IT-Sicherheit für Unternehmen
Server-, Client- und Netzwerksschutz mit Microsoft Forefront
Zu den Hauptbestandteilen der Microsoft Produktfamilie Forefront gehören der Internet Security and Acceleration Server (ISA), diverse Sicherheits-Suiten für Desktops, Exchange, SharePoint und den Office Communications Server (OCS) sowie das Intelligent Application Gateway (IAG).
ISA als Schutzwall an der Unternehmensgrenze
Den ISA-Server (Internet Security and Acceleration Server) hat Microsoft vor knapp drei Jahren mit der Version ISA 2006 grundlegend erneuert. Das zugehörige Servicepack 1 hat zudem weitere Funktionen ergänzt. Bei dem ISA-Server handelt es sich, anders als häufig dargestellt, nicht um eine herkömmliche Firewall. Dafür eignet sich eine leistungsfähige Appliance weitaus besser. Neben Firewall-Eigenschaften übernimmt der ISA weitere Aufgaben und Funktionen. Dazu gehören
-
die Funktion eines Reverse Proxy sowie die Möglichkeit, firmeninterne Server-Dienste im Web verfügbar zu machen;
-
die Verwaltung von Virtual Private Networks (VPN), um Zweigstellen über einen gesicherten Kommunikationstunnel an das Firmennetz anzubinden;
-
die Überwachung des ein- und ausgehenden Internet-Traffics. Dies umfasst den Zugriff der Nutzer aus dem Internet auf die veröffentlichten Web-Server, aber umgekehrt auch den Zugriff der internen Nutzer auf das Internet;
-
die Absicherung des Zugriffs von Mail-Clients wie Outlook Web Access aus dem Internet auf den Exchange-Server im Firmennetz sowie die Absicherung des Web-Zugriffs auf den SharePoint Portal Server.
Um die Verwaltung zu vereinfachen, hat Microsoft dem ISA-Server etliche Assistenten zur Seite gestellt. Sie helfen bei der Konfiguration und stehen beispielsweise für den Exchange Web Client Access, Outlook Web Access, allgemeinen Mail-Zugriff oder den Zugriff auf SharePoint-Sites zur Verfügung.
Ein weiterer Funktionsbereich des Tools ist die Anbindung von Filialen via VPNs. Als Sicherheitsprotokolle werden der IPsec-Tunnel-Mode und das "Layer Two Tunneling Protocol" (L2TP) unterstützt. Zur Authentifizierung der Benutzer lässt sich auf einen Radius-Server zurückgreifen. Ferner ist eine Quarantäne-Funktion für RAS-Zugänge (Remote Access Services) implementiert.