Sunday, July 22nd, 2018

Как использовать Пакетные Фильтры ISA Server

Published on Февраль 9, 2009 by   ·   Комментариев нет

ISA Server использует пакетную фильтрацию, для управления внутренним и внешним доступом, к внешнему интерфейсу ISA Server и от него. Пакетная фильтрация — основная линия защиты ISA Server против внутренних атак. Пакетная фильтрация ISA, поддерживает RRAS пакетную фильтрацию. Если вы используете RRAS пакетную фильтрацию, вы не должны использовать ее, для контроля за внутренним и внешним доступом к внешнему интерфейсу ISA Server и от него.

Для работы пакетной фильтрации, она должна быть включена. Выполните следующие шаги, чтобы увидеть, включена ли пакетная фильтрация на ISA Server:

  1. Нажмите правой кнопкой мыши на разделе IP Packet Filters в левой области окна ISA Server Management, и выберите Properties.

    Пакетные фильтры

  2. На вкладке General поставьте галочку у Enable packet filtering, чтобы активизировать пакетную фильтрацию.

    Пакетные фильтры

  3. В том же окне вы можете включить IP Маршрутизацию, если вы хотите, чтобы внутренние SecureNAT клиенты имели доступ к не -TCP/UDP протоколам типа ICMPGRE.

Пакетная Фильтрация доступна только , при запущенном Firewal сервисе. Служба Firewall присутствует в том случае, если вы устанавливаете ISA Server в Integrated или только Firewall, режимах. Если вы устанавливаете ISA Server в режиме только Cache, вы не сможете осуществить пакетную фильтрацию.

Вы можете узнать режим ISA Server, нажав правой кнопкой мыши на имени вашего сервера в левой панели окна ISA Management, и выбрав пункт Properties. Вы увидите режим работы сервера на вкладке General.

Пакетные фильтры

Когда я должен включать пакетную фильтрацию и создавать пакетные фильтры?

Вы должны включать пакетную фильтрацию, в следующих ситуациях:

  • когда ISA Server
  • когда вы настраиваете trihomed ISA Server
  • когда вам нужно выполнять сервисы и приложения на ISA Server

ISA Server в краю сети

Когда вы включаете пакетную фильтрацию, ISA Server закрывает все порты на внешнем интерфейсе, которые не имеют пакетных фильтров, явно созданных, для разрешения внутреннего и/или внешнего доступа. Если вы включили пакетную фильтрацию, и у вас нет никаких пакетных фильтров, то не будет никакого внутреннего или внешнего доступа, если вы не создали протокол или правила публикации.

Обратите внимание, что отсутствие пакетных фильтров не предотвращает внутренний или внешний доступ к внутренней сети и из нее. Вы должны всегда использовать правила протокола для разрешения внешнего доступа к внешним сетевым ресурсам для внутренних сетевых клиентов. Сетевые и серверные правила публикации должны, разрешать внутренний доступ от внешних сетевых клиентов на внутренние сетевые серверы.
Пакетная фильтрация должна быть всегда включена, когда ISA Server — в краю сети. Когда ISA Server имеет связь с Интернет, вы можете удостовериться, что никакие порты не были открыты по неосторожности, при включении пакетной фильтрации. По умолчанию, единственный трафик, который позволяется, когда пакетная фильтрация включена — некоторые ICMP пакеты, требуемые для основного управления сетью, и DNS фильтр, который позволяет ISA Server делать DNS запросы от имени Прокси-сервера Сети и Firewall клиентов внутренней сети.

Пакетная фильтрация для DMZ серверов

Если Вы создаете trihomed ISA Server с DMZ сегментом, вы должны включить пакетную фильтрацию и настроить пакетные фильтры. Входящий и исходящий трафик DMZ сегмента, управляется пакетными фильтрами. Если нет никаких фильтров, разрешающих входящий или исходящий трафик в DMZ, то трафик будет блокирован на внешнем интерфейсе ISA Server.

Специальное примечание относительно конфигурации пакетной фильтрации для DMZ сегмента. Несколько человек прокомментировали мне, что, когда они конфигурируют фильтр, чтобы разрешить Весь IP Трафик, входящий и исходящий, trihomed DMZ сегмент не работает. Это действительно так. Вы должны создать индивидуальные пакетные фильтры , для движения входящего и исходящего трафика в DMZ сегменте. Однако, ISA Server действительно создает динамические пакетные фильтры, так что вы не должны создавать фильтры для ответа портов.

Пакетная фильтрация для сервисов и приложений на ISA Server

Сервисы и приложения, выполняемые на ISA Server, требуют пакетной фильтрации. Например, если вы хотите загрузить почтовый клиент, такой как Outlook Express на ISA Server, вы должны создать пакетный фильтр для исходящего доступа к TCP Портам 25 и 110, чтобы позволить доступ к внешним SMTP и POP3 серверам. Вы можете добавить другие пакетные фильтры, такие как TCP 119 для сетевого протокола передачи новостей (NNTP) или TCP 143 для протокола интерактивного доступа к электронной почте(IMAP).

Isa 2006 пакетный фильтр

Isa 2006 пакетный фильтр

Исключение — это, когда вы конфигурируете web-браузер, выполняемый на ISA Server непосредственно. В этом случае, вы можете настроить web-браузер, чтобы быть клиентом веб прокси-сервера. Этим способом, вы можете обойти создание пакетного фильтра для исходящего HTTP.

Будьте внимательным в настройках веб прокси-сервера в интернет броузере, если вы используете подключение через модем. Настройки клиента Прокси-сервера для web-браузера на ISA Server , использующем подключение через модем — отличаются от настроек для ISA Server’s использующих выделенную линию. Просмотрите мою статью относительно этой проблемы.

Когда я не должен Создавать пакетные фильтры?
Пакетные фильтры не должны использоваться для следующих целей:

  • чтобы управлять внутренним доступом к внутренним сетевым серверам
  • чтобы управлять внешним доступом от клиентов ISA Server

Я нахожу, что много людей, общающихся на досках объявлений, утверждает, что они должны создавать пакетные фильтры, чтобы обеспечить правильную работу их политики доступа. Дело обстоит не так в огромном большинстве случаев. Однако, есть некоторые специальные обстоятельства, когда вы должны настроить пакетные фильтры вместо правил протокола для поддержки внешнего доступа.

Пакетные фильтры и управление внутренним доступом

Доступ к серверам внутренней сети, также выполняется, используя правила Server Publishing или Web Publishing. Эти правила позволяют вам «публиковать» серверы для пользователей внешней сетей. Когда вы создадите правила публикации, ISA Server откроет порты, необходимые для доступа к внутренним серверам.

Есть неправильное представление, что вы должны вручную включить пакетные фильтры для работы Server Publishing или Web Publishing правил. Это не так. Вы можете убедиться, что правило публикации открыло порт, выполнив команду:

netstat –na

В выведенной информации, пролистайте до вхождений для внешнего интерфейса ISA Server, и просмотрите какие порты он прослушивает. Вы должны увидеть порт для службы, которую вы опубликовали. Если вы не видите, что этот порт открылся, возможно, произошла ошибка сервера при публикации.

Вы можете использовать следующую команду, чтобы найти интересующий вас порт, быстрее:

netstat –na | find “:25”

Замените 25 номером порта, который вы ищете для получения информации по нему.

Пакетные фильтры и управление внешним доступом

Управление внешним доступом для клиентов ISA Server должно быть сделано с правилами протокола, сайта, правилами содержания. Однако, только правила протокола имеют влияние на доступ протокола, так как сайт и правила содержания, сосредоточены только на названиях сайта.

Когда вы создаете правило протокола, ISA Server разрешает внутренний и внешний доступ к портам, указанным в правиле. Вы никогда не должны создавать пакетные фильтры, чтобы поддержать ваши правила протокола. Если правило протокола не работает, вы должны проверить другие факторы, которые могут вызывать эту ситуацию.

Единственное исключение к вышеупомянутому -, когда вам нужно разрешить внешний доступ к не-TCP/UDP протоколам. Правила протокола основаны на определениях протокола. Вы можете создавать определения протокола только для TCP, и UDP подобных протоколах. Поэтому, если вам необходимо разрешить внешний доступ к протоколам типа ICMP или GRE, вы должны создать пакетные фильтры, чтобы разрешить SecureNAT клиентам внешний доступ к этим не-TCP/UDP протоколам.

ОБРАТИТЕ ВНИМАНИЕ:

Имейте в виду, что, в то время как вы можете разрешить SecureNAT клиентам доступ к не-TCP/UDP протоколам, используя пакетные фильтры, вы не можете применить управления доступом. Например, если вы включаете внешний PPTP через ISA Server, ВСЕ SecureNAT клиенты будут иметь доступ к внешнему PPTP. То же самое для ICMP, подобных протоколов, типа PING. Все SecureNAT клиенты будут иметь доступ к внешнему ICMP и PING.

Нужно иметь в виду относительно правил протокола — то, что, если вы включаете правило, которое позволяет «Весь IP Трафик», оно будет работать по-разному, в зависимости от того, какой клиент обращается к этому правилу. Компьютеры являющиеся клиентами Firewall будут иметь внешний доступ ко всем TCP/UDP портам, но SecureNAT клиенты будут иметь доступ только к протоколам, которые указанны в определениях протокола, настроенного в ISA Server.

Итоги

Пакетные фильтры используются, для управления внутренним и внешним доступом на внешнем интерфейсе ISA Server. Когда пакетная фильтрация включена, пакетный фильтр, правило протокола или правило публикации должны существовать, чтобы разрешить трафик в и из ISA Server.

Пакетная фильтрация должна работать, когда ISA Server находится на краю сети. Вы также должны включить пакетный фильтр, когда вы создаете Trihomed DMZ, так как вы должны использовать пакетные фильтры, для управления внутренним и внешним доступом к и от DMZ сегмента. Пакетные фильтры также используются, чтобы разрешить приложениям и службам на ISA Server работать должным образом.

Вы не должны использовать пакетные фильтры вместо или для поддержки, правил протокола и правил публикации. Сами правила разрешают внутренний и внешний доступ, открывая необходимые порты, указанные в правилах.

Источник www.isaserver.org




Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]