多层防火墙
|
ISA Server 2006 提供了三种类型的防火墙功能:包过滤 (也称电路层)、状态过滤和应用层过滤。
|
应用层过滤
|
ISA Server 通过内置的应用过滤器提供了深入的内容过滤。
|
基于每个规则的 HTTP 过滤
|
IISA Server 2006 HTTP 策略允许防火墙执行深层的 HTTP 状态检查(应用层过滤)。检查的范围被设置在一个按照规则的基础上。利用此能力,您可以为 HTTP 的对内和对外访问设置定制的约束。
|
阻止对所有可执行内容的访问
|
您可以设置 ISA Server 2006 的 HTTP 策略,阻止所有试图对 Microsoft Windows 操作系统可执行内容的连接,而不必关心资源中的文件使用何种扩展名。
|
通过文件的扩展名控制 HTTP 文件的下载
|
ISA Server 2006 的 HTTP策略能够使您基于文件的扩展名来定义策略,包括“除特定扩展名组之外允许所有文件”或者是“除特定扩展名组之外阻止所有文件。”
|
HTTP 过滤被用于所有的 ISA Server 2006 客户端连接
|
利用 ISA Server 2006 的 HTTP 策略,您能够针对所有的 ISA Server 2006 客户端连接控制 HTTP 访问。
|
基于“HTTP 签名”控制 HTTP 的访问
|
ISA Server 2006 的深层 HTTP 检查能够帮助您创建“HTTP 签名”,实现对请求的 URL、请求的报头、请求的主体、以及响应的主体进行对比。这个功能使您能够对用户通过 ISA Server 2006 防火墙对内部和外部访问的内容进行精确的控制。
|
控制经允许的 HTTP 方法
|
您能够采用不同方法对用户访问进行设置,实现对被允许通过防火墙的 HTTP 方法进行控制。例如,您可以限制 HTTP POST 方法来防止用户使用 HTTP POST 方法向 Web 站点发送数据。
|
广泛的协议支持
|
ISA Server 2006 能够使您控制访问,以及对任何协议的使用,包括 IP-级的协议。用户能够使用诸如 Ping 和 Tracert 的应用系统,并且能够使用 PPTP 创建 VPN 连接。另外,通过 ISA Server 能够实现 IPSec 通信。
|
对需要多重主要连接的复杂协议的支持
|
很多流媒体和语音或者视频应用系统需要防火墙对复杂的协议进行管理。ISA Server 2006 能够管理这些协议,并且您可以使用一个易于使用的新协议向导来创建协议的定义。
|
可自定义的协议定义
|
利用 ISA Server 2006,您能够针对任何协议为您所创建的防火墙规则控制源和目的地的端口数量。这个功能为 ISA Server 2006 防火墙管理员确定哪些包能够被允许通过防火墙入站或者出站,提供了高级别的控制。
|
FTP 策略
|
ISA Server 2006 的 FTP 策略能够被设置为使用户实现通过 FTP 进行上传和下载,或者您能够限制用户的 FTP 访问,只能进行下载。
|
细化对 IP 选项的控制
|
利用 ISA Server 2006,您能够在细化的基础上设置 IP 选项,并且只允许您请求的 IP 选项,同时阻止其他的选项。
|
防火墙的用户组
|
您能够使用 ISA Server 2006 创建自定义防火墙组,这些组由在本地帐户数据库已经存在的或者活动目录服务域的组所组成。因为管理员能够通过这些现有的组创建自定义安全组,这个功能增加了您对基于用户或者组成员关系的访问进行控制的灵活性。针对入站和出站访问控制创建自定义安全组,删除了防火墙管理员必须是域管理员的需求限制。
|
通过防火墙实现对基于 Web 的 Microsoft Hotmail® 电子邮件的访问
|
ISA Server 2006 改进的 HTTP 过滤器能够使用户通过易于设置的防火墙规则访问 Hotmail,而不必在客户端或者防火墙上进行特殊的设置。
|
网络对象
|
利用 ISA Server 2006,在通过创建计算机、网络、网络设置、地址范围、子网、计算机设置、以及域名设置来定义网络对象方面,极大地扩展了您的能力。这些网络对象被用于针对防火墙规则定义源和目的地设置。
|
防火墙规则向导
|
ISA Server 2006 包括一套新的规则向导,使创建访问策略变得更加容易。ISA Server 2006 的访问策略能够通过成熟的防火墙规则进行创建,这个规则能够使您创建任何被请求的策略要素。创建网络对象时不需要离开规则向导。可以通过这个向导创建任意网络对象和网络关系。
|
防火墙规则表现为一个规则列表
|
ISA Server 2006 的防火墙规则表现为一个规则列表,这个列表中包含的参数会首先与顶级规则进行比较。ISA Server 2006 会向下移动规则的列表,直到找到与连接参数相匹配的规则,并且强制执行匹配规则的策略。这种防火墙策略的使用方法使确定为什么允许或者拒绝特定的连接变得更加容易。
|
基于用户或者基于组的访问策略
|
利用 ISA Server 2006 增强的防火墙规则,您可以为用户或者组能够访问的每个协议定义源和目的地。对于入站和出站访问控制,此特性极大地增加了灵活性。
|
对 FTP 的支持
|
ISA Server 2006 使您能够访问 Internet FTP 服务器,在交替的端口号上进行收听,而不需要在客户端或者是 ISA Server 2006 防火墙上进行特殊的设置。在交替的端口号上发布 FTP 服务器,除了需要一个简单的 FTP 服务器发布规则之外,不需要任何其它的设置。
|
用于 FTP 服务器发布规则的端口重定向
|
使用 ISA Server 2006,您能够在端口号上接收连接,并且将这个请求重新指向已发布服务器的另外一个不同的端口号。
|
洪流回弹
|
新的洪流回弹功能可以保护 ISA Server 2006,避免在洪流攻击过程中持续地不可使用,降低性能或者不可管理。
|
增强的攻击过程中的补救能力
|
通过日志扼杀、内存占用控制、以及对可疑的 DNS 查询的控制,洪流回弹功能在攻击过程中提供了增强的补救。
|