Thursday, October 18th, 2018

Использование браузера на брандмауэре ISA Firewall (2004)

Published on Февраль 9, 2009 by   ·   Комментариев нет

Один из наиболее популярных вопросов, которые я видел на доске ISAServer.org и в списке рассылок – это: «Как мне использовать браузер на моем ISA брандмауэре». Мне больно слышать этот вопрос. В идеале, в безопасном окружении брандмауэра, вы не должны пользоваться Интернет браузером на брандмауэре.

Брандмауэр ISA никогда не должен быть использован в качестве рабочей станции, файлового сервера, Web-сервера или в качестве сервера какого-либо другого типа. Это – брандмауэр, и брандмауэр ISA на сегодняшний день один из лучших и наиболее безопасных брандмауэров на рынке. Использование браузера не лучшим способом влияет на безопасность брандмауэра.

Однако, в реальном мире сетевых вычислений, вещи не всегда работают так, как хочет от них безопасность. Когда мы выходим из «чистой комнаты» окружения, в котором живет большинство экспертов по безопасности, мы видим, что администраторы брандмауэров хотят использовать браузер на брандмауэре ISA по многим причинам. Это может быть посещение сайта обновлений Windows, загрузка скриптов для брандмауэра ISA и многие другие причины.

Эта статья объяснит, как настроить брандмауэр ISA для использования браузера на машине с брандмауэром ISA. Однако, прежде чем я продолжу, я хочу изложить свою официальную позицию на эту тему:

Никогда не используйте браузер или другие клиентские приложения на брандмауэре ISA. Использование клиентских приложений на брандмауэре ISA значительно снижает общую безопасность брандмауэра и может представлять потенциальную угрозу не только для брандмауэра, но и для всей вашей сетевой инфраструктуры.

Конфигурация брандмауэра ISA по умолчанию включает System Policy (Системную политику), позволяющую вам посещать сайты из списка надежных сайтов. Вы можете просмотреть Системную политику брандмауэра ISA, открыв консоль управления Microsoft Internet Security and Acceleration Server 2004, раскрыв имя сервера и кликнув на узле Firewall Policy (Политика Брандмауэра). В Task Pane (Окно заданий), кликните закладку Tasks (Задания). В списке System Policy Tasks (Задания Политики Системы) кликните Show System Policy Rules (Показать Правила Системной Политики).

Примечание: Системные политики брандмауэра управляют движением, возникающим на брандмауэре и уничтожающимся брандмауэром. Системные политики не котролируют движение через брандмауэр. Для управления потоком информации, проходящей через брандмауэр ISA, вам необходимо использовать Access Rules (Правила Доступа) и Publishing Rules (Правила Публикации).

Вы увидите, что правила Системной политики представлены в списке перед политикой брандмауэра. Это означает, что эти правила выполняются перед политиками брандмауэра, которые вы создаете сами. Имеется два правила Системной политики, которые позволяют брандмауэра ISA соединяться с интернет:

  • Позволять HTTP/HTTPS запросы от сервера ISASystem Policy Rule #17)
  • Позволять HTTP/HTTPS запросы от сервера ISAMicrosoft для сообщении об ошибках (System Policy Rule #23)

Правило Системной политики #17 разрешает соединения брандмауэра ISA к сайтам, разрешенным Системной политикой. По умолчанию к разрешенным сайтам относятся следующие:

*.microsoft.com

*.windows.com

*.windowsupdate.com

Брандмауэр заблокировал браузер как разблокировать браузер

Рисунок 1

Это правило позволяет брандмауэру ISA соединяться с ресурсами, расположенными в любом месте на сайте Microsoft, включая сайт обновлений Windows. Это правило полезно даже когда браузер не используется, так как механизм автоматического обновления, включенный в основу операционной системы, может использовать это правило Системной политики для загрузки обновлений с сайта Microsoft.

Правило Системной политики #23 позволяет брандмауэру ISA посылать информацию об ошибках на сайты, представленные в списке Microsoft Error Reporting sites. По умолчанию этот список включает в себя:

*.watson.microsoft.com

watson.microsoft.com

Брандмауэр заблокировал браузер как разблокировать браузер

Рисунок 2

Когда приложение «падает» или возникает какая-либо другая ошибка в брандмауэре ISA, брандмауэр может использовать это правило для соединения с сайтам, представленными в этом списке, чтобы отослать данные об ошибке. Вы также можете использовать браузер для доступа к этим сайтам.

Ваша попытка соединения будет отклонена, если вы попробуете соединиться с сайтами, неразрешенными этими двумя правилами Системной политики. Если вы хотите посетить любой другой сайт, вы должны добавить этот сайт в список разрешенных сайтов правил Системной политики или создать Политику брандмауэра, позволяющую доступ к сайтам, которые вы хотите посетить.

Простейший путь для этого – это разрешить создавать Правила доступа, позволяющие HTTP и HTTPS доступ из локальной сети к внешней сети. Менее легкий, но более безопасный метод – это подключить Proxy к локальной сети, создать Правило доступа, позволяющее локальной сети использовать HTTP и HTTPS для соединения с интернетом и настроить браузер для работы в качестве клиента Proxy.

Давайте сначала взглянем на простой путь, затем перейдем к менее простому, но более безопасному способу.

Способ 1: Meнее безопасный

Все что вам нужно для этого способа – это создать Правило доступа, позволяющее внешний доступ к HTTP/HTTPS из локальной сети к интернет. Этот метод не подвергает опасности запрос на соединение к фильтрам Proxy до тех пор, пока включены фильтры Proxy. Многие администраторы брандмауэра ISA не осуществляют привязку фильтров Proxy к HTTP протоколу, облегчая таким способом процесс прямого доступа. Я регулярно делаю это в своем брандмауэре, хотя это и не абсолютно требуется, и не абсолютно рекомендуется делать, до тех пор пока для этого не появляются специфические причины.

Я делаю это, потому что я требую, чтобы все клиенты Windows конфигурировались и как клиенты Proxy и как клиенты брандмауэра. Если компания хочет брандмауэр, она хочет безопасности, и поэтому она воспользуется безопасными технологиями, которые обеспечивает брандмауэр ISA. А если она надеется на удачу, то может использовать пакет фильтров PIX или сервер Sonicwall NAT, а не брандмауэр ISA.

Более подробную информацию по независимой работе фильтров Proxy и протокола HTTP вы можете найти в статье http://support.microsoft.com/default.aspx?scid=kb;en-us;838368.

Однако, даже если фильтр Proxy связан с протоколом HTTP, пользователь, начавший работу, не сможет посылать запросы на соединение брандмауэру. Причина этого в том, что данная установка не поддерживает конфигурацию клиента Proxy (вам необходимо подключить Web listener к локальной сети для поддержки клиента Proxy настроенного под браузер на брандмауэре ISA) и вы не сможете установить клиент брандмауэра на сам брандмауэр. Используя этот метод, вы должны позволять анонимные соединения из браузера на брандмауэре с интернет.

Для создания правила доступа необходимо выполнить следующие шаги:

  1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2004 и кликните на узле Firewall Policy. В окне Task Pane, кликните на закладке Tasks.
  2. В закладке Tasks, выберите ссылку Create a New Access Rule.
  3. На странице Welcome to the New Access Rule Wizard, введите имя для правила. В этом примере мы назовем правило Less Secure MethodISA Firewall to Web. Нажмите на кнопку Next.
  4. На странице Rule Action, выберите опцию AllowNext.
  5. На странице Protocols, выберите опцию Selected protocols из списка This rule applies to list и нажмите кнопку Add.
  6. В диалоговом окне Add Protocols, выберите папку Common Protocols. Дважды кликните на протоколах HTTPHTTPS. Нажмите на кнопку Close.
  7. Нажмите на кнопку Next на странице Protocols.
  8. На странице Access Rule Sources, нажмите на кнопку Add.
  9. В диалоговом окне Add Network Entities, выберите папку Networks Local Host. Нажмите на кнопку Close.
  10. Нажмите кнопку Next на странице Access Rule Sources.
  11. На странице Access Rule Destinations, нажмите кнопку Add.
  12. Выберите папку NetworksExternal. Нажмите на кнопку Close.
  13. Нажмите на кнопку Next на странице Access Rule Destinations.
  14. На странице User Sets, согласитесь с настройкой по умолчанию All Users и нажмите кнопку Next.
  15. Нажмите кнопку Finish на странице Completing the New Access RuleWizard.
  16. Нажмите кнопку Apply для сохранения изменений и обновления политики брандмауэра.
  17. Нажмите кнопку OK в диалоговом окне Apply New Configuration.
  18. Проверьте конфигурацию, открыв браузер на брандмауэре и посетив сайт. Соединение успешно.

Способ 2: Безопасный способ

Более безопасный способ для разрешения внешнего доступа из брандмауэра ISA к интернету используя браузер – это потребовать аутентификации. Перед началом работы пользователь должен пройти аутентификацию для использования интернет. Я рассматриваю любой анонимный доступ внешний или внутренний как потенциальную угрозу безопасности. И это верно даже в случае, когда информация истекает из самого брандмауэра ISA. Поэтому брандмауэр ISA критичный сетевой ресурс: вся информация именем пользователя и приложения. Ни один другой брандмауэр в настоящее время не обеспечивает безопасности для протоколов TCP и UDP и делает это прозрачно.

Для того чтобы контролировать доступ пользователей при использовании браузера на брандмауэре, вы должны подключить к локальной сети Proxy, а затем настроить браузер для работы в качестве клиента Proxy. Proxy разрешает исходящие запросы от браузеров, настроенных как клиенты Proxy.

Для подключения Web listener к локальной сети выполните следующие шаги:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004, выберите имя сервера и раскройте узел Configuration. Нажмите на узле Networks.
  2. В узле Networks, выберите закладку NetworksDetails. На закладке Networks, кликните правой кнопкой мыши на Local HostProperties.
  3. В диалоговом окне Local Host Properties, выберите закладку Web Proxy.
  4. На закладке Web Proxy, поставьте галочку в поле Enable Web Proxy clients. Оставьте поле в HTTP port значение по умолчания 8080. Не ставьте галочку в поле Enable SSL. Нажмите кнопку Apply, а затем OK.

    Isa разрешить только https сайт

    Рисунок 3

  1. Нажмите кнопку Apply для сохранения изменений и обновления политики брандмауэра.
  2. Нажмите OK в диалоговом окне Apply New Configuration.

Выполните следующие шаги для настройки браузера в качестве клиента Proxy:

  1. Кликните правой кнопкой мыши на иконку Internet Explorer на рабочем столе и выберите Properties.
  2. В диалоговом окне Internet Properties, выберите закладку Connections.
  3. В закладке Connections, нажмите кнопку LAN Settings.
  4. В диалоговом окне Local Area Network (LAN) Settings, уберите все галочки из настроек Automatically detect settings и Use automatic configuration script checkboxes. Поставьте галочку в поле Use a proxy server for your LAN. В текстовом поле Address, введите Localhost. В текстовом поле Port, введите 8080. Нажмите OK в диалоговом окне Local Area Network (LAN) Settings.
  5. Нажмите OK в диалоговом окне Internet Properties.

Последний шаг предназначен для того, чтобы создать Правило доступа, которое позволит внешний доступ к интернету, используя HTTP и HTTPS протоколы. Мы можем создать новое правило доступа по шаблону, или мы можем модифицировать правило, которое мы уже создали ранее. Давайте модифицируем ранее созданное правило:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 в узле Firewall Policy, дважды щелкните на правиле доступа Less Secure Method ISA Firewall to Web.
  2. В диалоговом окне Less Secure Method ISA Firewall to Web Properties, выберите закладку General. В текстовом поле Name, переименуйте правило на Secure Method ISA Firewall to Web. Нажмите кнопку Apply.
  3. Выберите закладку Users. В закладке Users, щелкните All UsersRemove. Нажмите на кнопку Add.
  4. В диалоговом окне Add Users, дважды щелкните All Authenticated UsersClose.
  5. Нажмите на кнопку Apply, а затем OK.

    Что такое Watson microsoft com?

    Рисунок 4

  1. Нажмите на кнопку Apply для сохранения изменений и обновления политики брандмауэра.
  2. Нажмите кнопку OK в диалоговом окне Apply New Configuration.
  3. Ваше правило доступа должно выглядеть как на рисунке ниже.

    Как добавить в брандмауэр браузер?

    Рисунок 5

  1. Откройте браузер, посетите сайт http://forums.isaserver.org и прочитайте некоторые вопросы и ответы.
  2. Если вы проверите лог-файл, вы увидите, что соединения к форуму ISAserver.org прошли аутентификацию. Обратите внимание на IP адрес клиента (Client IPIP адрес показывает, что локальный хост присоединен к интернету через Web Proxy listener. Вы также можете увидеть, что соединение происходит по порту (Destination Port) 8080.

    Как добавить в брандмауэр браузер?

    Рисунок 6

Резюме

В этой статье мы обсудили риски при использовании браузера на брандмауэре ISA. Однако, мы узнали, что не все администраторы брандмауэров ISA используют максимальные возможности безопасности, но так или иначе они откажутся от использования браузера на брандмауэре. Мы обсудили два метода, которые вы можете использовать для получения браузером прав на доступ к интернету, при работе на брандмауэре: метод с использованием аутентификации (безопасный) и метод без использования аутентификации (небезопасный).

Источник www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]