Wednesday, October 17th, 2018

Надёжный контроль исходящего доступа с использованием ISA Firewall (2004): Использование сценариев (скриптов,Scripts) для заполнения URL Sets(наборов URL) и Domain Name Sets(наборов имён доменов)

Published on Февраль 6, 2009 by   ·   Комментариев нет

Одна из сильных сторон ISA firewall-это его исключительное структурное(stateful) наблюдение (инспектирование) за прикладным уровнем. В дополнение к выполнению базовых задач по структурному фильтрованию (что может делать даже простейший «аппаратный» фаервол (firewall)), средство усиленного наблюдения за прикладным уровнем в ISA firewall даёт ему возможность действительно понимать протоколы, проходящие через фаервол. В противоположность традиционным аппаратным фаерволам второго поколения, ISA firewall представляет собой фаервол третьего поколения, который знает не только сеть (network), но и прикладной протокол. Эта статья объясняет Вам, как задействовать структурное наблюдение за прикладным уровнем в ISA firewalls, используя автоматизированный подход к заполнению наборов Domain Name Sets и URL Sets с использованием скриптов.

Механизм структурного прикладного инспектирования в ISA firewall позволяет Вам контролировать доступ не к «портам», а к актуальным протоколам, проходящим через эти порты. В то время как обычный «аппаратный» фаервол искусен лишь в пропуске пакетов, используя простейший механизм структурного фильтрования, который доступен с середины 1990-х годов, структурный механизм инспектирования прикладного уровня в ISA firewall переносит ISA firewall в 21-ый век и действительно контролирует доступ протокола прикладного уровня. Это делает возможным строгий контроль входящего и исходящего доступа, основанный на понимании фаерволом прикладного уровня, а не через простое «открывание и закрывание» портов.

Один из ярких примеров — это способность контролировать, кто из пользователей сайта может проходить через ISA firewall. Вы можете комбинировать эту способность контроля доступа пользователей сайтов добавлением строгого контроля доступа на базе пользователь/группа или добавлением контроля протокола.

Например, у Вас может быть группа пользователей под названием «Пользователи Web» и Вы хотите блокировать этим пользователям доступ к списку из 1500 URL или доменов. Вы можете создать правило доступа(Access Rule), которое блокирует только эти 1500 сайтов и разрешает доступ ко всем остальным сайтам, куда члены группы допускаются(authenticate) через ISA firewall.

Другой пример может быть таким: Вы хотите создать список блокировки 5000 доменов для доступа через любой протокол для всех пользователей, кроме администраторов доменов. Вы можете создать Domain Name Set (набор названий доменов) и затем добавить этот Domain Name Set в Access Rule(правило доступа), блокирующее эти сайты.

Уловка состоит в том, чтобы найти способ включения тысяч имён доменов или URL-ов в Domain Name Sets и в URL Sets. Вы можете вводить эти URL-ы и домены вручную, используя встроенные инструменты, включённые в консоль ISA Management. Проблема с таким подходом заключается в том, что Вам придётся слишком долго кликать большим пальцем, чтобы пройти весь путь через интерфейс пользователя и добавить все эти домены и URL-ы.

Лучший способ — это импортировать сайты, которые Вы хотите включить в URL Sets и в Domain Name Sets из текстового файла. Есть несколько мест в Internet, где Вы можете найти такие файлы (здесь я не буду их упоминать, потому что я не хочу создавать рекламы ни для одного из них). Как только у Вас появляется текстовый файл, Вы наверняка захотите использовать скрипт, чтобы импортировать записи(точки входа) из тектового файла в URL Set или в Domain Name Set.

Итак, начнём с написания скриптов. Первый скрипт (см. ниже) используется для импорта записей из текстового файла в URL Set . Копирует информацию в текстовый файл и затем сохраняет его под именем ImportURLs. vbs.


< ------------------Начало со следующей строки----------------------- >
Set Isa = CreateObject("FPC.Root")
Set CurArray = Isa.GetContainingArray
Set RuleElements = CurArray.RuleElements
Set URLSets = RuleElements.URLSets
Set URLSet = URLSets.Item("Urls")
Set FileSys = CreateObject("Scripting.FileSystemObject")
Set UrlsFile = FileSys.OpenTextFile("urls.txt", 1)
For i = 1 to URLSet.Count
URLSet.Remove 1
Next
Do While UrlsFile.AtEndOfStream <> True
URLSet.Add UrlsFile.ReadLine
Loop
WScript.Echo "Saving..."
CurArray.Save
WScript.Echo "Done"
< ------------------Окончание в предыдущей строке----------------------- >

В этом файле Вам нужно изменить две записи для Вашей собственной структуры(выделены жёлтым цветом).

В строке:


Set URLSet = URLSets.Item("Urls")

Изменяете запись Urls на имя URL Set, который Вы хотите создать на ISA firewall.

В строке:


Set UrlsFile = FileSys.OpenTextFile("urls.txt", 1)

Изменяете запись urls. txt на имя текстового файла, содержащего URL-ы, которые Вы хотите импортировать в конфигурацию ISA firewall.

Следующий скрипт используется для импорта коллекции имён доменов, содержащейся в текстовом файле. Сохраняет последующую информацию в текстовом файле и называет его ImportDomains. vbs.


< ------------------ Начало со следующей строки----------------------- >
Set Isa = CreateObject("FPC.Root")
Set CurArray = Isa.GetContainingArray
Set RuleElements = CurArray.RuleElements
Set DomainNameSets = RuleElements.DomainNameSets
Set DomainNameSet = DomainNameSets.Item("Domains")
Set FileSys = CreateObject("Scripting.FileSystemObject")
Set DomainsFile = FileSys.OpenTextFile("domains.txt", 1)
For i = 1 to DomainNameSet.Count
DomainNameSet.Remove 1
Next
Do While DomainsFile.AtEndOfStream <> True
DomainNameSet.Add DomainsFile.ReadLine
Loop
WScript.Echo "Saving..."
CurArray.Save
WScript.Echo "Done"
< ------------------ Окончание в предыдущей строке ----------------------- >

В этом файле Вам нужно изменить две записи для Вашей собственной структуры(выделены жёлтым цветом).

В строке:


Set DomainNameSet = DomainNameSets.Item("Domains")

Изменяете запись Domains на имя Domain Name Set, который Вы хотите создать на ISA firewall.

В строке:


Set DomainsFile = FileSys.OpenTextFile("domains.txt", 1)

Изменяете строку domains.txt на имя текстового файла, который содержит имена доменов, которые Вы хотите импортировать в конфигурацию ISA firewall.

Использование скриптов импорта

Теперь давайте рассмотрим как работают скрипты. Первая вещь, которую Вы должны сделать-это создать URL Set и Domain Name Set в консоли управления Microsoft Internet Security and Acceleration Server 2004. Это просто и состоит из нескольких шагов.

Во-первых, мы создадим URL Set под названием URLs, с этого момента это имя используется по умолчанию в нашем скрипте. Помните, что Вы можете менять имя URL Set в скрипте по своему желанию, только убедитесь, что первый созданный в консоли управления Microsoft Internet Security and Acceleration Server 2004 URL Set имеет тоже самое имя.

Выполните следующие шаги, чтобы создать URL Set с именем URLs:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте имя сервера и затем кликните на узле Firewall Policy.
  2. В узле Firewall Policy кликните на Toolbox в Task Pane(панель задач). В Toolbox кликните на Network Objects.
  3. В Network Objects кликните на пункт меню New и выберите URL Set.
  4. В диалоговом окне New URL Set Rule Element введите URLs в текстовом поле Name. Кликните OK

    Контроль доступа в инет isa

  5. URL Set теперь появляется в списке URL Sets(наборы URL).

    Контроль доступа в инет isa

Следующий шаг — создать Domain Name Set с именем Domains, это имя по умолчанию для используемого в скрипте ImportDomains набора. Помните, что Вы можете использовать разные имена для Domain Name Set, только убедитесь, что это имя соответствует тому, которое Вы указали в скрипте.

Выполните следующие шаги чтобы создать Domain Name Set с именем Domains:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте имя сервера и затем кликните на узел Firewall Policy.
  2. В узле Firewall Policy кликните на Toolbox в Task Pane. В Toolbox кликните на Network Objects.
  3. В Network Objects кликните на пункт меню New и выберите Domain Name Set.
  4. В диалоговом окне New Domain Name Set Policy Element введите Domains в текстовом поле Name. Кликните OK.

    Url sets для блокировки

  5. Новая запись появляется в списке Domain Name Sets.

    Script для заполнения

  6. Кликните Apply для сохранения изменений и обновления политики фаервола.
  7. Кликните OK в диалоговом окне Apply New Configuration.

Сейчас нам нужно создать два текстовых файла: urls.txt и domains.txt. Это два имени по умолчанию, используемые в скриптах. Вы можете изменять имена файлов, но убедитесь, что они соответствуют именам, указанным в скриптах.

Файл domains.txt будет содержать следующие записи(точки входа):


stuff.com
blah.com
scumware.com

Файл urls.txt будет содержать следующие записи:


http://www.cisco.com
http://www.checkpoint.com
http://www.sonicwall.com

Далее копируете файлы скриптов и текстовые файлы в одну директорию. В этом примере мы скопируем файлы скриптов и текстовые файлы в корневую директорию диска C:. Двойной клик на файле ImportURLs. vbs. Вы увидете диалоговое окно, которое говорит Saving(сохраняю). Кликните OK.

Script для заполнения

В зависимости от того, сколько URL-ов вы импортируете, это может продолжаться от нескольких мгновений до нескольких минут, пока Вы не увидете следующее диалоговое окно, которое информирует Вас о том, что импорт выполнен. Кликните OK.

Isa 2004 режет скорость исходящего

Теперь будем импортировать имена доменов. Двойной клик на файл ImportDomains. vbs. Вы снова видите диалоговое окно Saving(сохраняю). Кликните OK. Несколькими мгновениями или минутами позже, Вы увидете диалоговое окно Done. Кликните OK.

Закрываете консоль управления Microsoft Internet Security and Acceleration Server 2004 , если она открыта. Опять открываете консоль управления Microsoft Internet Security and Acceleration Server 2004 и направляетесь в узел Firewall Policy в левой области окна консоли.

Примечание: Вы можете избежать открывания и закрывания консоли управления Microsoft Internet Security and Acceleration Server 2004 путём нажатия на кнопку Refresh в колонке кнопок консоли управления Microsoft Internet Security and Acceleration Server 2004.

Кликните на Toolbox в Task Pane и кликните на Network Objects. Кликните на папку URL Sets. Двойной клик на список URL URLs. Вы увидете, что в URL Set были занесены записи из текстового файла. Cool(Круто!)!

Isa 2004 режет скорость исходящего

Кликните на папке Domain Name Sets. Двойной клик на записи Domains. Вы увидите, что в Domain Name Set занесены домены, которые Вы хотите заблокировать, или позвольте сказать, в зависимости от Вашей потребности. В этом примере я добавил ряд доменов, которые мы хотели бы заблокировать у себя;-)

Crhbgn оздание списков доменов для isa

Как только Вы получаете дополнительные URL, Вы можете добавить их в тот же самый текстовый файл и запустить скрипт заново. Новые записи будут добавлены без создания дубликатов доменов и URL-ов, которые уже включены в наборы Domain Name Set или URL Set.

Заключение

В этой статье мы детализировали один из аспектов средства надёжного структурного инспектирования прикладного уровня в ISA firewall. ISA firewall может инспектировать входящие и исходящие запросы и контролировать доступ, основанный на назначенных URL или именах доменов. Вызов нам со стороны контролируемого доступа к каждому сайту заключается в том, что надо заполнить наборы URL Sets и Domain Name Sets множеством, сотнями и тысячами записей точек входа, которые Вы хотите блокировать или разрешить. Один из способов ответить на этот вызов-использовать скрипт. Мы пробежались по двум скриптам, которые Вы можете использовать для импорта записей, содержащихся в текстовых файлах, в списки Domain Name Sets и URL Sets.

Источник www.isaserver.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]