Wednesday, October 17th, 2018

Системная политика и конфигурация, определяемая по умолчанию после установки брандмауэра ISA

Published on Февраль 6, 2009 by   ·   Комментариев нет

Системная политика брандмауэра ISA — это набор правил доступа, контролирующих входящие и исходящие соединения для локальной сети. Системная политика контролирует входящие и исходящие соединения этой системы. Системная политика не распространяется на доступ к другим хостам. Одной из самых распространенных ошибок системных администраторов брандмауэра ISA является то, что они используют системную политику для контроля доступа защищенных машин сети к незащищенным машинам. В данной статье описывается системная политика брандмауэра ISA, установленная по умолчанию, а также даются некоторые рекомендации, как ее изменить.

В приведенной ниже таблице дан список правил системной политики и их статус после установки программного обеспечения брандмауэра ISA. Колонка Номер/Комментарии включает в себя наши советы по настройки определенного правила системной политики.

Номер/Комментарии Название Действие Протоколы Инициатор/Слушатель Получатель Условие
1. Является ли брандмауэр членом домена? Если нет, до блокируйте это правило. Доступ к службе каталогов для авторизации Допуск LDAP LDAP (UDP) LDAP GC (глобальный каталог) LDAPS LDAPS GC(глобальный каталог) Локальная машина Внутренний Все пользователи
2. Если для управления брандмауэром ISA не будет использоваться удаленная консоль управления, тогда заблокируйте это правило. Управление с удаленных компьютеров с помощью консоли управления Допуск Microsoft Firewall Control NetBIOS datagram NetBIOS Name Service NetBIOS Session RPC (все интерфейсы) Удаленное управление компьютерами Локальная машина Все пользователи
3. Подтвердите, что набор компьютеров с удаленным управлением имеет адреса машин, которые будут управлять брандмауэром ISA. Если Вы не хотите использовать управление по протоколу RDP, тогда заблокируйте это правило. Удаленное управление с использованием терминального сервера Допуск RDP (Terminal Services) Удаленное управление компьютерами Локальная машина Все пользователи
4 (По умолчанию заблокировано). Активизируйте это правило, если Вы хотите хранить журнал регистрации на SQL серверах Удаленное ведение журнала регистрации доверяемыми серверами, используя NetBIOS Допуск NetBIOS Datagram NetBIOS Name Service NetBIOS Session Локальная машина Внутренний Все пользователи
5. Будете ли ВЫ использовать авторизацию по протоколу RADIUS? Если нет, заблокируйте это правило. Использовать авторизацию по протоколу RADIUS для ISA сервера с помощью доверяемых серверов RADIUS Допуск RADIUS RADIUS Accounting Локальная машина Внутренний Все пользователи
6. Будет ли брандмауэр ISA производить авторизацию пользователей? Если нет, заблокируйте это правило. Использовать авторизацию Kerberos для ISA сервера с помощью доверяемых серверов Допуск Kerberos-Sec (TCP) Kerberos-Sec (UDP) Локальная машина Внутренний Все пользователи
7. Это правило должно быть подключено, чтобы брандмауэр ISA мог посылать DNS запросы Разрешить серверу ISA DNS запросы Allow DNS к другим серверам Допуск DNS Локальная машина Вся сеть (включая локальную машину) Все пользователи
8. Если брандмауэр ISA не собирается выполнять функции DHCP клиента, заблокируйте это правило. Разрешить серверу ISA DHCP запросы к любой сети Допуск DHCP (запрос) Локальная машина Везде Все пользователи
9. Если брандмауэр ISA не собирается выполнять функции DHCP клиента, заблокируйте это правило. Разрешить серверу ISA принимать DHCP запросы от DHCP серверов Допуск DHCP (ответ) Внутренний Локальная машина Все пользователи
10. Подтвердите, что Вы ввели правильные IP адреса для набора компьютеров с удаленным управлением Разрешить серверу ISA принимать ICMP (PING) запросы от других машин Допуск Ping Удаленное управление компьютерами Локальная машина Все пользователи
11. Это правило должно быть активизировано, чтобы брандмауэр мог выполнять задачи управления сетью через протокол ICMP Разрешить серверу ISA к другим серверам Допуск ICMP Information Request ICMP Timestamp Ping Локальная машина Вся сеть (включая локальную машину) Все пользователи
12 (По умолчанию заблокировано. Это правило автоматически активизируется, когда Вы активизируете компоненту VPN сервера брандмауэра ISA Весь трафик VPN клиента к серверу ISA Допуск PPTP Внешний Локальная машина Все пользователи
13 (По умолчанию заблокировано). Это правило автоматически активизируется, когда Вы активизируете точечные соединения VPN к брандмауэру ISA Разрешить точечные соединения VPN к серверу ISA Допуск никакой Внешний IPSec Remote Gateways Локальная машина Все пользователи
14 (По умолчанию заблокировано). Это правило автоматически активизируется, когда Вы активизируете точечные соединения VPN брандмауэра ISA Разрешить точечные соединения VPN сервера ISA Допуск никакой Локальная машина Внешний IPSec Remote Gateways Все пользователи
15. Нужно ли Вам работать с совместно используемыми файлами через брандмауэр ISA? Если нет, заблокируйте это правило. Разрешить ISA серверу доступ по протоколу Microsoft CIFS к доверяемым серверам Допуск Microsoft CIFS (TCP) Microsoft CIFS (UDP) Локальная машина Внутренний Все пользователи
16 (По умолчанию заблокировано). Активизируйте это правило, если Вы выбрали регистрацию в формате SQL Разрешить ISA серверу ведение регистрации в формате SQL на других серверах Допуск Microsoft SQL (TCP) Microsoft SQL (UDP) Локальная машина Внутренний Все пользователи
17. Если Вам не нужно предоставлять брандмауэру ISA доступ к сайту Windows Update, то заблокируйте это правило.Я предпочитаю скачивать обновленные версии на управляющую машину, сканировать их, а потом копировать на ISA брандмауэр и там их устанавливать. Разрешить ISA серверу HTTP/HTTPS запросы к определенным сайтам Допуск HTTP HTTPS Локальная машина Сайты, разрешенные системной политикой Все пользователи
18 (По умолчанию заблокировано). Это правило активизируется, когда Вы создаете верификатор HTTP/HTTPS соединений Разрешить верификаторам соединений HTTP/HTTPS запросы от ISA сервера к определенным сайтам Допуск HTTP HTTPS Локальная машина Вся сеть (включая локальную машину) Все пользователи
19 (По умолчанию заблокировано). Это правило активизируется, если совместно используемый клиент брандмауэра устанавливается на брандмауэр ISA Разрешить доверяемым компьютерам доступ к совместно используемому клиенту брандмауэра на сервере ISA Допуск Microsoft CIFS (TCP) Microsoft CIFS (UDP) NetBIOS Datagram NetBIOS Name Service NetBIOS Session Внутренний Локальная машина Все пользователи
20 (По умолчанию заблокировано). Активизируйте это правило, если Вы хотите производить удаленный мониторинг производительности брандмауэра ISA Разрешить удаленный мониторинг производительности ISA сервера с доверяемых серверов Допуск NetBIOS Datagram NetBIOS Name Service NetBIOS Session Удаленное управление компьютерами Локальная машина Все пользователи
21. Если Вам не нужен доступ к совместно используемым файлам с брандмауэра ISA, заблокируйте это правило Разрешить NetBIOS для ISA сервера к доверяемым серверам Допуск NetBIOS datagram NetBIOS Name Service NetBIOS Sessions Локальная машина Внутренний Все пользователи
22. Если Вы не будете использовать удаленные процедуры для доступа к другим серверам, то заблокируйте это правило Разрешить серверу ISA работу с удаленными процедурами доверяемых серверов Допуск RPC (все интерфейсы) Локальная машина Внутренний Все пользователи
23. Это правило позволяет брандмауэру ISA отсылать сообщения об ошибках компании Microsoft Разрешить серверу ISA HTTP/HTTPS соединения с указанными сайтами Microsoft для сообщения об ошибках Допуск HTTP HTTPS Локальная машина Сайты Microsoft для сообщения об ошибках Все пользователи
24 (По умолчанию заблокировано). Это правило должно быть активизировано если активизирована SecurID авторизация Разрешить ISA серверу SecurID авторизацию к доверяемым серверам Допуск SecurID Локальная машина Внутренний Все пользователи
25 (По умолчанию заблокировано). Активизируйте это правил, если Вы используете менеджер MOM для мониторинга брандмауэра ISA Разрешить серверу ISA удаленный мониторинг доверяемых серверов, используя агент менеджера операций Microsoft (MOM) Допуск Агент менеджера операций Microsoft Локальная машина Внутренний Все пользователи
26 (По умолчанию заблокировано).Это правило должно быть активизировано, если Вы хотите предоставить брандмауэру ISA доступ к CRL — это необходимо, если ISA завершает какое-либо SSL соединение Разрешить любые HTTP соединения traffic от сервера ISA Server к любой сети (для загрузки CRL) Допуск HTTP Локальная машина Вся сеть (включая локальную машину) Все пользователи
27. Это правило должно быть изменено на разрешение доступа к доверяемому NTP серверу Вашей организации. Внутренний вход позволяет соединяться с серверами по всему миру Разрешить серверу ISA соединение по протоколу NTP с доверяемыми NTP серверами Допуск NTP (UDP) Локальная машина Внутренний Все пользователи
28. Если ВЫ не хотите использовать SMTP для вывода сообщений, заблокируйте это правило. Если ВЫ все же планируете использовать SMTP, то замените внутренний адрес именем определенного компьютера, который будет принимать SMTP сообщения от брандмауэра ISA Разрешить серверу ISA SMTP сообщения для доверяемых сайтов Допуск SMTP Локальная машина <Внутренний/p> Все пользователи
29 (По умолчанию заблокировано). Это правило автоматически активизируется, когда активизирован Content Download Jobs Разрешить ISA серверу HTTP соединения к указанным компьютерам для Content Download Jobs Допуск HTTP Локальная машина Вся сеть (включая локальную машину) Системная и сетевая служба
30. Если ВЫ не планируете использовать удаленный MMC, тогда заблокируйте это правило Разрешить соединения к указанным компьютерам для Microsoft службы контроля за брандмауэрами Допуск Весь исходящий трафик Локальная машина Удаленное управление компьютерами Все пользователи

Правила системной политики брандмауэра ISA обрабатываются до любого правила доступа, определенного пользователем, в том порядке, который указан в первой колонке. Для того, чтобы просмотреть правила брандмауэра, щелкните по узлу Firewall Policy на левой панели консоли, а затем откройте закладку Tasks. На этой закладке щелкните по ссылке System Policy Rules. Когда Вы закончите изучение системной политики брандмауэра, щелкните по ссылке Hide System Policy Rules.

Для того, чтобы отредактировать системную политику брандмауэра ISA, щелкните ссылку Edit System Policy на закладке Tasks. Откроется редактор System Policy Editor, изображенный на рисунке 6.12. Для каждого правила есть закладка General и закладки From или To, которые позволяют осуществлять контроль за протоколами входящих или исходящих соединений машины с установленным брандмауэром ISA.

Cifs microsoft

В приведенной таблице указана конфигурация, определяемая после установки брандмауэра ISA.

Свойство Установки по умолчанию
Права пользователя Члены административной группы на локальном компьютере могут настраивать правила брандмауэра. Если брандмауэр ISA является членом домена, тогда глобальная группа Domain Admins автоматически включается в группу администраторов локальной машины.
Определение внутренней сети Внутренняя сеть содержит IP адреса, которые были определены во время установки программного обеспечения брандмауэра ISA.
Правила сети Доступ к локальной машине Определяет отношения между сетью локальной машины и всеми остальными сетями. Для всех соединений с сетью локальной машины (которая является машиной, на которую установлен ISA брандмауэр) прокладывается маршрут или преобразуются сетевые адреса. Доступ к Internet Определяет преобразование сетевых адресов между внутренней сетью, изолированной сетью VPN клиентов и сетью VPN клиентов во внешнюю сеть. При соединении любой из этих сетей с Internet преобразуются сетевые адреса. Доступ предоставляется только если Вы настроите соответствующие правила доступа. Соединение VPN клиентов с внутренней сетью Определяет отношение между сетью VPN клиентов и внутренней сетью. Доступ предоставляется только, если активизирован доступ к клиенту виртуальной внутренней сети.
Политика брандмауэра Правило, активизированное по умолчанию (Default Rule), запрещающее соединения между любыми сетями.
Системная политика По умолчанию, ISA сервер обеспечивает безопасность, позволяя функционировать определенным критическим сервисам. При инсталляции некоторые системные правила активизируются, чтобы выполнить определенные функции. Мы рекомендуем просмотреть конфигурацию системной политики и настроить ее так, чтобы были активизированы только те сервисы, которые критичны для Вашей системы.
Обработка веб-запросов Правило, определенное по умолчанию, (Default Rule) указывает, что все запросы клиентов прокси-севреров для веб-страниц получены прямо из Internet.
Кэширование Размер Кэша равен 0. Таким образом, кеширование заблокировано.
Предупреждения Большинство предупреждений активизированы. Мы рекомендуем Вам просмотреть все предупреждения и настроить их в соответствии с Вашими нуждами.
Настройка клиента При инсталляции или настройке клиенты брандмауэра или прокси-сервера активизируют автоматическое обнаружение. Веб-браузер на клиенте брандмауэра настраивается при инсталляции клиента брандмауэра.

Резюме

В этой статьемы обсудили установленную по умолчанию после инсталляции системную политику и предоставили некоторые рекомендации, как перенастроить системную политику для Вашего сетевого окружения. Очень важно помнить, что системная политика брандмауэра ISA контролирует только соединения, исходящие от ISA брандмауэра, или его входящие соединения. Системная политика не может контролировать трафик, проходящий через брандмауэр ISA.

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]