Sunday, July 22nd, 2018

Настройка прямого доступа к сайтам: Часть 2 — Настройка прямого доступа для клиентов брандмауэра и сценарии публикации

Published on Февраль 6, 2009 by   ·   Комментариев нет

В первой статье о конфигурации брандмауэра ISA для поддержки прямого доступа мы обсудили настройки прямого доступа для клиентов прокси-сервера для веб-страниц к проблемным веб-сайтам. Если Вы не читали эту статью, то можете найти ее по адресу здесь.Во второй части мы поговорим о прямом доступе для клиентов брандмауэра, а также узнаем, почему прямой доступ так важен при создании сценариев публикации серверов или публикации в сети web.

Во второй части мы поговорим о прямом доступе для клиентов брандмауэра, а также узнаем, почему прямой доступ так важен при создании сценариев публикации серверов или публикации в сети web. Для начала скажем, что прямой доступ работает немного по разному в зависимости от того, какой тип клиента ISA и сценариев Вы используете:

  • Для клиентов прокси-сервера для веб-страниц. Прямой доступ позволяет клиенту прокси-сервера соединиться с нужным сайтом через брандмауэр ISA, обходя настройки клиента прокси-сервера. Это позволяет клиентскому компьютеру использовать конфигурацию клиента брандмауэра или SecureNAT для доступу к выбранному сайту через брандмауэр ISA.
  • Для клиентов брандмауэра прямой доступ позволяет компьютеру с клиентской частью брандмауэра обойти конфигурацию клиента брандмауэра и соединиться напрямую к хосту в той же самой сети брандмауэра ISA, в которой находится компьютер с клиентов брандмауэра.
  • В случае, когда установлены и клиент прокси-сервера и клиент брандмауэра, прямой доступ позволяет клиенту подсоединиться напрямую к опубликованным серверам, расположенным в той же самой сети брандмауэра ISA, в качестве хоста, осуществляющего запрос. В этом случае также необходима распределенная DNS.

Рассмотрим несколько примеров, иллюстрирующих эти варианты.

На следующем рисунке изображен сервер во внутренней сети брандмауэра ISA, который был опубликован с помощью правил публикации в сети web и сервера. Внешний клиент подсоединяется к опубликованному серверу через IP адрес внешнего интерфейса брандмауэра ISA, а затем брандмауэр пересылает соединение опубликованному серверу во внутренней сети. Здесь не возникает никаких проблем, и прямой доступ здесь не нужен.

Как обойти isa сервер?

На следующей картинке мы видим пример условия возврата. Возврат пакетов через брандмауэр ISA всегда нежелателен при установке соединения в той же самой сети брандмауэра ISA, в которой находится компьютер, осуществивший запрос.

В этом примере компьютер с установленной клиентской частью брандмауэра в локальной сети осуществляет запрос соединения с опубликованным веб-сервером www.domain.com. Брандмауэр переводит это имя в IP адрес на своем внешнем интерфейсе и осуществляет попытку вернуть запрос через ISA брандмауэр, чтобы получить доступ к ресурсам, расположенным в той же самой сети брандмауэра, что и клиент, осуществивший запрос (в этом примере и клиент брандмауэра, осуществивший запрос, и сервер находятся в той же самой внутренней сети).

Проблемы такой конфигурации заключаются в следующем:

  • Машина с установленным клиентом брандмауэра замещает имя ресурса, к которому она хочет подсоединиться, IP адресом внешнего интерфейса брандмауэра ISA
  • Соединения с ресурсами в той же самой сети брандмауэра возвращаются через брандмауэр, что уменьшает производительность брандмауэра
  • Соединения, которые возвращаются через брандмауэр, могут оборваться или выдать противоречивые результаты и осуществить запрос к Help Desk

Возвратов через брандмауэр ISA при попытке доступа к ресурсам той же самой сети брандмауэра нужно избегать всеми силами. Джим Хариссон называет такое условие «изотропичным прыжком». Изотропизм зависит от направленной независимости, которая не совсем точно подходит для работы в сети и брандмауэрам.

Как вернуть настройки брандмауэра?

Нас следующем рисунке изображено решение проблемы c помощью прямого доступа. Брандмауэр и клиент прокси-сервера настроены так, чтобы при соединении с ресурсами той же сети брандмауэра ISA использовался прямой доступ. Клиентская машина, посылающая запрос, переводит имя в реальный IP адрес хоста во внутренней сети и обходит настройки клиентов брандмауэра и прокси-сервера, соединяясь тем самым напрямую с ресурсом, полностью игнорируя брандмауэр ISA.

Такая конфигурация требует распределенного DNS, так чтобы внутренние и внешние клиентские машины понимали одно и то же имя по-разному. При распределенном DNS внешние клиенты переводят имя опубликованного ресурса www.domain.com в IP адрес внешнего интерфейса брандмауэра ISA, который опубликовал этот сервер. Внутренние клиенты используют внутреннюю часть распределенного DNS для перевода того же самого имени www.domain.com во внутренний IP адрес сервера. Таким образом клиенты брандмауэра и прокси-сервера использую конфигурацию прямого доступа для обхода брандмауэра ISA при соединении с ресурсом, расположенным в той же самой сети брандмауэра ISA.

При этом DNS адрес сервера должен быть указан в конфигурации TCP/IP интерфейса клиента брандмауэра и прокси-сервера. В отличие от сценариев, не использующих прямой доступ, DNS адрес сервера не должен быть указан в конфигурации клиентов брандмауэра и прокси-сервера, потому что брандмауэр ISA может предоставлять проrси-сервисы для DNS от имени клиентов брандмауэра и прокси-сервера. Однако, сценарии, где прямой доступ не был настроен для клиентов брандмауэра и прокси-сервера, а также нет настроек внутреннего DNS сервера, подходят только для маленьких организаций, которые не используют домены Active Directory и не используют свои собственные сервисы DNS.

Как вернуть настройки брандмауэра?

Описание распределенных DNS Вы можете найти в моих более ранних статьях, и я буду еще говорить об этом в будущем.  Мне кажется, что в этой статье я немного слишком углубился в детали, так что следующие статьи, которые будут посвящены этой теме, я посвящу пользователям, работающим с малыми и средними компаниями.

Итак, ключевой идеей прямого доступа является то, что Вы обходите либо прокси-сервис для веб-страниц, либо весь брандмауэр ISA, в зависимости от требований пользователя.

Настройка прямого доступа для клиентов брандмауэра

Настройка прямого доступа для клиентов брандмауэра производится в свойствах сети из которой брандмауэр соединяется с брандмауэром ISA. В этом примере и клиенты брандмауэра и ресурсы подсоединены к внутренней сети. В консоли Microsoft Internet Security and Acceleration Server 2004 разверните узел с именем сервера, а затем разверните узел Configuration. Щелкните на узел Networks. Откройте закладку Networks, а затем щелкните два раза на элементе Internal.

В диалоговом окне Internal Properties откройте закладку Domains. На этой закладке нажмите кнопку Add. В диалоговом окне Domain Properties введите имя домена или FQDN того ресурса, для которого будет активизирован прямой доступ. В этом примере мы хоти разрешить соединение со всеми серверами в домене domain.com через прямой доступ. Используйте специальные символы в ночале доменного имени для того, чтобы определить все сервера в этом домене. Нажмите OK.

Часть прямой

Список доменов должен включать все домены, для которых клиент брандмауэра будет использовать прямой доступ. Также в этот список нужно включить все внутренние домены (домены Active Directory), так чтобы клиенты брандмауэра обходили конфигурацию клиента брандмауэра при соединении с ресурсами в том же самом домене. Это может оказаться немного сложным, если ваш домен Active Directory работает с несколькими сетями брандмауэра ISA.

Также в это список нужно включить все домены, для которых был настроен распределенный DNS. Например, если Вы настроили распределенный DNS для domain.com, mydomain.com, и newdomain.com, то Вам захочется убедиться, что все клиенты брандмауэра, находящиеся в той же самой сети, что и эти сервера, используют прямой доступ для соединения к этим серверам. И это позволяет обойти настройки клиента брандмауэра при доступе к этим ресурсам и исключить возврат через брандмауэр ISA при доступе к этим серверам.

Часть прямой

Также Вы можете установить, чтобы клиенты прокси-сервера использовали прямой доступ для доменов, перечисленных в списке на закладке Domains. Откройте закладку Web browser. На этой закладке установите флажок напротив опции Directly access computers specified in the Domain tab. Нажмите Apply и OK. Нажмите Apply, чтобы сохранить изменения и обновить правила брандмауэра. Нажмите OK в диалоговом окне Apply New Configuration.

Обойти isa

Не забудьте обновить конфигурации клиента брандмауэра и прокси-сервера, чтобы применить новые изменения, иначе на это может уйти шесть часов. Другая важная особенность настройки прямого доступа для клиентов прокси-сервера — это то, что они должны быть настроены на использование скрипта автоконфигурации. Проще всего сделать это во время установки клиента брандмауэра, но все же есть другие способы автоматически настроить клиента прокси-сервера на использование скрипта автоконфигурации. В книге Настройка ISA Server 2004 этой теме посвящается довольно много страниц, так что, если Вам интересно узнать о настройке клиента ISA, то обратитесь к 5 главе.

Резюме

В этой статье обсуждалось, как можно использовать прямой доступ для того, чтобы клиенты брандмауэра могли обойти настройки брандмауэра при доступе к ресурсам, которые принадлежат той же самой сети брандмауэра ISA. Прямой доступ для клиентов брандмауэра позволяет компьютерам с установленными клиентами подсоединяться непосредственно к серверам, расположенным в той же самой сети, и не допускать возврата через брандмауэр ISA при соединении с локальными ресурсами. Также мы говорили о роли прямого доступа в сценариях публикации в сети и публикации серверов, а также, как прямой доступ может использоваться вместе с распределенной DNS для обеспечения высокой производительности, позволяя хостам обходить брандмауэр при соединении к локальным ресурсам.

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]