Sunday, October 21st, 2018

Настройка членов домена в демилитаризованной зоне между двумя ISA-серверами – Часть 3: Настройка Front-end брандмауэра ISA и DMZ веб сервера

Published on Февраль 10, 2009 by   ·   Комментариев нет

Это предпоследняя часть и нашего цикла статей, посвященного настройке членов домена в back to back брандмауэре ISA DMZ.

Если вы хотите прочитать другие части этой статьи, то, пожалуйста, перейдите по ссылкам:

В первых двух частях этой статьи мы обсудили концепции при дизайне и установке DMZ сети и рассмотрели детали настройки back-end брандмауэра ISA.

В этой статье мы рассмотрим следующие вопросы:

  • Настройка записей в таблице маршрутов (Routing Table) на сервере DMZ
  • Подключение сервера DMZ к домену (Domain), расположенному во внутренней сети по умолчанию за Back-end сервером ISA
  • Настройка внутренней сети по умолчанию Front-end брандмауэра ISA
  • Настройка записи в таблице маршрутов (Routing Table) на Front-end брандмауэре ISA
  • Создание правила доступа (All Open Access Rule) на Front-end брандмауэре ISA
  • Создание правила публикации (Web Publishing Rule) на Front-end брандмауэре ISA
  • Проверка решения

Настройка записи в таблице маршрутов (Routing Table) на сервере DMZ

Шлюз по умолчанию на Web сервере DMZ должен быть настроен на внутренний интерфейс front-end брандмауэра ISA, т.к. Web сервер должен отвечать на соединения из интернет. В добавок, Web серверу может понадобиться инициировать соединения с интернет, например с сайтом обновлений Microsoft Update Site. Обратите внимание, что это не необходимое и быстрое требование, т.к. если Web сервер находится в DMZ и не обязательно инициировать соединения с компьютерами в интернет, а вы настраиваете правила публикации (publishing rules) на front-end брандмауэре ISA, для того чтобы замещать IP адрес источника IP адресом брандмауэра ISA, то вы можете не задавать шлюз по умолчанию на DMZ Web сервере и внутреннем интерфейсе front-end брандмауэра ISA.

На сервере DMZ откройте командную строку (command prompt) и введите следующую команду:

route add — p 10.0.0.0 MASK 255.255.255.0 10.0.1.2

Где 10.0.0.0 — это сетевой ID для корпоративной сети за брандмауэром ISA, 255.255.255.0 – это маска подсети для этого сетевого ID, а 10.0.1.2 – это IP адрес внешнего интерфейса back-end брандмауэра ISA.

На рисунке ниже показан пример настройки записи в таблице маршрутов (routing table).

Front isa

Рисунок 1

Подключение DMZ сервера к домену, располагающемуся во внутренней сети по умолчанию за Back-end брандмауэром ISA

Следующий шаг – это подключение DMZ Web сервера к домену корпоративной сети. Основной фактор здесь – это правильная конфигурация DNS на сетевом интерфейсе сервера DMZ. DMZ Web сервер должен быть в состоянии найти контролер домена (domain controller) в корпоративной сети. По этой причине мы используем IP адрес самого контролера домена (domain controller), на котором располагается интегрированный DNS сервер Active Directory.

Для подключения сервера к домену, выполните следующую последовательность действий (процедура будет различной, в зависимости от операционной системы, под управлением которой работает сервер; в этом примере DMZ Web сервер работает под управлением Windows 2000).

  1. На DMZ Web сервере, щелкните правой кнопкой мыши на иконке My Computer на рабочем столе и выберите Properties.
  2. В диалоговом окне System Properties выберите закладку Network Identification.
  3. В закладке Network Identification нажмите на кнопку Properties.
  4. В диалоговом окне Identification Changes выберите параметр Domain и введите FQDN для вашего домена. В этом примере название корпоративного домена msfirewall.org, поэтому я введу это название в текстовое поле. Задайте права для домена в диалоговом окне для аутентификации. Нажмите на кнопку OK в диалоговом окне приветствия при входе в домен. Нажмите на кнопку OK в диалоговом окне, информирующем вас, что вы должны перезагрузить ваш компьютер.
  5. Нажмите на кнопку OK в диалоговом окне System Properties.
  6. Нажмите Yes для перезагрузки компьютера.

Настройка внутренней сети по умолчанию на Front-end брандмауэре ISA После установки front-end брандмауэра firewall он берет свое определение из таблицы маршрутов (routing table) на устройстве с front-end ISA. Запись в таблице маршрутов (routing table) сообщает установщику брандмауэра ISA, что адреса 10.0.1.0-10.0.1.255 должны быть включены в описание внутренней сети по умолчанию. Это было бы правильной конфигурацией только в том случае, если единственной сетью за front-end брандмауэром ISA была бы сеть по сетевому ID 10.0.1.0/24. Однако, в нашем сценарии это неправильная конфигурация и в этом случае могут возникнуть проблемы с контролем доступа при прохождение через front-end брандмауэр ISA.

Причина проблемы с начальными настройками для внутренней сети по умолчанию на front-end брандмауэре ISA заключается в том, что существует маршрут между сетью DMZ (которая является внутренней сетью по умолчанию для брандмауэра ISA) и внутренней сетью по умолчанию за back-end брандмауэром ISA. Т.к. есть маршрут, то соединения от клиентов SecureNAT, расположенных за back-end брандмауэром ISA, будут приходить на front-end брандмауэр ISA со своим оригинальным клиентским IP адресом в качестве адреса источника. Если мы оставим описание внутренней сети по умолчанию front-end брандмауэра ISA таким, как он выглядит сейчас, то соединения от клиентов SecureNAT, расположенных за back-end брандмауэром ISA, будут определятся, как обманные пакеты (spoofed packets).

Причина этого заключается в том, что сети брандмауэра ISA используются для того, чтобы определить обоснованность соединений, приходящих на интерфейс, который является корневым для особой сети брандмауэра ISA. Для front-end брандмауэра ISA корневым для внутренней сети по умолчанию является внутренний интерфейс с сетевым ID 10.0.1.0/24. Любые соединения с IP адресом источника в этом сетевом ID рассматриваются как правильные. Однако, если соединение с IP адресом источника, который не входит в описание внутренней сети по умолчанию проходит через интерфейс, который является корневым для внутренней сети по умолчанию front-end брандмауэра ISA (который является внутренним интерфейсом front-end брандмауэра ISA), то пакеты будут отбрасываться, как попытка обмана, т.к. брандмауэра ISA предполагает, что интерфейсу невозможно разрешать соединения от компьютеров из сети, для которой интерфейс не является корневым.

Мы можем легко решить эту проблему добавлением IP адреса, включенного в описание внутренней сети по умолчанию back-end брандмауэра ISA, в описание внутренней сети по умолчанию front-end брандмауэра ISA.

Для того чтобы добавить IP адрес внутренней сети по умолчанию back-end брандмауэра ISA в описание внутренней сети по умолчанию front-end брандмауэра ISA выполните следующие шаги:

  1. В консоли брандмауэра ISA раскройте название сервера, а затем разверните узел Configuration. Нажмите на узле Networks.
  2. В узле Networks выберите закладку Networks в окне details, а затем дважды щелкните на внутренней сети Internal.
  3. В диалоговом окне Internal Properties выберите закладку Addresses.
  4. В закладке Addresses нажмите на кнопку Add.
  5. В диалоговом окне IP Address Range Properties введите начальный адрес Starting address и конечный адрес Ending address в текстовых полях. В нашем примере мы введем 10.0.0.0 и 10.0.0.255, соответственно. Нажмите на кнопку OK.

    Front isa

    Рисунок 2

  6. Нажмите на кнопку OK в диалоговом окне Internal Properties.

    Front isa

    Рисунок 3

Настройка записи в таблице маршрутов (Routing Table) на Front-end брандмауэре ISA

Как и в ситуации с DMZ Web сервером, вам необходимо настроить запись в таблице маршрутов (routing table) на front-end брандмауэре ISA firewall, которая позволит определить маршрут до внутренней сети по умолчанию, расположенной за back-end брандмауэром ISA. Выполните подобную процедуру, как вы сделали с DMZ Web сервером для создания записи в таблице маршрутов, задающей путь к внутренней сети по умолчанию за back-end брандмауэром ISA.

Создание правила доступа (All Open Access Rule) на Front-end брандмауэре ISA

В примере, обсуждаемом в этой статье, мы создадим правило доступа All Open access rule на front-end брандмауэре ISA, разрешающее весь исходящий трафик из внутренней сети по умолчанию во внешнюю. Я это сделаю для упрощения сценария, и чтобы мы смогли сконцентрироваться на конфигурации DMZ. Я не рекомендую делать вам этого в промышленной среде.

Что я сделаю в промышленной среде? Некоторые вещи, которые мне хотелось бы рассмотреть – это:

  • Разрешить исходящий доступ через front-end брандмауэр ISA только для компьютеров DMZ, которые инициируют новые соединения.
  • Не разрешать исходящий доступ через front-end брандмауэр ISA для опубликованных серверов в DMZ и в корпоративной сети за back-end сервером ISA, для которых не нужны новые исходящие соединения с интернет
  • Разрешить исходящие соединения для всех протоколов от основного IP адреса на внешнем интерфейсе back-end брандмауэра ISA firewall. Это IP адрес, который будет представлен front-end брандмауэру ISA для клиентов Web proxy и брандмауэра, расположенных за back-end брандмауэром ISA

Это только самые главные рассуждения, и требования к исходящему доступу несмотря на front-end брандмауэр ISA будут меняться в зависимости от природы соединений, разрешенных к и от сегмента DMZ, а также от внутренней сети, расположенной за back-end брандмауэром ISA

Для того чтобы создать правило доступа All Open outbound access rule на front-end брандмауэре ISA выполните следующие шаги:

  1. В консоли front-end брандмауэра ISA в консоли брандмауэра ISA раскройте название сервера, а затем нажмите на узел Firewall Policy в левом окне консоли.
  2. Нажмите на ссылку Create New Access Rule на закладке Tasks в окне Task Pane.
  3. В диалоговом окне Welcome to the New Access Rule введите название правила в текстовом поле Access Rule name. В этом примере мы назовем правило All Open Outbound. Нажмите на кнопку Next.
  4. На странице Rule Action выберите параметр Allow и нажмите на кнопку Next.
  5. На странице Protocols выберите параметр All outbound traffic из списка This rule applies to и нажмите на кнопку Next.
  6. На странице Access Rule Sources нажмите на кнопку Add.
  7. В диалоговом окне Add Network Entities выберите папку Networks и дважды щелкните на элемент Internal. Нажмите на кнопку Close.
  8. Нажмите на кнопку Next на странице Access Rule Sources.
  9. На странице Access Rule Destinations нажмите на кнопку Add.
  10. В диалоговом окне Add Network Entities выберите папку Networks. Дважды щелкните на внешнюю сеть External. Нажмите на кнопку Close.
  11. Нажмите на кнопку Next на странице Access Rule Destinations.
  12. На странице User Sets примите параметр по умолчанию All Users и нажмите на кнопку Next.
  13. Нажмите на кнопку Finish на странице Completing the New Access Rule Wizard.
  14. Нажмите на кнопку Apply для сохранения параметров и обновления политик брандмауэра.
  15. Нажмите на кнопку OK в диалоговом окне Apply New Configuration.

Создание правила публикации Web Publishing Rule на Front-end брандмауэре ISA

Теперь мы создадим правило Web Publishing Rule для проверки нашего решения. Правило Web Publishing Rule будет простым и не требует аутентификации на брандмауэре ISA. Единственная аутентификация будет требоваться только на самом Web сайте. И снова, в промышленной среде я рекомендую, что если вы требуете аутентификации на Web сервере в DMZ, вы должны усилить безопасность с помощью установки аутентификации на брандмауэре ISA. Однако, если front-end брандмауэр ISA не является членом того же домена, что и опубликованный Web сервер, или если учетная запись пользователя не отражена на front-end брандмауэре ISA, то пользователю придется проходить аутентификацию дважды: один раз на front-end брандмауэре ISA и одни раз на самом Web сайте.

Мы создадим правило Web Publishing Rule, которое позволяет пользователям, которые входят на URL http://dmzweb.msfirewall.org , получить доступ на Web сервер в DMZ. Если вы хотите копировать эту конфигурацию, то вы должны добавить запись в файле HOSTS на front-end брандмауэре ISA, которая отображает общее название DMZ Web сервера в IP адрес Web сервера в DMZ. Дополнительно, общий DNS должен содержать запись Host (A) о сервере, которая описывает IP адрес на внешнем интерфейсе front-end брандмауэра ISA.

Для того чтобы создать правило Web Publishing Rule выполните следующие шаги:

  1. В консоли брандмауэра ISA раскройте название сервера и выберите узел Firewall Policy.
  2. В узле Firewall Policy выберите закладку Tasks в окне Task Pane, а затем нажмите на ссылку Publish a Web Server.
  3. На странице Welcome to the New Web Publishing Rule Wizard введите название правила Web Publishing Rule в текстовом поле Web Publishing Rule name. В этом примере мы назовем правило Publish DMZ Server. Нажмите Next.
  4. На странице Select Rule Action выберите параметр Allow и нажмите не кнопку Next.
  5. На странице Define Website to Publish введите название DMZ Web сервера в текстовом поле Computer name or IP address. Помните, что брандмауэр ISA должен быть в состоянии сопоставить это название с действительным IP адресом DMZ Web сервера в сети DMZ. Мы разрешим доступ ко всем папкам на этом сайте, поэтому введем /* в текстовом поле Path. Обычно, это хорошая идея переправлять оригинальный заголовок, т.к. это подключает много приложений, которые позволяют сценариям серверной стороны работать правильно. Нажмите на кнопку Next.

    Front isa

    Рисунок 4
  6. На странице Public Name Details выберите параметр This domain name (type below) из выпадающего списка Accept requests for. В текстовом окне Public name введите название, которое внешние пользователи будут использовать для доступа к сайту. В нашем примере, внешние пользователи будут использовать название dmzweb.msfirewall.org для доступа к сайту, поэтому мы введем это название. Мы хотим разрешить доступ ко всем папкам на этом сайте, поэтому мы оставим настройку Path (optional) без изменения (которая основывается на установках на предыдущих страницах). Нажмите на кнопку Next.

    Front isa

    Рисунок 5

  7. На странице Select Web Listener нажмите на кнопку New.
  8. На странице Welcome to the New Web Listener Wizard введите название для Web Listener. В этом примере мы назовем слушателя HTTP Listener. Нажмите на кнопку Next.
  9. На странице IP Addresses поставьте галочку в поле External и нажмите не кнопку Next.

    Front isa

    Рисунок 6
  10. Оставьте настройки на странице Port Specification без изменений и нажмите на кнопку Next.
  11. Нажмите на кнопку Finish на странице Completing the New Web Listener Wizard.
  12. Нажмите Next на странице Select Web Listener.
  13. Оставьте настройки на странице User Sets без изменений и нажмите на кнопку Next.
  14. Нажмите на кнопку Finish на странице Completing the New Web Publishing Rule Wizard.
  15. Нажмите на кнопку Apply для сохранения изменений и обновления политик брандмауэра.
  16. Нажмите на кнопку OK в диалоговом окне Apply New Configuration.


Проверка решения

Давайте проверим конфигурацию. На компьютере во внешней сети создадим соединение к опубликованному Web серверу. В нашем примере я подключусь к http://dmzweb.msfirewall.org. Вы можете увидеть журнал в диалоговом окне. Введите свои пароли, и вы увидите домашнюю страницу сайта. В таблице ниже показаны записи журнала на front-end брандмауэре ISA, касающиеся попыток соединения с брандмауэром.

Front isa

Таблица 1: Записи в файле журнала, относящиеся к соединению внешнего клиента к опубликованному Web серверу в DMZ

В таблице 2 показан пример записей в журнале, касающихся внутри доменных соединений между DMZ Web сервером и контролером домена в корпоративной сети.

Front isa

Таблица 2: Внутри доменные соединения между DMZ Web сервером и контролером домена в корпоративной сети за back-end брандмауэром ISA

Резюме

В этой статье мы рассказали о концепциях и процедурах вовлеченных в размещение членов домена в сегменте DMZ в back to back конфигурацию брандмауэра ISA. В этой третьей части этой серии мы настроили front-end брандмауэр ISA и установили соединение с внешним клиентом. Затем мы посмотрели файлы журналов на front-end и back-end брандмауэрах ISA, чтобы увидеть детали Web соединения к DMZ Web серверу и внутри доменные соединения между DMZ Web сервером и контролером домена в корпоративной сети за back-end брандмауэром ISA.

www.isaserver.org



Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]