Internet Security and Acceleration Server 2000
Средства защиты и управления доступом
Средства безопасной публикации данных в Интернете
Средства кэширования Интернет-содержимого
Средства кэширования корпоративного Web-сервера
Средства администирования ISA Server
Возможности расширения функциональности ISA Server
Microsoft Internet Security and Acceleration Server доступен в двух редакциях
Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000), предшественником которого является Microsoft Proxy Server 2.0, представляет собой многоуровневый сетевой брандмауэр и высокопроизводительный кэширующий сервер, использующий средства защиты, управления и контроля, встроенные в операционную систему Windows 2000.
Администраторам сетей, применяющим Proxy Server, стоит подумать о переходе к использованию ISA Server — его возможности, связанные с обеспечением безопасности, гораздо шире, нежели возможности его предшественника. Что касается пользователей других средств обеспечения безопасности, то им также имеет смысл обратить внимание на этот продукт.
В этой статье мы кратко рассмотрим, что представляет собой ISA Server 2000.
Средства защиты и управления доступом
В качестве сетевого брандмауэра ISA Server 2000 может осуществлять фильтрацию данных как на уровне приложений, так и на уровне отдельных IP-пакетов. В частности, с его помощью можно управлять доступом пользователей корпоративных сетей к Web-ресурсам и предотвращать несанкционированное использование Интернета сотрудниками фирмы, а также защитить внутрикорпоративную сеть и Web-узлы от несанкционированного доступа, гарантируя пропуск только того трафика, который удовлетворяет правилам, определенным администратором. Основными особенностями ISA Server 2000 как брандмауэра являются средства проверки состояния соединений, интегрированного мониторинга вторжения, усиления защиты системы, интеллектуальных фильтров приложений, а также средства создания виртуальных частных сетей (Virtual Private Networking, VPN; рис. 1).
 |
|
Средства безопасной публикации данных в Интернете
ISA Server позволяет осуществлять публикацию данных в Интернете, не нарушая режимов безопасности корпоративной сети. Правила, по которым осуществляется публикация в Интернете, могут описывать, какие именно запросы можно посылать на Web-серверы, находящиеся за пределами ISA Server. Например, для сервера Microsoft Exchange, расположенного внутри корпоративной сети, могут быть установлены правила, разрешающие его почтовому серверу быть доступным в Интернете. При этом ISA Server будет перехватывать входящие почтовые сообщения, фильтровать их согласно правилам, установленным администратором, и направлять серверу Exchange. В этом случае сервер Exchange окажется недоступным для внешних пользователей, поэтому ему можно предоставить доступ к ресурсам корпоративной сети.
Аналогичным способом можно установить правила, разрешающие доступность в Интернете, и для корпоративного Web-сервера, реально находящегося внутри корпоративной сети. Тогда, при обращении к корпоративному Web-серверу внешнего клиента, ISA Server перехватывает его запрос и направляет его внутрь корпоративной сети на Web-сервер (рис. 2).
Особенности ISA Server как средства безопасной публикации в Интернете — это поддержка протоколов HTTP, FTP, H.323, SMTP, наличие мастеров для определения правил публикации. Следует отметить также поддержку Simple Object Access Protocol (SOAP), позволяющего передавать XML-данные с помощью протокола HTTP.
|
|
Средства кэширования Интернет-содержимого
ISA Server может быть сконфигурирован как средство кэширования Интернет-содержимого для пользователей корпоративной сети. В централизованном кэше, поддерживаемом этим сервером и базирующемся на службе каталогов Active Directory, хранятся Web-ресурсы, наиболее часто запрашиваемые пользователями. Кэширование избавляет от необходимости повторной выборки одной и той же информации, уменьшает задержки при работе с Интернетом, увеличивает пропускную способность Интернет-соединений, позволяет повысить производительность работы пользователей и снизить внешний трафик, связанный с получением данных из Интернета.
Особенностями ISA Server как кэширующего сервера для пользователей внутрикорпоративной сети являются возможности кэширования Web-ресурсов в оперативной памяти, загрузки данных из Интернета в кэш согласно расписанию, создания распределенных и иерархических кэшей. Еще одна новая особенность этого продукта — поддержка протокола Cache Array Routing Protocol (CARP), который позволяет организовать сбалансированную загрузку кэша, распределенного между несколькими компьютерами, что повышает масштабируемость решений, использующих ISA Server.
Организация иерархического распределенного кэширования может быть такой: в каждом отделе организации имеется собственный компьютер, оснащенный ISA Server, а в главном офисе компании существует набор таких компьютеров. В этом случае если сотрудник какого-либо отдела посылает запрос на получение того или иного Web-ресурса, то ISA Server его отдела перенаправляет этот запрос на ISA Server в главный офис, тот получает затребованный ресурс из Интернета и передает его обратно на сервер отдела, где ресурс кэшируется и передается затребовавшему его пользователю (рис. 3).
|
|
Средства кэширования корпоративного Web-сервера
ISA Server может быть сконфигурирован как средство кэширования данных для внешних пользователей корпоративного Web-сервера с высокой интенсивностью обращений к нему. При частом обращении клиентов ISA Server может сам обрабатывать их запросы, если в кэше имеются необходимые данные, и только в случае их отсутствия инициировать обращение к Web-серверу, снижая тем самым приходящуюся на него нагрузку. Особенности ISA Server как средства кэширования содержимого корпоративного Web-сервера — «прозрачность» для внешних пользователей, поддержка распределенных и иерархических кэшей, возможность кэширования наиболее часто запрашиваемого содержимого корпоративного Web-сервера в оперативной памяти, наличие мастеров публикации данных в Интернете.
Кроме того, ISA Server может одновременно выполнять сразу несколько из вышеуказанных ролей. В любом случае администраторы, использующие его, могут управлять пропускной способностью сервера и определять политику и правила безопасности для всего предприятия и группы пользователей.
|
|
Средства администирования ISA Server
Средства администрирования ISA Server 2000 представляют собой графические утилиты, основанные на применении Microsoft Management Console — средства управления, предоставляющего сходный интерфейс для всех серверных продуктов Microsoft. Они позволяют задавать правила использования Интернета, например правила управления трафиком и пропускной способностью, правила локального доступа и доступа в масштабах предприятия для пользователей, групп, приложений, узлов, типов информационного наполнения и расписаний (рис. 4).
Отметим, что с помощью ISA Management можно устанавливать различные приоритеты доступа к Web-ресурсам для разных групп пользователей или для разных приложений, тем самым перераспределяя между ними доступные ресурсы сети.
Следить за производительностью ISA Server можно с помощью утилиты ISA Server Performance Monitor, позволяющей узнать, какие ресурсы используются внутри сети, и изменить правила и политику функционирования ISA Server с целью повышения эффективности его использования. ISA Server Performance Monitor также позволяет выяснить, какова производительность брандмауэра, какие ресурсы содержатся в кэше и какова интенсивность запросов, получаемых ISA Server (рис. 5).
Следует обратить внимание на то, что ISA Server содержит набор шаблонов заранее определенных статистических отчетов, позволяющих анализировать трафик, попытки нарушения защиты данных, применение приложений, использование Web-ресурсов разными пользователями (рис. 6).
|
|
Возможности расширения функциональности ISA Server
Помимо шаблонов отчетов, поставляемых с ISA Server, можно разрабатывать и свои собственные — для этой цели имеется соответствующий API. Полагаем, что в ближайшее время следует ожидать появления средств генерации нестандартных отчетов для ISA Server от независимых производителей.
ISA Server 2000, как и другие серверные продукты Microsoft, предоставляет набор COM-серверов для разработчиков приложений с его использованием, что позволяет создавать сценарии администрирования ISA Server с помощью скриптовых языков, а также разрабатывать контроллеры автоматизации ISA Server с помощью средств разработки, поддерживающих их создание, таких как Visual Basic, Visual C++, Delphi, C++Builder, PowerBuilder. Объектная модель ISA Server представлена на рис. 7.
Как видите, объекты и коллекции ISA Server отражают реальные объекты, которыми манипулирует администратор сервера, групповые политики, серверы, правила публикации в Web, фильтры для приложений и т.д. Примеры их применения можно найти в справочном файле, посвященном ISA SDK.
|
|
Заключение
В настоящей статье мы рассмотрели основные возможности Microsoft Internet Security and Acceleration Server 2000 и узнали, что этот продукт может быть использован как в качестве многоуровневого сетевого брандмауэра; средства кэширования Интернет-содержимого для пользователей внутрикорпоративной сети, так и в качестве средства кэширования содержимого корпоративного Web-сервера. Кроме того, ISA Server может одновременно выполнять несколько из рассмотренных ролей.
Мы рассказали вам о средствах администрирования ISA Server, о средствах мониторинга его работы и статистических отчетов для анализа трафика, использования приложений, попыток нарушения защиты данных, а также о возможностях расширения функциональности ISA Server 2000 с помощью создания скриптов и приложений, применяющих его объектную модель.
Подробности об этом продукте и ознакомительную версию, доступную для загрузки, можно найти на Web-сервере корпорации Microsoft по адресу: http://www.microsoft.com/isaserver.
КомпьютерПресс 6'2001
