Thursday, October 18th, 2018

Полное руководство к ISA Firewall Outbound DNS (Часть 4)

Published on Февраль 13, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Схема 3 исходящих DNS: Caching only DNS resolvers в DMZ и внутренней сети

Другим вариантом для хорошо защищенного окружения является использование двух DNS серверов, предназначенных только для кэширования. В этом хорошо защищенном окружении вы хотите не допустить исходящие соединения от серверов внутренней сети к интернет хостам, не вызывающих доверие. Чтобы это сделать, вам необходимо использовать два caching only DNS сервера – один из них расположен в корпоративной сети и второй расположен в ISA Firewall DMZ. Философией этого подхода является то, что caching only DNS сервер в DMZ является внимательно управляемым корпоративным ресурсом и принадлежит к более доверительной охранной зоне, чем анонимные DNS серверы, расположенные по интернету, с которыми приходится контактировать в процессе DNS рекурсии.

Первый рисунок, приведенный ниже, показывает, как вы должны устанавливать такое решение.

Dns caching only

Рисунок 1

Последовательность событий показанных на рисунке1 :

  1. Клиентское приложение на клиентской системе во внутренней сети нуждается в доступе к ресурсам http://www.microsoft.com/. Программное обеспечение DNS клиента формулирует DNS запрос и отправляет его в находящийся во внутренней сети caching only DNS сервер.
  2. Caching only DNS сервер, находящийся во внутренней сети, настроен для использования в роли отправителя (forwarder), поэтому он отправляет DNS запрос для http://www.microsoft.com/ в caching only DNS сервер, находящийся в DMZ.
  3. Caching only DNS сервер в DMZ не является полномочным для домена microsoft.com, поэтому он выполняет рекурсию для получения IP адреса для хоста http://www.microsoft.com/.
  4. DNS сервер microsoft.com реагирует на caching only DNS сервер в DMZ и отправляет IP адрес http://www.microsoft.com/ в caching only DNS сервер.
  5. Caching only DNS сервер в DMZ кэширует результат и отправляет информацию в caching only DNS сервер расположенный во внутренней сети.
  6. Caching only DNS сервер расположенный во внутренней сети кэширует результат и отправляет информацию клиенту сделавшему данный запрос.
  7. Клиентское приложение нуждается в соединении с ресурсом внутренней сети. Программное обеспечение клиента DNS на клиентской системе формулирует DNS запрос и отправляет его в caching only DNS сервер, расположенный во внутренней сети. Этот DNS сервер не является полномочным для домена внутренней сети, но он настраивается для условной отправки запросов с внутреннего домена в Active Directory integrated DNS сервер, находящийся во внутренней сети.
  8. Caching only DNS сервер расположенный во внутренней сети отправляет запрос в Active Directory integrated DNS сервер, находящийся во внутренней сети.
  9. Active Directory integrated DNS сервер отправляет ответ на DNS запрос в caching only DNS сервер расположенный во внутренней сети.
  10. Caching only DNS сервер расположенный во внутренней сети кэширует результат и возвращает информацию клиенту, сделавшему данный запрос. Клиент может соединиться с внутренним ресурсом, т.к. теперь у него есть IP адрес того хоста.

В этих настройках вы заметите избыточность в DNS кэшировании между caching only DNS сервером, расположенным в DMZ , и caching only DNS сервером, расположенным во внутренней сети. Это та маленькая цена, которую придется заплатить за добавленную безопасность, полученную этим типом реализации.

Требования для этого решения похожи на требования к предыдущему решению:

  • DNS сервер во внутренней сети настроенный как caching only DNS сервер.
  • DNS сервер в сети DMZ настроенный как caching only DNS сервер.
  • Caching only DNS сервер расположенный во внутренней сети настраивается для использования caching only DNS сервера расположенного в сети DMZ, как отправителя (forwarder).
  • Все клиенты настраиваются для использования caching only DNS сервера расположенного во внутренней сети, как основного DNS сервера (включая внутренний интерфейс ISA Firewall)
  • Access Rule в ISA Firewall, которое позволяет исходящий доступ от caching only DNS сервера в IP адрес caching only DNS сервера расположенного в DMZ для DNS протокола
  • Access Rule в ISA Firewall, которое позволяет исходящий доступ от caching only DNS сервера к установленной по умолчанию внешней сети DNS протокола
  • Внутренний интерфейс ISA Firewall должен быть настроен для использования внутреннего caching only DNS сервера, и не должно быть ни одного внешнего DNS сервера ни в одном из интерфейсов ISA Firewall. Внутренний интерфейс должен быть вверху списка интерфейсов ISA Firewall

Мы уже обсудили, как настроить большинство из этих опций, за исключением того, как настроить отправителя (forwarder) для «всех остальных доменов» в Windows Server 2003 DNS сервере и в более поздних версиях. Это достаточно легко и работает тем же образом, что и наш условный отправитель (forwarder) для внутреннего домена.

Ниже приведенный рисунок показывает, как это установить. В списке DNS domain нажмите на All other DNS domains и введите в строчку Selected domain’s forwarder IP address list IP адрес для caching only DNS сервера(-ов) расположенного в DMZ. Единственное, что вам нужно здесь ввести – хотите вы или нет разрешить рекурсию, когда DNS forwarder в DMZ станет недоступным. Так как решение должно быть безопасным, вы пожелаете выбрать опцию Do not use recursion for this domain, потому что вы не хотите, чтобы этот DNS сервер контактировал с анонимными DNS серверами. К тому же, у внутресетевого caching only DNS сервера нет access rule, которое позволило бы ему выполнить рекурсию, поэтому вы просто потратите время.

Firewall and dns

Рисунок 2

Схема 4 исходящих DNS: Caching Only DNS Server в ISA Firewall

Эти настройки caching only DNS сервера схожи с настройками из предыдущей схемы. Основная разница заключается в том, что существует только один DNS сервер и DNS сервер находится непосредственно в ISA Firewall. Это выбор для организаций, у которых нет ресурсов для развертывания выделенного caching only DNS сервера на отдельном устройстве.

Анонимные сети

Рисунок 3

Следующая последовательность событий описывает, что происходит на выше приведенном рисунке:

  1. Клиентское приложение на клиентской системе во внутренней сети нуждается в доступе к ресурсам http://www.microsoft.com/. Программное обеспечение DNS клиента формулирует DNS запрос и отправляет его в находящийся во внутренней сети caching only DNS сервер.
  2. Caching only DNS сервер в ISA Firewall настраивается для выполнения рекурсии и контактирует с DNS серверами интернета.
  3. DNS сервер microsoft.com отвечает caching only DNS серверу в ISA Firewall и отправляет IP адрес для http://www.microsoft.com/ в caching only DNS сервер.
  4. Caching only DNS сервер в ISA Firewall кэширует результат и отправляет информацию клиенту, сделавшему данный запрос.
  5. Клиентское приложение нуждается в соединении с ресурсом внутренней сети. Программное обеспечение DNS клиента в его системе формулирует DNS запрос и отправляет его в caching only DNS сервер в ISA Firewall. Этот DNS сервер не является полномочным для домена внутренней сети, но он настраивается на условное отправление запросов для внутреннего домена в Active Directory integrated DNS сервер, находящийся во внутренней сети.
  6. Caching only DNS сервер в ISA Firewall отправляет запрос в Active Directory integrated DNS сервер, находящийся во внутренней сети.
  7. Active Directory integrated DNS сервер отправляет ответ на DNS запрос в caching only DNS сервер во внутренней сети.
  8. Caching only DNS сервер во внутренней сети кэширует результат и возвращает информацию клиенту, сделавшему данный запрос. Теперь клиент сможет соединиться с внутренним ресурсом, так как у него есть IP адрес этого хоста.

Требования для этого решения схожи с требованиями предыдущего решения:

  • DNS сервер в ISA Firewall настраивается как caching only DNS сервер.
  • Caching only DNS сервер в ISA Firewall сконфигурирован «слушать»(ожидать входящие соединения) определенных IP адресов внутреннего интерфейса ISA Firewall
  • Все клиенты настраиваются для использования caching only DNS сервера в ISA Firewall как их обычного сервера (включая DNS настройки внутреннего интерфейса ISA Firewall)
  • Access Rule в ISA Firewall, которое позволяет исходящий доступ от клиентов внутренней сети к IP адресу внутреннего интерфейса ISA Firewall, который сконфигурирован для ожидания входящих соединений службы DNS
  • Access Rule в ISA Firewall, которое позволяет исходящий доступ от главной локальной сети ISA Firewall во внешний DNS сервер
  • Внутренний интерфейс ISA Firewall должен быть настроен для использования себя в качестве caching only DNS сервера, и ни в одном из интерфейсов ISA Firewall не должно быть перечислено внешних DNS серверов.

Caching only DNS сервер в ISA Firewall является привлекательной альтернативой для небогатых организаций, которые хотят безопасность и расширенные функциональные возможности, которые может обеспечить выделенный caching only DNS сервер.

Заключение

В этой серии статей о схемах исходящих DNS мы подробно остановились на многогранности настроек исходящих DNS, которые вы можете использовать для резолюции имен хостов интернета. Схемы исходящих DNS вполне отличаются от схем входящих DNS. Все схемы входящих DNS — о публикации DNS серверов так, чтобы внешние пользователи могли разрешать имена для ресурсов, которые вы делаете общедоступными, а схемы исходящих DNS — все о резолюции имен хостов. Во многих случаях вам нужно настроить схемы ваших исходящих DNS для поддержки резолюции имен хостов для внутренних и внешних клиентов. Каждая из представленных в этой статье схем обеспечивает управление по созданию топологии исходящих DNS, которая поддерживает как резолюцию внутренних имен, так и резолюцию имен хостов интернета.

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]