Thursday, November 15th, 2018

Настройка сервера ISA 2004 в качестве брандмауэра сегмента сетевых служб пограничной сети – Часть 4: Настройка пограничного ISA Firewall

Published on Февраль 9, 2009 by   ·   Комментариев нет

В первых трех статьях серии, посвященной настройке сегмента сетевых служб ISA firewall, мы обсуждали создание сетевых периметров. ISA firewall. В третьей части мы продолжили настройку периметра сетевых служб ISA firewall, создав Правила публикации в Интернете, Правила публикации на сервере и Правила доступа. В четвертой части мы переключим внимание на пограничный ISA firewall.

Другие статьи данной серии:

Часть 1

Часть 2

Часть 3

В первых трех статьях серии, посвященной настройке сегмента сетевых служб ISA firewall, мы обсуждали создание сетевых периметров. ISA firewall. В третьей части мы продолжили настройку периметра сетевых служб ISA firewall, создав Правила публикации в Интернете, Правила публикации на сервере и Правила доступа. В четвертой части мы переключим внимание на пограничный ISA firewall.

В четвертой части мы переключим внимание на пограничный ISA firewall. Далее мы сделаем следующее:

  • Настроим внутреннюю сеть по умолчанию и создадим в пограничном ISA Firewall Таблицу маршрутов
  • Подключим внешний ISA Firewall к Active Directory Domain
  • Создадим в пограничном ISA Firewall правила доступа, контролирующие исходящий доступ из хостов Corpnet и хостов в сегменте сетевых служб
  • Создадим в пограничном ISA Firewall правила публикации для разрешения входящих подключений к серверу обмена почтовых служб

Следующий рисунок демонстрирует сеть, используемую в данной серии статей.

Скачать isa server 2004

Рисунок А

Настройка внутренней сети по умолчания в пограничном ISA Firewall

После установки пограничного ISA firewall программа взяла определение внутренней сети по умолчанию из таблицы маршрутов устройства пограничного ISA firewall. Пункты таблицы маршрутов указали мастеру установки ISA firewall на то, что адреса 10.0.1.0-10.0.1.255 должны быть включены в определение внутренней сети по умолчанию. Это правильна настройка, но только в случае если сеть пограничного ISA firewall располагалась на сетевом ID 10.0.1.0/24. Но в нашем случае это неправильная настройка, и она будет создавать проблемы с доступом к и с сегмента сетевых служб через пограничный ISA firewall.

Причина проблемы с первоначальными настройками внутренней сети по умолчанию пограничного ISA firewall кроется в том, что существует маршрутная связь между сетью Corpnet ISA firewall, которая к тому же является внутренней сетью по умолчанию пограничного ISA firewall, и внутренней сетью по умолчанию сегмента сетевых служб ISA firewall. Вследствие наличия маршрутной связи подключения от клиентов SecureNAT, размещенных за периметром сетевых служб ISA firewall, достигнут пограничный ISA firewallIP адресами первоначальных клиентов, включенные как адреса-источники. Обратите внимание на то, что это не касается прокси-подключений с помощью Winsock [Firewall] и прокси-клиентов Web. Если мы оставим определение внутренней сети по умолчанию пограничного ISA firewall таким, какое оно есть, то подключения от клиентов SecureNAT, размещенных за периметром сетевых служб ISA firewall, будут определяться как ложные.

Сети ISA firewall используются для определения достоверности подключений. Для пограничного ISA firewall корневым каталогом внутренней сети по умолчанию является внутренний интерфейс, размещенный на сетевом ID 10.0.1.0/24. Все подключения с IP адресом-источником на данном сетевом ID признаются достоверными.

IP адреса-источника, который не является частью определения внутренней сети пограничного ISA firewall, происходит через интерфейс, являющийся корневым каталогом внутренней сети пограничного ISA firewall, то подключение считается ложным. ISA firewall считает, что невозможно принять подключение с хоста сети ISA firewall, который не такой, для которого настроен интерфейс.

Примечание:

Я использую «корневой каталог» для обозначения точки выхода. Этот термин не подразумевает того, что IP адрес NIC или сетевой ID определяет, какие сетевые ID или вспомогательные сети могут быть размещены позади NIC. ID позади любого NIC. Необходимо только помнить, что все IP адреса, расположенные позади NICISA firewall, должны быть включены в сеть ISA firewall, для которой NIC выступает корневым каталогом, и что никакие другие сети не могут включать те же самые адреса.

Можно очень быстро решить эту проблему, добавив IP адреса, включенные во внутреннюю сеть по умолчанию периметра сетевых служб ISA firewall, в определение внутренней сети по умолчанию ISA firewall.

Добавление IP адресов сегмента периметра сетевых служб во внутреннюю сеть по умолчанию внешнего ISA Firewall

Выполните следующие действия:

  1. На панели программы ISA firewall выберите меню Configuration (Конфигурация). В этом меню выберите команду Networks (Сети).
  2. На странице Networks (Сети) выберите закладку Networks (Сети), затем дважды щелкните левой кнопкой мыши на Internal(Внутренние) сети.
  3. В диалоговом окне Internal Properties (Свойства внутренних сетей), выберите закладку Addresses (Адреса).
  4. На закладке Addresses (Адреса) нажмите кнопку Add (Добавить).
  5. В диалоговом окне IP Address Range Properties (Свойства IP адресов) в полях Starting address (Начальный адрес) и Ending address (Конечный адрес) введите соответствующие адреса. В нашем случае это 10.0.0.0 и 10.0.0.255 соответственно. Нажмите кнопку OK.

    Isa настройки 2004

    Рисунок 1

  6. Нажмите кнопку OK в диалоговом окне Internal Properties (Свойства внутренней сети).

    Как настроить подсети isa?

    Рисунок 2

Информация по IP адресам для хостов Corpnet определяются пожеланиями пользователя. Лучше всего не предоставлять пользователям входной адрес для маршрута доступа в Интернет. Это может привести к тому, что все пользователи начнут использовать клиент Firewall или настройку веб-прокси, что может быть использовано для усиления контроля за доступом, а также к блокировке приложений, установленных на компьютерах пользователей. Пользователи не смогут использовать такие приложения non-Winsock или веб-прокси, как утилиты ICMP PINGTRACERT.

Административные пользователи и серверы могут быть настроены с входными адресами для доступа в Интернет. Администраторы требуют использования утилит на основе ICMP, в то время как серверы не имеют авторизированных пользователей, поэтому и администраторы, и серверы требуют средства, обеспеченных настройками клиента SecureNAT.

Создание пункта таблицы маршрутов в пограничном ISA Firewall

Пункт таблицы маршрутов необходимо настроить так, чтобы было известно, по какому пути пойти для достижения сегмента сетевых служб. ISA firewall должен быть настроен с использованием всех пунктов таблицы маршрутов для всех сетевых ID, которые нельзя достигнуть с помощью водного адреса по умолчванию. ID вашей корпоративной сети.

Обратите внимание на то, что если ISA firewall настроена с входным адресом, указывающим на маршрутизатор LAN, а все сетевые ID доступны из маршрутизатора, то нет смысла вводить все ID в таблицу, так как маршрутизатор сделает все необходимое.

В пограничном ISA firewall откройте приглашение на ввод команды и введите следующее:

route add –p 10.0.0.0 MASK 255.255.255.0 10.0.1.2

  • 0.0.0 — это сетевой ID для сегмента сетевых служб позади периметра сетевых служб ISA firewall, 255.255.255.0 – маска подсети для сетевого ID, 10.0.1.2 — IP адрес внешнего интерфейса внутреннего ISA firewall.

Следующий рисунок показывает пример настройки пункта таблицы маршрутов.

Isa IP конфигурация

Рисунок 3

Подключение пограничного ISA Firewall к домену

Пограничный ISA firewall должен быть членом домена, чтобы вы смогли воспользоваться всем потенуиалом настроек FirewallWeb. В то время как допускается использование авторизации RADIUS для прокси-клиентов, существуют серьезные ограничения для входа и управления. Именно поэтому я рекомендую избегать авторизации RADIUS. Кроме того, необходимо сделать пограничный ISA firewall членом домена для того, чтобы в полной мере воспользоваться улучшенной безопасностью и гибкостью клиента Firewall.

Пограничный ISA firewall сможет воспользоваться правилом доступа к интродоменой связи, созданным в периметре сетевых служб ISA firewall для доступа к контроллеру домена. Пограничный ISA firewall настроен для использования сервера DNSDNS настроен для поддержки имен в сети и в Интернете.

Создание в пограничном ISA Firewall правила доступа, контролирующиего исходящий доступ из хостов Corpnet и хостов в сегменте сетевых служб

Система защиты Firewall может быть настроена с учетом ваших требований безопасности. Вам необходимо решить, кто будет иметь доступ к каким сайтам и в какое время дня. В система защиты Firewall что-то одно не подходит для всего остального.

В нашем примере все хосты в сети Corpnet ISA firewall настроены как FirewallSecureNAT. Исключением является только рабочие станции администраторов, так как сетевые администраторы должны иметь доступ к протоколам non-Winsock и таким утилитам, как PING и TRACERT.

  • Правило доступа, позволяющее DC в сегменте сетевых служб связываться с исходящим DNS
  • Правило доступа, предоставляющее всем авторизированным пользователям доступ ко всем протоколам Обратите внимание на то, что можно создать очень точное управление доступом, а также создать группы ISA firewall, предоставляющие пользователям доступ к той информации, которая нужна им для выполнения работы
  • Правило доступа, разрешающее серверам сегмента сетевых служб доступ к сайтам отчетов WindowsMicrosoft Данное правило требуется для того, чтобы серверы сегмента сетевых служб не имели авторизированных пользователей, поэтому мы не сможем использовать клиента Firewall для получения авторизации от подключений сервера

Особенности правил доступа видны в таблице 1.

Таблица 1:: Правило доступа пограничного ISA Firewall

Имя Действие Протоколы От/приемник К Режим
1 Серверы MU и сообщений об ошибках Разрешить HTTP HTTPS Сегмент сетевых служб Сайты сообщений об ошибках Microsoft Сайты, разрешенные системой Все пользователи
2 Исходящий DNS для сервера DNS Разрешить DNS Сервер DNS* Внешний Все пользователи
3 Все открытые — авторизированные Разрешить Весь исходящий трафик Внутренний Внешний Все авторизированные пользователи

* Обратите внимание на обсуждение настройки «От» для данного правила доступа

Создание правила доступа исходящего DNS для сервера DNS

Выполните следующие действия для создания правила доступа, предоставляющего контроллеру домена сегмента сетевых служб исходящий доступ к протоколу DNS:

  1. В пограничном ISA firewall откройте панель ISA firewall и выберите Firewall Policy (Система защиты Firewall).
  2. На странице Firewall Policy (Система защиты firewall) выберите закладку Tasks (Задания), а затем выберите Create New Access Rule (Создать новое правило доступа).
  3. На странице Welcome to the New Access Rule Wizard (Добро пожаловать в мастер создания нового правила доступа) введите имя правила в поле Access Rule name (Имя правила доступа). В нашем случае мы называем правило Outbound DNS for DNS Server и нажимаем кнопку Next (Далее).
  4. На странице Rule Action (Действие для правила) выберите Allow (Разрешить). Нажмите кнопку Next (Далее).
  5. На странице Protocols (Протоколы) выберите Selected protocols (Выбранные протоколы) из списка This rule applies to (Правило применимо к) и нажмите кнопку Add (Добавить).
  6. В диалоговом окне Add Protocols (Добавить протоколы) выберите папку Common Protocols (Общие протоколы), а в ней пункт DNS. Нажмите кнопку Close (Закрыть).
  7. На странице Protocols (Протоколы) нажмите кнопку Next (Далее).
  8. На странице Access Rule Sources (Источники правила доступа) нажмите кнопку Add (Добавить).
  9. В диалоговом окне Add Network Entities (Добавить объекты сети) в меню New (Новый) выберите Computer (Компьютер).
  10. В диалоговом окне New Computer Rule Element введите имя компьютера в поле Name (Имя). Назовем его DNS Server (Сервер DNS). Введите IP адрес внешнего интерфейса периметра сегмента сетевых служб ISA firewall. Обратите снимание на то, что мы используем IP адрес внешнего интерфейса из-за NAT связи между стандартной внутренней сетью периметра ISA firewall и его внешней сетью. Связь будет типа NAT. При связи NAT IP адрес-источник исходящего подключения является основным IP адресом внешнего интерфейса периметра ISA firewall. В нашем случае IP адресом является 10.0.0.2, поэтому вводим данное значение. Можете ввести описание. Нажмите кнопку OK.

    Скачать isa server 2004

    Рисунок 4

  11. В диалоговом окне Add Network Entities (Добавить объекты сети) выберите папку Computers (Компьютеры), а в ней пункт DNS Server (Сервер DNS). Нажмите кнопку Close (Закрыть).

    Isa сегмент сети

    Рисунок 5
  12. На странице Access Rule Sources (Источники правила доступа) нажмите кнопку Next(Далее).
  13. На странице Access Rule Destinations(Места назначения правила доступа) нажмите кнопку Add(Добавить).
  14. В диалоговом окне Add Network Entities (Добавить объекты сети) в меню Networks(Сети) выберите External (Внешние). Нажмите кнопку Close (Закрыть).
  15. На странице Access Rule Destinations(Места назначения правила доступа) нажмите кнопку Next(Далее).
  16. На странице User Sets (Установки пользователя) нажмите кнопку Next (Далее).
  17. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите кнопку Finish(Закончить).

Создание правила открытости для всех авторизированных пользователей

Выполните следующие действия для создания правила исходящего доступа для всех авторизированных пользователей к протоколам и сайтам:

  1. В пограничном ISA firewall откройте панель ISA firewall и выберите Firewall Policy (Система защиты Firewall).
  2. На странице Firewall Policy (Система защиты firewall) выберите закладку Tasks (Задания), а затем выберите Create New Access Rule (Создать новое правило доступа).
  3. На странице Welcome to the New Access Rule Wizard (Добро пожаловать в мастер создания нового правила доступа) введите имя правила в поле Access Rule name (Имя правила доступа). В нашем случае мы называем правило All OpenAuthenticated и нажимаем кнопку Next (Далее).
  4. На странице Rule Action (Действие для правила) выберите Allow (Разрешить). Нажмите кнопку Next (Далее).
  5. На странице Protocols(Протоколы) выберите All outbound traffic () из списка This rule applies to(Правило применимо к) и нажмите кнопку Next (Далее).
  6. На странице Protocols (Протоколы) нажмите кнопку Next (Далее).
  7. На странице Access Rule Sources (Источники правила доступа) нажмите кнопку Add (Добавить).
  8. В диалоговом окне Add Network Entities (Добавить объекты сети) в меню Networks(Сети) выберите Internal(Внутренние). Нажмите кнопку Close (Закрыть).
  9. На странице Access Rule Sources (Источники правила доступа) нажмите кнопку Next (Далее).
  10. На странице Access Rule Destinations (Места назначения правила доступа) нажмите кнопку Add (Добавить).
  11. В диалоговом окне Add Network Entities (Добавить объекты сети) в меню Networks (Сети) выберите External (Внешние). Нажмите кнопку Close (Закрыть).
  12. На странице Access Rule Destinations (Места назначения правила доступа) нажмите кнопку Next (Далее).
  13. На странице User Sets (Установки пользователей) выберите All Users (Все пользователи) и нажмите кнопку Remove (Удалить). Нажмите кнопку Add (Добавить).
  14. На странице Add Users (Добавить пользователей) дважды щелкните левой кнопкой мыши на пункте All Authenticated Users (Все авторизированные пользователи) и нажмите кнопку Close (Закрыть).

    Как настроить подсети isa?

    Рисунок 6

  15. На странице User Sets (Установки пользователей) нажмите кнопку Next (Далее).
  16. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите кнопку Finish(Закончить).

Создание правила доступа к сайтам обновлений и сообщений об ошибках

Выполните следующие действия для создания правила доступа, предоставляющего серверам сегмента сетевых служб доступ к сайтам обновлений Windows и сайтам сообщений об ошибках Microsoft:

  1. В пограничном ISA firewall откройте панель ISA firewall и выберите Firewall Policy (Система защиты Firewall).
  2. На странице Firewall Policy (Система защиты firewall) выберите закладку Tasks (Задания), а затем выберите Create New Access Rule (Создать новое правило доступа).
  3. На странице Welcome to the New Access Rule Wizard (Добро пожаловать в мастер создания нового правила доступа) введите имя правила в поле Access Rule name (Имя правила доступа). В нашем случае мы называем правило MU and Error Reporting — Servers и нажимаем кнопку Next (Далее).
  4. На странице Rule Action (Действие для правила) выберите Allow (Разрешить). Нажмите кнопку Next (Далее).
  5. На странице Protocols (Протоколы) выберите Selected protocols (Выбранные протоколы) из списка This rule applies to (Правило применимо к) и нажмите кнопку Add (Добавить).
  6. В диалоговом окне Add Protocols (Добавить протоколы) выберите папку Common Protocols (Общие протоколы), а в ней пункты HTTP и HTTPS. Нажмите кнопку Close (Закрыть).
  7. На странице Protocols (Протоколы) нажмите кнопку Next (Далее).

    Isa IP конфигурация

    Рисунок 7

  8. На странице Access Rule Sources (Источники правила доступа) нажмите кнопку Add(Добавить).
  9. В диалоговом окне Add Network Entities (Добавить объекты сети) в меню New (Новый) выберите Address Range (Диапазон адресов).
  10. В диалоговом окне New Address Range Rule Element введите имя диапазона адресов в поле Name(Имя). Назовем его Network Services Segment (Сегмент сетевых служб). В полях Start Address (Начальный адрес) и End Address (Конечный адрес) введите адреса. Введите дополнительное описание и нажмите кнопку OK.

    Скачать isa server 2004

    Рисунок 8

  11. В диалоговом окне Add Network Entities (Добавить объекты сети) выберите папку Address Ranges (Диапазон адресов), а в ней дважды щелкните левой кнопкой мыши на пункте Network Services Segment (Сегмент сетевых служб). Нажмите кнопку Close (Закрыть).

    Isa сегмент сети

    Рисунок 9

  12. На странице Access Rule Sources (Источники правила доступа) нажмите кнопку Next(Далее).
  13. На странице Access Rule Destinations(Места назначения правила доступа) нажмите кнопку Add(Добавить).
  14. В диалоговом окне Add Network Entities (Добавить объекты сети) выберите папку Domain Name Sets (Установки имени домена) дважды щелкните левой кнопкой мыши на Microsoft Error Reporting sites (Сайты сообщений об ошибках) и на System Policy Allowed Sites (Сайты, разрешенные системой). Нажмите кнопку Close (Закрыть).

    Как настроить publishing server isa 2004?

    Рисунок 10

  15. На странице Access Rule Destinations(Места назначения правила доступа) нажмите кнопку Next(Далее).
  16. На странице User Sets (Установки пользователей) нажмите кнопку Next (Далее).
  17. На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите кнопку Finish(Закончить).

Прежде чем применить созданные настройки, необходимо убедиться, что неавторизированные правила доступа расположены перед авторизированными. Это очень хороший подход к организации правил в ISA firewall.

Нажмите кнопку Apply (Применить) для сохранения изменений и обновления системы защиты firewall. В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите кнопку OK (Готово) Конечный результат можно увидеть на следующем рисунке.

Isa 2004 dmz IP range

Рисунок 11

Создание в пограничном ISA Firewall правила публикации для разрешения входящих подключений к серверу обмена почтовых служб

Теперь все готово для создания правил публикации для доступа к серверу обмена для пользователей из Интернета. OWA, Secure Exchange RPC, SMTP, POP3 и IMAP4.

Создание правила публикации на сервере SSL периметра сетевых служб ISA Firewall

SSL ISA firewall. Необходимо создать правило публикации на сервере вместо правила публикации в Интернете, потому что форма OWA, созданная периметром сетевых служб ISA firewall, не может доставить форму авторизации через прокси подключение пограничного ISA firewall. Правило публикации на сервере SSL предоставит безопасную связь, но не позволит edge ISA firewall выполнить проверку приложений подключения SSL, проходящего через пограничный ISA firewall.

Это ограничение нашей сети, выбранной для примера, и оно не подразумевает, что вы не сможете использовать OWA FBA во взаимных настройках ISA firewall. Например, у вас есть взаимные настройки ISA firewall DMZ между внешним и внутренним ISA firewall. FBA на внешнем ISA firewallOWA внешнего ISA firewall предоставления мандата правилу публикации внутреннего ISA firewall. Внутренний ISA firewall настроен для использования основной авторизации. В нашем случае, это единичный вход с FBA.

Создание правила публикации OWA периметра сетевых служб

Выполните следующие действия в пограничном ISA firewall для разрешения входящего доступа к правилу публикации OWA периметра сетевых служб ISA firewall:

  1. На панели программы ISA firewall выберите меню Firewall Policy (Система защиты Firewall).
  2. На странице Firewall Policy (Система защиты firewall) выберите закладку Tasks (Задания), а затем выберите Publish a Secure Web Server (Опубликовать сервер безопасности).
  3. На странице Welcome to the SSL Web Publishing Rule Wizard (Добро пожаловать в мастер создания правила публикации SSL) введите имя правила в поле SSL Web Publishing Rule name (Имя правила публикации SSL). В нашем случае мы называем правило SSL tunnel to OWANext (Далее).
  4. На странице Publishing Mode (Режим публикации) выберите SSL Tunneling (Туннель SSL) и нажмите кнопку Next (Далее).

    Скачать isa server 2004

    Рисунок 12

  5. На странице Select Server(Выбрать сервер) введите IP адрес внешнего интерфейса периметра сегмента сетевых служб ISA firewall. Это адрес, используемый приемником в правиле публикации OWA в периметре сетевых служб ISA firewall. В нашем случае IP адресом является 10.0.0.2, поэтому вводим данное значение и нажимаем кнопку Next (Далее).

    Isa сегмент сети

    Рисунок 13

  6. На странице поставьте галочку напротив External (Внешние) и нажмите кнопку Next (Далее).
  7. На странице Completing the New SSL Web Publishing Rule Wizard (Завершение работы мастера создания правила публикации SSL) нажмите кнопку Finish (Закончить).

Конечный результат можно увидеть на следующем рисунке.

Как настроить publishing server isa 2004?

Рисунок 14

Создание правила публикации на сервере Secure Exchange RPC, SMTP, POP3 и IMAP4

Следующий шаг – создание правила публикации на сервере в пограничном ISA firewall, что предоставит доступ к правилу публикации на сервере, настроенному в периметре сетевых служб ISA firewall. Данные правила позволяют интернетовским хостам получить доступ к серверу обмена в сегменте сетевых служб.

Создание правил публикации нового постового сервера

Выполнить следующие действия:

  1. На панели программы ISA firewall выберите меню Firewall Policy (Система защиты Firewall).
  2. На странице Firewall Policy (Система защиты firewall) выберите закладку Tasks (Задания), а затем выберите Publish a Mail Server (Опубликовать почтовый сервер).
  3. На странице Welcome to the New Mail Server Publishing Rule Wizard (Добро пожаловать в мастер создания правила публикации нового почтового сервера) введите имя правила в поле Mail Server Publishing Rule name (Имя правила публикации почтового сервера). В нашем случае мы называем правило Exchange Server (Сервер обмена) и нажимаем кнопку Next (Далее).
  4. На странице Select Access Type (Выбрать тип доступа) выбираем Client access: RPC, IMAP, POP3, SMTP (Доступ клиента: RPC, IMAP, POP3, SMTP) и нажмите кнопку Next (Далее).

    Isa 2004 dmz IP range

    Рисунок 15

  5. На странице Select Services (Выбрать службы) поставьте все галочку. Это позволит нам подключиться к Серверу обмена в сегменте сетевых служб через периметр сетевых служб ISA firewall для всех служб перечисленных на странице. Обратите внимание на комментарий, касающийся SMTP Message Screener. SMTP Message Screener можно установить на ISA firewall для фильтрации входящей и исходящей почты. Даже если SMTP Message Screener запрещен, то фильтр SMTP все равно задействован и защищает SMTP связь через периметр сетевых служб ISA firewall. Нажмите кнопку Next (Далее).

    Скачать isa server 2004

    Рисунок 16

  6. На странице Select Server (Выбрать сервер) в поле Server IP address (IP адрес сервера) введите IP адрес сервера обмена в сегменте сетевых служб. В нашем случае IP адресом является 10.0.0.2, поэтому вводим данное значение. Нажмите кнопку Next (Далее).
  7. На странице поставьте галочку напротив External (Внешние). Нажмите кнопку Next (Далее).
  8. На странице Completing the New Mail Server Publishing Rule Wizard (Завершение работы мастера создания правила публикации нового почтового сервера) нажмите кнопку Finish (Закончить).

Конечный результат можно увидеть на следующем рисунке. Обратите внимание на то, что Мастер создания правил публикации постового сервера добавил семь новых правил. Нажмите кнопку Apply (Применить) для сохранения изменений и обновления системы защиты firewall. В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите кнопку OK (Готово)

Список протоколов в isa 2004

Рисунок 17

Необходимо сделать еще одну вещь, что правила публикации на сервере работали корректно. Вследствие наличия маршрутной связи между сетью Corpnet ISA firewall и сегментом сетевых служб необходимо изменить правила публикации на сервере так, чтобы запрос клиента исходил из пограничного ISA firewall. Это позволяет использовать правила публикации на сервере, созданные в периметре сетевых служб ISA firewall, где приемник получает сигналы от сети Corpnet ISA firewall.

Настройка правил публикации на сервере для использования адреса ISA FirewallIP адреса-источника

Выполнить следующие действия для всех правил публикации на сервере, созданных мастером публикации нового почтового сервера:

  1. Дважды щелкните левой кнопкой мыши на одном из правил, созданных Мастером.
  2. В диалоговом окне Properties (Свойства) выберите закладку To (К).
  3. На закладке To (К) выберите Request appear to come from the ISA Server computer (Запрос поступил от компьютера сервера ISA). Нажмите кнопку OK.

    Yfcnhjqrf фаервол в isa

    Рисунок 18

  4. Повторить данное действие для всех правил, созданных Мастером.
  5. Нажмите кнопку Apply (Применить) для сохранения изменений и обновления системы защиты firewall.
  6. В диалоговом окне Apply New Configuration (Применить новые настройки) нажмите кнопку OK (Готово)

Обзор

В четвертой части серии статей о создании сегмента сетевых служб с помощью внутреннего ISA firewall мы обратили наше внимание на пограничный ISA firewall. ISA firewall, и теперь пользователи в Интернете могут получить доступ к службам сервера обмена из любой точки земного шара. В следующей статье серии мы настроим хосты сети Corpnet ISA firewall, внутренний DNS и установим настройки, используемые Firewall и прокси клиентами.

www.isaserver.org


Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]