авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:   || 2 | 3 | 4 | 5 |   ...   | 30 |
-- [ Страница 1 ] --

Dr.Tom Shinder's

Configuring

ISA Server 2004

Dr. Thomas W. Shinder

Debra Littlejohn Shinder

SYNGRESS

Эта книга посвящается:

как всегда нашим семьям: детям (Крису и Кники), братьям (Ричу и Д) и

родителям, включая тех, кого уже нет с нами;

нашим друзьям, многие из которых также и наши коллеги;

нашим кошкам, которые прохаживались по нашим клавиатурам, спали

на столах и помогали сохранять веру в конечный результат в течение долгого процесса написания этой книги.

Наравне с другими мы посвящаем эту книгу друг другу. Не так много людей имеет возможность работать со своими близкими, проводить 24 часа изо дня в день в компании друг друга и получать от этого удовольствие.

Мы благодарны судьбе за этот редкий дар.

ISA Server Томас В. Шиндер Дебра Л. Шиндер «Русская Редакция» «БХВ-ПетерОург»

УДК 681.3.06 ББК 32.973.81-018.2 Ш Шинд ер Т., Шиндер Д.

Ш62 ISA Server 2004: Пер. с англ. — М.: Издательско-торговый дом «Русская Редакция»;

СПб.: «БХВ-Петербург», 2006. — 1088 стр.: ил.

ISBN 5-7502-0272-0 («Русская Редакция») ISBN 5-94157-746-Х («БХВ-Петербург») Структура книги позволяет использовать ее как в качестве справочника, включающего отдельные, не зависящие друг от друга разделы инструкций, так и для изучения продукта «шаг за шагом», начиная с терминологии и основных понятий и заканчивая практическими вопросами. В книге пред ставлена эволюция брандмауэров компании Microsoft от Proxy 1.0 ло ISA Server 2004. Подробно рассмотрены: современный рынок брандмауэров и серверов кэширования, функциональные возможности ISA Server 2004, конфигурация сетей с использованием ISA Server 2004, типы клиентов и способы их настройки, установка и конфигурирование ISA Server 2004.

Даны советы по повышению скорости доступа в Интернет и основы сете вой безопасности.

Для системных администраторов УДК 6S1.3. ББК32.973.81-018. Copyright © 2005 by Syngress Publishing. Inc. All rights reserved. Printed in iltc United States of America. Translation Copyright © by BHV-St. Petersburg. Except as permitted under the Copyright Act of 1976, no part of this publication may be reproduced or distributed in any form or by any means, or stored in a database or retrieval system, without the prior written permission of the publisher, with the except ion that the program listings may be entered, stored, and executed in a computer system, but they may not be reproduced for publ icat ion.

С 2D05 by Synsress Publisliine. Inc. Перевод tin pycCKKil H'JbiK С 2006 «БХВ-Петербург». Вес лрлпа ншишпш,!э ЯЯиЯЯСИЖМ [lyti'int^LLjin. paipcuieHHbjK Актам о шшитс uptin tt 1976 года, ин^лкан часть ндстонтей книги tte может быть воспроизведена или передана в какой бы то ни было форме и какими бы то ни было средствами, будь то электронные или механические, пкльпчая фотокопн^ьанпс, запись на HjifrtmHui"! носитель нпн обанкротите, записана и болы данных или pu3Ju;

utcHU u ^teKTpo]4lbi.\ средст№1Л распространен 1чя, гслп на то нет предварительного письменного рирссиенил И1датсл1,с1ь,1, за S-UK_I I'.V IC HIMM.'LHLEniti оь nporiSMht. которые ножно вводить, сохранять и оыпалн|[1ь нд кампькггере. но нельм воспроизво.ситъ для публикации.

Лицензия ИД № O242S от 24.07.00. Подписано в печать 02 11.05.

Формат 70x100Vie. Печать офсетная. Усл. леч. л. 87,72.

Тираж 3000 экз. Заказ Nt4388 «БХВ-Петербург», 194354, Санкт-Петербург, ул. Есенина, 5Б.

Санитарно-эпидемиологическое заключение на продукцию № 77.99.02.953.Д.006421.11.04 от 11.11.2004 г. выдано Федеральной службой по надзору в сфере защиты прав потребителей и благополучия человека.

Отпечатано с готовых диапозитивов в ГУП «Типография «Наука» 199034, Санкт-Петербург, 9 линия, ISBN 1-931836-19-1(англ.) О 2005 by Syngress Publishing, Inc.

ISBN 5-7502-0272-0 С Оформление издательско-торгоаый дом «Русская Редакция», («Русская Редакция») ISBN 5-94157-746-Х О Перевод на русский язык, издание БХВ-Петербург., («БХВ-Петербург») Благодарности Издательство «Syngress» хотело бы выразить благодарность людям, чьи доброта и поддержка сделали возможным появление этой книги.

В настоящее время книги издательства «Syngress» распространяются в Соединен ных Штатах и Канаде O'Reilly Media, Inc. Эту корпорацию отличают необыкновен ный энтузиазм и высокие этические принципы, и нам хотелось бы поблагодарить ее сотрудников, потративших много сил и времени на представление книг изда тельства «Syngress» на рынке: Тима О'Рейли (Tim O'Reilly), Лауру Болдуин (Laura Baldwin), Марка Брокеринга (Mark Brokering), Майка Леонарда (Mike Leonard), Донну Селенко (Donna Selenko), Бонни Шихан (Bonnie Sheehan), Синди Дэвис (Cindy Davis), Гранта Киккерта (Grant Kikkert), Опол Мацутаро (Opol Matsutaro), Стива Хэзелвуда (Steve Hazelwood), Марка Вилсона (Mark Wilson), Рика Брауна (Rick Brown), Лесли Бекер (Leslie Becker), Джил Лотроп (Jill Lothrop), Тима Хинтона (Tim Hinton), Кайла Харта (Kyle Hart), Сару Виндж (Sara Winge), С. J. Rayhill, Питера Пардо (Peter Pardo), Лесли Кранделл (Leslie Crandell), Валери Доу (Valerie Dow), Регину Аджио (Regina Aggio), Паскаля Хоншера (Pascal Honscher), Престона Пола (Preston Paull), Сьюзан Томпсон (Susan Thompson), Брюса Стюарта (Bruce Stewart), Лауру Шмайер (Laura Schmier), Сью Виллинг (Sue Willing), Марка Джекобсена (Mark Jacobsen), Бетси Валижевски (Betsy Waliszewski), Дона Манна (Dawn Mann), Катрин Барре (Kathryn Barrett), Джона Чодаки (John Chodacki) и Роба Буллингтона (Rob Bullington). Сер дечная благодарность Айлин Берг (Aileen Berg) — работать с вами очень приятно.

Мы признательны невероятно напряженно работавшей группе сотрудников из издательства Elsevier Science, включающей Джонатана Банкелла (Jonathan Bunkell), Яна Сигера (Ian Seager), Данкана Энрайта, (Duncan Enright), Дэвида Бертона (David Burton), Розанну Рамачиотти (Rosanna Ramacciotti), Роберта Файебразе (Robert Fairbrother), Мигеля Санчеса (Miguel Sanchez), Клауса Берана (Klaus Beran), Эмму Вайет (Emma Wyatt), Рози Мосс (Rosie Moss), Криса Хоссака (Chris Hossack), Марка Ханта (Mark Hunt) и Кристу Леппико (Krista Leppiko) и убедившей нас в том, что наше видение проблемы соответсвует обще при нятому.

Мы благодарим Дэвида Бакленда (David Buckland), Мэри Чиен (Marie Chieng), Люси Чон (Lucy Chong), Лесли Лим (Leslie Lim), Одри Ган (Audrey Gan), Пан Аи Хуа (Pang Ai Hua) и Джозефа Чаня (Joseph Chan) из STP Distributors за энтузиазм, про явленный при получении наших книг.

Мы выражаем благодарность Квону Сун Джуну (Kwon Sung June) из Acorn Publi shing за его поддержку.

VI Благодарности Мы выражаем глубокую признательность Дэвиду Скопу (David Scott), Трише Вай лден (Tricia Wilden), Марилле Берджис (Marilla Burgess), Аннетте Скотт (Annette Scott), Эндрю Свафферу (Andrew Swaffer), Стефану О'Донахью (Stephen O'Donoghue), Беку Лоу (Вес Lowe) и Марку Лэнгли (Mark Langley) из компании Woodslane за распро странение наших книг в Австралии, Новой Зеландии, Папуа-Новой Гвинее, Фиджи Тонга, Соломоновых островах и островах Кука.

Мы также благодарны Винстону Лиму (Winston Lim) из компании Global Publi shing за помощь и поддержку в распространении книг издательства «Syngress» на Филиппинах.

Об авторах Томас В. Шиндер, доктор медицинских наук (Thomas W. Shinder, MD), — сертифи цированный инженер по системам корпорации Microsoft (Microsoft Certified Systems Engineer, MCSE), награжденный званием MVP (Microsoft Most Valuable Professio nal — свидетельство, выдаваемое корпорацией Microsoft членам компьютерного со общества (Microsoft Most Valuable Professional), за его работу с ISA Server, известен в сообществе специалистов по брандмауэрам как один из главных экспертов по брандмауэру ISA Server. Том получал консультации в главных компаниях и органи зациях, таких как Microsoft, Xerox, Lucent Technologies, FINA Oil, Hewlett-Packard и Департамент энергетики США (U. S. Department of Energy).

Том занимался практической медициной в Орегоне, Техасе и Арканзасе, прежде чем решил начать новую карьеру, увлекшись компьютерными технологиями вскоре после женитьбы на Дебре Литтлджон Шиндер в середине 1990-х. Супруги организо вали совместную компанию TACteam (Trainers, Authors, and Consultants) (Препода ватели, авторы и консультанты), в которой они обучают основам компьютерных технологий и разрабатывают обучающие программы, пишут книги, статьи, офици альные отчеты (whitepapers) и документацию для корпоративных продуктов и под готавливают материалы по маркетингу, помогают малым и большим коммерческим фирмам в реализации и распространении технологических решений.

Том в соавторстве с Деб написал такие бестселлеры, как Configuring ISA Server (Настройка ISA Server 2000) (Syngress, ISBN 1 -928994-29-6), Dr. Tom Shinder's ISA Server and Beyond (ISA Server д-ра Тома Шиндера и то, что находится за брандмауэром) (Syngress, ISBN 1-931836-66-3), and Troubleshooting Windows 2000 TCP/IP (Локализа ция неисправностей Windows 2000 TCP/IP) (Syngress, ISBN 1-928994-11-3). Он при нимал участие в написании нескольких книг, посвященных подготовке к экзаме нам на получение сертификата MCSE по операционным системам Windows 2000 и Windows 2003, и написал сотни статей о серверах под управлением Windows для различных книжных и электронных издательств.

Том — главный «нарушитель спокойствия» на сайте ISAserver.org (www.isaserver.

org), отвечающий на сотни вопросов в неделю в дискуссионных форумах, и веду щий сотрудник, обеспечивающий информационное наполнение сайта.

Дебра Литтлджон Шиндер (Debra Littlejohn Shinder) — сертифицированный инженер по системам корпорации Microsoft (MCSE), награждена званием MVP в области серверной безопасности. В прошлом она — офицер полиции и препода ватель уголовного судопроизводства уровня колледжа (college level criminal justice instructor), этим и объясняется ее интерес к компьютерной безопасности и компь ютерным преступлениям. Она — автор нескольких книг о компьютерных опера ционных системах, сетях и безопасности. К ним относятся Scene of the Cybercrime:

Computer Forensics Handbook (Арена киберпреступления: юридический справоч ник в области компьютерных технологий) (Syngress, ISBN 1-931836-65-5) и Computer VIII Об авторах Networking Essentials (Основы организации компьютерных сетей) (Cisco Press). Дебра написала в соавторстве с мужем, д-ром Томасом Шиндером, такие бестселлеры, как Configuring ISA Server 2000 (Настройка ISA Server 2000) (Syngress, ISBN 1-928994-29-6), Dr. Tom Shinder's ISA Server and Beyond (ISA Server д-ра Тома Шиндера и то, что находится за брандмауэром) (Syngress, ISBN 1-931836-66-3) и Troubleshooting Win dows 2000 TCP/IP (Локализация неисправностей Windows 2000 TCP/IP) (Syrgress, ISBN 1-928994-11-3).

Кроме того, Деб — технический и научный редактор и соавтор более 15 книг, посвященных подготовке к экзаменам на получение сертификата MCSE по опера ционным системам Windows 2000 и Windows 2003, экзамену на получение серти фиката CompTIA Security-*- и сертификации TruSecure's ICSA (International Computer Security Assosiation, Международная ассоциация компьютерной безопасности).

В недавнем прошлом она редактировала Brainbuzz A+ Hardware News, а в настоящее время редактирует Sunbelt Software's WinXP News (www.winxpnews.com). Ее статьи регулярно публикуются на сайтах TechRepublic's TechProGuild и Windowsecurity.com, а также в печатных журналах, таких как Windows IT Pro Magazine (в прошлом Windows &.NET). Дебра — автор обучающих программ, корпоративных отчетов (whitepapers), материалов по маркетингу и технической документации для корпораций Microsoft, DigitalThink, Sunbelt Software, CNET и других. В настоящее время она специализиру ется на вопросах безопасности и разработках корпорации Microsoft.

Деб и Том живут в районе Dallas-Ft Worth и время от времени читают курсы по организации компьютерных сетей и компьютерной безопасности в истфилдском колледже (Eastfield College).

Технический редактор Мартин Грасдол (Martin Grasdal) MCSE+I, MCT, CNE (Certified NetWare Engineer, ди пломированный инженер по сетевым программным средствам), CNI, СТТ, А+ Мар тин, независимый консультант с десятилетним опытом работы в компьютерной индустрии, обладает практическими знаниями в области организации компьютер ных сетей и управления в сфере компьютерных технологий. Он получил сертификат MCT (Microsoft Certified trainer, сертифицированный преподаватель Microsoft) в г., a MCSE — в 1996 г. Его знания и опыт как специалиста по сетевым технологиям включают работу с такими программными продуктами, как NetWare, Lotus Notes, Windows NT, Windows 2000, Windows 2003, Exchange Server, IIS, ISA Server и др.

В настоящее время Мартин активно работает как консультант, автор и редактор.

В последнее время в качестве консультанта он сотрудничал по контракту с корпо рацией Microsoft в качестве технического специалиста программы МСР (Master Control Program, главная программа управления) над проектами, связанными с сер верными технологиями. Мартин живет в г. Эдмонтоне штата Альберта в Канаде (Edmonton, Alberta, Canada) с женой Кати (Cathy) и двумя сыновьями.

От авторов, Деб и Тома Шиндеров ISA Server занимал большое место в нашей жизни в течение последних четырех лет.

Это наша третья книга о быстро развивающихся технических разработках бранд мауэров и серверов кэширования корпорации Microsoft, и мы более чем когда-либо воодушевлены ее новым воплощением, сервером ISA Server 2004.

Мы знакомы с ним с момента его появления, у нас была возможность проверить вносимые изменения, дополнения и улучшения на этапах альфа и бета-тестирова ния программного обеспечения.

Этот книга — плод не только наших совместных усилий, но и усилий команды.

Множество людей принимало участие в ее создании и без них книга не была бы написана.

Мы глубоко признательны разработчикам ISA Server из корпорации Microsoft за вовлечение нас в процесс разработки ISA, его документирования и продвижения на рынке. В особенности мы хотим поблагодарить сотрудников в Редмонде, Дал ласе и Шарлот: Майка Нэша (Mike Nash), Стива Брауна (Steve Brown), Тони Бейли (Tony Bailey), Джозефа Ландеса (Joseph Landes), Жози Фонтане (Josue Fontanez), Маркуса Шмидта (Marcus Schmidt), Рису Колеман (Risa Coleman), Марка Мортиме ра (Mark Mortimer), Реда Джонстона (Red Johnston), Дейва Гарднера (Dave Gardner), Джоула Слосса (Joel Sloss), Джулию Полк (Julia Polk), Стива Райли (Steve Riley), Зака Гатта (Zach Gutt), Майка Чаня (Mike Chan), Сюзан Колберер (Suzanne Kalberer), Келли Мондлоч (Kelly Mondloch), Алана Вуда (Alan Wood), Клинта Денхэма (Clint Denham), Элен Пратер (Ellen Prater), Скотта Джайлса (Scott Jiles), Сибелл Нуперт (Sibylle Haupert), Эми Логан (Amy Logan), Ари Фручтера (Ari Fruchter), Ронен Боази (Ronen Boazi), Барклая Неира (Barclay Neira), Бена Гутерсона (Ben Guterson), Колин Лит (Colin Lyth,) Эрика Розенкранца (Eric Rosencrantz), Джан Шанахан (Jan Shanahan), Джима Эдвардса (Jim Edwards) и Вальтера Бойда (Walter Boyd), а т а к ж е Джоуэн Веттерн Qoern Wettern) и Роналда Бикелара (Ronald Beekelaar) за их помощь и поддержку.

Мы также хотим поблагодарить группу ISA в Израиле: Ави Натана (Avi Nathan), АдинуХагеге (Adina Hagege), Керен Мастер (Keren Master), Рона Мондри (RonMondri), Итаи Гринберга (Itai Greenberg), Йоси Сайлеса (Yossi Siles), Сигалит Бар (Sigalit Bar), Натана Бигмана (Nathan Bigman), Линду Лиор (Linda Lior), Нету Амит (Neta Amit), Амит Финкельштейн (Amit Finkelstein), Меир Шмоуеэли (Meir Shmouely), Нира Бен Зви (Nir Ben Zvi), Офер Дубровски (Opher Dubrovsky), Орен Трутнер (Oren Trutner), Йигал Эдери (Yigal Edery), Зива Мадора (Ziv Mador), Раз Горен (Raz Goren), Мооли Беери (Mooly Beeri), Нира Калива (Nir Caliv), Зива Каспи (Ziv Caspi), Гергори Бер шански (Gergory Bershansky), Ариэля Каца (Ariel Katz), Дана Бар-Лева (Dan Bar-Lev), Макса Урицки (Max Uritsky), Ронен Баренбоим (Ronen Barenboim), Нира Михайло вич (Nir Michalowitz) и Ури Бараша (Uri Barash).

X От авторов Спасибо поставщикам оборудования, давшим нам возможность поработать с их устройствами, ориентированными на ISA Server: Джону Кертису (John Curtis,).Джо ну Амаралу (John Amaral), Майку Друару (Mike Druar), Кевину Мерфи (Kevin Murphy), Эрике Баттен (Erika Batten), Бонни Андерсон (Bonnie Anderson) и Марку Родену (Mark Roden) из компании Network Engines, Абдулу Ажану (Abdul Azhan) из RimApp, Мар ку Семандени (Marc Semadeni) из Hewlett Packard и Йон Тье Линь (Y°ng Thye Lin) and Йон Пин Линь (Yong Ping Lin) из Celestix.

Мы хотим выразить признательность техническому редактору Мартину Грасдолу (Martin Grasdal) за его кропотливую и тщательную проверку работоспособности каждой предложенной нами процедуры, корректности и завершенности всех на ших описаний и инструкций и смысловой ясности текста, даже тех его частей, которые писались нами в конце восемнадцатичасового рабочего дня, когда мы старались сохранить остатки здравого смысла и рассудка с помощью лишь силы воли и многочисленных чашек кофе. Мы также признательны нашему корректору Эдвине Левис (Edwina Lewis), воевавшей с терминологией, находившей орлиным глазом наши опечатки и при этом остававшейся доброй и неунывающей даже тог да, когда мы становились слегка несдержанными.

Мы хотим поблагодарить Стефана Четкути (Stephen Chetcuti) и Шона Батгейга (Sean Buttgieg), сотрудников сайтов Isaserver.org (www.isaserver.org) и Window security.com (www.windowsecurity.com), предоставивших нам возможность на фо румах рекламировать как ISA Server, так и эту книгу, благодаря чему мы узнали о других фанатах ISA Server, разбросанных по всему миру.

Большое спасибо Джону Шисли (John Sheesley) из Tech Republic/TechProGuild (www.techproguild.com), поместившему серию наших статей об ISA Server 2004, и Эми Айзенберг (Amy Eisenberg) и Патриции Колби (Patricia Colby) из журнала Windows IT Pro Magazine (ранее Windows &.NET), который представлял ряд наших статей об ISA Server 2004.

Мы хотим отдать дань уважения всем специалистам по ISA Server, обладающим званием MVP, чьи идеи и помощь в процессе написания книги были бесценны: Крису Грегоги (Chris Gregory), Каи Вилки (Kai Wilke), Стефану Поусилу (Stefaan Pouseele), Джейсону Балларду (Jason Ballard), Баду Ратлифу (Bud Ratliff), Кристиану Гроебне ру (Christian Groebner), Дайетер Рочер (Dieter Rauscher), Фредерику Исноуфу (Frederic Esnouf), Джесперу Ханно (Jesper Hanno), Филиппу Матону (Philippe Mathon), Фил Винделл (Phil Windell), Славу Пидгорному (Slav Pidgorny), Абрахаму Мартинез Фер нандес (Abraham Martinez Fernandez).

Кроме того, особые благодарности тем, кто обеспечивал и сопровождал програм му MVP: Джерри Брайенту Qerry Bryant), Эмили Фрит (Emily Freet), Джейни Кларк (Janni Clark) и Джону Эдди (John Eddy).

Мы также хотим поблагодарить участников групп новостей, посвященных ISA Server, списков рассылок и досок объявлений (message boards), чьи вопросы ини От авторов XI циировали многие сценарии в этой книге, и всех остальных, так или иначе ока завшим нам помощь. В частности мы выражаем благодарность Джону Толмачеву (John Tolmachoff), Джефри Мартину (Jeffrey Martin), Эми Бабинчак (Amy Babinchak), Стиву Моффату (Steve Moffat), Грегу Малхолланду (Greg Mulholland), Шону Квил ману (Shawn Quillman), Джозефу Кравитцу (Joseph Kravitz), Тьяго де Авиз (Tiago de Aviz), Дэвиду Фаринику (David Farinic), Аману Беди (Aman Bedi), Биллу Стюарту (Bill Stewart), AWJ (Al), Сюзан Бредли (Susan Bradley) и многим-многим другим. Спаси бо друзья!

Особую благодарность мы выражаем Джиму Харрисону (Jim Harrison). Он ра ботает в группе тестирования (QA team) ISA Server корпорации Microsoft и поддер живает исключительный Web-сайт: www.isatools.org. Многие из нас пропали бы без программных средств Джима и его постоянного подталкивания к совершенство ванию приобретенных нами профессиональных навыков сетевых специалистов и администраторов брандмауэров.

Все, кого мы уже упомянули, способствовали планированию и созданию этой книги, а любые ошибки и упущения целиком ложатся на наши плечи. Мы стара лись выполнить работу аккуратно и по возможности без ошибок, но совершенство — скорее цель, чем достижимый результат. Если мы забыли упомянуть кого-либо, пожалуйста, примите наши искреннейшие извинения (завершающий этап работы над рукописью был, мягко говоря, лихорадочным) и дайте нам знать об этом, что бы можно было исправить этот промах в следующем издании книги.

В заключение мы хотим выразить особую благодарность сотрудникам издатель ства «Syngress», подтолкнувших нас к созданию этой книги, проявившим необык новенное терпение и понимание при плавном переносе сроков окончания рабо ты и поверившим в нас с самого начала: Эндрю Вильямсу (Andrew Williams), наше му издателю, и Джейме Квигли (Jaime Quigley), нашему редактору. Друзья, верите вы или нет, но в конце концов мы сделали это!

От издателя Издательство Syngress было основано в 1997 г. Своей главной целью оно видит издание оригинальных авторских книг в отличие от «поточного» производства литературы. С тех пор с издательством начали сотрудничать многие выдающиеся авторы, первые среди которых — Дебра Литтлджон Шиндер (Debra Littlejohn Shinder) и Томас Шиндер (Thomas Shinder).

Они работают в издательстве в качестве редакторов, авторов, вдохновителей, консультантов и иногда критиков. Они всегда готовы к работе и подготовке к из данию самых лучших книг. С их помощью мы узнали очень много нового.

В своей работе они всегда придерживаются строгих этических норм, подобно полицейским и врачам (Дебра — полицейский, а Том — врач). В своей работе они всегда стремятся к высшему качеству, потому что в книге указываются их имена.

Но что особенно важно, они сочетают в себе фундаментальные технические познания со страстью к обучению других. Это редкое соединение качеств позво ляет им помогать в работе более чем 250 000 ИТ-профессионалов.

Мы благодарим вас от всего сердца.

Крис Уильяме (Chis Williams), Президент и основатель издательства Амаретт Педерсен (Amorette Pedersen), Вице-президент отдела маркетинга, основатель издательства Эндрю Уильяме (Andrew Williams), Издатель Syngress Publishing Декабрь 2004 г.

Оглавление Благодарности.............................................................................................................. V Об авторах................................................................................................................... VII От авторов.................................................................................................................... IX От издателя................................................................................................................. XII Глава 1 Эволюция брандмауэра: от Proxy 1.0 до ISA 2004.......................... О чем эта книга и для кого предназначена............................................................... О чем эта icuwa...................................... L—~.............,................... _.......... _... Для кого предназначена эта книга.................................. ».................................. Безопасность: восходящая звезда........................................................................... Безопасность: какое отношение к ней имеет корпорация Microsoft?.......................................................................................... Безопасность: подход, основанный на политике............................................... Безопасность: многоуровневый подход.............................................................. Брандмауэры: стражи у ворот.................................................................................. Брандмауэры: история и философия............................................................ Брандмауэры: основы архитектуры...................................................................... Брандмауэры: свойства и функции.............................. _...................................... Брандмауэры: их роль и размещение в сет......................................................... ISA Server: от прокси-сервера до полнофункционального брандмауэра............. Предвестник ISA: MS Proxy Server......................................................................... ISA;

личное представление....-.............................................................................. Резюме........................................................................................................................ Глава 2 Изучение функциональных возможностей ISA Server 2004.............................................................................................. Новый GUI: больше, чем просто приятный интерфейс............................................ Изуче! [иеграфическогоинтерфейса,............................................................. Изучение узлов управления................................................................................... Старые функции обретают новые возможности..................................................... Усовершенствованные и улучшенные механизмы удаленного управления......................................................................................... Улучшенные фу1 нсции брандмауэра...................................................... —.......... Улучшенные функции создания виртуальных частных сетей и удаленного доступа................................... -........................................... Расширенная и улучшенная функциональность Web-кэша и Web-прокси....................................................................................................... XIV Оглавление Расширенные и улучшенные возможности мониторинга и создания отчетов............................................................................................. Новые функции......................................................................................................... Поддержка нескольких сетей............................................................................. Новые функции фильтрации на уровне приложения (ALF)............................ Контроль изолирования VPN-подключений....................._.,„............................ Отсутствующие функции: удалены, но не забыты................................................. Разбиение потоковых данных...................................................................„....., ШлюзН.323.......................................................................................................... Контроль пропускной способности.................................................................. Активное кэширование....................................................................................... Выводы..................................................................................................................... Краткое резюме по разделам.................................................................................. Часто задаваемые вопросы..................................................................................... Глава 3 Рейтинг брандмауэров и место в нем ISA Server 2004...... Параметры сравнения брандмауэров..................................................................... Стоимость работы брандмауэра..............................-........................................ Спецификации и функции................................................................................. Сравнение ISA Server 2004 с другими брандмауэрами.......................................... Параметры сравнения ISA Server 2004............................................................... Сравнение брандмауэров ISA Server 2004 и Check Point................................... Сравнение брандмауэров ISA Server 2004 и Cisco PIX....................................... Сравнение брандмауэров ISA Server 2004 и NetScreen...................................... Сравнение брандмауэров ISA Server 2004 и SonicWall...................................... Сравнение брандмауеров ISA Server 2004 и WatchGuard.................................. Сравнение брандмауеров ISA Server 2004 и промышленного боапдмалэоа Symantec............. / •"и"%ч'ч~ "f*" V V **/^Г...................................... +........+.++.чи *+............. —• +** +ч+ +................... *. -.............................................. к v j Сравнение брандмауэров ISA Server 2004 и Blue Coat SG...............................„„ Сравнение брандмауеров ISA Server 2004 с бесплатными брандмауэрами................................................................................................... Выводы...................................................................................................................... Сравнение архитектуры..................................................................................... Сравнение функциональности......................................................................... Сравнение цен..................................................................................................... J чп" и " х % "................. * ** Краткое резюме по разделам................................................................................. Часто задаваемые вопросы.................................................................................... Оглавление XV Глава 4 Конфигурация сетей в среде ISA Server и подготовка сетевой инфраструктуры.......................................,........ Сети с брандмауэром ISA и тактика защиты.................................................... Многоуровневая защита..................................................................................... Заблуждения, связанные с брандмауэром ISA.................................................... Почему брандмауэр ISA нужно размещать перед ценными ресурсами........... Улучшенная топология сети и брандмауэра..................................................... План конфигурирования сети с ISA Server В концепции Тома и Деб Шиндеров......................................................................... Создание виртуальной машины ISALOCA1....................................................... Определение сетей и отношений между ними с точки зрения брандмауэров ISA..................................................................................................... ISA Server 2004: возможности при работе с несколькими сетями................... Брандмауэр ISA;

сети по умолчанию..............................................щ........................... Создание новых сетей........................................................................ -.............. Контроль маршрутизации с помощью сетевых правил............... -.................. Сетевые объекты брандмауэра ISA 2004................................. -...... -........-...... Сетевые шаблоны брандмауэра ISA................................................................... Динамическое присваивание адреса на внешнем интерфейсе брандмауэра ISA............................................................................. Поддержка коммутируемых соединений для брандмауэров ISA, втом числе VPN-подключения к интернет-провайдеру.................................. Сетевой сценарий «сеть в Сети» (расширенная настройка брандмауэра ISA)................................................................................................. Создание цепочек Web-прокси как форма сетевой маршрутизации................... Создание цепочек брандмауэров как форма сетевой маршрутизации.............. Настройка брандмауэра ISA в качестве DHCP-сервера......................................... Резюме....................................................................................................................... Краткое резюме по разделам.................................................................................. Часто задаваемые вопросы..................................................................................... Глава 5 Типы клиентов ISA Server 2004 и автоматизация настройки клиентов.................................................................................. Типы клиентов ISA Server 2004......................................................................... Клиент SecureNAT ISA Server 2004.....................................-..... ----..... -........... Разрешение имен для клиентов SecureNAT....................................................... Клиент брандмауэра ISA Server 2004........................................................ -....... Клиент Web-прокси ISA Server 2004........................................ -............~.......... Конфигурирование ISA Server 2004 с клиентами разных типов..................... Выбор типа клиента ISA Server 2004........................................................-......... XVI Оглавление Автоматизация инициализации клиента ISA Server 2004...................................... Настройка DHCP-серверов для поддержки автоматического обнаружения клиента Web-прокси и клиента брандмауэра..........^ ----- -,..,—„.............. Конфигурирование DNS-серверов для поддержки автоматического обнаружения клиента Web-прокси и клиента брандмауэра........................... Автоматизация установки клиента брандмауэра.................................................. Конфигурирование клиента брандмауэра и клиента Web-прокси в консоли управления ISA.................................................................................. Установка программного обеспечения с помощью групповой политики.... Сценарий установки без вмешательства пользователя............................. SMS-сервер.... _... г.................................................................................................................................................. Выводы...................................................................................................................... Краткое резюме по разделам................................................................................. Часто задаваемые вопросы.................................................................................... Глава б Установка и конфигурирование брандмауэра ISA............ Задачи и анализ действий перед установкой брандмауэра ISA.......................... Системные требования....................................................................................... Настройка таблицы маршрутизации................................................... _............4б Размещение DNS-cepuepa......................................................... _....................... Конфигурирование сетевых интерфейсов брандмауэра ISA........................... Автоматизированная установка................................................................... Установка служб терминалов в режиме администрирования.......................... Установка брандмауэра ISA «с нуля» на компьютере с несколькими сетевыми адаптерами............................................................................................. Стандартная конфигурация брандмауэра ISA после установки........................... Настройка системной политики после установки брандмауэра ISA.................... Установка обновления брандмауэра ISA................................................................ Установка брандмауэра ISA на компьютере с одним сетевым адаптером (брандмауэр ISA с одним сетевым интерфейсом)................................................. Конфигурирование брандмауэра ISA для быстрого старта................................. Конфигурирование сетеных интерфейсов брандмауэра ISA........................... Установка и конфигурирование DNS-сервера на брандмауэре ISA........ -....... Установка и конфигурирование DHCP-сервера на брандмауэре ISA.............5 0 б Установка и конфигурирование программного Обеспечения [SA Server 2004..................................................-........................... Конфигурирование компьютеров внутренней сети................................ Улучшение базовой конфигурации брандмауэра ISA и базовой операционной системы.......................................................................... Зависимость брандмауэра ISA err служб................ „.;

............................................ Требования к службам для выполнения распространенных задач Оглавление XVII на брандмауэре ISA.............................. „............................................................. Роли клиента для брандмауэра ISA..................................................................... Административные роли и полномочия брандмауэра ISA.............................. Режим блокировки..................... «...................................................................... Ограничения соединений.................................................................................. Предотвращение атак имитации соединения на DHCP.................................. Резюме....................................................................................................................... Краткое резюме по разделам.................................................................................. Часто задаваемые вопросы..................................................................................... Глава 7 Создание и применение политики доступа в брандмауэре ISA Server 2004......................................................... Введение................................................................................................................... Элементы правил доступа брандмауэра ISA.......................................................... Протоколы...............................................................-.......................................... Наборы пользователей.................................................................................„.... Типы содержимого.............................................................................................. Чдсы работы или расписание......................................... _.................. - 5 5 Сетевые объекты................................................................................................. Конфигурирование правил доступа для исходящих соединений через брандмауэр ISA.............................................................................................. Страница Rule Action ---------............................................................................. 5б Страница Protocols................................. „........................„...„....................... 5б Страница Access Rule Sources.............................................................................. Страница Access Rule Destinations...................................................................... Страница User Sets.....................................................-.'.„а.................................-.... Свойства правила доступа..........................................,...................................... Команды контекстного меню правила доступа................................................. Настройка RPC-политики........-.......................„............................................... Настройка FTP-i юл итики........................................ -......................................... Настройка HTTP-политики.......................................................... -------------.. Расстановка и упорядочивание правил доступа................................................. Как препятствовать регистрации в журнале соединений для выбранных протоколов............................................................................... Запрет автоматических соединений Web-прокси для клиентов SecureNAT...................................................................................... Использование сценариев для заполнения наборов имен доменов................... Расширение диапазона портов туннелирования SSL-соединения для Web-доступа к дополнительным SSL-портам.............................................. Исключение петель через брандмауэр ISA для соединения с внутренними ресурсами................................................................................,... Появление анонимных запросов в журнале регистрации соединений.

XVIII Оглавление даже при обязательной аутентификации, заданной для Web-доступа [HTTP-соединений)............................................................................................ Блокирование протокола MSN Messenger с помощью правила доступа......... Разрешение исходящего доступа по протоколу MSN Messenger через Web-прокси...........................................................................................„„.. Изменения политики брандмауэра ISA влияют только на новые соединения.......................................................................................... Создание и конфигурирование трехадаптерной сети DM с общедоступными адресами.................................................................................. Настройка таблицы маршрутизации на предшествующем брандмауэру маршрутизаторе........................................................................... Конфигурирование сетевых адаптеров.............................................................. Разрешение в ну три доменных соединений через брандмауэр ISA..................... Резюме...................................................................................................................... Краткое резюме по разделам.................................................................................. Часто задаваемые вопросы.................................................................................... Глава 8 Публикация сетевых служб в Интернете с помощью ISA Server 2004.................................................................................................... Обзор публикаций Web-серверов и серверов........................................................ Правила публикации Web-сервера.................................................................... Правила публикации сервера..............................................................._........... Создание и настройка правил публикации Web-сервера по протоколу, отличному от SSL............................................................................ 65S Страница Select Rule Action.............................................................................., Страница Define Website to Publish.............................„......„....................„...... Страница Public Name Details...........................:................................................. Страница Select Web Listener и создание Web-приемника для протокола HTTP..................................,....................................................... Страница User Sets.......................................... -................................................... Диалоговое окно Properties правила публикации Web-сервера........................ Создание и настройка правил публикации Web-сервера по протоколу SSL...... Сопряжение протокола SSL................................................................................. Импорт сертификатов Web-сайтов в хранилище сертификатов на компьютере брандмауэра ISA......................................................................... Запрос сертификата пользователя для представления его брандмауэром ISA защищенным Web-сайтам..... _...................... Создание правила ггубликации Web-сервера по протоколу SSL...................... Создание правил публикации сервера.....................................................„............ Публикация HTTP-сайтов с помощью правил публикации сервера............... Оглавление XIX Создание правил публикации почтового сервера................................................. Вариант Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync...............................................................«.... Вариант Client Access: RFC, IMAP, POP3, SMTP Option........................................ Резюме............................................................................................................ Краткое резюме по разделам........................................................................... Часто задаваемые вопросы............................................................................. Глава 9 VPN-соединения удаленного доступа и конфигурации «узел-в-узел» в брандмауэре ISA Server 2004...................................... Обзор использования VPN брандмауэром ISA.................................................. Политика брандмауэра, применяемая к соединениям VPN-клиентов......... Политика брандмауэра, применяемая к VPN-соединениям конфигурации узел-в-узел.................................................................................. VPN-карантин............................................................. _...................................... Отображение пользователей для VPN-клиентов.............................................. Поддержка клиентов SecureNAT для VPN-соединений..................................... VPN конфигурации узел-в-узел с применением туннельного режима протокола IPSec............................................................... Публикация VPN-серверов по протоколу РРТР................................................. Поддержка аутентификации секретным ключом в VPN-соединениях по протоколу IPSec............................................................ Улучшенное назначение сервера имен для VPN-клиентов............................. Мониторинг соединений VPN-клиентов..............................................,........... Создание VPN-сервера удаленного доступа по протоколу РРТР......................... Включение VPN-сервера..................................................................................... Создание правила доступа, предоставляющего VPN-клиентам доступ к разрешенным ресурсам................................................................................... Разрешение удаленного доступа по телефонной линии......... „.,....... в.................. Тестирование VPN-соединения по протоколу РРТР......................................... Создание VPN-сервера удаленного доступа по протоколу L2TP/IPSec............... Обеспечение сертификатами брандмауэра ISA 2004 и VPN-клиентов.......... Тестирование VPN-соединения по протоколу L2TP/IPSec............................... Мониторинг VPN-клиентов............................................................................... Использование секретного ключа в соединениях VPN-клиентов удаленного доступа...................................................................., Создание VPN-соединения «узел-в-узел» по протоколу РРТР............................ Создание удаленной сети в центральном офисе............................................... Создание сетевого правила в центральном офисе............................................ Создание правил доступа в центральном офисе............................................... XX Оглавление Создание в центральном офисе учетной записи VPN-шлюза для удаленного доступа по телефонной линии............................................... Создание сети удаленного сайта в филиале..................... —.......—................ Создание сетевого правила в филиале............................................................... Создание правил доступа в филиале.................................................................. Создание в филиале учетной записи VPN-шлюза для удаленного доступа по телефонной линии................................................ Активизация каналов конфигурации узел-в-узел............................................. Создание VPN-соединения «узел-в-узел» по протоколу L2TP/IPSec................... Разблокирование правила системной политики на брандмауэре центрального офиса для доступа к ЦС предприятия........................................ Запрос и установка сертификата Web-сайта для брандмауэра центрального офиса........................................................................................... Конфигурирование брандмауэра ISA центрального офиса для использования канала связи конфигурации узел-в-узел по протоко;

гу L2TP/IPScc................................ _.... _...................................,. Разблокирование правила системной политики брандмауэра филиала для доступа к ЦС предприятия............................................................................ Запрос и установка сертификата Web-сайта для брандмауэра филиала...._. Конфигурирование брандмауэра ISA центрального офиса для использования канала связи конфигурации узел-в-узел по протоколу L2TP/IPSec..................................................................................... Установка VPN-соединения конфигурации узел-в-узел по протоколу L2TP/IPSec.................................................................................... Настройка секретных ключей для VPN-каналов конфшурации уэсл-в-узел по протоколу L2TP/IPSec........................................ Туннельный режим протокола IPSec в VPN конфигурации «узел-в-узел»

с VPN-шлюзами........................................................................................................ Использование системы RADIUS для VPN-аутентификации и политики удаленного доступа Конфигурирование сервера сервисов интернет-аутентификации (RADIUS).............................................................................................................. 81б Создание политики удаленного доступа VPN-клиентов.................................. Разрешения удаленного доступа и функциональный уровень домена.......... Изменение разрешений в учетной записи пользователя для соединения по телефонной линии..................,......................................... Изменение функционального уровня домена................................................... Управление доступом с помощью политики удаленного доступа.................. Включение VPN-сервера на брандмауэре ISA и конфигурирование поддержки RADIUS.


............................................................................................ Создание правила доступа, разрешающего доступ VPN-клиентов к санкционированным ресурсам................................. ------..... —............ -.... Оглавление XXI Создание подключения VPN-клиснта по протоколу РРТР................................ Применение аутентификации сертификатами пользователя с помощью протокола ЕАР для VPN-соединений удаленного доступа................ Настройка программного обеспечения брандмауэра ISA для подде рж ки ЕА Р- ауте нтиф и ка ци и................................................................. Включение отображения пользователей для пользователей, подтверждающих подлинность с помощью протокола ЕАР............................ Выдача сертификата пользователя компьютеру VPN-клиента удаленного доступ а............................................................................................ „ Поддержка исходящих VPN-соединений через брандмауэр ISA......................... Установка и конфигурирование DHCP-сервера и агента ретрансляции DHCP на брандмауэре ISA........................................................................................ Создание VPN конфигурации «узел-в-узел» между ISA Server и брандмауэром ISA................................................................................................. Выполнение Local VPN Wizard на ISA Server 2000.............................................. Изменение пароля в учетной записи для удаленного VPN-пользователя................................................................................................ Изменение верительных данных, и с пользуем ых брандмауэром ISA Server 2000 для соединения с центральным офисом п о телефон ной лин ии.............„.„........... „..... „.......... _........._....._... Изменение параметров простоя интерфейса по требованию VPN-шлюза ISA Server 20O0................................................................................. Создание пула статических адресов для VPN-клиентов и шлюзов................... Выполнение Remote Site Wizard на брандмауэре ISA в центральном офисе.......................................................................................... Создание сетевого правила, определяющего маршрутную связь между центр ал ь н ы м офи сом и ф ил и ал ом............................................ _.... Создание правил доступа, разрешающих трафик из центрального офиса в филиал....................................................................... Создание учетной записи пользователя для удаленного VPN-маршрутизатора.......................................................................................... Тестирование соединения.................................................................................. 8б Заметки о VPN-карантине........................................................................................ Резюме....................................................................................................................... Краткое резюме по разделам.................................................................................. Часто задаваемые вопросы..................................................................................... Глава 10 Динамическая фильтрация и фильтрация на уровне приложений в брандмауэре ISA Server 2004............................................... Введение.................................................................................................................... Фильтры приложений............................................................................................... Фильтр SMTP и Message Screener........................................................................ XXII Оглавление Фильтр DNS..........................................»... i....................................................... Фильтр обнаружения атак на протокол ЮР...................................................... Фильтр SOCKS V4................-............................................................................... Фильтр FTP-доступа............................................................................................ ФилшрН.323........................................................................................................ Фильтр MMS........................................................................................................, Фильтр PNM....................................................................................... „....„....... — Фильтр РРТР......................................................................................................... Фильтр RPC.......................................................................................................... Фильтр BTSP........................................... _.................................................... Web-фильтры............................................................................................................ ПТТР-фильтр....................................................................................................... Транслятор ссылок ISA Server....................................... _................................... Фильтр Web-прокеи............................................................................................ Фильтр SecurlD.........................................................'........................................... OWA-фильтр аутентификации, основанной на формах................................... Фильтр RADrUS-аутентификации................................................................... IP-фильтрация и обнаружение/предупреждение вторжения................................ Обнаружение и предотвращение типовых атак............................................... Обнаружение и предотвращение DNS-атак...................................................... Фильтрация IP-параметров и IP-фрагментов.................................................... Резюме...................................................................................................................... Краткое резюме по разделам................................................................................. Часто задаваемые вопросы...................................................................................... Глава 11 Повышение скорости доступа в Интернет с помощью функции кэширования ISA Server 2004............................. Базовые понятия кэширования......................................................................... Типы Wcb-кэшировап ия..................... „................................ _..................... Структуры Web-кэширования.......................................................... ».............. Протоколы Web-кэширования........................................................................... Основные возможности Web-кэширования ISA Server 2004................................. Применение функции кэширования................................................................. Описание правил кэширования........................................................................ Описание функции загрузки содержимого...................................................... Конфигурирование ISA Server 2004 как сервера кэширования........................... Активизация и конфигурирование кэширования............................................. Конфигурирование свойств кэширования........................................................ 9бЗ Создание и настройка правил кэширования..................................................... Конфигурирование загрузок содержимого из Интернета............................... Оглавление XXIII Резюме...................................................................................................................... Краткое резюме по разделам.................................................................................. Часто задаваемые вопросы..................................................................................... Глава 12 Применение ISA Server 2004 для наблюдения, ведения журналов и создания отчетов...................................................,.., Введение................................................................................................................... Инструментальная панель ISA Server 2004............................................................ Раздел ы инстру м ентал ьно й памел и........................................................ -....... Настройка и конфшурированис инструментальной панели....................... Создание и конфигурирование оповещений ISA Server 2004.............................. События, вызывающие оповещения................................................................ Просмотр предопределенных оповещений.................................................. Создание нового оповещения......................................................................... Изменение оповещений.............._................................................................. Просмотр иницпированных оповещени й...........................„........................ Наблюдение за связями, сеансами и службами в ISA Server 2004...................... Конфигурирование связей и наблюдение за ними........................................ Наблюдение за сеансами.............................................. _.............................. Наблюдение за службами................................................................................. Работа с журналами и отчетами в ISA Server 2004............................................... Журналы ISA Server 2004......................................................_...—.................. Создание, просмотр и публикация отчетов с помощью ISA Server 2004................................................................................................... Использование монитора производительности в ISA Server 2004..................... Краткое резюме по разделам................................................................................ Часто задаваемые вопросы................................................................................... Глава Эволюция брандмауэра:


от Proxy 1.0 до ISA Основные темы главы:

О чем эта книга и для кого предназначена Безопасность: восходящая звезда Брандмауэры: стражи у ворот ISA Server: от прокси-сервера до полнофункционального брандмауэра ГЛАВА О чем эта книга и для кого предназначена Наша первая книга о ISA Server «Configuring ISA Server 2000: Building Firewalls for Windows 2000» (Syngress Publishing, 2001, ISBN 1-928994-29-6) была посвящена первой попытке корпорации Microsoft создать сетевой брандмауэр уровня пред приятия. Как чаще всего бывает при первой попытке, ISA 2000 стал опытным об разцом как для Microsoft, так и для пользователей.

Microsoft обеспечила ISA 2000 развитую многоуровневую функциональность, намного превосходящую традиционный брандмауэр с фильтрацией пакетов, а так же снабдила его такими «излишествами», как обнаружение и предупреждение втор жений (Intrusion Detection/Intrusion Prevention, IDS/I DP) и Web-кэширование — фун кции, которые многие другие производители брандмауэров не включают вообще или поставляют в виде добавочных модулей или отдельных продуктов за отдельную плату.

ISA Server неизбежно сравнивали с другими популярными брандмауэрами, та кими как Firewall-1 /VPN-1 от Checkpoint и PIX от Cisco, а также с недорогими сред ствами обеспечения безопасности от таких производителей, как NetScreen, Watch guard, SonicWall, Symantec и многих других, заполнивших рынок за последние не сколько лет. И хотя ISA Server выдержал это сравнение, администраторы ISA вско ре приступили к созданию «перечней пожеланий», включавших в себя характерис тики и функции, которые могли сделать его еще лучше.

ПРИМЕЧАНИЕ Некоторые могут возразить, что «перечни пожеланий» поль зователей в некоторых случаях приводили к добавлению ненужных или бес полезных свойств, а также к исключению полезных свойств. По сообще нию разработчиков, некоторые функции, например шлюз Н.323, входившие в ISA Server 2000, были исключены из ISA 2004 из-за того, что пользователи не проявили к ним интереса. С другой стороны, ISA 2004 включает в себя возможность перенаправления трафика со всех портов на внешний сер вер («all-port forwarding»), потому что на этом настояли пользователи бранд мауэров низшей ценовой категории, включающих в себя эту функцию.

Как и в случае любого программного обеспечения, нужно было устранить не которые шероховатости. Поскольку сфера обеспечения безопасности стала более сложной и появились новые типы угроз, возникла необходимость в новых техно логиях и в улучшении уже существующих. Поэтому корпорация Microsoft присту пила к созданию новой версии ISA Server, которая должна была включить множество функций по просьбам пользователей, стать проще в использовании и эффектив нее в обеспечении безопасности.

Некоторые изменения в ISA Server 2004 оказались настолько радикальными, что Microsoft серьезно подумывала о том, чтобы полностью изменить название програм много продукта, но в итоге все же пришла к решению оставить название «Internet Security and Acceleration Server» (ISA Server), чтобы не потерять пользователей предьщущей версии Эволюция брандмауэра: от Proxy 1.0 до ISA и избежать путаницы на рынке программных продуктов. Брандмауэр ISA Server стал основательным всеобъемлющим средством обеспечения безопасности, служащим различным целям в разнообразных сетевых конфигурациях.

О чем эта книга Написание книги о ISA Server 2000 так же, как и работа с самим программным продуктом, помогло нам изучить этот продукт. После того, как книга была написа на, мы продолжили работу с ISA Server и столкнулись с новыми вопросами (и но выми ответами). От читателей были получены ценные отзывы о том, что еще они хотели бы прочитать в книге. Мы учли все это при подготовке плана этой книги, посвященной ISA Server 2004.

СОВЕТ Многие читатели просили нас предоставить побольше основ пред мета, поэтому более опытные читатели, а также пользователи, имеющие конкретные вопросы или столкнувшиеся с конкретными проблемами, мо гут пропустить первые несколько глав и сразу перейти к описанию прин ципов работы ISA Server 2004.

Структура книги дает возможность легко найти конкретные советы о том, как действовать в определенных ситуациях, или способы устранения возникших при использовании ISA Server 2004 проблем. Добавлены многочисленные советы и при мечания, помогающие в практической работе с ISA Server 2004, справочная инфор мация о других темах, с которыми можно столкнуться при работе с ISA Server 2004, а также включено множество диаграмм и скриншотов.

От главы к главе Данную книгу можно использовать в качестве справочника, включающего отдель ные, не зависящие друг от друга разделы инструкций. Логический порядок изло жения материала предназначен для тех, кто изучает данную книгу постепенно, шаг за шагом, начиная с терминологии и основных понятий и переходя к практичес ким вопросам.

Глава 1. Эволюция брандмауэра: от Proxy 1.0 до ISA Глава 1 начинается с раздела под названием «Безопасность: восходящая звезда», который представляет собой обзор новой, выдающейся роли безопасности в но вом тысячелетии. В разделе «Безопасность: какое отношение к ней имеет корпора ция Microsoft?» мы обсудим новую стратегию корпорации Microsoft, нацеленную на обеспечение безопасности как первоочередного приоритета, в рамках ее ини циативы по обеспечению безопасности использования компьютеров — Trustworthy Computing Initiative. Затем мы изучим лучшие способы обеспечения сохранности ваших ценностей (как в физическом, так и в электронном виде) в разделе «Безо пасность: многоуровневый подход».

4 ГЛАВА В разделе «Брандмауэры: стражи у ворот» мы подробнее рассмотрим роль бранд мауэра, историю и философию современных брандмауэров, а также различия между разнообразными моделями брандмауэров (хост-модель по сравнению с сетевой, аппаратная модель по сравнению с программной). Затем мы рассмотрим функци ональные возможности современных брандмауэров и эволюцию брандмауэров от простых прокси с фильтрацией пакетов до всеобъемлющих средств обеспечения безопасности.

Заключительный раздел «ISA Server: от прокси-сервера к полнофункциональному брандмауэру» посвящен теме остальной части книги — ISA Server. Мы рассмотрим, как корпорация Microsoft вышла на рынок средств обеспечения безопасности, на чиная с появления MS Proxy Server — предвестника ISA Server и заканчивая появле нием ISA Server 2004. Мы обсудим, какую роль может сыграть для вас и вашей ком пании этот программный продукт, как можно получить два программных продук та по цене одного и как работать с кэшированием. Мы также порассуждаем о буду щем ISA Server и о тенденции интегрирования функций обеспечения безопаснос ти в программные продукты, которая прослеживается в продукции корпорации Microsoft.

Глава 2. Изучение функциональных возможностей ISA Server В этой главе подробно рассмотрены основные функции ISA Server 2004: перешед шие из ISA Server 2000 и новые или улучшенные, а также функции, входившие в ISA Server 2000, но опущенные в новой версии.

В начале мы сосредоточимся на функциях ISA Server 2000, которые были улуч шены или расширены, например: администрирование VPN, проверка подлиннос ти пользователя, правила брандмауэра, пользовательские и групповые политики доступа, мастер публикации OWA (Outlook Web Access, Web-доступ с помощью Outlook) и безопасные Web-публикации, поддержка FTP (File Transfer Protocol, про токол передачи файлов), правила кэширования, средство контроля сообщений SMTP (Simple Mail Transfer Protocol, простой протокол электронной почты), улучшенные механизмы ведения журналов и создания отчетов, а также усовершенствованный графический интерфейс.

Кроме того мы подробно рассмотрим многочисленные новые функции ISA Server 2004, в том числе возможность работы с несколькими сетями, изолирование VPN подключений и другие новые функции, имеющие отношение КVPN, группам пользо вателей брандмауэра, настраиваемые определения протоколов и расширенная под держка протоколов, делегирование базовой проверки подлинности, поддержка проверки подлинности SecurlD для клиентов Web-прокси, формы, созданные бранд мауэром (проверка подлинности на основе форм), публикация серверов с помо щью протокола поддержки туннельного режима РРТР (Point-to-Point Tunneling Protocol, сквозной туннельный протокол), использование протокола SSL (Secure Sockets Layer, протокол защищенных сокетов) для VPN-подключения к службам Эволюция брандмауэра: от Proxy 1.0 до ISA терминалов, принудительное шифрование для обеспечения безопасности Exchange RPC (Remote Procedure Call, удаленный вызов процедуры) соединений, улучшенная фильтрация протокола ШТР, преобразование ссылок и новые функции мониторинга и отчетности.

Глава 3. Рейтинг брандмауэров и место в нем ISA Server По многочисленным просьбам читателей мы уделим целую главу обсуждению рынка брандмауэров 2004 и того, как выдерживает конкуренцию ISA Server 2004, рассмот рим современный рынок брандмауэров и серверов кэширования и используем различные критерии сравнения, в том числе:

процедуры лицензирования, начальные расходы и полную себестоимость ра боты программного продукта (административный персонал, контакты со службой поддержки, покупка дополнительных возможностей и устройств и расходы по обновлению программного обеспечения);

спецификации;

функции брандмауэра и IDS/IDP;

VPN функции;

функции по Web-кэшированию;

сертификация.

Мы рассмотрим, как в различных брандмауэрах реализованы фильтрация пото ков данных приложений, аппаратные и системные требования, VPN функции, воз можности и вопросы лицензирования клиентов, возможности взаимодействия с другими программными продуктами и интеграции с другими сетевыми компонен тами, например с Exchange, SharePoint, Active Directory, с операционными система ми сторонних разработчиков, а также интерфейс и простоту их использования.

Мы сравним ISA Server 2004 со следующими наиболее популярными брандмау эрами и/или средствами кэширования:

программный продукт Checkpoint NG и устройства от Nokia (которые работа ют с Checkpoint);

брандмауэр Cisco PIX / устройства VPN;

NetScreen / брандмауэр Juniper Networks / устройства VPN;

брандмауэр SonicWall / устройства VPN;

брандмауэр Symantec / устройства и программное обеспечение VPN;

брандмауэр Watchguard / устройства VPN;

свободно распространяемое программное обеспечение брандмауэра на осно ве Linux;

брандмауэр BlueCoat / VPN / устройства кэширования;

продукты для кэширования от Novell Volera;

свободно распространяемое программное обеспечение для кэширования от Squid.

6 ГЛАВА 1_ Мы рассмотрим сильные и слабые стороны каждого из этих продуктов по срав нению с ISA Server 2004 и также обсудим, как можно эффективно использовать ISA Server 2004 вместе с брандмауэрами сторонних разработчиков, чтобы обеспечить многоуровневую безопасность как по внутреннему, так и по внешнему периметру сети.

Глава 4. Конфигурация сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры Одна из наиболее распространенных проблем, с которыми приходилось сталки ваться при поиске неисправностей в работе ISA Server 2000, — недостаток соответ ствующей поддерживающей инфраструктуры. Мы предвидим, что схожие пробле мы возникнут и при работе с ISA Server 2004, если до установки брандмауэра ISA Server 2004 на компьютере не будет обеспечена соответствующая поддерживающая сетевая инфраструктура.

В этой главе мы обсудим ряд основных вопросов, связанных с сетевой инфра структурой:

понятие сетевой модели ISA Server 2004;

настройка таблицы маршрутизации на брандмауэре ISA Server 2004;

поддержка протокола DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста) для брандмауэра и клиентов ISA Server 2004;

я поддержка службы WINS (Windows Internet Naming Service, служба имен Интер нета для Windows) для брандмауэра и клиентов ISA Server 2004;

поддержка службы DNS (Domain Name System, служба имен доменов) для бранд мауэра и клиентов ISA Server 2004;

поддержка службы встроенного пространства имен RADIUS (Remote Authenti cation Dial-In User Service, служба аутентификации удаленного дозванивающе гося пользователя) для брандмауэра и клиентов ISA Server 2004;

поддержка служб сертификации для брандмауэра и клиентов ISA Server 2004.

В этой главе мы рассмотрим каждый из сетевых сервисов, обеспечивающих поддержку брандмауэра ISA Server 2004 и хостов, подключающихся через бранд мауэр ISA Server 2004. Кроме того, мы обсудим понятия сетей, сетевых конфигура ций, сетевых отношений и контроля доступа между сетями с точки зрения ISA Server 2004. Мы также рассмотрим конфигурацию «сеть внутри сети», способы разреше ния возникающих в такой конфигурации проблем с помощью ISA Server 2004 и на стройки внутреннего сетевого маршрутизатора.

Глава 5. Типы клиентов ISA Server 2004 и автоматизация настройки клиентов В этой главе рассматриваются три типа сетевых клиентов ISA 2004:

клиент SecureNAT;

клиент брандмауэра;

клиент Web-прокси.

Эволюция брандмауэра: от Proxy 1.0 до ISA Эти типы клиентов работают по-разному, позволяя клиентскому компьютеру получить доступ к Интернету или другой внешней сети через сервер ISA. Мы под робно объясним механизм работы всех типов клиентов. У каждого из них есть свои преимущества и недостатки, а выбор «лучшего» клиента зависит от ряда факторов, включая операционную систему клиента, протоколы, к которым должен иметь доступ клиентский компьютер, а также нужно ли (и позволяют ли политики или обстоя тельства) установить дополнительное программное обеспечение на клиентские компьютеры. Мы предоставим вам необходимую информацию для принятия пра вильного решения о том, какой тип клиента должен использоваться в конкретной ситуации.

Затем мы представим вам пошаговые инструкции по настройке каждого типа клиентов и дадим конкретные рекомендации для каждого типа. Мы рассмотрим общие проблемы, возникающие при работе с различными типами клиентов, напри мер вопросы разрешения имен и проблемы петель (loopback) с помощью ISA сер вера, применяя расщепленную инфраструктуру DNS.

Поскольку ручная установка и конфигурирование большого числа клиентов в рамках предприятия может стать утомительным занятием, мы также приводим ин струкции по автоматизации процесса инициализации клиента, чтобы снизить рас ходы на администрирование. В этом разделе мы рассмотрим различные способы автоматизации конфигурирования клиентов Web-прокси и брандмауэров, включая:

конфигурирование серверов DHCP для поддержки авто обнаружения клиентов Web-прокси и брандмауэров;

конфигурирование серверов DNS для поддержки автообнаружения клиентов Web прокси и брандмауэров;

автоматизация настройки клиента Web-прокси с групповой политикой;

автоматизация настройки клиента Web-прокси с помощью инструмента IEAK (Internet Explorer Administration Kit, набор администрирования Internet Explorer).

Вы узнаете, как автоматизировать процесс установки программного обеспече ния для клиента брандмауэра при помощи установки и управления программным обеспечением, основанным на групповой политике, или путем создания и приме нения сценария установки по умолчанию. Мы также обсудим использование сер вера SMS (System Management Server, сервер управления системами) для реализа ции программного обеспечения клиента брандмауэра.

Глава 6. Установка и конфигурирование брандмауэра ISA Эта глава начинается с пошаговых инструкций по установке ISA Server в двух раз личных возможных конфигурациях:

я Установка ISA 2004 на групповом сервере Если ISA Server должна играть роль брандмауэра, выполняя исключительно функции брандмауэра или высту пая в качестве и брандмауэра, и сервера кэширования, то он должен быть уста новлен на компьютере с несколькими сетевыми адаптерами;

8 ГЛАВА Установка ISA 2004 на сервере с одним сетевым адаптером В отличие от ISA 2000, в ISA 2004 больше нет режима установки, при котором задаются только фун кции кэширования, однако при установке программы на сервер с единственным сетевым подключением вы получите тот же самый результат, поскольку сервер с одним сетевым адаптером не может использоваться в качестве брандмауэра ISA Server 2004 работает на компьютерах с установленной операционной сис темой Windows 2000 Server или Windows Server 2003. Мы обсудим некоторые раз личия в функциональности программы в зависимости от используемой операци онной системы и укажем, на какие моменты нужно обратить внимание в процессе установки, чтобы позднее избежать возможных проблем.

Таблицы локальных адресов LAT (Local Address Table), применяемой в ISA Server 2000, больше нет, поэтому можно установить несколько сетевых интерфейсов, чтобы создать несколько внутренних сетей (воспользовавшись новой возможностью ISA Server 2004 по поддержке нескольких сетей), в дополнение к общему или частно му диапазону адресов демилитаризованной зоны (Demilitarized Zone, DMZ). Некая подсеть, отделенная межсетевыми экранами от публичных и/или корпоративных сетей. — Примеч. пер.). В этой главе мы обсудим, как это сделать.

ISA Server 2004 включает набор сетевых шаблонов, облегчающих начинающим администраторам брандмауэра ISA Server 2004 начало работы. Мы изучим такие шаб лоны брандмауэров, как внешний брандмауэр, пограничный брандмауэр, внутрен ний брандмауэр, брандмауэр с тремя интерфейсами и демилитаризованной зоной, брандмауэр с одним интерфейсом, и посмотрим, как они могут помочь админист ратору брандмауэра ISA Server 2004 работать с простыми и сложными сетевыми на стройками. Мы также рассмотрим новый графический пользовательский интерфейс и его использование для выполнения стандартных административных задач.

Мы рассмотрим вопросы модернизации программы: обновление ISA Server до ISA Server 2004, обновление для Microsoft Proxy Server 2.0, которая требует пред варительное обновление до ISA Server 2000 и лишь затем до ISA Server 2004. Здесь же будут рассмотрены различия в установке стандартной и промышленной версии программы.

Наконец, в этой главе содержатся базовые сведения о том, как начать работу с ISA Server 2004, и инструкции по созданию временной свободной политики досту па, которая позволит вам убедиться, что после установки ISA Server работает корректно.

СОВЕТ Вероятнее всего, простота использования ISA Server 2004 в сети предприятия будет обеспечена, если вы предварительно протестируете ра боту программы в смоделированной среде;

это позволит вам определить, как ISA Server 2004 будет взаимодействовать со службами и приложениями вашей сети. Использование программ создания виртуальной среды, такой как Virtual PC или VMWare корпорации Microsoft, является наиболее рента бельным способом моделирования промышленной полнофункциональной сети без необходимости инвестиций в дополнительные аппаратные средства.



Pages:   || 2 | 3 | 4 | 5 |   ...   | 30 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.