ISA 2004 王者归来(适合新手 图文并茂)
[color=#006699][b][font=Verdana][size=6]ISA 2004[/size][/font][size=6][/size][/b][font=华文行楷][size=30pt]王者归来[/size][/font][/color] [font=Verdana][size=2]作为著名路由级网络防火墙Microsoft® Internet Security and Acceleration Server 2000 (以下简称为ISA Server 2000)的升级版,微软已经在2004年7月13日发布了Microsoft® Internet Security and Acceleration (ISA) Server 2004(以下简称为ISA Server 2004)。它和ISA Server 2000相比,到底有哪些值得我们期待的新功能呢?本文详细地介绍ISA Server 2004的新特性,并且图文并茂的介绍了ISA Server 2004中新增加的重要功能。[/size][/font] [font=Verdana][size=2]从ISA 2000的发布到现在,已经过去了4个年头,且不论网络应用和防火墙在这期间都发生了很大变化,就连微软最新的服务器操作系统Windows Server 2003,ISA Server 2000在不安装补丁的情况下都是不支持的。经过了长时间的测试,微软ISA Server 2000的继任者ISA Server 2004,已经在2004年7月13日正式发布了。[/size][/font] [font=Verdana][size=2][img=482,501]http://www.isacn.org/pic/king/image001.png[/img][/size][/font] [font=Verdana][size=2]图注 ISA Server 2004的120天评估版安装界面[/size][/font] [font=Verdana][size=2][/size][/font][b][font=Verdana][size=16pt]新功能概述[/size][/font][/b] [font=Verdana][size=2]和ISA Server 2000相比,ISA Server 2004中引入了多网络支持、易于使用且高度集成的虚拟专用网络配置、扩展的和可扩展的用户和身份验证模型、深层次的HTTP协议检查以及经过改善的管理功能(包括配置导入和导出)。[/size][/font] [b][font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]新特性一览[/size][/font][/b] [align=center][table=490][tr][td=2,1,490]应用层过滤[/td][/tr][tr][td=1,1,202]功能[/td][td=1,1,288]描述[/td][/tr][tr][td=1,1,202]基于每个策略的HTTP过滤[/td][td=1,1,288]允许防火墙执行更深层次的HTTP协议状态检查,并且可以基于每个策略来配置。[/td][/tr][tr][td=1,1,202]阻止访问可执行文件[/td][td=1,1,288]禁止用户通过HTTP协议访问Windows下的可执行文件(比如Cmd.exe)[/td][/tr][tr][td=1,1,202]通过文件扩展名来控制[/td][td=1,1,288]HTTP策略可以基于文件扩展名来定义准许或者禁止访问[/td][/tr][tr][td=1,1,202]HTTP过滤应用到所有的客户连接[/td][td=1,1,288]通过HTTP策略,你可以控制所有的ISA Server 2004客户连接[/td][/tr][tr][td=1,1,202]HTTP签名[/td][td=1,1,288]可以建立“HTTP签名”来和客户请求的URL进行比较,从而精确地控制内部和外部用户[/td][/tr][tr][td=1,1,202]控制允许的HTTP方式[/td][td=1,1,288]控制用户HTTP访问的方式。例如,你可以限制HTTP POST来阻止用户向Web站点上传数据[/td][/tr][tr][td=1,1,202]支持Outlook的RPC连接[/td][td=1,1,288]ISA Server 2004允许Internet用户通过Outlook访问内部Exchange服务器。[/td][/tr][tr][td=1,1,202]FTP策略[/td][td=1,1,288]FTP策略甚至可以让用户只能下载数据[/td][/tr][tr][td=2,1,490]安全与防火墙[/td][/tr][tr][td=1,1,202]功能[/td][td=1,1,288]描述[/td][/tr][tr][td=1,1,202]协议支持[/td][td=1,1,288]支持对任何协议(包括 IP等级协议)访问和使用的控制。[/td][/tr][tr][td=1,1,202]支持需要多个主连接的复杂协议[/td][td=1,1,288]许多流媒体和音频/视频应用这种复杂协议在ISA Server 2004中也提供了支持。你可以管理它们,也可以通过易于使用的协议向导轻松建立协议。[/td][/tr][tr][td=1,1,202]可自定义的协议[/td][td=1,1,288]允许控制任何协议的源和目的端口,这让你可以从更高级别上管理允许进入和流出的数据包。[/td][/tr][tr][td=1,1,202]方便的Hotmail支持[/td][td=1,1,288]通过简单的防火墙设置即可访问Hotmail而不需要其他在客户端或者防火墙上进行特殊设置[/td][/tr][tr][td=1,1,202]防火墙规则向导[/td][td=1,1,288]ISA Server 2004包含的新规则向导集,让你建立策略更轻松。[/td][/tr][tr][td=1,1,202]OWA发布向导[/td][td=1,1,288]Outlook Web Access发布向导可以很方便地建立Exchange服务器的SSL访问规则。[/td][/tr][tr][td=1,1,202]FTP支持[/td][td=1,1,288]允许访问非标准端口的Internet FTP服务。[/td][/tr][tr][td=2,1,490]多网络[/td][/tr][tr][td=1,1,202]功能[/td][td=1,1,288]描述[/td][/tr][tr][td=1,1,202]多网络配置[/td][td=1,1,288]可以配置一个或多个网络,并使每个网络都与其他网络有明确的关系。访问策略是相对于多个网络而定义的,而不必相对于给定的内部网络。[/td][/tr][tr][td=1,1,202]唯一的基于网络的策略[/td][td=1,1,288]ISA 服务器的多网络功能使您可以限制客户端(甚至您自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。[/td][/tr][tr][td=1,1,202]网络模板[/td][td=1,1,288]ISA 服务器包含与常见网络拓扑对应的网络模板。可以使用网络模板来为网络之间的通讯配置防火墙策略。[/td][/tr][tr][td=1,1,202]NAT 和路由网络关系[/td][td=1,1,288]ISA Server 2004中可以根据网络之间所允许的访问和通讯类型来定义网络关系。主要包括NAT和路由两种关系。[/td][/tr][tr][td=2,1,490]监视和报告[/td][/tr][tr][td=1,1,202]功能[/td][td=1,1,288]描述[/td][/tr][tr][td=1,1,202]实时日志监控[/td][td=1,1,288]可以实时监控防火墙、Web Proxy和SMTP邮件的日志。[/td][/tr][tr][td=1,1,202]内建日志查询工具[/td][td=1,1,288]支持使用内建的日志查询工具来查询日志文件。[/td][/tr][tr][td=1,1,202]对防火墙会话的实时监控和过滤[/td][td=1,1,288]可以即时监控所有活动的防火墙会话,也可以使用内建的会话过滤工具来对会话进行过滤[/td][/tr][tr][td=1,1,202]连接验证器[/td][td=1,1,288]你可以通过连接验证器来验证到一个指定的计算机或者URL之间是否连通。你可以通过以下方式来决定连通性:Ping、连接到特定端口的TCP或者HTTP GET。你可以通过IP地址、计算机名字或者URL来指定验证的对象。[/td][/tr][tr][td=1,1,202]自定义ISA Server 2004报告[/td][td=1,1,288]ISA Server 2004包含了一个增强的报告自定义特性,允许你在报告中记录更多信息。[/td][/tr][tr][td=1,1,202]报告发布[/td][td=1,1,288]ISA Server 2004报告生成工具可以自动保存一个副本在本地目录或者网络共享文件目录,方便其他用户访问。[/td][/tr][tr][td=1,1,202]报告完成后的E-mail通知[/td][td=1,1,288]你可以配置报告生成工具在某个报告完成后给你发送一个电子邮件。[/td][/tr][tr][td=1,1,202]可以自定义报告跨越的时限[/td][td=1,1,288]ISA Server 2004可以让你自定义报告所跨越的时限,这给你更多的可扩展性。[/td][/tr][tr][td=1,1,202]增强的SQL服务器记录[/td][td=1,1,288]你可以把日志记录在内部网络中另外一台运行SQL Server数据库的计算机上。[/td][/tr][tr][td=1,1,202]记录到MSDE数据库[/td][td=1,1,288]日志可以存储为MSDE格式,记录在本地数据库增强了速度和扩展性。[/td][/tr][tr][td=2,1,490]管理[/td][/tr][tr][td=1,1,202]功能[/td][td=1,1,288]描述[/td][/tr][tr][td=1,1,202]管理[/td][td=1,1,288]ISA Server 2004包含了新的管理特性,新的用户界面包含任务面板、帮助面板、一个改进的开始向导和和全新的防火墙策略编辑器。[/td][/tr][tr][td=1,1,202]导入和导出[/td][td=1,1,288]ISA Server 2004引入了导入和导出配置信息的能力,从而大大简化了重复的配置工作。[/td][/tr][tr][td=1,1,202]防火墙管理员权限委派向导[/td][td=1,1,288]防火墙管理员权限委派向导帮助你给用户或用户组分配管理角色。这些预定义的角色可以让你委派不同级别的管理任务到用户。[/td][/tr][tr][td=2,1,490]VPN网络[/td][/tr][tr][td=1,1,202]功能[/td][td=1,1,288]描述[/td][/tr][tr][td=1,1,202]VPN状态过滤和检测[/td][td=1,1,288]VPN客户端被配置为单独的网络,你可以为VPN 客户端创建单独的策略。规则引擎会有区别地检查来自VPN客户端的请求,对这些请求进行状态检查,并基于访问策略动态地打开连接。[/td][/tr][tr][td=1,1,202]Site-to-Site的VPN隧道的通信状态检查和过滤[/td][td=1,1,288]ISA Server 2004对Site-to-Site的VPN隧道连接引入了状态检查和过滤机制。[/td][/tr][tr][td=1,1,202]VPN隔离控制[/td][td=1,1,288]在确认符合公司的安全要求前,可以将VPN 客户端隔离到“被隔离的VPN客户端”网络中。[/td][/tr][tr][td=1,1,202]发布VPN服务器[/td][td=1,1,288]使用ISA Server 2004服务器发布策略来发布VPN服务器,让ISA Server 2004中智能的PPTP应用过滤器执行负责的连接管理。[/td][/tr][tr][td=1,1,202]支持Site-to-Site VPN链路上的IPSec隧道模式[/td][td=1,1,288]ISA Server 2004中可以使用IPSec隧道模式作为VPN协议,而且它可以和许多第三方VPN解决方案一同工作。[/td][/tr][/table][/align][color=black][font=Verdana][size=2]ISA Server 2004[/size][/font][/color][color=black][font=Verdana][size=2]的新特性是如此之多,以至于我们不能一一陈述。有兴趣的朋友可以参考[/size][/font][/color][color=black][font=Verdana][size=2]Microsoft[/size][/font][/color][color=black][font=Verdana][size=2]的相关介绍[/size][/font][/color][color=black][font=Verdana][color=black][font=Verdana][url=http://www.microsoft.com/isaserver/evaluation/whatsnew.asp][size=2]http://www.microsoft.com/isaserver/evaluation/whatsnew.asp[/size][/url]。[/font][/color][/font][/color] [b][font=Verdana][size=16pt]全新的多网络架构支持[/size][/font][/b] [font=Verdana][size=2]通常来说,内部网络的概念是指公司内部网络中的所有计算机,外部网络是指公司内部网络以外的所有计算机(通常指Internet)。但是由于使用移动计算机访问公司内部网络的用户的出现,从而使用户实际上成为了独立于网络的部分。分支办公室连接到总部,并希望像公司总部的内部网络组成部分一样使用总部的资源。许多公司使其公司网络中的服务器(尤其是 Web 服务器)可接受公开访问,但希望将这些服务器组织成一个单独的网络(DMZ网络)。ISA Server 2004服务器新增的多网络功能使你可以通过很简单的配置来为这些复杂的网络方案提供保护。多网络支持影响到大部分 ISA Server 2004服务器的防火墙功能。[/size][/font] [font=Verdana][size=2]使用 ISA Server 2004服务器的多网络功能可以限制客户端(甚至你自己组织内部的客户端)之间的通讯,从而防止网络受到内部和外来的安全威胁。可以通过在 ISA Server 2004服务器中定义各个网络之间的关系,从而确定各个网络中的计算机如何通过 ISA Server 2004服务器相互进行通信。还可以将计算机组织成 ISA Server 2004服务器网络对象(如计算机集和地址范围),并针对各个网络对象配置相应的访问策略。[/size][/font] [font=Verdana][size=2]在常见的服务器发布方案中,您可能要将发布的服务器隔离在其自己的网络(如DMZ网络)中。ISA Server 2004服务器的多网络功能支持这样的方案,让你可以很方便的配置公司网络中的客户端如何访问DMZ网络,以及 Internet 上的客户端如何访问DMZ网络。你也可以配置各个不同网络之间的关系,从而在各个网络之间定义不同的访问策略。ISA Server 2004 服务器中新增了网络模板和网络模板向导的功能,使得你可以很方便的配置你的网络拓扑结构。[/size][/font] [font=Verdana][size=2][img=441,277]http://www.isacn.org/pic/king/image003.png[/img][/size][/font] [font=Verdana][size=2]图注 多网络的公司网络架构[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=2]在该图中,ISA Server 2004服务器连接 Internet(外部网络)、公司网络(内部网络)和DMZ网络。ISA Server 2004服务器上有三个网络适配器,每个网络适配器都连接到其中的一个网络。通过使用 ISA Server 2004服务器,你可以在任何网络之间配置不同的访问策略,也可以确定各个网络中的计算机是否可以相互进行通讯,以及如果是,将采用什么方式。网络间是独立的,只有在你配置了允许通讯的规则时才是可访问的。[/size][/font] [font=Verdana][size=2]为了实施多网络方案,ISA Server 2004服务器引入了下列概念:[/size][/font] [font=Verdana][size=2]·网络:从 ISA Server 2004服务器的角度看,网络是可以包含一个或多个 IP 地址范围或域的元素。网络包含一台或多台计算机,并且始终对应于 ISA Server 2004服务器上的特定网络适配器。您可以对一个或多个网络应用规则。[/size][size=2][/size][/font] [font=Verdana][size=2]•
网络对象:创建网络后,可以将其组织成网络对象集(子网、地址范围、计算机集、URL 集或域名集)。规则可以应用于网络或网络对象。[/size][size=2][/size][/font] [font=Verdana][size=2]•
网络规则:可以配置网络规则,以定义并描述网络拓扑。网络规则确定了两个网络之间是否存在连接关系,以及将使用哪一种连接。可以通过下列方式之一连接网络:网络地址转换 (NAT) 或路由(Route)。[/size][size=2][/size][/font] [font=Verdana][size=2][/size][/font] [b][font=Verdana][size=16pt][font=Verdana][size=16pt]增[/size][/font]强的虚拟专用网络(VPN)[/size][/font][/b] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]服务器改进后的VPN管理功能可以帮助您轻松的设置虚拟专用网络 (VPN),并且由于支持产业标准 Internet 协议安全 (IPSec),所以 ISA Server 2004 可以加入到其他供应商提供的已有 VPN 基础结构的环境中,其中包括那些对站点到站点连接采用 IPSec 隧道模式配置的环境。[/size][/font] [img=640,455]http://www.isacn.org/pic/king/image005.jpg[/img] [font=Verdana][size=2]图注 ISA Server 2004中全面增强了VPN功能[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=2]在ISA Server 2004中,有两种类型的 VPN 连接:[/size][/font] [font=Verdana][size=2]•
远程访问 VPN 连接。[/size][/font] [font=Verdana][size=2]客户端建立远程访问 VPN 连接,以连接到专用网络。ISA Server 2004服务器作为VPN接入服务器,远程客户通过连接它来进入内部网络。[/size][/font] [font=Verdana][size=2]•
站点到站点的 VPN 连接。[/size][/font] [font=Verdana][size=2]两个VPN 服务器之间建立站点到站点的 VPN 连接,将专用网络的两个部分安全地连接起来。[/size][/font] [font=Verdana][size=2]将 ISA Server 2004服务器作为 VPN 服务器的好处是可以防止公司网络受到恶意 VPN 连接的威胁。通过新增的多网络支持和对 VPN 监控状态的检查,ISA Server 2004能很好的保证VPN的安全。同时 VPN 服务器集成到了防火墙功能中,所以为预配置的 VPN 客户端网络定义的 ISA Server 2004服务器访问策略都适用于 VPN 用户。所有 VPN 客户端都属于 VPN 客户端网络,并且受到防火墙策略的限制。[/size][/font] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]服务器中新增的隔离模式,可以确保在允许客户端加入 VPN 客户端网络(通常具有不受限制的内部网络访问权限)之前,先检查其是否符合公司的软件策略。通过使用隔离控制,可以在真正地允许远程 (VPN) 客户端访问网络之前,将其限定为隔离模式,从而为其提供了阶段性的网络访问权限。在客户端计算机配置被调整或被断定为符合组织的特定隔离限制后,会依照您指定的隔离类型对连接应用标准的 VPN 策略。例如,隔离限制可能规定在连接到您的网络时应安装并启用特定的防病毒软件。尽管隔离控制并不防范攻击者,但是已授权的用户在访问网络前,其计算机配置可以得到验证,如有必要,也可以得到更正。还可以使用计时器设置来指定在客户端不满足配置要求的情况下经过多长时间即断开其连接。[/size][size=2][/size][/font] [font=Verdana][size=2]可以为每个 VPN 客户端网络创建两个不同的策略:[/size][/font] [font=Verdana][size=2]•
被隔离的 VPN 客户端网络。将访问限制在某些服务器的范围内,客户端可以从这些服务器下载必要的更新以便达到软件策略的要求。[/size][size=2][/size][/font] [font=Verdana][size=2]• VPN 客户端网络。可以允许访问所有公司(内部网络)资源,或者根据需要限制访问。VPN 客户端网络将拥有与外部网络的 NAT 关系。系统将配置一个定义 VPN 网络与外部网络之间的 NAT 关系的网络规则。[/size][size=2][/size][/font] [b][font=Verdana][size=16pt][font=Verdana][size=16pt]更[/size][/font]方便的管理[/size][/font][/b] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]在管理方面,使用起来更加方便。[/size][/font]
[font=Verdana][size=3]1.[/size][/font][font=Verdana][size=3]全新的管理界面[/size][/font] [font=Verdana][size=2]为了方便管理,ISA Server 2004的管理主界面看上去更加简洁,给用户一种亲切感。[/size][/font] [color=red][font=Verdana][size=2][img=640,456]http://www.isacn.org/pic/king/image007.jpg[/img][/size][/font][/color] [size=2][font=Verdana]图注[/font]
[/size][font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]管理控制台的监视节点界面,清爽易用[/size][/font] [color=red][font=Verdana][size=2][/size][/font][/color][font=Verdana][size=3]2.[/size][/font][font=Verdana][size=3]策略模板支持[/size][/font] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]在网络方面一个重要的新增功能是提供了网络配置模板,可以让你轻松的设置防火墙策略。ISA Server 2004提供了5个预定义的网络模板:边缘防火墙、3向外围网络(含DMZ)、前端防火墙、背部防火墙、单网络适配器。[/size][/font] [font=Verdana][size=2][img=640,459]http://www.isacn.org/pic/king/image009.jpg[/img][/size][/font] [font=Verdana][size=2]图注 ISA Server 2004中的模板大大降低了配置难度[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=3]3.[/size][/font][font=Verdana][size=3]配置的导出和导入[/size][/font] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]服务器新增了配置的导出和导入功能,您可以使用该功能将服务器配置参数保存到一个 .xml 文件中,然后将该信息从文件导入到另一台服务器中。你可以将配置保存到您拥有写入权限的任何目录和文件中。[/size][/font] [font=Verdana][size=2][img=532,378]http://www.isacn.org/pic/king/image011.png[/img][/size][/font] [font=Verdana][size=2]图注
备份、还原可以免除你重装系统之后的重复配置之苦[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=3]4.[/size][/font][font=Verdana][size=3]其他管理增强[/size][/font] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]在管理方面还增加了很多人性化的功能,让我们在管理、配置ISA Server 2004时更方便。[/size][/font] [font=Verdana][size=2][/size][/font][b][font=Verdana][size=2](1)[/size][/font][font=Verdana][size=2]仪表板[/size][/font][/b] [font=Verdana][size=2]仪表板是ISA Server2004中的一个新颖的设计,通过它,你可以对ISA Server 2004当前的状态一清二楚。[/size][/font] [font=Verdana][size=2][img=640,456]http://www.isacn.org/pic/king/image007.jpg[/img][/size][/font] [font=Verdana][size=2]图注
一目了然的仪表盘[/size][/font] [font=Verdana][size=2][/size][/font][b][font=Verdana][size=2](2)[/size][/font][font=Verdana][size=2]实时的日志监控[/size][/font][/b] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]的日志系统是通过简化版的SQL Server来实现的,不但高效,而且可用于查询的条件达到了几十项,如Client IP、连接状态等等。[/size][/font] [font=Verdana][size=2][img=640,459]http://www.isacn.org/pic/king/image015.jpg[/img][/size][/font] [font=Verdana][size=2]图注 ISA Server 2004中新增的“实时日志监控”[/size][/font] [font=Verdana][size=2][/size][/font][b][font=Verdana][size=2](3)[/size][/font][font=Verdana][size=2]强大的报告功能[/size][/font][/b] [font=Verdana][size=2]报告是ISA Server 2004日志系统中一个划时代的改进。简单的操作、丰富的选项和报告发布的容易,让ISA Server 2004的报告功能成为了让网管选择ISA Server2004的一大杀手锏。[/size][/font] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]生成的报告是纯html文件,非常方便你共享给其他用户观看。而且报告内容的详细程度,会令你大吃一惊。[/size][/font] [font=Verdana][size=2][img=640,378]http://www.isacn.org/pic/king/image017.jpg[/img][/size][/font] [font=Verdana][size=2]图注 ISA Server 2004的报表功能十分强大[/size][/font] [font=Verdana][size=2][/size][/font][b][font=Verdana][size=16pt]全面的协议支持[/size][/font][/b] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]中定义了绝大部分的通用协议,有上百种之多。不过毕竟是泊来品,ISA Server 2004把QQ定义为ICQ。[/size][/font] [font=Verdana][size=2][img=181,576]http://www.isacn.org/pic/king/image019.jpg[/img][/size][/font] [font=Verdana][size=2]图注 ISA Server 2004支持上百种协议[/size][/font] [b][font=Verdana][size=16pt]让网络更安全[/size][/font][/b] [font=Verdana][size=2]作为一款企业级的防火墙软件,ISA Server 2004在安全方面也有了长足的改进。[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=3]1[/size][/font][font=Verdana][size=3].基于每个策略的HTTP过滤[/size][/font] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]中的HTTP过滤策略是基于每条防火墙策略的,只要这防火墙策略中包含了HTTP协议,就可以配置该防火墙策略的HTTP策略。如下面两张图,第二条和第三条两个不同的策略都包含有HTTP协议(协议为所有出站通讯,包含HTTP协议),所以都可以“配置HTTP”。[/size][/font] [font=Verdana][size=2][img=640,458]http://www.isacn.org/pic/king/image021.jpg[/img][/size][/font] [font=Verdana][size=2]图注 基于策略的HTTP过滤[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=2]2[/size][/font][font=Verdana][size=2].阻止对所有可执行文件的访问[/size][/font] [font=Verdana][size=2]我们知道,对于Windows 2000/XP/2003下的攻击,很多时候是以得到服务器的Shell为目标的,这就需要执行服务器上的Cmd.exe。ISA Server 2004中可以明确禁止访问服务器上的Exe可执行文件,这样类似的攻击就不防而灭了……[/size][/font] [font=Verdana][size=2][img=403,440]http://www.isacn.org/pic/king/image023.jpg[/img][/size][/font] [font=Verdana][size=2]图注 禁止访问服务器上的可执行文件从而防止对服务器发动特定攻击[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=3]3[/size][/font][font=Verdana][size=3].扩展名决定是否可以下载[/size][/font] [font=Verdana][size=2]通过配置HTTP过滤,你可以通过文件的扩展名来控制用户可以访问的Web内容。[/size][/font] [font=Verdana][size=2][img=402,442]http://www.isacn.org/pic/king/image025.jpg[/img][/size][/font] [font=Verdana][size=2]图注 只允许用户访问有限的Web内容[/size][/font] [font=Verdana][size=2][/size][/font][font=Verdana][size=3]4[/size][/font][font=Verdana][size=3].“HTTP签名”控制HTTP访问[/size][/font] [font=Verdana][size=2]ISA Server 2004[/size][/font][font=Verdana][size=2]的深层HTTP检查机制可以让你建立“HTTP签名”来和客户请求的URL进行比较,这样可以让你精确的控制通过ISA Server 2004防火墙进行访问的内部和外部用户,例如微软安全公告MS04-013中的OE溢出漏洞,是通过在HTTP头中的路径名来进行。你可以在“配置HTTP”中阻止带有这个特征的HTTP数据。[/size][/font] [font=Verdana][size=2][img=558,466]http://www.isacn.org/pic/king/image027.jpg[/img][/size][/font] [font=Verdana][size=2]图注 “HTTP签名”可以防止类似“Download.Jet”的蠕虫攻击[/size][/font] [font=Verdana][size=3]5.FTP[/size][/font][font=Verdana][size=3]策略[/size][/font] [font=Verdana][size=2]在ISA Server 2004提供了一个FTP策略,可以设置是否允许用户上传数据到FTP服务器中。[/size][/font] [font=Verdana][size=2][img=403,416]http://www.isacn.org/pic/king/image029.jpg[/img][/size][/font] [font=Verdana][size=2]图注 如果选择只读,则用户只能从FTP服务器上下载数据而不能上传[/size][/font] [font=Verdana][size=2][/size][/font] [b][font=Verdana][size=16pt]写在最后[/size][/font][/b] [font=Verdana][size=2]作为一次全新架构的升级,和ISA Server 2000相比,ISA Server 2004也不仅仅是增加和改进功能,在管理的易用性方面也有了长足的进步,强烈建议有预算的朋友升级。不过ISA Server 2004中也取消了部分功能,如带宽的优先级控制等。[/size][/font] 用过~顶~~~~~~~~~~~~~`` 呵呵,适合我有东东…… :loveliness:
页:
[1]
