Thursday, October 18th, 2018

Описание работы клиента брандмауэра ISA-сервера (Часть 1)

Published on Февраль 11, 2009 by   ·   Комментариев нет

Клиент брандмауэра – это дополнительное клиентское программное обеспечение, которое может быть установлено на любую поддерживаемую операционную систему Windows для предоставления повышенной безопасности и удобства использования. Клиент брандмауэра предоставляет следующие улучшения клиентам Windows:

  • Жесткая аутентификация на основе пользователей/групп для всех Winsock-приложений, использующих протоколы TCP и UDP
  • Пользователи и приложения могут быть записаны в файлы журналов ISA-сервера
  • Расширенная поддержка сетевых приложений, включая сложные протоколы, которым необходимы вторичные подключения
  • Поддержка «прокси» DNS для компьютеров клиента брандмауэра
  • Разрешает публикацию серверов, которым необходимы сложные протоколы, без помощи фильтров приложений
  • Инфраструктура маршрутизации сети прозрачна для клиента брандмауэра
  • Жесткая аутентификация на основе пользователей/групп для всех Winsock-приложений, использующих протоколы TCP и UDP

Клиент брандмауэра в явном виде отсылает информацию пользователя на ISA-сервер. Таким образом, вы можете создавать правила доступа, которые применяются к пользователям или группам, для разрешения или запрещения доступа к любому протоколу, сайту или содержимому на основе учетной записи пользователя или его членства в группе. Такой жесткий контроль исходящего доступа крайне важен. Не всем пользователям нужен одинаковый уровень доступа, пользователям должен быть разрешен доступ только к тем протоколам, сайтам или содержимому, которые необходимы для их работы.

Замечание:Концепция разрешения пользователям доступа только к тем протоколам, сайтам или содержимому, которые им необходимы, основывается на принципе наименьшей привилегии. Принцип наименьшей привилегии применяется как к входящему, так и к исходящему доступу. Для входящего доступа правила публикации сервера и web-публикации разрешают трафик с внешних узлов на сетевые ресурсы Интернета в режиме высокого уровня контроля и проверки. То же самое верно и для исходящего доступа. В обычных сетевых окружениях входящий доступ крайне ограничен, причем пользователям разрешен исходящий доступ практически ко всем желаемым ресурсам. Такой подход к контролю исходящего доступа может подвергнуть риску не только корпоративную сеть, но и другие сети, поскольку сетевые черви могут легко преодолевать брандмауэры, которые не ограничивают исходящий доступ.

Клиент брандмауэра автоматически отсылает учетные данные пользователя (имя пользователя и пароль) на ISA-сервер. Пользователь должен быть зарегистрирован либо с помощью учетной записи, которая находится в домене Windows Active Directory или NT, либо учетная запись пользователя должна быть отображена на ISA-сервере. Например, если у вас есть домен Active Directory, пользователи должны регистрироваться в домене, а ISA-сервер должен быть членом домена. ISA-сервер сможет аутентифицировать пользователя и либо разрешить, либо запретить доступ на основе пользовательских учетных данных.

Если у вас нет домена Windows, вы все равно сможете пользоваться клиентом брандмауэра для контроля исходящего доступа на основе пользователей/групп. В таком случае вы должны отобразить учетные записи, которые пользователи используют для регистрации на своих рабочих станциях, на учетные записи пользователей, хранящихся в локальном Администраторе учетных данных в системе защиты (Security Account Manager — SAM) на ISA-сервере.

Например, небольшая фирма не использует Active Directory, но хочет использовать жесткий контроль исходящего доступа на основе пользователей/групп. Пользователи регистрируются на своих компьютерах с помощью локальных учетных записей. Вы можете ввести те же самые имена и пароли на ISA-сервер, который сможет аутентифицировать пользователей на основе такой же информации об учетной записи, которая используется для регистрации на локальных компьютерах.

Клиенты Windows 9x можно настроить на переадресацию учетных данных домена, если у них установлен клиент Active Directory.

Пользователи и приложения могут быть записаны в файлы журналов сервера ISA 2004

Главным преимуществом использования клиента брандмауэра является то, что имя пользователя, отославшего свои учетные данные на ISA-сервер, записывается в файлы журнала ISA-сервера. Теперь вы легко можете создать запрос по имени пользователя в файле журнала и получить точную информацию об активности пользователя в Интернете.

Таким образом, клиент брандмауэра предоставляет не только высокий уровень безопасности с помощью использования жесткого контроля исходящего доступа на основе пользователей/групп, но и дает возможность использования отчетности высокого уровня. Пользователи будут меньше заинтересованы распространять информацию о своих учетных данных, если они будут знать, что их активность в Интернете отслеживается по их имени, а потому пользователи будут более ответственно подходить к работе в Интернете.

Расширенная поддержка сетевых приложений, включая сложные протоколы, которым необходимы вторичные подключения

В отличие от клиента SecureNAT, которому требуется фильтр приложений для поддержки сложных протоколов, требующих вторичных соединений, клиент брандмауэра поддерживает практически все Winsock-приложения, использующие протоколы TCP или UDP, в независимости от количества первичных или вторичных, без необходимости фильтров приложений.

ISA-сервер облегчает настройку Определения протоколов, отражая несколько первичных и вторичных соединений, и создание правил доступа на основе этих определений. Таким образом, достигается преимущество в вопросах Полной стоимости владения (Total Cost of Ownership — TCO), поскольку вам не нужно покупать приложения, известные SOCKS-прокси, и вам не нужно тратить время и деньги на создание настраиваемых фильтров приложений для поддержки «нефирменных» приложений.

Поддержка «прокси» DNS для компьютеров клиента брандмауэра

В отличие от клиента SecureNAT, клиент брандмауэра не обязательно должен быть настроен на использование DNS-сервера, который будет разрешать имена Интернет-узлов. ISA-сервер может сам выполнять роль «прокси» для функций DNS для клиентов брандмауэра.

Например, если клиент брандмауэр посылает запрос на соединение с ftp://ftp.microsoft.com, запрос отсылает напрямую на ISA-сервер. ISA-сервер разрешает имена для клиента на основе настроек DNS сетевой карты ISA-сервера. ISA-сервер возвращает IP-адрес компьютеру клиента брандмауэра, который отсылает FTP-запрос на IP-адрес FTP-сайта ftp.microsoft.com.

Также ISA-сервер кэширует результаты DNS-запросов, сделанных для клиентов брандмауэра. В отличие от сервера ISA 2000, который кэширует информацию по умолчанию на 6 часов, ISA-сервер кэширует записи на период, определенный параметром TTL (Время жизни) записи DNS. Таким образом, увеличивается скорость разрешения имени для соединения следующего клиента брандмауэра к одному и тому же сайту. На Рисунке 1 показана схема разрешения имен для клиента брандмауэра.

Isa proxy client

Рисунок 1: Схема разрешения имен

  1. Клиент отсылает запрос на ftp.microsoft.com.
  2. ISA-сервер отсылает DNS-запрос на внутренний DNS-сервер.
  3. DNS-сервер разрешает имя ftp.microsoft.com в IP-адрес и возвращает результат ISA-серверу.
  4. ISA-сервер возвращает IP-адрес сайта ftp.microsoft.com клиенту, сделавшему запрос.
  5. Клиент посылает запрос на IP-адрес сайта ftp.microsoft.com. Соединение завершено.
  6. Интернет-сервер возвращает запрошенную информацию клиенту через соединение клиента с ISA-сервером.

Инфраструктура маршрутизации сети прозрачна для клиента брандмауэра

Последнее большое преимущество, предоставляемое клиентом брандмауэра, это практически прозрачная для клиента инфраструктура маршрутизации. В отличие от клиента SecureNAT, который зависит от собственного шлюза по умолчанию и настроек шлюза по умолчанию на маршрутизаторах всей корпоративной сети, компьютеру клиента брандмауэра нужно знать только маршрут к IP-адресу внутреннего интерфейса сервера ISA 2004.

Компьютер клиента отправляет запросы прямо на IP-адрес ISA-сервера. Поскольку маршрутизаторы корпоративной сети обычно знают все маршруты в сети, не нужно менять инфраструктуру маршрутизации для поддержки соединений клиента брандмауэра с Интернетом. На Рисунке 2 показаны такие соединения с ISA-сервером. В Таблице 1 указаны преимущества клиента брандмауэра.

Описание работы сервера

Рисунок 2: Соединения клиента брандмауэра с сервером ISA 2004 не зависят от настроек шлюза по умолчанию и маршрутизаторов

Преимущества клиента брандмауэра Описание
Жесткая аутентификация на основе пользователей/групп для всех Winsock-приложений, использующих протоколы TCP и UDP Жесткая аутентификация на основе пользователей/групп для всех Winsock-приложений, использующих протоколы TCP и UDP, позволяет вам использовать сложный контроль над исходящим доступом, и дает вам возможность использования принципов наименьших привилегий, который защитит не только вашу сеть, но и другие сети.
Имя пользователя и информация о приложении сохраняется в журналах сервера ISA 2004 В то время как жесткий контроль доступ на основе пользователей/групп увеличивает безопасность вашей сети, сохранение в журналах ISA-сервера имени пользователя и приложения повышает возможности отчетности и позволяет вам легко осуществлять поиск сайтов, протоколов и приложений, к которым у любого из пользователей был доступ.
Расширенная поддержка сетевых приложений и протоколов Клиент брандмауэра имеет доступ практически ко всем протоколам на основе TCP или UDP, даже к тем сложным протоколам, которым необходимо несколько первичных и/или вторичных соединений, что в корне отличает его от клиента SecureNAT, требующего для поддержки сложных протоколов установки на ISA-сервере фильтров приложений. В итоге использование клиента брандмауэра снижает TCO сервера ISA 2004.
Поддержка прокси DNS для клиентов брандмауэра Сервер ISA 2004 может разрешать имена для клиентов брандмауэра. Это снимает с клиента ответственность за разрешение имен и позволяет ISA-серверу сохранять кэш DNS с последними запросами имен. Эта возможность также увеличивает безопасность для клиентов, поскольку таким образом устраняется необходимость настройки клиента брандмауэра на использование открытого DNS-сервера для разрешения имен Интернет-узлов.
Публикация серверов, требующих сложных сетевых протоколов Правила публикации серверов и web-публикации поддерживают простые протоколы, за исключением тех, чьи приложения установлены на сервере ISA 2004, например, фильтр приложений FTP-доступа. Вы можете установить клиент брандмауэра на опубликованный сервер для поддержки сложных протоколов, например, для поддержки игрового сервера в вашей сети. Важно отметить, что компания Microsoft больше официально не поддерживает эту конфигурацию и рекомендует вам иметь собственный код на C++ для фильтра приложений для поддержки ваших приложений.
Инфраструктура сетевой маршрутизации практически прозрачна для клиента В отличие от клиента SecureNAT, который зависит от инфраструктуры маршрутизации организации при использовании сервера ISA 2004 в качестве брандмауэра для доступа в Интернет, клиенту брандмауэра нужно знать только маршрут к IP-адресу внутреннего интерфейса ISA-сервера. Этим значительно уменьшаются издержки на администрирование, необходимые для поддержки клиента брандмауэра, при сравнении с клиентом SecureNAT.

Таблица 1: Преимущества использования клиента брандмауэра

Как работает клиент брандмауэра

Детали работы клиента брандмауэра не полностью документированы в литературе от Microsoft. На самом деле, если вы проследите соединения клиента с помощью средства Microsoft Network Monitor, вы увидите, что им невозможно декодировать соединения клиента; однако, у Ethereal есть простой фильтр для клиента брандмауэра, который вы можете использовать.

Мы точно знаем, что клиент брандмауэра сервера ISA 2004/6, в отличие от предыдущих версий, использует только порт TCP 1745 для Контрольного канала клиента. По этому контрольному каналу клиент напрямую связывается со службами ISA-сервера для выполнения разрешения имен и специальных сетевых команд для приложений (например, используемых FTP и Telnet). Служба брандмауэра использует информацию контрольного канала и устанавливает соединение между клиентом и сервером Интернета. ISA-сервер выступает как прокси между клиентом и сервером назначения.

Замечание: Клиент брандмауэра при соединении с ресурсом, не расположенным во внутренней сети, только устанавливает только соединение по контрольному каналу.

В сервере ISA 2000 внутренняя сеть определялась по Таблице локальных адресов (Local Address Table — LAT). Сервер ISA 2004/6 не использует LAT из-за расширенных сетевых возможностей. Тем не менее, клиент брандмауэра должен обладать механизмом для определения того, какое соединение следует отсылать на ISA-сервер, а какое – напрямую на узел назначения, с которым клиент и хочет соединиться.

В клиенте брандмауэра эта проблема решена с помощью адресов, определенных сетью ISA-сервера, в которой расположен клиент. Сеть ISA-сервера для любого клиента состоит из всех адресов, доступных с сетевого интерфейса, соединенного с сетью ISA-сервера самого клиента брандмауэра. Эту ситуацию интересно рассмотреть на примере много сетевого ISA-сервера с несколькими сетями ISA-сервера, ассоциированными с различными сетевыми адаптерами. Грубо говоря, все узлы, расположенные за одним и тем же сетевым адаптером (в независимости от подсети), считаются частью одной сети ISA-сервера, и все соединения между узлами одной сети ISA-сервера должны обходить клиента брандмауэра.

Адреса сетей ISA-сервера определяются во время установки ISA-сервера, но, если потребуется, вы можете создать свои собственные сети и после установки. Обычно, после установки, создается только внутренняя сеть ISA-сервера по умолчанию, и, если на ISA-сервер расположено больше двух сетевых адаптеров, вам необходимо вручную создавать остальные сети.

ПРЕДУПРЕЖДЕНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ISA-СЕРВЕРА: У вас может быть несколько интерфейсов на одном ISA-сервере. Однако, только одна сеть может называться Internal (Внутренняя). Внутренняя сеть состоит из групп компьютеров, которые находятся в явных доверительных отношениях друг с другом (как минимум им не требуется сетевой брандмауэр для контроля соединений между ними). У вас может быть несколько внутренних сетей, но дополнительные внутренние сети не могут быть включены в диапазон внутренних адресов другой внутренней сети. Тщательно проверьте системную политику ISA-сервера после установки для ограничения соединений между ISA-сервером и внутренней сетью по умолчанию, оставив только необходимые вам.

Это означает, что вы не можете использовать централизованно настроенный диапазон сетевых адресов для внутренней сети и дополнительных внутренних сетей для обхода клиента брандмауэра при соединениях между внутренними сетями и ISA-сервером через различные сетевые интерфейсы.

Однако, централизованная настройка клиента может быть выполнена для каждой сети ISA-сервера, поэтому вы можете контролировать настройки клиента для каждой сети. Так вы сможете управлять настройками клиента брандмауэра в каждой из сетей. Однако, такое решение не поможет в сценарии сеть внутри сети, при котором несколько подсетей располагаются за одной сетевой картой.

В сценарии «сеть внутри сети» если нужно, вы можете использовать локальный файл LAT (locallat.txt) для подмены централизованных настроек внутренней сети. Обычно сценарий «сеть внутри сети» не создает никаких значительных проблем для клиента брандмауэра.

Самым значительным преимуществом клиента брандмауэра сервера ISA 2004/6 перед предыдущими версиями клиента (Клиент Winsock Proxy 2.0 и клиент сервера ISA 2000) является возможность использования шифрованного канала между клиентом брандмауэра и ISA-сервером.

Помните, что клиент брандмауэра посылает учетные данные пользователя на ISA-сервер в явном виде. Клиент ISA-сервера теперь шифрует канал, так что любой, кто «прослушивает» сеть с помощью сетевого анализатора (например, Microsoft Network Monitor или Ethereal), не сможет перехватить данные. Заметьте, что у вас есть возможность настройки ISA-сервера на разрешение соединений и по безопасному шифрованному и нешифрованному контрольному каналу.

Для более детального изучения работы клиента брандмауэра с сервером ISA 2000 прочтите статью Стефана Поселе Работа контрольного канала клиента брандмауэра.

Замечание: Если в вашей сети используется протокол IPSec в режиме транспорта, и компьютер клиента брандмауэра использует режим транспорта протокола IPSec для связи с ISA-сервером, у вас могут возникнуть непредсказуемые проблемы соединений. Если клиенты брандмауэра ведут себя необычно, отключите IP-маршрутизацию в консоли ISA-сервера. В консоли раскройте сервер, затем узел Configuration (Настройки); щелкните по узлу General (Общие). В панели деталей щелкните по Define IP Preferences (Определить предпочтения IP). На вкладке IP Routing (IP-маршрутизация) убедитесь, что параметр Enable IP Routing (Включить IP-маршрутизацию) отключен. Обратите внимание, что отключение IP-маршрутизации значительно снизит производительность клиентов SecureNAT, которым требуется доступ к вторичным соединениям.

Выводы

В данной статье мы обсудили клиент брандмауэра ISA-сервера. Клиент брандмауэра работает как клиент Winsock-прокси, который отсылает запросы Winsock-приложений на ISA-сервер. Затем служба ISA-сервера выполняет роль прокси для этих соединений на пути к запрашиваемому клиентом ресурсу. Клиент брандмауэра поддерживает все протоколы, включая протоколы с несколькими первичными и вторичными соединениями, и не требует создания определения протоколов для правила доступа типа «все открыто». Важно отметить, что клиент брандмауэра может отсылать имя пользователя и компьютера на ISA-сервер, и эта информация отображается в файлах журналов и отчетах. Таким образом, вы получаете детализированную информацию о Интернет-соединениях пользователей практически по всем приложениям и протоколам, что нельзя сделать с компьютером, настроенным как клиент web-прокси или SecureNET. Помимо этого, клиент брандмауэра отсылает имя образа приложения на ISA-сервер, т.е. вы легко можете определить, используются ли пользователями корпоративной сети запрещенные приложения.

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]