Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Présentation technique de Microsoft Internet Security and Acceleration Server (ISA Server) 2000

Résumé

Microsoft® Internet Security and Acceleration Server (ISA Server) 2000 est un serveur pare-feu d’entreprise et de cache extensible pour le Web, compatible avec le système d’exploitation Microsoft Windows® 2000, offrant des fonctions de sécurité par stratégies, d’accélération et de gestion des interconnexions de réseaux. ISA Server présente deux modes étroitement intégrés : un serveur pare-feu multicouche et un serveur de cache pour le Web très performant. Le pare-feu assure le filtrage au niveau des couches de paquets, de circuits et d’applications ; l’examen des états pour examiner les données traversant le pare-feu ; le contrôle de la stratégie d’accès et le routage du trafic. Le cache améliore la performance du réseau et l’expérience de l’utilisateur final en stockant le contenu du Web fréquemment demandé. Les services de pare-feu et de cache peuvent être déployés séparément sur des serveurs dédiés ou intégrés sur un même ordinateur.

Les outils de gestion sophistiqués simplifient la définition des stratégies, le routage du trafic, la publication serveur et l’analyse. ISA Server s’appuie sur la sécurité, l’annuaire, la connexion réseau privée virtuelle (VPN) et le contrôle de la bande passante de Windows 2000. Qu’il soit déployé comme serveurs pare-feu et de cache séparés ou en mode intégré, ISA Server est utilisé pour accroître la sécurité du réseau, mettre en œuvre une stratégie cohérente pour l’utilisation d’Internet, accélérer l’accès à Internet et optimiser la productivité des employés dans les entreprises de toutes tailles.

Sommaire

Introduction

à l’aube de ce nouveau millénaire, deux conceptions divisent le monde informatique. D’un côté, la sécurité doit être la priorité numéro un. L’environnement en réseau est trop dangereux pour s’y connecter sans la protection d’un pare-feu. D’un autre côté, la vitesse doit être la priorité numéro un. L’accès rapide à Internet, ainsi qu’aux intranets et extranets d’entreprise, incarne corps et âme la nouvelle conception de l’informatique.

Microsoft® Internet Security and Acceleration Server (ISA Server) 2000 a été conçu pour résoudre ce paradoxe en éliminant cette opposition entre la sécurité réseau et la vitesse d’accès. ISA Server intègre un pare-feu d’entreprise multicouche pour fournir une sécurité à l’échelle planétaire et un cache pour le Web très performant et évolutif pour accélérer la performance réseau. ISA Server est disponible en deux versions : ISA Server Standard Edition, est un serveur autonome pouvant prendre en charge quatre processeurs au maximum. ISA Server Enterprise Edition, est conçu pour les déploiements à large échelle, prenant en charge des groupes de serveurs, des stratégies multi-niveaux et des ordinateurs avec un nombre illimité de processeurs.

ISA Server combine à la fois les fonctionnalités de pare-feu et de cache à la « périphérie du réseau » dans un seul produit. Il peut être intégré dans un serveur unique ou dans un groupe de serveurs ou déployé de manière modulaire en utilisant des ordinateurs séparés pour chaque composant tout en partageant l’administration et la stratégie.

Les pare-feu empêchent des utilisateurs non autorisés d’accéder à votre réseau interne en examinant les données entrantes et en bloquant le trafic qui n’est pas explicitement approuvé. Ils contrôlent également l’accès des utilisateurs internes à Internet en vous permettant de définir et de mettre en œuvre des stratégies d’utilisation.

En utilisant ISA Server comme pare-feu, vous bénéficiez, entre autres, des fonctionnalités et des technologies suivantes :

  • Pare-feu multicouche

  • Examen des états

  • Prise en charge étendue d’applications

  • Réseau privé virtuel (VPN) intégré

  • Renforcement du système

  • Détection d’intrusion intégrée

  • Filtres d’applications intelligents

  • Transparence pour tous les clients

  • Authentification avancée

  • Publication sécurisée

  • Filtrage du contenu de la messagerie électronique

  • Inspection du trafic SSL (Secure Sockets Layer)

La mise en cache peut améliorer de manière considérable la performance du réseau, en réduisant le trafic et la latence, et en améliorant l’expérience des utilisateurs en offrant un accès plus rapide. Elle permet également d’économiser la bande passante réseau en stockant et en desservant localement les contenus les plus fréquemment demandés.

En utilisant ISA Server pour la mise en cache Web, vous bénéficiez, entre autres, des fonctionnalités et des technologies suivantes :

  • Cache Web très performant

  • évolutivité

  • Mise en cache distribuée et hiérarchique

  • Mise en cache active

  • Téléchargement de contenu planifié

  • Prise en charge de la diffusion multimédia par flux

  • Contrôle de cache programmable

ISA Server est basé sur la technologie de Windows 2000 afin d’offrir une sécurité, une performance et une gestion avancées. Cela présente de nombreux avantages, y compris la possibilité de gérer les utilisateurs, la configuration et les règles de ISA Server avec le service Active Directory™ de Windows 2000. De plus, la prise en charge puissante d’environnements à systèmes d’exploitation mixtes permet à ISA Server d’agir au besoin comme le seul serveur Windows 2000 dans un réseau.

Pour mieux comprendre la sécurité et la performance de ISA Server, et la flexibilité avec laquelle il peut être déployé, reportez-vous à la section Scénarios de déploiement. Celle-ci couvre les scénarios suivants :

  • Scénario de pare-feu dans un petit réseau

  • Connexion de clients distants

  • Scénario de stratégie d’entreprise avec VPN et routage

  • Scénarios de publication Web

  • Scénarios de publication serveur sécurisée

  • Scénarios de réseaux périphériques

Quel que soit votre scénario de déploiement, ISA Server et sa technologie Windows 2000 sous-jacente peuvent vous aider à sécuriser et à accélérer le flux des données dans votre organisation.

Déploiement modulaire

ISA Server offre une flexibilité de déploiement maximum. Les services de pare-feu et de mise en cache peuvent être déployés séparément ou en mode intégré. Qu’ils soient déployés comme serveurs autonomes ou en mode intégré, vous pouvez avantageusement gérer les deux services à partir de la même console et mettre en place une stratégie cohérente pour le pare-feu et le cache Web.

Cependant, la fusion des deux services peut être très avantageuse pour les entreprises. Les services de pare-feu et de mise en cache sont tous deux déployés à la périphérie du réseau ou au point de connexion entre deux réseaux. Le plus souvent, ils sont déployés entre un réseau d’entreprise et Internet ; ils peuvent être également déployés au sein d’une entreprise (entre des filiales ou des sites distants par exemple). Synergie et intégration sont donc nécessaires pour garantir que les aspects de sécurité et de performance de la connectivité réseau sont considérés, planifiés et gérés en tandem.

Les déploiements séparés, plus traditionnels, signifient que les aspects de sécurité et de performance de la connectivité réseau sont gérés indépendamment ; ils peuvent même être en conflit entre eux. Au contraire, la gestion unifiée de ISA Server offre des déploiements séparés des services de pare-feu et de mise en cache sans compromettre les stratégies d’accès.

Cela pourrait entraîner des décisions professionnelles incorrectes ou une allocation non optimale des ressources. Par exemple, si les utilisateurs se plaignent d’une connectivité à Internet lente, la personne responsable de la mise en cache peut investir plus dans ce domaine alors qu’un pare-feu lent agissant comme goulet d’étranglement au lieu d’un opérateur de contrôle est le vrai coupable. Alternativement, une entreprise peut acheter une bande passante plus importante pour améliorer la connectivité alors que les utilisateurs auraient pu bénéficier d’une meilleure expérience à un coût très réduit en utilisant de manière plus efficace la technologie de mise en cache.

Pire encore, un service de cache autonome peut poser des problèmes de sécurité en contournant la stratégie d’accès de l’entreprise.

Les règles d’accès étant généralement mises en place uniquement au niveau du pare-feu, la capacité d’un individu à accéder au contenu Internet peut être définie par l’emplacement arbitraire de ce contenu sur le réseau (qu’il ait été ou non mis en cache par un autre utilisateur disposant d’un accès autorisé) au lieu d’être définie par les permissions établies par l’administrateur du pare-feu. Bien sûr, le déploiement de services de cache et de pare-feu séparés entraîne une administration dupliquée ou incomplète et des coûts de formation et d’opération plus élevés. ISA Server offre une gestion unifiée (y compris la consignation d’événements dans des journaux, la mise en place d’alarmes, l’analyse et la création de rapports), offrant une représentation complète et précise des besoins d’une organisation en termes d’utilisation Internet et de connectivité.

Tout cela signifie que Microsoft ISA Server présente de nombreux avantages pour les responsables informatiques, les administrateurs réseaux et les professionnels chargés de la sécurité des informations dans des organisations de toutes tailles soucieuses de la sécurité, de la performance, de la gestion et des coûts opérationnels de leurs réseaux. ISA Server peut bénéficier un vaste ensemble d’utilisateurs, des petites entreprises et des filiales jusqu’aux entreprises possédant des dizaines de milliers d’utilisateurs, des besoins sophistiqués en termes de sécurité et de gestion, et des stratégies d’utilisation complexes. ISA Server peut aussi présenter de nombreux avantages pour les fournisseurs d’accès Internet (FAI), les entreprises d’hébergement de sites Web et les sites de commerce électronique, et ce en sécurisant l’accès au Web et en mettant en cache le contenu fréquemment consulté. ISA Server permet aux organisations d’améliorer l’expérience des utilisateurs, de protéger les actifs et de distribuer le contenu aux utilisateurs de manière rapprochée.

ISA Server présente, entre autres, les avantages suivants :

  • interconnexion de réseaux sécurisée avec un pare-feu évolutif et multicouche ;

  • accès rapide avec un cache pour le Web, évolutif et très performant ;

  • gestion flexible compatible avec Windows 2000 ;

  • plate-forme supérieure pouvant être étendue et personnalisée.

Qu’il soit déployé comme un pare-feu et un service de cache pour le Web séparés ou comme solution intégrée, ISA Server constitue un outil puissant pour les administrateurs réseaux qui doivent optimiser à la fois la sécurité et la performance des réseaux. Ce document décrit en détail les fonctionnalités et les technologies clés offertes par ISA Server dans chacun de ces domaines.

L’architecture de ISA Server

Microsoft Internet Security and Acceleration Server fonctionne selon différentes couches de communication pour protéger le réseau d’entreprise. Au niveau des couches de paquets, ISA Server implémente des filtres de paquets.

Cette fonctionnalité permet le filtrage par stratégies de paquets IP (Internet Protocol) et la journalisation de tous les paquets ignorés. La stratégie à appliquer peut être spécifiée soit au niveau IP, avec des protocoles IP et des adresses IP explicites, ou en fonction de critères définis à l’aide d’un protocole d’application de haut niveau.

Si les données sont autorisées à passer la couche des filtres de paquets, elles sont transmises aux services de pare-feu et du proxy Web, où les règles ISA Server sont traitées pour déterminer si la requête doit être adressée.

ISA peut aussi mettre à disposition de clients externes des serveurs internes en toute sécurité. Vous utilisez ISA Server pour créer une stratégie de publication pour publier vos serveurs internes de manière sécurisée. La stratégie de publication, comprenant des filtres de paquets IP, des règles de publication Web ou des règles de publication serveur, ainsi que des règles de routage, détermine la manière dont les services internes sont publiés. Lorsque Microsoft ISA Server traite une requête en provenance d’un client externe, il vérifie les filtres de paquets IP, les règles de publication et les règles de routage pour déterminer si la requête est autorisée et désigner le serveur interne qui traitera la requête.

Avec ISA Server, vous pouvez créer une stratégie d’accès qui permet aux clients internes d’accéder à des hôtes Internet spécifiques. La stratégie d’accès et les règles de routage déterminent la manière dont les clients accèdent à Internet. Lorsque Microsoft ISA Server traite une requête sortante, il vérifie les règles de routage, les règles de sites et de contenus, et les règles de protocoles pour déterminer si l’accès est autorisé. Une requête est uniquement autorisée si une règle de protocole et une règle de site et de contenu autorisent toutes deux la requête et si aucune règle ne la refuse explicitement. Certaines règles peuvent être appliquées à des clients spécifiques. à moins qu’une règle ne soit explicitement autorisée, le pare-feu refuse par défaut toutes les requêtes. Dans ce cas, les clients peuvent être spécifiés par adresse IP ou par nom d’utilisateur. ISA Server traite les requêtes de manière différente, en fonction du type de client qui requiert l’objet et de la configuration de ISA Server.

Pare-feu et sécurité

Le service de pare-feu ISA Server offre une communication Internet sécurisée en empêchant les accès au réseau non autorisés. ISA Server fonctionne au niveau des couches de paquets, de circuits et d’applications pour protéger le réseau d’entreprise. La fonctionnalité du pare-feu est transparente pour les autres parties impliquées dans la communication. L’utilisateur intranet ne se rend pas compte de l’intervention du pare-feu à moins qu’il ne tente d’accéder à un service ou de visiter un site refusé par l’administrateur de ISA Server. Le serveur Web interprète les requêtes de la part de ISA Server comme si elles provenaient des applications clientes.

Le pare-feu ISA Server prend en charge de nombreux protocoles Internet, y compris HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol), IRC (Internet Relay Chat), H.323, Transparent HTTP, les technologies Windows Media™, RealAudio, RealVideo, la messagerie électronique et les news. Vous pouvez facilement ajouter d’autres protocoles en définissant simplement le port (et la plage de ports secondaires dans certains cas), le type (TCP ou VDP) et la direction (entrant ou sortant). Pour des protocoles plus complexes ou pour un traitement plus sophistiqué des informations des couches d’applications, des filtres d’applications peuvent être ajoutés.

Mise en cache et accélération

Internet Security and Acceleration Server 2000 maintient à la disposition des clients un cache centralisé des objets Internet fréquemment demandés. Cela permet d’améliorer la performance du navigateur client, de diminuer le temps de réponse de l’utilisateur et de réduire la consommation de la bande passante des connexions Internet.

Lorsqu’un utilisateur requiert un site Web, le navigateur analyse l’URL. Si le nom contient des « points », tel qu’un nom de domaine complet (FQDN, Fully Qualified Domain Name) ou une adresse IP, le navigateur considère la destination comme étant distante et envoie la requête HTTP à l’ordinateur ISA Server pour être traitée.

ISA Server Enterprise Edition, autorise également la mise en cache distribuée en utilisant plusieurs ordinateurs ISA Server Enterprise Edition. La distribution de la charge de cache permet une évolutivité supérieure à ce que peut fournir un serveur unique, équilibrant la charge et tolérant les pannes si un serveur cache n’est pas disponible. La mise en cache distribuée peut être implémentée avec des groupes, des chaînes ou une combinaison des deux. ISA Server Enterprise Edition, utilise le protocole CARP (Cache Array Routing Protocol), une architecture évolutive, efficace et flexible, qui permet à plusieurs serveurs d’agir en tant que cache unique sans duplication de contenu.

Administration

En utilisant un contrôle d’accès par stratégies, ISA Server offre une stratégie flexible basée sur les utilisateurs et les groupes, les protocoles clients, les calendriers, les sites, les groupes et les protocoles de contenus. Avec ISA Server Enterprise Edition, vous pouvez exploiter le service Active Directory™ et les stratégies à l’échelle de l’entreprise. Les administrateurs peuvent aussi créer et mettre en place une seule fois des stratégies et les distribuer globalement sur de nombreux serveurs. ISA Server comprend une interface utilisateur graphique basée sur MMC (Microsoft Management Console), avec des blocs de tâches graphiques et des assistants pour les activités les plus courantes. La consignation détaillée d’événements dans des journaux, la mise en place d’alarmes, l’analyse et la création de rapports aident les administrateurs à comprendre l’état, l’utilisation et la performance du serveur.

Kit de développement logiciel

ISA Server inclut un kit de développement logiciel qui comprend une documentation détaillée et des exemples de code afin d’aider les développeurs à créer des extensions pour répondre à des besoins de sécurité ou d’administration spécifiques. Le kit de développement logiciel contient des exemples et explique comment utiliser les interfaces de programmation d’applications (API, Application Programming Interface).

Protection par pare-feu pour une interconnexion de réseaux sécurisée

Dans un monde parfait, les pare-feu ne seraient pas nécessaires. Cependant, lorsque vous vous connectez à Internet, les aspects négatifs vont de paire avec les aspects positifs. Sur le plan positif, vous avez la chance de participer au réseau global qui a révolutionné la manière dont nous communiquons et conduisons nos affaires professionnelles. Sur le plan négatif, vous exposez également votre système ou réseau privé aux actes de pirates malicieux qui peuvent être connectés au même réseau global.

Le pare-feu ISA Server vous permet de tirer profit de l’interconnexion de réseaux tout en vous conférant la sécurité nécessaire pour :

  • protéger votre réseau contre les accès non autorisés ;

  • protéger vos serveurs internes contre des attaques externes ;

  • mettre en œuvre les règles d’utilisation et d’accès ;

  • surveiller le trafic et déclencher des alarmes en cas d’activités suspectes.

Présentation de la protection pare-feu ISA Server

Les pare-feu constituent le mur défensif qui permet aux organisations de tirer profit de la connectivité Internet tout en maîtrisant les risques associés. Les pare-feu empêchent les utilisateurs non autorisés d’accéder à votre réseau interne en examinant les données entrantes et sortantes et en bloquant le trafic qui n’est pas explicitement approuvé. Ils contrôlent également l’accès des utilisateurs internes à Internet en vous permettant de définir et de mettre en œuvre des stratégies d’utilisation.

Le pare-feu ISA Server est déployé entre le réseau interne et le monde extérieur (Internet). Le service de pare-feu utilise un ordinateur multirésident, ce qui signifie qu’il dispose de plus d’une connexion au réseau. Généralement, une carte d’interface réseau (NIC, Network Interface Card) est connectée au réseau privé tandis qu’une autre carte ou un modem est connecté au monde extérieur. Un second pare-feu ISA Server peut être utilisé pour créer un sous-réseau filtré (également appelé DMZ ou zone démilitarisée) entre les réseaux internes et externes. Il sert généralement à sécuriser des serveurs Web internes et des serveurs d’applications tout en limitant leur accès à partir d’Internet.

Un pare-feu peut accroître la sécurité par divers procédés, notamment les filtres de paquets, les passerelles au niveau des circuits et les passerelles d’applications. Les pare-feu d’entreprise avancés, tels que Microsoft ISA Server, combinent plusieurs méthodes afin d’assurer une protection au niveau de multiples couches réseau.

Les fonctionnalités et les technologies clés du pare-feu ISA Server incluent :

  • Pare-feu multicouche

  • Examen des états

  • Prise en charge étendue d’applications

  • Réseau privé virtuel (VPN) intégré

  • Renforcement du système

  • Détection d’intrusion intégrée

  • Filtres d’applications intelligents

  • Transparence pour tous les clients

  • Authentification avancée

  • Publication sécurisée

  • Filtrage du contenu de la messagerie électronique

  • Inspection du trafic SSL

Pare-feu multicouche

ISA Server offre une protection par pare-feu multicouche qui vous permet de maximiser la sécurité grâce au filtrage du trafic au niveau des paquets, des circuits et des applications.

Filtres de paquets

Par défaut, aucun trafic ne peut traverser l’ordinateur ISA Server. La fonctionnalité de filtres de paquets de ISA Server permet à l’administrateur de contrôler le flux des paquets IP vers et depuis ISA Server. Lorsque le filtre de paquets est activé, tous les paquets présents sur l’interface externe sont éliminés sauf s’ils sont explicitement autorisés, soit statiquement par les filtres de paquets IP, soit dynamiquement par la stratégie d’accès ou les règles de publication.

Les filtres de paquets IP interceptent et évaluent les paquets avant de les transmettre aux niveaux supérieurs du moteur de pare-feu ou à un filtre d’application. Les filtres de paquets IP peuvent être configurés de telle sorte que seuls des paquets spécifiés franchissent l’ordinateur ISA Server. Votre réseau bénéficie alors d’un niveau de sécurité supérieur. Les filtres de paquets IP peuvent bloquer des paquets émanant d’hôtes Internet spécifiques et rejeter des paquets associés à de nombreuses attaques courantes. Ils peuvent également bloquer des paquets destinés à un service quelconque sur votre réseau interne, y compris le proxy Web, le serveur Web, un serveur SMTP (Simple Mail Transfer Protocol) et d’autres. Notez qu’ils peuvent aussi bloquer des paquets envoyés et qu’ils s’appliquent à Data Pump en mode Kernel (également appelée routage IP), qui transfère des paquets sans les faire passer par la pile IP.

Les filtres de paquets IP peuvent filtrer des paquets en fonction du type de service, du numéro de port, du nom de l’ordinateur d’origine et du nom de l’ordinateur de destination. Les filtres de paquets IP sont statiques et la communication par le biais d’un port spécifique est toujours soit autorisée, soit bloquée. La fonction Autoriser les filtres autorise le passage de tout le trafic au port spécifié. La fonction Bloquer les filtres empêche toujours les paquets de traverser l’ordinateur ISA Server.

Filtres au niveau des circuits

Les filtres au niveau des circuits inspectent les sessions, par opposition à des connexions ou à des paquets. Une session pouvant nécessiter plusieurs connexions, les clients Windows qui exécutent le logiciel client Pare-feu bénéficient de nombreux avantages importants. Tout d’abord, tout comme les filtres de paquets dynamiques, des sessions sont uniquement établies en réponse à la requête d’un utilisateur pour améliorer la sécurité. Ensuite, les filtres au niveau des circuits offrent une prise en charge intégrée des protocoles avec des connexions secondaires telles que FTP et la diffusion multimédia par flux. L’administrateur ISA Server peut définir la connexion primaire et secondaire du protocole dans l’interface de l’utilisateur, sans aucune programmation ni aucun outil de fournisseur tiers, en spécifiant le numéro de port ou la plage de ports, le type de protocole (TCP ou UDP) et la direction (entrant ou sortant).

Au niveau des circuits, le service de pare-feu ISA Server fonctionne avec presque toutes les applications et tous les protocoles Internet, tels que Telnet, messagerie électronique, news, Microsoft Windows Media, RealAudio, IRC et d’autres applications clientes. Le service Pare-feu permet à ces applications d’exécuter comme si elles étaient directement connectées à Internet. Les filtres au niveau des circuits sont proposés pour le pare-feu et les clients SecureNAT (Secure Network Address Translation). SecureNAT est décrit plus loin dans ce document.

L’application cliente provoque l’appel de l’API Winsock pour communiquer avec une application exécutant sur un hôte Internet. Le service pare-feu redirige les fonctions nécessaires vers ISA Server, établissant ainsi une voie de communication de l’application interne vers l’application Internet. Une passerelle spécifique pour chaque protocole, tel que NNTP, SMTP, Telnet ou FTP, est donc inutile. Le service de pare-feu permet aux applications sans prise en charge intégrée d’un proxy et sans aucune connaissance du pare-feu de tirer profit du service.

Les filtres au niveau des circuits assurent le support de pratiquement toutes les applications Internet standard et personnalisées qui sont installées sur la plate-forme Windows. Ces applications communiquent sur le réseau à l’aide de Winsock et peuvent être prises en charge, sans modification, sur des ordinateurs clients sur lesquels est installé le logiciel client pare-feu.

Tandis que les filtres SOCKS peuvent réaliser un filtrage au niveau des circuits à partir des clients sur lesquels est installé le logiciel client pare-feu, SOCKS requiert que des modifications soient apportées aux applications clientes. Pour cette raison, il est recommandé d’utiliser SecureNAT pour les ordinateurs sans client pare-feu. SOCKS ne devrait être utilisé que dans les déploiements où il n’est pas possible d’utiliser SecureNAT, par exemple dans le cas où aucune passerelle de dernier ressort vers Internet n’est présente.

Filtres d’applications

Le niveau le plus sophistiqué de l’inspection du trafic procuré par le pare-feu ISA Server concerne la sécurité au niveau des applications. Les filtres d’applications « intelligents » peuvent analyser le flux de données d’une application particulière et assurer un traitement spécifique à l’application, à savoir l’inspection, le filtrage ou le blocage, la redirection, voire la modification des données lorsqu’elles traversent le pare-feu. Ce mécanisme est utilisé pour éviter les tentatives de piratage connues comme les commandes SMTP non sécurisées ou les attaques sur les serveurs DNS (Domain Naming System) internes. Les outils de fournisseurs tiers pour le filtrage du contenu, y compris la détection de virus, l’analyse lexicale et la classification par catégorie de sites, utilisent aussi des filtres Web et d’applications pour étendre la sécurité du pare-feu.

Examen des états

Au niveau des paquets, ISA Server inspecte la source et la destination du trafic indiquées dans l’en-tête IP et le port dans l’en-tête TCP ou UDP permettant d’identifier le service ou l’application du réseau utilisé.

Les filtres de paquets dynamiques autorisent l’ouverture d’un port uniquement en réponse à la demande d’un utilisateur et uniquement pendant la durée nécessaire à la satisfaction de cette requête, réduisant ainsi la vulnérabilité associée aux ports ouverts. ISA Server peut déterminer dynamiquement les paquets qui peuvent traverser le circuit du réseau interne et les services des couches d’applications. Grâce à cette fonctionnalité, ISA Server peut déterminer l’état d’une session donnée. Vous pouvez configurer les règles de la stratégie d’accès qui ouvrent automatiquement les ports uniquement sous les conditions autorisées, puis les ferment lorsque la communication est terminée. Ce processus est également appelé filtrage de paquets IP dynamique. Cette approche réduit le nombre de ports exposés dans les deux sens de la communication et confère une sécurité sans problèmes et de haut niveau à votre réseau. Pour de nombreux protocoles d’applications, tels que la diffusion multimédia par flux, le filtrage de paquets IP dynamique constitue la méthode la plus sûre pour traiter dynamiquement des ports alloués.

Prise en charge étendue d’applications

ISA Server fonctionne de manière transparente avec des dizaines d’applications Internet majeures en utilisant des protocoles prédéfinis et des filtres d’applications. ISA Server prédéfinit environ 100 protocoles d’applications et permet à l’administrateur de définir des protocoles supplémentaires en fonction du numéro de port, du type (TCP ou UDP) et de la direction. Les protocoles avec des connexions secondaires sont pris en charge par le biais du logiciel client pare-feu. De plus, seul un filtre d’application correspondant prend en charge les clients SecureNAT pour les protocoles avec des connexions multiples. ISA Server inclut des filtres d’applications pour les protocoles d’applications les plus importants, y compris HTTP, FTP, SMTP et la diffusion multimédia par flux.

Prise en charge transparente des clients

ISA Server offre une prise en charge transparente pour les ordinateurs clients sur lesquels n’est pas installé de logiciel client spécial, exécutant toute plate-forme ou système d’exploitation, en utilisant SecureNAT. SecureNAT de ISA Server étend la fonctionnalité NAT de Windows 2000 en mettant en œuvre la stratégie ISA Server pour les clients SecureNAT et en offrant un mécanisme d’extensibilité par le biais de filtres d’applications.

Les clients SecureNAT sont configurés de sorte que la totalité du trafic destiné à Internet est envoyée au moyen de ISA Server, directement ou indirectement, par le biais d’un routeur. SecureNAT offre un accès au service de pare-feu, permettant le contrôle d’accès IP, l’analyse du contenu par des filtres d’applications et l’utilisation du cache ISA Server par le biais du filtre HTTP qui redirige le trafic vers le service proxy Web. Les clients SecureNAT peuvent aussi être des serveurs, tels que des serveurs de messagerie, qui publient des informations sur Internet. Ces serveurs peuvent exécuter n’importe quelle application sur n’importe quel système d’exploitation sans qu’aucun logiciel spécial ne soit installé.

Avec le logiciel client pare-feu installé, les clients Windows peuvent prendre en charge presque toutes les applications Internet standard et personnalisées compatibles avec Winsock (Windows Sockets). Ces applications communiquent sur le réseau à l’aide de Winsock et peuvent être prises en charge, sans aucune modification, sur des ordinateurs exécutant le logiciel client pare-feu. Le service de pare-feu redirige les fonctions de Winsock nécessaires à ISA Server, permettant à ces applications de fonctionner comme si elles étaient directement connectées à Internet. Une passerelle spécifique pour chaque protocole, tel que NNTP, SMTP, Telnet ou FTP (File Transfer Protocol), est donc inutile. Le service de pare-feu permet aux applications sans prise en charge intégrée d’un proxy et sans aucune connaissance du pare-feu de tirer profit du service.

Les ordinateurs clients, sur lesquels le logiciel client pare-feu n’est pas installé, peuvent aussi utiliser le filtre SOCKS intégré dans ISA Server, qui transfère les requêtes des applications SOCKS 4.3 vers le service de pare-feu, mettant en œuvre la stratégie d’accès. SOCKS peut prendre en charge n’importe quelle plate-forme cliente, y compris UNIX, Macintosh et les périphériques non PC, pour toute application cliente prenant en charge le protocole SOCKS (applications SOCKSified).

ISA Server inclut également des filtres d’applications intégrés pour les protocoles Internet les plus importants (HTTP, FTP, messagerie électronique SMTP, conférence H.323, diffusion multimédia par flux, RPC, etc.), permettant une inspection et un traitement intelligents et spécifiques aux applications.

Réseau privé virtuel intégré

ISA Server vous aide à configurer et à sécuriser un réseau privé virtuel (VPN) sécurisé en intégrant la fonctionnalité VPN robuste et puissante de Windows 2000 Server. Un VPN est une extension d’un réseau privé qui regroupe des liens de réseaux partagés ou publics comme Internet. Un VPN vous permet d’envoyer des données entre deux ordinateurs sur un intranet partagé ou public en émulant les propriétés d’un lien privé « point à point ». ISA Server peut être configuré comme un serveur VPN pour prendre en charge les communications de type « passerelle vers passerelle » sécurisées ou les communications à accès distant de type « client vers passerelle » sur Internet. Le VPN intégrant les normes de Windows 2000 prend en charge les protocoles PPTP (Point-to-Point Tunneling Protocol) et L2TP/IPSec (Layer 2 Tunneling Protocol/Internet Protocol Security).

Les connexions VPN permettent aux utilisateurs à domicile ou en déplacement d’établir une connexion en accès à distance au serveur d’une organisation en utilisant l’infrastructure publique. Du point de vue de l’utilisateur, le VPN est une connexion « point à point » entre l’ordinateur, le client VPN et un serveur de l’organisation, le serveur VPN. L’infrastructure exacte du réseau partagé ou public est sans importance car les données semblent logiquement être envoyées sur un lien privé dédié.

Les connexions VPN permettent également aux organisations de router des connexions avec des filiales distantes ou avec d’autres organisations par le biais d’une interconnexion de réseaux publics tout en maintenant des communications sécurisées. Une connexion VPN routée sur Internet opère logiquement comme un lien WAN dédié. ISA Server est compatible avec le service VPN de Windows 2000 pour offrir une solution pare-feu et VPN complète. Le service VPN de Windows 2000 est basé sur les normes du secteur et offre les protocoles de tunneling PPTP ou IPSec/L2TP. ISA Server peut être utilisé pour configurer un tunnel VPN multimembre serveur-serveur vers un serveur d’entreprise ou un tunnel VPN client-serveur vers le serveur d’entreprise.

Réseau privé virtuel intégré

L’assistant VPN local exécute sur ISA Server sur le réseau local. L’ordinateur VPN ISA Server local se connecte à son fournisseur d’accès Internet (FAI). L’assistant VPN distant exécute sur l’ordinateur ISA Server sur le réseau distant. L’ordinateur VPN ISA Server local se connecte à son FAI. Lorsqu’un ordinateur sur le réseau local communique avec un ordinateur sur le réseau distant, les données sont encapsulées et envoyées par le biais du tunnel VPN. L’assistant VPN des clients configure un client-serveur VPN. Un protocole de tunneling (PPTP ou L2TP) est utilisé pour gérer les tunnels et encapsuler les données privées. Les données qui sont mises en tunnel doivent aussi être cryptées pour constituer une connexion VPN.

Renforcement du système

Vous pouvez « verrouiller » Windows 2000 en définissant le niveau approprié de sécurité grâce à des modèles prédéfinis. Les modèles font partie de l’assistant de sécurité du système ISA Server. L’administrateur peut sélectionner l’un des niveaux de sécurité mentionnés ci-dessous.

  • Sécurisé. Ce paramètre est approprié lorsque d’autres applications serveur sont installées sur l’ordinateur ISA Server, tel qu’un serveur IIS (Internet Information Services), les serveurs de bases de données ou les serveurs SMTP.

  • Services limités. Ce paramètre est approprié lorsque l’ordinateur ISA Server fonctionne comme un pare-feu et un serveur de cache.

  • Dédié. Ce paramètre est approprié lorsque l’ordinateur ISA Server fonctionne comme un pare-feu entièrement dédié, sans aucun autre service en cours d’exécution sur le système d’exploitation.

L’assistant de sécurité de ISA Server exploite les modèles de sécurité fournis avec Windows 2000. Vous pouvez utiliser le composant logiciel enfichable Modèle de sécurité pour afficher les détails de la configuration.

Détection d’intrusion intégrée

ISA Server vous aide à identifier et à répondre à des attaques du réseau communes telles que le balayage de ports, WinNuke et Ping of Death. Basé sur la technologie sous licence ISS (Internet Security Systems), ISA Server comprend un mécanisme de détection d’intrusion intégrée qui identifie les tentatives d’attaques contre votre réseau. L’administrateur du pare-feu peut définir le déclenchement d’alarmes lorsqu’une intrusion est détectée. L’alarme spécifie aussi l’action que le système doit entreprendre lorsque l’attaque est reconnue, telle que l’envoi d’un message électronique ou d’une page à l’administrateur, l’arrêt du service de pare-feu, la consignation dans le journal des événements du système ou l’exécution de programmes ou de scripts.

ISA Server met en œuvre la détection d’intrusion à la fois au niveau des filtres de paquets et au niveau des filtres d’applications. Dans le filtre de paquets, ISA Server reconnaît et bloque les attaques suivantes :

  • Windows out-of-band (WinNuke)

  • Land

  • Ping of Death

  • IP half scan

  • UDP bomb

  • Port scan

Filtres d’applications POP et DNS

ISA Server comprend également les filtres d’applications POP (Post Office Protocol) et DNS (Domain Name Service) qui analysent le trafic entrant pour éviter toute intrusion spécifique éventuelle dans les serveurs correspondants. Le filtre de détection d’intrusion DNS intercepte et analyse le trafic DNS destiné au réseau interne. Le filtre de détection d’intrusion POP intercepte et analyse le trafic POP destiné au réseau interne. L’administrateur peut configurer les filtres pour vérifier les tentatives d’intrusion suivantes :

  • dépassement de capacité du nom de l’hôte DNS ;

  • dépassement de capacité de la taille de DNS ;

  • transfert de zone DNS de ports privilégiés (1-1 024) ;

  • transfert de zone DNS de ports élevés (supérieurs à 1 024) ;

  • dépassement de capacité de la mémoire tampon POP.

L’administrateur du pare-feu peut définir le déclenchement d’alarmes lorsqu’une intrusion est détectée. L’alarme spécifie aussi l’action que doit entreprendre le système lorsque l’attaque est reconnue. Il peut s’agir de l’envoi d’un message électronique ou d’une page à l’administrateur, de l’arrêt du service de pare-feu, de la consignation dans le journal des événements du système ou de l’exécution de programmes ou de scripts.

Filtres d’applications intelligents

ISA Server contient des filtres d’applications intelligents qui analysent et contrôlent le trafic spécifique aux applications en inspectant les données actuelles. Le filtrage intelligent intégré de nombreux types de données (y compris les protocoles HTTP, FTP, messagerie électronique SMTP, conférence H.323, diffusion multimédia par flux, RPC, etc.) constitue l’option la plus robuste qu’il soit.

Les filtres d’applications ISA Server vont plus loin que les filtres de paquets de la plupart des pare-feu. Tandis que les filtres de paquets examinent la source, la destination et le type de trafic, les filtres d’applications apportent un niveau de sécurité plus sophistiqué en inspectant le contenu actuel du trafic traversant le pare-feu. Un filtre d’application peut analyser, bloquer, rediriger et même modifier le flux actuel des données, et ce en connaissant les spécificités du protocole de l’application et des structures de données. Cette fonctionnalité permet aux filtres d’applications de réaliser des tâches spécifiques à des applications telles que l’accès transparent à des connexions secondaires, des améliorations de sécurité telles que le blocage potentiel de commandes nuisibles ou des tâches de contenu telles que la détection de virus.

ISA Server comprend les filtres d’applications intégrés suivants :

  • Filtre HTTP. Le filtre HTTP transfère les requêtes HTTP du pare-feu vers le service proxy Web, permettant une mise en cache transparente pour les clients dont le navigateur n’est pas configuré pour se diriger vers le proxy Web.

  • Filtre FTP. Le filtre FTP intercepte et vérifie les données FTP (File Transfer Protocol). Une Data Pump en mode Kernel permet un transfert de données très performant pour le trafic approuvé. Le filtre permet également le filtrage en option de requêtes d’écriture, offrant ainsi un accès FTP en lecture seule.

  • Filtre SMTP. Le filtre SMTP intercepte et vérifie le trafic de messagerie électronique SMTP, protégeant les serveurs de messagerie d’attaques et d’abus éventuels. Le filtre reconnaît les commandes dangereuses et peut filtrer les courriers électroniques en fonction de leur taille ou de leur contenu, refusant les courriers non approuvés avant qu’ils n’atteignent le serveur de messagerie.

  • Filtre SOCKS. Le filtre SOCKS prend en charge la norme SOCKS 4.3a et route de manière transparente le trafic client des applications « SOCKSified » par le biais du service de pare-feu.

  • Filtre RPC. Le filtre RPC permet un filtrage sophistiqué des requêtes RPC (Remote Procedure Call) en fonction d’interfaces spécifiques. L’administrateur peut choisir les interfaces RPC à exposer.

  • Filtre H.323. Le filtre H.323 dirige les paquets H.323 utilisés dans les communications multimédias et les téléconférences. Il permet de contrôler les appels, y compris le traitement des appels entrants et la connexion vers un opérateur de contrôle H.323 spécifique.

  • Filtre de diffusion multimédia par flux. Le filtre de diffusion multimédia par flux prend en charge les protocoles multimédias standard de l’industrie, y compris les technologies Windows Media , RealAudio/RealVideo (PNM) et RTSP (utilisé par RealNetworks et Apple QuickTime). Il offre également la possibilité de fractionner des flux Windows Media en direct pour les partager entre des clients en interne qui requièrent le même flux, économisant ainsi la bande passante.

  • Filtres de détection d’intrusion POP et DNS. Ces deux filtres reconnaissent et bloquent les attaques contre les serveurs internes, y compris le dépassement de capacité du nom de l’hôte DNS, le transfert de zone DNS et le dépassement de capacité de la mémoire tampon POP.

Transparence pour tous les clients

Lorsqu’il est utilisé comme pare-feu, l’ordinateur ISA Server est transparent auprès des autres parties impliquées dans la communication et peut fournir une protection de pare-feu extensible et transparente pour tous les clients IP en utilisant SecureNAT, sans qu’aucun logiciel client ne soit requis. Cela signifie que l’utilisateur Internet ne devrait pas réaliser la présence du serveur pare-feu à moins qu’il ne tente d’accéder à un service ou de visiter un site refusé par l’ordinateur ISA Server. En définissant les stratégies d’accès de sécurité, les administrateurs peuvent empêcher les accès non autorisés, interdire le contenu nuisible de pénétrer le réseau et restreindre le trafic sortant.

Authentification avancée

Vous pouvez mettre en œuvre une forte stratégie d’authentification des utilisateurs pour les clients pare-feu avec l’authentification Windows intégrée (Kerberos ou NTLM) en utilisant le logiciel client pare-feu optionnel. Vous pouvez configurer la stratégie d’accès et les règles de publication ISA Server pour autoriser ou refuser l’accès à des serveurs spécifiques pour un ensemble d’ordinateurs (ensembles d’adresses de clients) ou un groupe d’utilisateurs. Si la règle s’applique spécifiquement aux utilisateurs, ISA Server vérifie ensuite les propriétés de la requête Web pour déterminer la manière dont l’utilisateur devrait être authentifié.

Vous pouvez configurer ISA Server pour qu’il authentifie les utilisateurs. En d’autres termes, vous pouvez configurer les paramètres des requêtes Web entrantes et sortantes de telle sorte que les utilisateurs soient toujours authentifiés avant de traiter les règles. Cette méthode garantit que les requêtes sont uniquement autorisées si l’utilisateur émetteur de la requête est authentifié. Vous pouvez aussi choisir la méthode d’authentification à utiliser. Vous pouvez configurer différentes méthodes d’authentification pour les requêtes Web entrantes et les requêtes Web sortantes.

ISA Server prend en charge les méthodes d’authentification suivantes pour le service proxy Web :

  • Authentification de base (texte simple)

  • Authentification abrégée (dans le domaine Windows 2000)

  • Authentification Windows intégrée (NTLM et Kerberos)

  • Certificats de clients (pour les requêtes entrantes) et certificats de serveurs (pour les serveurs publiés)

  • ISA Server prend en charge l’authentification relais NTLM, la possibilité de passer les informations d’authentification d’un client au serveur de destination pour les requêtes Web sortantes et entrantes.

Publication sécurisée

ISA Server vous permet de protéger les serveurs Web, les serveurs de messagerie électronique et les applications de commerce électronique publiées derrière le pare-feu contre les attaques externes en autorisant uniquement le trafic autorisé. Cela signifie que vous pouvez publier des services sur Internet sans compromettre la sécurité de votre réseau interne. Vous pouvez également utiliser ISA Server pour publier des serveurs internes, en les mettant à disposition de clients Internet sans menacer la sécurité de votre réseau.

Par exemple, vous pouvez placer votre serveur Microsoft Exchange derrière l’ordinateur ISA Server et créer des règles de publication serveur qui autorisent la publication du serveur de messagerie électronique sur Internet. Les courriers électroniques entrant au niveau du serveur Exchange sont interceptés par l’ordinateur ISA Server qui a l’apparence d’un serveur de messagerie électronique pour les clients. ISA Server peut filtrer le trafic et le transférer vers le serveur Exchange. Votre serveur Exchange n’est donc jamais exposé directement aux utilisateurs externes et repose dans un environnement sûr, maintenant l’accès vers d’autres services réseau internes.

Publication sécurisée

La figure illustre la manière dont vous pouvez utiliser ISA Server d’une façon similaire pour publier en toute sécurité des serveurs Web. Lorsqu’un client sur Internet requiert un objet d’un serveur Web, la requête est en fait envoyée vers une adresse IP sur l’ordinateur ISA Server. Les règles de publication Web configurées sur l’ordinateur ISA Server transfèrent la requête de manière appropriée vers le serveur Web interne.

Les services publiés ne requièrent aucune configuration spéciale ni aucune installation logicielle. Cela est dû au fait que les serveurs bénéficient de la transparence SecureNAT de ISA Server.

Filtrage du contenu de la messagerie électronique

ISA Server vous permet d’empêcher l’accès non autorisé aux serveurs de messagerie et d’arrêter les courriers électroniques inacceptables au niveau de la passerelle. Cette fonctionnalité puissante permet aux entreprises de délivrer les messages électroniques, aujourd’hui essentiels à la communication d’entreprise, aux employés et à d’autres utilisateurs sans menacer la sécurité de l’entreprise.

Pontage SSL

ISA Server prend en charge le pontage SSL. Au niveau de la publication Web sécurisée, le pontage SSL fait référence au décryptage de requêtes de clients cryptées et au transfert de la requête à un serveur Web de destination par le biais d’un canal sécurisé secondaire (cette connexion secondaire n’utilise généralement pas les requêtes HTTP cryptées). Par exemple, ISA Server peut répondre à la requête SSL d’un client Internet en terminant la connexion SSL d’un client et en ouvrant une nouvelle connexion avec un serveur Web. Le pontage SSL est utilisé lorsque ISA Server termine ou initie une connexion SSL. Le tunneling SSL est utilisé dès qu’un navigateur client requiert un objet S-HTTP (Secure Hypertext Transfer Protocol) sur le port d’écoute proxy Web par le biais de l’ordinateur ISA Server.

Le pontage SSL présente, entre autres, l’avantage de mettre en place une stratégie de sécurité cohérente tout en conservant les points forts de la sécurité du cryptage SSL. Cela est rendu possible grâce à un tunnel sécurisé à partir de et vers ISA Server, sujet aux stratégies ISA.

Définition d’une stratégie et contrôle d’accès

Lorsque vous créez des règles, vous pouvez définir une stratégie et mettre en place un contrôle d’accès en utilisant un ensemble d’éléments de stratégie prédéfinis, notamment :

  • des calendriers (pour déterminer lorsqu’une règle est en vigueur) ;

  • des ensembles de destination (pour déterminer les adresses IP ou sites qui sont affectés par la règle) ;

  • des ensembles de clients (pour déterminer les clients qui sont affectés par la règle) ;

  • des priorités de bande passante (pour déterminer la bande passante allouée à la communication) ;

  • des définitions de protocoles (pour déterminer les ports et les protocoles de bas niveau qui sont affectés par la règle).

Avec ISA Server Enterprise Edition, vous pouvez créer des éléments de stratégie pour la stratégie de l’entreprise et pour la stratégie d’un groupe d’utilisateurs. Vous pouvez utiliser les éléments de la stratégie de l’entreprise lorsque vous configurez n’importe quelle règle de stratégie d’entreprise. Les règles de stratégie d’un groupe d’utilisateurs héritent des règles de la stratégie de l’entreprise et permettent de définir de manière plus détaillée les restrictions d’accès, sans toutefois aller à l’encontre de la stratégie de l’entreprise. Vous pouvez utiliser un assistant simple pour créer de nouvelles définitions de stratégie.

Règles de protocoles

Les règles de protocoles déterminent les protocoles qui peuvent être utilisés par les clients pour accéder à Internet. Vous pouvez définir des règles de protocoles qui autorisent ou refusent l’utilisation d’une ou plusieurs définitions de protocoles. Vous pouvez configurer des règles de protocoles qui s’appliquent à la totalité du trafic IP, à un ensemble spécifique de définitions de protocoles ou à la totalité du trafic à l’exception d’un ensemble spécifique de définitions de protocoles.

ISA Server comprend une liste de définitions de protocoles connus préconfigurées (les protocoles Internet les plus populaires). Vous pouvez ajouter ou modifier des protocoles supplémentaires. Lorsqu’un client requiert un objet en utilisant un protocole spécifique, ISA Server vérifie les règles de protocoles. Si une règle de protocole refuse spécifiquement l’utilisation du protocole, la requête est refusée. La requête est traitée uniquement si une règle de protocole autorise spécifiquement le client à communiquer en utilisant le protocole spécifique et si une règle de site et de contenu autorise spécifiquement l’accès à l’objet requis.

Règles de sites et de contenus

Les règles de sites et de contenus déterminent si - et à quel moment - des utilisateurs ou des ensembles d’adresses de clients peuvent accéder à un ensemble de destinations spécifiques. Vous pouvez autoriser ou refuser l’accès à Internet en créant des règles de sites et de contenus.

Lorsqu’un client requiert un objet, ISA Server vérifie les règles de sites et de contenus. Si une règle de site et de contenu refuse spécifiquement la requête, l’accès est refusé. La requête est traitée uniquement si une règle de site et de contenu autorise spécifiquement le client à accéder au contenu et si le client est autorisé à communiquer en utilisant le protocole spécifique.

L’intégration avec Active Directory signifie que les règles peuvent être appliquées en fonction de l’authentification d’utilisateurs et de groupes par nom en plus des ensembles d’adresses des clients par adresse ou plage IP.

L’administrateur de réseau crée les règles de sites et de contenus en indiquant les clients qui peuvent accéder à des ensembles de destinations spécifiques. Les règles de sites et de contenus peuvent autoriser ou refuser l’accès à des sites spécifiques. Si l’accès est refusé, la requête peut être redirigée vers une autre URL. Par exemple, vous pouvez créer un site HTML personnalisé qui recevrait toutes les requêtes refusées et présenterait des consignes d’accès appropriées.

Prise en charge des clients

ISA Server prend en charge trois types de clients :

  • les clients pare-feu ;

  • les clients SecureNAT ;

  • et les clients proxy Web.

Clients pare-feu

Les clients pare-feu ISA sont des ordinateurs sur lesquels le logiciel client pare-feu est installé. Les requêtes des clients pare-feu sont dirigées vers le service de pare-feu sur l’ordinateur ISA Server pour déterminer si l’accès est autorisé. Ensuite, les requêtes peuvent être filtrées par des filtres d’applications et d’autres filtres complémentaires. Si le client pare-feu requiert un objet HTTP, le filtre HTTP redirige alors la requête vers le service proxy Web. Le service proxy Web peut aussi mettre en cache l’objet requis ou servir l’objet à partir du cache ISA Server.

Le service de pare-feu prend en charge les applications Windows Sockets version 1.1. Avant qu’une application Windows Sockets ne puisse gagner l’accès à Internet par le biais de ISA Server, le serveur doit être configuré pour permettre à l’utilisateur d’accéder au protocole requis sur les ports de service requis.

Vous pouvez installer le logiciel client pare-feu ISA sur des ordinateurs clients exécutant Microsoft Windows 95, Windows 98, Windows NT® 4.0 ou Windows 2000. Lorsque vous installez ISA Server, vous configurez le groupe sur laquelle les clients pare-feu doivent se connecter lorsqu’ils envoient des requêtes sur Internet. Vous pouvez spécifier le groupe par nom DNS ou par adresse IP.

Clients SecureNAT

Comme il en était fait état précédemment, les clients SecureNAT sont des ordinateurs sur lesquels le logiciel client pare-feu n’est pas installé. Les requêtes des clients SecureNAT sont dirigées vers la couche SecureNAT. La requête du client est inspectée par le service de pare-feu pour déterminer si l’accès est autorisé. S’il l’est, la requête est ensuite traitée par le moteur SecureNAT, qui substitue une adresse IP globale valide sur Internet par une adresse IP interne du client SecureNAT. Finalement, les filtres d’applications et d’autres filtres complémentaires peuvent filtrer la requête. Si le client SecureNAT requiert un objet HTTP, le filtre HTTP redirige alors la requête vers le service proxy Web. Le service proxy Web peut aussi mettre en cache l’objet requis ou servir l’objet à partir du cache ISA Server.

Clients proxy Web

Les clients proxy Web correspondent à toute application pour navigateur compatible avec la norme CERN. Les requêtes des clients proxy Web sont dirigées vers le service proxy Web sur l’ordinateur ISA Server pour déterminer si l’accès est autorisé. Le service proxy Web peut aussi mettre en cache l’objet requis ou servir l’objet à partir du cache ISA Server.

Vous pouvez configurer le client du navigateur Web après avoir installé le logiciel client ISA Server. Chaque navigateur Web est configuré par le biais de sa propre interface utilisateur, généralement des éléments de menus tels que Options, Préférences ou Paramètres.

Lorsque vous installez le logiciel client pare-feu ISA, les paramètres du navigateur Web sur le poste de travail client pare-feu peuvent être configurés automatiquement. Ensuite, vous pouvez reconfigurer les clients du navigateur Web.
<< 1 2 3 >>

Dernière mise à jour le mercredi 21 mars 2001

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.