Wednesday, October 17th, 2018

Использование Unihomed ISA Firewall в филиалах для уменьшения WAN-нагрузки и кэширование SSL-запросов от Web-серверов главного офиса

Published on Февраль 13, 2009 by   ·   Комментариев нет

В эатой статье мы рассмотрим proxy-фильтр ISA firewall и набор кэш-функций.

В основном, я не пишу целую статью только о настройке unihomed Web proxy для ISA firewall, но, в последнее время у меня были ситуации, когда мне было нужно сконфигурировать ISA firewall для организации с большим количеством филиалов, которые хотели, используя ISA firewall, сэкономить пропускную способность WAN-соединений и обеспечить кэширование SSL-запросов с корпоративных Web-сайтов в своей интранет-сети.

Это интересная конфигурация, поскольку они не хотели, чтобы ISA firewall работал в полном режиме. Однако они хотели, чтобы возможности firewall ограничивались защитой самого устройства ISA firewall и обеспечивали выборочный доступ к сетевым службам, расположенным на устройстве unihomed ISA firewall.

Чтобы достичь лучшего понимания идеи, которую мы здесь пытаемся воплотить в жизнь, и того, как мы решили проблему, давайте начнем с диаграммы примерной сети.

На нижеприведенной диаграмме примерной сети изображен один главный офис и три его филиала. Филиалы соединены с главным офисом с помощью выделенных WAN-соединений. Как сеть филиала, так и сеть главного офиса имеют разные сетевые идентификаторы. Пакеты маршрутизируются в/из каждого филиала в главный офис, а из филиалов и главных офисов через Интернет-соединение в главном офисе.

Данная географически-распределенная организация имеет две главных цели развертывания ISA firewall-ов в филиалах:

  • Первая цель – это кэширование SSL-содержимого, расположенного на SSL Web-серверах главного офиса, к которым обращаются пользователи в филиалах. Чтобы воплотить эту цель в жизнь, в филиалах должны быть созданы правила web-публикаций, используя уникальную функцию моста ISA firewall типа SSL-SSL. Правила web-публикаций необходимы потому, что ISA firewall не может осуществить прямое SSL-SSL соединение типа «мост», а такое соединение требуется для доступа к текущему содержимому, находящемуся в шифрованном тоннеле.
  • Второй целью было уменьшение общей загрузки канала при WAN-соединениях путем локального кэширования такого количества содержимого, при котором выход в WAN происходил бы только для запроса тех данных, которые отсутствуют в локальных КЭШах ISA firewall-ов в филиалах.

    Ssl протокол фаервол

    Рисунок 1

На рисунке ниже показан путь запроса и ответа для соединений от клиентов в филиалах к web-серверам корпоративной сети:

  • Клиентская машина в филиале сконфигурирована как Web proxy клиент. Web proxy клиент посылает запрос на www.domain.com. Поскольку конфигурация клиента Web Proxy настроена на использование прямого доступа ко всем машинам домена domain.com, то этот клиент игнорирует запрос. Это требует от компьютера клиента Web Proxy выполнения двух действий: определения адреса по имени www.domain.com, а затем, посылки запроса вида HTTP GET прямо на IP-адрес, возвращенный DNS-сервером для этого Web-сервера. DNS-сервер на ISA firewall возвращает адрес Web-слушателя для правила web-публикации, используемого для опубликования того сервера, и запрос, сделанный к web-слушателю. В этом сценарии Web proxy клиент по существу действует как внешний клиент, выполняя запрос к Web-серверу в сети, защищенной ISA firewall.
    Примечание:
    Наверное, вы спрашиваете себя, почему мы сконфигурировали domain.com для прямого доступа и почему поместили DNS-серверы на сами unihomed ISA firewall-ы. Я коснусь этих деталей дальше в статье.
  • Правило Web-публикации на ISA firewall настроено на перенаправление запроса к Web-серверу в корпоративной сети, используя свой FQDN на вкладке «Кому» (“To”). Просмотр файла хостов на ISA firewall используется для преобразования FQDN Web-сервера в корпоративной сети в его IP-адрес. ISA firewall не может быть настроен на использование DNS-сервера, установленного на самом устройстве ISA firewall, потому что имена будет преобразованы в IP-адреса Web-слушателей, использующиеся для публикации Web-серверов. ISA firewall перенаправляет запрос на Web-сервер.
  • Web-сервер видит IP-адрес источника запроса (устройства ISA firewall) и возвращает ответ по этому IP-адресу. ISA firewall обеспечивает соединение SSL типа «мост», что позволяет ему кэшировать ответы (содержащие в заголовке информацию от Web-сервера о возможности кэширования содержимого) в КЭШе Web proxy.
  • ISA firewall перенаправляет ответ клиенту, который выполнил оригинальный запрос.

    Isa прямое соединение

    Рисунок 2

На рисунке изображены пути прохождения запроса и ответа на Web-запросы в Интернет:

  • Web proxy клиент перенаправляет Web-запросы прямо на Web proxy слушателя ISA firewall. ISA firewall преобразует имя для Web proxy клиента. В этом случае машина Web proxy клиента не отвечает за преобразование имени и не пытается соединиться напрямую с Web-сайтом. Сетевой интерфейс ISA firewall должен иметь DNS-сервер, который может преобразовывать имена Интернет-хостов.
  • ISA firewall преобразует имя из клиентского запроса и перенаправляет этот запрос на Web-сайт в Интернет. ISA firewall может быть настроен на использование цепочек Web proxy для передачи запроса на вышерасположенный сервер Web proxy, или он может использовать настройку шлюза по умолчанию для переправки запроса вверх на устройство в главном офисе, отвечающее за исходящий доступ в Интернет. Еще один способ состоит в настройке для ISA firewall адреса шлюза, через который возможно устанавливать соединение с сетью Интернет из филиала. Это позволит увеличить пропускную способность WAN-соединений, но также может увеличить частоту Интернет-соединений филиала, в то время как сервер Web proxy главного офиса может кэшировать содержимое, запрашиваемое всеми хостами в сети главного офиса и каждого из филиалов.
  • Web-сервер в сети Интернет возвращает ответ на ISA firewall. ISA firewall кэширует его, если это HTTP-запрос. Если это был SSL-запрос, то тогда ISA firewall не способен это сделать, потому как содержимое скрыто в SSL-туннеле. ISA firewall не может поддерживать исходящие SSL-соединения типа «мост» в это время. По этой причине, вы должны быть очень внимательны при предоставлении доступа пользователей SSL-сайтам и должны убедиться, что они имеют доступ к SSL-протоколу (или любому другому шифрованному протоколу, проходящему через ISA firewall).
  • ISA firewall возвращает ответ клиенту, сделавшему оригинальный запрос.

    Firewall для большого офиса

Рисунок 3

Примечание: Термин «исходящее» соединение типа «мост» может вызвать небольшую путаницу или обратное восприятие в этом сценарии, поскольку мы обычно думаем об исходящем соединении, как о разрешенном правилами доступа, или о входящих соединениях, как о разрешенных правилами публикации. В соответствии со сценарием данной статьи, как правила доступа, так и правила Web-публикации разрешают «исходящий» доступ с ISA firewall в филиале к любому месту за пределами этого филиала. Наверное, более правильно было бы сказать о том, что ISA firewall не может поддерживать соединение SSL-SSL типа «мост» для правил доступа, но может это делать для правил Web-публикации, т.к. можно предопределить имена, требуемые для сертификатов Web-сайта, ограничивающих Web-слушателя, а также известны имена сайтов, к которым обращаются клиенты через правило Web-публикации. В отличие от них, правила доступа используются для разрешения SSL-соединений с любым SSL Web сервером и нельзя заранее определить имена, которые будут иметь эти сайты.

В этой статье я собираюсь углубиться в детальное объяснение конфигурационных решений, которые мы реализовали для этого проекта. Если вам интересно, как работает сетевая модель ISA firewall, как ISA firewall преобразует имена, как функция прямого доступа Web proxy клиента предоставляет вам возможность превосходно-настроенного контроля за доступом к сайтам через ISA firewall, как применять wildcard-сертификаты для сокращения числа правил Web-публикации, которые вам нужно создать, а также многое другое, то начинайте читать.

На нижеприведенном рисунке изображен пример сети, которую я создал для демонстрации принципов и процедур, которые мы использовали для создания филиального сценария, описанного выше. В этой сети отсутствует маршрутизатор между ISA firewall-ом филиала и ISA firewall-ом главного офиса (потому что я не хотел напрягаться, строя VM для маршрутизатора). Это не проблема, т.к. решение работает одинаково и без маршрутизатора. Эту подлинную VM-сеть я использовал при проверке концепции проекта для развернутого решения.

Exchange уменьшить нагрузку на каналы связи

Рисунок 4

Модель сети включает в себя следующие ключевые компоненты:

ISA firewall главного офиса Внешний: 192.168.1.71 DG: 192.168.1.60 Внутренний: 10.0.0.1 ISA firewall главного офиса используется для моделирования маршрутизированного соединения между филиалом и главным офисом. Я создал сеть ISA firewall для сетевого идентификатора 192.168.1.0/24, а затем определил сетевое правило, определяющее маршрут связи между внутренней сетью по умолчанию ISA firewall главного офиса и сетью, в которой находится firewall филиала. Я мог использовать RRAS-маршрутизатор, но у меня был ISA firewall VM, который я мог применить для моделирования маршрутизатора главного офиса, что я и сделал. Я настроил правило доступа, открывающее путь всему трафику от firewall филиала в Интернет-сеть по умолчанию в обход ISA firewall главного офиса. ЗАМЕТЬТЕ, что вам не нужно иметь firewall в главном офисе, достаточно маршрутизатора. Но настройка ISA firewall – это хороший урок того, что не обязательно, чтобы внешний интерфейс ISA firewall был соединен с внешней сетью по умолчанию.
Unihomed ISA firewall филиала IP-адрес: 192.168.1.72 DG: 192.168.1.60 DNS: Общий DNS-сервер В ISA firewall филиала установлена одна сетевая карта (NIC). Она имеет действующий в сети филиала IP-адрес и шлюз по умолчанию, предназначенный для моего Интернет-соединения. Я сделал это для удобства. Я мог поменять сетевые идентификаторы и настроить firewall филиала на выход в Интернет через ISA firewall главного офиса. Но в данном случае можно указать шлюз по умолчанию для ISA firewall филиала на маршрутизатор, который будет направлять запросы, направленный в Интернет, в точку исходящего Интернет-доступа. Маршрутная таблица была настроена на firewall филиала в этой VM-сети таким образом, что имеет адрес шлюза для выхода в сеть главного офиса. Это позволяет ISA firewall филиала выходить в Интернет, используя наше офисное Интернет-соединение, в то время как маршрутизированные пакеты предназначены для внешнего интерфейса ISA firewall главного офиса.
Web-серверы главного офиса Смешанные адреса в сети главного офиса В состав парка Web-серверов главного офиса входят как SSL и не SSL Web сервера. Они все входят в один домен msfirewall.org. Это моделирует ситуацию, как будто у клиента все Web-сервера были бы хостами в одном DNS-домене. Это позволяет нам: Использовать wildcard-сертификат для правил Web-публикации. Этот сертификат можно было бы применить ко всем серверам домена. Не было бы нужды в создании новых сертификатов с точными FQDN для каждого для всех Web-серверов, чтобы соединить множество слушателей. Использовать дробный DNS для контроля за преобразованием имен. Каждый филиал должен иметь DNS-сервер, чтобы преобразовывать имена Web-серверов в IP-адреса, которые использует правило Web-публикации для этого сервера. Это требуется потому, что клиенты Web proxy используют прямой доступ, а не соединения через Web proxy с этими Web-серверами через правила Web-публикации. Далее в статье я вернусь к этому более подробно. Создать «внешнюю» зону для корпоративного доменного имени в каждом из филиалов. Это позволит моделировать использование разделенной DNS-инфраструктуры, которую вы обычно используете для внешнего клиентского доступа к внутренним опубликованным Web-серверам корпоративной сети. Ключевым моментом здесь было то, что записи ресурсов хостов, которые мы ввели в DNS, были для имен открытых Web-серверов и указывали на IP-адреса, используемые особыми Web-слушателями ISA firewall-ов филиалов, используемых для опубликования серверов.
Клиент филиала IP-адрес: 192.168.1.1 DG: 192.168.1.60 DNS: 192.168.1.72 Клиент филиала в VM-сети – это компьютер с ОС Windows XP Service Pack 2, настроенный в качестве Web proxy клиента unihomed ISA firewall филиала. Клиент настроен на использование автоконфигурационного скрипта таким образом, что настройки прямого доступа берутся из ISA firewall. Вы могли сделать то же самое, используя файл .pac или настроив браузеры с помощью групповой политики на использование прямого доступа при соединении с сайтами msfirewall.org. Клиент филиала настроен на подключение к Интернет через нашу сеть в качестве шлюза по умолчанию.
Интернет-соединение

Чтобы осуществить это, вам следует принять во внимание или выполнить следующее:

  • Настройка информации по IP-адресации на устройстве NIC ISA firewall филиала Карта сетевого интерфейса (NIC) ISA firewall филиала настроена на шлюз, используемый по умолчанию всеми устройствами сети. Это может быть маршрутизатор фильтрации пакетов или другой ISA firewall, используемый на краю сети филиала. DNS-сервер, настроенный на NIC, должен разрешать имена Интернет-хостов и, выборочно, другие имена в корпоративной сети.
  • Установка ПО ISA firewall на устройстве ISA firewall в филиале В этом примере мы установим interprise-версию ISA firewall в филиале. Процедура установки на unihomed ISA firewall немного отличается от той, которую мы обычно применяем, так как мы почти всегда устанавливаем ISA firewall в полном режиме multi-NIC firewall. Ключевой момент здесь состоит в том, что при установке в режиме unihomed firewall все адреса в диапазоне IPv4 рассматриваются как часть внутренней сети по умолчанию (за исключением кольцевого сетевого идентификатора).
  • Установка и настройка DNS-сервера на устройстве ISA firewall филиала Нам нужно установить DNS-сервер на ISA firewall, чтобы создать инфраструктуру разделенного DNS, что позволит клиентам разрешать имена Web-серверов главного офиса в IP-адреса ISA firewall. DNS-сервер, установленный на unihomed ISA firewall настроен с зонами прямого и обратного обзора доменов Web-серверов главного офиса. Записи ресурсов Web-серверов затем вводятся в зону прямого обзора.
  • Запуск системы кэширования на устройстве ISA firewall филиала Одна из наших задач состоит в кэшировании SSL-ответов Web-серверов главного офиса. Мы решаем ее с помощью SSL-SSL соединения типа «мост» и запуском кэширования на unihomed ISA firewall.
  • Настройка прямого доступа в домен главного офиса Нам нужно убедиться, что клиенты Web proxy в филиалах не выполняют прямое соединение со службой Web proxy через слушателя службы Web proxy. Мы можем сделать это настройкой корпоративного домена или серверов корпоративного домена на прямой доступ при соединении с этими сайтами.
  • Создание правила доступа на устройстве ISA firewall, позволяющего исходящий доступ протокола DNS в локальную сеть хоста. Правило доступа, разрешающее исходящий доступ из внутренней сети по умолчанию в локальную сеть хоста требуется для того, чтобы разрешить клиентам филиала доступ к DNS-серверу на ISA firewall.
  • Создание правил Web-публикации для корпоративных Web-сайтов Правила Web-публикации нужны для обеспечения доступа к Web-серверам корпоративной сети. Следует использовать правила Web-публикаций вместо правил доступа, т.к. нам требуется обеспечить кэширование SSL-объектов, получаемых с Web-серверов корпоративной сети. Так как ISA firewall не способен обеспечить прямое SSL-SSL соединение типа «мост», мы решили получить доступ к шифрованному SSL-содержимому и провести его кэширование через правило Web-публикации, которое обеспечивает обратное SSL-SSL соединение типа «мост».
  • Настройка файла входящих хостов для корпоративных Web-серверов Нам нужно, чтобы устройство ISA firewall разрешало имя Web-сервера в его IP-адрес в корпоративной сети. И нам не нужно, чтобы использовался DNS-сервер на самом ISA firewall, потому что он разрешает имя опубликованного Web-сервера в IP-адрес самого ISA firewall, что вызовет циклические повторения, которых нам требуется избежать.
  • Создание правил доступа в Интернет Если вы хотите, чтобы пользователи филиала имели доступ в Интернет, вам нужно создать для них одно или более правил доступа. Заметьте, что unihomed ISA firewall поддерживает только соединения HTTP, HTTPS и Web proxied FTP (HTTP tunneled FTP). Все остальные соединения требуют выхода за пределы клиентского шлюза по умолчанию.
  • Настройка клиентов на использование ISA firewall филиала в качестве своего DNS-сервера Клиентам сети филиалов нужно разрешать имена Web-серверов главного офиса в IP-адреса unihomed ISA firewall филиала. Для того, чтобы сделать это, все клиенты должны быть настроены на использование IP-адреса DNS-сервера, установленного на устройстве unihomed ISA firewall.
  • Настройка клиентов в качестве клиентов Web Proxy В рамках настройки конфигурации филиала, обсуждаемой здесь, мы хотим, чтобы unihomed ISA firewall обеспечивал услуги Web proxy как для Интернет-соединений, так и для соединений с Web-серверами главного офиса. Для этого требуется, чтобы клиенты были настроены в качестве клиентов Web proxy или SecureNAT ISA firewall. Конфигурация клиента SecureNAT официально не поддерживается, несмотря на то, что если вы создаете клиентов SecureNAT ISA firewall, фильтр Web proxy разрешит этим клиентам доступ к желаемым ресурсам.

Я все еще размышляю, делать или нет эту серию статей, состоящую из многих частей, пошаговых инструкций, основанных на предыдущих работах. Данная статья включает в себя все ключевые элементы решения, но не дает детальной информации о том, как в полном объеме применять это решение. Если вы закоренелый пользователь ISA firewall и сетевой администратор, вы здесь почерпнете достаточно информации, чтобы понять, как это работает и осуществить это. Однако, если сопровождение сети с ISA firewall не является вашим основным занятием, но вы заинтересованы в пошаговой инструкции, дайте мне знать. Если я найду пятерых людей, заинтересованных в моем продолжении этой статьи в виде серии инструкций, то я это сделаю. Иначе, я займусь другими темами.

Резюме

В этой статье мы немного отдалились от обычного применения ISA firewall в качестве брандмауэра и сконцентрировались на нем, как на фильтре Web proxy и на наборе функций кэширования. В сценарии, обсуждаемом в статье, мы использовали фильтр Web proxy ISA firewall и кэширование, по существу, для построения SSL-SSL соединений типа «мост», используя ISA firewall для проверки на прикладном уровне «прямых» SSL-запросов Web proxy на Web-сервера главного офиса. Этот тип исходящих SSL-соединений типа «мост» был реализован использованием комбинации раздельной DNS-инфраструктуры и правил Web-публикации.

www.isaserver.org



Смотрите также:

Tags: , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]