Новий брандмауер Microsoft полегшує життя адміністраторам мереж

У новій програмі Microsoft Internet Security and Acceleration Server 2004, Standard Edition адміністратори IT-підрозділів знайдуть для себе багато корисного. Цей більш гнучкий, ніж його попередники, сервер з новими можливостями для запобігання атак, а також декількома чудовими адміністративними функціями представляє собою дуже важливий пакет оновлення для будь-якої організації, що використовує мережі Windows, особливо якщо застосовувати його у поєднанні з IIS або Exchange. ISA Server 2004 орієнтований на малі й середні підприємства, які не мають висококваліфікованими фахівцями з IT-адміністрування та забезпечення безпеки. Завдяки безлічі "майстрів" для різних завдань з налаштуванням конфігурації впорається навіть не самий досвідчений фахівець в галузі безпеки.

Інсталяція ISA Server 2004 виконується досить швидко: проста програма початкової установки розміщує відповідні програми на сервері Windows Server 2003, що працює з Active Directory. Нову програму ми відчували в невеликій мережі з Web-сервером (IIS) і сервером Exchange 2003. Ми хотіли під час випробувань забезпечити віддаленим користувачам безпечний доступ до цих серверів.

У будь-якому переліку першочергових робіт адміністратора найважча – налаштування конфігурації брандмауера. Завдяки багатому функціями і інтуїтивно зрозумілому адміністративного інтерфейсу сервера ISA Server 2004, з піктограмами і "майстрами" (очевидний відхід від типового стилю, властивого адміністративним інтерфейсам Microsoft для підприємств), це завдання значно спрощується. Як і раніше є можливість ієрархічного перегляду об'єктів, як і за допомогою будь-якого модуля Microsoft Management Console (MMC), але після установки ISA Server 2004 в центрі вікна з'являється кілька додаткових закладок, а з правої боку консолі – ряд "майстрів" і підказок.

Нерідко після установки нового брандмауера з'ясовується, що він абсолютно нічого не пропускає крізь себе або пропускає всі, без винятку, – безрадісний факт. Щоб грамотно настроїти потік мережевого трафіку, потрібно спочатку вибрати зі списку в консолі, що містить п'ять спільних стилів, в тому числі і конфігурацію DMZ, базову топологію мережі. Потім для кожного правила брандмауера можна вибрати у візуальному редакторі відправника (source), одержувача (destination), протокол і конкретних користувачів. Ми успішно застосовували цю процедуру для призначення низки правил для Web-і FTP-серверів, серверів електронної пошти і новин. Правила дуже гнучкі, їх можна застосовувати вибірково для будь-якого сегменту вашої мережі (навіть віртуальної приватної мережі – VPN), а також для конкретних користувачів. Є і ще один плюс: параметри конфігурації можна експортувати та імпортувати (через захищені паролем XML-файли), що значно економить час при перенесенні параметрів з системи на систему.

Потрібно сказати, що до складу ISA Server 2004 не входять функції захисту від вірусів або черв'яків; відповідні кошти потрібно купувати у сторонніх постачальників. Що стосується ціни, то, на наш погляд, Microsoft за ці гроші могла б запропонувати і більш великий пакет. ISA Server 2004 краще підходить для компаній, що використовують Active Directory, хоча в ньому передбачені спеціальні засоби для прив'язки до RADIUS-серверів, Exchange Server і SharePoint.

Налаштування віртуальної приватної мережі (VPN) для віддалених офісів і користувачів – це важке завдання для організацій середнього масштабу. Сервер ISA Server 2004 дозволяє віддаленим користувачам встановлювати захищені з'єднання за допомогою вбудованих "майстрів" для конфігурації VPN. Адміністратори без праці налаштують Web-сервери і поштові сервери. Крім того, ISA Server 2004 забезпечує безпечний доступ до Exchange Server через модуль Outlook Web Access і до контенту сервера SharePoint Portal Server 2003.

Інші брандмауери, навіть апаратні, пропускають безліч зашифрованих пакетів (якщо дані IP-заголовка припустимі). З метою відбиття атак ISA Server 2004 може інспектувати вміст пакетів, наприклад використовують дані прикладного рівня для Exchange. Окремий "майстер" контенту дозволяє публікувати та оновлювати за розкладом кешовані Web-вузли – дійсно корисне нововведення, яке реально економить час користувача. Можна кешувати матеріали Web-і FTP-вузлів, а також встановлювати правила, що стосуються закінчення терміну дії та розміру кешованих файлів.

ISA Server 2004 в своєму розпорядженні блискучими функціями моніторингу та підготовки звітів. Графічний монітор продуктивності (окремий від MMC) показує статистичні дані про роботу брандмауера і мережеву статистику в реальному часі, а на "приладовій дошці" адміністративної консолі ISA Server 2004 відображається загальна інформація про стан і попереджувальна інформація. Можна підготувати звіти, брандмауера для безперервного виведення моментальних даних про діяльність.

Попередження про можливі неполадки можна вибірково відправляти користувачам по електронній пошті, що дозволяє швидко на них реагувати. Нам також сподобалася функція Connection Verifiers, за допомогою якої можна складати і потім багаторазово використовувати тести типу "запит-відповідь" (а також інші тести для перевірки зв'язку в мережі) між різними точками мережі, що спрощує пошук несправностей, якщо між вузлами відбувається щось недобре.

У цілому цю нову потужну версію можна назвати успіхом Microsoft. ISA Server 2004 має безліч інтелектуальних засобів безпеки, і IT-адміністратори по достоїнству оцінять глибину функцій адміністративної консолі і зручність роботи з нею.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*