資安伺服器軟體－Microsoft ISA Server 2006

確保網路連線與服務安全已經是目前企業努力的方向，而無論外界攻擊再怎樣變化，防火牆與VPN總是基本且不可或缺的重要防禦環節，但如何整合總是讓網管人員傷透腦筋。Microsoft在2000年推出Internet Security & Acceleration Server（簡稱ISA Server） 2000以來，就不斷試圖提高產品的整合安全能力，增加連線速度與管理機制的效能，而在TechEd 2006中正式推出的ISA Server 2006，則可說是集過去努力之大成，整合了大多數企業所需的安全控管機制，並提供簡便的管理畫面，讓過去讓人聞之卻步的ISA Server，搖身一變成為簡單易懂的強大防禦工事。

從代理伺服器變身成安全控管伺服器
ISA Server的前身是Proxy Server，從1996年發表Proxy Server 1.0至今已經十年。在2000年時為了因應網路安全的崛起，加入了狀態偵測防火牆、VPN與管理政策功能之後，改名為ISA Server，並以年份為版本代碼，正式揭開了ISA Server的時代。

ISA Server每個版本的改變都根據當時的資安架構，並且以當時最新的安全機制為基礎，更新並修正架構，其中防火牆、VPN與網頁快取為主要功能，這也是企業網路環境的主要需求。在ISA Server 2006中的叢集功能，讓企業可以藉由總部的ISA Server 2006，將各項設定與政策配發至架設在各分支據點或辦公室的ISA Server 2006上，管理更為方便。

整合式安全、管理方便、存取快速
ISA Server 2006的安全防護措施主要可分為3大項目：狀態偵測防火牆、VPN遠端存取與正/反向網頁快取（forward/Reverse Proxy）等，另外並提供即時監控與報表等功能，管理人員不需另行架設伺服器以製作報表。它並不是一套獨立的資安伺服器，而必須安裝在Windows Server 2003之上，在ISA Server 2006中，可以支援叢集功能，同時管理多臺ISA Server，並且將主伺服器的設定內容與項目，自動配發至各從屬伺服器上，可減少安裝子伺服器或更新安全政策時所需的時間。

這次推出的ISA Server 2006中有3類重要更新，分別是整合式安全、有效率的管理機制及安全快速地存取。

整合式安全
為了因應越來越多的應用程式攻擊，ISA Server 2006藉由與應用程式的緊密整合提高安全性，並且搭配上基礎架構中的Active Directory、WINS及VPN隔離區等，建構出更完整的安全防禦體系。管理者也可以偵測網路上各設備的連線狀態，並在出狀況時發出通報，讓管理者可以即時修復。

ISA Server 2006與既有認證系統的整合性高，並增強連線的控管能力，能夠偵測並中斷閒置連線。受到ISA Server 2006保護的各個網頁伺服器，都可以透過增強過的身分認證機制，確保連線安全，這些身分認證的方式包括Token、智慧卡、一次性密碼或是Active Directory，甚至是客制化的表單認證都可以使用，能夠依據網頁應用程式的特點與屬性，搭配適合的認證機制，不但讓認證更彈性，也更確保用戶的身分無虞。

在臺北舉辦的TechEd 2006中，各個資安課程的講師也分別簡介透過ISA Server 2006如何透過IPsec加密與AD整合，增強內部網路的安全層級，打造出安全無虞的企業網路環境。同時ISA Server 2006亦能藉由增強的阻擋洪水攻擊（Flood Attack）能力，得到更佳地監控與控制效能，在遭遇DoS/DDoS攻擊之後可以更快恢復服務。同時也提升了防禦蠕蟲的能力，避免已感染的電腦繼續影響網路中其他設備。

有效率的管理機制
安全防護設備在近幾年來增加了許多種類，管理人員往往需要花費相當多心力與時間管理或設定相關功能，在ISA Server 2006中，提供經過簡化的部署、管理與伺服器統整等方式降低整體成本（TCO），讓管理更有效率。

建置安全防禦體系時，企業還是需要對外提供多項服務，ISA Server 2006的發布精靈簡化了發布步驟，可以快速且安全地讓Exchange、SharePoint Services以及其他網頁服務等，也可以建立特殊的防火牆規則，讓非微軟系統的應用服務得以透通。ISA Server 2006還能自動偵測伺服器的健康狀態，並在儀表板上顯示，當其中一臺失去功能時，也能透過負載平衡機制自動將流量轉移至其他相同服務的伺服器上，避免服務中斷。

在大量布建的環境中，也可以透過Microsoft Operations Manager共同管理，藉由企業政策與陣列控管的方式，管理每一項安全存取規則，讓政策能兼具安全與使用彈性。

快速且安全的連線
以往透過安全連線存取內部資源時，都會因為加密封包而導至連線速率降低，但這次ISA Server 2006提升了網頁快取功能及流量壓縮技術，可以減少存取時所需的時間。並且整合了Single Sign-On功能，讓使用者不需要重複登入，節省認證所需的時間。

透過負載平衡機制，也可以有效管理流量，避免流量集中在特定伺服器上，而造成效能瓶頸。

安裝與設定更為簡易
ISA Server的安裝與設定曾經是網管人員的夢魘，但是從ISA Server 2004之後，這項問題已經逐漸減輕了，透過基本網路拓樸及設定精靈的協助，設定網路架構變得相當容易。我們在Pentium 4 2.8GHz的PC伺服器上，以單機模式安裝ISA Server 2006英文版，從開始安裝到設定好10條防火牆規則，只需要半個小時就能夠設定完成。如果企業環境中需要安裝多臺ISA Server 2006，在安裝精靈中，就可以設定由主伺服器讀取並套用所有的安全政策與規則。

ISA Server 2006提供邊緣防火牆、3腳式（3-legs）網路、前端防火牆、後端防火牆及單網卡等5種網路拓樸範本，囊括了主要的企業網路架構，不足之處管理者也可以新增網路規則，增加企業網路的適用性，在VLAN的環境中也可以有效應用。

建立ISA Server 2006的防火牆規則也相當簡單，預設規則是拒絕全部連線，管理者只需要設定欲開啟的規則即可。選擇防火牆項目後，在管理畫面右方可以看到功能選項，ISA Server 2006中已經預設了5種精靈，管理者也可以不使用精靈而採用一般的防火牆設定模式訂定規則。

除了防火牆規則之外，另外也能定義ISA Server 2006的系統規則，其中包含了網路服務、認證服務、遠端管理、診斷服務、記錄、遠端監控與其他等項目，可以進一步保障ISA Server 2006系統本身的安全。

儀表板與報表讓管理更方便
ISA Server 2006的監控儀表板可以即時查閱目前網路連線、服務、警示、系統效能、報表與用戶連線等6種狀態，更新時間分為高、中、低與不更新4種，一般日常維護時，管理人員只需要檢視儀表板就能知道目前狀態並加以處理。

在儀表板上點選欲查閱的報表名稱，就可以檢視該報表，管理人員可以設定時程，定時產生特定報表，也可以依據特殊需求，選擇適當的報表內容。ISA Server 2006的報表採HTML格式，內容分為總覽、網頁使用率、應用程式使用率、流量與安全等5種大項，主要以圖表方式呈現相關統計內容，減少檢視上的難度。文⊙羅健豪