4. VPN hálózatok ellenőrzése
Ha most a VPN karanténra gondol a (nagyobb rutinnal rendelkező) Kedves Olvasó, akkor türelem, később lesz arról is szó. De ez a pont egy kicsit mélyebb szinten értendő, konkrétan az ISA 2004 egyik csomagszűrési lehetőségéről, azaz a "Three-way handshake" ("3 ujjas kézfogás") módszerrel dolgozó stateful filter-ről. Még pontosabban arról, hogy a klasszikus TCP forgalomban való alkalmazás mellett az ISA 2004 a VPN kapcsolatokban is képes használni ezt a módszert a forgalmazásban résztvevő két oldal egymás iránti, kölcsönös bizalmának megteremtése apropóján. Ez a lehetőség elsősorban abból adódik, hogy a VPN kliensek külön hálózatot "kaptak", amelyet az eddigiek értelmében szintén jobban képesek vagyunk felügyelni, és tetszés szerint tűzdelhetjük meg saját tűzfal szabályokkal is. Ám a stateful filtering nem jár ekkora szabadsággal, nem konfigurálhatjuk szabadon, dolgozik mindig.
5. Site-to-Site VPN hálózatok ellenőrzése
Az ISA2000-ben a Site-to-Site VPN hálózatok esetén zéró lehetőségünk volt a kontrollra, nem volt semmilyen szűrési lehetőség vagy opcionális tűzfal szabály alkalmazás. Az ISA 2004-ben ez szerencsére változott, egyrészt az imént említett stateful filtering itt is működik, másrészt felhasználó/csoport szintű szűrésre is van lehetőség.
6. SNAT támogatás a VPN kliensek felé
Szintén hiányosság volt az ISA 2004 megjelenéséig az a lehetőség, hogy a ISA VPN kiszolgálóhoz csatlakozott VPN ügyfelek működő tűzfal kliens nélkül is jussanak internet hozzáféréshez. Ez a lehetőség immár adott az SNAT (SecureNAT, a legkevésbé macerás ISA kliens, elég neki az alapértelmezett átjáró IP címe, nem kell telepíteni, konfigurálni semmi egyebet) kliensek számára is, ergo nem kell bajlódni a tűzfal kliens telepítéssel.
7. VPN karantén
Az ISA 2004 kibővíti a Windows Server 2003 RRAS VPN karantén szolgáltatását, illetve a Windows 2000 kiszolgálókon is lehetővé teszi eme technika alkalmazását. Dióhéjban erről annyit (részletekért lásd a TechNet Magazinban megjelent két részes írást, hogy a VPN kliensek nem kapnak alapból hozzáférést a belső hálózathoz, hanem a speciális VPN kliens (amelyet az üzemeltető állit elő a Windows részeként feltelepíthető Connection Manager Administration Kit-tel) és az ISA-ra telepített VPN karantén szolgáltatás kommunikál egymással először. Ennek eredményeképpen csak bizonyos feltételek (bekapcsolt tűzfal, friss vírusirtó adatbázis, biztonsági frissítések megléte, stb.) teljesítése után léphet át a sztenderd VPN kliens hálózatba a távoli gép. Ellenkező esetben a kapcsolat automatikusan lebont és ez így lesz mindaddig, amíg nem teljesülnek az üzemeltető által meghatározott feltételek.
8. PPTP szerver publikálás
A kibővített protokoll támogatásnak hála immár nem csak L2TP/IPSec NAT-T VPN szervereket lehetséges publikálni a belső hálózatból, hanem pl. az egyszerűen létrehozható, minimális igénnyel fellépő, ám azért elégségesen biztonságos PPTP protokollt használó VPN kiszolgálókat is. Ráadásul a kapcsolat biztonságossá tételéhez az ISA 2004 rendelkezik egy integrált PPTP alkalmazásszűrővel is.
9. Az IPSec tunnel használata a Site-to-Site VPN-nél
Az ISA 2004-ben megjelent a harmadik protokoll a hálózatok biztonságos összekötésére, és ez pedig az IPSec (önmagában). Azért rendkívül fontos, mert egy rakat hardveres router (a Soho kategóriából) is támogatja ezt a VPN technikát, ergo egy telephelyes hálózatban (ha nem akarunk / nem tudunk / nem fontos a telephelyenként 1-1 ISA kiszolgálót is bevetni) viszonylag egyszerűen ki lehet építeni a biztonságos forgalom biztosítása végett ezekből az eszközökből és a központi ISA szerverből a háttér infrastruktúrát.