Для чего обновлять брандмауэры ISA до версии 2006?

Многие люди, которые в настоящее время используют ISA 2000 или 2004, хотят знать, для чего им нужно переходить на брандмауэры ISA 2006. В то время как убедить людей перейти с ISA Server 2000 на ISA 2004 было очень просто благодаря значительным улучшениям, которые появились в ISA 2004 по сравнению с ISA Server 2000, изменения в ISA 2006 по сравнению с ISA 2004 более значительны и обеспечивают гораздо более плавный переход, чем переход с 2000 на 2004.

Если вы поверхностно посмотрите на ISA 2006, то новые возможности ISA 2006 по сравнению с 2004 очень сложно увидеть. Пользовательский интерфейс остался прежним, сетевая модель та же, ничего не изменилось в том, как брандмауэр ISA осуществляет внешний контроль за доступом, а также ничего не изменилось в основном наборе сетевых возможностей.

Основные изменения в брандмауэре ISA 2006 firewall коснулись безопасности веб публикаций (Web publishing). Другое важное различие между ISA 2006 и ISA 2004 заключается в том, что ISA 2006 обладает более мощным механизмом по обработке атак червей. Некоторые брандмауэры ISA 2004 страдали от таких атак. ISA 2006 использует встроенный механизм, чтобы избежать переполнения пула памяти, поэтому даже под очень мощной атакой направленной на возникновения отказа в обслуживании, брандмауэр ISA 2006 способен выстоят, в то время как ISA 2004 прекращал свою работу и ему требовалась перезагрузка.

При рассмотрении перехода на новый брандмауэр ISA Firewall, необходимо учесть следующее:

• Защита от червей в ISA 2006 увеличивает время работы и стабильность
• Были сделаны значительные улучшения в обеспечении безопасности для удаленного доступа к Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync (EAS) и RPC/HTTP (Outlook Anywhere). Вы можете делать такие вещи, как настраивать форму для входа, включить изменение пароля с формы для входа, а также автоматически информировать пользователей о дате изменения пароля
• Те из вас, кто использовал сервера SharePoint Portal могли страдать от незаконченной функциональности при использовании ISA 2004. Если вы используете сервера SharePoint Portal, то вы сможете насладиться полной функциональность при публикации с помощью ISA 2006 firewall, т.к. он был специально спроектирован для обеспечения безопасного удаленного доступа к серверам SharePoint Portal Servers
• Для всех ваших публикуемых веб сайтов, включая сайты Exchange и серверов SharePoint Portal Server, вы можете использовать аутентификацию, основанную на формах (forms-based authentication) для любого типа сценариев веб публикаций, и такое редактирование форм для входа теперь полностью поддерживается компанией Microsoft
• Для тех из вас, кто занимается публикацией безопасных сайтов, для которых необходима предварительная аутентификация на брандмауэре ISA, существуют дополнительные механизмы аутентификации, включая аутентификацию LDAP и RADIUS One-time password. Оба эти метода аутентификации позволяют брандмауэру ISA, публикующему веб сайты, быть удаленным от домена Active Directory, но по-прежнему производить аутентификацию пользователей, принадлежащих домену. RADIUS OTP позволяет тем из вас, кто не хочет использовать SecurID, воспользоваться другой настройкой двухфакторной аутентификации.
• Любой человек, заинтересованный в публикации веб ферм (Web farm) получит преимущества от перехода от ISA 2004 к ISA 2006. Это особенно верно для тех из вас, кто использует front-end Exchange Servers и хочет иметь два или более front-end сервера Exchange. То же самое верно и для серверов клиентского доступа Client Access Servers. Возможность балансирования нагрузки между веб фермами, встроенная в ISA 2006, позволяет избавиться от требования сервера FE/Client Access Server клиентам SecureNET, если NLB была включена на массиве серверов FE Exchange Server. В действительности возможность балансирования нагрузки в ISA 2006 полностью убирает требование для NLB для массива серверов FE Exchange Server.

Хотя может показаться, что лишь небольшой набор инструментов отличает 2004 от 2006, улучшения, включенные в ISA Server 2006 достойны того, чтобы любая компания, которая занимается публикацией веб сайтов, воспользовалась ими. С первого взгляда может показаться, что в нем представлен лишь небольшой процент всего набора возможностей брандмауэра ISA firewall, но я вас уверяю, что он лучший для обеспечения безопасности реверсивных веб прокси (reverse Web proxy), и это именно тот набор возможностей, на котором должна сфокусироваться команда разработчиков.

Что нового в ISA Server 2006
Новая возможность	Что она делает
Балансирование нагрузки между веб фермами (Web Farm Load Balancing) НОВАЯ	Балансирование нагрузки между веб фермами в ISA 2006 позволяет администратору брандмауэра ISA публиковать ферму веб серверов, на которых размещается похожее содержимое, или которые выполняют аналогичные роли. Брандмауэр ISA firewall обеспечивает, как балансирование нагрузки (load balancing) и отказоустойчивость, так и точки восстановления для опубликованных веб ферм, и не требует подключения NLB для массива брандмауэров ISA или веб ферм. Вы выираете от использования этой возможности, т.к. не нужно подключать NLB на ферме (что должно потребовать, чтобы члены веб фермы были клиентами SecureNET) и вам не нужно заказывать дорогостоящее внешнее средство для балансировки нагрузки, такой как F5.
Поддержка аутентификации, основанной на формах для все правил веб публикаций (Web Publishing Rule) НОВАЯ	В ISA 2004 аутентификация, основанная на формах, поддерживалась лишь для правил публикации Outlook Web Access Web Publishing Rules. В ISA Server 2006 расширена поддержка аутентификации, основанной на формах, для всех веб сайтов, опубликованных с помощью правил веб публикаций (Web Publishing Rules).
Делегирование, ограниченное Kerberos НОВАЯ	В ISA 2004 аутентификация при помощи пользовательских сертификатов (User Certificate authentication) могла быть осуществлена лишь брандмауэром ISA firewall, но полномочия пользователя нельзя было передать на опубликованный веб сервер. В результате чего появляется много окон подтверждения. В ISA Server 2006 пользователь может пройти предварительную аутентификацию на брандмауэре ISA, а затем его полномочия будут делегированы в качестве полномочий Kerberos на опубликованные веб сервера.
Улучшенная делегация аутентификации	ISA 2004 поддерживал лишь делегацию основной аутентификации (basic authentication). В ISA Server 2006 улучшена поддержка делегации аутентификации с помощью делегации полномочий в Kerberos, Integrated, Negotiate или основной. Это увеличивает гибкость разработки для брандмауэров ISA, т.к. многие опубликованные веб сервера не поддерживают основную аутентификацию (basic authentication). Дополнительно увеличивается безопасность в сценариях веб публикаций, где связь SSL к SSL невозможна, а также защищает от перехвата полномочий.
Отдельное преобразование названия в имени CONNECT в правилах веб публикаций (Web Publishing Rule) НОВАЯ	В ISA 2004 одно и то же название использовалось для преобразования названия и для названия CONNECT, которое посылалось опубликованному веб серверу. Это приводило к возникновению ситуации, когда администратор брандмауэра ISA должен был создавать отдельный DNS, или вводить дополнительные строки в файл HOSTS на брандмауэре ISA, чтобы это имя CONNECT преобразовывалось в IP адрес опубликованного сервера во внутренней сети. В ISA Server 2006 эта проблема решена введением дополнительного названия или IP адреса, которое отлично от названия CONNECT, используемого в правиле Web Publishing Rule.
Улучшенный помощник Exchange Server Web Publishing Rule Wizard	Помощник для веб публикаций ISA Server 2006 Exchange Server Web Publishing Wizard содержит ряд улучшений, которые еще больше упрощают процесс публикации всех версий Exchange, с версии 5.5 до 2007.
Встроенная поддержка для изменения пароля на форме для входа НОВАЯ	В ISA 2004 не было возможности, которая позволила бы пользователям изменить их пароль при использовании аутентификации, основанной на формах. В ISA Server 2006 решена эта проблема с помощью возможности для пользователя изменить свой пароль прямо в форме для входа. Никаких особенных задач по конфигурации не требуется для брандмауэра ISA или для опубликованного OWA Server
Встроенная поддержка уведомления о смене пароля в форме для входа НОВАЯ	В ISA 2004 не существовало возможности информирования пользователя о сроках истечения пароля пользователя. В ISA 2006 решена эта проблема. Теперь у администратора брандмауэра ISA есть возможность информирования пользователей о сроках действия пароля. Вы можете настроить период предупреждения, указав количество дней, когда начнет появляться предупреждение о сроках истечения пароля.
Улучшен помощник Mail Server Publishing Wizard	В ISA 2004 один помощник Mail Server Publishing Wizard использовался для публикации как для Exchange Web служб, так и не веб служб. В ISA Server 2006 задачи по публикации Web отделены от других задач, за это отвечают два различных помощника, в результате чего проще публиковать протоколы для почтового сервера Exchange.
Помощник SharePoint Portal Server Publishing Wizard НОВАЯ	Существовала возмоность публикации серверов SharePoint Portal Servers с помощью ISA 2004, но этот процесс было очень сложным и не все возможности были доступны из интернет (Internet) из-за проблемы преобразования ссылок. В ISA Server 2006 решена эта проблема за счет улучшенной поддержки публикации серверов SharePoint Portal Server и обновленного справочника преобразования ссылок, которые берут на себя всю сложность успешной установки серверов SharePoint Portal Server.
Единая подпись НОВАЯ	Одна из самых запрашиваемых возможностей, которой не существовало в ISA 2004 – это единственная подпись. В ISA 2004 пользователи должны были заново проходить аутентификацию, даже если они подключались к веб серверу, расположенному в том же домене, что и оригинальный веб сервер. В ISA Server 2006 эта проблема решена за счет включения единственной подписи на базе домена. Если несколько веб сайтов принадлежат одному домену, и опубликованы для одного и того же слушателя, то пользователям не нужно заново проходить аутентификацию, используются кэшированные полномочия.
Поддержка шаблонных сертификатов на опубликованных серверах Web Server НОВАЯ	ISA 2004 поддерживал шаблонные сертификаты на своих веб слушателях, но не поддерживал шаблонные сертификаты на опубликованных веб серверах, расположенных за брандмауэром ISA. В ISA Server 2006 улучшена поддержка шаблонных сертификатов. Администраторы брандмауэра ISA разрешено использовать шаблонные сертификаты на опубликованных веб серверах.
Улучшенные ограничения для клиентских сертификатов (Client Certificate Restrictions) и настраиваемые списки доверия НОВАЯ	Абсолютно новая возможность, включенная в состав ISA Server 2006, это Улучшенные ограничения для клиентских сертификатов (Client Certificate Restrictions) и настраиваемые списки доверия. Инструмент Client Certificate Restrictions позволяет вам задать ограничения для сертификатов, которые пользователи могут предоставлять в том случае, если включена аутентификация на основе пользовательских сертификатов (User Certificate authentication). Ограничения могут быть заданы на основе: Отправитель (Issuer) Тема (Subject) Использование улучшенного ключа (Enhanced Key Usage) Расширения (Extensions) Дополнительно, вы можете задавать ограничения на OID (ID объекта), представленном в сертификате пользователя Настраиваемые списки доверия (Configurable Trust List) позволяют вам задавать определенные проверенные CA на основе веб слушателей. Этот список проверенных CA отличается от того списка, который представлен на компьютере с брандмауэром. Это позволяет администратору брандмауэра ISA ограничить сертификаты пользователя, которые могут быть использованы для аутентификации на брандмауэре ISA, лишь определенным набором CA, например, частными CA компании. Это позволяет вам реализовать аутентификацию на основе сертификатов пользователя (User Certificate Authentication), как метод для ограничения доступа, ограничившись лишь корпоративными устройствами и компьютерами, например, PDA и PDA телефонами.
Возврат к основной аутентификации для не браузерных клиентов НОВАЯ	Одна из основных проблем, которая возникала у администраторов брандмауэра ISA с ISA 2004, заключалась в том, что когда нужно было создать два слушателя, то необходимо было использовать два различных сертификата для публикации RPC/HTTP и OWA сайтов, если на веб слушателе (OWA Web listener) была включена аутентификация, основанная на формах. В ISA Server 2006 эта проблема решена с помощью обнаружения агентской пользовательской строки в клиентском запросе, и в том случае, если клиент не является веб браузером, необходимо заново пройти аутентификацию. Это позволяет вам опубликовать OWA с включенной аутентификацией на основе форм, а также RPC/HTTP, используя тот же самый веб слушатель (Web listener). В конечном итоге, если у вас всего лишь один внешний IP адрес, то OWA с FBA и RPC/HTTP можно опубликовать, используя этот единственный IP адрес, что было невозможно в ISA 2004.
Улучшенный справочник преобразования ссылок (Enhanced Link Translation Dictionary)	Справочники преобразования ссылок используются для изменения содержимого страниц, возвращаемых внешним пользователям. Это очень полезно, когда веб приложения используют частные имена компьютеров в ответах, отсылаемых внешним пользователям, т.к. внешние клиенты не могут подключиться к серверам, используя внутренние имена. В ISA Server 2006 включен улучшенный справочник преобразования ссылок, который автоматически заполняется в зависимости от настроек ваших правил публикаций (Web Publishing Rules). Это позволяет администратору брандмауэра ISA обеспечить удобный доступ для внешних пользователей к нескольким сайтам, опубликованным на брандмауэре ISA. Например, эта возможность позволяет пользователям OWA получать ссылки на сообщения SharePoint Portal Server на свой электронный ящик OWA и автоматически обращаться к этим ссылкам, при этом не требуется сложное изменение конфигурации OWA и сервера SharePoint Portal Server.
Перекрестное преобразование ссылок (Cross array link translation) НОВАЯ	Перекрестное преобразование ссылок позволяет вам опубликовать веб сайты на нескольких массивах и иметь справочник преобразования ссылок, доступный для всех массивов в корпоративной группе ISA Enterprise Edition group. Это существенно упрощяет крупную установку благодаря автоматическому заполнению списка преобразованных ссылок, освобождая тем самым от ручного изменения конфигурации.
Улучшенная поддержка CARP в ISA 2006 Enterprise Edition	С выходом ISA 2004 SP2 были сделаны изменения в алгоритме CARP. Эти изменения перешли и в ISA Server 2006, поэтому вместо создания исключений CARP для URL, которые вы не желаете балансировать, вы создаете исключения CARP для URL, которые вы хотите балансировать. Это изменение было сделано в контексте другого изменения, включенного в ISA 2004 SP2, когда вместо использования URL для предопределения, какой член массива будет обрабатывать запрос, стал использоваться FQDN. Это позволяет избежать проблем с обработкой сессии для соединений, которые могут быть распределены на нескольких членах массива.
BITS кэширование для сайтов обновления Microsoft Update Sites	BITS кэширование для сайтов обновления Microsoft Updates появилась в ISA 2004 SP2. Эта возможность перекочевала в ISA Server 2006. BITS кэширование для обновлений Microsoft значительно улучшает использование пропускной способности или ссылок WAN, делая пропускную способность более доступной для дочерних офисов, которые могут быть перегружены трафиком с обновлениями. Центральные офисы также выигрывают от оптимизации пропускной способности, достигаемой за счет кэширования BITS.
Поддержка сжатия HTTP	Поддержка сжатия HTTP появилась в ISA 2004 SP2 и перекочевала в ISA Server 2006. Сжатие HTTP позволяет администратору брандмауэра ISA контролировать, откуда клиенты могут запрашивать сжатие HTTP и с каких сервером может возвращаться сжатие HTTP. Сжатие HTTP очень полезно в сценарии с дочерними офисами, где пропусканная способность с главным офисом является первостепенной.
Поддержка Diffserv QoS для соединений HTTP	Поддержка Diffserv QoS появилась в ISA 2004 SP2 и перекочевала в ISA Server 2006. Diffserv – это метод, которым может использоваться в сетях поддерживающих Diffserv, чтобы одни пакеты могли иметь преимущество над другими. Администратор брандмауэра ISA может использовать Diffserv для установки приоритетов пакетов для определенных важных серверов, чтобы выделить их.
Добавление нескольких VIP внутри консоли управления сервером ISA Server НОВАЯ	ISA 2004 поддерживает несколько VIP IP адресов. Однако, для того чтобы добавить более одного VIP, администратор брандмауэра ISA должен выйти из консоли управления ISA и указать эти IP адреса в конфигурации TCP/IP для сетевой карты (NIC). В ISA Server 2006 эта ситуация была исправлена. Теперь администратор может ввести дополнительный VIP в консоли управления ISA.
Мастер подключения к дочернему офису (Branch office Connectivity Wizard) НОВАЯ	В ISA 2004 установка брандмауэра для дочернего офиса была потенциально сложной задачей, которая иногда требовала настройки VPN соединения от сайта к сайту, а затем подключения к брандмауэру ISA в дочернем офисе, после того, как установлен VPN туннель от сайта к сайту. В ISA Server 2006 сложность по установке брандмауэра в дочернем офисе возложена на помощника, который позволяет администратору брандмауэра ISA создать простой файл ответа (answer file), который позволяет даже неискушенному пользователю настроить брандмауэр ISA в дочернем офисе, и запустить файл ответа по простой ссылке.
Возможность присвоить несколько сертификатов для одного веб слушателя НОВАЯ	В ISA 2004 администратор брандмауэра ISA мог связать лишь один сертификат с веб слушателем (Web listener). Это достаточно проблематично, если вы хотите использовать один и тот же веб слушатель для публикации нескольких безопасных Web сайтов. В ISA Server 2006 эта проблема была решена, и теперь вы можете связывать несколько сертификатов с одним веб слушателем (Web listener) и использовать этот веб слушатель в нескольких правилах публикаций.
Поддержка настраиваемых форм для аутентификации, основанной на формах НОВАЯ	В ISA 2004 поддерживалась аутентификация основанная на формах лишь для публикации OWA сайтов, а настройка форм не поддерживалась. В ISA Server 2006 вы можете использовать аутентификацию, основанную на формах для публикации любого сайта, а также настраивать эти формы.
Аутентификация LDAP для правил веб публикаций (Web Publishing Rule) НОВАЯ	В ISA 2004, если компьютер с брандмауэром ISA не является членом домена, то единственным способом для предварительной аутентификации пользователей на брандмауэре ISA, было использование аутентификации RADIUS для веб правил публикаций (Web Publishing Rules). RADIUS очень ограничен, т.к. он не позволяет администратору использовать группы Active Directory Groups. В ISA Server 2006 вы можете использовать аутентификацию LDAP для брандмауэров ISA, которые не являются членами домена, и воспользоваться преимуществом групп Active Directory Groups. Дополнительно, брандмауэр ISA 2006 можно настроить для использования нескольких серверов LDAP, а правила можно настроить так, чтобы они обрабатывали аутентификационные строки и передавали запрос соответствующему серверу LDAP (контроллеру домена Active Directory domain controller).
RADIUS одноразовые пароли (OTP) для правил публикаций (Web Publishing Rule) НОВАЯ	Теперь для правил публикаций также доступно использование одноразовых паролей RADIUS One-Time passwords (OTP). RADIUS OTP позволяют пользователям проходить аутентификацию, с использованием пароля, которые действует лишь на одну попытку входа.
Улучшенное управление куки	В ISA 2004 не предоставлял администратору способов для управления куки на клиентских машинах, подключающихся к опубликованным веб ресурсам. В ISA Server 2006 администратор обладает некоторыми настройками для контроля куки.
Улучшенные настройки для сдерживания флуда	В ISA 2004 содержался базовый инструмент для сдерживания флуда, который кроме самой машины, на которой размещался брандмауэр ISA, помогал защищать сети, к которым подключался брандмауэр ISA. В ISA Server 2006 встроен механизм защиты от флуда (ISA 2004 flood protection mechanism) для защиты от большего количества атак
Программа пользовательского опыта (Customer Experience Program) НОВАЯ	Программа пользовательского опыта обеспечивает механизм, с помощью которого компания Microsoft может получать информацию о том, как установлен и используется сервер ISA Server в промышленных средах. Никакой персональной информации не отсылается в Microsoft, а отсылаемая информация используется компанией Microsoft, чтобы понять, как улучшить данный продукт с помощью пакетов обновлений и дальнейших релизов. Впервые программа пользовательского опыта была внедрена в ISA 2004 SP2.
Поддержка опубликованных серверов для хранения конфигурации НОВАЯ	ISA Server 2006 позволяет администратору подключиться к серверам для хранения конфигурации (Configuration Storage Server) в главном офисе, даже если недоступно VPN соединение между главным и дочерним офисами. Вы можете опубликовать сервер для хранения конфигурации в главном офисе и настроить брандмауэр в дочернем офис таким образом, чтобы он подключался к опубликованному серверу для хранения конфигурации по Интернет, в том случае если становится недоступным VPN соединение между офисами.
Улучшенная поддержка ускорителей SSL в сценариях NLB НОВАЯ	Когда на NLB массиве брандмауэров ISA публикуются безопасные SSL веб сайты, то тот же самый сертификат для веб сайта должен быть установлен на всех членах массива, принимая соединения для опубликованного веб сайта. Это может быть проблематичным, когда используются карты ускорения SSL, которые требуют привязки различных сертификатов для каждой карты SSL в NLB массиве. ISA Server 2006 поддерживает привязку различных сертификатов для каждой из карт в массиве.
Поддержка исходящего SSL связывания (требуется дополнение) НОВАЯ	Хотя этот инструмент не включен в базовую версию продукта, администраторы брандмауэра ISA могут значительно увеличить безопасность сети благодаря использованию дополнения под названием ClearTunnel (www.collectivesoftware.com) ClearTunnel (чистый туннель) позволяет брандмауэру ISA проводить проверку на прикладном уровне для внешних SSL соединений и защищает от загрузки потенциальных уязвимостей из Интернет по зашифрованному SSL тунулю. Внешние SSL соединения представляют собой главную опасность корпоративных сетей, поэтому возможность отслеживать внешние SSL соединения является значительным улучшением для сетевой безопасности, которую может обеспечить сервер ISA Server.
Обновленный пакет управления MOM Management Pack	ISA Server 2006 содержит обновленный пакет MOM pack.
Улучшенная система предупреждения	В ISA Server 2006 содержит все возможности системы предупреждения ISA 2004, а также ряд новых предупреждений, которые позволяют проинформировать администратора ISA о проблемах с конфигурацией, проблемах с сертификатами, проблемах с безопасностью и др. Новые предупреждения облегчают отладку проблем, связанных с брандмауэром ISA.
Мастер настройки VPN соединения и поддержка файла ответа НОВАЯ	ISA Server 2000 содержит мастер настройки VPN соединения, который существенно облегчает настройку VPN соединения между сайтами. Эта возможность была удалена из ISA 2004. В ISA Server 2006 мастер для настройки VPN соединения появился вновь, что позволили существенно упростить настройку VPN соединений. Дополнительно к упрощению создания VPN соединения, новый мастер настройки VPN позволяет администратору брандмауэра ISA в главном офисе создать простой файл ответа, который даже неопытный пользователь из дочернего офиса может использовать для автоматического подключения брандмауэра ISA, находящегося в дочернем офисе, к корпоративной сети главного офиса.
Поддержка журнализации на ссылочном сервере НОВАЯ	Чаще всего администраторы брандмауэра ISA жаловались на невозможность просмотра журнала на соединений, сделанных к серверам, опубликованных с помощью правил публикаций Web Publishing Rules. В ISA Server 2006 это проблема был решена.

Резюме

В этой статье мы потратили немного времени на рассмотрение причин, по которым необходимо прейти на использование нового брандмауэра ISA Firewall. Хотя на первый взгляд кажется, что между 2004 и 2006 брандмауэрами ISA не так уж и много различий, если вы копнете по глубже, то найдем достаточно много улучшений в брандмауэре 2006 ISA Firewall. Это особенно справедливо, если вы занимаетесь веб публикацией, или у вас возникают проблемы с флудом в вашей сети. Даже если вы не подходите ни для одной из этих категорий, обзор списка новых и улучшенных возможностей должен убедить вас перейти на новую версию брандмауэра ISA Firewall.