服务器网关防火墙
如果是上面说的第二种情况,用服务器来做网关的话,就需要一款功能强大而且能够对整个局域网实施保护的专业防火墙软件,这类软件并不多,微软的 ISA Server 2004 算是非常出色的一款代表产品:
ISA Server 2004
功能简介:
继ISA Server 2000之后,微软发布了最新的ISA Server 2004,不管是相对于它的前身ISA Server 2000,还是相对其他防火墙或代理服务器产品,ISA Server 2004都是一个值得赞誉的产品,现在,微软不仅仅以软件的形式提供ISA Server 2004,而且有了以硬件形式出现的第三方产品,比如HP ProLiant DL320。
当今的网络安全已成为必须重视的一个问题,微软的ISA 2004在用于小型单位或个人构建安全高效的网站时很方便适用(针对有独立的服务器而言)。ISA 2004 比 ISA 2000 的功能上改进了很多,ISA 2004 引入了多网络支持、易于使用且高度集成化的虚拟专用网络配置、已扩展且可扩展的用户和身份验证模型以及改进的管理功能。ISA 2004 提供了几种适用的网络部署方案可以很方便的解决许多网络部署问题,我们强烈推荐ISA2004,在网关上安装之后,局域网的其他电脑就不需要安装其他防火墙了,非常好用。
新增功能:
1. 多网络
多网络配置:可以配置一个或多个网络,并使每个网络都与其他网络具有明确的关系。
独特的每个网络策略:使用 ISA 服务器新增的多网络功能,可以通过限制客户端(甚至组织内部的客户端)之间的通讯来防止网络受到内部和外部的安全威胁。
路由和 NAT 网络关系:可以使用 ISA 服务器并根据所需要的访问和通讯来定义网络之间的路由关系。
2. 安全和防火墙策略
支持需要多个主连接的复杂协议:包括许多流媒体、语音应用程序和视频应用程序所需要的协议。
自定义的协议定义:可以控制为创建防火墙策略规则的任何协议而使用的源端口号和目标端口号。
身份验证:可以使用内置的 Windows、RADIUS、RSA SecurID 身份验证或其他名称空间对用户进行身份验证。
网络对象:可以定义网络对象,其中包括计算机、网络、网络集、地址范围、子网、计算机集和域名集。
防火墙策略规则代表有序的列表:防火墙策略规则代表有序的列表,其中连接参数将首先与列表中最上面的规则进行比较。
Outlook Web Access 发布向导:提供为 Exchange 服务器的 Outlook Web Access 创建安全套接字层 (SSL) 虚拟专用网络 (VPN) 的步骤。
FTP 支持:可以访问在其他的端口号上进行侦听的 Internet 文件传输协议 (FTP) 服务器,,而不需要在客户端或 ISA 服务器计算机上进行特殊的配置。
服务器发布规则的端口重定向:可以在一个端口号上接收连接,而将请求重定向到发布的服务器上的另一个端口号。
安全的 Web 发布:可以将服务器放置在公司网络或外围网络中防火墙的后面,并安全地发布其服务。
HTTP 1.1 支持:与上游服务器连接时,ISA 服务器是 HTTP 1.1 客户端。
3. 虚拟专用网络
VPN 管理:ISA 服务器包含一种完全集成的虚拟专用网络机制,该机制基于Server 2003/2000。
对 VPN 的状态筛选和检查:由于 VPN 客户端配置为独立的网络,因此可以为 VPN 客户端创建单独的策略。
Secure NAT:防火墙策略引擎有差别地检查来自 VPN 客户端的请求,对这些请求进行状态筛选和检查,并根据访问策略动态地打开连接。
通过站点到站点的 VPN 隧道进行状态筛选和检查:ISA 服务器针对通过站点到站点的 VPN 连接移动的所有通讯引入了状态筛选和检查。
VPN 隔离控制:可以在独立的网络上隔离 VPN 客户端,直到它们满足预定义的一组安全要求。
对站点到站点 VPN 链接的 IPSec 隧道模式支持:ISA 服务器通过允许将 IPSec 隧道模式用作 VPN 协议来提供站点到站点的链接支持。
VPN 监视和日志记录:可以监视 VPN 客户端和远程 VPN 网络的活动,就像监视其他任何 ISA 服务器客户端的活动一样。
4. 监视
仪表板:视图汇总了有关会话、警报、服务、报告、连接性以及常规系统运行状况的监视信息。
在日志查看器中进行实时监视:可以实时地查看防火墙和 Web 代理日志。
内置日志查询(筛选):可以使用内置的日志查询工具来查询日志文件。
会话的实时监视和筛选:可以查看所有活动的连接。
连接性验证程序:通过从 ISA 服务器计算机上使用连接验证程序定期监视与特定计算机或统一资源定位器 (URL) 的连接,可以验证连接性。
报告发布:可以配置 ISA 服务器报告任务,以便自动将报告的副本保存到本地文件夹或网络文件共享中。
记录到 MSDE 数据库:日志现在可以存储为 MSDE 格式。
5. 插件
每条规则基础上的 HTTP 筛选:ISA 服务器的 HTTP 策略使得防火墙可以执行深入的 HTTP 状态检查(应用程序层筛选)。
阻止对所有可执行内容的访问:可以配置 ISA 服务器的 HTTP 策略阻止对 Windows 可执行内容的所有连接尝试(无论在资源上使用什么文件扩展名)。
将 HTTP 筛选应用于所有 ISA 服务器客户端连接:ISA 服务器可以使用 MIME Enter(对于 HTTP)或文件扩展名(对于 FTP)来阻止基于 Web 代理客户端的 HTTP 连接或 FTP 连接访问内容。
基于 HTTP 签名控制 HTTP 访问:可以创建 HTTP 签名,并将其与请求 URL、请求头、请求正文、响应头和响应正文进行比较。
强制实现从完整 Outlook MAPI 客户端的安全 Exchange RPC 连接:使用 ISA 服务器的 RPC 策略,可以阻止所有未加密的 Outlook MAPI 客户端连接。
FTP 策略:ISA 服务器的 FTP 策略可以配置为允许用户使用 FTP 进行上载和下载,或者可以限定仅允许用户使用 FTP 进行下载。
链接转换:ISA 服务器包含一项链接转换功能,以便您可以为内部计算机名称创建定义词典,使其映射为众所周知的名称。
对 IP 选项的精细控制:可以很精细地配置 IP 选项,仅允许您需要的 IP 选项,同时禁止其他所有选项。