Nowe i udoskonalone funkcje produktu

Transkrypt

1 Nowe i udoskonalone funkcje produktu Artykuł przeglàdowy Czerwiec 2004 Najnowsze informacje znajdujà si pod adresem:

2 Spis treêci Zaawansowana ochrona ŁatwoÊç u ycia Monitorowanie i raportowanie Szybki i bezpieczny dost p

3 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowanà zaporà filtrujàcà ruch w warstwie aplikacji. Razem z zaporà zintegrowany jest moduł obsługujàcy wirtualne sieci prywatne (VPN) i buforowanie Web. Takie rozwiàzanie umo liwia klientom zwi kszenie poziomu bezpieczeƒstwa i wydajnoêci sieci, a tym samym uzyskanie maksymalnych korzyêci z poczynionych inwestycji. Zaawansowana ochrona lub Funkcje Filtrowanie w warstwie aplikacji Filtrowanie HTTP dla poszczególnych reguł Blokowanie dost pu do treêci wykonywalnych Kontrolowanie pobierania plików przez HTTP na podstawie rozszerzeƒ pliku Stosowanie filtrowania HTTP do wszystkich połàczeƒ klientów produktu ISA Server 2004 Kontrola dost pu przez HTTP na podstawie sygnatur HTTP Kontrola dozwolonych metod HTTP Microsoft Internet Security and Acceleration (ISA) Server 2004 stosuje reguły filtrowania HTTP z pami cià stanu, dzi ki czemu zapora dokładnie kontroluje ruch HTTP. FunkcjonalnoÊç ta jest okreêlana jako filtrowanie w warstwie aplikacji. Zakres kontroli mo na skonfigurowaç oddzielnie dla poszczególnych reguł. Pozwala to na konfigurowanie niestandardowych ograniczeƒ dost pu po HTTP dla ruchu zarówno przychodzàcego, jak i wychodzàcego. Reguły HTTP stosowane przez ISA Server 2004 mogà byç tak skonfigurowane, by blokowały wszelkie próby połàczeƒ do zasobów wykonywalnych w systemie operacyjnym Microsoft Windows, niezale nie od rozszerzenia pliku u ytego dla danego zasobu. Mechanizm reguł HTTP stosowany przez ISA Server 2004 umo liwia zdefiniowanie reguł opartych na rozszerzeniach plików, m.in. reguły typu dopuêç wszystkie rozszerzenia z wyjàtkiem okreêlonego zbioru rozszerzeƒ lub zablokuj wszystkie rozszerzenia z wyjàtkiem okreêlonego zbioru rozszerzeƒ. Mechanizm reguł HTTP wykorzystywany przez ISA Server 2004 pozwala na kontrolowanie dost pu po HTTP dla wszystkich połàczeƒ klientów produktu ISA Server Dogł bna kontrola HTTP wykonywana przez ISA Server 2004 umo liwia tworzenie sygnatur HTTP, które mo na porównywaç z adresem internetowym zawartym w àdaniu, nagłówkiem àdania, treêcià àdania i treêcià odpowiedzi. Pozwala to na dokładne kontrolowanie treêci, do jakich u ytkownicy wewn trzni i zewn trzni mogà mieç dost p poprzez zapor ISA Server Produkt udost pnia kontrol metod HTTP przepuszczonych przez zapor. Polega to na skonfigurowaniu ustawieƒ dost pu u ytkowników do poszczególnych metod. Przykładowo, mo na ograniczyç dost p do metody POST protokołu HTTP, uniemo liwiajàc u ytkownikom wysyłanie informacji do witryn Web za pomocà tej metody. 1

4 lub Funkcje Ochrona i zapora Egzekwowanie bezpiecznych połàczeƒ pomi dzy usługà Microsoft Exchange w trybie RPC a pełnym klientem usług przesyłania wiadomoêci i współpracy Microsoft Outlook MAPI Reguły dost pu do FTP Translacja łàczy Szczegółowa kontrola opcji IP Obsługa wielu protokołów Obsługa zło onych protokołów wymagajàcych wielu połàczeƒ głównych (primary) Dostosowane definicje protokołów Grupy u ytkowników zapory Uwierzytelnianie ISA Server 2004 Secure Exchange Server Publishing Rules umo liwia zdalnym u ytkownikom nawiàzanie połàczenia z usługà Exchange Server za poêrednictwem Internetu za pomocà pełnego klienta Outlook MAPI. Klient Outlook musi byç tak skonfigurowany, by u ywał bezpiecznego połàczenia RPC zapewniajàcego szyfrowanie. Reguły obsługi RPC udost pniane przez ISA Server 2004 umo liwiajà blokowanie wszystkich połàczeƒ z klientów Outlook MAPI, które nie sà szyfrowane. Mechanizm reguł dost pu do FTP stosowany przez ISA Server 2004 mo na tak skonfigurowaç, by umo liwiał u ytkownikom przesyłanie i pobieranie plików za poêrednictwem protokołu FTP bàdê ograniczał dost p tylko do pobierania za poêrednictwem tego protokołu. Niektóre opublikowane witryny Web mogà zawieraç odwołania do wewn trznych nazw komputerów. Ze wzgl du na to, e dla klientów zewn trznych sà dost pne jedynie zapora ISA Server 2004 i zewn trzna przestrzeƒ nazw, nie jest natomiast dost pna przestrzeƒ nazw wewnàtrz sieci, takie odwołania sà tzw. łàczami martwymi. ISA Server 2004 udost pnia funkcj translacji łàczy, która umo liwia tworzenie słownika definicji, pozwalajàcego na odwzorowanie wewn trznych nazw komputerów na nazwy publicznie dost pne. ISA Server 2004 umo liwia szczegółowe konfigurowanie opcji IP oraz dopuszczanie tylko wymaganych opcji, a zablokowanie wszystkich pozostałych. ISA Server 2004 umo liwia kontrol u ycia i dost pu do wszystkich protokołów, w tym do protokołów poziomu IP. U ytkownicy mogà korzystaç z takich aplikacji, jak ping lub tracert, a tak e tworzyç połàczenia przez wirtualnà sieç prywatnà (VPN) z wykorzystaniem protokołu PPTP. ISA Server 2004 umo liwia ponadto przepuszczanie ruchu IPSec. Wiele aplikacji zwiàzanych z mediami strumieniowymi, głosem i wideo wymaga, by zapora obsługiwała zło one protokoły. ISA Server 2004 nie tylko zapewnia obsług takich protokołów, ale udost pnia równie łatwy w u yciu kreator nowych protokołów pozwalajàcy na tworzenie definicji nowych protokołów. ISA Server 2004 umo liwia kontrolowanie êródłowego i docelowego numeru portu w ka dym protokole, dla którego jest tworzona reguła zapory. Administrator zapory ISA Server 2004 mo e wi c w pełni kontrolowaç pakiety przepuszczane przez zapor w obu kierunkach: przychodzàcym i wychodzàcym. ISA Server 2004 pozwala na tworzenie grup u ytkowników zapory, w których skład wchodzà grupy istniejàce w lokalnej bazie kont bàdê w domenie usługi katalogowej Active Directory. Zwi ksza to elastycznoêç kontroli dost pu na podstawie uczestnictwa u ytkowników lub grup w grupach, gdy administrator zapory mo e tworzyç z istniejàcych grup niestandardowe grupy na potrzeby ochrony. Eliminuje to tak e wymóg, by administrator zapory był jednoczeênie administratorem domeny, poniewa mo e nadawaç grupom utworzonym na potrzeby ochrony uprawnienia zwiàzane z kontrolà dost pu ruchu przychodzàcego i wychodzàcego. Uwierzytelniania u ytkowników mo na dokonaç za pomocà wbudowanych mechanizmów uwierzytelniania systemu Windows, standardów RADIUS i RSA SecurID oraz innych przestrzeni nazw. Reguły uwierzytelniania mogà si odnosiç do u ytkowników bàdê do grup u ytkowników w dowolnej przestrzeni nazw. Niezale ni dostawcy mogà rozszerzaç wbudowane mechanizmy uwierzytelniania, korzystajàc z pakietu dla programistów (SDK). 2

5 lub Udoskonalony Udoskonalony Udoskonalona Funkcje Przekazywanie uprawnieƒ klienta zapory do usługi Web Proxy Dost p przez zapor do poczty internetowej Hotmail Obiekty sieciowe Kreatory reguł zapory Reguły zapory prezentowane w postaci uporzàdkowanej listy Reguły dost pu na podstawie u ytkowników i grup u ytkowników Kreator publikacji OWA (Outlook Web Access) Obsługa FTP Przekierowywanie portów dla reguł publikowania serwerów FTP Bezpieczne publikowanie w Web ISA Server 2004 umo liwia klientom zapory dost p do bufora Web z filtrem HTTP bez koniecznoêci oddzielnego uwierzytelnienia do usługi Web Proxy. ISA Server 2004 zawiera udoskonalony filtr HTTP, który umo liwia u ytkownikom dost p do usługi Hotmail przy u yciu łatwej do skonfigurowania reguły zapory. Nie ma potrzeby specjalnego konfigurowania klienta lub zapory. ISA Server 2004 znacznie rozszerza mo liwoêci administratorów w zakresie definiowania obiektów sieciowych. Mo na tworzyç takie obiekty, jak komputery, sieci, zbiory sieci, zakresy adresów, podsieci, zbiory komputerów i zbiory nazw domen. Obiekty sieciowe mogà słu yç do definiowania ustawieƒ adresów êródłowych i docelowych na potrzeby reguł zapory. ISA Server 2004 zawiera nowy zestaw kreatorów reguł, które w wi kszym ni dotàd stopniu ułatwiajà tworzenie reguł dost pu. Reguły dost pu u ywane przez ISA Server 2004 mo na tworzyç za pomocà zaawansowanych reguł zapory pozwalajàcych na definiowanie w locie dowolnego elementu reguły. Tworzenie nowego obiektu sieciowego nie wymaga wychodzenia z kreatora reguł udoskonalony kreator umo liwia utworzenie dowolnego obiektu sieciowego lub relacji pomi dzy obiektami. ISA Server 2004 prezentuje reguły zapory w postaci uporzàdkowanej listy, w której parametry połàczenia sà najpierw porównywane z regułà umieszczonà na poczàtku listy. ISA Server 2004 przeszukuje list w dół, a do zlokalizowania reguły odpowiadajàcej parametrom połàczenia i wówczas wykonuje akcj okreêlonà w regule. Znacznie ułatwia to poznanie przyczyny, dlaczego konkretne połàczenie jest blokowane lub przepuszczane. reguły zapory ISA Server 2004 pozwalajà na zdefiniowanie dla ka dego protokołu adresów êródłowych i docelowych, do których u ytkownik lub grupa u ytkowników mogà uzyskaç dost p. Umo liwia to znaczne zwi kszenie elastycznoêci kontroli dost pu ruchu przychodzàcego i wychodzàcego. Podstawà sieci VPN działajàcych wg protokołu SSL jest zdalny dost p bez u ycia klientów (clientless) za poêrednictwem bezpiecznych połàczeƒ SSL. ISA Server 2004 udost pnia kreator publikacji OWA (Outlook Web Access Publishing Wizard), który prowadzi u ytkownika podczas tworzenia reguły zapory oraz nawiàzuje połàczenie SSL z OWA z serwerem Exchange. Wszystkie elementy sieciowe mo na tworzyç w locie utworzenie elementu reguły nie wymaga wyjêcia z kreatora. ISA Server 2004 umo liwia dost p do serwerów internetowych FTP, które mogà nasłuchiwaç w portach o alternatywnych numerach bez potrzeby specjalnego konfigurowania klienta lub zapory ISA Server Publikowanie serwera FTP w portach o alternatywnych numerach odbywa si zgodnie z prostà regułà publikowania serwera FTP. ISA Server 2004 pozwala na odbieranie połàczenia na jednym porcie, a nast pnie przekierowanie àdania do portu o innym numerze na opublikowanym serwerze. ISA Server 2004 umo liwia umieszczenie serwerów poza zaporà w sieci korporacyjnej lub sieci DMZ (perimeter) oraz bezpieczne publikowanie usług tych serwerów. Udoskonalony kreator bezpiecznego publikowania Web ułatwia tworzenie reguły, która pozwala u ytkownikom na zabezpieczenie zdalnego dost pu za poêrednictwem SSL do opublikowanych serwerów Web. 3

6 ŁatwoÊç u ycia lub Funkcja Ochrona i zapora Konfigurowanie Êrodowiska wielosieciowego Specyficzne reguły dla poszczególnych sieci Relacje pomi dzy sieciami z rutingiem a translacjà adresów sieciowych (NAT) Istnieje mo liwoêç zdefiniowania jednej lub wi cej chronionych sieci, przy czym ka da sieç mo e mieç odmienne relacje wobec pozostałych. Reguły dost pu sà definiowane w odniesieniu do poszczególnych sieci i nie muszà odnosiç si jedynie do sieci wewn trznej. ISA Server 2004 udost pnia rozszerzone funkcje ochrony, które mo na stosowaç do ruchu mi dzy dowolnymi sieciami lub obiektami sieciowymi. Nowe funkcje obsługi Êrodowiska wielosieciowego udost pnione w ISA Server 2004 umo liwiajà zabezpieczenie sieci przed wewn trznymi i zewn trznymi zagro eniami, ograniczajàc komunikacj mi dzy klientami nawet wewnàtrz przedsi biorstwa. Funkcje obsługi sieci obejmujà równie zaawansowane scenariusze ze strefami zdemilitaryzowanymi (DMZ) lub ekranowanymi podsieciami (screened network), ułatwiajàc konfigurowanie sposobu dost pu klientów do sieci DMZ. Reguły dost pu mi dzy sieciami mo na okreêliç na podstawie definicji specyficznych stref bezpieczeƒstwa zawierajàcych poszczególne sieci. ISA Server 2004 umo liwia definiowanie relacji rutingu mi dzy sieciami w zale noêci od wskazanego typu dost pu i komunikacji mi dzy nimi. W niektórych przypadkach niezb dna jest komunikacja zapewniajàca wi ksze bezpieczeƒstwo, lecz mniej przezroczysta. W takich scenariuszach mo na zdefiniowaç relacj z translacjà adresów sieciowych (NAT). W innych sytuacjach mo e byç wykonywany prosty ruting ruchu poprzez ISA Server. Pakiety transmitowane mi dzy sieciami z rutingiem podlegajà w pełni mechanizmom filtrowania z pami cià stanu i innym mechanizmom kontroli oferowanym przez ISA Server

7 Monitorowanie i raportowanie lub Funkcja Ochrona i zapora Monitorowanie w czasie rzeczywistym zapisów w dzienniku Wbudowana funkcja zapytaƒ dotyczàcych dziennika Monitorowanie i filtrowanie sesji zapory w czasie rzeczywistym Funkcje weryfikacji połàczeƒ Dostosowywanie raportów tworzonych przez ISA Server 2004 Publikowanie raportów Powiadomienie pocztà elektronicznà o utworzeniu raportu OkreÊlanie czasu przygotowania podsumowania dziennika rejestrowanie w dziennikach zapisywanych do bazy danych SQL Server Rejestrowanie w dziennikach zapisywanych do bazy danych MSDE ISA Server 2004 pozwala na monitorowanie w czasie rzeczywistym dzienników zapory, Web Proxy oraz dziennika SMTP Message Screener. Konsola monitorowania wyêwietla zapisy dziennika na bie àco, rejestrujàc je równoczeênie w pliku dziennika zapory. Administrator mo e definiowaç zapytania do dziennika logów, u ywajàc wbudowanej funkcji zapytaƒ. Zapytania do dzienników mogà dotyczyç informacji zawartej w dowolnym polu dziennika. Mo liwe jest zaw enie zakresu zapytania do okreêlonego czasu. Wyniki zapytania pojawiajàce si na konsoli ISA Server 2004 mo na kopiowaç do schowka i wklejaç do innej aplikacji w celu poddania ich szczegółowej analizie. ISA Server 2004 umo liwia wyêwietlanie wszystkich aktywnych połàczeƒ do zapory. W widoku sesji mo na sortowaç poszczególne sesje lub ich grupy. Mo na równie rozłàczaç aktywne sesje. Ponadto dost pny jest wbudowany mechanizm filtrowania sesji pozwalajàcy na filtrowanie wyêwietlanych w interfejsie sesji z uwzgl dnieniem tylko wybranych sesji. ISA Server 2004 pozwala na weryfikowanie połàczeƒ poprzez systematyczne monitorowanie połàczeƒ z systemu, na którym działa ISA Server 2004, do okreêlonego adresu IP, nazwy komputera lub do adresu URL. FunkcjonalnoÊç t zapewnia Connection Verifier. Do weryfikacji połàczeƒ mo na wykorzystaç: Ping, połàczenie TCP (Transmission Control Protocol) do okreêlonego portu lub HTTP GET. ISA Server 2004 ma udoskonalonà funkcj tworzenia własnych raportów, umo liwiajàcà umieszczanie dodatkowych informacji w raportach zapory. ISA Server 2004 udost pnia funkcj zadaƒ tworzenia raportów. Umo liwia ona automatyczne zapisywanie kopii raportu w lokalnym lub udost pnionym folderze. Folder, w którym sà zapisywane raporty, mo e byç odwzorowany w wirtualnym katalogu witryny WWW tak, aby dost p do niego mieli wszyscy uprawnieni u ytkownicy. JeÊli dany raport nie został opublikowany automatycznie, mo e zostaç opublikowany r cznie ju po jego utworzeniu. Mo na tak skonfigurowaç zadanie tworzenia raportów, aby po stworzeniu raportu był on wysyłany pocztà elektronicznà. W ISA Server tworzenie podsumowania dziennika odbywa si o godz Informacje zawarte w podsumowaniach dziennika stanowià podstaw do tworzenia raportów. W wersji ISA Server 2004 mo na łatwo ustawiaç czas przygotowania podsumowania dziennika. Zwi ksza to elastycznoêç, pozwalajàc na swobodne okreêlanie godziny tworzenia raportów. Zdarzenia mogà byç rejestrowane w dziennikach zapisywanych w bazie danych SQL Server, znajdujàcej w innym komputerze w sieci wewn trznej. Udost pniane przez ISA Server 2004 funkcje rejestrowania w dziennikach zapisywanych do bazy danych SQL Server zostały zoptymalizowane i zapewniajà znacznie wi kszà wydajnoêç. Dzienniki mogà byç zapisywane w formacie MSDE. Zapisywanie dzienników w lokalnej bazie danych zwi ksza szybkoêç i elastycznoêç zapytaƒ. 5

8 lub Zarzàdzanie Funkcja Zarzàdzanie Eksport i import Kreator delegowania uprawnieƒ dla ról administratora zapory ISA Server 2004 zapewnia funkcje zarzàdzania ułatwiajàce zapewnienie ochrony sieci. Nowy interfejs u ytkownika udost pnia takie funkcje, jak panele zadaƒ (Task Pane), panele pomocy (Help Pane) i udoskonalony kreator Pierwsze kroki (Getting Started). Ponadto został zmieniony wyglàd edytora reguł zapory. ISA Server 2004 wprowadza po raz pierwszy mo liwoêç eksportu i importu konfiguracji. Administrator mo e u yç tej funkcji do zapisania parametrów konfiguracji w pliku XML, a nast pnie zaimportowaç te informacje do innego serwera. Kreator delegowania uprawnieƒ administracyjnych ułatwia przydzielanie ról administracyjnych u ytkownikom i grupom u ytkowników. Zostały udost pnione wst pnie zdefiniowane role delegujà one pewne poziomy kontroli administracyjnej, jakie u ytkownicy mogà sprawowaç nad okreêlonymi usługami ISA Server

9 Szybki i bezpieczny dost p lub Funkcja Bezpieczny zdalny dost p do produktów z serii Microsoft Server Formularze do uwierzytelniania tworzone przez zapor Zdalny dost p do usługi Terminal Services przy u yciu SSL Wirtualne sieci prywatne (VPN) Administrowanie sieciami VPN Filtrowanie i kontrola sieci VPN z pami cià stanu Obsługa klientów SecureNAT VPN połàczonych z serwerem VPN ISA Server 2004 Filtrowanie i kontrola z pami cià stanu komunikacji przez tunel VPN mi dzy oêrodkami Kwarantanna w sieci VPN Publikowanie serwerów VPN Obsługa trybu tunelowego IPSec do tworzenia kanałów VPN mi dzy oêrodkami ISA Server 2004 mo e generowaç formularze wykorzystywane przez witryny OWA do uwierzytelniania. Pozwalajà one na zwi kszenie bezpieczeƒstwa zdalnego dost pu do witryn OWA, blokujàc komunikacj nieuwierzytelnionych u ytkowników z serwerem OWA. Komputery, na których działa system operacyjny Microsoft Windows Server 2003, mogà obsługiwaç RDP przez kanał SSL. Zapewnia to bezpieczne połàczenie SSL z usługà Windows Server 2003 Terminal Services. ISA Server 2004 pozwala na bezpieczne publikowanie usługi Terminal Server z wykorzystaniem technologii SSL. ISA Server 2004 został wyposa ony w lepiej zintegrowany mechanizm obsługi sieci VPN, korzystajàcy z funkcji systemów Windows 2000 i Windows Server Dla klientów VPN traktowanych jako oddzielna strefa sieci mo na utworzyç osobne reguły. Mechanizm reguł zapory odr bnie kontroluje àdania klientów VPN, filtrujàc je z pami cià stanu i uwzgl dnieniem kontekstu, oraz dynamicznie otwiera połàczenia zgodnie z danà regułà dost pu. ISA Server 2004 zapewnia rozszerzonà obsług klientów VPN. Umo liwia dost p klientów SecureNAT do Internetu bez koniecznoêci instalowania klienta zapory w systemie klienta. Pozwala to ponadto na zwi kszenie bezpieczeƒstwa sieci korporacyjnej przez stosowanie reguł z u yciem u ytkowników i grup dla klientów SecureNAT w połàczeniach VPN. ISA Server 2004 wprowadza po raz pierwszy filtrowanie i kontrol z pami cià stanu, obejmujàce dowolnà komunikacj poprzez połàczenie VPN mi dzy oêrodkami. Administrator mo e kontrolowaç, do jakich zasobów mogà uzyskiwaç dost p konkretne komputery lub sieci po drugiej stronie łàcza. Reguły dost pu dotyczàce u ytkowników i grup mogà byç u yte do zapewnienia szczegółowej kontroli dost pu do zasobów przez łàcze VPN. ISA Server 2004 korzysta z funkcji kwarantanny w sieci VPN udost pnianej przez system Windows Server Umo liwia to dokładnà kontrol klientów VPN oraz integracj z regułami zapory. Reguły publikacji w ISA Server 2004 umo liwiajà publikowanie protokołów IP i serwerów PPTP. ISA Server 2004 udost pnia tak e inteligentny filtr aplikacji PPTP, który zapewnia zarzàdzanie zło onymi połàczeniami. Ponadto, dzi ki mechanizmowi Windows Server 2003 NAT-T L2TP/IPSec, serwery VPN mogà byç łatwo publikowane z u yciem ISA Server 2004 Server Publishing. ISA Server 2004 zapewnia udoskonalonà obsług łàczy mi dzy oêrodkami, umo liwiajàc u ycie trybu tunelowego IPSec jako protokołu VPN. Obsługa trybu tunelu IPSec znacznie zwi ksza zgodnoêç produktu ISA Server 2004 z wieloma rozwiàzaniami VPN firm trzecich. 7

10 lub Funkcja Buforowanie WWW i usługa Web Proxy Reguły buforowania Mapowanie Êcie ek w regułach publikacji w sieci WWW Obsługa uwierzytelniania klienta usługi Web Proxy w standardzie RADIUS Delegowanie uwierzytelniania podstawowego Zachowanie êródłowego adresu IP w regułach publikowania w Web Uwierzytelnianie klientów usługi Proxy w standardzie SecurID ISA Server 2004 udost pnia scentralizowany mechanizm reguł buforowania, umo liwiajàcy konfigurowanie sposobów składowania i odczytywania obiektów w buforze. ISA Server 2004 znacznie zwi ksza elastycznoêç publikowania Web, udost pniajàc mo liwoêç przekierowania Êcie ki àdanej przez u ytkownika na dowolnà Êcie k w opublikowanym serwerze Web. ISA Server 2004 umo liwia uwierzytelnianie u ytkowników za pomocà usługi Active Directory oraz innych baz danych przez wysłanie zapytania w standardzie RADIUS do Active Directory. Reguły publikowania Web umo liwiajà ponadto uwierzytelnianie w standardzie RADIUS połàczeƒ zdalnego dost pu. Zapora ISA Server 2004 àda uwierzytelnienia u ytkownika przed przekazaniem połàczenia do opublikowanej witryny Web, zabezpieczajàc w ten sposób opublikowane witryny przed dost pem nieuwierzytelnionych u ytkowników. Zapobiega to atakom polegajàcym na uzyskaniu przez nieuwierzytelnionych u ytkowników dost pu do opublikowanego serwera Web. ISA Server 2004 umo liwia opcjonalnie (osobno dla poszczególnych reguł) wybór, czy zapora ma zastàpiç oryginalny adres IP własnym adresem, czy te przekazaç oryginalny adres IP zdalnego klienta do serwera Web. ISA Server 2004 udost pnia mechanizm uwierzytelniania zdalnych połàczeƒ za pomocà mechanizmu dwuelementowego uwierzytelniania SecurID. Zapewnia to wysoki poziom bezpieczeƒstwa uwierzytelniania, poniewa u ytkownik ma dost p do opublikowanego serwera Web, pod warunkiem e zna konkretne dane (pin) oraz ma odpowiedni przedmiot (token). 8