在你的网络中,你已经安装并配置好了ISA Server 2000防火墙,它按照你的配置运行良好。现在微软推出了一个全新的、经过改进的防火墙ISA 2004(ISA防火墙)。你可能会想,“我的ISA Server 2000防火墙已经很不错了,为什么我需要升级呢?升级需要导出和导入我原有的规则,还需要我学习如何让它正常工作”。
提供粒度控制的VPN服务 在全新的ISA防火墙中包含的VPN服务器和你过去见过的VPN服务器都不一样。和其他VPN服务器和网关不一样(包含ISA Server 2000的VPN服务),全新的ISA防火墙中的VPN功能允许你对VPN服务进行粒度控制,你可以通过访问控制来控制访问的用户/用户组、使用的协议和可以访问的站点。ISA防火墙对VPN之间的访问提供了全部的状态过滤和应用层状态识别检查。
IPSec隧道模式支持站点到站点的VPN 使用ISA Server 2000的一个极大的障碍就是它不能和第三方的VPN网关建立IPSec隧道模式的连接。许多组织的分公司只是ISA Server 2000作为Web代理服务器,然后在ISA Server 2000面前加装一个硬件防火墙进行包过滤检查和建立IPSec隧道连接,就是因为ISA Server 2000不能和总部的VPN网关间建立IPSec模式的VPN连接。
全新的ISA防火墙可以通过IPSec隧道模式来连接到第三方的VPN网关。现在你可以丢掉分公司的两个防火墙(ISA Server 2000和硬件防火墙),全新的ISA防火墙可以为你的分公司提供完整的VPN服务、Web缓存、IPSec接入以及防火墙保护功能。
为Web发布规则保留了源IP地址 一个让ISA Server 2000防火墙管理员不喜欢它的原因就是当进行Web发布时,它不能保留远程客户的原始IP地址信息。ISA Server 2000 防火墙管理员使用Web发布规则来替代服务器发布规则是因为Web发布规则提供深度的应用层状态识别,这样可以保护发布的Web服务器。但是不能保留客户的原始IP地址信息却让管理员不能使用日志分析工具对日志进行分析:在Web日志中所有的客户IP信息都是ISA Server 2000的内部接口地址。
对于Web代理连接的RADIUS认证 许多组织想利用ISA Server 2000防火墙的日志和报告功能,这样他们可以获得内部用户访问外部网络的统计信息。问题是为了认证发起外部连接请求的用户,ISA Server 2000防火墙需要成为域的成员。
这些组织可能只有一个防火墙,所以ISA Server 2000防火墙放置在Internet的边缘。此时,将ISA Server 2000作为域成员是不安全的,所以这些组织不得不放弃在ISA Server 2000中记录用户名的想法(与之对比的是,在背靠背防火墙环境中,将背端的ISA Server 2000防火墙作为域成员是可以的)。
设为主页
收藏本站
相关文章: