ISAServer新功能介绍.pptVIP

ISA Server 2006新功能介紹 精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP Agenda ISA Server 2006 概觀 安全遠端存取新功能 企業分公司安全性新功能 網際網路存取保護新功能 何謂 Forefront ？ 是一套完整的企業營運安全性產品可用來協助企業經由深度整合與簡化管理的方式取得更完善的防護 ISA Server 2006 簡介 ISA Server 2006 是一套企業級防火牆及網站快取伺服器。 藉由 ISA Server 2006 可以為企業網路提供如下的特性： 安全的 Internet 連線 快速的 Web 存取 一致性的管理 可延伸的平台 高可用性、錯誤移轉及備援 ISA Server 2006 新功能概觀 安全遠端存取 安全應用程式發行 使用者身份驗證 工作階段管理 Web 發行負載平衡 伺服器發佈 憑證管理 單一登入 連結轉換 安全應用程式發行 整合的安全性 增強的多重驗證機制 (智慧卡、單次密碼) LDAP 驗證支援 可自訂表單型態的預先驗證 增強的驗證委派 (包括 NTLM、Kerberos 和 SecurID) 改善的工作階段管理 有效的管理 提供 Web 發行負載平衡 提供 Exchange、SharePoint 和其他 Web 伺服器的自動化工具 增強的憑證管理 快速安全的存取 單一登入 自動化連結轉換 使用者身份驗證 ISA Server 2006 在用戶端身份驗證所做的加強包括了 支援可完全自訂化的 HTTP 表單驗證機制：以往 ISA Server 所支援的表單驗證機制僅限於對 Exchange Server 的 OWA，而 ISA Server 2006 除了支援 Exchange Server OWA 的表單驗證機制之外，另外也可以對一般的網站進行表單驗證的支援，並且後端的驗證伺服器可以為 AD、LDAP、RADIUS、SecureID 及 RADIUS 單次密碼驗證。 增強的驗證委派：以往使用者在經由 ISA Server 存取後端網站時，倘若 ISA Server 本身的驗證機制啟動；而網站本身的驗證機制也啟動，則此時使用者必須輸入二次帳號/密碼。為了解決這個問題，管理者可以啟動 ISA Server 的「基本委派」功能，如此使用者只需要登入一次，便可以通過 ISA Server 及網站主機的驗證。但是此方法僅限於「基本驗證」機制，如果使用其他的驗證機制，則 ISA Server 將不提供基本委派的功能。在 ISA Server 2006 中，驗證委派的部分除了支援基本驗證外，另外也開始支援了包括 NTLM、Kerberos 及 SecurID 等驗證機制。 工作階段管理 在傳統的驗證過程中，使用者被驗證成功的狀態，是由用戶端的電腦所保留。如此的驗證方式在某些情況中，可能會造成使用上的不便(使用者可能常常需要重新驗證)或是安全上的瑕疵(使用者已經登出，但系統卻仍然保留驗證成功的狀態)。 表單驗證的運作機制為使用者在通過身份驗證後，系統會發給使用者 cookie，而往後使用者的身份將經由此 cookie 進行確認。因此只要 cookie 保持在有效的狀態，則使用者就不需要對系統進行重新驗證的動作。並且當使用者的工作階段結束(如登出或關閉瀏覽器)，則 cookie 將喪失其有效性，如此將可以確保系統的安全性。 ISA Server 2006 在工作階段的管理(cookie 的有效性管理)除了保有 ISA Server 2004 的優點外，另外更增加了對於不同狀態電腦可以提供更有彈性的設定，包括了是否要使用永久有效的 cookie、或者是對公用電腦與私有電腦可以有不同的設定。 Web 發行負載平衡 當企業的網站需要提供給大量的使用者進行存取時，最快的解決方案便是建構所謂的「網站伺服器農場」。然而該如何讓農場中的每一部伺服器都可以適當的為使用者提供服務，則常見的作法有： DNS 輪詢。其優點為簡單、其缺點為缺乏容錯及負載平衡的效果。 Windows NLB。其優點為可以達到容錯及負載平衡的效果、其缺點為設定上較為複雜。 為此 ISA Server 2006 提供了第三種作法，也就是由 ISA Server 發佈後端整個網站伺服器農場。其特性為設定上較 NLB 容易，並且一樣可以提供容錯及負載平衡的效果。 負載平衡的部分可以採 cookie based 或 source-IP based。 容錯的部分，ISA Server 則可以直接對伺服器農場中的每一部主機進行狀態的監控。無法提供服務的伺服器，ISA Server 將不會把使用者的請求導向至該主機。並且當主機需要維護時，管理