感受微软的安全产品ISA Server 2004

Internet Security and Acceleration Server 2004(简称ISA Server 2004)是微软即将推出的面向企业级用户的安全产品，它为企业提供了更为强大的安全防火墙、虚拟专用网（VPN）、Web缓存解决方案。
Internet Security and Acceleration Server 2004(简称ISA Server 2004)是微软即将推出的面向企业级用户的安全产品，它为企业提供了更为强大的安全防火墙、虚拟专用网（VPN）、Web缓存解决方案。特别是在网络安全防护方面，提出了“深度防护”的概念，对网络应用层提供了更有效的防护。笔者经不住诱惑，下载了ISA Server 2004中文测试版，120天使用期限。下面就谈谈试用后的感受。
下载地址：http://download.microsoft.com/download/5/7/d/57de9512-0e98-4f50-b8ed-5c316a1e1ceb/ISA2K4EVLS_CN.exe
规则配置，很简易
运行ISA Server 2004后，第一感受就是它的控制台管理界面较ISA Server 2000有了很大的改变（图1）。管理界面更具有亲和力，所有的管理、配置功能在控制台界面中都可以很容易找到，比ISA Server 2000更易于上手和使用。安装了ISA Server 2004后，默认是不允许网内用户访问外部网络的，必须创建一条访问规则来允许网内用户访问互联网。只要你按照提示一步步进行，就能配置出所需要的安全规则。

图一
深度防护，更安全
 
在ISA Server 2000应用中，对网络安全的防护，存在很多不足的地方。它只是对流通的网络数据包进行简单的检验，如检查数据包的头信息、地址信息以及端口信息，而对网络应用层中的内容是毫无办法的。据有关机构统计，近年来，有70％以上的网络攻击是针对应用层的，因此ISA Server 2004引入了“深度防护”的概念，新增了很多应用层防护功能，它不但能对数据包的IP头和TCP头信息进行检查，还能够检查网络应用层的内容，如对HTTP、RPV、 FTP等多种常见的应用层协议数据包进行过滤。下面笔者以HTTP应用层协议为例，简单介绍一下这些防护功能。
1.阻止HTTP下载
为了增强网络的安全性，防止病毒在局域网中滋生、蔓延，阻止网内用户随意从网站中下载软件是个不错的方法。在ISA Server 2004中禁止网内用户HTTP下载非常简单。在防火墙策略窗口中，右键单击创建的“允许用户访问外部网络”规则，在弹出的菜单中选择“配置HTTP”选项，接着在“为规则配置HTTP策略”对话框中（图2），切换到“常规”标签页，选中可执行文件栏中的“阻止包含Windows可执行内容的响应”选项，最后点击“确定”，这样网内用户就无法从网站中任意下载软件了。

图二
2.禁止IM软件使用HTTP代理
 
MSN Messenger、QQ是大家常用的即时通信工具，为了不影响正常办公，网管通常在上班期间，禁止网内用户使用这些通信工具。在ISA Server 2004中，使用“签名”功能，就能禁用HTTP代理。
右键单击“允许用户访问外部网络”规则，选择“配置HTTP”选项，在弹出的“为规则配置HTTP策略”对话框中，切换到“签名”标签页。
“签名功能”在HTTP应用层中，是利用即时通信软件数据包中的“关键字”进行过滤操作的。如MSN Messenger连接HTTP代理服务的时候，发送的数据包中的关键字为“MSMSGS”，而QQ使用的关键字为“tencent.com”。
下面就以MSN Messenger为例，介绍如何进行配置。在“签名”标签页中点击“添加”按钮，弹出配置对话框，在“名称”栏中输入“MSN Messenger”，然后在“查找范围”中选择“请求头”，在“HTTP头”栏中输入“User-Agent:”，接着在“签名”栏中输入“MSMSGS”，最后连续两次点击“确定”按钮，这样MSN Messenger就不能使用HTTP代理服务器了。
3.防御MyDoom
病毒对网络安全的威胁越来越大，如前段时间的震荡波、冲击波、MyDoom病毒，把整个网络搞得鸡犬不宁。为了增强网络的防毒能力，可以通过ISA Server 2004创建防毒规则，彻底阻断这些病毒的传播通道。下面笔者以MyDoom病毒为例，介绍如何进行配置。
MyDoom要使用TCP的3127～3198间的端口进行传播和通信，因此要定义一条访问规则，来禁用这些端口。此外，MyDoom是以explorer、shimgapi和 taskmon进程名在系统中运行，因此还要对防火墙客户端进行设置。
1)关闭“3127～3198”通信端口
右键点击“防火墙策略”选项，选择“新建→访问规则”，弹出“新建访问规则向导”对话框，在“访问规则名称”栏中输入“防御MyDoom”，点“下一步”后，在规则操作对话框中选择“拒绝”，然后在“协议”对话框选择“所选的协议”，点击“添加”，新建一个MyDoom协议。
在“添加协议”对话框中选择“新建→协议”，然后在“协议定义名称”栏中输入“MyDoom”，点击“下一步”后，进入“首要连接信息”对话框，点击“新建”，在“新建/编辑协议连接”对话框中，协议类型选择“TCP”，方向选择“出站”，端口范围栏中输入“从3127到3198”，点击“确定”。接着点击“下一步”，在“辅助连接”对话框中选择“否”，最后点击“完成”。
在添加协议对话框中展开“用户定义”，选中MyDoom协议，点击“添加”，将此协议添加到协议对话框中。点击“下一步”后，指定访问规则源，点击“添加”，弹出“添加网络实体”对话框，展开“网络集”目录，选择“所有网络（和本地主机）”；点击“添加”，接着设置访问规则目标；点击“添加”，在对话框中还是选择“所有网络（和本地主机）”；点击“添加”，然后进入 “用户集”设置对话框，选择“所有用户”，点击“完成”。
最后在防火墙策略窗口中选中“防御MyDoom”规则，点击上方的“应用”按钮。
 
2)配置防火墙客户端
在“常规”框的ISA服务器管理栏中点击“定义防火墙客户端设置”，接着在设置对话框中，切换到“应用程序设置”标签页。点击“新建”，弹出“应用程序项目”对话框，在应用程序栏中输入“explorer”，在“键”下拉列表框中选择“disable”，在“值”栏中选择“1”，点击“确定”，最后在应用程序设置标签页中点击“应用”。接下来用同样的方法，新建两个应用程序名分别为shimgapi和 taskmon的项目，操作过程就不再赘述了。
这样ISA Server 2004就能阻断MyDoom病毒在网络中的通信了。
笔者只是对ISA Server 2004中文测试版进行简单的试用，相信还有很多神奇的功能有待挖掘，大家拭目以待，期待ISA Server 2004中文正式版的推出。
编后：微软推出的Windows XP SP2大大提高了个人用户的系统安全。面对企业用户，微软的ISA Server 2004直接架设在网络前端，分析网络的数据包内容，及时拦阻恶意程序，通过简单配置，完全避开了例如MyDoom等凶悍病毒的威胁，较2000版本而言，技术先进性和易用性大有提高。
_xyz