Szerző: Budai Péter

2005. február 7. 15:33

Hamarosan megjelenik a Microsoft nagyvállalati tűzfalának legújabb verziója

[HWSW] Várhatóan egy hónapon belül megjelenik a Microsoft nagyvállalati tűzfalmegoldásának legújabb kiadása, az ISA (Internet Security & Acceleration) Server 2004 Enterprise Edition. A szoftver a múlt év derekán megjelent ISA Server 2004 Standard Edition képességein felül támogatja a hálózati terhelésmegosztást, valamint segítségével fürtökbe szervezett, magas rendelkezésre állást és nagyobb teljesítményt biztosító tűfalrendszerek is kiépíthetőek. A szoftverből jelenleg a Release Candidate 1 verzió érhető el, melyben a rendszer lehetőségei már mind kipróbálhatóak.

Tartalomvizsgálat a csomagok szintjén

Az ISA Server 2004 képes a hálózati kommunikáció csomagszintű ellenőrzésére, ezáltal nemcsak az állítható be tetszőlegesen, hogy mely portokat zárunk le a külvilág számára, vagy milyen portokra milyen protokolokat engedünk be, hanem a tényleges forgalmat az utolsó bitnyi információig ki lehet elemezni, hogy annak tartalma jelenthet-e veszélyt a védett rendszerre.

A tűzfal az SSL titkosítással ellátott forgalmat is képes megvizsgálni, majd azt továbbküldeni akár titkosított, akár nyers formában. A tűzfal működése rugalmasan szabályozható a hierarchikusan egymásra épülő szabályok segítségével, melyek az Enterprise Editionban már egységesen állíthatóak be akár több tűzfalra is, így a konfigurálás egy helyről, gyorsabban végezhető el. A szoftver felhaszálói felülete az ISA Server 2000 óta jelentős változásokon esett át, használata egyszerűbb, betanulási ideje lényegesen rövidebb lett.

Az ISA Server nemcsak hagyományos tűzfalképességekkel rendelkezik, hanem hatékony segítséget nyújt internetes oldalak szervezésének, megjelenésének biztosítására, és egyszerű varázslók segítségével teszi lehetővé az Exchange Server tűzfalon keresztül történő elérését mind az internetes felületen megjelenő Outlook Web Access (OWA), mind az Outlook kliensek számára. Ugyancsak megkönnyíti a VPN (Virtual Private Network) hálózatok konfigurálását és folyamatos nyomon követését.

Magas rendelkezésre állás, skálázhatóság

Az ISA Server 2004 Enterprise Editionben a legkisebb menedzselhető egység az array (tömb), ami nagyban hasonlít a hagyományos fürtökhöz, más néven clusterekhez. Egy tömbön belül legfeljebb 31 darab ISA Server lehet, és ezek mindegyike hasonló beállításokkal rendelkezik. Egy tömböt akár egyetlen ISA Server is alkothat.

A tömbben található számítógépek között kihasználható a Network Load Balancing (NLB, hálózati terheléselosztás), ami a be- és kimenő forgalmat egy speciális hash algoritmus segítségével a tömb egy kiválasztott szerverének küldi el. Az algoritmus úgy van kialakítva, hogy a lekérések a lehető legegyenletesebben legyenek elosztva a tömb szerverei között a beállított paramétereknek megfelelően.

Míg az egy gépen futó ISA Server 2004 Standard Edition a konfigurációs állományait a Windows registryjében tárolta, addig ez a megoldás kevéssé tűnik használhatónak egy tömbökbe szervezett, magas rendelkezésre állást igénylő tűzfal esetében. Az Enterprise Edition a beállításokat a biztonságos LDAP protokolon keresztül Active Directoryban tárolja, az úgynevezett ISA Configuration Storage Serveren (CSS) keresztül. Ehhez az AD/AM (Active Directory Application Mode) technológiának hála nincs szükség domain controllerre, AD/AM alapú Active Directory, és ezáltal a CSS is bármely számítógépen kialakítható.

A tömb a felhasználók felé egységes felületet biztosít, így az egyes szerverek leállása esetén sem vehető észre kimaradás a hálózatok elérésében. A szerverek között folyamatosan történik replikáció, ami a konfigurációs beállításokat, és külön igény esetén akár a gyorsítótár tartalmát is átmásolja a tömb tűzfalaira.

Mik azok a sötét mintázatok, vagy ahogy az angol nevezi őket, dark patternek? Miért találkozunk egyre többször velük és mit tehetünk, hogy ne kerüljünk a csapdájukba?

a címlapról