发布PPTP VPN服务器

许多ISA 2000防火墙管理员使用背靠背的防火墙配置，这样允许他们在DMZ区域放置面向Internet的服务器。

但是在这种情况下，连接到内部网络的VPN服务会有问题。你可以使用“隧道中的隧道”模式，外部用户先和外部的前端ISA Server 2000防火墙建立VPN隧道连接，然后再和背端的ISA Server 2000防火墙建立第二个VPN隧道连接。

当你升级后，全新的ISA防火墙将允许你直接发布背端的VPN服务器！升级后的PPTP过滤器支持出站和入站的PPTP连接。你的用户可以向前端的ISA防火墙建立VPN连接，然后前端ISA防火墙的服务器发布规则将转发PPTP VPN连接到背端的ISA防火墙上，以后再也不需要什么“隧道中的隧道”了！

HTTP过滤器是对出入的连接基于规则来设置，包含了阻止Windows可执行文件等

在你使用URLScan和Web发布规则时，ISA Server 2000防火墙对发布的Web服务器执行全面的、深度的应用层状态识别。

但是，如果你想对进入的连接进行更多的检查，你需要安装第三方的应用插件；同样的情况也出现在检查出站的Web连接时，你可以进行一些基本的应用层状态识别，但是不能执行你真正想做到的针对21世纪的攻击方式的粒度控制。

全新的ISA防火墙具有非常完善的HTTP安全过滤器，它可以基于每条规则进行配置。例如，假设你想建立一条规则来阻止一个用户组访问Windows可执行文件。No problem，在全新的ISA防火墙中，这只是一个勾选一个标记的操作。并且，ISA防火墙不是只是简单的判断文件扩展名，它具有检查这个文件是否是Windows可执行文件的能力，就算扩展名是.mom 。:)

ISA防火墙的HTTP安全过滤器可以检查一个HTTP通信的任何一方面，阻止匹配你设置的参数的连接。例如，想阻Kazaa？你只需要在HTTP安全过滤器中输入Kazaa的头信息就可以了。

可以建立包含多个主要连接的协议

在ISA Server 2000中，你一次只能定义一个主要连接的定义。如果要建立包含多个主要连接端口的协议，你需要建立多个协议定义。

在全新的ISA防火墙中，定义协议时可以设置起始端口及结束端口，这样你可以建立包含一个端口范围的主要连接的协议定义。

防火墙用户组

ISA Server 2000防火墙允许你基于本地和域用户组来控制出站和入站访问。如果你想建立一个自定义的组来进行出站和入站访问控制，那么你需要在活动目录或者ISA Server 20000本地中进行建立，这意味者你必须需要域管理员或者本地管理员权限，或者去找管理员帮忙。

全新的ISA防火墙现在允许你建立可用于访问规则的自定义的防火墙用户组。和必须使用域全局组来控制不一样，你只需要能够读取域中的组信息就可以了。现在你可以在防火墙上通过引用活动目录或者本地用户来建立自定义用户组，而再也不需要去找别人帮忙了。

对于Web代理连接的RADIUS认证

许多组织想利用ISA Server 2000防火墙的日志和报告功能，这样他们可以获得内部用户访问外部网络的统计信息。问题是为了认证发起外部连接请求的用户，ISA Server 2000防火墙需要成为域的成员。

这些组织可能只有一个防火墙，所以ISA Server 2000防火墙放置在Internet的边缘。此时，将ISA Server 2000作为域成员是不安全的，所以这些组织不得不放弃在ISA Server 2000中记录用户名的想法（与之对比的是，在背靠背防火墙环境中，将背端的ISA Server 2000防火墙作为域成员是可以的）。

全新的ISA防火墙通过为Web代理使用RADIUS认证来解决了这个问题，这样移除了对ISA防火墙必须是域成员才能认证域用户的需求。

注意：

对于发布需要身份验证的资源时，对于ISA防火墙必须是域成员才能验证域用户的认识是一种误解。所有版本的ISA防火墙都支持基本验证。例如，在外部用户访问发布的需要身份验证的Web站点时，ISA防火墙冻结了连接，然后转发用户身份验证信息到Web站点。Web站点转发用户身份信息到一个认证服务器（活动目录DC）然后将认证结果返回到ISA防火墙，如果用户成功通过了身份验证，那么ISA防火墙允许这个访问发布的Web服务器的连接，否则就会拒绝。在这种情况下，ISA防火墙（2000或者2004）不需要成为域成员来支持基本身份验证。

访问规则是按顺序执行的

我冒昧的说，大部分ISA Server 2000防火墙管理员根本没有真正确认某条规则是否被激活了。它们的规则是没有认证用户的规则通常会先执行，然后是认证了用户的的，然后再由是Web代理客户、防火墙客户或者SNAT连接来决定，并且是拒绝的规则优先执行。

全新的ISA防火墙修改了整个访问策略模型。现在ISA防火墙使用简单的、统一的和按列表顺序执行的规则。规则按照从上到下来执行。第一条匹配连接的规则将是执行的那一条。它不管是什么客户类型或者规则动作是拒绝还是允许，第一条匹配的将会被执行，就那么简单。

ISA防火墙的基于表单的认证可以产生认证表单

如果你使用Exchange 2003服务器的基于表单认证的OWA访问，你会看见允许你登录到OWA站点的表单。问题在于，为了OWA客户访问OWA Web站点上的表单，那么一个没有经过认证的连接将直接发送到OWA Web站点。我不知道你会怎么样，但是我绝对不会让没有经过认证的连接靠近我的OWA Web服务器。

ISA防火墙开发团队理解让没有经过认证的连接到达OWA服务器是非常不好的，所以在全新的ISA防火墙中，他们提供了ISA 基于表单认证的协议（ISA Forms-based Authentication (FBA) protocol）。

当你使用ISA FBA发布OWA Web站点时，ISA防火墙产生登录表单。用户在这个表单中输入他们的用户信息，然后ISA防火墙转发这些信息到OWA站点，OWA站点通过转发到DC来验证用户信息，然后通知ISA防火墙认证结果。如果通过验证，那么ISA防火墙将允许此用户连接到OWA Web站点。如果没有通过验证，此用户的连接将被丢弃。

另外，ISA防火墙为所有版本的OWA产生表单。没有ISA防火墙保护OWA站点，你只能在Exchange 2003上使用基于表单的认证。通过ISA防火墙的保护，你可以在OWA 5.5和OWA 2000上使用FBA。ISA FBA不只是产生登录表单，它也可以允许你阻止附件和对OWA用户进行注销时间的限制。

如果你需要远程访问OWA站点，升级到全新的ISA防火墙是你为OWA站点安全所做的最佳方法。

Web和服务器发布规则支持端口重定向（FTP也支持！）

我们经常听到ISA Server 2000防火墙不能在服务器发布规则中使用端口重定向的抱怨。例如，你通过ISA Server 2000防火墙发布了一个TCP端口25的SMTP服务，那么连接将会自动转发到内部服务器的相同端口上。

全新的ISA防火墙解决了这个问题，它允许你执行端口重定向。例如，你建立了一个邮件服务器发布向导，你可以配置ISA防火墙接受进入的TCP 26端口的连接，然后转发到内部服务器的TCP 25端口上。

另外一个重大的改进就是新的ISA防火墙允许你通过其他端口来发布FTP服务器。ISA防火墙客户侦听进入的FTP其他端口上的请求，然后转发到其他端口上，全新的和经过改进的FTP访问过滤器让这点变的非常容易。

还有，全新的ISA防火墙允许你对进入的Web请求进行重定向，和ISA Server 2000防火墙一样。

在网络间可以使用NAT和路由关系

ISA Server 2000具有简单的联网方法，它只是内部和外部网络。LAT表中的地址都是内部网络，除此之外的地址都是外部网络。内部和外部网络间的所有通信方式都是NAT，内部到内部、外部到外部的所有通信方式都是路由。

在全新的ISA防火墙中，这些都变了：已经不存在LAT了；内部网络的定义已经完全进行了改变，并且对路由关系没有任何影响；外部网络中ISA也没有定义任何IP地址；网络和路由关系之间，已经没有任何直接的联系了。

通过全新的ISA防火墙，你现在可以在任何两个网络间选择NAT或者路由。你可能想在内部和DMZ之间选择路由，然后在内部和另外一个内部网络中使用NAT。这些都只需要你简单的选择就可以进行设置。

实时日志监视和过滤

ISA Server 2000防火墙对防火墙和Web代理服务实行综合日志记录，但是如果你想获得其他日志信息是非常困难的；另外一个大问题是你必须使用第三方的工具才能看到ISA Server 2000的实时日志信息。

全新的ISA防火墙解决了这个问题。它可以记录到SQL、记录到文本文件或者改进后的MSDE数据库中。如果你选择ISA防火墙的高级监视特性，你可以很容易的看到实时日志，而且你可以通过几十种匹配条件来进行日志的过滤。并且你可以查询过去的日志信息。内建的日志文件查询机制功能很强大，并且非常容易使用。这是对于故障诊断和流量分析的极大帮助。

自动保存报告为HTML文件

全新的ISA防火墙具有和ISA Server 2000同等的综合报告功能，但是，我们过去常常看见的一个问题是“我该怎么样才能自动保存我的报告为Web服务器上的HTML文件呢？”，这个问题的答案对于ISA Server 2000来说是不能，所以，请不要再问了。

通过全新的ISA防火墙，你可以配置报告自动保存为HTML，并且可以配置自动存放在ISA防火墙的本地硬盘，或者Web服务器上，而且你可以配置ISA防火墙在报告完成后给你发送电子邮件来通知你。

真实的防火墙备份和恢复

ISA Server 2000有一个大问题是唯一的备份和恢复特性。你可以在同样的计算机上备份和恢复防火墙配置，并且只是在相同的安装和相同的计算机。如果你重新安装了Windows或者你想在其他服务器上进行配置的恢复，将会失败。

与之对比的是，全新的ISA防火墙允许你备份整个ISA防火墙配置和恢复配置到其他ISA Server 2004防火墙计算机。它可以备份整个ISA防火墙配置到一个.xml文件中，这个.xml文件可以用于恢复到相同的计算机上的原有ISA防火墙、相同计算机上新安装的ISA防火墙或者其他计算机上。

另外，你还可以备份和恢复ISA防火墙策略的组件。例如只是备份其中的规则或者建立的网络规则元素。

真实的多适配器ISA防火墙的DMZ联网

在ISA Server 2000防火墙中，DMZ联网被很严格的限制，因为DMZ使用公共IP地址，它被ISA Server 2000防火墙像简单的包过滤防火墙一样进行限制。这样你就不能在使用公共IP地址的DMZ和Internet之间通信时利用ISA Server 2000的防火墙的应用层状态过滤识别。

全新的ISA防火墙为多适配器的ISA防火墙支持完全的DMZ联网，而不管DMZ区域中使用公共IP地址还是私有IP地址。你可以配置一个DMZ网段或者20个DMZ网段；并且可以在DMZ和其他网络的路由关系中使用NAT或者路由。最重要的是，所有在DMZ网络和其他网络间的通信都会受到ISA防火墙的应用层状态识别过滤的保护。

完全的DMZ联网能力允许你对DMZ和其他网络间进行有力的访问控制，允许你建立强大的、完善的DMZ场景。建立外部延伸网络、经过认证的DMZ网络和匿名访问的DMZ网络都是微不足道的小事。

最后