今天幾乎所有公司都具有 Internet 連接，以便訪問合作伙伴和客戶站點的 Web 服務器中存放的信息，以及從分支機構位置訪問總公司的 Web 內容。盡管 Internet 和分支機構網(wǎng)絡讓員工能夠快速共享和操作信息，但它們也潛藏著共享和傳播來自黑客的漏洞和攻擊以及惡意移動代碼的危險。今天的企業(yè)必須提供一種方式來保護企業(yè)網(wǎng)絡外部的用戶對于企業(yè) Web 服務器的訪問。同時，這個解決方案還必須能夠防止公司網(wǎng)絡中的用戶將危險信息下載到員工、公司以及公司的信息系統(tǒng)中。

今天幾乎所有公司都具有 Internet 連接，以便訪問合作伙伴和客戶站點的 Web 服務器中存放的信息，以及從分支機構位置訪問總公司的 Web 內容。盡管 Internet 和分支機構網(wǎng)絡讓員工能夠快速共享和操作信息，但它們也潛藏著共享和傳播來自黑客的漏洞和攻擊以及惡意移動代碼的危險。今天的企業(yè)必須提供一種方式來保護企業(yè)網(wǎng)絡外部的用戶對于企業(yè) Web 服務器的訪問。同時，這個解決方案還必須能夠防止公司網(wǎng)絡中的用戶將危險信息下載到員工、公司以及公司的信息系統(tǒng)中。

Microsoft Internet Security and Acceleration (ISA) Server 2006解決了當今企業(yè)面臨的這些問題。ISA Server 可以在遠程訪問企業(yè) Web 服務器中的信息時提供保護。ISA Server 可以幫助保護和控制企業(yè)網(wǎng)絡內部員工的 Internet 訪問。部署 ISA Server 2006 Web 代理服務器可以降低網(wǎng)絡操作的總體成本，使用 ISA Server 2006 Web 代理緩存則可以改進員工的工作效率。

ISA Server 2006 Web 代理提高安全性和性能的一些示例包括：

· 在允許訪問企業(yè) Web 服務器之前預先驗證用戶身份。

· 在允許訪問公司數(shù)據(jù)資源之前預先授權用戶。

· 檢查 HTTP Web 連接中潛藏的攻擊代碼。

· 防止訪問敏感的企業(yè)信息。

· 緩存 Web 內容以改進最終用戶體驗。

· 控制企業(yè)用戶可以通過 Internet 連接的內容類型。

企業(yè)總是在不斷尋找利用現(xiàn)有商業(yè)智能的方式以便在競爭中取得優(yōu)勢。為獲得競爭優(yōu)勢，各公司不斷尋找定位現(xiàn)有數(shù)據(jù)資產的方式，以便讓公司員工能夠從世界上任何地方訪問這些信息。

這種任意位置訪問通過遠程訪問企業(yè)網(wǎng)絡中承載的信息提高了業(yè)務靈敏性，但這些信息在員工離開公司設備時可能無法訪問。遠程訪問指的是即使用戶及其計算機物理上不在企業(yè)網(wǎng)絡中也可以訪問企業(yè)服務器中承載的信息。

遠程訪問提供了多種定位員工的選項，同時仍然讓這些員工能夠訪問企業(yè)信息。一些示例包括：

· 遠程辦公人員

隨著可用性的提高以及高速 Internet 連接的普及，在家工作成為一種選擇。通過完全或部分時間遠程辦公，公司可以獲得基礎結構成本降低的好處。

· 銷售人員和經(jīng)理

銷售人員需要訪問企業(yè)服務器中的信息。移動工作者需要訪問 Microsoft Office Word 文檔、Microsoft PowerPoint? 演示文稿、數(shù)據(jù)庫信息和更多內容。經(jīng)理在拜訪客戶和合作伙伴時也需要實時訪問信息。

· 企業(yè)合作伙伴

公司要想與其他企業(yè)建立戰(zhàn)略合作伙伴關系也需要一種安全和可靠的方法以共享專有信息。共享部件列表、報價單、訂單信息和其他數(shù)據(jù)可以讓企業(yè)迅速抓住稍縱即逝的機會。

安全遠程訪問企業(yè)應用程序和數(shù)據(jù)是能否在今天的企業(yè)環(huán)境中取得成功的主要因素。為利用安全遠程訪問，您需要重新考慮企業(yè)網(wǎng)絡的定義。企業(yè)網(wǎng)絡通常被視為獨立的實體，它與 Internet 是物理上分開的，而 Internet 是不安全的，其中充斥著黑客、惡意用戶以及其他潛在入侵者。然而，隨著遠程訪問連接的引入，現(xiàn)在的企業(yè)網(wǎng)絡邊界顯然已擴展到整個 Internet。

要想充分利用遠程訪問企業(yè)數(shù)據(jù)帶來的好處，首先必須解決四個主要問題：

· 向安全性和符合性管理者保證遠程訪問連接是安全的。

· 解決遠程工作者連接導致的性能問題。

· 簡化應用程序安全性和加速解決方案的部署

· 降低遠程連接的相關網(wǎng)絡操作成本。

保證遠程訪問連接安全

盡管遠程訪問連接可以給企業(yè)帶來戰(zhàn)略優(yōu)勢，但它也會增加信息泄露和數(shù)據(jù)失竊的風險。很多企業(yè)擔心遠程訪問連接會帶來安全性和符合性問題，因為攻擊者有可能使用與員工相同的機制合法地訪問企業(yè)信息。

ISA Server 2006 為安全性和符合性管理者解決了下列問題：

· 防止來自黑客和入侵者的危險連接到達企業(yè)網(wǎng)站

Internet 上的黑客可以通過與員工相同的渠道訪問企業(yè)信息。您需要在入侵者到達您的網(wǎng)站之前阻止?jié)撛诘墓簟SA Server 2006 Web 代理能夠檢查所有指向企業(yè)網(wǎng)站的連接，并在 ISA Server 計算機處阻止具有潛在危險的連接。這樣就讓員工能夠訪問所需的企業(yè)數(shù)據(jù)，同時阻止攻擊，避免它們抵達 Web 服務器。

· 防止匿名連接企業(yè) Web 服務器

很多公司都通過配置企業(yè)防火墻允許 Internet 用戶訪問承載 Microsoft Exchange Server 和Microsoft Office SharePoint Portal Server 的企業(yè) Web 服務器，從而允許連接這些服務器。這種做法可能會讓公司的數(shù)據(jù)處于危險之中，因為防火墻在允許連接之前無法識別用戶。同時這也讓匿名攻擊者能夠對 Web 服務器進行密碼、拒絕服務和類似攻擊。使用 ISA Server 2006 作為 Web 代理以保護企業(yè)網(wǎng)站時，用戶首先必須證明自己的身份，然后才能連接到企業(yè)服務器。而且，就算用戶成功證明了自己的身份，也只有那些被授予信息資源訪問權限的用戶才能連接企業(yè)服務器。SharePoint Portal Server 就是受益于這種保護的 Web 服務器的一個例子。

· 防止由于遠程用戶活動給符合性帶來的負面影響

企業(yè)符合性管理者需要知道有關誰曾連接過公司數(shù)據(jù)、他們什么時候訪問過公司數(shù)據(jù)以及他們通過遠程訪問連接進入公司網(wǎng)絡后做了什么的信息。ISA Server 2006 Web 代理記錄了用戶通過代理連接企業(yè) Web 服務器的所有行為的大量信息，從而幫助解決了符合性問題。這些日志數(shù)據(jù)可以用于創(chuàng)建有關遠程用戶活動的綜合報告。您可以查詢 ISA Server 2006 Web 代理日志，以了解有關資源使用情況和用戶活動的詳細信息。

全面支持應用程序層檢查增強功能

與只能進行靜態(tài)數(shù)據(jù)包檢查的傳統(tǒng)防火墻不同，ISA Server 2006 Web 代理可以通過應用程序層檢查進行更加復雜的決策，而不僅是允許或拒絕訪問。應用程序層檢查是 ISA Server 2006 的一項功能，它讓 Web 代理可以評估通過 ISA Server Web 代理傳輸?shù)?Web 通信的有效性和安全性。ISA Server 2006 Web 代理應用程序層檢查功能的一個示例就是本文前面介紹過的 HTTP 過濾器。

ISA Server 2006 提供了強大的應用程序層檢查機制。ISA Server 2006 同時也是一個靈活和可擴展的解決方案，從而讓您能夠極大地增強應用程序層檢查功能。使用第三方 ISA Server 2006 Web 代理加載項過濾器，您可以：

· 檢查 Web 流量中的病毒。

· 防止惡意應用程序通過正常的 Web 連接隧道進入。

· 讓 ISA Server 2006 能夠檢查 XML 流量。

· 執(zhí)行其他安全任務。

公司通常允許員工訪問 Internet 站點而不加限制。這其實不是一個很好的辦法，因為員工可能會無意中下載病毒、蠕蟲、遠程訪問特洛伊木馬、rootkit 和其他形式的惡意軟件。員工可能會有意訪問不合適的內容（色情網(wǎng)站、盜版軟件或歌曲），從而讓公司陷入法律糾紛，甚至刑事案件中。對于 Internet 訪問不加限制可能會帶來難以承受的安全風險，同時極大地增加了公司違反行業(yè)原則的可能性。

員工處在越來越大的壓力下，他們需要盡快和有效地完成工作。大多數(shù)公司依靠快速和可靠的 Internet 訪問實現(xiàn)這一目標。如果信息訪問受到損害，公司可能要承受每小時數(shù)千美元的效率損失成本。

部署 ISA Server 2006 Web 代理服務器有助于減輕惡意代碼和不合適內容帶來的安全風險，從而提高員工的工作效率。

保護員工的 Internet 訪問

在一份 2004 年發(fā)布的報告中，技術市場智能服務商 IDC 認為以下企業(yè)網(wǎng)絡風險是由不加控制的 Internet 訪問造成的：

· 越來越多的 Web 病毒和混合威脅，例如 NIMDA、紅色代碼和沖擊波。

· 使用點對點 (P2P) 文件共享應用程序的情況增多，這種應用程序可以用于下載受版權保護的資料、傳輸受感染的文件以及與世界上的任何人共享專有的企業(yè)信息。

間諜軟件越來越流行，這種軟件可以捕獲諸如用戶名和密碼等用戶信息，甚至包括可以記錄受感染計算機的每次鍵擊的按鍵記錄軟件。

· 網(wǎng)釣攻擊的數(shù)量增加，這種攻擊利用用戶的無知收集用戶輸入網(wǎng)站表單中的隱私信息，然后使用這些信息進行身份盜竊或其他詐騙活動。

· 越來越多的用戶下載和安裝來自不可信來源的軟件，這種下載可能包含惡意軟件，從而導致用戶計算機失控，或是由于使用未經(jīng)授權的軟件而導致公司面臨罰款。

· 員工工作效率下降的問題增多，因為在線游戲、新聞、社會性網(wǎng)絡以及其他不關業(yè)務的站點增多。

所有這些漏洞都可以使用 HTTP、HTTPS 或 FTP 協(xié)議通過 Web 連接加以利用。Web 代理設備可以通過以下方法防止這些漏洞：

· 通過設置 Web 代理，使其不允許訪問可執(zhí)行文件，并阻止連接已知存在惡意代碼的網(wǎng)站，從而對 Web 病毒和其他漏洞代碼（例如特洛伊木馬和 rootkit）的下載進行控制。

· 通過配置 Web 代理以阻止訪問一些要求使用 P2P 應用程序的主要登錄站點，以及通過檢查 HTTP 通信的特點來識別 P2P 應用程序，從而阻止訪問 P2P 應用程序。

· 通過拒絕訪問發(fā)布網(wǎng)釣頁面的站點以阻止網(wǎng)釣攻擊。

· 通過限制用戶可以訪問的站點以及控制他們訪問這些站點的方式，從而提高員工的工作效率。