Alle Konfigurationsschritte werden von Assistenten gesteuert. Zu den ersten Schritten gehört es, die Netztopologie festzulegen. Sie beschreibt die prinzipielle Architektur des abzusichernden Netzes. Hierbei unterscheidet der ISA mehrere Topologien: Die Firewall an der Grenze zwischen internem Netz und Internet nennt Microsoft "Edgefirewall". Diese wurde für den Test gewählt. Das Testsystem wurde folglich mit zwei Netzkarten bestückt, womit eine Trennung in das interne LAN und das Internet erfolgte. Die Auswahl der Topologie lässt sich in der Software anhand eines Schaubilds bestimmen. Dem Netz sind dann die IP-Bereiche des internen Netzes zuzuordnen, bei Bedarf lässt es sich noch weiter zerlegen. Neben dem für unseren Test gewählten Modell "Edgefirewall" stehen Varianten mit einer "Frontfirewall", "Backfirewall" sowie einem einzelnen Netzadapter zur Verfügung. Des Weiteren lassen sich auch komplexere Szenarien etwa mit einer DMZ (sie wird als Umkreisnetz oder "3-Leg-Perimeter" bezeichnet), oder über die Trennung des Unternehmensnetzes in Bereiche mit unterschiedlichen Sicherheitsstufen einrichten.
Die Access Rules
Das zentrale Element für Firewall-Konfigurationen sind die Zugriffsregeln (Access Rules). Sie stellen den Filtermechanismus des ISA dar und grenzen die zulässige Kommunikation ein. Auszuwählen sind hier alle Parameter, die die Kommunikation steuern oder beeinflussen. Die Access Rules können definiert, gruppiert und geschachtelt werden.
Derzeit kennt der ISA über 120 Protokolle, die er in die Bereiche Infrastrukturdienste, Authentifizierung, Mail-Kommunikation, Instant Messaging, remote Terminalzugriffe, Streaming Media, VPN und IPsec, allgemeine Web-Protokolle, Server-Protokolle und andere unterteilt. Sie sind durch die Port-Angaben weiter zu spezifizieren. Zudem lassen sich Benutzer oder Benutzergruppen, Zeiten der erlaubten oder gesperrten Kommunikation sowie eine Seite festlegen, die dem Benutzer im Fall einer Zugriffssperre präsentiert werden soll. Darüber hinaus können Anwender weitere Protokolle in das Schutzkonzept aufnehmen.
Die Definition der Zugriffsregeln ist ebenfalls durch Assistenten gesteuert, die alle wichtigen Parameter in der Dialogfolge abfragen. Für erste Tests zur Funktion der Firewall lässt sich beispielsweise eine Regel erstellen, die HTTP explizit erlaubt, HTTPS jedoch sperrt. Jegliches Online-Banking, das mit HTTPS arbeitet, sollte dann unterbunden sein.
Parameter mit Bedacht setzen
Die Bedienung dieser Assistenten wirft kaum Fragen auf. Allerdings sind die Auswirkungen der zu wählenden Parameter nicht dokumentiert, so dass der Administrator schon sehr genau wissen sollte, welche er setzt. Für unseren Test wurden diverse Regeln etwa zum Blockieren von Streaming- oder Mail-Protokollen definiert. Sie wurden im Testszenario korrekt eingehalten, und die unerwünschte Kommunikation unterblieb.