ОБЗОР
Свой новый продукт Internet Security and Acceleration (ISA) Server 2000 корпорация Microsoft снабдила внушительным набором функций управления, однако его предпроизводственная версия Release Candidate 1 при тестировании в eWeek Labs хакерским атакам противостояла весьма посредственно.
Мы проверяли ISA Server 2000 с помощью двух популярных инструментальных программ с открытым кодом - Nessus 1.0.5 с (www.nessus.org) и NMAP 2.53 (www.insecure.org). Обе они распространяются бесплатно и позволяют производить сетевые атаки. И в том и в другом случае были обнаружены бреши (открытые порты), однако незначительные, едва ли имеющие большое значение с точки зрения угрозы безопасности сети. Наиболее же серьезные попытки взлома сервер успешно блокировал. Представители Microsoft пообещали, что в коммерческой версии их продукта, выпуск которой намечен на конец нынешнего года, недостатки будут устранены. Цена на сервер пока не сообщается.
В ходе тестирования ISA Server 2000 продемонстрировал впечатляющие возможности управления и обширную подержку устройств безопасности независимых производителей, вполне способную удовлетворить запросы крупных компаний при переходе на Windows 2000.
В основу своих прежних систем обеспечения безопасности Microsoft закладывала одноуровневые прокси-серверы. Однако такой сервер из состава Windows NT отличался плохой производительностью, небольшим выбором вариантов конфигурации и к тому же был довольно сложен в работе. Все это заставляло сетевых администраторов обращаться к услугам сторонних производителей средств защиты.
Новый продукт, напротив, в полной мере использует все преимущества системного кэша, брандмауэра и средств обнаружения атак, сочетая их с интерфейсом централизованного управления. Крупные предприятия и Web-узлы электронной коммерции, переходящие на Windows 2000, обязательно должны присмотреться к нему. Его двухуровневый прокси-сервер, дополненный брандмауэром и сервером Web-кэширования, обеспечивает более надежную защиту и лучшее управление, чем прежние серверы - представители корпорации.
А централизованная консоль управления ММС (Microsoft Management Console), включенная в состав ISA Server 2000 и оснащенная административным инструментарием на базе правил, позволила нам управлять и брандмауэром, и инфраструктурой кэширования. При такой схеме значительно снижается общая стоимость владения.
Очень важная особенность ISA Server 2000 - его тесная интеграция с Active Directory, позволяющая администратору хранить информацию о пользователях, правилах и конфигурации системы в центральной базе данных. Благодаря ей мы смогли обеспечить работу матрицы кэширования, автоматическое использование корпоративных настроек, политик доступа и правил публикации и осуществлять мониторинг конфигурации.
Интегрированное кэширование делится на четыре типа: высокопроизводительное на базе Web, интеллектуальное, плановое, а также распределенное и иерархическое. Web-кэширование первого типа выполняется с применением оперативной памяти и быстрого обмена с диском. Интеллектуальное кэширование достигается путем заблаговременной записи наиболее популярных объектов, при этом учитывается, когда тот или иной объект был помещен в кэш-память и когда к нему обращались последний раз.
Плановое кэширование позволяет организации загружать в кэш-память системы целые Web-узлы по заданному графику, гарантируя доступность самых свежих их копий всем пользователям. Распределенное и иерархическое кэширование предусматривают распределение онлайновых ресурсов между несколькими компьютерами ISA Server, позволяя пользователям получать информацию с ближайших кэш-серверов и тем самым намного повышая производительность и надежность связи.
Интрасеть для тестирования содержала сервер под управлением Windows 2000, сервер с установленным ISA Ser-ver 2000, Web-сервер, два клиента и один внешний клиент, с которого производились “хакерские” атаки. Для работы ISA Server 2000 необходимо установить пакет обновления Service Pack 1 для Windows 2000 Advanced Server, а также создать раздел на дисководе для NT File Server.
Подробные инструкции и мастера политики, прилагаемые к ISA Server 2000, значительно упрощают его установку. Нам не составило никакого труда обеспечить безопасность своей сети на требуемом уровне с помощью его брандмауэра и сервера Web-кэширования.
Резюме ДЛЯ РУКОВОДИТЕЛЕЙ
Internet Security and Acceleration Server 2000 Release Candidate 1
SA Server 2000 корпорации Microsoft - отлично выполненный пакет программных средств обеспечения безопасности на двух уровнях. Он гарантирует надежную защиту крупных сред Windows 2000, не принося в жертву их производительность.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Благодаря легкой и быстрой установке ISA Server 2000 позволяет оперативно наладить сетевую защиту и обеспечивает простоту сетевого управления.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. ISA Server 2000 хорошо масштабируется, поэтому обеспечит защиту серверов и серверных массивов по мере расширения сети. А широкий выбор продуктов независимых производителей, которые, как ожидается, будут созданы для ISA Server и интегрированы с ним, поможет обеспечивать безопасность и в будущем.
+ Отличный набор функций централизованного управления; наличие сервера Web-кэширования, повышающего производительность при работе во Всемирной паутине.
- Тесты показали слабые места в защите.
Корпорация Microsoft, Редмонд, шт. Вашингтон, (800) 426-9400, www.microsoft.com.
Методика оценки: www.pcweek.com/reviews/meth.html.
