авторефераты диссертаций БЕСПЛАТНАЯ БИБЛИОТЕКА РОССИИ

КОНФЕРЕНЦИИ, КНИГИ, ПОСОБИЯ, НАУЧНЫЕ ИЗДАНИЯ

<< ГЛАВНАЯ
АГРОИНЖЕНЕРИЯ
АСТРОНОМИЯ
БЕЗОПАСНОСТЬ
БИОЛОГИЯ
ЗЕМЛЯ
ИНФОРМАТИКА
ИСКУССТВОВЕДЕНИЕ
ИСТОРИЯ
КУЛЬТУРОЛОГИЯ
МАШИНОСТРОЕНИЕ
МЕДИЦИНА
МЕТАЛЛУРГИЯ
МЕХАНИКА
ПЕДАГОГИКА
ПОЛИТИКА
ПРИБОРОСТРОЕНИЕ
ПРОДОВОЛЬСТВИЕ
ПСИХОЛОГИЯ
РАДИОТЕХНИКА
СЕЛЬСКОЕ ХОЗЯЙСТВО
СОЦИОЛОГИЯ
СТРОИТЕЛЬСТВО
ТЕХНИЧЕСКИЕ НАУКИ
ТРАНСПОРТ
ФАРМАЦЕВТИКА
ФИЗИКА
ФИЗИОЛОГИЯ
ФИЛОЛОГИЯ
ФИЛОСОФИЯ
ХИМИЯ
ЭКОНОМИКА
ЭЛЕКТРОТЕХНИКА
ЭНЕРГЕТИКА
ЮРИСПРУДЕНЦИЯ
ЯЗЫКОЗНАНИЕ
РАЗНОЕ
КОНТАКТЫ


Pages:     | 1 |   ...   | 7 | 8 || 10 | 11 |   ...   | 30 |

«Dr.Tom Shinder's Configuring ISA Server 2004 Dr. Thomas W. Shinder Debra Littlejohn Shinder SYNGRESS ...»

-- [ Страница 9 ] --

Теперь, хорошо разобравшись в разнообразных уровнях защиты, мы видим, что слова: «Я не успокоюсь, пока не установлю брандмауэр ISA под защиту фильтра Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры пакетов на базе аппаратного обеспечения» означают то же самое, что и фраза:

«Я не успокоюсь, пока не защищу свою межконтинентальную баллистическую ра кету с помощью пуделя».

Обратите внимание на то, что для небольших сетей, в которых имеется лишь одно кольцо, а именно кольцо на границе с Интернетом, все рассуждения, приве денные ранее, являются спорными. Вместо размещения традиционного брандмау эра с фильтрацией пакетов перед брандмауэром ISA в сети с одним периметром, лучше приобрести два брандмауэра ISA или два сложных брандмауэра уровня при ложения и поместить брандмауэр ISA позади другого брандмауэра уровня прило жения. Так брандмауэр ISA сможет реализовать необходимый высокий уровень пользовательской/групповой безопасности.

Заблуждения, связанные с брандмауэром ISA Администраторам брандмауэра ISA приходится сталкиваться с неверными представ лениями и заблуждениями, связанными с брандмауэром ISA, и проводить обучение коллег и менеджеров. Далее перечислены основные заблуждения, связанные с бранд мауэром ISA.

Брандмауэры на базе программного обеспечения в сущности своей слабые.

Обеспечение безопасности сети можно доверить только брандмауэрам на базе аппаратного обеспечения.

Невозможно доверять безопасности любой службы, работающей на базе опе рационной системы Windows. Невозможно обеспечить безопасность брандма уэра, работающего на базе операционной системы Windows.

Компьютеры с установленным ISA Server могут стать хорошими прокси-серве рами, но для защиты сети нужен настоящий брандмауэр.

Брандмауэры ISA работают на аппаратной платформе Intel, и только те бранд мауэры, все компоненты которых «неподвижны», могут быть надежными бранд мауэрами. У брандмауэра не должно быть съемных частей.

«У меня есть брандмауэр и есть ISA Server».

Настоящий брандмауэр невероятно трудно конфигурировать, в идеале в нем должен использоваться интерфейс командной строки, что делает брандмауэр доступным только для специально обученного персонала.

Рассмотрим все эти заблуждения.

Брандмауэры на базе программного обеспечения в сущности своей слабые Администраторам брандмауэра ISA приходится встречаться с теми, кто:

не знает, что представляет из себя брандмауэр ISA;

250 ГЛАВА думает, что это какой-то сервер кэширования, похожий на сервер кэширования производства бывшей компании CacheFlow (которая была куплена компанией Bluecoat) или Squid;

полагает, что неуязвимы только брандмауэры на базе аппаратного обеспечения, а так называемые программные брандмауэры не подходят для использования по периметру.

Обучение тех, кто никогда не слышал о брандмауэре ISA, может стать очень приятным занятием. Им нужно рассказать о том, что брандмауэр ISA обеспечивает жесткий контроль входящего и исходящего доступа так, как это в настоящее вре мя не делает ни один другой брандмауэр на рынке, как он блокирует программы совместного использования файлов, как он предотвращает нарушение политик сетевой безопасности со стороны злоумышленников (например, скачивание мате риалов, охраняемых авторским правом), как брандмауэр ISA обеспечивает наилуч шую защиту для служб Microsoft Exchange, включая OWA и MAPI/RPC, и что этот брандмауэр настолько просто настраивать, что остальные брандмауэры промыш ленного класса на рынке просто не выдерживают конкуренции.

Встречаются администраторы сетей и брандмауэров, которые слышали о бранд мауэре ISA, но имеют неправильное представление, состоящее в том, что «ISA пред ставляет собой нечто вроде Web-прокси или сервера кэширования» (со слов спе циалиста по брандмауэрам, которого я как-то встретил на конференции, посвящен ной безопасности).

Брандмауэры ISA являются настоящими брандмауэрами промышленного уров ня, которые обеспечивают жесткий контроль входящего и исходящего доступа и фильтрацию на уровне приложения, которая необходима для защиты современных сетей, а не сетей в 1990-х гг., когда вполне хватало традиционных брандмауэров с фильтрацией пакетов.

Сложнее всего переубедить тех, кто считает, что только брандмауэры на базе аппаратного обеспечения могут обеспечить надлежащий уровень защиты. Годами им говорили о том, что брандмауэры на базе аппаратного обеспечения (на базе ASIC) представляют собой пик развития брандмауэров и что любой брандмауэр на базе программного обеспечения (не на базе ASIC) правильнее назвать «прокси». Удиви тельно, как они согласуют свои убеждения с тем фактом, что первое место по про дажам занимает брандмауэр Checkpoint на базе программного обеспечения.

Такое представление о брандмауэрах на базе аппаратного обеспечения имеет историческое обоснование. В 1990-х гг. брандмауэры на базе аппаратного обеспе чения могли обеспечить достаточный уровень защиты и производительности, ис пользуя простые механизмы фильтрации пакетов, которые изучают адрес источ ника и назначения, порты и протоколы и быстро принимают решения. Поскольку логика фильтрации встроена в ASIC, взломать такую базовую систему не просто.

Однако взломщики двадцать первого века поняли, что совсем не обязательно взла Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры мывать набор инструкций брандмауэра с фильтрацией пакетов для того, чтобы обойти сравнительно слабую защиту, которую обеспечивают системы на базе ап паратного обеспечения с фильтрацией с отслеживанием состояния соединений.

Прекрасную статью, развенчивающую миф о превосходстве ASIC, вы можете прочитать по адресу: http://www.issadvisor.com/viewtopic.php?t=368. Автор приво дит доводы в пользу отказа от применения брандмауэров на базе аппаратного обес печения, потому что они никогда не смогут соответствовать современному уров ню угрозы и потому что брандмауэры на базе программного обеспечения являют ся будущим сетевых брандмауэров и защиты периметра. Большое преимущество брандмауэра ISA состоит в том, что его можно быстро обновить и расширить так, чтобы он мог справиться не только с современными угрозами, но и с атаками, за щита от которых обязательно потребуется в будущем.

Невозможно доверять безопасности любой службы, которая работает на базе операционной системы Windows Это распространенная тема для дискуссий среди сторонников брандмауэров на базе аппаратного обеспечения. Часто возникает вопрос о том, как можно быть уверен ным в безопасности сети, используя брандмауэры ISA на базе операционной сис темы Windows, хотя необходимо устранение дыр в защите и ошибок в самой опе рационной системе. Это хороший и разумный вопрос. Приведем несколько фак тов, которые нужно учесть, если вы хотите использовать брандмауэр ISA на базе операционной системы Windows:

не все обновления применимы к брандмауэру ISA в качестве сетевого брандма уэра. Многие из этих обновлений рассчитаны на службы. Поскольку клиент ские или серверные службы не запускаются на компьютере с брандмауэром ISA, то большинство из обновлений будет бесполезно;

некоторые из обновлений предназначены для решения проблем, имеющих от ношение к центральным компонентам операционной системы, например RPC (которая подверглась атаке со стороны червя Blaster). Поскольку брандмауэр ISA применяет политику безопасности ко всем интерфейсам, придется задать не кое правило доступа, которое разрешит атакам доступ к брандмауэру. В кон кретном случае с RPC фильтр безопасности RPC блокирует Blaster и связанные с ним атаки. IIS к этому не имеет отношения, потому что службы IIS (за исклю чением, может быть, службы IIS SMTP) не запускаются на брандмауэре. Другие службы становятся доступными, только если открыть все порты на брандмауэр и открыть вход для атак. Правильно сконфигурированный брандмауэр ISA го раздо безопаснее, чем операционная система, на базе которой он работает, потому что сетевой доступ к брандмауэру сильно усечен;

прочие обновления имеют отношение к стабильности. Все производители бранд мауэров регулярно выпускают обновления, а если нет, то их программы уязви мы, даже если они об этом не знают и не признали их уязвимость публично;

252 ГЛАВА некоторые обновления требуют перезапуска системы. Перезапуск можно за планировать на удобное время. Обратите внимание на то, что не нужно уста навливать все обновления, потому что не все (или даже большая часть) имеют отношение к брандмауэру ISA. Число необходимых перезапусков должно быть незначительным;

если не доверять службам, работающим на базе операционной системы Windows, то как можно доверять базовой операционной системе при установке Exchange, SQL, SharePoint и других серверов от Microsoft?

можно усилить защиту операционной системы, на базе которой работает бранд мауэр ISA. В Windows Server 2003 SP1 имеется профиль в мастере SCW (Security Configuration Wizard, мастер настройки безопасности), который позволяет легко автоматически укрепить защиту базовой операционной системы с помощью SCW;

можно усилить защиту базовой операционной системы вручную вместо исполь зования мастера настройки безопасности. Вслед за ISA Server 2004 будет выпу щено руководство по усилению защиты операционной системы. В нем будет по казан процесс усиления защиты базовой операционной системы, который не окажет влияния на службы брандмауэра ISA. Этот вопрос был очень важен при работе с ISA Server 2000, поскольку многие пытались усилить защиту операци онной системы, а это приводило к побочным эффектам, о которых не знали или не планировали.

Хотя вопрос базовой операционной системы является важным фактором, мож но отметить, что базовая операционная система Windows Server 2003 определен но не является важным фактором. Что касается Windows 2000, усиление безопас ности этой базовой операционной системы может иметь большее значение, но все равно невозможно усилить защиту операционной системы до такой степени, что она сможет сравниться с уровнем безопасности, обеспечиваемым любым аппарат ным брандмауэром.

Из брандмауэров ISA получаются хорошие прокси-серверы, но для защиты сети нужен «настоящий брандмауэр»

Брандмауэр ISA фактически является брандмауэром с фильтрацией с отслеживанием соединений и прокси-брандмауэром. Подобные брандмауэры смешанного типа являются наиболее сложными и безопасными брандмауэрами в настоящее время.

Типичный брандмауэр с фильтрацией пакетов использует очень простой меха низм контроля входящего и исходящего доступа: порт источника и адресата, IP адрес источника и назначения, а для ICMP — IP-адрес источника и назначения, а также тип и код ICMP. Фильтры пакетов могут быть созданы для каждого входяще го и исходящего соединения. Более сложные фильтры пакетов могут динамически открывать отвечающие порты. Брандмауэры ISA способны динамически открывать порты с помощью функции динамической фильтрации пакетов.

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры Брандмауэр уровня канала передачи данных (уровень 2 модели OSI) схож с так называемыми «брандмауэрами с отслеживанием соединений». Следует отметить, что термин «с отслеживанием соединений» может означать все, что угодно. Впервые он был использован в маркетинговых целях, а большинство подобных терминов было предназначено для того, чтобы продавать продукцию, а не для того, чтобы оценить или определить конкретную функцию или способ действия продукта.

Однако большинство считает, что фильтрация (в отличие от проверки) с отсле живанием соединений является механизмом, при котором фильтр с отслеживани ем соединений отслеживает состояние соединения на транспортном уровне (уро вень 4 модели OSI). Протокол TCP может определять состояние соединения, а про токол UDP не может. Поэтому соединения по протоколу UDP должны иметь «псев досостояния», которые необходимы для фильтрующего устройства с отслеживанием соединений. Фильтрация с отслеживанием соединений также полезна при защите от ряда атак уровня, находящегося под уровнем приложения, например атак на сеансовом уровне.

Большинство брандмауэров на базе аппаратного обеспечения на этом и оста навливается. Они могут выполнять простую фильтрацию пакетов, динамическую фильтрацию пакетов и фильтрацию пакетов с отслеживанием соединений (филь трацию с отслеживанием состояния соединений). Эти брандмауэры также часто об ладают современными функциями маршрутизации, из-за наличия которых они ско рее относятся к категории сетевых маршрутизаторов, а не современных брандма уэров. Функции маршрутизации брандмауэров ISA, напротив, не столь впечатляю щи, как в традиционных брандмауэрах, основанных на фильтрации пакетов.

Как уже говорилось ранее, брандмауэр с фильтрацией пакетов является полезным на кольце 1 границы с Интернетом из-за его скорости обработки. Основная проблема этих брандмауэров состоит в том, что в действительности они не могут обеспечить уровень безопасности, необходимый для остановки проникновения на кольца 2 и 3, где должен выполняться тщательный контроль на уровне приложения.

Именно здесь в игру вступают прокси-брандмауэры. Прокси-брандмауэр спо собен проверить все содержимое соединения на уровне приложения, деконструи ровав и реконструировав все сообщение на уровне приложения. Например, про кси-брандмауэр реконструирует все HTTP-сообщение, изучает команды и данные, содержащиеся в нем, проверяет содержимое и сравнивает его с правилами для уровня приложения. Затем прокси-брандмауэр пропускает или блокирует соединение, основываясь на правилах для уровня приложения, заданных для протокола HTTP.

Одна из наиболее распространенных HTTP-атак — это атака на каталог (directory traversal). Многие широко распространенные черви используют возможность пе ремещения по каталогу, чтобы получить доступ к исполняемым файлам на Web сервере. Например, взгляните на такую ссылку: www.iusepixfirewalls.com/scripts/,.%5c../winnt/systm32/cmd.exe?/c+ dir+c\. Она запускает на выполнение файл cmd.exe и запускает команду «dir c:\», которая выдает список всех файлов в каталоге С:\.

254 ГЛАВА Обратите внимание на строку «%5с». Это код смены алфавита Web-сервера, пред ставляющий обычные символы в виде %пп, где пп — элемент из двух символов. Код смены алфавита «%5с» представляет символ «\». Ускоритель корневого каталога IIS, возможно, не будет производить проверку на наличие кодов смены алфавита и выполнит запрос. Операционная система Web-сервера понимает коды смены ал фавита и выполнит команду.

Коды смены алфавита также помогают обходить слабые фильтры входящего трафика. Если фильтр осуществляет поиск строки символов «../• (точка, точка, слэш), то злоумышленник мог просто изменить ввод на «%2е%2е/». Эта строка символов имеет то же значение, что и «../», но фильтр ее не обнаружит. Код смены алфавита %2е представляет символ «.» (точка). Брандмауэр ISA, будучи сложным брандмауэ ром с отслеживанием соединений, работающим на уровне приложения, легко бло кирует такие атаки.

Прокси-брандмауэры могут блокировать атаки любого протокола уровня при ложения: SMTP, NNTP, протоколы обмена сообщениями IMP, POP3, IMAP4 и др. Слож ные брандмауэры ISA Server 2004, сочетающие в себе фильтрацию и проверку с отслеживанием соединений на уровне приложения, можно легко модернизировать с помощью программных средств так, чтобы они могли блокировать самые новые типы атак на уровне приложения. Брандмауэры, основанные на фильтрации паке тов, напротив, совершенно не распознают атаки на уровне приложения, и даже аппаратные брандмауэры с начатками контроля уровня приложения невозможно быстро модернизировать, чтобы они могли отражать современные атаки на уров не приложения, что объясняется ограниченностью развития и возможностей по обработки данных ASIC (аппаратного обеспечения).

Брандмауэры ISA работают на аппаратной платформе Intel, а в брандмауэрах не должно быть «съемных частей»

Почему у брандмауэра не должно быть съемных частей, в то время как наши сер веры Exchange, SQL, FTP, Web-сервер и любой сервис для решения критически важных задач прекрасно работают, имея съемные части? Приведем несколько преимуществ использования платформы Intel для брандмауэров:

когда из строя выходит модуль памяти, процессор или сетевая карта, ее можно заменить на аналогичный продукт по цене комплектующих. Для этого не нуж но возвращаться к производителю исходного аппаратного обеспечения и пла тить ему огромные суммы за то, чтобы получить оригинальное устройство;

чтобы модернизировать память, процессор, устройство хранения, сетевую кар ту или любой другой компонент, можно взять подходящие комплектующие и установить на компьютер. Не нужно идти к производителю исходного аппарат ного обеспечения, чтобы получить модернизированные версии комплектующих по завышенным ценам;

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры поскольку программное обеспечение ISA Server 2004 устанавливается на жест ком диске, то нет ограничений объема памяти и запоминающего устройства, которые есть для монолитных аппаратных устройств. Можно установить стан дартные фильтры для уровня приложения, увеличить размер кэша, отрегулиро вать производительность и настройки безопасности и выполнить настройку, необходимую для конкретной сетевой среды;

вопрос о «съемных частях» относится главным образом к жестким дискам. По казатели MTBF (Mean Time Beetween Failures, среднее время наработки на от каз) для жесткого диска теперь ушли в прошлое. Даже диски IDE (Integrated Device Electronics, встроенный интерфейс устройств) обеспечивают бесперебойную работу до трех с лишним лет при условии нормальной эксплуатации. А когда диск выходит из строя, конфигурацию брандмауэра ISA Server 2004 легко вос становить, потому что вся конфигурация хранится в простом файле XML. Мож но создать резервную копию этого файла, и через 15 минут брандмауэр будет работать и восстанавливать утерянные настройки. Сравните это с вышедшей из строя памятью аппаратного устройства, которое потребует возврата всего уст ройства производителю.

Вопрос восстановления после отказа, наверное, является наиболее веской при чиной в пользу применения программных брандмауэров. Отдельный брандмауэр ISA или целый массив из десяти брандмауэров ISA можно восстановить за несколько минут, при этом не нужно заменять весь блок или обращаться к производителю за недостающим аппаратным обеспечением. А если используются съемные диски, то весь массив можно восстановить меньше чем за 30 минут!

У меня есть брандмауэр и есть ISA Server «У меня есть брандмауэр, и я хочу установить под его защиту ISA Server. Как мне это сделать?» Такое высказывание принадлежит пользователям ISA Server, поэтому ясно, что в нем нет намерения очернить брандмауэр ISA. Напротив, это означает, что даже сами администраторы брандмауэра ISA не понимают, что брандмауэры ISA являют ся брандмауэрами для их сети, и что устройства фильтрации пакетов с отслежива нием соединений, которые они ставят перед брандмауэрами ISA, обычно выполня ют базовую фильтрацию пакетов, которая помогает разгрузить процессор.

Справедливости ради мы должны признать, что не все используют ISA Server в качестве брандмауэра. Да, имеется возможность установить брандмауэр ISA в ре жиме одной сетевой карты, что можно сравнить с режимом «только кэширования», который был предусмотрен для ISA Server 2000. Однако в режиме с одной сетевой картой функциональные возможности брандмауэра ISA будут сильно ограничены.

Большая часть функциональности брандмауэра не будет использована, и компью тер будет выполнять лишь функции Web-прокси.

256 ГЛАВА Это не означает, что брандмауэр ISA в режиме с одной сетевой картой не мо жет обеспечить защиту. Задействованными остаются достаточно функций бранд мауэра, чтобы брандмауэр ISA мог обеспечить собственную защиту и защиту со единений через Web-прокси, осуществляемых через брандмауэр ISA в режиме с одной сетевой картой. Брандмауэр ISA в режиме с одной сетевой картой разрешает толь ко те соединения с самим собой, которые заданы в системной политике брандма уэра. Он разрешает только те соединения с корпоративной сетью, которые разре шены в правилах Web-публикаций, а единственные разрешенные исходящие соеди нения, которые могут быть выполнены через брандмауэр ISA в режиме с одной сетевой картой, — это те соединения, которые разрешены через список правил доступа для соединений по протоколам HTTP/HTTPS.

Хотелось бы, чтобы все организации использовали брандмауэр ISA Server по назначению, а именно как полнофункциональный брандмауэр с фильтрацией пакетов и проверкой данных уровня приложения с отслеживанием соединений, но понятно, что крупные организации, возможно, потратили миллионы долларов на покупку других брандмауэров. Эти организации все же хотят воспользоваться пре имуществами прокси-компонентов, предоставляемых брандмауэром ISA для обес печения лучшей защиты служб OWA, ОМА, ActiveSync и IIS. Поэтому важно обра тить внимание на то, что брандмауэр ISA Server 2004, даже в урезанном режиме работы с одной сетевой картой, обеспечивает высокий уровень защиты для пря мых и обратных прокси-соединений.

Почему брандмауэр ISA нужно размещать перед ценными ресурсами Причины размещения брандмауэра ISA перед самыми ценными сетевыми ресурсами.

Брандмауэры ISA работают на базе стандартного аппаратного обеспечения, что позволяет контролировать расходы и дает возможность обновлять аппаратное обеспечение с помощью стандартных комплектующих, когда это необходимо.

Для брандмауэров на базе программного обеспечения можно быстро обновить конфигурацию с помощью специального программного обеспечения для работы на уровне приложения от Microsoft и сторонних производителей.

Для брандмауэров на базе программного обеспечения можно быстро заменить вышедшие из строя компоненты, при этом не требуется возвращать весь бранд мауэр производителю и не придется держать наготове резервы.

Брандмауэры ISA должны размещаться позади высокоскоростных брандмауэров с фильтрацией пакетов. Это важно для сетей, где существует многогигабитный Интернет-трафик. Брандмауэры с фильтрацией пакетов снижают общий объем трафика, который приходится обрабатывать каждому внутреннему брандмауэ ру ISA. Это уменьшает общую величину рабочей нагрузки на брандмауэры ISA и позволяет им выполнять настоящую проверку на уровне приложения с отсле живанием состояния соединений, необходимую для защиты ресурсов вашей сети.

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры Хотя брандмауэр ISA не может соответствовать возможностям традиционных аппаратных брандмауэров на базе ASIC по фильтрации пакетов, он обеспечи вает гораздо более высокий уровень функциональных возможностей брандма уэра с помощью своих функций фильтрации пакетов с отслеживанием соеди нений и проверки на уровне приложения с отслеживанием соединений.

Брандмауэр ISA способен выполнять проверку подлинности всех соединений, проходящих через брандмауэр. Это является аргументом в пользу того, чтобы размещать брандмауэр непосредственно перед сетью с корпоративным имуще ством. В идеале один брандмауэр ISA, не выполняющий проверку подлинности, размещается перед другим брандмауэром ISA, выполняющим проверку подлин ности, так, чтобы сложная проверка и фильтрация пакетов с отслеживанием соединений на уровне приложения выполнялась до того, как эти соединения попадут на брандмауэры ISA, выполняющие проверку подлинности.

Улучшенная топология сети и брандмауэра Итак, миф о том, что брандмауэры на базе аппаратного обеспечения являются бо лее безопасными, чем брандмауэр ISA, развеян.

Место размещения брандмауэра ISA зависит от размера сети и количества ко лец или зон безопасности, которые нужно защитить. Если сеть большая, то лучше всего подходит обсуждавшаяся ранее схема, основанная на четырех кольцах, при чем основная сеть и сеть с корпоративным имуществом будут под защитой бранд мауэров ISA. Брандмауэр ISA на границе с основной сетью настраивается на выпол нение полной фильтрации и проверки на уровне приложения с отслеживанием соединений, при этом он не контролирует исходящий доступ, а брандмауэры ISA на границе сети с корпоративным имуществом обеспечивают фильтрацию и про верку на уровне приложения с отслеживанием соединений, а также контроль вхо дящего и исходящего пользовательского/группового доступа.

На рис. 4.5 представлена конфигурация основной сети и сети с корпоративным имуществом.

В более простых сетевых конфигурациях, не имеющих нескольких колец или много гигабитных сетевых подключений, нет необходимости в размещении быст-.

рого брандмауэра с фильтрацией пакетов на границе с Интернетом.

Однако необходимо разместить доступные извне службы или сегмент DMZ (де милитаризованная зона, фрагмент сети, расположенный между LAN и Интернетом) между границей с Интернетом и сетью с корпоративным имуществом. Это и будет сегмент DMZ (см. рис. 4.6). Можно разместить брандмауэр ISA на границе с Интер нетом и быть уверенными в более высоком уровне защиты и контроля доступа по сравнению с обеспечиваемым обычным брандмауэром с фильтрацией пакетов. Кроме того, можно настроить внутренний брандмауэр ISA для осуществления жесткого контроля входящего и исходящего пользовательского/группового доступа.

258 ГЛАВА Брандмауэр ISA Server 2004 обеспечивает защиту НА границе с основной сетью и на грткш (яти с корпоративным имуществом Рис. 4.5. Основная сеть и сеть с корпоративным имуществом Рис. 4.6. Сегмент DMZ Для самой простой конфигурации требуется только один брандмауэр, располо женный на границе с Интернетом. Брандмауэр ISA в этом случае обеспечит сети гораздо более высокий уровень защиты и безопасности, чем простой высокоско ростной брандмауэр с фильтрацией пакетов.

Конфигурирование сетей в среде ISA Server 2004 и подготовка сет План конфигурирования сети с ISA S в концепции Тома и Деб Шиндеров Каждый из приведенных примеров конфигурации брандмау^ модель сети, созданную специально для этой книги. Эту конфш создать в лабораторных условиях: лабораторная сеть может со теров или же можно использовать программное обеспечение ви. рационной системы. Два наиболее популярных приложения визуал* ционной системы — это Microsoft Virtual PC и VMware Workstation. В да. чае использовалось приложение VMware, потому что оно имеет улучшенные *. вые функции. Однако Microsoft Virtual PC или Virtual Server также вполне подходят для большинства сценариев тестирования брандмауэра ISA.

На рис. 4.7 изображены компьютеры и некоторые части компьютеров в лабо раторной сети, используемой в качестве модели в данной книге.

Сервер Exchange Рис. 4.7. Лабораторная сеть В табл. 43 и 4.4 представлены наиболее важные характеристики компьютеров, входящих в лабораторную сеть.

сеть CLIENT EXCHANGE ISALOCAL EXTCLIENT 2003FE 10.0.0.3 172.16.0.2 Int: 10.0.0.1 192.168.1. Ext: 192.1 68.1. Dmz: 172.16.0. 10.0.0.1 172.16.0.1 192.168.1.60 He определено Л Ю.0.0.2 10.0.0.2 10.0.0.2 Int: 10.0.0.2 He определено Ext: не определено Dmz: не определено WINS 10.0.1.2 10.0.0.2 10.0.0.2 Int: 10.0.0.2 He определено Ext: не определено Dmz;

не определено ОС Windows Windows Windows Windows Server 2003 Windows XP Server 2003 XP Server Службы DS (msfirewall Exchange Нет Her ISA org)5, DNS, WINS, DHCP, RADIUS, Enterprise CA Распреде- 128 Мб 128 Мб 128 Мб 128 Мб 64 Мб ление ОЗУ VMNet2 2 2 4 Int: 2 He определено Ext: Dmz: Лабораторна сеть Табл. 4.4.

я Настройка OSL REMOTEISA EXTERNAL WEB ROUTER SERVER CLIENT 192.168.1.24* IP-адрес Int: 192.168.1.60 Int: 10.0.1.1 172.16.1.2 10.0.1. Ext: Public Ext: 192.168.1. Шлюз no Public Gateway 192.168.1.60 172.16.1.1 10.0.1.1 He определено умолчанию Общего пользо- Общего поль- He определено He He определено DNS зования вания (public) лено WINS He определено He определено He определено He He определено лено ОС He определено Windows Windows Windows Windows Server 2003 Server 2003 XP Службы He определено ISA 2004 SMTP, WWW, He SMTP, WWW, NNTP,FTP лено NNTP, FTP Распреде- He определено 128 Мб 64 Мб 128 Мб 64 Мб ление ОЗУ Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры Табл. 4.4. (окончание) Настройк REMOTEISA DSL BRANCHWEB REMOTE EXTERNAL а ROUTER SERVER CLIENT WEB VMNet Не определено 5 He определено Int: Ext: Dmz: Распределение оперативной памяти — это объем памяти хоста, выделенный для виртуаль ной машины. Если виртуальные машины не используются, то можно использовать объем па мяти, предлагаемый каждой операционной системой.

;

VMNet — это VMware-сегмент виртуальной Ethernet, к которому подключен интерфейс вир туальной машины. Если у виртуальной машины имеется более одного интерфейса, то при водится VMNet для каждого интерфейса.

Сервер EXTERNALWEB — это Web-сервер в лабораторной сети.

" Брандмауэр ISA REMOTEISA использует DNS-сервер общего пользования, так что брандмауэр ISA может разрешать общедоступные имена хостов.

Имя домена Active Directory, используемое во внутренней сети, — msfirewall.org. Расщепленная DNS-конфигурация моделируется так, что хосты внутренней и внешней сети могут устанав ливать соединение с ресурсами с помощью одного и того же имени домена Active Directory.

Эта конфигурация лабораторной сети является основой для упражнений и при меров, приведенных в данной книге. При создании такой же сети на всех физи ческих компьютерах можно не обращать внимания на распределение памяти, при веденное в табл. 4.3 и 4.4. Эти распределения памяти использовались в сети VMware в лабораторных условиях для того, чтобы можно было одновременно поддержи вать работу до семи виртуальных машин на базе операционной системы хоста. Хотя производительность виртуальных машин была ниже, когда на базе компьютера с процессором Pentium IV (1,5 ГГц и 1 Гб памяти) работали более четырех виртуаль ных машин, но ее было вполне достаточно для проведения тестирования.

Лабораторные хосты были размещены в различных виртуальных сетях VMnet так, чтобы сети были полностью сегментированы. Каждая сеть VMnet представля ет собой отдельный широковещательный домен Ethernet. Это позволяет модели ровать реальный сетевой обмен сообщениями, как будто он происходит в кабель ной сети, и упрощает анализ системных журналов и службы мониторинга сети. Для тестирования сценариев конфигурации брандмауэра ISA рекомендуется размещать каждый сетевой идентификатор (ID) в отдельной VMnet.

Обратите внимание, что не для всех сценариев нужны все машины. Для любого конкретного сценария, представленного в данной книге, требуется только подмно жество машин, описанных в табл. 4.3 и 4.4 и представленных на рис. 4.7. Также не нужно создавать виртуальную машину для каждого хоста, представленного в таб лицах. Например, машина с Windows XP может выступать в роли CLIENT, EXTER NALCLIENT и REMOTECLIENT. Единственное, что нужно сделать, — это сменить имя машины, IP-адрес и VMnet на виртуальной машине.

262 ГЛАВА Одно большое преимущество использования виртуальных машин перед физичес кими устройствами состоит в том, что можно создавать копии базовой конфигура ции для каждого хоста в виртуальной лаборатории брандмауэра ISA. Можно сохра нить копию каждой виртуальной машины сразу после задания базовой конфигура ции и вернуться к ней после завершения тестирования определенного сценария.

Подробные инструкции настройки отдельных машин в лабораторной сети в дан ной книге не представлены, однако подробно рассмотрена процедура создания вирту альной машины для компьютера ISALOCAL с помощью VMware Workstation 4.0. После рассмотрения этого примера станет ясно, как использовать VMware для создания ос тальных виртуальных машин для данной модели виртуальной сети с брандмауэром ISA ПРИМЕЧАНИЕ Решение использовать VMware основано на богатом опы те работы с этим продуктом с тех пор, как он был представлен широкой публике. В данной книге не ставится цели произвести на читателя впечат ление, как будто VMware в чем-то превосходит Virtual PC в качестве сред ства создания виртуальной среды операционной системы. Корпорация Microsoft широко использует Virtual PC при тестировании продуктов и про ведении тренингов. При тестировании брандмауэра ISA на платформе Virtual PC было отмечено, что производительность виртуальной машины была немного лучше. Однако VMware обеспечивает лучшую поддержку сетевых сценариев, которые обычно воспроизводятся в лабораторных условиях, поэтому для тестирования сценариев брандмауэров она подходит немного лучше. Более подробную информацию о Virtual PC можно получить на сайте:

www. microsoft. com/windows/virtualpc/cfefault.mspx.

Создание виртуальной машины ISALOCAL Сначала необходимо приобрести программное обеспечение VMware Workstation, предварительно загрузив и протестировав его оценочную версию. На сайте http:// www.vmware.com/download/ дана ссылка для загрузки этой программы, на сайте http://www.vmware.com/support/ws45/doc/ можно ознакомиться с системными требованиями, которым должен удовлетворять компьютер.

После загрузки файла, запустите установочный файл VMware Workstation. Пос ле завершения установки нужно перезагрузить компьютер, Виртуальная машина ISALOCAL работает с программным обеспечением бранд мауэра ISA на базе ОС Windows Server 2003, которое можно установить с дисково да для компакт-дисков, подключенного к операционной системе хоста или исполь зовать образ файла CD («образ iso». Эти образы iso широко используются на сайте загрузок MSDN (Microsoft Developer Network, собрание документов компании Micro soft, содержащее сведения обо всех ее разработках). Если имеется только копия Windows Server 2003 на компакт-диске, то можно создать файл с расширением «.iso»

с компакт-диска, Это существенно упростит создание виртуальных машин с помо Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры щью VMware Workstation, поскольку файл с расширением «iso» можно установить в качестве дисковода для компакт-дисков, и загрузиться с дисковода для компакт дисков iso, чтобы установить Windows Server 2003.

Можно также создать собственные файлы с расширением «iso». Это помогает при работе с виртуальными машинами, потому что iso-файлы можно использовать в качестве виртуальных дисководов для компакт дисков. Например, нужно создать iso файл для компакт-диска ISA 2004. Существует несколько типов программных при ложений, которые позволяют это сделать. Например, можно использовать программу WinlSO, которую можно загрузить на сайте www.winiso.com/.

СОВЕТ Оценочную версию программного обеспечения Windows Server Enterprise Edition можно загрузить на сайте https://microsoft.order-5.com/ windowsserver2003evaldl/. Эта оценочная версия представлена в виде файла iso, который можно использовать в качестве виртуального дисковода для компакт-дисков.

В данном примере используется iso-файл. После того как iso-файл будет запи сан на локальный жесткий диск операционной системы хоста, для создания вир туальной машины ISALOCAL нужно выполнить следующие действия. 1. Откройте приложение VMware. В окне VMware Workstation (Рабочая станция VMware) (рис. 4.8) щелкните значок New Virtual Machine (Новая виртуальная машина).

Рис. 4.8. Окно VMware Workstation (Рабочая станция VMware) 2. Щелкните Next (Следующий) на странице Welcome to the New Virtual Machine Wizard (Вас приветствует мастер создания новой виртуальной машины).

264 ГЛАВА 3. На странице Select the Appropriate Configuration (Выберите подходящую конфигурацию) выберите вариант Custom (Пользовательская). Щелкните Next (Далее).

4. На странице Select a Guest Operating System (Выберите гостевую операцион ную систему) (рис. 4.9) выберите вариант Microsoft Windows. Из списка Version (Версия) выберите Windows Server 2003 Enterprise Edition. Щелкните Next (Далее).

Рис. 4.9. Страница Select a Guest Operating System (Выберите гостевую операционную систему) 5. На странице Name the Virtual Machine (Дайте имя виртуальной машине) (рис. 410) введите в текстовое поле имя виртуальной машины, в данном при мере — ISALOCAL Введите маршрут к виртуальной машине в текстовое поле Location (Расположение). Щелкните Next (Далее).

Рис. 4.10. Страница Name the Virtual Machine (Дайте имя виртуальной машине) Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры б. На странице Memory for the Virtual Machine (Память для виртуальной машины) (рис. 4.11) укажите объем памяти системы хоста, который будет выделен дан ной виртуальной машине. В данной виртуальной сети с брандмауэром ISA ма шине ISALOCAL выделено 128 Мб памяти. Введите 128 в соответствующее тек стовое поле. Щелкните Next (Далее).

Рис. 4.11. Страница Memory for the Virtual Machine (Память для виртуальной машины) 7 На странице Network Type (Тип сети) (рис. 4.1 2) выберите вариант Use bridged networking (Использовать мостовое соединение сетей). Этот вариант позво ляет соединять первую сетевую интерфейсную карту виртуальной машины с ре альной сетью, к которой подключена операционная система хоста. На этом интерфейсе виртуальной машине может быть присвоен реальный IP-адрес, при этом может выполняться соединение со всеми компьютерами в реальной сети и с Интернетом через реальный сетевой шлюз. Этот интерфейс будет играть роль внешнего интерфейса виртуальной машины брандмауэра ISA ISALOCAL. Вирту альная машина ISALOCAL будет использовать этот интерфейс для установки соединения с реальным сетевым интернет-шлюзом (в данной сети это DSL-мар шрутизатор). Позже к этой виртуальной машине будут добавлены еще две сете вые интерфейсные карты, которые будут использоваться для соединения вир туальной машины ISALOCAL с VMnet2 (Внутренняя сеть) и VMNet4 (сеть DMZ).

Щелкните Next (Далее).

8. На странице Select I/O Adapter Types (Выберите типы адаптеров ввода-выво да) используйте установку по умолчанию и щелкните Next (Далее).

9. На странице Select a Disk (Выберите диск) выберите вариант Create a New Virtual Disk (Создать новый виртуальный диск). Этот вариант позволяет создать файл виртуального жесткого диска на диске операционной системы хоста. Вир туальная машина будет рассматривать этот файл как жесткий диск. Щелкните Next (Далее).

266 ГЛАВА Рис. 4.12. Страница Network Type (Тип сети) 10.На странице Select a Disk Type (Выберите тип диска) выберите вариант IDE (Recommended) (IDE, рекомендуется) и щелкните Next (Далее).

11. На странице Specify Disk Capacity (Укажите емкость диска) (рис. 4.13) исполь зуйте значение по умолчанию 4.0 для записи Disk size (GB) (Размер диска, Гб).

Хотя Windows Server 2003 и программное обеспечение брандмауэра ISA не тре буют такого объема дискового пространства, не нужно беспокоиться о том, что файл виртуального диска займет так много места на физическом диске систе мы хоста. Введенное значение представляет собой максимальный размер, ко торого может достигать диск виртуальной машины. Хотя виртуальная машина всегда считает размер своего жесткого диска как значение, указанное на этой странице, реальный размер файла виртуального жесткого диска на операцион ной системе хоста растет постепенно по мере размещения новых данных на жестком диске виртуальной машины. Щелкните Next (Далее).

Рис. 4.13. Страница Specify Disk Capacity (Укажите емкость диска) Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры 12. На странице Specify Disk File (Укажите файл диска) используйте имя файла диска по умолчанию и щелкните Finish (Завершение). 13- В окне ISALOCAL щелкните меню VM, а затем щелкните Settings (Настройки).

14. В диалоговом окне Virtual Machine Control Panel (Панель управления вирту альной машины) щелкните вкладку Hardware (Аппаратное обеспечение). На вкладке Hardware щелкните Add (Добавить).

15. Щелкните Next на странице Welcome to the Add Hardware Wizard (Вас при ветствует мастер установки нового аппаратного обеспечения).

16. На странице Hardware Type (Тип аппаратного обеспечения) (рис. 4.14) выбе рите вариант Ethernet Adapter (Адаптер Ethernet) и щелкните Next (Далее).

Рис. 4.14. Страница Hardware Type (Тип аппаратного обеспечения) 17. На странице Network Type (Тип сети) выберите вариант Custom (По выбору).

Выберите VMNet2 из выпадающего списка. Этот сетевой интерфейс будет со единен с внутренней сетью. Щелкните Finish (Готово).

18. Вторая сетевая интерфейсная карта появится в списке Device (Устройство) под именем NIC 2.

19- В диалоговом окне Virtual Machine Control Panel (Панель управления вирту альной машины) щелкните вкладку Hardware (Аппаратное обеспечение). На вкладке Hardware (Аппаратное обеспечение) щелкните Add (Добавить).

20. Щелкните Next (Далее) на странице Welcome to the Add Hardware Wizard (Вас приветствует мастер установки нового аппаратного обеспечения).

21. На странице Hardware Type (Тип аппаратного обеспечения) (рис. 4.15) выбе рите вариант Ethernet Adapter (Адаптер Ethernet) и щелкните Next (Далее).

268 ГЛАВА Рис. 4.15. Страница Hardware Type (Тип аппаратного обеспечения) 22. На странице Network Type (Тип сети) выберите вариант Custom (По выбору).

Выберите VMNet4 из выпадающего списка. Этот сетевой интерфейс будет под ключаться к сети DMZ. Щелкните Finish (Готово).

23. Вторая сетевая интерфейсная карта будет отображаться в списке Device под именем NIC3.

24. Щелкните запись CD-ROM I (IDE 1:0) в списке Device (Устройство).

25. В правой части диалогового окна (рис. 4.16) выберите вариант Use ISO image (Использовать образ iso) и с помощью кнопки Browse (Обзор) укажите место расположения iso-файла для Windows Server 2003.

Рис. 4.16. Выбор образа iso Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры 26. В списке Device выберите запись USB Controller (Контроллер USB). Щелкните Remove (Удалить).

27. Щелкните ОК в диалоговом окне Virtual Machine Control Panel (Панель уп равления виртуальной машины).

Настройка аппаратного обеспечения виртуальной машины выполнена, теперь можно перейти к установке Windows Server 2003. Для завершения установки Windows Server 2003 выполните следующие действия.

1. В левой части окна ISALOCAL — VMware Workstation (рис. 4.1 7) щелкните ссыл ку Start this virtual machine (Запустить эту виртуальную машину) (рис. 4.17).

Машина загрузит компакт-диск, представленный iso-файлом.

Рис. 4.17. Запуск виртуальной машины 2. Когда откроется страница Setup Notification (Уведомление об установке), на жмите клавишу Enter.

3. Нажмите клавишу Enter на странице Welcome to Setup (Вас приветствует про грамма установки).

4. Нажмите клавишу F8 на странице Windows Licensing Agreement (Лицен зионное соглашение Windows).

5. Нажмите клавишу Enter на странице Partition Setup (Разбивка диска).

6. Выберите вариант по умолчанию Format the partition using the NTFS file system (Отформатировать с помощью файловой системы NTFS) на странице форматирования и нажмите клавишу Enter. Диск будет отформатирован.

7. Процесс установки перейдет к копированию файлов Windows Server 2003 из образа iso на виртуальный диск. Виртуальная машина автоматически переза грузится после завершения копирования файлов.

270 ГЛАВА 8. После перезагрузки программа установки перейдет в режим графического ин терфейса.

9. Щелкните Next (Далее) на странице Regional and Language Options (Регио ны и языки).

10. Введите ваше имя и название организации на странице Personalize Your Soft ware (Личные данные). Щелкните Next (Далее).

11. Введите ключ программного продукта в диалоговом окне Your Product Key (Ваш ключ программного продукта). Щелкните Next (Далее).

12. На странице Licensing Modes (Схемы лицензирования) введите значение в текстовое поле Per server. Number of concurrent connections (Количество одновременных соединений на сервер). Щелкните Next (Далее).

13- На странице Computer Name and Administrator Password (Имя компьютера и пароль администратора) введите ISALOCAL в текстовое поле Computer name (Имя компьютера). Введите пароль в поле Administrator password (Пароль ад министратора) и подтвердите его в текстовом поле Confirm password (Под твердить пароль). Щелкните Next (Далее).

14. Щелкните Yes (Да) в диалоговом окне Windows Setup (Установка Windows), что означает, что введенный пароль не является безопасным.

15. Введите правильную дату, время и часовой пояс в диалоговом окне Date and Time Settings (Установка даты и времени). Щелкните Next (Далее).

16. На странице Networking Settings (Настройки сети) выберите Typical settings (Типичные настройки) и щелкните Next (Далее).

17. На странице Workgroup or Computer Domain (Рабочая группа или домен ком пьютера) примите вариант по умолчанию. После установки машины EXCHANGE 2ООЗВЕ в локальной сети (VMNet2) нужно присоединить машину ISALOCAL к домену msfirewall.org. Щелкните Next (Далее).

18.Процесс установки продолжается, а затем виртуальная машина перезагрузится.

19. Зайдите на машину ISALOCAL с помощью созданной учетной записи и пароля администратора.

Установка программного обеспечения Windows Server 2003 выполнена, теперь можно присвоить сетевым интерфейсным картам виртуальной машины соответ ствующие IP-адреса. Для выполнения настройки сетевых интерфейсных карт вир туальной машины ISALOCAL и для настройки других вариантов операционной сис темы выполните следующие действия.

1. После входа на виртуальную машину ISALOCAL щелкните меню VM и в нем ко манду Install VMware Tools (Установить инструменты VMware).

2. В диалоговом окне ISALOCAL щелкните Install (Установить).

3- Щелкните Next (Далее) на странице Welcome to the installation wizard for VMware Tools (Вас приветствует мастер установки инструментов VMware).

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры 4. На странице Setup Type (Тип установки) выберите Complete (Полная) и щелк ните Next (Далее).

5. Щелкните Install (Установить) на странице Ready to Install the Program (Ус тановка программы).

6. В каждом диалоговом окне Hardware Installation (Установка аппаратного обес печения) щелкните кнопку Continue Anyway (Продолжить в любом случае).

7. Щелкните Yes (Да) в диалоговом окне VMware Tools Installation (Установка инструментов VMware), что означает, что на виртуальной машине не включено ускорение аппаратного обеспечения.

8. Если появится страница установки Windows Server 2003, закройте ее.

9- Сверните окно NotePad (Блокнот), в котором открылся файл HWAccel.txt.

10. Щелкните Advanced (Дополнительные) на вкладке Settings (Настройки) диа логового окна Display Properties (Свойства экрана).

11.В диалоговом окне Default Monitor and Standard VGA Graphics Adapter Pro perties (Свойства по умолчанию: монитор и стандартный графический адап тер VGA) щелкните вкладку Troubleshoot (Диагностика).

12. На вкладке Troubleshoot (Диагностика) переместите движок полностью до на стройки Full (Полное). Щелкните Apply (Применить), а затем ОК.

13- В диалоговом окне Display Properties (Свойства экрана) щелкните ОК.

14. На странице Installation Wizard Completed (Завершение работы мастера ус тановки) щелкните Finish (Готово).

15. В диалоговом окне VMware Tools (Инструментарий VMware) щелкните Yes (Да).

Виртуальная машина ISALOCAL с Windows Server 2003 будет перезагружена.

16. Выполните вход в систему как администратор.

Следующий шаг — настройка сетевых интерфейсных карт виртуальной машины.

1. Правой кнопкой мыши щелкните на свободном месте рабочего стола и выбе рите Properties (Свойства).

2. В диалоговом окне Display Properties (Свойства экрана) щелкните вкладку Desktop (Рабочий стол).

3. На вкладке Desktop (Рабочий стол) щелкните Customize Desktop (Настройка рабочего стола).

4. В диалоговом окне Desktop Items (Элементы рабочего стола) щелкните вкладку General (Общие). На вкладке General (Общие) установите флажки в полях My Documents (Мои документы), My Computer (Мой компьютер), My Network Places (Сетевое окружение) и Internet Explorer. Щелкните ОК.

5. Щелкните Apply (Применить), а затем ОК в диалоговом окне Display Properties (Свойства экрана).

6. Правой кнопкой мыши щелкните значок My Network Places (Сетевое окруже ние) и выберите Properties (Свойства).

272 ГЛАВА 7. Правой кнопкой мыши щелкните значок Local Area Connection (Подключе ние по локальной сети) в окне Network Connections (Сетевые подключения) и щелкните Rename (Переименовать). Назовите это подключение WAN.

8. Правой кнопкой мыши щелкните Local Area Connection 2 (Подключение по локальной сети 2) и выберите Rename. Назовите это подключение LAN.

9. Правой кнопкой мыши щелкните Local Area Connection 3 (Подключение по локальной сети 3) и выберите Rename (Переименовать). Назовите это подклю чение DMZ.

Теперь каждому интерфейсу можно присвоить IP-адрес. Начнем с внешнего интерфейса виртуальной машины брандмауэра ISA.

I Правой кнопкой мыши щелкните интерфейс WAN и выберите Properties (Свой ства).

В диалоговом окне WAN Properties (Свойства глобальной сети) щелкните Inter net Protocol (TCP/IP) (Протокол Интернета, TCP/IP) и выберите Properties (Свойства).


На вкладке General (Общие) диалогового окна Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета, TCP/IP) введите информацию об IP-адресе, как показано на рис. 4.18.

РИС. 4.18. Ввод информации об IP-адресе 4. Щелкните кнопку Advanced... (Дополнительно...).

5. В диалоговом окне Advanced TCP/IP Settings (Дополнительные параметры TCP/ IP) щелкните вкладку DNS. На вкладке DNS снимите флажок в поле Register this connection's addresses in DNS (Зарегистрировать адрес этого подключения в DNS). Щелкните ОК.

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры 6. Щелкните ОК в диалоговом окне Internet Protocol (TCP/IP) Properties (Свой ства протокола Интернета, TCP/IP).

7. Щелкните Close (Закрыть) в диалоговом окне WAN Properties (Свойства гло бальной сети).

Для настройки информации об IP-адресации интерфейса LAN выполните сле дующие действия.

1. Щелкните правой кнопкой мыши интерфейс LAN и выберите Properties (Свойства).

2. В диалоговом окне LAN Properties (Свойства локальной сети) щелкните запись Internet Protocol (TCP/IP) (Протокол Интернета, TCP/IP) и выберите Proper ties (Свойства).

3. На вкладке General (Общие) диалогового окна Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета, TCP/IP) (рис. 4.19) введите инфор мацию об IP-адресе, как показано на рис. 4.19.

РИС. 4.19. Ввод информации об IP-адресе 4. Щелкните кнопку Advanced... (Дополнительно...).

5. В диалоговом окне Advanced TCP/IP Settings (Дополнительные параметры TCP/IP) щелкните вкладку DNS. На вкладке DNS снимите флажок в поле Register this connection's addresses in DNS (Зарегистрировать адрес этого подклю чения в DNS).

6. Щелкните вкладку WINS (рис. 420). На вкладке WINS щелкните Add (Добавить).

В диалоговом окне ТСРДР WINS Server (WINS-сервер TCP/IP) введите IP-адрес WINS-сервера. В данной виртуальной сети брандмауэра ISA контроллер домена также будет выступать в роли WINS-сервера. Введите 10.0.0.2 в этом диалого вом окне. Щелкните Add (Добавить).

274 ГЛАВА Рис. 4.20. Ввод адреса WINS-сервера 7. Щелкните ОК в диалоговом окне Advanced TCP/IP Settings (Дополнительные параметры TCP/IP).

8.

Щелкните ОК в диалоговом окне Internet Protocol (TCP/IP) Properties (Свой ства протокола Интернета, TCP/IP). 9. Щелкните ОК в диалоговом окне LAN Properties (Свойства локальной сети).

Наконец нужно настроить информацию об IP-адресе для интерфейса DMZ ма шины с брандмауэром ISA. Для настройки интерфейса DMZ выполните следующие действия.

1. Щелкните правой кнопкой мыши интерфейс DMZ и выберите Properties (Свой ства).

2. В диалоговом окне DMZ Properties (Свойства демилитаризованной зоны) щелк ните Internet Protocol (TCP/IP) (Протокол Интернета, TCP/IP) и выберите Properties (Свойства).

3. На вкладке General (Общие) диалогового окна Internet Protocol (TCP/IP) Properties (Свойства протокола Интернета, TCP/IP) введите информацию об IP-адресе, как показано на рисунке 4.21.

4. Щелкните кнопку Advanced... (Дополнительно...).

5. В диалоговом окне Advanced TCP/IP Settings (Дополнительные параметры TCP/ IP) щелкните вкладку DNS. На вкладке DNS снимите флажок в поле Register this connection's addresses in DNS (Зарегистрировать адрес этого подключения в DNS).

6. Щелкните ОК в диалоговом окне Internet Protocol (TCP/IP) Properties (Свой ства протокола Интернета TCP/IP).

7. Щелкните ОК в диалоговом окне DMZ Properties (Свойства демилитаризованной зоны).

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры РИС. 4.21. Ввод информации об IP-адресе Теперь операционная система Windows Server 2003 готова к работе с програм мным обеспечением брандмауэра ISA. В данный момент нужно создать копию кон фигурации. Щелкните меню Snapshot (Копия) в окне ISALOCAL-VMware Work station и щелкните Save Snapshot (Сохранить копию). Это позволит вернуться к базовой конфигурации операционной системы в случае, если нужно начать с чис того листа. При описании установки программного обеспечения брандмауэра ISA в главе 6 будет описано, как создать еще одну копию конфигурации после установки программного обеспечения брандмауэра ISA.

Методики, использованные при установке и настройке виртуальной машины ISALOCAL, могут применяться для установки других виртуальных машин в вирту альной сети брандмауэра ISA. Следует уделить особое внимание информации об IP-адресе для каждой виртуальной машины и присвоить каждой виртуальной ма шине верную виртуальную сеть. Проверить, правильно ли подключены машины к сетям, можно, послав команды ping с машин ISALOCAL или REMOTEISA на хосты в их сетях. Например, после создания машины EXCHANGE2OO3BE отправьте ping 10.0.0.2 с машины ISALOCAL. Если ответ не поступит, то, вероятнее всего, это объяс няется тем, что либо была неправильно указана информация об IP-адресе на од ной из машин, либо машины находятся в разных сетях VMnet.

Для того чтобы протестировать большинство сценариев, представленных в дан ной книге, нужно использовать следующие виртуальные машины:

ISALOCAL;

ISAREMOTE;

CLIENT;

EXCHANGE2003BE;

REMOTECLIENT.

276 ГЛАВА Обратите внимание, что не нужно заново выполнять всю настройку для маши ны REMOTECLIENT. Можно скопировать каталог для машины CLIENT в другое мес то, а затем изменить имя, информацию об IP-адресе и VMnet в копии. Это позво лит создать машину REMOTECLIENT, которую можно использовать в упражнениях на создание VPN-подключений «узел-в-узел» в главе 9.

СОВЕТ Программное обеспечение VMware Workstation 4.0 поддерживает только три сетевые интерфейсные карты. Однако благодаря Александру Перилли (Alessandro Perilli) (http://www.virtualization.info) на виртуальную машину VMware можно добавить четвертую сетевую интерфейсную карту.

Вот что нужно сделать. Откройте файл.vmz и добавьте эти строки в конец файла:

Ethernet3.present = "TRUE" ethernet3.addressType = "generated" ethernet3.generatedAddress = "00:0o: 29:

cb:7d:8f" ethernet3.generatedAddressOffset = "30" ethernet3.connectionType = "custom" ethernet3.vnet = "VMnet3" Нельзя менять номер Ethernet и значение AddressOffset. Можно изменить значение address.Type, generatedAddress, connectionType и vnet.

Определение сетей и отношений между ними с точки зрения брандмауэров ISA Одно из основных ограничений брандмауэра ISA Server 2000 заключалось в упро щенном понятии сети, они признавали только два типа сетей: надежные (trusted) и ненадежные (untrusted). Надежные сети включались в таблицу LAT (Local Address Table, локальная таблица адресов) брандмауэра ISA Server 2000. Любая сеть, кото рая не входила в таблицу LAT, считалась ненадежной. Политика брандмауэра ISA применялась ко всем взаимодействиям между хостами: входящим и не входяш,им в таблицу LAT. Взаимодействие между хостами LAT осуществлялось через брандмауэр ISA Server 2000, не подвергаясь механизмам фильтрации с отслеживанием со единений и проверки на уровне приложения брандмауэра ISA Server 2000.

Это создавало проблемы для администраторов брандмауэра ISA Server 2000, которые хотели создать сегменты DMZ (демилитаризованной зоны), имеющие прямое соединение с брандмауэром ISA Server 2000. Например, можно было выпол нить настройку брандмауэра ISA Server 2000 с тремя сетевыми интерфейсами: внут ренний интерфейс подключения ко внутренней сети, интерфейс DMZ подключе ния к сегменту DMZ общего доступа и внешний интерфейс подключения бранд мауэра к Интернету.

В ISA Server 2000 такая конфигурация DMZ с тремя сетевыми интерфейсами обнаруживает большинство ограничений сетевой модели ISA Server 2000.

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры Все взаимодействия между хостами LAT и другими хостами должны были вы полняться через службу NAT (служба трансляции сетевых адресов). Это означа ет, что все соединения между внутренней сетью и Интернетом, а также между внутренней сетью и сегментом DMZ выполнялись через службу NAT.

Брандмауэр ISA Server 2000 не применял проверку с отслеживанием соедине ний на уровне приложения к соединениям между хостами Интернета и компь ютерами в сегменте DMZ. Эти соединения направлялись брандмауэром ISA Server 2000 из Интернета в сегмент DM2, и к ним применялась только фильтрация с отслеживанием соединений;

то же самое можно наблюдать в случае с типичным брандмауэром на базе аппаратного обеспечения.

Взаимодействие между хостами DMZ и хостами внутренней сети должно было выполняться по правилам публикации серверов и Web-публикации, потому что внутренняя сеть рассматривала сегмент DMZ как еще одну ненадежную сеть.

Исходящие подключения из внутренней сети к сегменту DMZ подчинялись той же политике доступа, что и соединения между внутренней сетью и Интернетом.

Например, если разрешался исходящий FTP-доступ из внутренней сети, то FTP доступ разрешался ко всем сетям, не входящим в LAT. Если разрешался исходя щий доступ к конкретному протоколу, то у пользователей внутренней сети по являлся доступ к этому протоколу на всех узлах.

Появилась возможность с помощью брандмауэра ISA Server 2000 заменять частные адреса на общедоступный адрес в сегменте DMZ. Однако брандмауэр ISA Server 2000 не распознавал этот сегмент как DMZ, а сегмент DMZ должен был разме щаться в LAT. Поскольку брандмауэр ISA Server 2004 применял политику бранд мауэра только к взаимодействию между хостами, входящими и не входящими в LAT, между внутренней сетью и сегментом DMZ с частным адресом брандмауэр не выполнял никакой фильтрации. Можно было использовать пакетные фильт ры RRAS (Routing and Remote Access Service, служба маршрутизации и удален ного доступа) для создания хоть какого-нибудь сегмента DMZ, но при этом па кетные фильтры RRAS обеспечивали еще меньшую гибкость и защиту, чем ме ханизмы фильтрации пакетов с отслеживанием соединений в брандмауэрах на базе аппаратного обеспечения.


Корпорация Microsoft признала эти недостатки брандмауэра ISA Server 2000 и исправила их. В брандмауэре ISA больше не используются таблицы LAT. Они и не требуются, потому что брандмауэр ISA не считает ни одну сеть надежной. В ISA Server 2000 надежность сети определялась с помощью таблицы LAT, которая теперь не является частью конфигурации брандмауэра ISA. Все подключения через брандма уэр ISA подвергаются фильтрации с отслеживанием соединений и проверке с от слеживанием соединений на уровне приложения брандмауэра ISA.

Другим важным улучшением сетевой модели брандмауэра ISA стала возможность контролировать отношения маршрутизации между любыми двумя сетями. Напри мер, если нужно скопировать установку DMZ с тремя сетевыми подключениями:

278 ГЛАВА внешний интерфейс, внутренний интерфейс и интерфейс DMZ, то можно исполь зовать общие или частные адреса в сегменте DMZ и создать отношение типа «мар шрут» или отношения NAT между внутренней сетью и сегментом DMZ. Можно даже выбирать между отношением типа «маршрут» и отношениями NAT между внутрен ней сетью и Интернетом. Это может стать особенно полезным, если во внутрен ней сети имеются общие адреса и нужно продолжать использовать их, не приме няя службу NAT к исходящим соединениям с Интернетом.

В табл. 4.5 показаны новые и улучшенные функции сетевой модели брандмауэ ра ISA по сравнению с ISA Server 2000.

Табл. 4.5. Новые и улучшенные функции сетевой модели брандмауэра ISA Функция_ Описание Все правила доступа Правила доступа контролируют, какие соединения проходят включают элемент сети через брандмауэр. Два ключевых компонента правила досту источника и адресата па — это источник запроса на соединение и запрошенный адресат. Это позволяет установить жесткий контроль доступа по протоколу через брандмауэр. Можно разрешить пользова телям IRC-доступ, но только в том случае, если запрос исхо дит из конкретной внутренней сети, а адресатом является другая сеть в пределах корпоративной ЛВС. IRC-запросы к любой другой сети, включая Интернет, запрещаются Все соединения, проходя- Все соединения, выполняемые через брандмауэр ISA, подчи щие через брандмауэр ISA, няются политикам доступа брандмауэра ISA. В схеме сети подвергаются фильтрации брандмауэра ISA нет надежных сетей. Хотя можно выбрать с отслеживанием соедине- маршрутизацию всех подключений от одной сети к другой ний и проверке с отслежи- по некоему правилу доступа, это не является обязательным ванием соединений требованием на уровне приложения Подключения между Можно выбирать, как осуществлять соединения между любы любыми двумя сетями ми двумя сетями — с помощью маршрутизации или службы можно маршрутизировать NAT. Можно выбрать службу NAT, если нужно скрыть адреса или проводить через одной сети от другой сети, или же можно марш рути зировать службу NAT пакеты из одной сети в другую сеть, если нужно использовать протоколы, которые не функционируют по NAT-подключени ям. Возможность выбирать отношения маршрутизации между любыми двумя сетями обеспечивает гораздо большую свобо ду, чем используемый в ISA Server 2000 метод применения службы NAT для соединений между сетями, входящими и не входящими в LAT, и маршрутизации соединений между сетями LAT Конфигурации клиентов Можно создать несколько внутренних сетей и контролиро брандмауэра и Web- вать доступ между этими внутренними сетями с помощью прокси можно создавать правил доступа. Возможно, необходимо, чтобы в одной сети для каждой сети предоставлялся доступ клиенту Web-прокси, а не клиенту брандмауэра, в то же время нужно, чтобы в другой внутрен ней сети был доступ для клиента брандмауэра, но не для кли ента Web-прокси. В брандмауэре ISA Server 2000 этого нельзя было сделать Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры Табл. 4.5. (окончание) Функция Описание Брандмауэр ISA Одна из наиболее важных задач брандмауэра — самозащита.

определяется как Существенным недостатком брандмауэра ISA Server 2000 явля уникальная сеть ется то, что механизм фильтрации пакетов применялся только к интерфейсам, не входящим в LAT. Поэтому интерфейсы, вхо дящие в LAT, были полностью открытыми для подключений от любого хоста из LAT. Брандмауэр ISA определяет все свои ин терфейсы как часть сети локального хоста и для разрешения подключений к любому интерфейсу брандмауэра ISA должны быть созданы правила доступа VPN-клиенты относятся Брандмауэр ISA Server 2000 рассматривал VPN-клиентов как к отдельной сети хосты LAT и не применял политику брандмауэра к соединениям VPN-клиентов. Брандмауэр ISA применяет как фильтрацию с отслеживанием соединений, так и проверку с отслеживанием соединений на уровне приложения ко всем соединениям между VPN-клиентами и любой другой сетью. Доступ VPN-клиентов к протоколам и компьютерам может быть ограничен по желанию Брандмауэр ISA поддерживает изолирование VPN-подключений.

Изолированные VPN Можно настроить брандмауэр ISA так, чтобы он запрашивал клиенты представляют проверку VPN-клиентов, прежде чем они будут переведены в собой отдельную сеть сеть VPN-клиентов. Это позволяет создавать собственные правила доступа, применяемые к изолированным VPN-клиен там, которые позволяют им обновить свои системы, чтобы удовлетворить требования безопасности сети Можно Для упрощения конфи- группировать сети, чтобы упростить контроль доступа.

Например, нужно разрешить пользователям доступ из внутрен гурирования правила них сетей А и В к ресурсам сети DMZ. Можно создать сети А и В доступа сети могут и затем создать группу сетей, включающую обе эти сети, а затем объединяться в группы разрешить доступ сетевой группе (Network Group). Сетевая группа затем упрощает создание правил доступа в последующих случаях, когда нужно создать правила доступа для этих двух сетей Имеется контроль доступа на основании не только сети источ Тщательный контроль ника и адресата. Можно указать компьютеры, диапазоны адре сетевых объектов сов, подсети, подмножества компьютеров, подмножества URL и подмножества имен доменов. Каждый из этих сетевых объектов может использоваться для контроля доступа применительно к источнику и адресату в правилах доступа В брандмауэре ISA Server 2000 VPN-сервер требовал, чтобы Поддержка клиента VPN-клиенты были настроены как клиенты Web-прокси или как SecureNAT клиенты брандмауэра для доступа к Интернету через брандмауэр ISA, с которым у них было соединение. Брандмауэр ISA позволяет VPN-клиентам выступать в роли клиентов SecureNAT и позволяет им получать доступ в Интернет через тот же бранд мауэр ISA, с которым они установили VPN-подключение. Кон фигурация клиента SecureNAT расширена, потому что веритель ные данные VPN-клиента для входа в систему могут использо ваться для разрешения контроля пользовательского/группового доступа между VPN-клиентом и любой другой сетью Все эти моменты более подробно рассматриваются на протяжении этой книги.

280 ГЛАВА ISA Server 2004: возможности при работе с несколькими сетями Маркетинговая группа брандмауэра ISA 2004 использовала термин multinetworking (работа с несколькими сетями) применительно к новому и улучшенному набору сетевых функций брандмауэра ISA. Как и в большинстве случаев, сложно опреде лить, что в точности означает этот маркетинговый термин. Возможно, под этим понимается способность брандмауэра ISA контролировать доступ между любыми двумя сетями с помощью фильтрации с отслеживанием соединений и проверки с отслеживанием соединений на уровне приложения. Этот термин также может оз начать способность брандмауэра ISA создавать несколько типов сетевых объектов и использовать эти сетевые объекты в правилах доступа. Он может также означать способность создавать несколько внутренних сетей, несколько сетей DMZ и несколь ко внешних сетей. Или он, возможно, означает все вышеперечисленное. Как и у термина stateful (с отслеживанием состояния соединений), у него нет конкретного значения, и его можно использовать в любом значении по желанию.

ПРЕДУПРЕЖДЕНИЕ Термин multinetworking, однако, не означает способ ность поддерживать несколько шлюзов по умолчанию на брандмауэре ISA.

Это значит, что не может существовать один внешний интерфейс, подклю ченный к линии DSL, второй внешний интерфейс, подключенный к кабель ной линии, и третий внешний интерфейс, подключенный к линии Т1, и при этом невозможно использовать все эти три интерфейса для подключения к Интернету. Хотя все эти интерфейсы можно использовать для установки соединения с компьютерами через Интернет, только один из этих интерфей сов может использоваться для подключения к Интернету в целом, потому что для двух других интерфейсов необходимы определенные записи из таблицы маршрутизации для установки соединения с конкретными хоста ми или сетями в Интернете. Если нужно использовать несколько интернет подключений для подключения к Интернету в целом, воспользуйтесь про граммным продуктом RainConnect от компании Rainfinity. Продукт RainConnect позволяет создавать несколько интерфейсов на брандмауэре ISA, а также дает возможность агрегации и присваивания приоритетов пропускной спо собности. Эта программа также позволяет публиковать ресурсы в защищен ной сети за брандмауэром ISA и разрешать доступ к этим опубликованным ресурсам по всем интернет-подключениям и выравнивать нагрузку между ними на этих подключениях.

Для того чтобы получить представление о модели работы с несколькими сетя ми брандмауэра ISA 2004, рассмотрим схему сети. На рис. 4.22 показана типичная многосетевая конфигурация брандмауэра ISA.

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры Рис. 4.22. Работа с несколькими сетями в брандмауэре ISA В этом примере есть четыре защищенные сети, непосредственно подключен ные к брандмауэру ISA. Защищенная сеть включает в себя все сети, определенные на брандмауэре ISA, за исключением внешней сети по умолчанию. Внешняя сеть по умолчанию — это Интернет. Четыре защищенные сети в этой схеме: беспроводная сеть, DMZ, внутренняя сеть и сеть служб.

С помощью новой сетевой модели брандмауэра ISA можно создавать следующие правила доступа, клиенты беспроводной сети могут получать доступ к Интернету, но им не раз решен доступ ко всем защищенным сетям. Пользователи беспроводной сети могут устанавливать VPN-подключение с брандмауэром ISA и получать доступ к сег менту внутренней сети, если им требуется этот доступ;

серверы в сегменте DMZ могут получать доступ к серверам сегмента сети служб.

Например, общий Web-сервер может получить доступ к серверу Exchange, но не может получить доступ к серверу SQL. В таком случае общий Web-сервер может выступать в роли RPC через НТТР-прокси для пользователей Outlook 2003. Хо сты в сегменте DM2 не могут получить доступ к Интернету, и им не разрешен доступ ко всем сегментам защищенной сети;

пользователи и компьютеры внутренней сети могут получить доступ к ресур сам в Интернете и в сети служб. Это позволяет им использовать выборочные ресурсы, доступ к которым разрешен в Интернете, а также получать доступ к серверу Exchange. Пользователи внутренней сети не будут иметь доступа к ре сурсам в беспроводной сети или в сегменте DMZ;

компьютеры в сети служб могут получать доступ к выборочным сайтам в Ин тернете (например, к сайту с обновлениями Windows Update). Они также могут 282 ГЛАВА получать ограниченный доступ к внутренней сети. Например, сервер Exchange может быть членом домена сети Интернет и ему нужно взаимодействовать с контроллерами доменов во внутренней сети;

VPN-клиентам может быть разрешен доступ к ресурсам в сети DMZ, в Интерне те, во внутренней сети и сети служб. Можно контролировать доступ различных VPN-клиентов к различным сетям с помощью контроля пользовательского/ группового доступа. Например, имеется группа пользователей под названием ExchangeUsers и нужно, чтобы они использовали клиента Outlook MAPI для ус тановки соединения с сервером Exchange, но не с другими ресурсами. Можно создать правило доступа, чтобы разрешить членам этой группы доступ к серве ру Exchange только с помощью безопасных Exchange RPC-вызовов к серверу Exchange. Если члены этой группы попытались бы использовать любой другой протокол, типа HTTP или CIFS (Common Internet File System, общий протокол доступа к файлам Интернет), то их попытки соединения были бы запрещены.

Функции работы с несколькими сетями позволяют осуществлять очень тщатель ный контроль доступа: можно контролировать, к каким адресатам может получить доступ хост любой сети. Даже VPN-клиенты, которые традиционно имеют доступ ко всем ресурсам корпоративной сети, как только они установят с ней соедине ние, могут теперь быть сильно ограничены после установления VPN-подключения.

Брандмауэр ISA: сети по умолчанию Рассмотрим функции брандмауэра ISA по работе с несколькими сетями и то, как брандмауэр ISA рассматривает сети и как они используются, на примере сетей по умолчанию на брандмауэре ISA. Сразу же после завершения установки на бранд мауэре ISA создаются сети по умолчанию:

сеть локального хоста (Local Host Network);

внутренняя сеть (Internal Network);

внешняя сеть по умолчанию (External Network, default);

сеть VPN-клиентов (VPN Clients Network);

сеть изолированных VPN-клиентов (Quarantined VPN Clients Network).

Сети ISA 2004 должны соответствовать следующим критериям:

на брандмауэре ISA должен быть один или несколько адаптеров. Если адаптер один, то все адреса рассматриваются как часть внутренней сети;

сетевая интерфейсная карта должна иметь один или несколько IP-адресов. IP адрес конкретного интерфейса должен принадлежать к сети локального хоста и к сети, с которой этот интерфейс имеет прямое соединение;

за исключением сетей локального хоста, VPN-клиентов и изолированных VPN клиентов IP-адрес может принадлежать только одной сети;

все адреса, принадлежащие одной сетевой интерфейсной карте, должны при надлежать и той же сети.

Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры В следующих разделах каждая из сетей по умолчанию рассматривается более подробно.

Сеть локального хоста Сеть локального хоста — это встроенный сетевой объект, который определяет все IP-адреса на всех интерфейсах брандмауэра ISA. Например, если у брандмауэра ISA есть три сетевых интерфейса и десять IP-адресов, выделенных для внешнего интер фейса, два IP-адреса, выделенных для интерфейса DMZ, и один IP-адрес, выделен ный внутреннему интерфейсу, то все 13 адресов будут составлять сеть локального хоста. Не нужно явно задавать никакие адреса сети локального хоста;

адреса авто матически добавляются в сеть локального хоста при добавлении к интерфейсам.

Вкладка Properties (Свойства) сети локального хоста находится в узле Server Name\Configuration\Networks. Щелкните вкладку Networks (Сети) на панели Details (Подробности), щелкните правой кнопкой мыши Local Host (Локальный хост) и выберите Properties (Свойства). Появится диалоговое окно Properties (Свойства), содержащее свойства сети локального хоста (рис. 4.23).

Рис. 4.23. Настройка приемника Web-прокси в сети локального хоста В диалоговом окне Local Host Network Properties (Свойства сети локального хоста) есть две вкладки. Вкладка General (Общие) дает описание сети локального хоста. Вкладка Web Proxy (Web-прокси) позволяет включить приемник Web-про кси для сети локального хоста. Приемник Web-прокси является отключенным по умолчанию. Установите флажок в поле Enable Web Proxy clients (Разрешить кли ентов Web-прокси), если нужно, чтобы приложения, работающие на брандмауэре ISA, выступали в роли клиентов Web-прокси.

284 ГЛАВА ПРЕДУПРЕЖДЕНИЕ Для брандмауэра ISA не включайте Web-приемник сети локального хоста, чтобы разрешить хостам защищенной сети полу чать доступ к Интернету. Web-приемник сети локального хоста использу ется только компьютером с брандмауэром ISA. Ни один другой компьютер из защищенной или незащищенной сети не должен использовать Web-при емник локального хоста.

Например, если нужно использовать Web-браузер на самом брандмауэре ISA, то нужно включить приемник Web-прокси, а затем настроить браузер на использова ние IP-адреса одного из интерфейсов брандмауэра ISA в качестве своего сервера Web-прокси. Если IP-адрес на внутреннем интерфейсе брандмауэра ISA — 192.168.1.1, то этот IP-адрес следует использовать при настройке браузера в качестве клиента Web-прокси. Также нужно включить приемник Web-прокси в сети локального хос та, если требуется использовать задачи загрузки содержимого по расписанию.

Важный вопрос относительно сети локального хоста состоит в том, что как и в случае с сетями VPN-клиентов и изолированных VPN-клиентов, адреса, присвоен ные этой сети, могут совпадать с адресами, присвоенными другим сетям. Во всех остальных случаях адреса, присвоенные другим сетям, не могут быть присвоены любой другой сети.

Например, если внутреннему интерфейсу брандмауэра ISA присвоен адрес 192.168.1.1, то этот адрес должен включаться в список адресов внутренней сети.

Если у брандмауэра ISA есть адрес 172.16.0.1, присвоенный интерфейсу DMZ, то этот адрес должен включаться в список адресов, определяющих сеть DMZ. Распро страненная ошибка состоит в том, что администраторы брандмауэра ISA не исполь зуют адреса, присвоенные сети локального хоста, потому что они придержи вают ся общего принципа, состоящего в том, что одинаковые адреса не могут быть при своены двум различным сетям.

СОВЕТ В брандмауэре ISA можно использовать адреса сети локального хоста для публикации служб, работающих на базе брандмауэра ISA. На пример, можно настроить SMTP-ретранслятор на брандмауэре ISA и свя зать виртуальный SMTP-сервер с внутренним интерфейсом брандмауэра ISA. Затем этот IP-адрес публикуется при создании правила публикации SMTP-сервера. Также можно опубликовать сервер удаленного рабочего стола, работающий на базе брандмауэре ISA, связав сервер удаленного рабоче го стола с одним из интерфейсов брандмауэра ISA, а затем опубликовать адрес этого интерфейса с помощью правила публикации сервера.

Внутренняя сеть Внутренняя сеть ISA Server 2004 значительно отличается от внутренней сети ISA Server 2000. В ISA Server 2000 любая сеть, входящая в таблицу локальных адресов (Local Address Table, LAT), считалась внутренней сетью. Все взаимодействия между Конфигурирование сетей в среде ISA Server 2004 и подготовка сетевой инфраструктуры хостами LAT (внутренней сети) не подвергались фильтрации и проверке со сторо ны брандмауэра ISA Server 2000. Причина этого состоит в том, что только взаимо действия между клиентами, входящими и не входящими в LAT, подвергались про верке со стороны брандмауэра ISA Server 2000.

В отличие от подхода к внутренним и внешним сетям, реализованном в бранд мауэре ISA Server 2000, представление о внутренней сети для брандмауэра ISA свя зано с правилами системной политики, которые автоматически настраиваются на брандмауэре ISA.

Для того чтобы понять роль внутренней сети, нужно иметь общее представле ние о системной политике ISA 2004. Системная политика ISA 2004 является набо ром из 30 правил доступа, которые контролируют входящий и исходящий доступ к/от брандмауэра ISA. Эти правила создаются по умолчанию, но их можно изме нить или даже отключить по желанию. Далее приведены примеры правил систем ной политики ISA 2004:

разрешить доступ к службам каталогов в целях проверки подлинности;

разрешить проверку подлинности Kerberos с ISA Server на надежные серверы;

разрешить установку соединений по протоколу Microsoft CIFS (Common Internet File System, общий протокол доступа к файлам Интернета) с ISA Server на на дежные серверы;

разрешить установку соединений по интерфейсу NetBIOS с ISA Server на надежные серверы.



Pages:     | 1 |   ...   | 7 | 8 || 10 | 11 |   ...   | 30 |
 





 
© 2013 www.libed.ru - «Бесплатная библиотека научно-практических конференций»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.