Der Microsoft ISA Server 2004

Die Firewall

Die Firewall im ISA-Server bietet eine ganze Reihe von Schlüsselfunktionen. Primär ist das die reine Firewall-Funktionalität, die mehrschichtig angelegt ist. Dabei gibt es zunächst den Stateful Inspection Filter, der den grundlegendsten Teil der Firewall ausmacht. Der Administrator wählt anhand der Eigenschaften der Paket-Header aus, welche Pakete durchgelassen werden und welche nicht. Überprüfbare Eigenschaften sind beispielsweise Ausgangs- oder Ziel-IP und Quell- oder Zielport. Zusätzlich bietet der ISA-Server einen dynamischen Filter an: Im Gegensatz zur statischen Filterung können die benötigten Ports je nach Bedarf geöffnet und danach wieder geschlossen werden, man muss die Ports also nicht von Hand freigeben oder schließen.

Man kann mit dem Paketfilter also beispielsweise Pakete blockieren, die von einer bestimmten IP-Adresse kommen oder die an eine bestimmte Zieladresse gerichtet sind. Dabei sind auch Kombinationen möglich - das unterscheidet sich nicht wesentlich von den Filtermöglichkeiten der Basis-Firewall im Windows 2003 Server. Das Praktische an solchen Filtern ist die Tatsache, dass bestimmte Dienste feste Ports verwenden. Man kann also zum Beispiel den Zugriff auf FTP verbieten, indem man einfach Port 20 blockiert, oder man verhindert den Zugriff auf SMTP-Server durch einen Block von Port 25.

Der Circuit Filter im ISA-Server dient der Sicherung von Internet-Protokollen und Diensten wie Telnet, Real Audio und IRC. Dabei untersucht ISA im Wesentlichen Informationen, die während des TCP-Handshakes ausgetauscht werden.