hinzugefügt werden und sind bei Bedarf auch kaskadierbar. Die Fehlertoleranz wird durch dieses Verfahren ebenfalls erhöht. Der Ausfall eines ISA-Servers wird vom Array registriert und entsprechend berücksichtigt.

Für die Firewall-Komponente des ISA-Servers bringt die Enterprise-Edition neben der höheren Verfügbarkeit vor allem den Vorteil des unternehmensweiten Richtlinien-Managements mit sich. Die Firewall-Regeln können zentral definiert werden und sind dann für die Arrays an den verschiedenen Standorten bindend. Administratoren eines Arrays vor Ort kann aber das Recht auf strengere Richtlinien eingeräumt werden.

Preis der Sicherheit: Laut Microsoft ist ein System mit einer 300-Megahertz-CPU und einem Arbeitsspeicher von 256 MB ausreichend, in der Praxis bedarf der Rechner aber einer besseren Speicherausstattung. Als Betriebssystem setzt der ISA-Server einen Windows-2000-Server voraus. Die Enterprise-Version benötigt außerdem ein "Active Directory", um dort die Konfiguration nach einer entsprechenden Schemaerweiterung ablegen zu können. Die Standardversion kostet etwa 3500 Mark pro Server-CPU, für die Enterprise-Version muss man deutlich tiefer in die Tasche greifen: Zirka 15 000 Mark werden hier für jeden Prozessor fällig.

In Bezug auf die Filtermöglichkeiten gibt es keinen Unterschied zwischen der Standardausgabe und der Enterprise-Version. Die Filter des ISA-Server operieren auf drei Ebenen. Auf der untersten Ebene befinden sich die IP-Paketfilter, die aber für jedes Array einzeln zu definieren sind. Sie werden hauptsächlich für IP-Protokolle, die nicht auf TCP oder UDP aufsetzen, also etwa für ICMP, verwendet. Für einen Großteil der Regeldefinitionen wird man jedoch die so genannten Protokollregeln einsetzen. Dabei handelt es sich um die von Checkpoints Firewall-1 bekannten zustandsbasierten UDP/TCP-Filter, die es internen Maschinen erlauben, dynamisch einzelne Ports zu öffnen.

Filter regeln Zugriffe

Auf der obersten Ebene befinden sich die Content-Filter. Über sie lässt sich der HTTP-Zugriff von internen Maschinen auf externe Inhalte beschränken. Dies kann über Mime-Typen oder über Dateinamen-Erweiterungen erfolgen. Ebenfalls auf der Anwendungsebene agieren die Applikationsfilter. Im Unterschied zu den anderen Filtertypen lassen sich diese nicht definieren, sondern müssen zusätzlich von Drittanbietern erworben werden. Einige dieser Filter bringt der ISA-Server aber schon mit. So zum Beispiel einen einfachen SMTP-Filter, der Attachments anhand der Größe oder der Extension des Dateinamens herausfiltern kann, unerwünschte Absenderadresse oder Mails mit bestimmbaren Schlüsselwörtern blockiert, oder auch SMTP-Kommandos untersagt, die für Angriffe genutzt werden können. Inzwischen gibt es eine Vielzahl von Softwareherstellern, die Erweiterungen dieser Art für den ISA-Server liefern. Weitere typische Anwendungen sind Antivirensysteme