Monday, December 11th, 2017

Регистрация в брандмауэрах с помощью базы данных Microsoft SQL

Published on Февраль 13, 2009 by   ·   Комментариев нет

Во время стандартной установки Microsoft ISA Server 2006, ISA установит локальную службу MSDE (Microsoft SQL Server Database Engine), чтобы обеспечить регистрацию в брандмауэре Microsoft Firewall, а также службу веб модуля доступа (Webproxy service). Можно регистрировать Firewall- и службу Webproxy, используя базу данных Microsoft SQL Server 2005, или базу данных удаленного сервера Microsoft SQL.

Режим блокировки брандмауэра (Lockdown mode)

Будьте внимательны, когда перемещаете регистрационные данные брандмауэра на внешний сервер Microsoft SQL Server, так как сервер ISA Server использует режим блокировки брандмауэра, который дезактивирует практически все функциональные возможности брандмауэра, когда регистрацию нельзя применить. Можно отключить режим блокировки (я приведу ссылку на статью о том, как отключить этот режим, в конце этой статьи), но я никогда не рекомендую отключать эту функцию.

Установка Microsoft SQL Server 2005 версии Express Edition

После загрузки SQL Server Express Edition с веб сайта компании Microsoft, извлеките скачанный файл и следуйте инструкциям установки.

Брандмауэр ms sql

Рисунок 1: Извлечение пакета Microsoft SQL Server 2005

Далее прочтите, поймите и примите условия соглашения.

Перед тем, как установить собственно сервер Microsoft SQL Server, мастер установки сначала установит клиента Microsoft SQL Native Client и файлы поддержки Microsoft SQL Server 2005 Setup.

Isalogs

Рисунок 2: Установка необходимых компонентов для Microsoft SQL Server

После установки всех необходимых файлов настройки, мастер установки сервера Microsoft SQL Server начнет свою работу.

Протокол isalog

Рисунок 3: Запуск мастера установки SQL Installation Wizard

Прежде чем устанавливать базу данных сервера Microsoft SQL Server, мастер установки выполнит определенные проверки, чтобы убедиться, что машина имеет нужную конфигурацию для Microsoft SQL Server 2005 версии Express Edition.

Правило isa для порта 1433

Рисунок 4: проверка конфигурации системы

Введите регистрационные данные.

Выберите компоненты, которые вы хотите установить. Стандартного выбора опций вполне достаточно, чтобы обеспечить надежные функциональные возможности базы данных.

Правило isa для порта 1433

Рисунок 5: Выбор параметров

Создайте новый объект и задайте имя этому объекту ISALOG.

Брандмауэр ms sql

Рисунок 6: Новый объект с именем ISALOG

Определите локальную учетную запись системы как учетную запись службы.

Брандмауэр ms sql

Рисунок 7: Определение учетной записи для базы данных Microsoft SQL Database

Выберите Windows в режиме аутентификации.

Активируйте пользовательский объект (User Instance).

Isalogs

Рисунок 8: Установка необходимых компонентов

По окончании процесса установки перезагрузите сервер.

На стороне сервера ISA Server

Активируйте системную политику (System Policy) для удаленной регистрации (Remote SQL Logging). Это даст доступ серверу ISA Server к внутренней базе данных сервера Microsoft SQL Server.

Протокол isalog

Рисунок 9: Разрешение правил системной политики для доступа к Microsoft SQL Server

Настроенный по умолчанию Microsoft SQL Server 2005 Express дает доступ только для локальных сервисов к базе данных. Вам нужно изменить эти параметры с помощью Microsoft SQL Server 2005 Surface Area Configuration, чтобы разрешить удаленные подключения.

Правило isa для порта 1433

Рисунок 10: Настройка области атак (attack surface configuration) для SQL Server

Далее вам нужно проверить, включен ли TCP/IP протокол для базы данных ISALOG и использует ли конфигурация сети заданный порт для SQL Server (1433).

Правило isa для порта 1433

Рисунок 11: Активация протокола TCP/IP

Отключите порты SQL Server Dynamic TCP (удалите значение Null) и укажите фиксированный порт (1433) для всех IP адресов.

Брандмауэр ms sql

Рисунок 12: Указание фиксированного порта

Перезагрузите службу Microsoft SQL Server после того, как все параметры были применены.

Установка Microsoft SQL Server Management Studio Express

Microsoft SQL Server Management Studio Express – это консоль Management для управления многими компонентами сервера Microsoft SQL Server. Если вы используете Microsoft SQL Server 2005 версию Express Edition, вам необходимо отдельно загрузить и установить компонент Microsoft SQL Server Management Studio Express из базы данных.

Брандмауэр ms sql

Рисунок 13: Установка Microsoft SQL Server Management Studio Express

Создание базы данных

После установки Microsoft SQL Server Management Studio Express версии, запустите консоль и создайте новую базу данных под названием ISALOGS.

Isalogs

Рисунок 14: Создание SQL базы данных ISALOG

Создайте новую учтенную запись в Active Directory и назначьте ей права учетной записи пользователя домена, а также дополнительные права SQL Server для доступа к базе данных ISALOG. Эта учетная запись будет использоваться в консоли ISA Server Management Console для прямого SQL доступа.

Создание таблиц базы данных

Установочный диск ISA Server 2006 содержит два .SQL файла, которые можно использовать для создания необходимых таблиц базы данных в ISALOG базе данных.

Откройте FWSERV.SQL из программных файлов на диске ISA Server 2006 в консоли Microsoft SQL Server Management Studio Express (Файл пїЅ Открыть). Прежде чем выполнить сценарий FWSRV.SQL, впишите в первую строку инструкцию для использования базы данных ISALOG.

Протокол isalog

Рисунок 15: Разворачивание сценария для использования базы данных ISALOG

Теперь можно выполнить сценарий. Если все в порядке, будет создана новая таблица базы данных.

Правило isa для порта 1433

Рисунок 16: Таблица FirewallLog

Теперь нужно назначить учетной записи ISA-SQL право доступа к базе данных ISALOG.

Правило isa для порта 1433

Рисунок 17: Добавление ISA-SQL пользователя в базу данных ISALOG

Запрос сертификата для шифрования соединений сервера SQL Server

По умолчанию ISA Server использует зашифрованное соединение с сервером Microsoft SQL Server. Подключение будет создано с помощью сертификата аутентификации сервера, поэтому вам нужно установить сертификат, прежде чем создавать соединение. Если возможно, используйте свой собственный CA для создания сертификата запроса или самоподписываемого сертификата (self signed certificate). Ссылка на статью с подробным описанием этой процедуры представлена в конце этой статьи.

Брандмауэр ms sql

Рисунок 18: Запрос сертификата аутентификации сервера

Сторона ISA

Теперь нужно изменить регистрацию Microsoft ISA Server с MSDE на SQL. Запустите консоль управления ISA Server 2006, найдите опцию регистрации и измените опции регистрации для Microsoft Firewall Service (если вы пожелаете изменить опции регистрации для службы Webproxy Service, процедура такая же).

Введите имя сервера SQL, Standard SQL порт (1433), имя таблицы брандмауэра (Firewall Table), и укажите Windows в качестве способа аутентификации. Вам также необходимо указать учетную запись, которая будет использоваться для создания соединений. Нажмите Тест, чтобы протестировать SQL соединение.

Брандмауэр ms sql

Рисунок 19: Опции регистрации SQL

После изменения опций регистрации нажмите Применить, чтобы активировать параметры, и если все сделано верно, сервер ISA теперь будет использовать базу данных Microsoft SQL Server для регистрации брандмауэра и Webproxy.

Теперь вы сможете использовать все расширенные характеристики Microsoft SQL Server 2005 для базы данных сервера ISA, например автоматическое резервное копирование, сжатие базы данных и прочие параметры.

Заключение

В этой статье я попытался показать вам, как настраивать регистрацию ISA Server Firewall, чтобы использовать удаленную базу данных Microsoft SQL Server 2005 Express. Процесс регистрации в Microsoft SQL Server 2005 практически такой же, поэтому вы можете использовать эту статью для обеих версий. В этой статье я лишь показал, как изменять регистрацию службы Microsoft Firewall в базе данных Microsoft SQL Server 2005. Если вы хотите создавать журналы регистрации для Webproxy в базе данных Microsoft SQL Server 2005, вам нужно лишь создать таблицу Webproxy для базы данных ISALOG и изменить регистрацию Webproxy в консоли ISA Management на регистрацию Microsoft SQL Server.

www.isaserver.org


Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]