Wednesday, October 17th, 2018

Настройка прямого доступа к сайтам: Часть 1 — Настройка прямого доступа для клиентов прокси-серверов для веб-страниц

Published on Февраль 6, 2009 by   ·   Комментариев нет

Один из самых распространенных советов, который я обычно даю относительно правил доступа брандмауэра ISA и стратегии брандмауэра, заключается в «создании раздельного DNS и настройки прямого доступа к этим сайтам». В первой статье мы определим, что такое прямой доступ и как настраивать прямой доступ для клиентов, работающих с прокси-серверами для веб-страниц.

Очень часто я cлышу от администраторов брандмауэра ISA, сталкивающихся с проблемами доступа к веб-сайтам через брандмауэр ISA, гордое заявление, «он работает, если мы используем PIX (Private Internet Exchange)». Интересно, почему эти сайты работали только при использовании PIX? Действительно ли PIX предоставляет необходимую защиту? Разве «легкий доступ» ко всем сайтам при использовании любого протокола — это та защита, которая Вам необходима? Ваш брандмауэр ISA блокирует доступ к сайтам, к которым ранее Вы подсоединялись, даже не задумываясь о его конфигурации? Тогда пришло время внимательно изучить, какого рода контроль и защиту исходящих соединений предоставляло программное средство защиты данных, которое Вы использовали ранее.

Однако, придет время, когда у Вас возникнут проблемы при доступе к некоторым сайтам через брандмауэр ISA. Не все программисты, создающие веб-сайты, и их администраторы заботятся о том, что многие организации используют сложную проверку с учетом состояний пакетов и брандмауэры прокси-серверов (такие как брандмауэр ISA ) для защиты своего корпоративного имущества. Поэтому соединение с их веб-сайтом может оказаться проблематичным. Обычно эти сайты имеют Java- основу, но Java — не единственная технология, которая оказывается жертвой непрофессионального подхода к созданию кода и реализации. Основная проблема заключается в том, что сайты и приложения не могут корректно работать с аутентификацией прокси-сервера для веб-страниц.

Для преодоления этой проблемы с соединением к таким сайтам нужно настроить их на прямой доступ. Прямой доступ может работать немного по-разному в зависимости от ISA клиента, который Вы используете:

  • При соединении веб-клиентов с прокси-сервером прямой доступ позволяет клиенту использовать альтернативный метод подсоединения к ресурсам, при котором не учитываются настройки клиента прокси-сервера для веб-страниц. Система клиента для доступа к ресурсам может использовать либо конфигурацию SecureNAT, либо конфигурацию клиента брандмауэра, при этом выбор клиента брандмауэра обеспечивает большую безопасность.
  • При использовании клиента брандмауэра прямой доступ позволяет хосту, содержащему клиента, который осуществил запрос, не учитывать конфигурацию клиента брандмауэра и подсоединяться напрямую к другим хостам, которые находятся в той же самой сети брандмауэра ISA

Мы опишем оба типа конфигурации прямого доступа, каждый в отдельной статье. В первой статье мы поговорим о настройке прямого доступа для клиентов прокси-сервера для веб-страниц.

Прямой доступ для клиентов прокси-сервера для веб-страниц

Скорее всего, найдется несколько сайтов, доступ к которым Ваши клиенты не смогут получить из-за фильтра прокси-сервера брандмауэра ISA. По умолчанию, мастер работы с протоколом HTTP связывает фильтр прокси-сервера HTTP с HTTP протоколом. Таким образом, брандмауэр ISA получает возможность передавать все веб-соединения (HTTP, HTTPS и FTP через туннель HTTP) прокси-фильтру брандмауэра ISA и пользоваться преимуществами кеширования веб-страниц брандмауэра ISA и тщательной проверки на прикладном уровне HTTP.

И хотя все это очень удобно, иногда необходимо обойти компоненту прокси-сервера для доступа к сайтам, которые не могут корректно работать с прокси-фильтром брандмауэра. Давайте рассмотри пример того, как прямой доступ может решить проблему соединения с сайтами, которые отказываются работать с брандмауэром прокси-сервера для веб-страниц.

Для начала предположим, что Вы используете программное обеспечение, предоставляющее достаточно высокий уровень безопасности. Вы установили клиента брандмауэра на операционные системы Ваших клиентов и настроили клиентов прокси-сервера (это может быть сделано автоматически во время инсталляции клиента брандмауэра). Проблема состоит в том, что для соединения с учетной записью в Hotmail Вам нужно использовать Outlook Express. Вы создали несложный набор следующих правил для ISA брандмауэра:

  1. Разрешить исходящее DNS соединение для всех пользователей
  2. Для авторизованных пользователей разрешить исходящие соединения по любому протоколу
  3. Правило, действующее по умолчанию, которое блокирует весь трафик, проходящий через брандмауэр ISA

Эти правила выглядят следующим образом:

Прокси клиент

Давайте теперь настроим брандмауэр и клиента прокси-сервера для внутренней сети для подсоединения к сайту Hotmail через Outlook Express. При попытке доступа к сайту Вы увидите следующую ошибку клиента Outlook Express:

Клиент прокси

Сообщение об ошибке содержит следующую ключевую фразу Proxy Authentication Required (The ISA Server requires authorization to full the request. Access to the Web Proxy service is denied) (Необходима аутентификация прокси-сервера, сервер ISA требует авторизации для того, чтобы выполнить запрос, в доступе к прокси-серверу для веб-страниц отказано). Это означает, что приложение Outlook Express работает некорректно при аутентификации брандмауэров прокси-серверов. Решение заключается в отключении работы прокси-системы, использовать прямой доступ и предоставить возможность системе клиента получить доступ к сайту Hotmail через конфигурацию клиента брандмауэра.

Это решение позволяет запросить аутентификацию для брандмауэра ISA непосредственно перед получением доступа. Клиент брандмауэра дополняет уже установленные требования по безопасности посылая учетную запись брандмауэру ISA, даже если из-за прямого доступа конфигурация клиента прокси-сервера не используется. Нам не хочется удалять уже существующую аутентификацию для внешних соединений, нам и не надо этого делать. Для доступа к сайту нужно просто использовать конфигурацию клиента брандмауэра и установить жесткий контроль над исходящими соединениями.

Прямой доступ настраивается в свойствах сети брандмауэра ISA, откуда и поступает запрос брандмауэру ISA. Если, например, у Вас есть четыре сетевых интерфейса для брандмауэра ISA, которые соединяют установленные по умолчанию внешнюю и внутреннюю сети, сеть с зоной DMZ и служебную сеть. Клиент, передающий внешний запрос, расположен во внутренней сети, то Вам придется настроить прямой доступ в свойствах внутренней сети.

Для того, чтобы установить свойства сети, откройте консоль Microsoft Internet Security and Acceleration Server 2004, а затем разверните элемент с именем сервера. Укажите на узел Configuration и щелкните узел Networks. На информационной панели откройте закладку Networks, а затем двойным щелчком откройте элемент Internal.

В диалоге Internal Properties откройте закладку Web Browser. На открывшейся закладке нажмите на кнопку Add.

Веб прокси

В диалоговом окне Add Server выберите опцию Domain or computer и введите имя сайта, для которого будет использоваться прямой доступ. В нашем примере одним из сайтов для прямого доступа является домен hotmail.com. Введите *.hotmail.com (поместив звездочку в начале адреса, вы предоставите прямой доступ ко всем серверам в домене Hotmail ). Нажмите OK.

Прокси клиент

Повторите этот набор действий для следующих доменов:

*.msn.com
*.passport.com
*.passport.net

Нажмите Apply, а затем OK в диалоговом окне Internal Properties. Нажмите Apply. Теперь Ваши изменения будут сохранены и правила брандмауэра будут изменены. Нажмите OK в диалоговом окне Apply New Configuration.

Прокси сервер клиент

Обновленная конфигурация для брандмауэра и клиентов прокси-сервера для веб-страниц хранится у брандмауэра ISA. По умолчанию брандмауэр и клиенты прокси-сервера обновляют конфигурации каждые шесть часов. Но Вы можете произвести немедленное обновление конфигурации, просто перезапустив свой компьютер, или обновить конфигурацию с помощью клиентского приложения брандмауэра. Это одна из причин, почему никогда не стоит убирать иконку клиента брандмауэра из панели задач.

Щелкните дважды на иконке клиентского приложения брандмауэра, затем нажмите на кнопку Test Server. Конфигурационные данные будут перекачены из брандмауэра ISA на клиентскую часть. Когда тестирование закончится, нажмите Close в диалоговом окне Testing ISA Server, а затем нажмите на кнопку Apply в диалоговом окне Microsoft Firewall Client for ISA Server 2004.

Прокси клиент

Откройте закладку Web Browser. Убедитесь, что для опции Enable Web browser automatic configuration поставлена галочка, щелкните Configure Now, а затем нажмите кнопку OK в диалоговом окне Web Browser Settings Update. Обратите внимание, что эти установки автоконфигурации не совпадают с установками автоконфигурации в диалоговом окне Properties Вашего браузера. Установки автоконфигурации браузера применяются к элементам wpad, позволяющим браузеру найти брандмауэр ISA.

В диалоговом окне Microsoft Firewall Client for ISA Server 2004 нажмите Apply, а затем Ok.

Прямой доступ через прокси

Теперь, открыв Outlook Express, Вы сможете установить соединение и получить доступ к Вашей почте на сайте Hotmail. Все аутентифицированные соединения будут отображены в файле журнала регистрации брандмауэра ISA. Соединение устанавливает клиент брандмауэра вместо клиента прокси-сервера, так как URL указывает IP адрес сайта Hotmail, а не полностью определенное имя домена (FQDN). Полное имя домена можно увидеть только в файле журнала регистрации после того, как клиент прокси-сервера установит соединение. Также Вы можете привлечь сторонние приложения для того, чтобы получить URL соединений клиента брандмауэра.

Прокси клиент

Очень важной особенностью прямого доступа является то, что, когда клиенты настроены, как и клиенты прокси-сервера, и брандмауэра (что, кстати, должно делаться всегда), даже при использовании прямого доступа для обхода прокси-сервиса для веб-страниц, нам не приходится поступаться своей безопасностью, убирая аутентификацию для внешних соединений. Клиент брандмауэр заменяет клиента прокси-сервера и осуществляет авторизацию с нуля.

По тому же самому принципу происходит работа с любым сайтом, проблема которого заключается в несовместимости с прокси-фильтром брандмауэра ISA. Просто укажите IP адрес или имя сайта в списке сайтов, которым необходим прямой доступ, и ими займется клиент брандмауэра или SecureNAT.

Учтите, что если Вы не установили клиента брандмауэра, например, в случае установки сервера, когда клиентская часть обычно не устанавливается, тогда Вам нужно создать правило анонимного доступа, которое будет применяться к IP адресам клиентов в сети, защищенной брандмауэром ISA, которым необходим прямой доступ к проблемным сайтам.

Приведем пример: Ваш босс сошел с ума и просить запустить Outlook Express на доменном контроллере. Вы ему говорите, что это не слишком хорошая идея запускать клиентские приложения на серверах. Но он платит Вам деньги, так что Вам приходится делать то, что он хочет. Вам не хочется устанавливать клиент брандмауэра на доменном контроллере, так как это сервер. Но Вы можете добавить правило, которое позволяло бы доменному контроллеру получить анонимный доступ к необходимым сайтам.

Для этого необходимо следующее:

  • Набор доменных имен сайтов, доступ к которым Вам нужен
  • Список машин, на которых не установлен клиент брандмауэра
  • Правило доступа, предоставляющее доступ машинам из списка к выбранным сайтам по выбранным протоколам

Набор доменных имен должен выглядеть аналогично тому, что изображено на рисунке. Этот набор включает в себя те же самые сайты, что мы настроили для прямого доступа веб-браузера к сети, чей запрос получил брандмауэр ISA.

Нет доступа к прокси серверу

Список машин включает в себя IP адреса серверов, которые должны получить доступ к выбранным сайтам без аутентификации брандмауэра ISA. Для нашего пример, когда начальник хочет использовать Outlook Express на доменном контроллере, список машин будет выглядеть следующим образом.

Веб прокси

Пример Правила доступа, позволяющего исходящее соединение с сайтом Hotmail неаутентифицированному клиенту, изображен на следующем рисунке. Обратите внимание, что данное правило должно быть применено раньше всех остальных правил, требующих аутентификации по тем же самым протоколам. Короче, Вам нужно разместить правила анонимного доступа над правилами аутентифицированного доступа.

Доступ без прокси

Не забудьте, что если Вы не требуете аутентификации, то информация о пользователях не появится в журнале регистрации. Поэтому я рекомендую подключать правила анонимных исходящих соединений только в случае экстренное технической или политической необходимости.

Резюме

В этой статье, представляющей первую часть разговор о настройке прямого доступа, мы обсудили конфигурацию прямого доступа для клиентов прокси-серверов для веб-страниц. Прямой доступ для клиентов прокси-серверов позволяет клиентским машинам обходить настройки прокси-сервера и использовать конфигурацию клиентов брандмауэра или SecureNAT для доступа к проблемным сайтам. В следующей статье мы обсудим конфигурацию прямого доступа для клиентов брандмауэра и выясним, почему необходимо настраивать прямой доступ в сценариях клиентской части брандмауэра.

Источник www.isaserver.org




Смотрите также:

Tags: , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]