【正文】 能夠阻止用戶使用 Outlook Web 訪問打開附件，而會(huì)話超時(shí)功能，可以防止用戶的電子郵件會(huì)話無(wú)限期保持打開狀態(tài)而為他人所使用。這樣，ISA Server 2006 幫助您阻止可能存在危險(xiǎn)的匿名請(qǐng)求到達(dá) Microsoft Exchange Server。阻止匿名連接可以阻止匿名用戶登錄的嘗試，即一種以內(nèi)部郵件服務(wù)器為目標(biāo)的主要攻擊手段。ISA Server 2006 還通過(guò)安全插槽層 (SSL) 解密 (SSL 橋接)用于檢查 SSL 通信中是否具有惡意代碼，還通過(guò) HTTP 過(guò)濾提供對(duì)應(yīng)用程序內(nèi)容的深入檢查，阻止針對(duì)電子郵件服務(wù)器的攻擊。ISA Server 2006向企業(yè)網(wǎng)絡(luò)外部雇員提供高度安全的電子郵件訪問 Microsoft Internet Security and Acceleration (ISA) Server 2006 為 Microsoft Office Outlook Web 訪問 web站點(diǎn)提供了獨(dú)特級(jí)別的保護(hù)。為提高性能進(jìn)行內(nèi)容緩存?？刂坪捅Ｗo(hù)避免惡意通信。將分支機(jī)構(gòu)鏈接到一起。為移動(dòng)員工建立遠(yuǎn)程訪問。在合作伙伴之間建立加密隧道。 為遠(yuǎn)程用戶建立虛擬專用網(wǎng)絡(luò)。ISA Server 2006 的通用應(yīng)用功能包括：用于移動(dòng)員工的電子郵件訪問。對(duì)于關(guān)注網(wǎng)絡(luò)的安全、性能、易管理性或運(yùn)營(yíng)成本的 IT 經(jīng)理人、網(wǎng)絡(luò)管理員和信息安全專業(yè)人員來(lái)說(shuō)，ISA Server 2006 提供了很高的價(jià)值。ISA 2006 比ISA 2000 的功能上改進(jìn)了很多，ISA 2006 引入了多網(wǎng)絡(luò)支持、易于使用且高度集成化的虛擬專用網(wǎng)絡(luò)配置、已擴(kuò)展且可擴(kuò)展的用戶和身份驗(yàn)證模型以及改進(jìn)的管理功能。 其他設(shè)備 可使用與計(jì)算機(jī)操作系統(tǒng)兼容的網(wǎng)絡(luò)適配器，每增加一個(gè)與 ISA Server 計(jì)算機(jī)連接的網(wǎng)絡(luò)，都需增加一個(gè)網(wǎng)絡(luò)適配器、調(diào)制解調(diào)器、或 ISDN 適配器，以便同內(nèi)部網(wǎng)絡(luò)進(jìn)行通信； 需要一塊額外的網(wǎng)卡用于與 ISA Server 2006 企業(yè)版集成的網(wǎng)絡(luò)適配器進(jìn)行通信 CDROM 或 DVDROM 驅(qū)動(dòng)器 VGA 或更高分辨率的監(jiān)控器 鍵盤和 Microsoft 鼠標(biāo)或可兼容的定點(diǎn)設(shè)備 以下是對(duì)這款防火墻的介紹: 繼ISA Server 2000之后，微軟相繼發(fā)布了ISA Server 2004及最新的ISA Server 2006，不管是相對(duì)于它的前身ISA Server 2000，還是相對(duì)其他防火墻或代理服務(wù)器產(chǎn)品，ISA Server 2006都是一個(gè)值得贊譽(yù)的產(chǎn)品，現(xiàn)在，微軟不僅僅以軟件的形式提供ISA Server 2006，而且有了以硬件形式出現(xiàn)的第三方產(chǎn)品，比如HP ProLiant DL320。 內(nèi)存:推薦使用 512 MB 或更高的內(nèi)存。版本類型企業(yè)版版本號(hào)2006語(yǔ)言版本英文版軟件環(huán)境操作系統(tǒng):帶有 Service Pack 1 (SP1) 的 Microsoft Windows Server 2003 32位操作系統(tǒng)或 Microsoft Windows Server 2003 R2 32 位。品　牌微軟相比以上幾款防火墻，ISA Server 2006 是企業(yè)最佳的選擇。 通過(guò)對(duì)上述產(chǎn)品的比較,為了更有效率的對(duì)付網(wǎng)絡(luò)上層出不窮的病毒攻擊和黑客入侵，應(yīng)具備靈活的配置選項(xiàng)，以及強(qiáng)有力的入侵檢測(cè)功能，只有這樣才能保證在復(fù)雜的網(wǎng)絡(luò)環(huán)境中數(shù)據(jù)的完整性。但從網(wǎng)絡(luò)安全保障考慮，則要求對(duì)網(wǎng)絡(luò)系統(tǒng)提供服務(wù)的種類、時(shí)間、對(duì)象、地點(diǎn)甚至內(nèi)容有盡可能多的了解和控制能力，實(shí)現(xiàn)這樣附加的安全功能不可避免地要耗費(fèi)有限的網(wǎng)絡(luò)資源或限制網(wǎng)絡(luò)資源的使用，從而對(duì)網(wǎng)絡(luò)系統(tǒng)的性能、服務(wù)的使用方式和范圍產(chǎn)生顯著影響?！　≡趯?shí)際的網(wǎng)絡(luò)中，保障網(wǎng)絡(luò)安全與提供高效靈活的網(wǎng)絡(luò)服務(wù)是矛盾的。同時(shí)CheckPoint Firewall1是一個(gè)跨平臺(tái)防火墻系統(tǒng)，目前支持Windown 98/NT/2000/XP/2000，SUN OS、SunSolaris、IBM AIX、HPUN、FreeBSD以及各類Linux系統(tǒng)。CheckPoint Firewall1防火墻的操作不是在應(yīng)用程序上進(jìn)行，而是在操作系統(tǒng)的核心層進(jìn)行，這樣讓防火墻系統(tǒng)達(dá)到最高的性能、最佳的擴(kuò)展與升級(jí)，它支持基于 WEB的多媒體和UDP應(yīng)用程序，采用多重驗(yàn)證模板和方法，使網(wǎng)絡(luò)管理員非常簡(jiǎn)單驗(yàn)證客戶端、會(huì)話和用戶對(duì)網(wǎng)絡(luò)的妨問，簡(jiǎn)單的操作讓人馬上就能得心應(yīng)手。3)CheckPoint Firewall1作為專業(yè)從事網(wǎng)絡(luò)安全產(chǎn)品開發(fā)的公司，美國(guó)CheckPoint是軟件防火墻領(lǐng)域中的佼佼者，其開發(fā)的軟件防火墻產(chǎn)品CheckPoint Firewall1在全球軟件防火墻產(chǎn)品中排名第一。服務(wù)器定義防病毒策略、監(jiān)控客戶端狀態(tài)、進(jìn)行報(bào)警和日志處理、實(shí)現(xiàn)特征碼升級(jí)和分發(fā)。 KILL安全胄甲（企業(yè)版）采用網(wǎng)絡(luò)化防病毒管理。KILL安全胄甲（企業(yè)版）功能也相當(dāng)齊全，全面查殺病毒；實(shí)時(shí)監(jiān)控、按需掃描；集中網(wǎng)絡(luò)管理；客戶端零管理；多種安裝方式；報(bào)表分析；自動(dòng)增量升級(jí)；在線更新等，產(chǎn)品擁有廣泛的系統(tǒng)平臺(tái)支持和雙引擎掃描技術(shù)優(yōu)勢(shì)，越的病毒查殺能力認(rèn)證，分布廣泛的病毒監(jiān)測(cè)網(wǎng)，資源占用率低，自身安全保障，是一款功能強(qiáng)大、性能穩(wěn)定的企業(yè)級(jí)產(chǎn)品。特別是對(duì)于大型企業(yè)和組織，ISA Server的應(yīng)用層安全功能將有助于為傳統(tǒng)的現(xiàn)有數(shù)據(jù)包過(guò)濾和狀態(tài)檢測(cè)提供更多保護(hù)。利用ISA Server 2006，用戶不必花費(fèi)時(shí)間購(gòu)買、部署和管理各種異類系統(tǒng)。此外，ISA Server 2006包括了一個(gè)經(jīng)過(guò)極大擴(kuò)充的工具集合，以及能夠保護(hù)企業(yè)網(wǎng)絡(luò)的VPN訪問的其它功能特性。優(yōu)點(diǎn)：Microsoft ISA Server 2006 構(gòu)建在一個(gè)經(jīng)過(guò)升級(jí)的體系結(jié)構(gòu)之上，該架構(gòu)經(jīng)過(guò)特殊設(shè)計(jì)，以抵御最新類型的Internet攻擊和帶有某些功能（諸如簽名阻止）的蠕蟲病毒的破壞。該防火墻還為基于 Microsoft Windows Server 2003 的隔離解決方案提供了 VPN 客戶端檢查，幫助保護(hù)網(wǎng)絡(luò)免遭通過(guò) VPN 連接進(jìn)入的攻擊。ISA Server 2006 對(duì) Internet 協(xié)議（如超文本傳輸協(xié)議 (HTTP)）執(zhí)行深入檢查，這使它能檢測(cè)到許多傳統(tǒng)防火墻檢測(cè)不到的威脅。它尤其適合于保護(hù)需要為不同地域設(shè)置多重防火墻陣列的大型企業(yè)網(wǎng)絡(luò)，實(shí)現(xiàn)運(yùn)行 Microsoft 客戶端和服務(wù)器應(yīng)用程序，如 Microsoft Office， Microsoft Outlook Web 訪問(OWA)，Microsoft Internet Information Services (IIS)，Office SharePoint Portal Server，路由和遠(yuǎn)程訪問服務(wù)，活動(dòng)目錄的目錄服務(wù)等，以及其他更多的 Microsoft 應(yīng)用系統(tǒng)，服務(wù)器，和服務(wù)。它尤其適合于保護(hù)運(yùn)行 Microsoft 應(yīng)用程序的網(wǎng)絡(luò)。 通過(guò)對(duì)市場(chǎng)主流產(chǎn)品的分析，目前一般都以以下幾個(gè)公司的產(chǎn)品，簡(jiǎn)單介紹如下：1）Microsoft ISA Server 2006Microsoft Internet Security and Acceleration (ISA) Server 2006 是高級(jí)應(yīng)用程序?qū)臃阑饓?、虛擬專用網(wǎng)絡(luò) (VPN) 和 Web 緩存解決方案，它使客戶能夠通過(guò)提高網(wǎng)絡(luò)安全和性能輕松地從現(xiàn)有的 IT 投資獲得最大收益。目前主要支持和 IDS 的聯(lián)動(dòng)和認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng)。單單依靠防火墻難以防范所有的攻擊行為，這就需要將防火墻技術(shù)、入侵檢測(cè)技術(shù)、病毒檢測(cè)技術(shù)有效協(xié)同，共同完成保護(hù)網(wǎng)絡(luò)安全的任務(wù)。 協(xié)同性。 數(shù)據(jù)包的深度檢測(cè)。根據(jù) SANS 的調(diào)查顯示，提供 HTTP 服務(wù)的 IIS 和 Apache 是最易受到攻擊，這說(shuō)明 80 端口所引發(fā)的威脅最多。80 端口的關(guān)閉。企業(yè)之前的合作將合作伙伴納入了企業(yè)網(wǎng)絡(luò)里，全國(guó)各地的分支機(jī)構(gòu)共享 一個(gè)論壇，都使可信網(wǎng)絡(luò)的概念變得模糊起來(lái)。由于黑客攻擊技術(shù)和工具在 Internet 上隨手可及，使得內(nèi)部網(wǎng)絡(luò)的潛在威脅大大增加，這種威脅既可以是外網(wǎng)的人員，也可能是內(nèi)網(wǎng)用戶，不再存在一個(gè)可信網(wǎng)絡(luò)環(huán)境。內(nèi)部網(wǎng)絡(luò) “ 包廂化 ” （ partmentalizing ）?，F(xiàn)在一些廠商推出的 VPN （虛擬專用網(wǎng)）技術(shù)就是很好的解決方式。 遠(yuǎn)程辦公的增長(zhǎng)。狀態(tài)監(jiān)測(cè)技術(shù)，采用強(qiáng)大的面向?qū)ο蟮姆椒?，基于通信信息、通信狀態(tài)、應(yīng)用狀態(tài)等多方面因素，利用靈活的表達(dá)式形式，結(jié)合安全規(guī)則、應(yīng)用識(shí)別知識(shí)、狀態(tài)關(guān)聯(lián)信息以及通信數(shù)據(jù)，構(gòu)造更復(fù)雜的、更靈活的、滿足用戶特定安全要求的策略規(guī)則。例如，已經(jīng)通過(guò)防火墻認(rèn)證的用戶可以通過(guò)防火墻訪問其他授權(quán)的服務(wù)。 應(yīng)用狀態(tài)：即其他相關(guān)應(yīng)用的信息。狀態(tài)檢測(cè)防火墻在狀態(tài)表中保存以前的通信信息，記錄從受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息，例如FTP請(qǐng)求的服務(wù)器地址和端口、客戶端地址和為滿足此次FTP臨時(shí)打開的端口，然后，防火墻根據(jù)該表內(nèi)容對(duì)返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析判斷，這樣，只有響應(yīng)受保護(hù)網(wǎng)絡(luò)請(qǐng)求的數(shù)據(jù)包才被放行。 通信狀態(tài)：即以前的通信信息。防火墻先在低協(xié)議層上檢查數(shù)據(jù)包是否滿足企業(yè)的安全策略，對(duì)于滿足的數(shù)據(jù)包，再?gòu)母邊f(xié)議層上進(jìn)行分析。先進(jìn)的狀態(tài)檢測(cè)防火墻讀取、分析和利用了全面的網(wǎng)絡(luò)通信信息和狀態(tài)，包括：通信信息：即所有7層協(xié)議的當(dāng)前信息。傳統(tǒng)的包過(guò)濾防火墻只是通過(guò)檢測(cè)IP包頭的相關(guān)信息來(lái)決定數(shù)據(jù)流的通過(guò)還是拒絕，而狀態(tài)檢測(cè)技術(shù)采用的是一種基于連接的狀態(tài)檢測(cè)機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過(guò)規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。 任何一款高性能的防火墻，都會(huì)采用狀態(tài)檢測(cè)技術(shù)。 網(wǎng)關(guān)防火墻的一個(gè)挑戰(zhàn)就是能處理的流量，狀態(tài)檢測(cè)技術(shù)在大為提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度。 狀態(tài)檢測(cè)防火墻摒棄了包過(guò)濾防火墻僅考查數(shù)據(jù)包的 IP 地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。3）狀態(tài)檢測(cè)技術(shù)我們知道， Internet 上傳輸?shù)臄?shù)據(jù)都必須遵循 TCP/IP 協(xié)議，根據(jù) TCP 協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過(guò) “ 客戶端同步請(qǐng)求 ” 、 “ 服務(wù)器應(yīng)答 ” 、 “ 客戶端再應(yīng)答 ” 三個(gè)階段，我們最常用到的 Web 瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過(guò)這三個(gè)階段。這些信息對(duì)追蹤攻擊和發(fā)生的未授權(quán)訪問的事件事很有用的?！　⊥ㄟ^(guò)限制某些協(xié)議的傳出請(qǐng)求，來(lái)減少網(wǎng)絡(luò)中不必要的服務(wù)。代理型的優(yōu)點(diǎn)：架設(shè)簡(jiǎn)單容易，且架設(shè)所需的費(fèi)用是最少的。要求認(rèn)證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。工作機(jī)制代理服務(wù)型防火墻按如下標(biāo)準(zhǔn)步驟對(duì)接收的數(shù)據(jù)包進(jìn)行處理：（1） 接收數(shù)據(jù)包（2） 檢查源地址和目標(biāo)地址（3） 檢查請(qǐng)求類型（4） 調(diào)用相應(yīng)的程序（5） 對(duì)請(qǐng)求進(jìn)行處理性能特點(diǎn)（1）提供的安全級(jí)別高于包過(guò)濾型防火墻（2）代理服務(wù)型防火墻可以配置成唯一的可被外部看見的主機(jī)以保護(hù)內(nèi)部主機(jī)免受外部攻擊（3）可以強(qiáng)制執(zhí)行用戶認(rèn)證（4）代理工作在客戶機(jī)和真實(shí)服務(wù)器之間，完全控制會(huì)話，所以能提供較詳細(xì)的審計(jì)日志（5）代理的速度比包過(guò)濾慢（6）代理服務(wù)型防火墻中的佼佼者AXENT Raptor完全是基于代理技術(shù)的軟件防火墻。代理型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測(cè)和掃描,而且代理服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過(guò)濾型產(chǎn)品,代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器。2）應(yīng)用代理型應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問變成防火墻對(duì)外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過(guò)包過(guò)濾型防火墻。 綜上可見，包過(guò)濾技術(shù)的缺陷也是明顯的。它不能跟蹤 TCP 狀態(tài)，所以對(duì) TCP 層的控制有漏洞。 錯(cuò)誤！未找到引用源。假如內(nèi)網(wǎng)用戶提出這樣一個(gè)需求，只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁(yè)（使用 HTTP 協(xié)議），不允許去外網(wǎng)下載電影（一般使用 FTP 協(xié)議）。 錯(cuò)誤！未找到引用源。包過(guò)濾防火墻的工作基于一個(gè)前提，就是網(wǎng)管知道哪些 IP 是可信網(wǎng)絡(luò)，哪些是不可信網(wǎng)絡(luò)的 IP 地址。包過(guò)濾防火墻具有根本的缺陷：錯(cuò)誤！未找到引用源?，F(xiàn)在的路由器、 Switch Router 以及某些操作系統(tǒng)已經(jīng)具有用 Packet Filter 控制的能力。防火墻技術(shù)經(jīng)歷了包過(guò)濾、應(yīng)用代理網(wǎng)關(guān)、再到狀態(tài)檢測(cè)三個(gè)階段。 （4）企業(yè)內(nèi)部局域網(wǎng) 連接INTERNET 互聯(lián)網(wǎng)，公司內(nèi)部可訪問互聯(lián)網(wǎng)。由交換機(jī)分配指派IP給各個(gè)終端，結(jié)合傳輸介質(zhì)傳輸信息。 （2） 路由器、交換機(jī)路由器是第一套防護(hù)系統(tǒng)，負(fù)責(zé)網(wǎng)絡(luò)安全。即在企業(yè)內(nèi)部的整塊網(wǎng)絡(luò)的終端，這些終端為交流協(xié)作所用。針對(duì)網(wǎng)絡(luò)系統(tǒng)實(shí)際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)務(wù)之急，考慮技術(shù)難度及經(jīng)費(fèi)等因素，設(shè)計(jì)時(shí)遵循如下思想：1．大幅度地提高系統(tǒng)的安全性和保密性；2．保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性； 3．易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；4．盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；5．安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；6．分步實(shí)施原則：分級(jí)管理 分步實(shí)施。需要明確的是，安全技術(shù)并不能杜絕所有的對(duì)網(wǎng)絡(luò)的侵?jǐn)_和破壞，它的作用僅在于最大限度地防范，以及在受到侵?jǐn)_的破壞后將損失盡旦降低。