안녕하세요. 아래 답변이 도움이 되셨기를 바랍니다. 주고받는 것을 잊지 마세요
네트워크 기술의 발전과 지속적인 발전으로 우리에게 편리함을 제공하는 동시에 네트워크로 인한 위협도 증가했습니다. 방화벽은 내부 네트워크와 외부 공용 네트워크 사이의 첫 번째 장벽으로 사람들의 관심을 받는 첫 번째 네트워크 보안 제품입니다. 그러나 기존 방화벽은 네트워크 보안의 네트워크 계층과 전송 계층에 위치하며 약점도 분명합니다. 즉, 소스 주소, 대상 주소, 포트 번호, 프로토콜 유형에 따라 데이터 패킷의 통과 허용 여부만 결정할 수 있습니다. 및 기타 플래그가 패킷 헤더에 포함되어 있어 다양한 보안 요구 사항을 완전히 충족하지 못할 수 있습니다. 그러나 네트워크 보안 기술의 전반적인 발전과 네트워크 애플리케이션의 지속적인 변화로 인해 현대 방화벽 기술은 점차적으로 네트워크 계층 이외의 다른 보안 수준으로 이동하여 기존 방화벽의 필터링 작업을 완료해야 할 뿐만 아니라 이에 상응하는 기능도 제공합니다. 다양한 네트워크 보안 서비스를 제공합니다. Microsoft의 ISA(Internet Security and Acceleration) 서버는 그러한 새로운 방화벽 제품입니다.
ISA Server는 고객이 기존 IT 아키텍처를 기반으로 네트워크 보안과 성능을 쉽게 극대화할 수 있도록 지원하는 고급 애플리케이션 계층 방화벽, VPN 및 웹 캐싱 솔루션입니다. ISA Server에는 다음과 같은 주요 장점이 있습니다.
첫째, 기존 IT 리소스를 쉽게 통합하여 성능과 보안을 극대화합니다.
Microsoft Windows Server System의 구성원인 ISA Server는 다른 Microsoft 서버 제품과 쉽게 통합될 수 있습니다.
현재 대부분의 회사에서는 회사 직원이 사무실에 없을 때도 회사 내부 애플리케이션 서버에 액세스할 수 있도록 방화벽에 VPN 다이얼인을 구성합니다. 이 접근 방식에는 큰 단점과 결함이 있습니다. 먼저 방화벽 관리자는 VPN을 사용하여 전화 접속하는 각 직원에 대해 방화벽에서 확인 계정을 열고 각 직원의 클라이언트에 VPN을 올바르게 설정해야 합니다.
둘째, 인터넷에서 직접 이러한 애플리케이션에 액세스하면 SSL(Secure Socket Layer) 연결 내에 공격 코드가 숨겨질 수 있습니다.
셋째, 직원이 원격 위치에 있는 경우 클라이언트가 VPN 연결에 액세스하지 못하도록 차단하는 방화벽 뒤에 있을 수 있습니다.
ISA Server를 사용하면 위의 문제를 매우 잘 해결할 수 있습니다.
ISA Server는 LDAP 인증을 지원하고 작업 그룹 모드에서 작동할 수 있으므로 더 이상 AD 디렉터리 서비스 통신에 필요한 모든 포트를 열 필요가 없습니다. LDAP를 열거나 도메인 컨트롤러와 서버 간에 전역적으로만 열면 됩니다. 도메인 컨트롤러. 사용자가 인증을 요청하면 ISA Server는 직접 인증하고 인증된 사용자가 보낸 요청만 인트라넷으로 전달됩니다.
ISA Server에는 사용자가 OWA, HTTP를 통한 RPC 및 공유 포인트 사이트 게시를 쉽고 빠르게 구현하고 SSO(Single Sign-On)를 실현할 수 있도록 지원하는 여러 기본 제공 응용 프로그램 게시 규칙 마법사가 있습니다. ISA Server는 확장성도 좋습니다. 소프트웨어 방화벽으로서 ISA Server는 Windows 2000 Server(SP4) 및 Windows Server 2003에 설치할 수 있으며 사용자는 무료 ISA Server SDK 도구를 사용하여 응용 프로그램 계층 필터링, 액세스 제어 등을 확장할 수 있습니다.
둘째, 애플리케이션 레이어 필터링입니다.
ISA Server는 수많은 응용 프로그램 계층 필터를 제공합니다. 이러한 필터는 특정 응용 프로그램 계층 프로토콜 및 서비스의 약점과 취약성을 표적으로 삼는 공격으로부터 ISA Server를 보호합니다.
셋째, VPN 지원입니다.
ISA Server는 PPTP, L2TP/IPSec 등의 VPN 프로토콜을 지원합니다.
ISA Server는 VPN 클라이언트 액세스와 사이트 간 VPN 연결이라는 두 가지 모드를 지원합니다.
VPN 클라이언트 액세스 모드를 사용하면 VPN 클라이언트로 구성된 단일 컴퓨터가 ISA에 연결하고 기업 내부 네트워크의 리소스에 액세스할 수 있습니다. VPN 클라이언트는 PPTP 및 L2TP/IPSec 프로토콜을 사용할 수 있습니다. 동시에 ISA Server는 SecureID, RADIUS 및 EAP/TLS와 같은 여러 고급 인증 메커니즘도 지원합니다.
ISA Server의 VPN은 다른 방화벽 VPN에 비해 큰 장점을 가지고 있습니다. VPN 클라이언트가 기업 내부 네트워크에 완전히 액세스할 수 있도록 허용하는 많은 제조업체의 방화벽과 달리 ISA Server는 각 사용자의 VPN 연결에 대해 방화벽 액세스 제어 정책을 설정할 수 있습니다. 사용자가 ISA Server와 VPN 연결을 설정하면 액세스 권한이 부여된 네트워크 리소스에만 액세스할 수 있으며 다른 리소스는 사용할 수 없습니다.
다른 방화벽과 비교하여 ISA Server의 또 다른 큰 장점은 VPN 격리 영역입니다. VPN 격리 기능은 클라이언트가 회사 네트워크에 액세스하도록 허용하기 전에 사전 확인합니다. 미리 설정된 요구 사항을 충족해야 하는 VPN 클라이언트만 회사 내부 네트워크에 액세스할 수 있습니다.
넷째, 캐시 캐시입니다.
방화벽 및 VPN 기능 외에도 ISA Server는 웹 프록시 서버 역할도 할 수 있습니다. 내부 외부 접속과 외부 내부 접속을 위한 캐시 서버 역할을 동시에 수행할 수 있습니다.
ISA Server 내부 네트워크의 사용자가 인터넷상의 웹 사이트에 액세스하면 다음 사용자가 액세스를 요청할 때 사용자가 요청한 사이트의 콘텐츠가 ISA의 웹 캐시에 저장됩니다. 동일한 콘텐츠가 발견되면 웹 사이트를 다시 방문할 필요 없이 ISA Server 캐시에서 관련 콘텐츠를 직접 읽을 수 있습니다. 이렇게 하면 인터넷 연결 수와 네트워크 대역폭 사용량을 크게 줄일 수 있습니다. 동시에 사용자의 입장에서는 액세스 속도를 높이고 직원 만족도와 효율성을 향상시킬 수도 있습니다.
인터넷 사용자가 ISA Server 게시 규칙을 통해 게시된 웹 사이트에 액세스하면 ISA Server는 인터넷 사용자를 대체하여 내부 웹 사이트에 액세스한 다음 요청 콘텐츠를 인터넷 사용자에게 전달합니다. ISA Server는 또한 요청된 콘텐츠를 자체 캐시에 저장합니다. 다른 사용자가 동일한 사이트 콘텐츠를 요청하면 해당 사용자는 해당 콘텐츠를 ISA Server 캐시에서 직접 읽습니다. ISA Server의 이 기능은 내부 네트워크 트래픽을 매우 효과적으로 줄이는 동시에 웹 사이트를 영구적으로 온라인 상태로 유지할 수 있습니다. 일상적인 유지 관리, 하드웨어 또는 소프트웨어 오류로 인해 웹 서버가 오프라인 상태가 되는 경우 ISA Server의 역방향 캐싱 기능을 사용하면 웹 사이트의 콘텐츠가 ISA Server에 저장되어 다른 사용자가 사용하기 때문에 웹 서버 역할을 수행할 수 있습니다. ISA Server를 제공하려면 사용자가 웹 사이트에 액세스할 수 없어 발생하는 부정적인 영향을 방지하세요.
다섯째, 로그 보고입니다.
ISA Server는 자세한 로그 보고서를 제공합니다. 사용자는 필요에 따라 보고서 생성 기간(일, 주, 월, 년)을 설정할 수 있으며, 보고서를 관리자에게 이메일로 보낼 수 있습니다. 보고서 내용에는 요약, 웹 사용, 애플리케이션 사용, 통신 및 사용, 보안이라는 다섯 가지 주요 측면이 포함됩니다. 각 측면은 하위 범주로 구분되어 차트나 데이터 표 형식으로 표시됩니다. 관리자가 명확하게 볼 수 있도록 하세요.
ISA 방화벽의 장점을 많이 언급했지만 단점에 대해 이야기해 보겠습니다.
Isa는 win 플랫폼에 구축된 소프트웨어 응용 프로그램 시스템일 뿐이며 효율성은 확실히 낮습니다. Isa 서버의 구성은 하드웨어 화재 방지 구성보다 훨씬 높을 수 있지만 작업 능력은 확실히 이전만큼 좋지 않습니다.
Isa는 단지 몇 가지 방화벽 기능을 갖춘 PC일 뿐이며, 많은 것을 하나로 통합한 것입니다. "편리한 관리"라고 명명되었으며 모든 기능이 숨겨져 있으며 특정 기능을 구현하고 전략을 수립하는 방법을 아는 사람이 없습니다. PC 아키텍처 자체에는 공격의 진입점 중 하나인 결함이 있습니다. 하드 화재 방지는 적어도 PC와 같은 호환성 문제와 플러그 앤 플레이 문제를 고려할 필요가 없으므로 더 안전합니다. 또한, 소프트웨어적인 측면에서도 경질 내화 소프트웨어와 하드웨어가 함께 설계되어 완벽하게 함께 작동하여 훨씬 더 효율적입니다.