Monday, January 22nd, 2018

Редактирование системной политики в ISA server 2004 (Часть 1)

Published on Февраль 13, 2009 by   ·   Комментариев нет

В данной статье я объясню основные настройки системной политики ISA 2004 и методы управления ими для настройки работы ISA-сервера с различными сетевыми ресурсами.

Системная политика создается при установке ISA-сервера, это автоматически настраиваемый компонент ISA 2004 с установками по умолчанию. Системная политика состоит из набора правил, которые управляют работой ISA-сервера с различными сетевыми ресурсами.

Isa системные политики как включить

Рисунок 1.1

Isa server 2004 только разрешенные сайты

Рисунок 1.2

На рисунках 1.1 и 1.2 показаны два способа доступа к системной политике ISA 2004.

Часто системную политику ISA 2004 недооценивают, и она остается без изменений. Поэтому используются настройки по умолчанию. Системная политика может быть экспортирована в XML-файл, который можно импортировать на другие ISA-серверы или сохранить как резервную копию.

Системная политика ISA 2004 разделяется на 4 части.

Группы настройки – это категории типов сетевых служб. Они определяют действия ISA-сервера с требуемыми сетевыми ресурсами.

Вкладка General (Общие) определяет правила системной политики, а также позволяет администраторам безопасности включать или выключать групповые элементы настройки.

Вкладка To/From (От/Куда) определяет путь сетевого трафика. Также создает сетевые группы, усиливающие правила политики.

Сетевые службы

  • DHCP: Сетевые службы DHCP разрешают запросы DHCP от ISA-сервера во внутреннюю сеть. Разрешение DHCP-ответов ISA-серверу позволяет ISA-серверу получать доступ к внутренней сети с помощью протоколов ответов и запросов DHCP. Это правило может потребоваться для удаленного доступа или для отслеживания DHCP-доступа. Все это может быть указано на вкладке «Куда». Также могут быть добавлены исключения для серверов со статическим адресом и т.п.
  • DNS: Сетевые службы DNS (разрешение имен с помощью DNS). Разрешают использование ISA-сервером DNS для доступа к выбранным серверам. Разрешают доступ ISA-серверу к ресурсам сети с помощью протокола DNS. С помощью этого элемента политики можно контролировать место разрешения ISA-сервером DNS-запросов, по умолчанию эта установка действует для всех сетей. В случае необходимости можно указать исключения, если у вас присутствует более одного интернет-подключения или вы желаете указать путь разрешения явным образом.
  • NTP: Сетевые службы NTP (Настройка времени). Разрешает NTP-запросы от ISA-сервера доверенным NTP-серверам. Разрешает ISA-серверу доступ ко внутренним ресурсам сети с помощью протокола NTP (UDP). Используется в случае необходимости синхронизации времени с внутренними серверами.

Службы аутентификации

  • Active directory: Аутентификация Active directory (аутентификация пользователей Windows). Разрешает доступ к службам каталога с целью аутентификации. Разрешает RPC-запросы ISA-сервера доверенным серверам. Разрешает запросы Microsoft CIFS от ISA-сервера к доверенным серверам в том же самом домене. Разрешает аутентификацию Kerberos от ISA-сервера к доверенным серверам. Разрешает ISA-серверу доступ к внутренним ресурсам сети с помощью протоколов LDAP, RPC (все интерфейсы), Microsoft CIFS и Kerberos с помощью службы каталогов Active Directory®. При отключении этой опции ISA-сервера не сможет проводить аутентификация в Active directory. Аутентификация будет производиться локально.
  • Службы аутентификации RADIUS. Разрешают аутентификацию RADIUS от ISA-сервера к доверенным серверам RADIUS.Разрешает ISA-серверу доступ к внутренним ресурсам сети с помощью протоколов RADIUS, включая AV pairs для устройств Cisco.
  • Службы аутентификации RSA SecureID. Разрешают аутентификацию SecurID от ISA-сервера к доверенным серверам. Разрешает ISA-серверу доступ к внутренним ресурсам сети с помощью протокола RSA SecurID®.
  • Службы аутентификации CRL Download (Certificate Revocation List — список отозванных сертификатов). Разрешают запросы HTTP от ISA-сервера ко всем сетям служб аутентификации CRL: Разрешают HTTP-запросы от ISA-сервера к выбранным сетям для скачивания обновлений списка отозванных сертификатов. Эта функция важна при публикации SSL и OWA сайтов и при использовании сертификатов.

Удаленное управление

  • Удаленное управление разрешает удаленное администрирование с выбранных компьютеров (могут быть определены исключения, например, запрет на удаленное управление ISA-сервером) с помощью консоли MMC. Разрешает соединения службы MS Firewall Control с выбранными компьютерами. Разрешает компьютерам внутренней сети доступ на ISA-сервер с помощью протоколов MS Firewall Control и RPC (все интерфейсы). При определении этой политики ИТ-профессионалы могут разрешать администраторам доступ без использования AD, а с помощью IP или диапазона адресов или подсети.
    На рисунке 1.3 показано, как редактировать политику.

    Isa 2004 правило синхронизации времени

    Рисунок 1.3
  • Удаленное управление с помощью сервера терминалов позволяет осуществлять удаленное управление сервером с выбранных компьютеров помощью сервера терминалов, а также позволяет компьютера внутренней сети получать доступ к ISA-серверу с использованием протокола RDP (протокол служб терминала). Данная политика полезна, поскольку позволяет вам контролировать, кто использует службы терминала для администрирования ISA-сервера.
  • Удаленное управление с помощью ICMP (Ping) разрешает ICMP (PING)-запросы от выбранных компьютеров к ISA-серверу. Разрешает компьютерам внутренней сети получать доступ к ISA-серверу с помощью протокола Ping и наоборот. Эту опцию можно менять по вашему усмотрению. Ping может быть использован против вас, поэтому, если он вам не нужен, отключите его.

Клиент брандмауэра

  • Определяет доступ к ресурсам клиента брандмауэра. Используется для доступа клиентских компьютеров к файлам установки клиента брандмауэра из общего ресурса установки клиента брандмауэра ISA-сервера. Существует возможность определения и ограничения для клиентов использования протоколов Microsoft CIFS и NetBIOS. Помните о гибкости клиента, которую он предоставляет еще до установки доступа к нему. Если компоненты ресурсов клиента брандмауэра не установлены, эта группа настроек не включена.

Службы диагностики

  • Службы диагностики ICMP: Эта политика разрешает ICMP-запросы от ISA-сервера к определенным серверам. Она также разрешает доступ ISA-сервера ко всем сетям с помощью протоколов ICMP и Ping. Это средство для полной диагностики, однако, если им не управлять, оно может представлять собой угрозу. Если вы не используете эту функцию, отключите ее.
  • Службы сетевой диагностики Windows разрешают NetBIOS-запросы от ISA-сервера к доверенным серверам. Политика разрешат доступ ISA-сервера ко всем сетям с помощью протокола NetBIOS. NetBIOS – может стать очень опасным протоколом, если не контролировать его работу, поскольку он может выдать большое количество информации о серверах и клиентах. Если вы не используете эту функцию, отключите ее.
  • Службы отчетов об ошибках диагностики Microsoft (Microsoft Error Reporting). Разрешают HTTP/HTTPS-запросы от ISA-сервера к сайтам отчетов об ошибках Microsoft. Позволяет ISA-серверу соединяться с URL сайтов отчетов об ошибках Microsoft Error с помощью протоколов HTTP и HTTPS. При ошибке в приложениях Microsoft отсылается отчет для устранения неисправности в следующей версии.
  • Проверка соединений HTTP используется, если ISA-сервер посылает проверочные HTTP GET-запросы на предопределенный компьютер. Правило системной политики настроено на разрешение HTTP/HTTPS-запросов от сервера во все сети.

Журналирование

  • Удаленное журналирование (NetBIOS) позволяет вести удаленные журналы с помощью протокола NetBIOS. Это в свою очередь дает ISA-серверу доступ во внутреннюю сеть по протоколу NetBIOS. Включите эту опцию по вашему желанию.
  • Удаленное журналирование (SQL) позволяет вести удаленные журналы с помощью. Разрешает использование ISA-сервером протоколов Microsoft (SQL) для доступа во внутреннюю сеть.

Удаленный контроль

  • Удаленный контроль производительности. Удаленный контроль производительности позволяет контролировать производительность ISA-сервера с выбранных компьютеров. Дает компьютерам внутренней сети доступ к ISA-серверу с помощью протокола NetBIOS. Очень важная для профессионалов функция для контроля ISA-сервера. По умолчанию она не настроена и не включена.
  • Microsoft Operations Manager. Удаленный контроль доверенных серверов с ISA-сервера с помощью агента Microsoft Operations Manager (MOM). Дает доступ ISA-серверу ко внутренней сети с помощью Microsoft Operations Manager. Данная функция должна быть настроена только для внутренних серверов или компьютеров. Данная политика должна быть строгой, поскольку потенциально есть вероятность контроля со стороны недоверенных источников.
  • Удаленный контроль SMTP (Почтовые оповещения). Разрешает SMTP от ISA-сервера к доверенным серверам. Разрешает ISA-серверу использовать для связи с внутренней сетью протокол SMTP.

Разное

  • Запланированные скачивания: Эта политика разрешает запланированные скачивания с помощью протокола HTTP от ISA-сервера на выбранные компьютеры. Эта политика предоставляет ISA-серверу доступ во внутреннюю сеть по протоколу HTTP.
  • Разрешенные сайты. Определяет HTTP/HTTPS-запросы от ISA-серверу к определенным сайтам. ISA-сервер получает доступ к членам политики и набору сайтов по протоколам HTTP и HTTPS.

Системная политика ISA 2004 помогает защищать сетевые ресурсы и облегчает безопасный доступ для нужд, определенных политикой. Политика ISA 2004 состоит из набора правил, которые контролируют действия ISA-сервера для облегчения управления сетью и соединениями. Системная политика по умолчанию защищает внутренние ресурсы и локальный сервер ISA.

По умолчанию после установки правила системной политики включены. Эти правила являются основными и необходимыми для эффективного управления окружением ISA-сервера. Их можно изменить в соответствии с требованиями политики безопасности организации, требуемой пользователями.

Резюме

В первой части статьи я рассказал о создании системной политики, ее автоматической настройке и установках. Системная политика состоит из набора правил, которые определяют действия ISA-сервера с сетевыми ресурсами. Умение управлять политикой может стать сильным средством для помощи при внедрении ISA-сервера.

www.isaserver.org



Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]