмауэра такого типа – это защитить вашу сеть от простых
сетевых атак. По этой причине необходимо также, чтобы
брандмауэр проводил проверку на прикладном уровне (application
layer inspection firewall) или необходим безопасный шлюз
(security gateway).
После выхода сервера ISA Server 2000 в декабре 2000, он
быстро стал лидером в области брандмауэров, выполняющих
проверку на прикладном уровне. До выхода сервера ISA Server
2000 золотым стандартом (Gold Standard) для брандмауэров был
Cisco PIX. PIX был простым брандмауэром с проверкой пакетов и
не мог защитить сеть от сложных атак на прикладном уровне, с
помощью которых современные хакеры пытались украсть, изменить
или уничтожить корпоративные данные.
ISA 2006 продолжает традиции ISA Server и остается лидером
среди брандмауэров с проверкой на прикладном уровне
(application layer inspection firewall) и безопасным шлюзом
(security gateway). В действительности, ISA Server называют
шлюзом безопасности (secure gateway), а не брандмауэром, т.к.
изначально брандмауэром называли устройство, которое выполняло
только проверку пакетов. Брандмауэр ISA 2006 объединяет в себе
как проверку пакетов (stateful packet inspection), так и
проверку прикладного уровня (application layer inspection) и
представляет собой мощное решение сетевого шлюза безопасности
(network security gateway).
Прямой (Forward) и обратный (Reverse) Web прокси (Proxy) и
кэш-сервер (Caching Server)
Сервер Web прокси (proxy) – это машина, которая принимает
Web соединения от Web браузеров и других Web приложений и
передает эти соединения результирующему Web серверу, в адрес
которого пользователь отправлял свой запрос. Сервер Web прокси
(proxy) может принимать соединения от пользователей в вашей
корпоративной сети (corporate network) и передавать их на
Internet Web сервер или он может принимать входящие соединения
к Web серверам и службам в вашей корпоративной сети и
передавать их на сервера компании.
Когда брандмауэр ISA Server 2006 firewall работает, как
сервер Web прокси (proxy), то знает обо всех соединениях,
проходящих через него. Это позволяет службам Web прокси
брандмауэра ISA firewall обеспечить значительный уровень
безопасности для Web соединений и защитить вашу сеть от
вирусов, червей, попыток взлома, включая идентификацию и
авторизацию пользователей перед тем, как разрешить им пройти
через брандмауэр ISA firewall, Web proxy и кэш-сервер (caching
server).
Когда службы Web proxy брандмауэра ISA firewall
перехватывают Web соединения, они могут выполнять различные
проверки для защиты вашей сети. Некоторые из них включают:
- Предварительную аутентификацию (Pre-authenticating)
пользователя на брандмауэре ISA firewall, Web proxy и
кэш-сервере (caching server) для отправки входящих
соединений к корпоративным Web серверам и почтовым серверам
(mail server). Когда предварительная аутентификация
выполняется на брандмауэре ISA firewall, это позволяет
избежать появления анонимных пользователей (anonymous
users), выходящих в интернет из вашей сети. Т.к. у
злоумышленников нет доступа к правильными учетным записям и
паролям пользователей, то они не смогут атаковать ваши Web
сервера
- Прозрачную аутентификацию (Transparently authentication)
пользователей в корпоративной сети перед тем, как разрешать
им выходить в интернет. Это позволяет ISA Server записывать
имена пользователей для всех соединений, которые были
сделаны через брандмауэр ISA firewall, и в результате чего
вся эта информацию попадет в журнал событий и отчеты
- Выполнение глубокой проверки на прикладном уровне
(application layer inspection) всех Web соединений,
проходящих через брандмауэр ISA firewall с помощью фильтра
безопасности ISA HTTP Security Filter. Этот фильтр для
проверки прикладного уровня (application layer inspection
filter) позволяет брандмауэру ISA firewall очищать Web
сессии и удалять из нее подозрительные и потенциально
опасные HTTP команды и данные, которые могут повредить вашей
сети
- Контроль Web сайтов, которые разрешено посещать
пользователям, времени суток, когда пользователи могут
подключаться, а также контроль типов информации, которые
пользователи могут загружать из Web. Например, вы можете
использовать возможности Web прокси брандмауэра ISA firewall
для блокирования доступа к выполняемым файлам (executable
file), медиа файлам и документам, например Microsoft Word
- Кэширование информации, запрашиваемой пользователями для
ускорения работы с интернет и экономии трафика. Когда
пользователь из корпоративной сети запрашивает Web страницу,
ISA 2006 помещает эту Web страницу в Web кэш (cache).
Брандмауэр ISA firewall хранит эту информацию, и когда
другой пользователь совершает запрос к той же самой
странице, эта Web страница достается из Web кэша (cache) и
передается пользователю. В результате мы экономим время и
трафик, а у пользователя появляется возможность более
быстрого доступа к информации.
Сервер удаленного доступа к VPN (Remote Access VPN
Server)
Все большему числу сотрудников необходим доступ к
информации, которая хранится в корпоративной сети, когда они
находятся вне офиса в дороге. Сотрудникам необходим доступ к
документам Word, файлам PowerPoint, базам данных и многому
другому в то время, когда они находятся в дороге, или во время
работы на дому. Еще более важный аспект бизнеса – это
возможность предоставления сторонним рабочим (off-site worker)
доступа к корпоративной информации в случае особой
необходимости, когда сотрудники не могут покинуть свои дома.
Одни из наиболее безопасных способ, с помощью которого
сотрудники могут получить доступ к этой информации – это
использовать VPN сервер удаленного доступа (remote access VPN
server).
Сервер VPN (virtual private networking – виртуальная
частная сеть) позволяет внешним пользователям подключаться к
корпоративной сети с ноутбука или рабочей станции из любого
места в мире. После того, как пользователь создает безопасное
VPN соединение, то компьютер это пользователя, также как и
компьютер расположенный в офисе может иметь доступ к
информации, хранящейся на любом сервере внутри корпоративной
сети.
Одним из недостатков традиционных решений VPN серверов,
предлагаемых поставщиками, является то, что после того, как
пользователь подключается к VPN серверу, то у этого
пользователя есть доступ к любому ресурсу в корпоративной сети
(corporate network). Проблема здесь заключается в том, что
компьютеры удаленных пользователей, которые используются для
подключения к корпоративной сети, обычно являются
неуправляемыми машинами, и поэтому возрастает опасность
заражения вирусом или червем.
В сервере ISA Server 2006 эта дыра в безопасности в обычных
аппаратных “hardware” VPN сервер закрыта с помощью трех мощных
методов:
- Мощный контроль доступа, основанный на
пользователях/группах и использование принципа наименьших
прав для удаленных соединений VPN
- Проверка на прикладном уровне (Application layer
inspection) для всех удаленных VPN соединений
- Карантийный контроль ISA 2006 VPN Quarantine Control
Мощный контроль доступа, основанный на
пользователях/группах и использование принципа наименьших прав
для удаленных соединений VPN
ISA 2006 позволяет вам контролировать доступ к ресурсам,
основываясь на учетной записи пользователя и его членстве в
группе. Политика доступа (Access policy) усиливается таким
образом, что в противоположность к обычным аппаратным
“hardware” VPN серверам, у пользователей есть доступ только к
определенным приложениям и не к чему больше. Пользователям VPN
не разрешен свободный доступ ко всей корпоративной сети, а
лишь к ресурсам, необходимым для их работы
Проверка на прикладном уровне (Application Layer
Inspection) для всех удаленных VPN соединений
Выжившие после появления червя Blaster worm могут
рассказать, что у них было фальшивое чувство безопасности,
когда они настроили свои интернет брандмауэры для блокирования
доступа к своей сети из интернет. Эти компании были
по-прежнему инфицированы Blaster, но не из интернет, а от VPN
пользователей. Эти компании использовали традиционные
аппаратные VPN сервера для удаленного доступа, которые не
могли проводить проверку прикладного уровня для VPN
пользователей.
В противоположность традиционным VPN серверам удаленного
доступа (remote access VPN server), ISA 2006 выполняет
проверку пакетов (stateful packet) и проверку прикладного
уровня (application layer inspection) для всего трафика,
проходящего через VPN канал. Черви, наподобие Blaster, не
могут инфицировать корпоративную сеть через VPN соединение,
т.к. умный фильтр проверки на прикладном уровне (smart RPC
application layer inspection filter) брандмауэра ISA firewall
блокирует опасный трафик. Эта возможность проверки трафика на
прикладном уровне позволяет брандмауэру ISA firewall защитить
вас от зараженных компьютеров VPN клиентов точно также, как он
защищает вас от опасности из интернет.
Карантийный контроль ISA Server 2006 VPN Quarantine
ControlДля усиленной защиты удаленного доступа от VPN
клиента, VPN сервер удаленного доступа (remote access VPN
server) должен уметь изменять статус безопасности и общее
состояние машины, которая подключается с помощью удаленного
VPN канала. Это позволяет вам более тщательно проверять машины
с минимальными требованиями к безопасности перед тем, как
разрешить им доступ к корпоративной сети.
ISA Server 2006 решил эту проблему, реализовав карантийный
контроль Remote Access VPN Quarantine (VPN-Q). Возможность
VPN-Q позволяет вам настроить набор параметров, которым должны
удовлетворять системы VPN клиента для того, чтобы получить
доступ к ресурсам в корпоративной сети. Если система VPN
клиента не удовлетворяет этим проверкам безопасности, то вы
можете настроить инструмент VPN-Q для автоматического
обновления и настройки VPN клиентов, для того чтобы они смогли
пройти эту проверку. Если клиенты VPN не могут быть полностью
обновлены, то соединение прерывается. Это позволяет защитить
вашу компанию от зараженных компьютеров, которые могут
атаковать или уничтожить информацию вашей компании.
Шлюз Site to Site VPN Gateway
Все мы надеемся, что наши компании вырастут до таких
размеров, что появятся дочерние офисы (branch offices). Но с
появлением дочерних офисов (branch office) увеличивается
сложность и стоимость затрат, на подключение этих дочерних
офисов к ресурсам главного офиса (main office).
Существует набор настроек для подключения дочернего офиса
(branch office) к главному офису (main office), среди них:
- Выделенный WAN канал, предоставляемый поставщиками telco
- Управляемые VPN сети, предоставляемые поставщиками telco
и ISP
- Корпоративно управляемые VPN site to site VPN сети,
уничтожаемые на VPN шлюзах (gateway) компании
- Ограниченная доступность, с помощью публикации
корпоративных ресурсов
Выделенный (Dedicated) WAN канал и управляемые VPN – это
прекрасное решение для компаний, для которых не важна цена
вопроса. Эти настройки могут быть слишком дорогостоящими для
организаций, которые заинтересованы в снижении финансовых
затрат при организации взаимодействий такого типа.
VPN шлюз (gateway) позволяет вам подключить ваш главный
офис (main office) ко всем вашим дочерним офисам (branch
offices) с помощью недорогих интернет соединений, и сделать
это достаточно безопасным способом. Каждый брандмауэр ISA
firewall и шлюз безопасности (security gateway) в дочернем и
главном офисе обеспечивает мощную проверку пакетов (stateful
packet inspection) и проверку на прикладном уровне
(application layer inspection) для информации, перемещающейся
по site to site VPN каналам. Дополнительно, все соединения,
выполненные пользователями из дочерних офисов (branch office)
заносятся в журнал, чтобы таким образом у вас была полная
история взаимодействия пользователей дочерних офисов с
ресурсами главного офиса.
Что нового в ISA Server 2006?
Корни ISA Server изначально были в Microsoft Proxy Server
2.0. ISA Server 2000 представляет собой сильно переделанную
версию продукта Microsoft Proxy Server, трансформированного с
простого прокси сервера в многофункциональный сетевой
брандмауэр (network firewall) и шлюз безопасности с проверкой
прикладного уровня (application layer security gateway).
Другая важная переделка продукта под названием ISA firewall с
100 улучшений и изменений, произошла с появлением брандмауэра
ISA 2004 firewall. В противоположность к предыдущей версии ISA
Server, новый брандмауэр ISA 2006 firewall, Web proxy и
кэш-сервер представляет собой серьезный продукт.
Основные улучшения, включенные в ISA 2006 коснулись
безопасности Web публикаций, улучшения производительности
работы и отказоустойчивости дочерних офисов, а также защиты от
червей и флуда. В таблице 1 приведены некоторые описания этих
улучшений.
Новое в сервере ISA 2006
Описание
Secure Web Publishing (безопасность Web
публикации) |
ISA 2006 содержит некоторое число улучшений,
обеспечивающих безопасность удаленного доступа к Web
серверам и службам в корпоративной сети. Некоторые из
них включают: Новый помощник SharePoint Portal Server
Publishing Wizard Улучшенный доступ к Outlook Web Access
(OWA), Outlook Mobile Access (OMA), Exchange ActiveSync
(EAS) и помощник Outlook 2003+ RPC/HTTP Web Publishing
Wizard Увеличено количество параметров для
аутентификации (two factor authentication), включая
SecureID и пароли RADIUS One-time passwords Новая
делегация Kerberos позволяет удаленным пользователям с
ноутбуками и мобильными устройствами с операционной
системой Windows использовать их сертификаты
безопасности (secure user certificates) для
аутентификации на брандмауэре ISA firewall Новая
аутентификация LDAP authentication позволяет поместить
ISA 2006 в высоко безопасной DMZ и использовать группы
Active Directory Баланс нагрузки Web farm load
balancing. Эта новая возможность позволяет публиковать
набор Web серверов, которые выполняют похожую функцию
или содержат похожие данные. ISA Server выполняет это не
требуя NLB или аппаратного обеспечения для баланса
нагрузки (hardware load balancer), с большой легкостью
установки и заметно снижает затраты на аппаратный
балансировщик нагрузки. |
Branch office security gateway (шлюз безопасности
дочернего офиса) |
ISA 2006 содержит набор новых и улучшенных
возможностей, которые делают его великолепным выбором
для шлюза безопасности дочернего офиса (branch office
security gateway). Среди них: Сжатие HTTP compression
для канала, проходящего между основным (main) и дочерним
(branch) офисом Инструмент Diffserv Quality of Service
(QoS) включает брандмауэр ISA firewall в служебную групп
Diffserv и обеспечивает защиту соединений к критическим
серверам BITS кэширование снижает стоимость и нагрузку
на каналы, соединяющие главный и дочерний офисы путем
снижения количества запросов за обновлениями Microsoft
updates Новый помощник site to site VPN wizard облегчает
работу с брандмауэром ISA firewall в дочернем офисе
благодаря файлу ответов, созданному администратором
брандмауэра ISA firewall в главном офисе |
Worm and flood protection (защита от червей и
флуда) |
ISA 2004 содержит инструмент для защиты от червей и
флуда (worm and flood protection), который защищает сеть
и брандмауэр ISA firewall от атак червей. В брандмауэр
ISA 2006 эта защита от червей и флуда ялвяется
встроенной возможностью, в результате чего повышается
уровень безопасности сети. |
Таблица 1: Новые и улучшенные возможности
в ISA 2006
Стандартная версия (Standard Edition) или корпоративная
версия (Enterprise Edition)?
Есть две версии сервера ISA Server 2006. Это:
- ISA Server 2006 Standard Edition (стандартная версия)
- ISA Server 2006 Enterprise Edition (корпоративная
версия)
ISA 2006 Standard Edition (стандартная версия) нацелена на
небольшие и средние компании с количеством пользователей от 75
до 500. ISA 2006 Standard Edition сравним с брандмауэрами PIX
или ASA, которые используются для одного сайта или для
отдельно стоящего брандмауэра. Управление брандмауэром ISA
2006 Standard Edition выполняется конкретно для машины.
Напротив, брандмауэр ISA 2006 Enterprise Edition
(корпоративная версия) спроектирован для средних и крупных
компаний, в которых несколько брандмауэров расположено в
основном офисе (main office) и потенциально тысячи
брандмауэров ISA firewall расположены в дочерних офисах
(branch offices) по всему миру, обслуживая 500-100,000
пользователей. Корпоративная версия (Enterprise Edition)
брандмауэра ISA 2006 firewall, Web прокси (proxy) и кэш-сервер
(caching server) предоставляет возможности, необходимые для
средних и крупных корпораций, включая централизованное
управление и настройку, производительность машины в
многогигабайтном интервале, интеллектуальный контроль нагрузки
и кэширования, которые приводят к оптимальной
производительности для крупных компаний.
Резюме
Целью этой статьи было рассказать вам о брандмауэре ISA
firewall и помочь вам узнать об его возможностях и
инструментах. Брандмауэр ISA firewall – это сложное решение
для обеспечения сетевой безопасности (network security
solution), которое обеспечивает защиту на границе и по
периметру сети, сервер удаленного доступа (remote access VPN
server), шлюз site to site VPN gateway, Web прокси (proxy) и
кэш-сервер в одном продукте.
Все из этих инструментов могут быть установлены
одновременно на одном устройстве, или же вы можете установить
брандмауэр ISA firewall для работы в качестве некоторых из
этих ролей. В своей основе брандмауэр ISA firewall – это
сетевой брандмауэр (etwork firewall) одного уровня с Cisco
PIX/ASA или Check Point, но обладающей дополнительной
функциональностью Web прокси (proxy) и кэш-сервера, которой
нет в Cisco и Check Point.
Брандмауэр ISA firewall – это также высокопроизводительный
продукт, легко поддерживающий проверку пакетов свыше 1.5Gbps
(stateful packet inspection) и свыше 300Mbps проверку на
прикладном уровне Web proxy (application layer inspection).
Брандмауэр ISA firewalls поставляется в двух версиях: Standard
Edition (стандартная версия) для среднего бизнеса без дочерних
офисов, и Enterprise Edition (корпоративная версия),
спроектированная для средних и крупных компаний, для которых
необходима централизованная поддержка установки, настройки и
управления распределенных брандмауэров и Web proxy.