isa防火墙优缺点分析
ISA是软件,装在windows 上,优点是配置简单方便,可以和域整合,给域用户配置策略,缺点是没有硬件防火墙稳定。
10几年前的微软产品了,现在改Forefront TMG了。
可以做很多,正反代理,nat,访问规则,网络权限控制等等
随着网络技术的发展和不断进步,在给我们提供便利的同时,来自网络的威胁也随之增多。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品。然而传统防火墙处于网络安全的网络层和传输层,其弱点也是明显的:只能根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过,因而各种安全要求不可能充分满足。但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。微软公司的Internet Security and Acceleration(ISA)Server 就是这样的一种新型的防火墙产品。
ISA Server是一个高级的应用层防火墙、VPN和Web缓存的解决方案,可以帮助客户在现有的IT架构基础上轻松地最大化地提升网络的安全和性能。ISA Server有以下几大优点。
第一,轻松整合现有IT资源,最大限度提升性能和安全性。
作为微软Windows Server System中的一员,ISA Server可以实现和微软其他服务器产品的轻松整合。
目前,绝大部分企业通过在防火墙上配置VPN拨入来实现公司员工不在办公室时也可以访问公司内部的应用程序服务器。这种做法存在着极大的不足和缺陷。首先,防火墙管理员需要为每个使用VPN拨入的员工在防火墙上开设验证账号,在每个员工的客户端上进行VPN正确设置。
其次,从 Internet 直接访问这些应用程序,攻击代码可能会隐藏在“安全套接字层”(SSL)连接中。
再次,当员工位于远程位置时,他们可能位于防火墙之后,从而会阻止客户端访问 VPN 连接。
使用ISA Server就可以很好的解决上述问题。
ISA Server支持LDAP身份验证,并且能够工作在工作组模式,因此不再需要为AD目录服务通信打开所有必需的端口,只需打开和域控制器之间的 LDAP 或全局编录端口。在用户请求身份验证时,ISA Server将直接进行验证,只有经过验证的用户发送的请求才会被转发到内网。
ISA Server内建有多个应用程序发布规则向导,帮助用户简单快捷的实现OWA,RPC over HTTP和 Share point站点的发布,并可实现单点登录(SSO)。ISA Server还具有很好的扩展性。ISA Server作为一个软件防火墙,可以安装在Windows 2000 Server(SP4)和Windows Server 2003上,并可由用户使用免费的ISA Server SDK工具进行应用层过滤、访问控制等方面的扩展。
第二,应用层过滤。
ISA Server提供了大量的应用层筛选器。这些筛选器可以保护ISA Server避免来自针对特殊应用层协议和服务的弱点和漏洞的攻击。
第三,VPN支持。
ISA Server支持以下VPN协议:PPTP,L2TP/IPSec。ISA Server支持VPN客户端访问和站点与站点VPN连接2种模式。
VPN客户端访问模式允许配置为VPN客户端的单台计算机可以连接到ISA 并可以访问企业内部网络的资源。VPN客户端可以使用PPTP和L2TP/IPSec2种协议。同时,ISA Server还支持像SecureID,RADIUS和EAP/TLS等多种高级身份验证机制。
ISA Server的VPN相对其他防火墙的VPN有很大的优势。与很多厂商的防火墙允许VPN客户端可以完全访问企业内部网络不同,ISA Server可以针对每用户的VPN连接建立防火墙访问控制策略。当一个用户建立与ISA Server的VPN连接后,他只能访问他被授权可以访问的网络资源,其他资源都将不可用。
ISA Server相比其他防火墙另一个大的优点就是VPN隔离区。VPN隔离功能会在允许客户端访问企业网络之前进行预先检查,只有在VPN客户端必须满足预先设定的要求后才可以访问企业内部网络。
第四,Cache缓存。
ISA Server除了防火墙和VPN功能外,还可以充当Web代理服务器。它可以同时作为内部对外访问和外部对内访问的缓存服务器。
当处在ISA Server内部网络的某个用户访问Internet上某个Web站点,该用户请求访问的该站点的内容会被存放在ISA的Web缓存中,当下个用户请求访问同样的内容时,将直接从ISA Server缓存中读取相关的内容而不需要再次访问该网站。这样可以很好的降低Internet连接数和网络带宽的使用量。同时,对用户来说,还可以增加访问速度,提升员工的满意度和效率。
对于处在Internet上用户访问某台通过ISA Server 发布规则发布的Web站点时,ISA Server将代替Internet用户去访问处在Internal上的Web站点,然后再将请求内容传递给Internet用户,同时ISA Server还会将请求内容存放在自己的缓存中。当另外一个用户请求相同站点内容时,他将从ISA Server的缓存中直接读取。ISA Server的这个功能一来可以很好的降低Internal网络流量,二来可以保证Web站点永久在线。当Web服务器因为日常维护,硬件或软件故障而离线时,ISA Server的反向缓存功能将使它能够很好的担当起Web服务器的角色,因为网站的内容已经存放在ISA Server上,将由ISA Server来提供,避免了用户无法访问Web站点产生的负面影响。
第五,日志报告。
ISA Server提供了详细的日志报告。用户可以根据需要设置报告产生的周期(天,周,月,年),并且可以将报告以邮件形式发送给管理员。报告的内容包括了摘要,Web使用,应用程序使用,通讯和使用以及安全性5大方面。每个方面下面又分成各个小类,并以图表或数据表格的形式展现出来。让管理员看了之后一目了然。
上面说了ISA防火墙的这么多优点,接下来就谈谈它的劣势:
Isa只是构建在win平台上的软件应用系统,效率肯定要低得多,虽然Isa服务器的配置可能比硬件防火高很多,但是工作的能力肯定不如前者。Isa只不过加了一些防火墙的功能的pc,而且把一大堆的东西集成在了一起,冠名曰“方便管理”,功能全都隐藏了,谁都不知道他怎么实现的具体功能,策略制定的灵活性上也不够。pc构架本身就有缺陷,就是被攻击的切入点之一,硬防火起码不必考虑如同pc那样的兼容性问题和即插即用问题,所以更安全一些。另外软件上来说,硬防火的软件和硬件是一起设计的,配合的严丝合缝,效率高的多。
话说,亲,我就是叫兽啊,很多专业的资料,你可以弹我
单位需要一个什么级别的硬件防火墙.请附具体参数.
如果是学校的话没什么太机密的文件装个普通的就行 本人提点不成熟的意见 hillstone SA-2001就应该够用了 现在我就在装这个 效果还不错 价格在7000参数: 主要参数 设备类型 安全网关 并发连接数 200000 网络吞吐量(Mbps) 150 安全过滤带宽 150Mbps 网络端口 5*GE 用户数限制 SSL用户数(标配\/...
无线路由器的吞吐量是指那150M那个参数吗
2、内存方面 以每个并发连接表项占用300B计算,50000个并发连接将占用300B×50000×8bit\/B≈120M内存空间;另外,再将防火墙其他功能占用到的内存比值考虑进去的话,内存为512或以上!3、吞吐量方面 网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情...
如何防治SQL注入?
顺便说几句,众所周知,SQLServer的用户sa是个等同Adminstrators权限的角色,拿到了sa权限,几乎肯定可以拿到主机的 Administrator了。上面的方法可以很方便的测试出是否是用sa登录,要注意的是:如果是sa登录,提示是将”dbo”转换成int的列发生错误,而不是”sa”。 如果服务器IIS不允许返回错误提示,那怎么判断数据库类型呢...
ISA2006,防火墙客户无法用Outlook通过POP3收邮件(新浪、163等都不行...
你开放了端口不行的话就是。163和新浪的邮箱都要在网页邮箱先设好了允许使用邮箱客户端接收才能用邮件接收器的。在防火墙中加一条规则:如下:从内到到外网。允许的协议:SMTP和POP3协议。这样应该就可以了
问一下,硬防火墙可以改成软路由吗?
我的理解是:本质上所有的防火墙都是软防只是有的是专用芯片平台,比如思科的有的是通用芯片平台比如ROS以现在X86的性能,1G以下的出口是看不出区别的
...双通高速内存 系统 Windows 2003 磁盘 320G SA
),找个比较有实力的IDC公司,托管到他们那去,一般IDC都是集群防护,防御要比你自己的高,我以前在一家IDC公司做过机房管理,我们那是集群防护30G 中新的防火墙。每天都会有点攻击,一般都会在受到攻击10多G时封IP(最多1小时解封),别说不好,在高点就是电信封IP了,让电信封IP没几天是不会...
IPSEC的两种工作模式是什么?
包过滤防火墙只能控制来自或去往某个站点的IP数据包的通过,可以拒绝来自某个外部站点的IP数据包访问内部某些站点,也可以拒绝某个内部站点对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后,...
思科配置常见问题及其解决方法
从包括在某些思科路由器中的性能到PIX防火墙所提供的服务,再到思科的 Concentrator,其中的每一个都有其自身的特点。考虑到选项的复杂性,本文所讨论的这些技巧并不一定适用于所有的思科配置。不过,下面我将会为您解决类似的问题提供一个很好的起点,欢迎大家参考和学习。 问题一:某个运行互联网连接共享的用户不能安装...
Juniper SA2000是防火墙吗
juniper这个是防火墙的品牌,没问题。但是后边的型号就不知道了。
Openswan和freeswan的区别?
这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。 IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-...
彤路神衰: ISA是软件,装在windows 上,优点是配置简单方便,可以和域整合,给域用户配置策略,缺点是没有硬件防火墙稳定.
仲巴县18523477662: ISA与路由器的优缺点各是什么??
彤路神衰: ISA和路由器都是可以控制企业上网的. 其中,ISA可以控制得更精确更细一些,但是安全性没路由器的强. 而路由器安全性强,相当于是一个硬件防火墙.
仲巴县18523477662: 软件防火墙有哪些?ISA是不是最好的软件防火墙? ?
彤路神衰: 防火墙有不同类型.一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中.防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙.最后,直接连在因特网的机器可以使用个人防火墙. 没有绝对的最好的 blackice应该是比较优秀的 对于国内用户,天网也是不错的 微软自带的防火墙性能也不错,而且是自身集成的,兼容性自然也最好
仲巴县18523477662: 服务器中木马的解决办法 - ?
彤路神衰: 把系统补丁 更新 到最新 如果是 sql sever 数据库 修改 数据库 默认端口 扫描本机 不安全端口 如果 有网站 看看 是不是 网站 有漏洞 网站程序 是否被修改过 xp可以用 魔法盾 禁止创建 exe文件 不知道 2003 可不可以 杀毒软件用 小红伞 灵敏高 缺点 误报高 如果2003 支持魔法盾 就 可以自己制定 安全策略 删除 cmd.exe
仲巴县18523477662: ISA 和硬件防火墙主要什么区别 - ?
彤路神衰: 硬件防火墙:系统是嵌入式的系统.一般开源的较多.硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的.软件防火墙:一般寄生在操作系统平台.软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的. 硬件防火墙的抗...
仲巴县18523477662: 思科ASA防火墙(硬件的)和微软的ISA(软件的)那个防火墙更加安全?如何选择使用,还是搭配一起使用? - ?
彤路神衰: 可以单独用,也可以搭配用,你可以不用ISA,但是一定要有硬件防火墙. ISA主要是进行权限方面的管控比较方便.
仲巴县18523477662: ISA的网络构架企业用得多吗?为什么?那一般用什么构架啊?急 - ?
彤路神衰: 用的多啊 企业级防火墙 应用层可以过滤 一般中小企业 ISA---内网.
仲巴县18523477662: 从技术上讲,防火墙主要分为哪两类?它们分别工作在网络的什么层次?简述这两种防火墙技术的原理和特点 - ?
彤路神衰: 软件防火墙 和硬件防火墙 他们分别工作在不同的层面上 软件的比如ISA2006 支持7层防止病毒 黑客入侵等 硬件的如JUNIPER CISCO的ASA 等 包括高端的UTM防火墙 可定义ACL 当然主要是对流量而定 主要是 针对DDOS 包括入侵 等非法流量攻击
仲巴县18523477662: arp防火墙和ISA防火墙有什么区别 - ?
彤路神衰: 说得明了些:1、arp防火墙主要是为了防止arp欺骗,其实arp防火墙相当于一个透明的交换机,它可以做arp inspection(arp深度检测),你可以提前静态的绑定接口mac,端口等相关信息,也可动态的获取.当一个arp数据包通过时,它只会把匹配arp条目的数据包放通过去,其他不匹配的阻止.2、isa防火墙是微软的防火墙,它不仅可以提供应用层的检查,减缓拒绝服务攻击(ddos攻击)而且可以很好的进行行为管理,类似中国深信服的上网行管理.有其他想交流的,接着聊
仲巴县18523477662: 关于ISA防火墙的问题!?
彤路神衰: 需求是:防止访问ISA防火墙 1,建立规则是在ISA防火墙上建立 2,禁止外网访问防火墙 3,ISA防火墙=本地(相对于搭载ISA防火墙的计算机) 所以,外网想要访问防火墙,就相当于访问ISA本地主机.目标就是本地主机. 所以,选C,指定本地主机(就是ISA放火墙所在的计算机)作为访问规则的目标
