微軟 ISA Server 2000 Feature Pack 1

微軟曾經發表過Proxy Server軟體，可加速網頁讀取，並有效降低網路流量。Internet Security and Acceleration (ISA) Server 2000是Proxy Server 2.0的後代，效能表現較佳，可以針對網頁內容進行快取設定，提供彈性的選擇。然而ISA Server 2000並不只是單純的Proxy伺服器，它同時結合了企業防火牆，可抵禦外部攻擊與內部的不當資料傳遞。另外也具有頻寬限制的功能，可提高企業內部的網路效能。而現在針對日新月異的網路攻擊行為，更推出了Feature Pack 1，以提升ISA Server 2000在防護上與網路加速上的能力。捍衛網路安全、快速的網路存取與一致的管理模式

ISA Server 2000有三大特色：捍衛網路安全、快速的網路存取、一致的管理模式。在網路安全方面，ISA Server 2000除了單純的Network Address Translation（NAT）功能之外，也可以監聽控管各個不同通訊協定與連接埠，並且能夠在有不正常狀況出現時，主動告知網管人員；ISA Server 2000並且整合了Virtual Private Network（VPN）架構，網管人員能夠更簡便的管理整個網路，提升系統效能。

提升網際網路存取速度的部分，除了一般常見的分散式與階層式快取之外，還可視網管人員的特殊需求安排特定資料的排程下載，同時也支援媒體資料流的快取，更能夠增加存取速度。針對一般Unix系統上最令人頭痛的管理問題，ISA Server 2000提供了一致的管理模式，可以針對整個企業制訂一套共通的政策基礎，以作為存取控制的標竿。而之下的各個階層依然保有各自不同的彈性，可自行訂定控管規則。並且以直覺式的使用介面，提高親和力，便於使用，打破一般人對網管軟體的刻板印象。

在系統整合方面，ISA Server 2000能夠與Internet Information Server、Exchange Server、SQL Server進行整合，能夠作為企業網路的第一道關卡，防止外部不當指令進入破壞，也能夠輕易地架設出分散式架構與陣列式架構，以提升整體網路的效能。安裝容易，設定介面人性化

測試環境共有8臺電腦，其中一臺安裝Windows 2000 Server版本，並安裝ISA Server 2000英文版，作為測試網域中的獨立伺服器；其餘7臺電腦安裝Windows XP Professional英文版本，作為測試網域中的客戶端。

在還沒有實際安裝ISA Server 2000之前，使用Windows 2000 Server內建的路由及遠端存取功能進行基本的NAT功能測試。伺服器安裝兩張網路卡，啟用DHCP配發客戶端IP位置，啟用DNS作為名稱伺服器之用。

路由及遠端存取設定極為簡易，設定好之後，內部網路即可透過伺服器連線至外部網路。針對一般辦公室常用軟體進行實地測試的結果，可以正常使用ICQ與MSN的訊息功能、讀取網頁、收發信件及網路下載；無法正常使用MSN傳遞檔案。在Windows 2000 Server環境下，因無法限定各個用戶端所使用的頻寬，因此某一臺電腦從網路讀取大量檔案時，會影響整個內部網路效能。

確認整個網路環境可供測試ISA Server 2000之後，接著安裝ISA Server 2000，並安裝Service Pack 1及升級至Feature Pack 1（FP1）。安裝完成後，會詢問是否要使用設定精靈進行設定，使用者可依個人習慣進行相關設定。

此次並不針對特定功能進行測試，因此，基本要求為所有協定皆可通過，以測試在一般企業環境下常用軟體是否可以經過ISA Server 2000與網際網路互相連結。首先進行企業政策的設定，可以進行時間排程、鎖定目標區段、是否允許通過、使用何種協定與所連結的對象，進而對企業內所有網路通訊進行控管。政策的設定上，我們設定了一項規定，任何時間、每一個區域、每一種協定、所發出的每一個要求都允許通過。

接著設定伺服器選項，大致上與企業政策部分相同，不過功能更加詳細，可對IP封包過濾器進行更詳盡的設定。另外在伺服器設定中，還能夠限制每臺電腦所能夠使用的頻寬，可增加企業內部網路的整體穩定度。我們對IP封包過濾器的設定採用預設值不做任何更動。最後進行網路連線相關設定與Gatekeeper設定，整個ISA Server 2000的基本設定即告完成。
功能更新，防堵郵件病毒功能增強

因為本次測試所使用的是英文版，在親和力上略顯不足。相關功能設定方面，ISA Server使用樹狀結構進行相關設定，可針對相關協定與功能進行設定控管。使用者介面來說，並不會讓網管人員產生太大的困擾，在初步設定時並不會造成太大的困難，短時間之內就可以將基本設定完成。而在Unix系統使用NAT或Proxy功能時，基本功能僅需設定兩三行，甚至直接套用基本設定檔即可開始使用；但是若要針對不同通訊協定進行控管，則需要自行編寫設定檔，雖然僅需編寫相關的設定檔案，但是依然頗為複雜且難以理解。相較之下，ISA Server在這方面採用互動式的設定方法，顯得較為親近使用者的習慣且容易設定。

ISA Server 2000不單是提供了Proxy與NAT的服務，另外還提供了如同Apache內附的Virtual Host功能，不單可以使用IP轉址的功能，另外也可以使用Domain Name進行轉址，也可讓不同網域透過網際網路或VPN彼此連結。多臺伺服器連結時，也能夠有效地分散流量，提高工作效率，提升安全性。

ISA Server 2000原本即有SMTP篩選器的功能，但是僅對於不正常的SMTP命令與攻擊進行篩選。FP1中包含經過改進的SMTP篩選器，可以藉由附件名稱、副檔名或檔案大小進行篩選，也可以針對寄件人、網域、特定關鍵字或SMTP命令進行篩選，加強對於電子郵件病毒，或針對SMTP漏洞進行攻擊的防護措施。與Exchange整合之後，更能夠提供企業體內部文件統整、交換與對外傳遞訊息的速度及安全性。

回想造成全球網路恐慌的病毒，大多都是針對Outlook或是Exchange Server的郵件漏洞攻擊，使用Windows系統進行整合的企業，常常必須要花費大量心力與金錢以確保企業網路安全。微軟這次推出的FP1，大幅改進了過去電子郵件部分經常遭到攻擊的漏洞，並且強化了系統間的整合，在妥善的管理之下，可使得工作效率提升，安全性也相對提高。文⊙羅健豪