Red Line Software - мы помогаем вам управлять эффективностью работы вашего офиса.

В этой статье я попытаюсь представить вам подробное описание новых возможностей в Microsoft ISA Server 2006.

Приступим

ISA Server 2006 – это следующий шаг в стратегии Microsoft касающейся безопасности (Security Strategy). ISA Server 2006 – это наследник ISA Server 2004. Выход ISA Server 2006 RTM ожидается в конце июня 2006.

ISA Server 2006 содержит все возможности ISA Server 2004 c SP2 за исключением экрана сообщений (Message Screener). Экран сообщений (Message Screener) из ISA Server 2004 больше не будет присутствовать в ISA Server 2006.

Пожалуйста обратите внимание:
Фильтр SMTP по прежнему будет в ISA Server 2006.

Если вы хотите попробовать поработать с ISA Server 2006 Beta 1, то вам следует загрузить ISA Server 2006 Beta с сайта Microsoft. Вы имеет возможность загрузить стандартную английскую (English Standard) и корпоративную (Enterprise) версии ISA Server 2006.

Рисунок 1: Загрузите и установите ISA Server 2006

Обратная связь с покупателями

После успешной установки ISA Server 2006 вы увидите новую закладку Customer Feedback (обратная связь с покупателями) в ISA MMC и свойствах объекта ISA Server в ISA MMC. Эта закладка (Customer Feedback) не нововведения в ISA Server 2006, впервые она появилась вместе с ISA Server 2004 SP2.

Рисунок 2: Обратная связь с пользователями в ISA Server 2006

Если вы не хотите участвовать в новой программе по учету пользовательского мнения (Customer Experience Improvement Program), то нажмите No, I don’t wish to participate.

Новое в публикации

Появились новые улучшения в правилах Webserverpublishing в ISA Server 2006. Одна из интересных вещей в ISA Server 2006 заключается в том, что теперь имеется возможность опубликовывать сайты SharePoint с помощью мастера ISA Server 2006. Раньше вы должны были вручную создавать правило для публикации (Publishing rule) для SPS, для чего необходимо было прочитать статью SPS Publishing Whitepaper на сайте Microsoft.

Рисунок 3: Sharepoint Portal Server Publishing

Теперь существует возможность публиковать различные версии Exchange Mailserver. Exchange предусматривает Publishing Wizards начиная с версии Exchange 5.5 и до Exchange V12.

Рисунок 4: Особенности публикации различных версий Exchange

ISA Server 2006 также теперь поддерживает публикацию Web серверов со сбалансированной загрузкой. Web сервера со сбалансированной загрузкой (Load Balanced Web servers) сгруппированы в единицы под названием ферма (Farm) для того, чтобы обеспечить длительный доступ и улучшение производительности.

Рисунок 5: Публикация Web серверов со сбалансированной загрузкой

Новый помощник Publishing Wizard обеспечивает лучшую поддержку Certificate Integration для предоставления возможностей по SSL Bridging и аутентификации Client SSL. Позже я подробнее расскажу об этом улучшении.

Рисунок 6: Безопасность клиентского соединения (Client Connection Security)

Новый помощник Web listener Definition Wizard, который слушает входящие Web запросы имеет новую иконку (“Земной шар”), и появилась возможность его выбора, если ISA Server должен сжимать содержимое с помощью этого Web Listener. Первые возможности по сжатию (Compression feature) появились вместе с ISA Server 2004 SP2.

Рисунок 7: Помощник Web listener Publishing Wizard

Новый помощник Web Listener Definition Wizard позволяет вам выбрать единый сертификат для определенного Weblistener.

Рисунок 8: Выбор сертификата

Есть возможность назначить сертификат для каждого IP адреса, связанного с адаптером (Adapter), который будет использовать слушатель (listener).

Пожалуйста, обратите внимание:
Невозможно назначить более одного сертификата для одного IP адреса. Для получения более подробной информации по этому поводу прочитайте следующее заявление от команды разработчиков ISA Server Product.

Появилась новая консоль для выбора и проверки сертификата, с помощью которой можно выбирать сертификаты. Вы имеете возможность увидеть законность сертификата, кем он был выпущен, дату окончания действия сертификата. Недействительные сертификаты подсвечиваются красным цветом.

Рисунок 9: Проверка сертификатов

Одно из наиболее крупных изменений в ISA Server 2006 касается встроенной поддержки различных схем аутентификации.

В зависимости от типа слушателя (listener) вы должны выбрать из следующих методов аутентификации:

• HTML Client Certificate Authentication
• HTTP Authentication
• HTML Form Based Authentication

ISA Server может проверят права, касающиеся:

• Active Directory
• Active Directory с использованием LDAP (новый в ISA Server 2006)
• RADIUS (OTP)
• RADIUS
• RSA SecurID

Рисунок 10: Параметры аутентификации

ISA Server 2006 может теперь работать с Kerberos ограниченной версии (constrained Delegation), если сервер ISA Server является членом домена.

Рисунок 11: Делегация аутентификации

ISA Server 2006 теперь позволяет включение единой подписи (Single Sign On - SSO) для ISA Weblistener.

Рисунок 12: Параметры SSO

Настраиваемая аутентификация, основанная на формах (Forms Based Authentication)

С помощью ISA Server 2006 теперь появилась возможность создания настраиваемых HTML форм вместо форм по умолчанию. Благодаря этой возможности вы можете заполнить форму требованиями, касающихся вашей компании.

Рисунок 13: Настраиваемые формы

Пожалуйста, обратите внимание:
В вышедшей бета-версии ISA Server 2006 есть возможность интегрированной смены пароль для пользователей OWA. В настоящее время вы должны активировать эту возможность вручную на стороне Exchange, а также должны пройти непростую процедур активации возможности по смене пароля в процессе FBA на сайте ISA.

Перевод ссылок (Link Translation)

Возможность Link Translation в ISA Server 2006 была полностью изменена. Возможность Link Translation поддерживает дополнительные наборы символов (Character Sets) и автоматически активируется, когда вы создаете правило Web server Publishing rule.

Рисунок 14: Перевод ссылок

Аутентификация LDAP

ISA Server 2004 появился с поддержкой RADIUS в правилах Webserverpublishing и для VPN таким образом, что ISA Server не должен быть членом Active Directory Domain.

Использование аутентификации RADIUS имеет ряд преимуществ и недостатков, поэтому теперь Microsoft поддерживает родную аутентификацию LDAP Authentication в ISA Server 2006 в виде вебфильтра (Webfilter) для LDAP аутентификации.

Рисунок 15: Вебфильтр для LDAP аутентификации

Вы можете указать сервера Active Directory для использования, а также можете выбрать для использования сервер с глобальным каталогом (Global Catalog Server). Если вы хотите обеспечить безопасность соединения с сервером Active Directory вы можете использовать LDAPS (безопасный LDAP).

Рисунок 16: Указание сервера LDAP

Изменения в VPN в ISA Server 2006

ISA Server 2006 поддерживает следующие протоколы VPN:

• L2TP по IPSEC
• PPTP
• Чистый IPSEC

Существенных изменений в поддержке VPN для ISA Server 2006 Beta I нет. Интересным изменением в поддержке VPN для ISA Server2006 является помощник ISA Server Branch Office Connectivity Wizard.

Некоторые из вас использовали помощник VPN Site to Site Wizard в ISA Server 2000, с помощью которого можно было создать требуемое VPN соединение, и после создания сохранить конфигурацию на флоппи диск (Floppy Disc). С помощью этого флоппи диска было возможно завершить установку VPN на других сайтах, на которых находится копия ISA Server.

В ISA Server 2006 этот помощник снова жив.

Рисунок 17: Помощник ISA Server Branch Office Connectivity Wizard

Помощник VPN Branch Office Wizard поможет вам создать VPN соединение между дочерним офисом (Branch Office) и главным офисом (Headquarter). После завершения работы помощника вся информация может быть записана на диск или другой портативный источник, передан в дочерний офис, и там вы можете завершить применение VPN, вставив портативный источник, запустив помощник VPN Wizard и указав файл для импорта (Import file).

Пожалуйста, обратите внимание:
Эта возможность в Beta 1 доступна только для корпоративной версии ISA Server (Enterprise Edition) и требует ручного запуска файла AppCfgwzd.exe.

Flood Mitigation (снижение флуда)

Возможности ISA Server 2004 по ограничению DoS атак, задержанию червей (Worm) и снижению флуда очень ограничены. В ISA Server 2006 Microsoft стала использовать новое средство под названием Flood Mitigation (снижение флуда).

С помощью Flood Mitigation появилась возможность ограничить число параллельных сессий TCP и UDP с одного IP адреса, число HTTP запросов в минуту с одного IP адреса, число TCP соединений в минуту с одного IP адреса и многое другое.

Для того чтобы извлечь максимум пользы от новой возможности Flood Mitigation, вы должны осторожно отслеживать вашу сеть, чтобы отличать Flood Attacks и черви (Worms) от нормальной работы ваших приложений в вашей сети.

Рисунок 18: Возможность Flood Mitigation

Заключение

Я надеюсь, что эта статья была полезна для вас, и вы смогли увидеть, какие изменения и улучшения появились в ISA Server 2006. Если вы по подробнее исследуете ISA Server 2006, я уверен, вы найдете еще больше изменений. ISA Server 2006 имеет несколько эволюционных улучшений, касающихся публикации (Publishing), управления сертификатами (Certificate Management) и аутентификации (Authentication). По моему мнению Microsoft может назвать ISA Server 2006 - ISA Server 2004 R2. ISA Server 2006 – это стартовая площадка для следующих версий Microsoft ISA Server.

Ссылки

ISA Server 2006 Overview
http://www.microsoft.com/isaserver/2006/default.mspx

Download the ISA Server 2006 Trial
http://www.microsoft.com/isaserver/2006/beta.mspx

ISA Server 2006 Reviewers Guide
http://www.microsoft.com/isaserver/2006/prodinfo/guide.mspx

Автор: Марк Гроут(Mark Grote)

Марк Грот (Marc Grote) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве внештатного IT инструктора и консультанта на севере Германии. Он специализируется в ISA, SMS, Exchange, Безопасности на Windows 2000 и Windows Server 2003 при разработках, миграциях и реализациях и Citrix Metaframe / Cisco реализациях. Его заслуги были замечены и ему присвоено звание Microsoft MVP для ISA Server. Вы можете посетить его домашнюю страницу www.it-training-grote.de