Использование брандмауэра ISA 2006 Firewall (RC) для публикации OWA сайтов – Сценарий с одним сервером Exchange Server (Часть 2)

Published on Февраль 16, 2009 by   ·   Комментариев нет

В первой части этой, посвященной публикации OWA сайта на одном сервере Exchange, мы рассказали о основных принципах, необходимых для работы, а затем создали правило публикации Web Publishing Rule, которое публикует OWA сайт.

Если вы пропустили предыдущую часть этой статьи, то, пожалуйста, прочитайте: Использование 2006 ISA Firewall (RC) для публикации сайтов OWA  – Сценарий с единственным сервером Exchange (Часть 1).

В этой второй части этой статьи мы закончим исследование настроек правила Web Publishing Rule для увеличения безопасности для опубликованного OWA сайта. Мы также приведем обзор впечатлений пользователя от просмотра OWA сайта с использованием watered-down версий OW, и то, как пользователь может изменить свой пароль с помощью OWA интерфейса.

Настройка правила публикации OWA Web Publishing Rule

С этого момента правило публикации OWA Web Publishing Rule может работать, и пользователи смогут подключаться к OWA Web сайту с помощью этого правила. Однако, существуют некоторые моменты, для которых вам понадобится настроить правило. Дважды щелкните на правиле OWA.

В диалоговом окне OWA Properties (свойства), нажмите на закладку To. Здесь у вас есть настройка, позволяющая указать, каким образом брандмауэр ISA будет совершать соединение с опубликованным OWA Web сайтом. Настройка по умолчанию — Request appear to come from the ISA Server computer (запрос исходит от сервера ISA). Однако, если вы хотите записать оригинальный IP адрес клиента в файл журнала вашего Web сервера, то вы можете выбрать Requests appear to come from the original client (запрос исходит от оригинального клиента). Обратите внимание, что если вы выберите, чтобы брандмауэр ISA сохранял оригинальный IP адрес клиента, то опубликованный Web сервер должен быть настроек для работы в качестве клиента SecureNET.

Поднять ssl tunnel до exchange

Рисунок 1

Нажмите на закладку Traffic. Здесь у вас есть две настройки:

  • Require 128-bit encryption for HTTPS traffic (требовать 128-битное шифрование для HTTPS трафика). Эта настройка позволяет вам обязать клиентов использовать 128-битное шифрование при подключении к брандмауэру ISA. Практически все современные браузеры могут это сделать, и если вы уверены, что никто из ваших пользователей не использует старые браузеры, которые не поддерживают 128-битное шифрование, то вы можете установить эту настройку здесь.
  • Require SSL Client Certificate (требовать SSL сертификат клиента). Эта настройка позволяет вам требовать, чтобы пользователь предоставлял действительный сертификат пользователя (User Certificate) перед входом на сайт OWA. Сертификат пользователя (User Certificate) должен быть выписан на то же самое имя, под которым пользователь планирует войти на сайт.

Нажмите на закладку Application Settings (настройки приложения).

Здесь вы можете измените тип входа (Logon type), предоставляемый сервером Exchange Server, есть выбор из двух вариантов:

  • Выбранный пользователем (общий (public) или частный (private))
  • Всегда общий (Always public)

Эта настройка очень важна в контексте настроек, которые вы выбираете в окне Exchange Publishing Attachment Blocking frame. Здесь у вас есть настройка для блокирования вложений к электронным письмам от клиентов, которые подключаются от общих (Public) и/или частных (Private) компьютеров.

Хотя это и здорово, что у вас есть настройка для блокирования вложений от общих компьютеров, и разрешения их от частных компьютеров, но проблема заключается в том, что у брандмауэра ISA нет механизма определения, является машина общей (public) или частной (private). Решение полностью лежит на пользователе. Итак, вы можете выбрать настройку для блокирования вложений от общих компьютеров, но разрешить их от частных компьютеров.

Я предполагаю, что вы можете установить настройку Always public в окне Logon type, предоставляемым выпадающим окном Exchange Server, и это позволит контролировать доступ к вложениям для всех пользователей. Но с другой стороны, вы можете поставить обе галочки. Не очень понятно, почему вы должны заботиться о том, какой тип входа выбрал пользователь.

Нажмите на закладку Listener и нажмите на кнопку Properties. В диалоговом окне свой свойств Properties, выберите закладку Forms. В окне Password Management (управление паролем) у вас есть настройка, с помощью которой вы можете предоставить возможность пользователям изменять их пароль, и напоминать им об изменении пароля по прошествии “X” дней, благодаря использованию настроек Allow users to change their passwords (разрешать пользователям менять пароли) и Remind users that their password will expire in this number of days (напоминать пользователям о смене пароля за это количество дней).

Нажмите на кнопу Advanced в диалоговом окне свойств слушателя Properties и вы увидите настройки, относящиеся к куки (cookies) и продолжительности сессии (session timeouts).

Persistent cookies (постоянные куки) позволяют клиенту использовать одни и те же куку внутри приложения, и предоставляют пользователю дополнительное удобство, но при это снижают безопасность, т.к. куки потенциально можно украсть. По умолчанию стоит настройка разрешать постоянные куки (persistent cookies) только на частных машинах. Это является ответом на вопрос, который я задал выше относительно того, должны ли вы предоставлять пользователям возможность типа клиента. Настройка общий (Public) – частный (Private) компьютер не только контролирует отношение к вложениям, но и также контролирует отношение к куки. Другие две настройки для Persistent CookiesNever use persistent cookies (никогда не использовать постоянные куки) и On all computers (на всех компьютерах).

Настройка Ignore browser’s IP address for cookie validation (игнорировать IP адрес клиента для проверки куки) позволяет клиенту использовать одни и те же куки для различных IP адресов, например, если клиент располагается за балансировщиком нагрузки (load balancer), который сообщает другой IP адрес при подключении к внешнему интерфейсу брандмауэру ISA.

Https шифрование строки адреса

Рисунок 2

Окно Client Security Settings на рисунке выше позволяет вам настраивать продолжительность сессии (session timeout). По умолчанию она настроена на максимальное время простоя, для которого настроен Web слушатель. Вы можете настроить этот параметр, выбрав Treat as maximum session duration (рассматривать в качестве максимальной продолжительности сессии) и установить предел времени для public computers (общих компьютеров) и private computers (частных компьютеров). Вы также можете устанавливать параметр Apply session timeout to non-browser для клиентов Outlook RPC/HTTP и клиентов ActiveSync. Если вы не подключите эту настройку, то продолжительность сессии будет такой же, как максимальное время простоя (maximum idle time).

Настройки HTTP фильтра безопасности (Security Filter)

Хотя предварительная аутентификация (pre-authentication) и авторизация (authorization) являются важными функциями для безопасности, которые брандмауэр ISA firewall предоставляет для защиты вашего OWA сайта, брандмауэр ISA firewall может гораздо больше. Особенно, брандмауэр ISA firewall может гарантировать, что потенциально опасные HTTP соединения не пройдут через брандмауэр ISA firewall на опубликованный OWA сайт сервера Exchange. Брандмауэр ISA firewall способен сделать это благодаря использованию двух основных технологий:

  • SSL to SSL bridging (связка SSL на SSL)(SSL termination and initiation)
  • HTTP фильтр безопасности (Security Filter)

Связка SSL позволяет брандмауэру ISA проверять содержимое зашифрованного туннеля (encrypted tunnel). В отличие от аппаратных брандмауэров (hardware firewall), которые не в состоянии просматривать содержимое SSL туннеля, и пропускают опасные вложения через этот туннель на Web сервер, который находится за ним, брандмауэра ISA умеет просматривать SSL туннель и производить на прикладном уровне проверку содержимого, а затем заново шифровать соединения и передавать их по безопасному SSL туннелю на опубликованный Web сервер.

HTTP фильтр безопасности (Security Filter) производит HTTP проверку потенциально опасных соединений, которые могут прийти по SSL соединению. Т.к. мы знаем, что это “заведомо хорошее” соединение при подключении к сайту OWA site, то мы можем настроить HTTP фильтр безопасности (Security Filter) таким образом, чтобы он проверял, чтобы соединение удовлетворяло определенным параметрам, а если это не так, то разрывал соединение.

Для настройки HTTP фильтра безопасности (Security Filter), нажмите правой кнопку мыши на OWA правиле и выполните команду Configure HTTP. В результате откроется диалоговое окно Configure HTTP policy for rule, как показано на рисунке ниже.

Публикуем на isa owa exchange 2010

Рисунок 3

В таблице ниже отображена информация, которая вам необходим для того, чтобы завершить настройку HTTP фильтра безопасности (Security Filter) для правила публикации OWA Web Publishing Rule.

Setting and rule Outlook Web Access
General tab
Maximum headers length 32768
Maximum payload length 10485760
Maximum URL length 16384
Maximum query length 4096
Verify normalization Yes
Block high bit characters No
Block responses containing Windows executable content Yes (Note 1)
Methods tab
Allow only specified methods BCOPY BDELETE BMOVE BPROPPATCH DELETE GET MKCOL MOVE POLL POST PROPFIND PROPPATCH SEARCH SUBSCRIBE
Extensions tab
Action taken for file extensions Block specified extensions (allow all others)
Extension list .asax .ascs .bat .cmd .com .config .cs .csproj .dat .dll (Note 2) .exe (Note 1) .htr .htw .ida .idc .idq .ini .licx .log .pdb .pol .printer .resources .resx .shtm .shtml .stm .vb .vbproj .vsdisco .webinfo .xsd .xsx
Block requests containing ambiguous extensions No
Headers Tab
Blocked headers None
Signatures Tab
Blocked signatures: Request URL ./ \ .. (Note 3) % (Note 3) & (Note 3)

Таблица 1: Настройки HTTP фильтра безопасности (Security Filter) для правила публикации OWA Web Publishing Rule

Примечание: Блокирование расширения .exe и подключение настройки Block responses containing Windows executable content для Outlook Web Access блокируют доступ к управлению S/MIME. Если требуется управление S/MIME для Outlook Web Access на Exchange Server 2003, не включайте расширение .exe в список блокируемых расширений или подключите настройку Block responses containing Windows executable content.

Примечание: Блокирование расширения .dll для Outlook Web Access блокирует доступ к проверке правописания в режиме реального времени, который встроен в Outlook Web Access.

Примечание: Включение строк типа «..», «%» и «&» позволит избежать некоторые потенциально опасные типы атак, но также снизит доступ уровень доступа к определенным электронным сообщениям. Строка с темой электронного сообщения формирует часть URL для доступа к сообщению, и в результате этого, если электронное сообщение содержит один из вышеперечисленных символов, то оно будет заблокирована. Баланс должен быть достигнут между повышенной безопасность и функциональностью. Не включайте символ «:» в этот список, т.к. в результате этого окажется заблокировано большинство сообщений. У многих сообщений в теме стоят символы RE: и FW: в случае, если они были ответами, или их пересылали другим пользователям

Тестирование правила публикации Web Publishing Rule

Давайте посмотрим теперь, как все, что мы рассмотрели, работает на практике. Запустите ваш браузер и введите в строке адреса https://owa.msfirewall.org/exchange, а затем нажмите на кнопку ENTER. Вы увидите страницу входа на OWA, которая показано на рисунке ниже.

Как заблокировать сайт через сервер isa?

Рисунок 4

Обратите внимание, что вы можете выбрать следующие настройки:

  • This is a public or shared computer (это общий компьютер). Пользователь должен использовать эту настройку при подключении с компьютера, который не управляется корпоративно.
  • This is a private computer (это частный компьютер). Пользователь должен использовать эту настройку при подключении с корпоративного компьютера
  • Use Outlook Web Access Light. Пользователь должен выбрать эту настройку при подключении с помощью Web браузера, который не является Internet Explorer 6.0 или выше, или если пользователь использует очень медленное соединение.
  • I want to change my password after logging on (я хочу изменить свой пароль после входа). Эта настройка позволяет пользователю изменить свой пароль с помощью интерфейса OWA
  • Domain\user name. Пользователь должен использовать название домена\имя пользователя в формате username@domain.com для подключения к серверу Exchange Server. Если вы используете аутентификацию RADIUS, то вы всегда должны использовать название домена\имя пользователя. Если вы используете основную аутентификацию (Basic authentication), то пользователь может ввести всего лишь имя пользователя (и конечно пароль).
  • Password. Пароль пользователя вводится здесь

Когда вы входите, то появится OWA сайт, который можно увидеть на рисунке ниже.

Ge kbrfwbz owa isa2006

Рисунок 5

Когда вы нажмете на кнопку Log Off в интерфейсе OWA, вы увидите большую страницу, как на рисунке ниже.

Давайте взглянем на Outlook Web Access Light. Пользователь выбирает настройку Use Outlook Web Access Light на странице входа на OWA и вводит свое имя пользователя и пароль.

Почтовый ящик OWA появится в браузере с менее функциональным интерфейсом.

Теперь давайте посмотрим, что случится, когда пользователь захочет изменить свой пароль. В окне входа на OWA, пользователь выбирает настройку I want to change my password after logging on (хочу изменить свой пароль после входа) и вводит свое имя пользователя и пароль.

Появится окно для изменения пароля, в котором пользователь должен ввести свой старый пароль и затем дважды набрать свой новый пароль. После этого он должен нажать на кнопку Change Password.

После нажатия на кнопку Change Password, появится окно, которое информирует пользователя о том, что пароль был изменен и пользователь будет автоматически направлен в свой почтовый ящик. Если пользователь не был автоматически отправлен то, он может просто нажать на кнопку Continue.

Резюме

В этой статье из двух частей, посвященной публикации сайта OWA, мы сфокусировались на процедурах, используемых для публикации одного OWA сайта с помощью новых методов брандмауэра ISA. Мы подробно рассмотрели настройки для конфигурации, и как их можно использовать для улучшения безопасности, которую может предоставлять брандмауэр для удаленных соединений к вашему OWA сайту. Мы завершили рассмотрением опыта пользователя от входа на OWA, и узнали, как пользователь может изменить свой пароль с помощью интерфейса OWA.

www.isaserver.org




Смотрите также:

Tags: , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]