ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Правила публикации Web-сервера можно настроить для пересылки верительных данных (credentials) базовой аутентификации (базовое делегирование, basic delegation). Это означает, что можно заранее установить подлинность пользователя на брандмауэре ISA. Предварительная аутентификация мешает неавторизованным соединениям добираться до Web-сервера. Предварительная аутентификация не позволяет атакующим и злоумышленникам применять неаутентифицированные соединения для использования известных и неизвестных слабых мест в Web-серверах и приложениях. Очень популярно применение предварительной аутентификации на Web-сайтах OWA. Вместо того, чтобы разрешать не подтвердившим подлинности соединениям обращаться к Web-сайтам 0WA, правило публикации Web-сервера брандмауэра ISA может быть настроено на аутентификацию пользователя. Если пользователь успешно подтвердил свою подлинность на брандмауэре ISA, запрос на соединение передается Web-сайту 0WA. Если пользователь не сумел аутентифицироваться на брандмауэре ISA, попытка соединения прерывается на брандмауэре и никогда не доходит до опубликованного Web-сайта. Предварительная аутентификация также позволяет контролировать пользователей, обращающихся к Web-сайтам. Можно настроить правила публикации Web-серверов для разрешения только определенным группам пользователей получать доступ к опубликованному Web-сайту. Итак, даже если пользователи способны успешно подтвердить свою подлинность, они смогут получить доступ к опубликованному Web-сайту только при наличии разрешения на это. В данном случае правила публикации Web-серверов брандмауэра ISA разрешают аутентификацию и авторизацию (проверку полномочий) для получения доступа к опубликованным Web-сайтам. Возможность делегирования базовой аутентификации в брандмауэре ISA позволяет брандмауэру установить подлинность пользователя и затем переслать его верительные данные на опубликованный Web-сайт, если Web-сайт требует верительных данных. Это исключает двойное напоминание пользователю о вводе верительных данных. Вместо ответа пользователя на запрос аутентификации, посылаемый Web-сайтом, на него отвечает брандмауэр после успешной аутентификации пользователя. Обратное кэширование опубликованных Web-сайтов Брандмауэр ISA умеет кэшировать ответы Web-сайтов, опубликованных с помощью правил публикации Web-сервера.