中文名: Microsoft ISA2004簡體中文版英文名: Microsoft Internet Security and Acceleration (ISA) Server 2004別名: ISA 2004 王者歸來版本: 簡體中文版發行時間: 2004年制作發行: Microsoft地區: 大陸簡介:
[已通過安全檢測]SYMANTEC.ANTIVIRUS.CORPORATE.V10.0.2.2000(英文精簡版本)
[已通過安裝測試]WinXP+SP2和WIN2003專業版 WIN98
軟件版權歸原作者及原軟件公司所有，如果你喜歡，請購買正版軟件
共享服務時間:每天:8點至24：30點
共享服務器:DonkeyServer No3 . DonkeyServer No9
軟件名稱：Microsoft ISA2004簡體中文版
軟件版本：
軟件大小：53.61 MB
軟件語言：簡體中文
軟件類別：國外軟件 / 共享軟件 / 服務器區
運行環境：Win2003, WinXP, Win2000, NT, WinME, Win9x
作為著名路由級網絡防火牆Microsoft® Internet Security and Acceleration Server 2000 （以下簡稱為ISA Server 2000）的升級版，微軟已經在2004年7月13日發布了Microsoft® Internet Security and Acceleration (ISA) Server 2004（以下簡稱為ISA Server 2004）。它和ISA Server 2000相比，到底有哪些值得我們期待的新功能呢？本文詳細地介紹ISA Server 2004的新特性，並且圖文並茂的介紹了ISA Server 2004中新增加的重要功能。
新功能概述
和ISA Server 2000相比，ISA Server 2004中引入了多網絡支持、易於使用且高度集成的虛擬專用網絡配置、擴展的和可擴展的用戶和身份驗證模型、深層次的HTTP協議檢查以及經過改善的管理功能（包括配置導入和導出）。
ISA Server 2004新特性一覽
應用層過濾
功能 描述
基於每個策略的HTTP過濾 允許防火牆執行更深層次的HTTP協議狀態檢查，並且可以基於每個策略來配置。
阻止訪問可執行文件 禁止用戶通過HTTP協議訪問Windows下的可執行文件(比如Cmd.exe)
通過文件擴展名來控制 HTTP策略可以基於文件擴展名來定義准許或者禁止訪問
HTTP過濾應用到所有的客戶連接 通過HTTP策略，你可以控制所有的ISA Server 2004客戶連接
HTTP簽名 可以建立“HTTP簽名”來和客戶請求的URL進行比較，從而精確地控制內部和外部用戶
控制允許的HTTP方式 控制用戶HTTP訪問的方式。例如，你可以限制HTTP POST來阻止用戶向Web站點上傳數據
支持Outlook的RPC連接 ISA Server 2004允許Internet用戶通過Outlook訪問內部Exchange服務器。
FTP策略 FTP策略甚至可以讓用戶只能下載數據
安全與防火牆
功能 描述
協議支持 支持對任何協議（包括 IP等級協議）訪問和使用的控制。
支持需要多個主連接的復雜協議 許多流媒體和音頻/視頻應用這種復雜協議在ISA Server 2004中也提供了支持。你可以管理它們，也可以通過易於使用的協議向導輕松建立協議。
可自定義的協議 允許控制任何協議的源和目的端口，這讓你可以從更高級別上管理允許進入和流出的數據包。
方便的Hotmail支持 通過簡單的防火牆設置即可訪問Hotmail而不需要其他在客戶端或者防火牆上進行特殊設置
防火牆規則向導 ISA Server 2004包含的新規則向導集，讓你建立策略更輕松。
OWA發布向導 Outlook Web Access發布向導可以很方便地建立Exchange服務器的SSL訪問規則。
FTP支持 允許訪問非標准端口的Internet FTP服務。
多網絡
功能 描述
多網絡配置 可以配置一個或多個網絡，並使每個網絡都與其他網絡有明確的關系。訪問策略是相對於多個網絡而定義的，而不必相對於給定的內部網絡。
唯一的基於網絡的策略 ISA 服務器的多網絡功能使您可以限制客戶端（甚至您自己組織內部的客戶端）之間的通訊，從而防止網絡受到內部和外來的安全威脅。
網絡模板 ISA 服務器包含與常見網絡拓撲對應的網絡模板。可以使用網絡模板來為網絡之間的通訊配置防火牆策略。
NAT 和路由網絡關系 ISA Server 2004中可以根據網絡之間所允許的訪問和通訊類型來定義網絡關系。主要包括NAT和路由兩種關系。
監視和報告
功能 描述
實時日志監控 可以實時監控防火牆、Web Proxy和SMTP郵件的日志。
內建日志查詢工具 支持使用內建的日志查詢工具來查詢日志文件。
對防火牆會話的實時監控和過濾 可以即時監控所有活動的防火牆會話，也可以使用內建的會話過濾工具來對會話進行過濾
連接驗證器 你可以通過連接驗證器來驗證到一個指定的計算機或者URL之間是否連通。你可以通過以下方式來決定連通性：Ping、連接到特定端口的TCP或者HTTP GET。你可以通過IP地址、計算機名字或者URL來指定驗證的對象。
自定義ISA Server 2004報告 ISA Server 2004包含了一個增強的報告自定義特性，允許你在報告中記錄更多信息。
報告發布 ISA Server 2004報告生成工具可以自動保存一個副本在本地目錄或者網絡共享文件目錄，方便其他用戶訪問。
報告完成後的E-mail通知 你可以配置報告生成工具在某個報告完成後給你發送一個電子郵件。
可以自定義報告跨越的時限 ISA Server 2004可以讓你自定義報告所跨越的時限，這給你更多的可擴展性。
增強的SQL服務器記錄 你可以把日志記錄在內部網絡中另外一台運行SQL Server數據庫的計算機上。
記錄到MSDE數據庫 日志可以存儲為MSDE格式，記錄在本地數據庫增強了速度和擴展性。
管理
功能 描述
管理 ISA Server 2004包含了新的管理特性，新的用戶界面包含任務面板、幫助面板、一個改進的開始向導和和全新的防火牆策略編輯器。
導入和導出 ISA Server 2004引入了導入和導出配置信息的能力，從而大大簡化了重復的配置工作。
防火牆管理員權限委派向導 防火牆管理員權限委派向導幫助你給用戶或用戶組分配管理角色。這些預定義的角色可以讓你委派不同級別的管理任務到用戶。
VPN網絡
功能 描述
VPN狀態過濾和檢測 VPN客戶端被配置為單獨的網絡，你可以為VPN 客戶端創建單獨的策略。規則引擎會有區別地檢查來自VPN客戶端的請求，對這些請求進行狀態檢查，並基於訪問策略動態地打開連接。
Site-to-Site的VPN隧道的通信狀態檢查和過濾 ISA Server 2004對Site-to-Site的VPN隧道連接引入了狀態檢查和過濾機制。
VPN隔離控制 在確認符合公司的安全要求前，可以將VPN 客戶端隔離到“被隔離的VPN客戶端”網絡中。
發布VPN服務器 使用ISA Server 2004服務器發布策略來發布VPN服務器，讓ISA Server 2004中智能的PPTP應用過濾器執行負責的連接管理。
支持Site-to-Site VPN鏈路上的IPSec隧道模式 ISA Server 2004中可以使用IPSec隧道模式作為VPN協議，而且它可以和許多第三方VPN解決方案一同工作。
從ISA 2000的發布到現在，已經過去了4個年頭，且不論網絡應用和防火牆在這期間都發生了很大變化，就連微軟最新的服務器操作系統Windows Server 2003，ISA Server 2000在不安裝補丁的情況下都是不支持的。經過了長時間的測試，微軟ISA Server 2000的繼任者ISA Server 2004，已經在2004年7月13日正式發布了。
Microsoft Internet Security and Acceleration (ISA) Server 2004 是高級應用程序層防火牆、虛擬專用網絡 (VPN) 和 Web 緩存解決方案，它使客戶能夠通過提高網絡安全和性能輕松地從現有的 IT 投資獲得最大收益。
ISA Server 2004 摘要
ISA Server 2004 為各種類型的網絡提供了高級保護、易用性和快速、安全的訪問。它尤其適合於保護運行 Microsoft 應用程序（如 Microsoft Outlook Web Access (OWA)、Microsoft Internet 信息服務、Office SharePoint Portal Server、路由和遠程訪問服務、Active Directory 目錄服務等）的網絡。
ISA Server 2004 包含一個功能完善的應用程序層感知防火牆，有助於保護各種規模的組織免遭外部和內部威脅的攻擊。ISA Server 2004 對 Internet 協議（如超文本傳輸協議 (HTTP)）執行深入檢查，這使它能檢測到許多傳統防火牆檢測不到的威脅。ISA Server 的集成防火牆和 VPN 體系結構支持對所有 VPN 通信進行有狀態篩選和檢查。該防火牆還為基於 Microsoft Windows Server 2003 的隔離解決方案提供了 VPN 客戶端檢查，幫助保護網絡免遭通過 VPN 連接進入的攻擊。此外，全新的用戶界面、向導、模板和一組管理工具可以幫助管理員避免常見的安全配置錯誤。
一、ISA 2004 王者歸來
1、新功能概述
2、全新的多網絡架構支持
3、增強的虛擬專用網絡（VPN）
4、更方便的管理
（1） 全新的管理界面
（2） 策略模板支持
（3） 配置的導出和導入
（4） 其他管理增強
5、全面的協議支持
6、讓網絡更安全
（1）基於每個策略的HTTP過濾
（2）阻止對所有可執行文件的訪問
（3）擴展名決定是否可以下載
（4）“HTTP簽名”控制HTTP訪問
（5）FTP只讀策略
二、安裝ISA Server 2004
一、系統及網絡需求
二、建立內部的DNS服務器
（1）安裝內部的DNS服務器
2、配置內部客戶使用內部的DNS服務器
四、配置允許所有內部用戶訪問Internet的所有服務的訪問規則
1、網絡規則
2、訪問規則
（1）防火牆系統策略
（2）建立訪問策略
3、配置請求撥號
五、使用邊緣防火牆模板：五步建立訪問策略
六、兩步啟用HTTP緩存
1、設置緩存所用的驅動器
2、設置緩存規則
七、ISA Server的系統和網絡監控、報告
1、系統和網絡監控
2、報告
八、使用訪問規則向導來禁止某些內部用戶訪問某些網站
1、新建網絡對象
2、建立訪問規則
九、禁止使用P2P軟件 — QQ
十、發布內部網絡中的服務器
1、使用Web發布向導發布內部的Web站點
2、使用服務器發布向導發布非標端口的內部ftp站點
3、使用郵件服務器發布向導發布內部的郵件服務器
十一、利用ISA Server 2004，四步建立你自己的VPN服務器
1、啟用VPN服務器
2、配置遠程訪問屬性
3、給予用戶撥入權限
4、建立訪問規則
十二、ISA Server 2004的無人值守安裝
十三、遠程管理ISA Server 2004
1、允許計算機可以遠程控制ISA Server 2004
2、授權用戶遠程管理ISA Server 2004
十四、ISA Server 2004的故障恢復
兩個小時成為ISA2004專家 ：http://www.5dmail.net/down/list.asp?id=866
全新的多網絡架構支持
通常來說，內部網絡的概念是指公司內部網絡中的所有計算機，外部網絡是指公司內部網絡以外的所有計算機（通常指Internet）。但是由於使用移動計算機訪問公司內部網絡的用戶的出現，從而使用戶實際上成為了獨立於網絡的部分。分支辦公室連接到總部，並希望像公司總部的內部網絡組成部分一樣使用總部的資源。許多公司使其公司網絡中的服務器（尤其是 Web 服務器）可接受公開訪問，但希望將這些服務器組織成一個單獨的網絡（DMZ網絡）。ISA Server 2004服務器新增的多網絡功能使你可以通過很簡單的配置來為這些復雜的網絡方案提供保護。多網絡支持影響到大部分 ISA Server 2004服務器的防火牆功能。
使用 ISA Server 2004服務器的多網絡功能可以限制客戶端（甚至你自己組織內部的客戶端）之間的通訊，從而防止網絡受到內部和外來的安全威脅。可以通過在 ISA Server 2004服務器中定義各個網絡之間的關系，從而確定各個網絡中的計算機如何通過 ISA Server 2004服務器相互進行通信。還可以將計算機組織成 ISA Server 2004服務器網絡對象（如計算機集和地址范圍），並針對各個網絡對象配置相應的訪問策略。
在常見的服務器發布方案中，您可能要將發布的服務器隔離在其自己的網絡（如DMZ網絡）中。ISA Server 2004服務器的多網絡功能支持這樣的方案，讓你可以很方便的配置公司網絡中的客戶端如何訪問DMZ網絡，以及 Internet 上的客戶端如何訪問DMZ網絡。你也可以配置各個不同網絡之間的關系，從而在各個網絡之間定義不同的訪問策略。ISA Server 2004 服務器中新增了網絡模板和網絡模板向導的功能，使得你可以很方便的配置你的網絡拓撲結構。
在該圖中，ISA Server 2004服務器連接 Internet（外部網絡）、公司網絡（內部網絡）和DMZ網絡。ISA Server 2004服務器上有三個網絡適配器，每個網絡適配器都連接到其中的一個網絡。通過使用 ISA Server 2004服務器，你可以在任何網絡之間配置不同的訪問策略，也可以確定各個網絡中的計算機是否可以相互進行通訊，以及如果是，將采用什麼方式。網絡間是獨立的，只有在你配置了允許通訊的規則時才是可訪問的。
為了實施多網絡方案，ISA Server 2004服務器引入了下列概念：
·網絡：從 ISA Server 2004服務器的角度看，網絡是可以包含一個或多個 IP 地址范圍或域的元素。網絡包含一台或多台計算機，並且始終對應於 ISA Server 2004服務器上的特定網絡適配器。您可以對一個或多個網絡應用規則。
•網絡對象：創建網絡後，可以將其組織成網絡對象集（子網、地址范圍、計算機集、URL 集或域名集）。規則可以應用於網絡或網絡對象。
•網絡規則：可以配置網絡規則，以定義並描述網絡拓撲。網絡規則確定了兩個網絡之間是否存在連接關系，以及將使用哪一種連接。可以通過下列方式之一連接網絡：網絡地址轉換 (NAT) 或路由（Route）。
增強的虛擬專用網絡(VPN)
ISA Server 2004服務器改進後的VPN管理功能可以幫助您輕松的設置虛擬專用網絡 (VPN)，並且由於支持產業標准 Internet 協議安全 (IPSec)，所以 ISA Server 2004 可以加入到其他供應商提供的已有 VPN 基礎結構的環境中，其中包括那些對站點到站點連接采用 IPSec 隧道模式配置的環境。
圖注 ISA Server 2004中全面增強了VPN功能
在ISA Server 2004中，有兩種類型的 VPN 連接：
•遠程訪問 VPN 連接。
客戶端建立遠程訪問 VPN 連接，以連接到專用網絡。ISA Server 2004服務器作為VPN接入服務器，遠程客戶通過連接它來進入內部網絡。
•站點到站點的 VPN 連接。
兩個VPN 服務器之間建立站點到站點的 VPN 連接，將專用網絡的兩個部分安全地連接起來。
將 ISA Server 2004服務器作為 VPN 服務器的好處是可以防止公司網絡受到惡意 VPN 連接的威脅。通過新增的多網絡支持和對 VPN 監控狀態的檢查，ISA Server 2004能很好的保證VPN的安全。同時 VPN 服務器集成到了防火牆功能中，所以為預配置的 VPN 客戶端網絡定義的 ISA Server 2004服務器訪問策略都適用於 VPN 用戶。所有 VPN 客戶端都屬於 VPN 客戶端網絡，並且受到防火牆策略的限制。
ISA Server 2004服務器中新增的隔離模式，可以確保在允許客戶端加入 VPN 客戶端網絡（通常具有不受限制的內部網絡訪問權限）之前，先檢查其是否符合公司的軟件策略。通過使用隔離控制，可以在真正地允許遠程 (VPN) 客戶端訪問網絡之前，將其限定為隔離模式，從而為其提供了階段性的網絡訪問權限。在客戶端計算機配置被調整或被斷定為符合組織的特定隔離限制後，會依照您指定的隔離類型對連接應用標准的 VPN 策略。例如，隔離限制可能規定在連接到您的網絡時應安裝並啟用特定的防病毒軟件。盡管隔離控制並不防范攻擊者，但是已授權的用戶在訪問網絡前，其計算機配置可以得到驗證，如有必要，也可以得到更正。還可以使用計時器設置來指定在客戶端不滿足配置要求的情況下經過多長時間即斷開其連接。
可以為每個 VPN 客戶端網絡創建兩個不同的策略：
•被隔離的 VPN 客戶端網絡。將訪問限制在某些服務器的范圍內，客戶端可以從這些服務器下載必要的更新以便達到軟件策略的要求。
• VPN 客戶端網絡。可以允許訪問所有公司（內部網絡）資源，或者根據需要限制訪問。VPN 客戶端網絡將擁有與外部網絡的 NAT 關系。系統將配置一個定義 VPN 網絡與外部網絡之間的 NAT 關系的網絡規則。
更方便的管理
ISA Server 2004在管理方面，使用起來更加方便。
1.全新的管理界面
為了方便管理，ISA Server 2004的管理主界面看上去更加簡潔，給用戶一種親切感。
圖注ISA Server 2004管理控制台的監視節點界面，清爽易用
2.策略模板支持
ISA Server 2004在網絡方面一個重要的新增功能是提供了網絡配置模板，可以讓你輕松的設置防火牆策略。ISA Server 2004提供了5個預定義的網絡模板：邊緣防火牆、3向外圍網絡（含DMZ）、前端防火牆、背部防火牆、單網絡適配器。
圖注 ISA Server 2004中的模板大大降低了配置難度
配置的導出和導入
ISA Server 2004服務器新增了配置的導出和導入功能，您可以使用該功能將服務器配置參數保存到一個 .xml 文件中，然後將該信息從文件導入到另一台服務器中。你可以將配置保存到您擁有寫入權限的任何目錄和文件中。
圖注備份、還原可以免除你重裝系統之後的重復配置之苦
儀表板
儀表板是ISA Server2004中的一個新穎的設計，通過它，你可以對ISA Server 2004當前的狀態一清二楚
實時的日志監控
ISA Server 2004的日志系統是通過簡化版的SQL Server來實現的，不但高效，而且可用於查詢的條件達到了幾十項，如Client IP、連接狀態等等。
強大的報告功能
報告是ISA Server 2004日志系統中一個劃時代的改進。簡單的操作、豐富的選項和報告發布的容易，讓ISA Server 2004的報告功能成為了讓網管選擇ISA Server2004的一大殺手锏。
ISA Server 2004生成的報告是純html文件，非常方便你共享給其他用戶觀看。而且報告內容的詳細程度，會令你大吃一驚。
全面的協議支持
ISA Server 2004中定義了絕大部分的通用協議，有上百種之多。不過畢竟是泊來品，ISA Server 2004把QQ定義為ICQ。
讓網絡更安全
基於每個策略的HTTP過濾
ISA Server 2004中的HTTP過濾策略是基於每條防火牆策略的，只要這防火牆策略中包含了HTTP協議，就可以配置該防火牆策略的HTTP策略。如下面兩張圖，第二條和第三條兩個不同的策略都包含有HTTP協議（協議為所有出站通訊，包含HTTP協議），所以都可以“配置HTTP”。
阻止對所有可執行文件的訪問
我們知道，對於Windows 2000/XP/2003下的攻擊，很多時候是以得到服務器的Shell為目標的，這就需要執行服務器上的Cmd.exe。ISA Server 2004中可以明確禁止訪問服務器上的Exe可執行文件，這樣類似的攻擊就不防而滅了……
擴展名決定是否可以下載
通過配置HTTP過濾，你可以通過文件的擴展名來控制用戶可以訪問的Web內容。
．“HTTP簽名”控制HTTP訪問
ISA Server 2004的深層HTTP檢查機制可以讓你建立“HTTP簽名”來和客戶請求的URL進行比較，這樣可以讓你精確的控制通過ISA Server 2004防火牆進行訪問的內部和外部用戶，例如微軟安全公告MS04-013中的OE溢出漏洞，是通過在HTTP頭中的路徑名來進行。你可以在“配置HTTP”中阻止帶有這個特征的HTTP數據。
圖注 “HTTP簽名”可以防止類似“Download.Jet”的蠕蟲攻擊
FTP策略
在ISA Server 2004提供了一個FTP策略，可以設置是否允許用戶上傳數據到FTP服務器中。
圖注 如果選擇只讀，則用戶只能從FTP服務器上下載數據而不能上傳