Thursday, October 18th, 2018

Конфигурирование Ненадежных Беспроводных DMZ в брандмауэре ISA: Часть 2: Установка и Конфигурирование ISA Firewall

Published on Февраль 6, 2009 by   ·   Комментариев нет

В первой части этой серии (из двух частей), показывающей, как создать ненадежный беспроводный сегмент DMZ в брандмауэре ISA, мы обсудили основные элементы инфраструктуры, требуемые для введения в работу этого решения. Затем мы рассмотрели в деталях, как создать раздельную DNS инфраструктуру для поддержки беспроводного DMZ сегмента. В этой второй части серии мы окончательно рассмотрим подробности конфигурирования брандмауэра ISA для завершения этого решения.

Если вы не читали часть 1 этой статьи, прочтите ее.

Установка Программного обеспечения ISA Firewall

Теперь мы готовы установить программное обеспечение брандмауэра ISA. Нет необходимости выполнять какие-либо специальные опции инсталляции на этом этапе. В процессе установки, вам будет задан вопрос о сетевом интерфейсе, представляющем Default Internal Network (Внутреннюю Сеть по умолчанию). Этот интерфейс будет использоваться для определения Внутренней Сети по умолчанию брандмауэра ISA. Не определяйте Сеть брандмауэра ISA, которая определяет DMZ беспроводную сеть до тех пор, пока полностью не завершится установка брандмауэра ISA.

Я здесь не буду описывать процесс установки брандмауэра ISA. Мы досконально рассмотрели детали этой процедуры в нашей книге Configuring ISA Server 2004 (Конфигурирование ISA Server 2004). Прочитайте эту книгу для изучения деталей, примечаний и советов по инсталляции программного обеспечения брандмауэра ISA в соответствии с вашими уникальными сетевыми требованиями.

Создание DMZ ISA Firewall Network

Вам необходимо создать Сеть брандмауэра ISA для беспроводного DNZ сегмента. Брандмауэр ISA использует Сети брандмауэра ISA для определения того, подключены ли Сети. Дополнительно к этому, брандмауэр ISA также использует описания Сетей брандмауэра ISA для определения маршрутизации между Сетями отправителя и получателя, которая опционально может быть Маршрутом или NAT.

Сети брандмауэра ISA определены на основе по-сетевых интерфейсов. каждый сетевой интерфейс, связанный с брандмауэром ISA, является «корнем» Сети брандмауэра ISA, и все адреса, напрямую доступные через отдельный интерфейс, включаются в описание отдельной Сети брандмауэра ISA. IP-адреса не могут использоваться в более чем одной Сети брандмауэра ISA, потому что нет IP-адреса, который был бы доступен напрямую из более чем одного сетевого интерфейса на устройстве брандмауэра ISA.

Следствие этого факта — это что все интерфейсы, установленные на брандмауэре ISA, должны быть расположены на разных сетевых ID. Брандмауэр ISA не поддерживает (по крайней мере, без проблем) более чем один сетевой интерфейс на сетевой ID. Могут быть некоторые исключения из этого правила, но я не буду обсуждать их здесь, потому что это выходит за рамки этого обсуждения и более подходит для необычного конфигурирования VPN сервера.

В примере, рассматриваемом в этой статье, сетевой интерфейс DMZ имеет IP-адрес 172.16.0.1/16. Так как этот сетевой интерфейс расположен на сетевом ID 172.16.0.0/16, то определение беспроводной DMZ Сети брандмауэра ISA включает IP-адрес 172.16.0.0-172.16.255.255. Заметьте, что реально вам нет необходимости включать все эти адреса в сетевой ID; вам требуется включить только те адреса, которые реально используются. Последняя опция предпочтительная в большом окружении, где желательно, чтобы вы использовали подсети из частных адресов по умолчанию сетевых ID повсюду в вашей организации.

Выполните следующие шаги для создания DMZ Сети брандмауэра ISA:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте имя сервера и, затем, раскройте узел Configuration (Конфигурация). Нажмите узел Networks (Сети).
  2. В узле Networks щелкните вкладку Networks на панели детализации консоли брандмауэра ISA. На вкладке Tasks (Задачи) Панели Задач нажмите ссылку Create a New Network (Создать Новую Сеть).
  3. На странице Welcome to the New Network Wizard (Добро пожаловать в Мастер Новой Сети) введите DMZ в поле Network name (Имя сети). Нажмите Next.
  4. На странице Network Type (Тип Сети) выберете опцию Perimeter Network (Сеть по периметру) и нажмите Next (Далее).
  5. На странице Network Addresses (Сетевые адреса) нажмите кнопку Add Adapter (Добавить адаптер).
  6. В окне диалога Select Network Adapters (выберите сетевой адаптер) выберите DMZ интерфейс и затем отметьте его галочкой. Сетевая информация, полученная из таблицы маршрутизации Windows, появится в поле Network Interfaces Information (Информация о Сетевых Интерфейсах). Нажмите OK.

    Dmz 2 firewalls

  7. Нажмите Next на странице Network Addresses (Сетевые адреса).
  8. Нажмите Finish (Финиш) на странице Completing the New Network Wizard (Завершение Мастера Новой Сети).
  9. Новая Сеть брандмауэра ISA появится в списке Networks (Сети) на вкладке Networks (Сети).

    Ipcop firewall конфигурирование

    Конфигурирование DMZ Сети Брандмауэра ISA (опционально)

Мы предполагаем, что клиенты на беспроводной DMZ сети никогда не бывают надежными. Если пользователи являются ненадежными или компьютеры находятся не под вашим администраторским контролем, то компьютеры являются ненадежными в этом сценарии, о чем мы говорим в этой статье. Из-за того, что пользователи и компьютеры никогда не бывают надежными на беспроводных DMZ, нам ничего более не требуется сделать с конфигурацией новой DMZ Сети брандмауэра ISA.

Однако могут быть случаи, в которых вы захотите настроить Properties (Свойства) новой сети брандмауэра ISA для поддержки клиентов Брандмауэра и клиентов Web proxy. Когда вы конфигурируете поддержку для клиентов Web proxy и Брандмауэра, вы можете создать правила, которые требуют от пользователей авторизации перед доступом к любому содержимому через брандмауэр ISA.

Я хочу перейти к подробностям конфигурирования Properties (Свойств) новой Сети брандмауэра ISA, представляющей нашу беспроводную DMZ в этой статье, потому что мы делаем предположение, что host’ы существуют в этой сети. В будущей статье я рассмотрю подробности конфигурации Properties (Свойств) Сети брандмауэра ISA для поддержки клиентов Web proxy и Брандмауэра в сценарии, где новая Сеть брандмауэра ISA представляет дополнительную внутреннюю Сеть брандмауэра ISA.

Примечание: Вы можете иметь множество внутренних Сетей брандмауэра ISA, но только одна является Default Internal Network (Внутренней Сетью по умолчанию). Точно также, вы можете создать множество внешних Сетей брандмауэра ISA, но только одна будет Default External Network (Внешняя Сеть по умолчанию). Для большей информации о Сетях брандмауэра ISA и номенклатуре, используемой при описании Сетей брандмауэра ISA, прочитайте мою статью Понимание Сетей Брандмауэра ISA.

Создание Сетевых Правил, Описывающих Маршрутное Отношение между DMZ Сетью Брандмауэра ISA и Интернетом, DMZ Сетью Брандмауэра ISA и Внутренней Сетью по умолчанию

Создание Сети брандмауэра ISA для DMZ это только первый шаг. Хотя мы имеем Сеть брандмауэра ISA, представляющую беспроводный DMZ, Сеть не подключена к какой-либо другой Сети, потому что нет Сетевого Правила, которое соединяет беспроводную DMZ сеть с любой другой Сетью брандмауэра ISA. Следующий шаг — это подключение беспроводной DMZ сети к другим Сетям брандмауэра ISA созданием Сетевых Правил.

Есть две Сети брандмауэра ISA, которые мы хотим подключить к беспроводной DMZ Сети:

  • Внутренняя Сеть по умолчанию
  • Внешняя Сеть по умолчанию

Заметьте, что только поэтому мы создаем Сетевое Правило, которое соединяет одну Сеть брандмауэра ISA с другой Сетью брандмауэра ISA, фактически, их подключение не означает, что трафик может передаваться между ними. Вам необходимо создать Правила Доступа для разрешения передачи трафика между подключенными Сетями брандмауэра ISA.

В дополнение к соединению Сетей брандмауэра ISA, Сетевые Правила также определяют маршрутное отношение между соединенными Сетями. Маршрутное отношение может быть или Маршрутом, или NAT. Маршрут является двунаправленным: трафик пересылается от источника к получателю и от получателя к источнику. NAT является однонаправленным: трафик пересылается от источника к получателю, но не пересылается обратно от получателя к источнику.

Эти принципы направленности не очевидны прямо сейчас, если вы новичок в брандмауэре ISA. Если вы не вполне уверены, как работают отношения Маршрут и NAT, прочитайте статью Понимание Сетей Брандмауэра ISA, упомянутую ранее.

Мы создаем два Сетевых Правила:

  • Одно Сетевое Правило, которое определяет маршрутное отношение NAT между DMZ и Внешней Сетью по умолчанию
  • Одно Сетевое Правило, определяющее маршрутное отношение NAT между Внутренней Сетью по умолчанию и DMZ

Первое Сетевое Правило маршрутизирует соединения источника из DMZ Сети брандмауэра ISA с Интернетом. Исходящие соединения будут иметь свои IP-адреса источников, замененные IP-адресами, связанными с внешним интерфейсом брандмауэра ISA. Второе Сетевое Правило маршрутизирует соединения между Внутренней Сетью по умолчанию и DMZ и заменяем IP-адрес источника соединения от Внутренней Сети по умолчанию к host’ам, расположенным на DMZ Сети брандмауэра ISA, на IP-адрес, связанный с интерфейсом DMZ на брандмауэре ISA. Оба этих маршрутных отношения NAT имеют выгоду от скрытия оригинального IP-адреса источника, но недостаток от того, что не все протоколы корректно работают через NAT-устройства.

Выполните следующие шаги для создания Сетевого Правила, которое устанавливает маршрутное отношение между Внутренней Сетью по умолчанию и DMZ Сетью:

  1. В консоли брандмауэра ISA раскройте имя сервера и затем раскройте узел Configuration (Конфигурация) на левой панели консоли. Щелкните на узле Networks (Сети).
  2. В узле Networks щелкните на вкладке Networks Rules (Сетевые Правила) в панели детализации консоли брандмауэра ISA. Щелкните вкладку Tasks (Задачи) в Панели Задач и нажмите ссылку Create a New Network Rule (Создать Новое Сетевое Правило).
  3. В диалоговом окне Welcome to the New Network Rule Wizard (Добро пожаловать в Мастер Нового Сетевого Правила) введите имя для Сетевого Правила в поле Network rule name (Имя Сетевого правила). В этом примере мы используем имя Default Internal Network to DMZ. Нажмите Next.
  4. Нажмите Add (Добавить) на странице Network Traffic Sources (Источники Сетевого Трафика).
  5. В диалоговом окне Add Network Entities (Добавление Сетевых Объектов) щелкните папку Networks (Сети) и сделайте двойной щелчок на Сети Internal (Внутренняя). Нажмите Close (Закрыть).
  6. Нажмите Next на странице Network Traffic Sources.
  7. Нажмите Add на странице Network Traffic Destinations (Получатели Сетевого Трафика).
  8. В диалоговом окне Add Network Entities щелкните папку Networks и сделайте двойной щелчок на Сети DMZ. Нажмите Close.
  9. Нажмите Next на странице Network Traffic Destinations.
  10. На странице Network Relationship (Сетевое Отношение) выберете опцию Network Address Translation (NAT) (Трансляция Сетевого Адреса) и нажмите Next.

    Pre shared key isa

  11. Нажмите Finish на странице Completing the New Network Rule Wizard (Завершение Мастера Нового Сетевого Правила).

Теперь мы создадим второе Сетевое Правило, которое соединит DMZ с Интернетом:

  1. В консоли брандмауэра ISA раскройте имя сервера и затем раскройте узел Configuration на левой панели консоли. Щелкните узел Networks.
  2. В узле Networks щелкните вкладку Networks Rules на панели детализации консоли брандмауэра ISA. Щелкните вкладку Tasks в Панели Задач и нажмите ссылку Create a New Network Rule.
  3. В диалоговом окне Welcome to the New Network Rule Wizard введите имя для Сетевого Правила в поле Network rule name. В этом примере имя правила будет DMZ to Internet. Нажмите Next.
  4. Нажмите Add на странице Network Traffic Sources.
  5. В диалоговом окне Add Network Entities щелкните папку Networks и сделайте двойной щелчок на Сети DMZ. Нажмите Close.
  6. Нажмите Next на странице Network Traffic Sources.
  7. Нажмите Add на странице Network Traffic Destinations.
  8. В диалоговом окне Add Network Entities щелкните папку Networks и сделайте двойной щелчок на Сети External (Внешняя). Нажмите Close.
  9. Нажмите Next на странице Network Traffic Destinations.
  10. На странице Network Relationship выберете опцию Network Address Translation (NAT) и нажмите Next.

    Dmz isa создание

  11. Нажмите Finish на странице Completing the New Network Rule Wizard.

Создание Политики Брандмауэра в брандмауэре ISA

Последний шаг — это создать Правила Доступа, которые определяют, какой трафик может проходить через и к брандмауэру ISA. Политика Брандмауэра всегда зависит от ваших собственных требований безопасности и управления сетевым доступом. В примере, рассматриваемом в этой статье, мы создаем какую-то простую политику брандмауэра, которая является более либеральной, чем та, которую нам следует использовать в реальном окружении, но обеспечит каркас, который вы сможете использовать в ваших начальных тестах. Позже вы можете привести политику в соответствие с вашими требованиями.

Мы создадим следующие Правила Доступа:

DNS в DMZ интерфейс

Клиенты SecureNAT в сегменте DMZ нуждаются в разрешении имен Интернет host’ов, используя DNS сервер на брандмауэре ISA. Это требует Правило Доступа, разрешающее host’ам на сегменте DMZ иметь доступ к DNS серверу на брандмауэре ISA. Дополнительно, host’ы в DMZ Сети могут захотеть получить доступ к выбранным ресурсам на Внутренней Сети по умолчанию, которые вы опубликовали для клиентов в DMZ Сети.

В примере, обсуждаемом в этой статье, мы создадим Secure Exchange RPC Server Publishing Rule (Серверное Правило Публикации Безопасного Обмена RPC). Требование для host’ов в DMZ Сети, вытекающее из этого правила — что они должны быть способны преобразовать имя Exchange Server (Сервера Обмена) в IP-адрес, связанный с интерфейсом DMZ брандмауэра ISA. Это является частью раздельной DNS инфраструктуры. Host’ы на Внутренней Сети по умолчанию используют Внутренний DNS сервер, который преобразует имя Exchange Server в его реальный внутренний IP-адрес, а host’ы на DMZ Сети преобразуют имя Exchange Server в IP-адрес, используемый в Серверном Правиле Публикации, которое публикует Exchange Server для host’ов в DMZ Сети.

Заметьте, что раздельная DNS инфраструктура может иметь множество «разделений». Если вы также хотите опубликовать Exchange Server для host’ов в Интернете (или любой другой внешней Сети, которая получит доступ к Exchange Server через внешний интерфейс брандмауэра ISA), нам следует создать другую DNS зону доступности для этих host’ов, которая будет преобразовывать имя Exchange Server в IP-адрес, связанный с внешним интерфейсом брандмауэра ISA.

Secure Exchange RPC Server Publishing Rule (Серверное Правило Публикации Безопасного Обмена RPC) (опционально)

Это правило опционально. Однако если вы имеете пользователей, которым требуется доступ к Exchange Server на Внутренней Сети по умолчанию, вы можете создать Secure Exchange RPC Server Publishing Rule для разрешения клиентам полного Outlook MAPI доступ к Exchange Server без требования VPN. Это правило очень полезно, если вы найдете, что есть периоды, когда вы хотите ввести ваше беспроводное устройство в вашу сеть и не хотите получить доступ к другим ресурсам, кроме Exchange/Outlook. В этом сценарии вы можете соединиться с Exchange Server через Secure Exchange RPC Server Publishing Rule и даже не использовать VPN соединение.

Альтернативой этой конфигурации будет введение второго WAP в эту сеть и подключение этой WAP к полученной Сети. Эта WAP будет требовать WPA авторизацию, и только доверенные компьютеры и пользователи будут иметь требуемые сертификаты, установленные для подключения к полученной сетевой WAP.

SMTP Server Publishing Rule (Серверное Правило Публикации SMTP) (опционально)

Это правило опционально. Если вы содержите свои собственные SMTP сервисы на Exchange Server, вы можете создать SMTP Server Publishing Rule (Серверное Правило Публикации SMTP), разрешающее входящий SMTP доступ к SMTP сервисам Exchange Server. Если вы не содержите свой собственный SMTP сервер, это правило вам не требуется.

HTTP DMZ к Internet

Вы хотите обеспечить ограничение и безопасность соединений из сегмента DMZ. Для этой цели мы обычно разрешаем только исходящие HTTP соединения. Эти возможности открываются для настройки Фильтра Безопасности HTTP для блокировки опасных приложений и блокировки опасных SSL тоннельных приложений (таких, как SSL «VPN» соединения).

Это решение — запрещающее, но я полагаю, что это наилучшая линия поведения, потому что мы делаем предположение, что host’ы в сегменте DMZ никогда не считаются надежными компьютерами и пользователями. Из-за этого, нам необходимо, чтобы брандмауэр ISA выполнял обе инспекции: и stateful-инспекцию пакетов, и stateful-инспекцию уровня приложений, на обмене через брандмауэр ISA от сегмента DMZ в Интернет. Если мы разрешим шифрование обмена, такое как SSL и VPN соединения от ненадежных пользователей и компьютеров в Интернет, эта связь будет скрыта от брандмауэра ISA, и stateful-инспекции уровня приложений будет невозможна.

Это создает сценарий, в котором брандмауэр ISA не может обеспечить больше защиты, чем обычный брандмауэр с инспекцией пакетов; эту ситуацию, если возможно, мы хотим исключить.

Все Открыто Internal (Внутреннее) в Интернет (не рекомендуется)

Мы создадим правило «Все открыто», разрешающее всем протоколам доступ из Внутренней Сети по умолчанию в Интернет. OK, если это не рекомендуется, почему я создаю такое правило в этой статье? Потому, что каждая сеть будет иметь свою собственную политику безопасности, которая может быть потенциальна сложной. Я описываю простой выход из положения созданием правила «Все Открыто».

В готовой сети брандмауэр ISA должен быть членом домена, и вы должны использовать строгое управление доступом, основанное на «пользователь/группа», для обеспечения разделения исходящего и входящего доступа через брандмауэр ISA. Все клиентские операционные системы в результирующей сети будут сконфигурированы, как клиенты Web proxy и клиенты Брандмауэра; а все серверы, требующие доступа к Интернету (включая опубликованные сервера) будут сконфигурированы, как клиенты SecureNAT.

Важно обратить внимание на важность строгого управления доступом на основе «пользователь/группа», потому что это один из краеугольных камней высшей модели безопасности брандмауэра ISA, чем вы можете получить от традиционного брандмауэра, имеющего только фильтрацию пакетов. В дополнение к разделению управления доступом на основе «пользователь/группа», эта конфигурация также помещает имена пользователей и имена Web-сайтов в log-файлы, которые делают легко устанавливаемое соответствие между именами пользователей и использованием Интернет-протоколов и сайтов. Вы можете создать отчеты по отдельным пользователям и использовать эту информацию для исправления поведения пользователя.

В добавлении к описанным выше правилам доступа вы можете захотеть обеспечить способ для разрешения host’ам на беспроводной DMZ более полный доступ к ресурсам в корпоративной сети. Есть несколько путей, которыми вы можете сделать это. Один метод — это создание набора Правил Web и Серверной Публикации для всех ресурсов, где вы можете отобразить host’ы на беспроводной DMZ когда потребуется. Другое решение в использовании Маршрутного отношения между беспроводной DMZ и Внутренней сетью по умолчанию и, затем, создание Правил Доступа, позволяющих соединениям из беспроводной DMZ во Внутреннюю Сеть по умолчанию. Последняя, и моя любимая, возможность — это разрешение ISA брандмауэрного VPN компонента и, затем, конфигурирование VPN сервера для приема входящих соединений по интерфейсу DMZ.

Для осуществления этой последней возможности вы должны выполнить следующее:

Разрешение VPN Серверного Компонента в брандмауэре ISA

Вы можете захотеть разрешить клиентам на беспроводной DMZ более полный доступ к ресурсам Внутренней Сети. Вы можете использовать VPN соединение из беспроводной DMZ для решения этого вопроса безопасным способом. В зависимости от требований вашей сетевой безопасности, вы можете настроить брандмауэр ISA на действие, подобное традиционному VPN серверу, который разрешает VPN клиентам доступ ко всем протоколам и ресурсам в корпоративной сети, или вы можете заблокировать ваших VPN клиентов так, чтобы они имели доступ только к протоколам и ресурсам, требуемым им на основе отдельных пользователей и отдельных групп. Последняя конфигурация является более безопасной и рекомендуемой мною настройкой в получаемой среде.

Создание Правила Доступа, позволяющего членам Сети VPN Клиентов доступ к Внутренней Сети по умолчанию и Интернету

Так как управление доступом клиентами VPN на основе «пользователь/группа» является наиболее безопасной конфигурацией, в примере в этой статье мы обеспечим пользователям, вошедшим на VPN сервер, доступ ко всем ресурсам, используя все протоколы к Внутренней Сети по умолчанию и Интернету. Это не означает, что это рекомендуется или это пример наилучшего использования брандмауэра ISA, но позволит сберечь немного времени в демонстрационной процедуре, имеющей центральное положение в этой статье.

Для полного руководства по созданию и конфигурированию политики брандмауэра и настройки повышенной безопасности управления доступом на основе «пользователь/группа» на «по-протокольной /по-ресурсной» основе для соединений VPN, читайте соответствующие этим разделам обсуждения в нашей книги Configuring ISA Server 2004.

Таблицы внизу показывают основу конструирования каждого правила, которые мы включили в политику брандмауэра ISA.

Таблица 1: Правило доступа, разрешающее DNS запросы на DNS Сервер брандмауэра ISA

Установка Значение
Порядок 1
Имя DNS в интерфейс DMZ
Действие Разрешить
Протоколы DNS
Отправитель/Приемник DMZ
Получатель Локальный Host
Условие Все пользователи

Таблица 2: Правило Публикации Безопасного Exchange RPC Сервера

Установка Значение
Порядок 2
Имя Безопасный Exchange RPC
Действие Разрешить
Протоколы Exchange RPC Server
Отправитель/Приемник DMZ
Получатель Exchange Server (10.0.0.2)
Условие нет

Таблица 3: Правило Доступа, разрешающее HTTP доступ в Интернет

Установка Значение
Порядок 3
Имя HTTP DMZ в Интернет
Действие Разрешить
Протоколы HTTP
Отправитель/Приемник DMZ
Получатель Внешняя
Условие Все пользователи

Таблица 4: Правило Доступа, разрешающее весь исходящий трафик от Внутренней Сети по умолчанию в Интернет

Установка Значение
Порядок 4
Имя Все Открыто Внутреннее в Интернет
Действие Разрешить
Протоколы Весь исходящий трафик
Отправитель/Приемник Внутренняя
Получатель Внешняя
Условие Все пользователи

Таблица 5: Правило Доступа, разрешающее VPN Трафик во Внутренней Сети по умолчанию и Интернету *

Установка Значение
Порядок 5
Имя Все Открыто VPN в Внутренний/Интернет
Действие Разрешить
Протоколы Весь исходящий трафик
Отправитель/Приемник Сеть VPN Клиентов
Получатель Внешняя и Внутренняя
Условие Все пользователи

* Заметьте, что мы не будем способны создать это правило до тех пор, пока мы не разрешим VPN серверный компонент брандмауэра ISA.

Политика брандмауэра ISA, наконец, будет выглядеть, как показано на рисунке ниже.

Ipcop firewall конфигурирование

Давайте начнем с правила «Все Открыто», разрешающего весь трафик от Внутренней Сети по умолчанию в Интернет:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте имя сервера и затем щелкните на узле Firewall Policy (Политика Брандмауэра). Щелкните вкладку Tasks (Задачи) на панели задач и нажмите ссылку Create a New Access Rule (Создать Новое правило Доступа).
  2. На странице Welcome to the New Access Rule Wizard (Добро пожаловать в Мастер Нового Правила Доступа) введите имя для правила в поле Access Rule name (Имя Правила Доступа). В этом примере мы назовем правило All Open Internal to Internet (Все Открыто Внутреннее и Внешнее) и нажмите Next.
  3. На странице Rule Action (Действие Правила) выберете опцию Allow (Разрешить) и нажмите Next.
  4. Примите установки по умолчанию на странице Protocols (Протоколы), All outbound traffic (Весь исходящий трафик), и нажмите Next.
  5. На странице Access Rule Sources (Правило Доступа Источника), нажмите кнопку Add.
  6. На странице Add Network Entities (Добавить Сетевой Объект) щелкните папку Networks (Сети) и дважды щелкните элемент Internal (Внутренний). Нажмите Close.
  7. Нажмите Next на странице Access Rule Sources (Источники Правила Доступа).
  8. На странице Access Rule Destinations (Получатели Правила Доступа) нажмите Add.
  9. В диалоговом окне Add Network Entities щелкните папку Networks и дважды щелкните элемент External (Внешний). Нажмите Close.
  10. Нажмите Next на странице Access Rule Destinations (Получатели Правила Доступа).
  11. На странице Users Sets выберете установки по умолчанию, All Users (Все пользователи), и нажмите Next.
  12. Нажмите Finish на странице Completing the New Access Rule (Завершение Нового Правила Доступа).

Выполните следующие шаги для создания правила, которое разрешает HTTP доступ из DMZ Сети в Интернет:

  1. На узле Firewall Policy (Политика Брандмауэра). Щелкните вкладку Tasks на Панели Задач и нажмите ссылку Create a New Access Rule.
  2. На странице Welcome to the New Access Rule Wizard введите имя для правила в поле Access Rule name. В этом примере мы назовем правило HTTP DMZ to Internet и нажмите Next.
  3. На странице Rule Action выберете опцию Allow и нажмите Next.
  4. На странице Protocols (Протоколы) выберете опцию Selected protocols (Выбранные протоколы) и нажмите Add.
  5. В диалоговом окне Add Protocols (Добавить протокол) щелкните папку Common Protocols (Общие протоколы) и дважды щелкните HTTP протокол. Нажмите Close.

    Дмз и серверная ферма

  6. Нажмите Next на странице Protocols.
  7. На странице Access Rule Sources нажмите кнопку Add.
  8. На странице Add Network Entities щелкните папку Networks и затем дважды щелкните элемент DMZ. Нажмите Close.
  9. Нажмите Next на странице Access Rule Sources.
  10. На странице Access Rule Destinations нажмите Add.
  11. В диалоговом окне Add Network Entities щелкните папку Networks и дважды щелкните элемент External (Внешний). Нажмите Close.
  12. Нажмите Next на странице Access Rule Destinations.
  13. На странице Users Sets (Пользовательские Множества) выберете установку по умолчанию, All Users (Все пользователи) и нажмите кнопку Next.
  14. Нажмите Finish на странице Completing the New Access Rule.

Выполните следующие шаги для создания Правила Доступа, разрешающего DNS протоколу доступ к DNS серверу на брандмауэре ISA:

  1. На узле Firewall Policy. Щелкните вкладку Tasks на Панели Задач и нажмите ссылку Create a New Access Rule.
  2. На странице Welcome to the New Access Rule Wizard введите имя для правила в поле Access Rule name. В этом примере мы назовем правило DNS to ISA Firewall и нажмите Next.
  3. На странице Rule Action выберете опцию Allow и нажмите Next.
  4. На странице Protocols выберете опцию Selected protocols и нажмите Add.
  5. В диалоговом окне Add Protocols щелкните папку Common Protocols и дважды щелкните протокол DNS. Нажмите Close.

    Dmz isa создание

  6. Нажмите Next на странице Protocols.
  7. На странице Access Rule Sources нажмите кнопку Add.
  8. На странице Add Network Entities щелкните папку Networks и дважды щелкните элемент DMZ. Нажмите Close.
  9. Нажмите Next на странице Access Rule Sources.
  10. На странице Access Rule Destinations нажмите Add.
  11. В диалоговом окне Add Network Entities щелкните папку Networks и дважды щелкните элемент Local Host. Нажмите Close.
  12. Нажмите Next на странице Access Rule Destinations.
  13. На странице Users Sets выберете установку по умолчанию, All Users, и нажмите Next.
  14. Нажмите Finish на странице Completing the New Access Rule.

Последнее правило для Secure Exchange RPC Server Publishing Rule (Серверное Правило Публикации Безопасного Exchange RPC):

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 откройте имя сервера и щелкните узел Firewall Policy. Щелкните вкладку Tasks на Панели Задач и нажмите ссылку Create a New Server Publishing Rule.
  2. На странице Welcome to the New Server Publishing Rule Wizard введите имя для Серверного Правила Публикации в поле Server Publishing Rule name (Имя Серверного Правила Публикации). В этом примере мы назовем это правило Secure Exchange RPC. Нажмите Next.
  3. На странице Select Server (Выбор Сервера) введите IP-адрес Exchange Server, который вы хотите опубликовать в поле Server IP address (IP-адрес Сервера). Нажмите Next.
  4. На странице Select Protocol выберете протокол Exchange RPC Server (Сервер Exchange RPC) из списка Selected protocol (Выбранные протоколы). Нажмите Next.

    Isa 2004 задать пул адресов

  5. На странице IP Addresses (IP-адреса) отметьте элемент DMZ. Заметьте, что если вы привязали другие IP-адреса к интерфейсу DMZ, то эта установка будет разрешать соединение secure Exchange RPC к любому IP-адресу на этом интерфейсе. Вы можете ограничить IP-адреса, используемые для этого правила, нажав кнопку Address (Адрес). В этом примере есть только один IP-адрес, связанный с этим интерфейсом, поэтому нам не требуется делать дополнительных изменений. Нажмите Next.

    Конфигурирование isa 2004

  6. Нажмите Finish на странице Completing the New Server Publishing Rule Wizard.

Нажмите кнопку Apply для сохранения изменений и обновления политики брандмауэра.

Разрешение и Конфигурирование VPN Серверного Компонента брандмауэра ISA

Я часто конфигурирую интерфейс DMZ на брандмауэре ISA для приема входящий соединений клиентов VPN так, чтобы надежный пользователь с надежным компьютером на беспроводном DMZ сегменте мог получить доступ к ресурсам, не опубликованным с помощью правил публикации. VPN соединения используются очень часто, но они обеспечивают вас немного большей гибкостью.

Наконец, я стал сторонником протокола PPTP VPN, потому что он обеспечивает разумный уровень безопасности, когда используются сложные пароли, и потому, что его очень легко установить и настроить. Однако за последний год я изменил мое отношение к PPTP из-за новых технологий взломщика Rainbow и таблиц Rainbow. Эти технологии воспользовались фактом, что хэш пароля посылается по нешифрованному каналу между VPN клиентом и сервером. Они способны захватить этот хэш и определить пароль. Им не требуется делать что-либо особенное, чтобы захватить имя пользователя, потому что оно расположено в чистом тексте в нешифрованном канале.

Получив эту неприятную ситуация, я теперь всегда рекомендую, чтобы вы использовали L2TP/IPSec (не режим IPSec тоннеля) для ваших VPN соединений. Имя пользователя и пароль пересылается от VPN клиента только после того, как установлен безопасный тоннель.

Когда используете L2TP/IPSec, вы можете использовать или pre-shared ключ или компьютерные сертификаты для компьютерной авторизации и требований IPSec шифрования. В окружении высокой безопасности и хорошего управления вы всегда используйте компьютерные сертификаты. Однако, если требуется быстро настроить и запустить все эти вещи до развертывания вашего PKI, вы можете использовать pre-shared ключ. В примере в этой статье мы будем использовать pre-shared ключи.

Выполните следующие шаги для разрешения VPN Серверного компонента брандмауэра ISA:

  1. В консоли брандмауэра ISA откройте имя сервера и затем щелкните узел Virtual Private Networks (VPN) (Виртуальная Частная Сеть).
  2. Щелкните вкладку Tasks в Панели Задач и нажмите ссылку Enable VPN Client Access (Разрешить Доступ VPN Клиенту).
  3. Нажмите ссылку Configure VPN Client Access (Конфигурирование Доступа VPN Клиента) на Панели Задач.
  4. На вкладке General (Главная) диалогового окна VPN Clients Properties вы увидите количество VPN соединений, установленное по умолчанию в 5. Если вам требуется больше соединений, измените это число.
  5. На вкладке Protocols снимите отметку с элемента Enable PPTP (Разрешить PPTP). Поместите отметку на элемент Enable L2TP/IPSec (Разрешить L2TP/IPSec).
  6. Нажмите Apply (Применить) и затем OK.
  7. Щелкните ссылку Select Access Networks (Выбор Доступных Сетей) на Панели Задач.
  8. В диалоговом окне Virtual Private Networks (VPN) Properties (Свойства Виртуальной Частной Сети) щелкните вкладку Access Networks (Доступные Сети). На вкладке Access Networks снимите отметку с элемента External (Внешние) и поставьте отметку на элементе DMZ. Если вы хотите разрешить VPN соединения из Интернета, то вы можете оставить отметку на элементе External.

    Dmz протоколы как поставить

  9. Щелкните вкладку Address Assignment (Присвоение Адреса). Заметьте, что установки по умолчанию настроены на использование брандмауэром ISA DHCP для получения адресов для VPN клиентов. Я рекомендую использовать эту опцию. Однако, не обязательно, чтобы брандмауэр ISA имел доступ к DHCP серверу на Внутренней Сети. Если вы не используете DHCP сервер, то вам нужно выбрать опцию Static address pool (Статический адресный пул). Если вы используете эту опцию, вы должны использовать адреса, которые не перекрываются с любыми другими сетевыми адресами. Например, если вы используете сетевой ID 192.168.1.0/24 для Внутренней Сети, то вы не можете использовать адреса в этом сетевом ID, если вы не удалите адреса, которые вы поместили в список статического адресного пула из описания Внутренней Сети. В противоположность, когда вы используете DHCP, вы можете использовать подсетевые адреса для ваших VPN клиентов. В примере, обсуждаемом в этой статье, мы имеем DHCP сервер на Внутренней Сети по умолчанию, который доступен для брандмауэра ISA, поэтому мы будем использовать опцию по умолчанию.

    Pre shared key isa

  10. Щелкните вкладку Authentication (Авторизация). По умолчанию протоколом пользовательской авторизации является Microsoft encrypted authentication version 2 (MS-CHAPv2) (Шифрованная авторизация Microsoft версии 2). Вы можете оставить эту настройку, если вы не хотите разрешить альтернативные протоколы авторизации. Для принуждения только надежным пользователям и компьютерам использовать VPN сервер, вы можете использовать EAP авторизацию и авторизацию сертификатами пользователей. В нашем примере мы будем использовать настройку по умолчанию. Поставьте отметку в поле Allow custom IPSec policy for L2TP connection (Разрешить специальную политику IPSec для соединений L2TP). Введите pre-shared ключ в поле Pre-shared key. Это тот же pre-shared ключ, что вы будете вводить на VPN клиенте.

    Dmz 2 firewalls

  11. Нажмите Apply и затем нажмите OK в диалоговом окне ISA Server 2004, предупреждающем вас, что сервис RRAS должен быть перезапущен. Нажмите OK.
  12. Нажмите Apply для сохранения изменений в политики брандмауэра.

Последний шаг — это создание Правила Доступа, разрешающего членам Сети VPN Клиентов доступ к Внутренней Сети и Интернету:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 откройте имя сервера и затем щелкните на узле Firewall Policy. Щелкните вкладку Tasks на Панели Задач и нажмите ссылку Create a New Access Rule.
  2. На странице Welcome to the New Access Rule Wizard введите имя для нового правила в поле Access Rule name. В этом примере мы назовем его All Open VPN to Internet and Internal и нажмите Next.
  3. На странице Rule Action выберете опцию Allow и нажмите Next.
  4. Примите настройки по умолчанию на странице Protocols, All outbound traffic (Весь исходящий трафик), и нажмите Next.
  5. На странице Access Rule Sources нажмите кнопку Add.
  6. На странице Add Network Entities щелкните папку Networks и затем дважды щелкните элемент VPN Clients. Нажмите Close.
  7. Нажмите Next на странице Access Rule Sources.
  8. На странице Access Rule Destinations нажмите Add.
  9. В диалоговом окне Add Network Entities щелкните папку Networks и дважды щелкните элементы External и Internal. Нажмите Close.
  10. Нажмите Next на странице Access Rule Destinations.
  11. На странице Users Sets выберете настройку по умолчанию, All Users, и нажмите Next.
  12. Нажмите Finish на странице Completing the New Access Rule.

Заключение

В этой серии из двух частей мы обсудили концепции и процедуры создания внутреннего DMZ сегмента, который владеет ненадежными пользователями и компьютерами на беспроводном DMZ сегменте. Процедуры включают установку DMZ до инсталляции брандмауэра ISA, конфигурирование интерфейсов брандмауэра ISA, создание новой Сети брандмауэра ISA, подключение DMZ Сети брандмауэра ISA к остальным сетям, создание правил доступа и настройку VPN Серверного компонента брандмауэра ISA.

В последующих статьях мы будем основываться на концепциях и процедурах этой статьи для создания дополнительных сегментов внутренней сети, которые управляются доступом в другие сегменты, контролируемые брандмауэром ISA.

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]