Microsoft Intelligent Application Gateway 2007 (IAG 2007), часть 3: доступ к файлам IAG и параметры безопасности

На прошлой неделе мы подробно рассмотрели варианты подключения, доступные в IAG 2007. Эти параметры включали расширенную проверку обратного веб-прокси на уровне приложения, переадресацию портов и сокетов, а также сетевой разъем. На этой неделе мы сместим акцент с подключения к функциям доступа к файлам и безопасности.

Мы обсудим следующие темы:

• Доступ к удаленному файловому ресурсу
• Брандмауэр ISA
• Стеклоочиститель навесного оборудования
• Поддержка надежного протокола аутентификации
• Положительная и отрицательная логическая проверка приложений
• Преобразование адреса хоста
• Выход из системы безопасности и тайм-ауты бездействия
• Расширенное обнаружение конечных точек

Доступ к файлам

Как я упоминал в первой части этой серии, удаленный доступ к сетевым файловым ресурсам был одним из основных «определений», которые клиенты имели для SSL VPN. Клиенты поняли, что предоставление удаленного доступа через Интернет к общим файловым ресурсам SMB/CIFS не является очень безопасным решением. Поэтому, пытаясь понять, «зачем» им нужна SSL VPN, они пришли к выводу, что SSL VPN необходима для безопасного доступа к корпоративным файловым ресурсам. Хотя теперь мы знаем лучше, многие клиенты все еще питают это убеждение, и это то, что вы можете использовать, пытаясь внедрить IAG 2007 в сеть вашего клиента.

IAG 2007 обеспечивает надежную поддержку удаленного доступа к файловым ресурсам. Компонент доступа к файловому ресурсу прост в использовании и настройке, а все настройки можно выполнить в пользовательском интерфейсе. В отличие от Exchange 2007, нет необходимости заходить в загадочный интерфейс командной строки, чтобы заставить его работать.

На рисунке ниже показано, как конечный пользователь работает с функцией удаленного доступа к общим папкам. Параметр общего доступа к файлам отображается на странице портала пользователя, и когда они щелкают ссылку портала доступа к общему файлу, им будет представлено нечто, очень похожее на Windows Explorer в окне Internet Explorer. Пользователи могут перейти к нужному им серверу, и после нажатия на этот сервер они увидят общие файловые ресурсы, которые вы им сделали доступными. Как только они находят интересующий файл, они щелкают по нему правой кнопкой мыши и выбирают команду загрузки в контекстном меню. Затем файл загружается на клиентский компьютер по ссылке SSL VPN.

Здесь я должен отметить, что это не полный клиент/сервер SMB/CIFS. Если пользователи привыкли редактировать файлы на сервере при работе с общими сетевыми файлами, им придется заново осваивать некоторые новые способы поведения при использовании SSL VPN, поскольку редактирование на месте недоступно. Если они хотят внести изменения в файл, им нужно будет сначала загрузить файл, затем внести изменения и загрузить файл на файловый сервер. Однако, если они хотят только просмотреть файл, они могут использовать опцию «Открыть» из контекстного меню.

фигура 1

На рисунке ниже показано, как администратор настраивает доступ к серверам. Во-первых, IAG 2007 должен быть членом домена, к которому принадлежат файловые серверы, или, по крайней мере, должен участвовать в доверительных отношениях с этими файловыми серверами. Затем вы выбираете файловые серверы, к которым должны получить доступ пользователи, устанавливая галочки в флажках рядом с ними. После того, как вы выбрали файловые серверы, у вас также есть возможность выбрать, к каким общим файловым ресурсам у них есть доступ. Здесь важно отметить, что все разрешения NTFS соблюдаются, поэтому пользователи должны иметь разрешения на доступ к папкам и файлам, прежде чем IAG 2007 разрешит пользователям просматривать или загружать файлы.

фигура 2

На приведенном ниже рисунке показано, что IAG 2007 обеспечивает удаленный доступ не только к общим файловым ресурсам Windows, но и к тем, которые размещены на файловых серверах Novell. Чтобы это работало, вам необходимо установить клиентское программное обеспечение Novell на IAG 2007.

Рисунок 3

Еще одна приятная функция, включенная в возможности общего доступа к файлам в IAG 2007, — это возможность поддерживать домашние каталоги и подключенные сетевые диски. На рисунке ниже вы можете видеть, что у вас есть варианты « Не определять домашние каталоги пользователей», «Использовать настройки контроллера домена для домашних каталогов» (то есть настройку домашнего каталога в учетной записи пользователя) и использовать следующий шаблон для Домашние каталоги. У вас также есть возможность сделать так, чтобы домашний каталог пользователя отображался каждый раз, когда загружается доступ к файлу. Автоматическая поддержка домашних каталогов позволяет пользователям работать в офисе, находясь в дороге.

Если вы используете сценарий для сопоставления сетевых дисков для своих пользователей, вы можете использовать те же сценарии для сопоставления сетевых дисков на компьютерах удаленных пользователей. Просто включите параметр «Показать подключенные диски» и укажите в конфигурации правильный механизм сценариев, и все готово. Пользователи увидят подключенный сетевой диск в своем интерфейсе Windows Explorer после того, как они подключатся к параметру File Share в своем окне портала.

Рисунок 4

Функции безопасности

До сих пор мы концентрировались на функциях удаленного доступа, включенных в IAG 2007. Хотя удаленный доступ является важной первой частью истории, это еще не все. Вторая половина истории — безопасность. Если бы нам просто нужен был удаленный доступ через соединение SSL VPN, мы могли бы использовать одного из конкурентов IAG 2007 и получить многое из того, что хотели. Но большая проблема сегодня — безопасный удаленный доступ. Без безопасного удаленного доступа все, что мы сделали, это создали большую дыру для злоумышленников, чтобы украсть, изменить и уничтожить нашу ценную корпоративную информацию.

Это история о безопасном удаленном доступе, где IAG 2007 действительно сияет. Это безопасность IAG 2007, которая ставит его на голову выше конкурирующих решений SSL VPN. В этом разделе, посвященном функциям безопасности IAG 2007, мы рассмотрим:

• Брандмауэр ISA
• Стеклоочиститель навесного оборудования
• Поддержка надежного протокола аутентификации
• Проверка веб-приложений с положительной и отрицательной логикой
• Преобразование адреса хоста
• Безопасный выход из системы и тайм-ауты бездействия

Брандмауэр ISA

Да, брандмауэр ISA. ISA Firewall установлен на всех устройствах IAG 2007. Брандмауэр ISA включен, потому что IAG 2007 разработан как пограничное устройство. Чтобы сделать его пригодным для использования в качестве пограничного устройства, IAG 2007 нуждался в защите промышленного уровня брандмауэром, который защищает как себя, так и хосты, расположенные за устройством IAG 2007. Что может быть лучше, чем ISA Firewall? В отличие от большинства «аппаратных» брандмауэров, на сайте www.secunia.com вы обнаружите, что для брандмауэра ISA не описаны эксплойты против него. Это делает брандмауэр ISA Firewall, пожалуй, самым безопасным брандмауэром на современном рынке.

Рисунок 5

Стеклоочиститель навесного оборудования

Одной из целей решений SSL VPN является предоставление доступа из любого места. Хотя доступ из любого места может дать бизнесу преимущество, позволяя сотрудникам получать информацию быстрее, чем другие решения, существует также вероятность того, что «где угодно» будет очень небезопасным устройством. Разрешение доступа из любого места означает разрешение доступа с любого компьютера с подключением к Интернету, веб-браузера и исходящего доступа через TCP-порт 443 к шлюзу SSL VPN.

Подумайте о типах устройств, которые можно использовать для подключения к корпоративным ресурсам в сценарии доступа из любого места:

• Киоск в аэропорту
• Киоск в баре или ресторане
• Домашний неуправляемый компьютер, которым пользуются дети
• Неуправляемый компьютер в доме друзей, которым пользуются все соседи
• Неуправляемый портативный компьютер, подключенный к десяткам сетей отелей, аэропортов и конференц-центров.
• Компьютер Apple или Linux, который не был защищен его владельцем из-за ложного убеждения, что эти операционные системы не нуждаются в защите.

Сценарий доступа из любого места требует, чтобы у нас был способ предотвратить утечку информации на эти незащищенные устройства. IAG 2007 решает эту проблему с помощью приложения Attachment Wiper. Цель очистителя вложений — убедиться, что информация, полученная во время сеанса SSL VPN, недоступна для других пользователей после завершения сеанса.

Средство очистки навесного оборудования предоставляет следующие функции:

• Очистка кеша браузера после завершения сеанса. Этот процесс полностью прозрачен для пользователя и не требует вмешательства пользователя.
• Приложение оптимизирует очистку кеша, очищая пользовательские кеши, используемые определенными приложениями. И если нет оптимизатора приложений для конкретного приложения (например, домашнего приложения), есть поддержка пользовательских сценариев для очистки файлов.
• Удаление ряда источников личной информации, включая: загруженные файлы и страницы, содержимое, введенное в формы автозаполнения, автоматически заполняемые URL-адреса, файлы cookie, информацию об истории и любые учетные данные пользователя, которые могли быть введены во время сеанса SSL VPN.
• Несколько триггеров для очистки: когда пользователь выходит из системы, по истечении времени бездействия, во время запланированного выхода из системы, при сбое браузера, при закрытии браузера или при сбое операционной системы. Когда пользователь подключается к шлюзу SSL VPN, в реестре делается настройка «запустить один раз», чтобы убедиться, что очистка вложений запускается при перезапуске системы.
• Контроль политики безопасности. Например, вы можете установить политику «не могу стереть — не могу скачать». Вы также можете разрешить резервную политику «без кэширования» (тег HTLM).

Еще одна вещь, о которой стоит помнить, это то, что стирание вложений выполняет полную очистку файлов DoD. Это приводит к тому, что файлы полностью стираются с диска, в отличие от других решений, которые просто удаляют файл, но оставляют фактические данные файла на диске.

Поддержка надежного протокола аутентификации

В отличие от брандмауэра ISA, который поддерживает только аутентификацию Active Directory (если вы не хотите использовать RADIUS), IAG 2007 поддерживает широкий спектр протоколов аутентификации и поставщиков аутентификации. LDAP поддерживается для всех типов поставщиков аутентификации, а не только для Active Directory. Многие другие поставщики аутентификации поддерживают различные протоколы аутентификации, как показано на рисунке ниже.

Важно, чтобы брандмауэр ISA был установлен на компьютере с IAG 2007, потому что он используется для защиты как основного программного обеспечения IAG 2007, так и основной операционной системы Windows. Когда брандмауэр ISA Firewall установлен на компьютере, базовая операционная система Windows защищена от установленных эксплойтов и эксплойтов нулевого дня. Злоумышленник не может получить доступ к какой-либо части основной операционной системы Windows, когда установлен ISA Firewall.

Это означает, что даже если в операционной системе Windows есть уязвимые компоненты, ни один злоумышленник никогда не сможет получить к ним доступ. Думайте об брандмауэре ISA как о горе над прочным укрытием, которое защищает от ядерных атак, даже если атомная бомба будет сброшена прямо на укрытие. Именно брандмауэр ISA защищает основную операционную систему и программное обеспечение IAG 2007 от любых возможных атак со стороны всех типов злоумышленников.

Конфигурация IAG 2007 и ISA Firewall тесно интегрирована. Когда вы создаете порталы и настраиваете поставщиков приложений в IAG 2007, эта информация используется для автоматической настройки политики брандмауэра ISA для предоставления доступа с минимальными привилегиями к требуемым устройствам и службам. Вам никогда не потребуется входить в консоль брандмауэра ISA, если только вы не хотите использовать брандмауэр ISA для целей, не связанных с IAG 2007, таких как настройка VPN-сервера удаленного доступа или шлюза VPN с использованием протоколов PPTP или L2TP/IPSec VPN.

На рисунке ниже показано несколько правил, автоматически созданных устройством IAG 2007.

Рисунок 6

Протокол аутентификации и поддержка провайдера включают:

• ТУЗ
• NT-домен
• Активный каталог
• LDAP-сервер Netscape
• Каталог заметок
• Справочник Новелл
• РАДИУС
• ТАКАКС+
• WINHTTP
• Другой

Когда выбрано «Другое», вы можете настроить требования для вашего протокола аутентификации и провайдера в консоли IAG 2007. Такая гибкость позволяет IAG 2007 поддерживать практически любой доступный на сегодняшний день протокол аутентификации и провайдера.

Проверка приложений с положительной и отрицательной логикой

Одна из двух вещей, которая отличает шлюз IAG 2007 SSL VPN от остальных решений SSL VPN, — это безопасность, обеспечиваемая возможностями проверки положительной и отрицательной логики IAG 2007 на уровне приложений. На момент написания этой статьи ни одна другая SSL VPN не обладала сложным и безопасным интеллектом прикладного уровня.

Большинство предложений SSL VPN имеют лишь ограниченную поддержку проверки на прикладном уровне, а те проверки прикладного уровня, которые у них есть, ограничены сигнатурами, которые вы создаете сами (например, HTTP-фильтр безопасности брандмауэра ISA Firewall), которые используют негативную логику. Фильтр отрицательной логики — это фильтр, который блокирует эксплойты на основе «заведомо плохих». Если вы знаете об «известной плохой» строке или команде, вы можете настроить фильтр отрицательной логики, чтобы защитить себя. Проблема с фильтрами отрицательной логики заключается в том, что они защищают вас только от известных эксплойтов — вы можете знать защиту от эксплойтов нулевого дня.

Именно здесь вступает в игру превосходный интеллект уровня приложений IAG 2007. В дополнение к фильтрации с отрицательной логикой, которую используют другие шлюзы SSL VPN, IAG 2007 также поддерживает очень сильную систему фильтрации с положительной логикой. Позитивная логика диктует, что к опубликованному приложению разрешены только «заведомо исправные» коммуникации. Фильтрация с положительной логикой возможна только тогда, когда система имеет глубокое понимание приложения.

Например, при публикации Outlook Web Access или SharePoint с помощью IAG 2007 фильтры положительной логики применяются автоматически. Эти фильтры основаны на сотнях часов исследований, необходимых для определения законного трафика, необходимого для функционирования системы.

Если есть совпадение на фильтре отрицательной логики, соединение блокируется. Если совпадения на фильтре положительной логики нет, то соединение разрывается. Сочетая фильтрацию как с положительной, так и с отрицательной логикой, IAG 2007 защищает вас не только от известных эксплойтов, но и от атак нулевого дня.

На рисунке ниже показан пример того, как сложные фильтры на основе регулярных выражений настраиваются прямо из коробки для основных компонентов конфигурации IAG 2007, таких как сам сайт портала Whale, внутренний сайт Whale и монитор событий Whale.

Рисунок 7

На рисунке ниже показана сложная положительная и отрицательная логическая фильтрация, примененная к опубликованному OWA-сайту. В отличие от HTTP-фильтра безопасности брандмауэра ISA, который может блокировать только на основе определенных строк, IAG 2007 использует мощные регулярные выражения для сокращения количества правил, а также разрешает как разрешающие, так и блокирующие подписи. Для OWA и других приложений, которые поддерживаются сразу после установки, операторы фильтра положительной и отрицательной логики уже настроены — вам не нужно «вычислять», что нужно сделать для защиты приложения.

Рисунок 8

Преобразование адреса хоста

Основная техническая проблема, связанная с обеспечением безопасного удаленного доступа к внутренним приложениям из Интернета, связана с внутренними ссылками в приложениях, которые могут быть доступны внешним пользователям.

Данные, код и ссылки могут использовать системные соглашения об именах, которые не работают из внешних местоположений. Хотя все шлюзы SSL VPN предлагают технологию преобразования ссылок, каждый алгоритм и реализация преобразования уникальны. Механизм преобразования адресов хостов IAG 2007 шифрует всю информацию, относящуюся к внутренней сети, так что внешние пользователи никогда не увидят ничего, что могло бы помочь им в атаках на внутренние ресурсы.

Внешние пользователи никогда не увидят ни имен внутренних серверов, ни путей доступа к этим серверам. Это не позволяет пользователям использовать соединение SSL VPN для разведки инфраструктуры серверов внутренней сети.

Безопасный выход из системы и тайм-ауты бездействия

Чтобы предотвратить кэширование учетных данных на машине, подключающейся к шлюзу SSL VPN, IAG 2007 использует надежную технологию безопасного выхода из системы. Этот инновационный метод был разработан компанией Whale и используется IAG 2007 в качестве замены базовой HTTP-аутентификации, которая устраняет возможность использования злоумышленниками сеанса другого пользователя.

Тайм-ауты бездействия необходимы для защиты компаний от пользователей, которые «забывают» выйти из системы в конце своих сеансов. Однако реализация тайм-аутов может создать неудобства для законных пользователей; например, шлюз SSL VPN может автоматически выходить из системы, пока пользователь составляет длинное сообщение электронной почты или заполняет длинную веб-форму, что может привести к тому, что пользователь потеряет свою работу. Если вы были в такой ситуации, вы знаете, как злятся пользователи, когда вы выходите из системы после того, как потратили более часа на составление подробного и сложного электронного письма его боссу.

Чтобы решить эту проблему, IAG 2007 использует ненавязчивый механизм тайм-аута, когда пользователи предупреждаются о том, что тайм-аут, основанный на бездействии, вот-вот произойдет. Затем у пользователя есть возможность предотвратить выход из системы по тайм-ауту, и он может продолжить работу со своим сообщением электронной почты или веб-формой. На рисунке ниже показано, как это выглядит с точки зрения пользователя.

Рисунок 9

Whale также предлагает ненавязчивую принудительную периодическую повторную аутентификацию. По истечении установленного администратором временного окна пользователи должны повторно ввести учетные данные, чтобы продолжить работу. Если они это сделают, они возобновят работу именно с того места, на котором остановились, даже если они находились в середине заполнения веб-формы. Конечно, если они этого не сделают, их сессия будет прекращена (и будет активирована функция очистки вложений).

Тайм-ауты, используемые интеллектуальным шлюзом приложений, также позволяют различать автоматические запросы браузера и реальную активность пользователя, поэтому даже сеансы пользователей с приложениями, использующими запросы на автоматическое обновление, поддерживают актуальность данных в браузере (например, Microsoft Exchange и Lotus Domino). будет прекращено, если нет реальной активности пользователя. Другие продукты SSL VPN часто не могут различить действия пользователя и компьютера, исходящие из браузера, и оставляют такие сеансы активными на неопределенный период.

Расширенное обнаружение конечных точек

Вторая технология, отличающая IAG 2007 от всех других решений SSL VPN, — это сложная функция обнаружения конечных точек и управление политиками, основанное на обнаружении конечных точек.

Обнаружение конечной точки — это оценка состояния работоспособности и конфигурации хоста, подключающегося к шлюзу SSL VPN. Необходимость обнаружения конечных точек связана с тем, что клиенты SSL VPN часто представляют собой неуправляемые компьютеры, которые были подключены к нескольким незащищенным сетям и подвергались многочисленным эксплойтам, а также безответственным и потенциально злонамеренным пользователям.

Одним из примеров технологии защиты конечных точек, предоставляемой Microsoft, является решение VPN Quarantine брандмауэра ISA. Цель VPN-Q брандмауэра ISA состояла в том, чтобы поместить хост в сеть с ограниченным доступом, в то время как состояние безопасности и конфигурация хоста оценивались. Если узел прошел проверки безопасности, ему был разрешен доступ к сети, если узел не прошел проверки, он был оставлен в карантинной сети. Хотя на бумаге функция VPN-Q выглядела великолепно, в развертывании она с треском провалилась, потому что продукт был готов только наполовину. Чтобы заставить продукт VPN-Q работать, вам приходилось приобретать стороннее решение или платить большие деньги программисту за программирование приложений, необходимых для работы VPN-Q в вашей организации.

Еще одним примером обнаружения конечной точки является функция Microsoft Network Access Protection (NAP), которая будет включена в Longhorn. Основные принципы, лежащие в основе NAP, аналогичны принципам, используемым VPN-Q; поместить клиентов в ограниченный доступ к сети до тех пор, пока не будет подтверждено их текущее состояние работоспособности. Если клиент не проходит проверку, то доступ в сеть либо запрещается, либо ограничивается. Тем не менее, внедрение NAP может потерпеть неудачу так же, как неудача с ISA Firewall VPN-Q, так как могут потребоваться значительные инвестиции в сторонние приложения и поддержку программирования, чтобы заставить его работать в вашей организации.

Если вам не повезло работать с другими шлюзами SSL VPN, вы, вероятно, обнаружили, что их решения для проверки конечных точек аналогичны ограниченной поддержке, обеспечиваемой VPN-Q ISA Firewall или текущей реализацией NAP. Вы должны либо потратить десятки или сотни часов пота, чтобы выяснить, как заставить это работать в вашей компании, либо вам пришлось нанять дорогих консультантов и программистов.

Хорошая новость заключается в том, что разработчики IAG 2007 сделали всю эту работу за вас. Вам не нужно тратить недели и месяцы на то, чтобы выяснить, как внедрить политику функционального обнаружения конечных точек для вашей организации, потому что IAG 2007 понимает приложения и конфигурации, которые вы действительно хотите проверить! Точно так же, как разработчики IAG 2007 проделали за вас тяжелую работу, чтобы выяснить, как работают приложения, поддерживающие фильтрацию с положительной и отрицательной логикой, они проделали за вас тяжелую работу, чтобы вам не пришлось превращать ее в хобби. чтобы заставить реальную политику обнаружения конечных точек работать прямо из коробки.

Ознакомьтесь с диалоговыми окнами конфигурации политики обнаружения конечных точек на рисунках ниже. Обратите внимание, что команда IAG 2007 заранее проделала сложную работу, которая позволяет IAG 2007 обнаруживать эти функции. Сравните это с убогими интерфейсами VPN-Q и NAP (а также с интерфейсами, предоставляемыми конкурентами IAG 2007), и вы подумаете, что нашли золото!

Рисунок 10

Рисунок 11

Рисунок 12

Однако обнаружение конечной точки — это только половина дела. Другая половина заключается в определении политики на основе состояния безопасности, обнаруженного на конечной точке. В производственных сетях вы, скорее всего, предоставите более свободный доступ к высокозащищенным конечным точкам по сравнению с теми, кто не проходит большинство проверок безопасности конечных точек.

Политики корпоративной безопасности, управляющие устройствами, которые подключаются к шлюзу SSL VPN, обычно определяют условия, которые должны выполняться на устройстве, чтобы пользователи могли выполнять определенные бизнес-функции. Тем не менее, до IAG 2007 SSL VPN часто не могли полностью реализовать такие политики; вместо этого они предоставили только возможность ограничить доступ ко всем сеансам, а не к конкретным функциям, на основе условий конечной точки. Таким образом, конкуренты IAG 2007 напрасно ограничивали доступ.

Например, когда пользователи получали доступ к SSL VPN с ненадежных машин без антивирусного программного обеспечения, вместо разрешения загружать, но не загружать файлы, пользователям либо полностью отказывали в доступе к файлам (что приводило к потере производительности и удобства), либо они предоставлен полный доступ к файловой системе (подвергающий компанию риску заражения вирусом). Кроме того, реализации абстрактных концепций в конкретных приложениях часто приводили к несовместимости с SSL VPN.

Например, не было возможности указать SSL VPN «блокировать загрузку вложений из сообщений электронной почты», если не была гарантирована очистка временных файлов, или «игнорировать запросы на автоматическое обновление» при рассмотрении активности пользователя для целей расчета времени ожидания сеанса..

IAG 2007 предоставляет множество функций безопасности конечных точек, в том числе:

1. Для идентификации компьютеров и соответствующей настройки политик безопасности пользователи могут загружать сертификаты клиентов из IAG 2007 (если позволяют политики безопасности). Администраторы могут настраивать политики в отношении того, кто может запрашивать сертификаты, могут ли сертификаты создаваться автоматически, является ли доставка немедленной или отложенной. Сертификаты могут быть представлены во время будущих сеансов, чтобы указать IAG 2007, что клиент является высоконадежным и что следует использовать соответствующие политики безопасности (т. е. более слабый контроль доступа по сравнению с ненадежными машинами). Кроме того, IAG 2007 может проверить клиентский компьютер на наличие определенных файлов, значений реестра или даже аппаратных устройств (таких как смарт-карты или USB-токены), чтобы определить, является ли система высоконадежным устройством.
2. Когда корпоративные политики предписывают, чтобы удаленные пользователи использовали определенного поставщика услуг, такого как iPass, чтобы обеспечить соблюдение политик, IAG 2007 проверит атрибуты коммутируемого подключения и соответственно решит, разрешать доступ или нет.
3. Чтобы определить уровень безопасности машин, не сертифицированных иным образом, IAG 2007 может сканировать клиент, чтобы проверить его соответствие политикам, установленным компанией. IAG 2007 может проверять антивирусное программное обеспечение, брандмауэры на хосте и другие параметры безопасности, а также то, как недавно было обновлено программное обеспечение безопасности. Политики для сеанса пользователя могут динамически устанавливаться в соответствии с результатами проверки работоспособности хоста. Детализация механизма политики конечных точек IAG 2007 вместе с его исключительным интеллектом прикладного уровня делает IAG 2007 самым безопасным шлюзом SSL VPN на рынке сегодня.

В приведенной ниже таблице показаны некоторые примеры того, как работает тесная взаимосвязь между обнаружением конечных точек и политикой доступа пользователей.

Таблица 1

Существует множество политик конечных точек по умолчанию, настроенных для вас прямо из коробки, как показано на рисунке ниже.

Рисунок 13

На рисунке ниже вы можете увидеть, как гранулированная политика доступа, основанная на обнаружении конечных точек, может применяться к нескольким областям. Это включает:

• Политика доступа к сеансу
• Политика скачивания
• Политика загрузки
• Политика ограниченной зоны

Рисунок 14

Резюме

В этой статье мы сместили акцент с функций удаленного доступа и других функций на функции безопасности, включенные в IAG 2007. Хотя каждое решение SSL VPN может обеспечить удаленный доступ через туннель SSL, не все SSL VPN могут обеспечить безопасный удаленный доступ. Нет смысла предоставлять удаленный доступ с помощью SSL VPN, если он не является безопасным — единственное, чего вы добьетесь с помощью незащищенного SSL VPN, — это позволить злоумышленникам быстрее обанкротить ваш бизнес. Шлюз IAG 2007 SSL VPN решает проблему безопасного удаленного доступа за счет включения многих мощных функций безопасности. Две функции безопасности, включенные в IAG 2007, которые ставят его на голову выше конкурентов, включают расширенную проверку прикладного уровня с положительной и отрицательной логикой для большого количества бизнес-приложений, а также исключительный механизм обнаружения конечных точек и политики IAG 2007. Уже только эти две функции убедят вас в том, что IAG 2007 является самым безопасным решением SSL VPN на современном рынке.