ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Одно из ограничений, связанных с правилами публикации Web-сервера в ISA Server 2000, состояло в том, что журналы регистрации на опубликованном Web-сервере всегда показывали IP-адрес адаптера внутренней сети брандмауэра ISA Server Когда публиковались Web-серверы с применением правил публикации Web-сервера, исходный IP-адрес клиента заменялся внутренним IP-адресом ISA Server. Это было главной преградой для многих потенциальных администраторов ISA Server при выборе брандмауэра, поскольку они уже вложили значительные суммы в установленное на опубликованных Web-серверах программное обеспечение анализа регистрационных журналов. Для них оставалась единственная возможность — применение правил публикации сервера, которую нельзя считать лучшим вариантом, так как правила публикации сервера не дают столь же высокой степени защиты, как правила публикации Web-сервера. К счастью, новый брандмауэр ISA предоставляет выбор между пересылкой IPадреса брандмауэра ISA опубликованному Web-серверу и передачей истинного IPадреса удаленного Web-клиента на опубликованный Web-сервер. Если в журналах регистрации Web-сервера реальный IP-адрес клиента не нужен, можно использовать установку по умолчанию, заменяющую IP-адрес клиента адресом сетевого интерфейса брандмауэра. Чтобы сохранить IP-адрес удаленного Web-клиента, выберите вариант настройки, сохраняющий IP-адрес. Мы обсудим достоинства и недостатки каждого из названных вариантов настройки, когда будем рассматривать подробности создания и конфигурирования правил публикации Web-сервера позже в этой главе.

Поддержка системы аутентификации SecurlD

SecurlD фирмы RSA Security Inc. — это механизм двухфакторной аутентификации, требующий, чтобы пользователь имел кое-что (опознавательный признак или маркер SecurlD) и знал кое-что (верительные данные пользователя). Брандмауэр ISA поставляется со встроенной поддержкой аутентификации SecurlD для Web-серверов и сервисов, опубликованных с помощью правил публикации Web-сервера. Поддержка системы подтверждения подлинности RADIUS Некоторые организации решают поместить брандмауэр ISA в место, делающее его членом пользовательского домена, что нельзя считать лучшим вариантом. Например, если имеется каскадная (back-to-back) конфигурация брандмауэров, в которой брандмауэр ISA — входной (front-end) брандмауэр, его не следует делать членом пользовательского домена.