Microsoft ISA Server 2004

精簡管理介面，新增第7層SSL封包解析檢測功能

自從ISA（Internet Security & Acceleration）Server 2000之後，Microsoft就沒有再推出新的版本，一方面固然是ISA Server 2000的網路防護能力良好，另一方面則是防火牆技術已經發展到一個極限，軟體防火牆又侷限於伺服器硬體的效能問題，較難有一大幅度的改變。對於現今的防火牆來說，單單只有連線規則與黑白名單已經逐漸不敷使用，管理者需要的是更聰明、也更能夠阻擋各式各樣攻擊的設備，在ISA Server 2004中，我們就可以很明顯的發現不論是管理介面的改變、防護機制的更新、各類不同的過濾器（Filter）、或是功能整合等方面，都有許多長足的演變，讓不習慣CLI介面的網路管理人員也可以有效地建立安全的企業網路環境。圖像化安裝設定，降低設定難度

在安裝完ISA Server 2004之後，就可以明顯感受到友善的管理介面所能帶來的影響，導入精靈模式讓原本艱澀的ISA Server變得相當容易。

首先映入眼簾的就是一份簡單但完整的入門指南，透過5個步驟讓管理者可以從最初的網路架構設定、建立安全連線的原則規則、設定快取伺服器、VPN連線直到最後的流量監視及報表，一步接一步的設定，而不必擔心有遺漏任何設定步驟。

設定防火牆的時候，最難的不是設定連線規則，而是如何定義並規範最基本的網路架構，ISA Server中提供了5項基本的網路架構示意圖做為範本，在選擇最適合的範本之後，就可以依照精靈的提示設定連線架構，與ISA Server 2000比較起來，ISA Server 2004的建置相當友善也相當的方便。不單是網路架構，存取規則的部分也可以透過精靈完成。ISA Server 2004的防火牆原則是依據流量方向設定的，在沒有注意的狀況之下，很容易設定成只能對內或只能對外。在不同路由關係或是NAT環境的建置上，ISA Server 2004也可以很輕易地定義各網路區塊彼此間的關係，搭配上預設的連線規則，能夠很快地將原始環境建立完成。

單純設定存取規則是相當簡單的，麻煩的是如何將內部伺服器發布到網際網路上，不單是防火牆上要開啟特定連線埠轉接到伺服器上，伺服器也需要作一些調整，才能使用。不過ISA Server 2004能夠與AD完善的整合，只要該伺服器加入了AD，就能夠直接在ISA Server 2004上設定並且發布出去。就算不是網站而是資料夾，也能夠透過路徑設定的方式發布出去，管理上相當容易。

如果管理者需要建置多臺防火牆時，也可以透過匯出設定檔的方式，轉存成XML檔案，並且發布到其他管理者或站臺上，降低建置時間並加強政策管理的效力。安全機制加強，有害封包無所遁形

跟隨近來防火牆的功能演進，ISA Server 2004當然也要增強安全防護的功能，包含動態封包過濾、回路過濾、應用程式過濾等功能，將防火牆功能由傳統的第2層的MAC Address過濾、第3層的IP與連線埠過濾，提升到第4到7層的封包及應用程式過濾，能夠保護後方用戶端PC，並且隱藏企業內部的網路拓樸，避免外界有機會探知情報。

ISA Server 2004的動態封包過濾功能，除了過濾不當封包之外，也會在需要的時候才開啟連線埠，並在通訊結束後關閉，避免開啟過多的連線埠造成安全隱憂。而就算連線埠已經建立並開始傳送資料，ISA Server 2004也能夠了解每項應用程式的指令，避免不當指令攻擊侵入內部網路。同時搭配上入侵偵測（Intrusion Detection）的功能，能夠偵測攻擊並發出警訊，讓管理人員可以得知各種網路威脅的狀況。除了多種防火牆功能之外，也整合了各種網路連線功能，藉由VPN與SecureNAT的方式，架構出安全的遠端存取連線以及內部連線，用戶端PC不需要安裝軟體，也不需要特別的設定，就能夠藉由ISA Server 2004的連線管理能力支援各種複雜的通訊協定。

整合了本機使用者、AD或是RADIUS等身分認證資料庫，管理者能夠透過單一機制管理各項設備的權限，統一權限管理的方式，避免因設定疏忽造成不便甚至是安全漏洞。不單是防火牆部分可以使用，也能夠套用在VPN連線、網頁代理、FTP等功能上，讓整體網路架構的建置變得簡單。

在各種防火牆新增功能中，讓我們最感興趣的則是SSL橋接功能，傳統上不論是防火牆或是IDS/IPS都無法檢測並過濾SSL封包，雖然可以防止外部竊聽與修改，但是卻不能保證用戶端不會有安全疑慮。ISA Server 2004提供了兩種SSL連線方式：SSL橋接與SSL通道。SSL通道模式會直接轉送封包而不作任何處理，SSL橋接模式則會先行解開SSL加密，並檢查所傳遞的內容並篩選，在需要高度安全性的環境中，可以有效降低被攻擊的可能，但是效能卻會因此降低。記錄功能加強，圖形化報表簡潔易懂

ISA Server 2004在管理上的一項特點，就是新增的記錄檢視器與儀表板檢視功能。透過儀表板功能，我們可以一眼就清楚地看到可支援的所有項目，不論是各種連線群組、服務、工作階段、警示以及即時的系統效能等。整個操作介面也相當簡單，管理者可以由上方的標記選擇所需要檢視的項目，與ISA Server 2000比較，檢視報告的速度更快，也更容易找到重要訊息。

報表部分完全支援中文，並且採用HTML的方式呈現，雖然報表項目相當多，不過管理者可以由左方的摘要選項快速連接到欲查詢的數據。報表部分除了數據統計之外，也提供長條圖、圓餅圖及曲線圖等統計圖表，可以檢視本機端流量、連線埠及應用服務的統計量，各站臺與使用者的連線流量以及摘要等。管理者不但可以很輕鬆的了解目前網路使用狀況，也可以製作工作報表，讓其他主管可以了解。

對於網路管理者來說，ISA Server 2004所具備的管理機制相當友善，與其他設備所搭配的網管軟體比較，整合性較佳，圖像呈現也較優秀。安全防護的功能也明顯增強許多，添加許多目前網路安全強調的多項功能，能夠透過單一設備完成大多數的安全防護措施。不過最大的問題還是在於系統的效能瓶頸，雖然軟體防火牆功能完整，要是伺服器效能不足，依然沒有辦法達到預期的功效。雖然系統需求不高，但是要得到良好的傳輸效能，還是應該選擇較佳的伺服器硬體才行。文⊙羅健豪