Sunday, October 21st, 2018

Преимущества клиента ISA 2004 Firewall

Published on Февраль 6, 2009 by   ·   Комментариев нет

Есть много вещей, которые выводят брандмауэр ISA из общего ряда других, широко используемых брандмауэров. Но есть одна вещь, которая выделяется особо — это его уникальная комбинация структурного фильтрования и структурной проверки прикладного уровня. Комбинируя эти средства с одним из лучших VPN серверов, а также Web Proxy/возможностями кэширования в брандмауэре ISA, мы получаем один усиленный брандмауэр, который заставляет другие бледнеть при сравнении. Прочтите эту статью и убедитесь насколько клиентские Firewall-приложения брандмауэра ISA являются критическими компонентами его тщательно спроектированной всесторонней защиты.

Есть много вещей, которые выводят брандмауэр ISA из общего ряда других, широко используемых брандмауэров. Но есть одна вещь, которая выделяется особо — это его уникальная комбинация структурного фильтрования и структурной проверки прикладного уровня. Комбинируя эти средства с одним из лучших VPN серверов, а также Web Proxy/возможностями кэширования в брандмауэре ISA, мы получаем один усиленный брандмауэр, который заставляет другие бледнеть при сравнении.

Ключевым компонентом модели безопасности брандмауэра ISA является его способность проверять подлинность практически любого соединения, сделанного через него. В отличие от традиционных структурно фильтрующих брандмауэров, ISA firewall способен прозрачно удостоверять поистине любое TCP или UDP соединение, сделанное через него. Это позволяет Вам выполнять не только строгий контроль входящего(inbound) доступа, который требуется, чтобы защитить Вашу сеть от Internet злоумышленников, но и строгий, основанный на пользователе/группе, контроль доступа над исходящими(outbound) запросами.

Старомодные администраторы брандмауэров, которые думают в терминах «открытия портов», часто игнорируют строгий контроль исходящего доступа. Напротив, администраторы брандмауэров ISA знают, что протоколирование(logging) имён пользователей и приложений, использующихся пользователями для доступа к ресурсам через брандмауэр ISA, является критичным. Вам понадобится эта информация, чтобы скомпоновать сетевую активность, предоставить отчёты о поведении пользователя, а также Вам понадобится эта информация, чтобы выполнить отдельные федеральные требования по документированию и составлению отчётов по Internet активности пользователя.

Ключевой частью Вашего плана по контролю исходящего доступа является Firewall клиент брандмауэра ISA. В этой статье мы исследуем некоторые из возможностей Firewall клиента. Вы зададитесь вопросом, почему Вы не установили Firewall клиент ранее, однажды поняв, что же он может делать для Вас.

Понятие о клиенте ISA 2004 Firewall

Программное обеспечение Firewall клиент является дополнительным клиентским компонентом, который может быть установлен в любой Windows-операционной системе, чтобы обеспечить расширенную безопасность и лёгкость использования. Firewall клиент предоставляет следующие усовершенствования Windows-клиентов:

  • Позволяет строгую, основанную на пользователе/группе, проверку подлинности для всех Winsock приложений, использующих протоколы TCP и UDP
  • Позволяет осуществлять запись информации пользователя и приложения в файлы регистрации брандмауэра ISA
  • Обеспечивает усовершенствованную поддержку для сетевых приложений, включая комплексные протоколы, требующие вторичных подключений
  • Обеспечивает «proxy» DNS поддержку для машин Firewall клиентов
  • Позволяет Вам публиковать серверы, требующие комплексных протоколов, без помощи прикладного фильтра (хотя это не ‘официально’ поддерживается в новом брандмауэре ISA)
  • Делает сетевую инфраструктуру маршрутизации прозрачной для машины Firewall клиента

Позволяет строгую, основанную на пользователе/группе, проверку подлинности для всех Winsock приложений, использующих протоколы TCP и UDP

Клиент ISA Firewall прозрачно отсылает пользовательскую информацию на брандмауэр ISA. Это позволяет Вам создать правила доступа(Access Rules), которые применяются к пользователям и группам и разрешают или препятствуют доступу к любому протоколу, сайту или контенту, ориентируясь по учётной записи пользователя или членстве в группе. Такой строгий, базирующийся на пользователе/группе, контроль исходящего доступа является чрезвычайно важным. Не все пользователи требуют одинаковые уровни доступа, пользователям должен быть дозволен доступ только к протоколам, сайтам и содержанию, требующимся им для работы.

Примечание по ISA Firewall:
Концепция позволения пользователям доступа только к протоколам, сайтам и содержанию, которые им требуются, основана на принципе наименьшей привилегии(least privilege). Принцип наименьшей привилегии применяется и для входящего и для исходящего доступа. Для сценариев входящего доступа, серверные и Web правила публикации позволяют трафик от внешних хостов к сетевым ресурсам, защищённым брандмауэром ISA в тщательно контролируемой и проверяемой форме. То же самое должно быть верно и для исходящего доступа. Однако, в окружениях традиционных сетевых брандмауэров, входящий доступ является непроницаемо контролируемым, тогда как в то же самое время пользователям позволен исходящий доступ к фактически любым ресурсам, какие они пожелают. Такой слабый подход к контролю исходящего доступа может подвергнуть опасности не только корпоративную сеть, но и другие сети, как правило, так как Internet черви могут легко обходить обыкновенные структурно фильтрующие брандмауэры, которые не выполняют ограничение исходящего доступа.

Firewall клиент автоматически отсылает пользовательский мандат (имя пользователя и пароль) на брандмауэр ISA. Пользователь должен быть введён в систему с пользовательской учётной записью, которая присутствует или в Windows Active Directory или в NT домене, иначе пользовательская учётная запись должна быть отражена на брандмауэр ISA.

Например, если Вы имеете Active Directory домен, пользователи должны войти в домен, а брандмауэр ISA должен быть членом домена. Брандмауэр ISA способен зарегистрировать пользователя и затем позволить или предотвратить доступ, базирующийся на пользовательском доменном мандате.

Если Вы не имеете Windows домена, Вы можете, тем не менее, использовать клиента ISA Firewall для контроля исходящего доступа, базирующегося на пользователе/группе. В этом случае Вы отражаете учётные записи, под которыми пользователи входят на свои рабочие станции, в пользовательские учётные записи, хранящиеся в локальном менеджере Security Account Manager (SAM)(менеджер безопасности учётных записей) на брандмауэре ISA.

Например, малый бизнес не использует Active Directory, но им и не нужен строгий контроль исходящего доступа, базирующийся на членстве пользователь/группа. Пользователи входят в систему на своих машинах с локальными пользовательскими учётными записями. Вы можете ввести те же самые имена пользователей и пароли на брандмауэре ISA, тогда он будет способен зарегистрировать пользователей, основываясь на той же самой учётной информации, используемой, когда пользователи входят в систему на своих локальных машинах.

Клиенты Windows 9x могут быть сконфигурированы для того, чтобы посылать доменный мандат, если они имеют установленное программное обеспечение клиента Active Directory. Вы можете получить клиентское программное обеспечение и инструкции по установке на http://support.microsoft.com/default.aspx?kbid=288358.

Позволяет осуществлять запись информации пользователя и приложения в файлы регистрации брандмауэра ISA 2004

Главная выгода от использования Firewall клиента в том, что когда имя пользователя отсылается на брандмауэр ISA, это имя пользователя включается в Firewall Service-файл регистрации брандмауэра ISA. Это позволяет Вам легко делать запросы файлов регистрации на имена пользователей и получать точную информацию по пользовательской Internet активности.

В таком окружении Firewall клиент обеспечивает не только высокий уровень безопасности, позволяя Вам контролировать исходящий доступ, базирующийся на пользовательских/групповых учётных записях, но также обеспечивает высокий уровень отчётности. Пользователи будут не в восторге от разделения информации из их учётных записей с другими пользователями, когда они узнают, что их Internet активность отслеживалась по именам их учётных записей и они несли ответственность за сетевую деятельность, выполненную с использованием их мандатов.

Обеспечивает усовершенствованную поддержку для сетевых приложений, включая комплексные протоколы, требующие вторичных подключений

В отличие от SecureNAT клиента, который требует наличия прикладного фильтра, чтобы поддерживать комплексные протоколы, требующие вторичных подключений, Firewall клиент может поддерживать фактически любое Winsock приложение, использующее TCP или UDP протоколы, независимо от числа первичных или вторичных подключений, не требуя наличия прикладного фильтра.

Брандмауэр ISA 2004 облегчит Вам конфигурирование Protocol Definitions(протокольных определений), отражающих множество первичных или вторичных подключений, и затем создание Access Rules(правил доступа), основанных на этих протокольных определениях. Это обеспечивает существенное преимущество в смысле Total Cost of Ownership (TCO)(общей стоимости владения), потому что Вам не нужно покупать приложения, знающие SOCKS proxy, и Вам не нужно тратить время и деньги, связанные с созданием заказных прикладных фильтров, чтобы поддерживать «off-label(без метки)» или «home grown(домашние)» Internet-enable(приспособленные для Internet) приложения.

Обеспечивает «Proxy» DNS поддержку для машин Firewall клиентов

В отличие от SecureNAT клиента, клиентская машина брандмауэра не должна быть сконфигурирована с DNS серверным адресом, что может преобразовать Internet хост-имена. Брандмауэр ISA может выполнять «proxy» DNS функцию для Firewall клиентов.

Например, когда Firewall клиент отсылает запрос на соединение для ftp://ftp.microsoft.com, запрос пересылается напрямую к брандмауэру ISA. Он определяет имя для клиентской машины брандмауэра, основываясь на DNS установках брандмауэра ISA.

Брандмауэр ISA возвращает полученный IP адрес клиентской машине брандмауэра, а она пересылает FTP запрос IP адресу для FTP сайта ftp://ftp.microsoft.com. Брандмауэр ISA также кэширует результат DNS запросов, которые он делает для Firewall клиентов. В отличие от ISA Server 2000, который кэширует эту информацию на период по умолчанию в 6 часов, брандмауэр ISA кэширует точки входа(entries) на период, определённый TTL на DNS записи, возвращённой DNS сервером. Это ускоряет анализ имени для последующих клиентских подключений брандмауэра к тем же самым сайтам. Рисунок ниже демонстрирует последовательность анализа имени для Firewall клиента.

Firewall client что это

Firewall клиент посылает запрос для ftp.microsoft.com.

  1. Брандмауэр ISA посылает DNS запрос к внутреннему DNS серверу.
  2. DNS сервер преобразует имя ftp.microsoft.com в его IP адрес и возвращает результат брандмауэру ISA.
  3. Брандмауэр ISA возвращает IP адрес ftp.microsoft.com Firewall клиенту, который делает запрос.
  4. Firewall клиент отсылает запрос на IP адрес для ftp.microsoft.com и соединение готово.
  5. Internet FTP сервер возвращает запрошенную информацию Firewall клиенту через клиентское подключение брандмауэра, сделанное к ISA Firewall.

Инфраструктура сетевой маршрутизации прозрачна для Firewall клиента

Другое важное преимущество, предоставленное Firewall клиентом, заключается в том, что инфраструктура маршрутизации является фактически прозрачной для клиентской машины брандмауэра. В отличие от SecureNAT клиента, который зависит от шлюзовой конфигурации по умолчанию и шлюзовых установок по умолчанию (шлюз последнего обращения) на маршрутизаторах повсюду в корпоративной сети, клиентской машине брандмауэра требуется знать только маршрут к IP адресу на локальном интерфейсе брандмауэра ISA 2004.

Предупреждение по ISA Firewall:
Обратите внимание, что я говорю «локальный интерфейс», когда обращаюсь к соединению с брандмауэром ISA. В отличие от ISA Server 2000, где был один или больше «внутренних(Internal)» интерфейсов, новый брандмауэр ISA не видит сеть, как бы составленной из «внутренних(Internal)» и «внешних(External)» интерфейсов. Так как новый брандмауэр ISA имеет внешний интерфейс по умолчанию (это интерфейс, на котором сконфигурирован шлюз по умолчанию), новый брандмауэр ISA поддерживает множество внутренних, внешних и DMZ интерфейсов. Заметьте, что это «Внутренняя Сеть(Internal Network)» по умолчанию(с заглавной «В» и заглавной «С»). Внутренняя Сеть по умолчанию определяется во время установки и не имеет ничего общего с концепцией Внутренней Сети, использованной в брандмауэре ISA Server 2000. «Локальным интерфейсом» является интерфейс в той же самой Сети (с заглавной «С») брандмауэра ISA, что и клиент, запрашивающий содержание через брандмауэр ISA.

Клиентская машина брандмауэра «дистанционно отправляет» запросы прямо к IP адресу интерфейса брандмауэра ISA, который расположен в той же самой сети брандмауэра ISA, что и клиент. Так как корпоративные маршрутизаторы обычно знают маршруты ко всем сетевым ID в корпоративной сети, нет необходимости вносить изменения в маршрутную инфраструктуру, чтобы поддержать клиентские подключения брандмауэра к Internet. Рисунок ниже изображает «удалённое направление» этих подключений напрямую к брандмауэру ISA. Таблица ниже суммирует преимущества приложения Firewall client.

Firewall работающий без запросов

Таблица 1: Преимущества Firewall Client

Преимущество Firewall Client Значение
Строгая проверка подлинности, основанная на пользовате-ле/группе, для Winsock TCP и UDP протоколов Строгая проверка подлинности, основанная на пользователе/группе, для Winsock приложений, использующих TCP и UDP, позволяет прекрасно настроенный гранулированный контроль над исходящим доступом и позволяет Вам осуществить принцип наименьшей привилегии, что защищает не только Вашу собственную сеть, но также и другие корпоративные сети.
Имя пользователя и прикладная информация сохраняются в файлах регистрации брандмауэра ISA 2004 В то время как строгий контроль доступа, основанный на пользователе/группе, увеличивает безопасность, обеспечиваемую брандмауэром для Вашей сети, информация по имени пользователя и названию приложения, сохраняемая в файлах регистрации брандмауэра ISA 2004, улучшает учёт и даёт Вам возможность легко исследовать, к каким сайтам, протоколам и приложениям обращался любой пользователь, выполняющий клиент брандмауэра ISA.
Расширенная поддержка для сетевых приложений и протоколов К Firewall клиенту могут получать доступ фактически любые, основанные на TCP или UDP, протоколы, даже те (используемые комплексными протоколами), которые требуют множество первичных и/или вторичных подключений. Напротив, SecureNAT клиент требует наличия прикладного фильтра на брандмауэре ISA 2004, чтобы поддерживать комплексные протоколы. Полный эффект такой — Firewall клиент уменьшает TCO решения ISA 2004 firewall.
Поддержка Proxy DNS для Firewall клиентов Брандмауэр ISA 2004 может преобразовывать имена от имени Firewall клиентов. Это снимает ответственность за анализ Internet хост-имени с клиентского компьютера брандмауэра и позволяет брандмауэру ISA 2004 сохранять DNS кэш недавних запросов анализа имени. Это DNS proxy средство также совершенствует конфигурацию безопасности для Firewall клиентов, потому что оно устраняет требование, по которому Firewall клиент должен быть сконфигурирован так, чтобы использовать публичный DNS сервер для преобразования Internet хост-имён.
Допускает серверы публикации, которые требуют комплексный сетевой протокол Web и Server Publishing Rules (Web и серверные правила публикации) поддерживают простые протоколы, за исключением тех, которые имеют приложение, установленное на брандмауэре ISA 2004, такое как прикладной фильтр FTP доступа. Вы можете установить клиента ISA Firewall на опубликованном сервере для поддержки комплексных протоколов, таких, как те, которые могли бы потребоваться, если бы Вы решили запустить игровой сервер в Вашей сети. Важно учесть, что Microsoft больше официально не поддерживает такую конфигурацию и они рекомендуют, чтобы у Вас был программист на C++ , который пишет прикладной фильтр для поддержки Вашего приложения.
Сетевая инфраструктура маршрутизации фактически прозрачна для firewall клиента В отличие от SecureNAT клиента, который полагается на организационную инфраструктуру маршрутизации, чтобы использовать брандмауэр ISA 2004 в качестве межсетевой защиты Internet доступа, Firewall клиенту требуется знать только маршрут к IP адресу на внутреннем(Internal) интерфейсе брандмауэра ISA 2004. Это значительно сокращает административные затраты, требующиеся для поддержки Firewall клиента по сравнению с SecureNAT клиентом.

Как работает Firewall клиент

Подробности о том, как клиент ISA Firewall в действительности работает, не полностью документированы в литературе Microsoft. Фактически, если Вы выполняете сетевую запись (network trace) клиентских соединений брандмауэра, используя Microsoft Network Monitor, Вы увидите, что Network Monitor не способен их декодировать; однако, Ethereal действительно предлагает элементарный клиентский фильтр брандмауэра, который Вы можете использовать (www.ethereal.com). Это было так для клиентских соединений ISA Server 2000 Firewall. Всё может быть ещё более проблематичным с новым клиентским приложением брандмауэра ISA, потому что он способен шифровать соединения канала управления.

Что мы действительно знаем — так это то, что Firewall клиент брандмауэра ISA, в отличие от предыдущих версий, использует только TCP 1745 для клиентского канала управления брандмауэра. По этому каналу управления Firewall клиент соединяется напрямую с Firewall сервисом брандмауэра ISA, чтобы выполнить анализ имени и сетевые (специфические для приложения) команды (такие как те, что используются FTP и Telnet). Firewall Service использует информацию, полученную через канал управления для того, чтобы установить соединение между Firewall клиентом и сервером назначения. Брандмауэр ISA проводит (proxies) соединение между Firewall клиентом и сервером назначения.

Примечание по ISA Firewall:
Firewall клиент только устанавливает соединение по каналу управления при подсоединении к ресурсам, не расположенным в той же самой сети, из которой клиентская машина брандмауэра устанавливает соединение.

В ISA Server 2000 внутренняя сеть была определена Local Address Table (LAT). Новый брандмауэр ISA не использует LAT по причине своих расширенных мультисетевых возможностей. Однако, Firewall клиент должен иметь некоторый замещающий механизм, чтобы определять, какие соединения должны быть отправлены к Firewall сервису на брандмауэре ISA, а какие должны быть отосланы напрямую к хосту назначения, который расположен в той же самой сети ISA, что и клиентская Firewall-машина брандмауэра.

Firewall клиент решает эту проблему, используя адреса, определённые сетью, в которой расположен Firewall клиент. Сеть ISA для любого отдельного Firewall клиента состоит из всех адресов, доступных из сетевого интерфейса, который подключен к собственной сети Firewall клиента.

Эта ситуация становится интересней на множественно адресуемом(multihomed) брандмауэре ISA, который имеет множество сетей, ассоциированных с разными сетевыми адаптерами. Обычно все хосты, расположенные за одним и тем же сетевым адаптером (независимо от сетевого ID), рассматриваются как часть одной и той же сети и все соединения между хостами в той же сети должны обойти Firewall клиента и быть посланы напрямую к хосту назначения, расположенному в той же сети ISA.

Предупреждение защиты ISA 2004:
Вы можете иметь множество интерфейсов на одном и том же брандмауэре ISA. Однако, только единственная сеть может носить имя Internal(внутренняя). «Внутренняя Сеть» в новом брандмауэре ISA состоит из групп машин, которые полностью доверяют друг другу (по крайней мере, достаточно доверяют, чтобы не требовать наличия сетевого брандмауэра для контроля соединений между ними). Вы можете иметь множество внутренних сетей, но дополнительные внутренние сети не могут быть включены в адресное пространство другой сети.

Это значит, что Вы не можете использовать центрально-сконфигурированный сетевой адресный диапазон для Внутренней Сети и дополнительных сетей с целью обхода Firewall клиента при соединении между этими сетями, подключенными к брандмауэру ISA через различные сетевые интерфейсы. Однако, централизованная конфигурация Firewall клиента может быть сделана на сеть(per Network), так что Вы можете контролировать клиентские настройки брандмауэра на «per network»-базисе. Это предоставляет Вам существенную степень контроля на тем, как настройки конфигурации Firewall клиента управляются в каждой ISA сети. Однако, это решение не помогает в сети в пределах сетевого сценария, где присутствует множество сетевых ID, расположенных за одной и той же сетевой интерфейсной платой.

Самое существенное усовершенствование, которое имеет Firewall клиент нового брандмауэра ISA по сравнению с предыдущими версиями Firewall клиента (Winsock Proxy Client 2.0 и ISA Server 2000 Firewall Client), заключается в том, что теперь Вы имеете возможность использовать зашифрованный канал между Firewall клиентом и брандмауэром ISA 2004.

Важно, чтобы была возможность шифровать информацию, переносимую по каналу управления Firewall клиента, потому что Firewall клиент пересылает пользовательский мандат прозрачно к брандмауэру ISA. Клиентское приложение брандмауэра ISA шифрует канал, так что пользовательский мандат не может быть перехвачен кем-нибудь, «прочёсывающим» сеть сетевым анализатором (таким как Microsoft Network Monitor или Ethereal). Учтите, что Вы не имеете возможности конфигурирования брандмауэра ISA, чтобы разрешить и безопасные шифрованные и нешифрованные соединения канала управления. Вы можете захотеть разрешить нешифрованные соединения на короткий период времени, чтобы поддержать клиентов ISA Server 2000 Firewall, пока Вы находитесь в процессе миграции машин на новое клиентское приложение брандмауэра.

Заключение

В этой статье мы прошли подробности того, почему Firewall клиент является ключевой частью инфраструктуры безопасности для поддержки итак впечатляющего уровня защиты, обеспечиваемого брандмауэром ISA. Клиентское приложение брандмауэра ISA позволяет ему значительно повысить уровень безопасности и ответственности, чем тот, который мог быть достигнут использованием обычного структурно-фильтрующего брандмауэра, путём автоматической и прозрачной отправки имён пользователей, названий пользовательских приложений и другой подробной информации на брандмауэр ISA, так, что эта информация может быть записана в файлах регистрации для дальнейшего анализа и составления отчётов. Firewall клиент также совершенствует уровень доступности, который может обеспечить брандмауэр ISA, с помощью значительного расширения протокольной поддержки для Firewall клиентов, не требуя написанных на C++ фильтров прикладного уровня.

Источник www.isaserver.org






Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]