Sunday, July 22nd, 2018

Обучение директора и сетевого персонала работе с ISA Firewall (часть 3)

Published on Февраль 6, 2009 by   ·   Комментариев нет

Если вы пропустили первые части этой серии статей, перейдите по ссылкам:

В первых двух частях этой серии статей по обучению директора и сетевого персонала работе с ISA Firewall мы обсудили различные ситуации, в которых можно использовать ISA Firewall. Эти ситуации включали конфигурацию ISA Firewall, как отдельного компонента, а также интегрированные конфигурации, в которых ISA Firewall используется совместно с другими брандмауэрами.

В этой последней части серии статей мы рассмотрим то, как использовать ISA Firewall в качестве интегрированного брандмауэра и модуля веб доступа (Web proxy) и сервера кэша, как использовать его для защиты Exchange Servers, а также то, как он защищает SharePoint и IIS Web сайты.

Как ISA Server функционирует в качестве интегрированного брандмауэра, модуля веб доступа и сервера кэша

Некоторые организации предпочтут использовать ISA в качестве отдельного брандмауэра и компонентов кэширования, отключив при этом функцию кэширования веб содержимого. Однако одним большим преимуществом ISA 2006 является то, что вы можете использовать его в качестве отдельного интегрированного брандмауэра, модуля веб доступа и кэширующего сервера для обеспечения быстрого и безопасного соединения с Интернетом.

Многие другие популярные решения кэширования веб содержимого требуют отдельных устройств и ПО для обеспечения кэширования веб содержимого, тогда как ISA 2006 плотно сочетает эти функции для обеспечения плавной и безошибочной конфигурации. Независимо от физического способа развертывания ISA 2006, вы получите преимущество от централизованного и интегрированного управления на основе политики.

Положительные характеристики, преимуществом которых организации смогут воспользоваться при развертывании ISA 2006 в качестве интегрированного брандмауэра и кэширующего сервера, включают следующее:

  • Четкие правила доступа на основе политики для входящего и исходящего доступа.
  • Интеллектуальный фильтр осмотра прикладного уровня и осмотр состояния пакетов.
  • Упрощенный и интуитивно понятный интерфейс конфигурации брандмауэра. Нет необходимости заучивать непонятные и сложные для понимания процедуры интерфейса командной строки. Все функции и параметры брандмауэра и модуля веб доступа представлены в консоли управления ISA Server Firewall Management Console.
  • Подробная регистрация событий и отчеты обеспечивают надежный обзор и возможности детального просмотра определенных соединений.
  • Интеграция службы Active Directory посредством членов домена или запросов LDAP в базу данных Active Directory предоставляет бесследный доступ к пользователям и группам Active Directory, значительно упрощая задачу активирования четкого контроля доступа на основе пользователей/групп.
  • Централизованная консоль управления (MMC) позволяет администраторам брандмауэра ISA управлять несколькими брандмауэрами ISA Standard Edition или тысячами брандмауэров ISA Enterprise Edition в массиве ISA.

ISA 2006 включает технологию по обеспечению безопасной, быстрой подключаемости к Интернету с упрощенным и централизованным управлением в сочетании с осмотрами многоуровневых пакетов и прикладного уровня, который требуется для удовлетворения потребностей сегодняшних организации, использующих Интернет.

Как ISA Server защищает Exchange

Нужен способ защиты данных Exchange, который не ограничивал бы доступ для тех, кто в нем нуждается. ISA 2006 специально создан для защиты пользовательских Exchange серверов, поскольку он обеспечивает собственный доступ для компьютеров клиентов, использующих Microsoft Outlook.

Традиционные брандмауэры не способны надежно обрабатывать RPC соединения, поскольку им требуется вторичный порт. ISA включает RPC фильтр, который может обследовать ответы сервера, содержащие вторичные порты, и обеспечить создание соединения только на том порте, к которому Exchange Server на данный момент подключен. Более того, RPC фильтр способен внедрить RPC шифрование и блокировать недопустимые RPC запросы.

Для тех, кто использует Outlook 2003 или 2007, брандмауэр ISA способен обеспечить защищенный удаленный доступ для RPC/HTTP. Этот способ инкапсулирует собственные RPC/MAPI соединения в защищенный SSL туннель. Брандмауэр ISA способен блокировать SSL туннель, вскрывать зашифрованные соединения, осматривать эти соединения на наличие потенциально опасных команд или содержимого, затем заново зашифровывать эти соединения и передавать их на Exchange Server.

Брандмауэр ISA способен сделать то, что практически ни один из существующих на сегодняшний день на рынке брандмауэров не способен сделать: обеспечить защищенное соединение SSL с одного до другого конца и выполнить осмотр состояния пакетов и прикладного уровня содержимого SSL туннеля. Это делает ISA 2006 брандмауэром выбора многих организаций, желающих обеспечить полный доступ Outlook для своих сотрудников, часто бывающих в командировках.

Защиту для Exchange очень легко настроить с помощью мастера, который проведет вас по всем необходимым шагам установки всех типов Exchange доступа. Мастера публикации Exchange Publishing Wizards берут на себя всю работу по выполнению того, что может стать потенциально сложной задачей настройки даже для опытных администраторов ISA. Мастер публикует все службы Exchange Server, включая:

  • Outlook Web Access (OWA)
  • Outlook Mobile Access (OMA)
  • Exchange ActiveSync (EAS)
  • Exchange SMTP и безопасные SMTP сервисы
  • Exchange POP3 и безопасные POP3 сервисы
  • Exchange IMAP4 и безопасные IMAP4 сервисы

Все популярные почтовые протоколы поддерживаются. ISA 2006 включает фильтры осмотра приложений для POP3 и SMTP протоколов, а фильтр безопасности HTTP Security Filter обеспечивает максимально возможный уровень защиты удаленного доступа для всех веб служб Exchange.

Параметры, которые ISA 2006 использует для защиты служб электронной почты Exchange, включают следующее:

  • Фильтр SMTP позволяет вам контролировать то, какие SMTP операции могут быть использованы, а затем ограничивать размер команды, разрешенный для каждой их этих операций. Фильтр POP3 защищает POP3 службу сервера Exchange от обычных потоковых атак буфера.
  • Exchange RPC фильтры позволяют пользователям безопасно подключаться к Outlook из удаленных расположений, используя версии Outlook, выпущенные раньше, чем Outlook 2003. Старые версии Outlook могут воспользоваться преимуществом брандмауэра ISA (публикацией Secure Exchange RPC), которая обеспечивает им безопасный доступ с помощью собственных (native) MAPI протоколов через Интернет. Брандмауэры с функцией стандартного осмотра состояний пакетов не способны обезопасить RPC MAPI трафик, поскольку они не распознают Outlook/Exchange RPC MAPI соединений; брандмауэр ISA распознает и защищает их.
  • Мастер веб публикации Exchange Web Publishing Wizards обеспечивает защищенный удаленный доступ ко всем службам Exchange Server (OWA, OMA, EAS). Этот мастер прост и легок в использовании. Обо всех сложностях настройки заботится мастер, что снижает риск нарушения безопасности в результате ошибок в конфигурации или топологических ошибок, которые могут возникать в окружении интерфейса командной строки.
  • Делегирование аутентификации не позволяет неаутентифицированным соединениям достигать Exchange Server и компрометировать его безопасность. Неаутентифицированные соединения представляют огромную прореху в безопасности, что дает возможность атакующим пользователям с легкостью достигать опубликованных серверов Exchange Server. Брандмауэр ISA закрывает эту прореху, созданную брандмауэрами с функцией стандартного осмотра состояний пакетов.
  • Расширенное делегирование сценариев аутентификации включает Kerberos Constrained Delegation, что позволяет пользователям регистрироваться посредством аутентификации сертификата пользователя и делегировать эти мандаты в качестве Kerberos мандатов.
  • Уникальная характеристика SSL соединения брандмауэра ISA позволяет ему выполнять осмотр соединений, зашифрованных в SSL, на прикладном уровне. В отличие от брандмауэров с функцией стандартного осмотра состояний пакетов брандмауэр ISA способен вскрывать (в памяти брандмауэра ISA) SSL соединения, осматривать HTTP поток на наличие опасных и подозрительных связей, а затем снова зашифровывать сеанс и передавать соединение на сервер Exchange, после того как эти соединения прошли тест осмотра на прикладном уровне.
  • Фильтр HTTP Security Filter легко настраивается для обеспечения жестко ограниченного доступа с тем, чтобы только законные способы использовались для подключения к веб службам Exchange Server, он также может быть настроен для каждой веб службы Exchange Server, включая OWA, OMA, Exchange ActiveSync и RPC через HTTP соединения для клиентов Outlook 2003 и Outlook 2007.
  • Аутентификация на основе форм (Forms-based authentication) позволяет использовать стандартное имя пользователя и пароль, а также более расширенные способы аутентификации, например, аутентификация сертификата пользователя, аутентификация смарт-карт, RADIUS One-Time Passwords и RSA SecurID. Аутентификация на основе форм позволяет администратору брандмауэра ISA контролировать способность пользователя получать доступ к вкладышам и устанавливать интервалы простоя на основе публичной или личной принадлежности компьютера.

Как ISA Server защищает IIS

Поскольку веб серверы часто доступны общественности, они особенно уязвимы для атак, исходящих из Интернета. Потребителям нужен способ защиты публичных веб серверов не подвергающий опасности внутреннюю сеть, и в тоже время не ограничивающий доступ к веб ресурсам для пользователей, нуждающихся в этих ресурсах.

ISA 2006 создан для работы с HTTP и HTTPS (SSL) протоколами и способен осматривать содержимое и запросы, которыми обменивается сервер и клиент. Брандмауэр ISA располагается между веб серверами и Интернетом, и осматривает запросы на предмет того, исходят ли они с одобренных адресов в соответствии с конфигурацией аутентификации пользователя. ISA может также определять, что запрашиваемые URL действительны и что веб методы (например, POST или GET) одобрены.

ISA может осматривать URL и определять, на какой веб сервер должен быть направлен запрос.

Функции, которые ISA Server использует для защиты IIS серверов, включают следующее:

  • Возможность осматривать адрес и пользователя источника, запрашиваемый URL, методы, заголовки и содержимое запросов и ответов, используя преимущество безопасности, предоставляемое фильтром HTTP Security Filter.
  • Поддержка SSL шифрования для обеспечения безопасности конфиденциальной информации во время ее передачи через Интернет
  • SSL соединение, позволяющее ISA Server осматривать SSL трафик.
  • Предварительная аутентификация для того, чтобы не позволять анонимным пользователям использовать анонимное соединение для атак веб сервера IIS.

Как ISA Server защищает сайты SharePoint

Определенным типом веб сайтов IIS, которые нужно защитить, являются сайты SharePoint Portal Server (SPS). Эти сайты могут представлять определенные сложности, поскольку SPS может возвращать абсолютные ссылки (используя NetBIOS имя сервера) на внутренние ресурсы, которые не могут быть распознаны клиентом, находящимся за пределами внутренней сети, которому нужен доступ к сайту SharePoint через Интернет.

ISA 2006 предоставляет средство для публикации SharePoint серверов так, что эти абсолютные ссылки преобразуются в имена, которые могут быть распознаны DNS, что делает ресурсы доступными для тех, кто пытается подключиться к SharePoint серверу через Интернет.

Параметры, которые ISA использует для защиты сайтов SharePoint, включают следующее:

  • Преобразование ссылок, которое отображает внутренние ссылки, такие как http://bigserver/, в приемлемую для Интернета ссылку в формате имени домена, например, http://bigserver.microsoft.com. Набор параметров преобразования ссылок в ISA 2006 был значительно усовершенствован по сравнению с этими функциями в ISA 2004, причем основная часть усовершенствований коснулась сценариев публикации SharePoint Portal Server.
  • Делегирование аутентификации не позволяет неаутентифицированным соединениям достигать сервера SharePoint Portal Server и компрометировать его безопасность. Неаутентифицированные соединения представляют собой огромную прореху в безопасности, позволяющую атакующим пользователям с легкостью достигать публичных серверов SharePoint Portal Server. Брандмауэр ISA закрывает эту прореху безопасности, созданную брандмауэрами с функцией стандартного осмотра состояний пакетов.
  • Расширенный сценарий делегирования аутентификации включает технологию Kerberos Constrained Delegation, которая позволяет пользователям регистрироваться посредством аутентификации сертификата пользователя и использовать эти мандаты в качестве Kerberos мандатов.
  • Уникальная характеристика SSL соединения брандмауэра ISA позволяет ему выполнять осмотр соединений, зашифрованных в SSL, на прикладном уровне. В отличие от брандмауэров с функцией стандартного осмотра состояний пакетов брандмауэр ISA способен вскрывать (в памяти брандмауэра ISA) SSL соединения, осматривать HTTP поток на наличие опасных и подозрительных связей, а затем снова зашифровывать сеанс и передавать соединение на сервер Exchange, после того как эти соединения прошли тест осмотра на прикладном уровне.
  • Фильтр HTTP Security Filter легко настраивается для обеспечения жестко ограниченного доступа с тем, чтобы только законные способы использовались для подключения к веб службам Exchange Server, он также может быть настроен для SharePoint Portal Server соединений, что обеспечивает пропуск только действительных SPS запросов и ответов через брандмауэр ISA.
  • Аутентификация на основе форм позволяет использовать стандартное имя пользователей и пароль, а также более расширенные способы аутентификации, такие как аутентификация сертификата пользователя, аутентификация смарт-карт, RADIUS One-Time Passwords и RSA SecurID. Аутентификация на основе форм позволяет администратору брандмауэра ISA контролировать способность пользователя получать доступ к вкладышам и устанавливать интервалы простоя на основе публичной или личной принадлежности компьютера.

Заключение

В этой последней части серии статей об обучении директора и сетевого персонала работе с брандмауэром ISA мы рассмотрели некоторые специфические сценарии сервера, в которых ISA Firewall может обеспечить отличную защиту. Надеюсь, что вы сочли эту серию статей полезной, и если у вас есть вопросы о брандмауэре ISA Firewall, пожалуйста, дайте мне знать. Также, если вы пытаетесь использовать брандмауэр ISA в своем окружении, но у вас возникают трудности при обучении сетевого персонала и директора преимуществам, которые предоставляет брандмауэр ISA Firewall, дайте мне знать, и я постараюсь вам помочь. Спасибо!

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]