Создание множественных периметров безопасности с использованием Multihomed ISA-брандмауэров 5: Конфигурация правил Server Publishing и Access Rules, для поддержки соединений между Front-end Exchange сервером и DC и Back-end Exchange сервером

Published on Февраль 13, 2009 by   ·   Комментариев нет

В этой статье мы расскажем о некоторых процедурах, которые позволят front-end Exchange серверу принимать входящие соединения от компьютеров из интернет, а также позволят front-end Exchange Server серверу получить доступ к контролеру домена (domain controller) и back-end Exchange серверу в корпоративной сети.

В этом цикле статей, посвященных созданию нескольких зон безопасности с помощью брандмауэра ISA, мы начали с обсуждения создания нескольких периметров сети и вынесли смертный приговор концепции DMZ. В следующих статьях мы настроили сети брандмауэра ISA для работы в сегментах DMZ, создали сетевые правила (Network Rules) для подключения к сети, обсудили инфраструктуру по наименованию и установке сертификатов, а также настроили правила Web Publishing Rules, которые предоставляют входящим соединениям получить доступ к Web службам front-end Exchange сервера.

Если вы пропустили другие части из этой серии, то вы можете найти их здесь:

В этой статье мы расскажем о следующих процедурах, которые позволят front-end Exchange серверу принимать входящие соединения от компьютеров из интернет, а также позволят front-end Exchange Server серверу получить доступ к контролеру домена (domain controller) и back-end Exchange серверу в корпоративной сети:

  • Создание правил SMTP/POP3S/IMAP4S Server Publishing Rules
  • Создание правила Intradomain Communications Access Rule, разрешающего внутри доменные соединения между Front-end Exchange сервером и контролером домена в корпоративной сети (Domain Controller on the Corporate Network)
  • Создание правила HTTP/POP3/IMAP4 и правила LinkState Algorithm Routing Access Rule, разрешающего соединения между Front-end и Back-end Exchange серверами

Создание правил SMTP/POP3S/IMAP4S Server Publishing Rules

В последней части из этой серии мы создали правила Web Publishing Rules, которые позволяют входящие соединения к Web службам front-end Exchange сервера. В этой статье мы создадим правило Server Publishing Rule, которое разрешит входящие соединения к другим (не Web) службам Exchange сервера. Такими службами являются службы POP3S, IMAP4S и SMTP front-end Exchange сервера.

На рисунке ниже показаны входящие соединения к этим службам из интернет.

Ghjnjrjk kerberos adm

Рисунок 1

В Таблице 1 представлен список правил, которые создаст мастер Mail Server Publishing Wizard для того, чтобы разрешить входящие соединения к этим службам.

Название Действие Протоколы От К Состояние
Front-end Exchange Server POP3S Server Разрешить POP3S Server Внешний 10.0.1.2 N/A
Front-end Exchange Server SMTP Server Разрешить SMTP Server Внешний 10.0.1.2 N/A
Front-end Exchange Server IMAPS Server Разрешить IMAPS Server Внешний 10.0.1.2 N/A

Таблица 1: Правила Server Publishing Rules разрешающие входящие соединения к службам POP3S, SMTP и IMAPS front-end Exchange сервера

Чтобы создать правила SMTP, POP3S и IMAP4S Server Publishing Rules, необходимо выполнить следующую последовательность действий:

  1. В консоли брандмауэра ISA, раскройте название сервера и нажмите на узел Firewall Policy.
  2. В узле Firewall Policy, нажмите закладку Tasks в окне Task Pane. Нажмите на ссылку Publish a Mail Server.
  3. В окне Welcome to the New Mail Server Publishing Rule Wizard, введите название для правила в текстовом поле Mail Server Publishing Rule name. В нашем примере мы назовем правило Front-end Exchange Server. Нажмите на кнопку Next.
  4. На странице Select Access Type, выберите параметр Client access: RPC, IMAP, POP3, SMTP и нажмите на кнопку Next.

    Ghjnjrjk kerberos adm

    Рисунок 2
  5. На странице Select Services, поставьте галочку в поле Secure Ports для протоколов POP3 и IMAP4. Поставьте галочку в Standard ports для протокола SMTP. Front-end сервер Exchange Server поддерживает безопасный канал с TCP портом под номером 25, и поэтому вам не нужно использовать зарезервированный порт для SMTPS. Нажмите на кнопку Next.

    Ghjnjrjk kerberos adm

    Рисунок 3

  6. На странице Select Server, введите IP адрес front-end Exchange в текстовом поле Server IP address. В нашем примере IP адрес front-end сервера Exchange 10.0.1.2, поэтому мы введем это значение сервера в текстовое поле. Нажмите на кнопку Next.
  7. На странице IP Addresses, поставьте галочку в поле External и нажмите кнопку Address.
  8. В диалоговом окне External Network Listener IP Selection выберите настройку Specified IP addresses on the ISA Server computer in the selected network. Дважды щелкните мышью на IP адресе, который соответствует названию в сертификате Web сайта, связывающего эти службы с внешними компьютерами. В нашем случае службы SMTP, POP3S и IMAP4S на front-end Exchange сервере связаны с сертификатом Web сайта под названием mail.msfirewall.org. Наша внешняя зона DNS для домена msfirewall.org ставит в соответствие названию IP адрес 192.168.1.70, поэтому дважды щелкнем мышью на этом IP адресе. IP адрес появиться в списке Selected IP Address. Нажмите на кнопку OK.
  9. Нажмите на кнопку Next на странице IP Addresses.
  10. Нажмите на кнопку Finish на странице Completing the New Mail Server Publishing Rule Wizard.

Создание правила Intradomain Communications Access Rule, разрешающего внутри доменные соединения между Front-end Exchange Server и контролером домена (Domain Controller) в корпоративной сети

Front-end Exchange сервер является членом того же домена, что и back-end Exchange сервер. Для того, чтобы участвовать во внутри доменных соединениях, необходимых для членов домена, необходимо создать правило Access Rule, которое будет разрешать необходимы протоколы. Один из требуемых протоколов использует Kerberos. По этой причине необходимо использовать правило ROUTE Network Rule, устанавливающего маршрут между DMZ и корпоративной сетью; соединения с Kerberos работают неправильно при использовании NAT устройств.

На рисунке ниже показан путь соединений, который будет разрешен после создания нашего правила для внутри доменных соединений.

Ghjnjrjk kerberos adm

Рисунок 4

В таблице 2 приведены детали правила Access Rule, которое позволяет внутри доменные соединения между front-end Exchange сервером и контролером домена (domain controller) в корпоративной сети. Обратите внимание, что вы можете более тонко настроить это правило, ограничив порты RPC, используемые для внутри доменных соединений. За более подробной информацией можете обратиться сюда http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3FrontBack/f9733398-a21e-4b40-8601-cfb452da82ad.mspx

Intradomain Front-end Exchange Server to Internal Allow Kerberos-Adm (UDP) Kerberos-Sec (TCP) Kerberos-Sec (UDP) LDAP LDAP (UDP) LDAP GC (Global Catalog) Microsoft CIFS (TCP) Microsoft CIFS (UDP) NTP (UDP) Ping RPC (all interfaces) DNS FE Exchange Domain Controller All Users

Таблица 2: Правило Access Rule, разрешающие внутри доменные соединения между front-end Exchange сервером и контролером домена (domain controller) в корпоративной сети

Для создания правила Access Rule, разрешающего внутри доменные соединения между front-end Exchange сервером и контролером домена в корпоративной сети, необходимо выполнить следующую последовательность шагов:

  1. В консоли брандмауэра ISA, раскройте название сервера и выберите узел Firewall Policy.
  2. В узле Firewall Policy, нажмите на ссылку Create New Access Rule.
  3. На странице Welcome to the New Access Rule Wizard введите название для правила в текстовом окне Access Rule name. В нашем примере мы назовем правило Intradomain Front-end Exchange Server to Internal. Затем нажмите Next.
  4. Выберите параметр Allow на странице Rule Action и нажмите кнопку Next.
  5. На странице Protocols выберите параметр Selected protocols в выпадающем списке This rule applies to. Нажмите на кнопку Add.
  6. В диалоговом окне Add Protocols нажмите на папку All Protocols .
  7. В списке All Protocols, дважды щелкните на следующих протоколах:

    Kerberos-Adm (UDP)
    Kerberos-Sec (TCP)
    Kerberos-Sec (UDP)
    LDAP
    LDAP (UDP)
    LDAP GC (Global Catalog)
    Microsoft CIFS (TCP)
    Microsoft CIFS (UDP)
    NTP (UDP)
    Ping
    RPC (all interfaces)
    DNS

    Закройте окно, нажав на кнопку Close.
  8. Нажмите на кнопку Next на странице Protocols

    Ghjnjrjk kerberos adm

    Рисунок 5
  9. Нажмите на кнопку Add на странице Access Rule Sources.
  10. В диалоговом окне Add Network Entities, нажмите на меню New и выберите Computer.
  11. В диалоговом окне New Computer Rule Element, введите название front-end Exchange сервера в текстовом поле Name. В этом примере мы назовем его Front-end Exchange Server. Введите IP адрес front-end Exchange сервера в текстовом поле Computer IP Address. В нашей тестовой сети IP адрес front-end Exchange сервера — 10.0.1.2, поэтому мы введем этот IP адрес. Нажмите на кнопку OK.

    Ghjnjrjk kerberos adm

    Рисунок 6

  12. В диалоговом окне Add Network Entities, выберите папку Computers и дважды кликните на строке Front-end Exchange Server. Нажмите Close.

    Ghjnjrjk kerberos adm

    Рисунок 7
  13. Нажмите на кнопку Next на странице Access Rule Sources.
  14. Нажмите на кнопку Add на странице Access Rule Destinations.
  15. В Add Network Entities выберите меню New и нажмите на Computer.
  16. В диалоговом окне New Computer Rule Element введите название контролера домена (Domain Controller) в текстовом поле Name. В нашем примере мы назовем его DC. Введите IP адрес front-end Exchange сервера в тестовом поле Computer IP Address. В нашем примере IP адрес DC — 10.0.0.2, поэтому мы введем этот IP адрес. Нажмите на кнопку OK.

    Ghjnjrjk kerberos adm

    Рисунок 8

  17. В диалоговом окне Add Network Entities выберите папку Computers и дважды щелкните на строке DC. Нажмите на кнопку Close.

    Ghjnjrjk kerberos adm

    Рисунок 9
  18. Нажмите на кнопку Next на странице Access Rule Destinations.
  19. На странице User Sets, оставьте значение по умолчанию All Users и нажмите на кнопку Next.
  20. На странице Completing the New Access Rule Wizard нажмите на кнопку Finish.

Создание правила HTTP/POP3/IMAP4 и LinkState Algorithm Routing Access Rule, позволяющего соединения между Front-end/Back-end Exchange серверами

На следующем шаге мы создадим правило Access Rule, разрешающее доступ от front-end Exchange сервера к back-end Exchange серверу. Front-end Exchange серверу необходим доступ к протоколам HTTP, POP3 и IMAP4. Обратите внимание, что хотя front-end Exchange сервер посылает зашифрованные соединения от компьютеров из интернет, эти соединения последовательно расшифровываются и направляются back-end Exchange серверу в расшифрованном виде.

На рисунке ниже показан путь соединений между front-end и back-end Exchange серверами. Обратите внимание, что в нашем примере back-end Exchange сервер находится на контролере домена (domain controller). Это необязательно, и большинстве случаев в промышленной среде контролер домена и back-end Exchange сервер могут располагаться на различных компьютерах.

Ghjnjrjk kerberos adm

Рисунок 10

Обратите внимание, что вы можете зашифровать соединения между front-end и back-end Exchange сервером с помощью IPSec. Но это палка о двух концах, потому что если вы используете IPSec для защиты ваших соединений между front-end и back-end Exchange серверами, то брандмауэр ISA будет не в состоянии производить полную проверку соединений на прикладном уровне. С другой стороны, соединения между front-end и back-end Exchange серверами могут быть доступны для любого человека, использующего обыкновенный разборщик пакетов (packet sniffer).

Я предпочитаю не использовать IPSec, потому что это отменяет все преимущества связанные с безопасностью, которые предоставляет вам использование брандмауэра ISA. Помните, что IPSec полезен лишь в случае, когда кто-то пытается взломать сеть, в которой находится front-end Exchange сервер. Если кто-то пытается взломать сам front-end Exchange сервер, то IPSec соединение между front-end и back-end Exchange сервером не имеет смысла. Лучше выход заключается в том, чтобы не использовать IPSec для соединений между front-end и back-end Exchange серверами, а усилить физический контроль доступа к физическим компонентам сети.

В таблице 3 показаны детали правила Access Rule, позволяющего front-end Exchange серверу общаться с back-end Exchange сервером.

Название Действие Протоколы От К Условие
Front-end to Back-end Exchange Communications Разрешить Link State Algorithm Routing IMAP4 POP3 SMTP FE Exchange Back-end Exchange Server Все пользователи

Таблица 3: Правило Access Rule, разрешающее соединение между front-end/back-end Exchange серверами

Для создания правила Access Rule, разрешающего соединения между front-end/back-end Exchange серверами необходимо выполнить следующие действия:

  1. В консоли брандмауэра ISA раскрыть название сервера, а затем выбрать узел Firewall Policy.
  2. В узле Firewall Policy нажмите на ссылку Create New Access Rule.
  3. На странице Welcome to the New Access Rule Wizard введите название для правила в текстовом поле Access Rule name. В этом примере мы назовем правило Front-end to Back-end Exchange Communications. Нажмите на кнопку Next.
  4. Выберите параметр Allow на странице Rule Action и нажмите на кнопку Next.
  5. На странице Protocols выберите параметр Selected protocols в выпадающем списке This rule applies to. Нажмите на кнопку Add.
  6. В диалоговом окне Add Protocols выберите папку All Protocols.
  7. В списке All Protocols дважды щелкните на следующих протоколах:
    IMAP4
    POP3
    SMTP
  8. Нажмите на кнопку New и выберите Protocol.
  9. На странце Welcome to the New Protocol Definition Wizard введите название для нового протокола в текстовом поле Protocol Definition name. В нашем случае мы назовем протокол Link State Routing. Нажмите на кнопку Next.
  10. На странице Primary Connection Information нажмите на кнопку New.
  11. В диалоговом окне New/Edit Protocol Connections выберите TCP из списка Protocol type. Выберите Outbound из списка Direction. Введите 691 в текстовых полях From и To для задания интервала портов. Нажмите на кнопку OK.

    Ghjnjrjk kerberos adm

    Рисунок 11
  12. Нажмите Next на странице Primary Connection Information.
  13. Нажмите Next на странице Secondary Connections.
  14. Нажмите на кнопку Finish на странице Completing the New Protocol Definition Wizard.
  15. В диалоговом окне Add Protocols выберите папку User-Defined и дважды кликните на ссылку Link State Routing. Нажмите на кнопку Close.

    Ghjnjrjk kerberos adm

    Рисунок 12

  16. Нажмите на кнопку Next на странице Protocols

    Ghjnjrjk kerberos adm

    Рисунок 13
  17. На странице Access Rule Sources нажмите на кнопку Add.
  18. В диалоговом окне Add Network Entities выберите папку Computers и дважды кликните Front-end Exchange Server. Нажмите на кнопку Close.
  19. Нажмите на кнопку Next на странице Access Rule Source.

    Ghjnjrjk kerberos adm

    Рисунок 14

  20. Нажмите на кнопку Add на странице Access Rule Destinations.
  21. Нажмите на кнопку New в диалоговом окне Add Network Entities и выберите Computer.
  22. В диалоговом окне New Computer Rule Element введите название Back-end Exchange Server в текстовом поле Name. Введите IP адрес back-end Exchange сервера в текстовом поле Computer IP Address. В нашем примере IP адрес back-end Exchange сервера e — 10.0.0.2. Нажмите на кнопку OK.
  23. Дважды щелкните на поле Back-end Exchange Server и нажмите на кнопку Close.

    Ghjnjrjk kerberos adm

    Рисунок 15
  24. Нажмите на кнопку Next на странице Access Rule Destinations.
  25. На странице User Sets оставьте значение по умолчание All Users и нажмите на кнопку Next.
  26. На странице Completing the New Access Rule Wizard нажмите на кнопку Finish.

Резюме

В этой статье мы рассмотрели правила для публикаций и правила Access Rules, необходимых для доступа от front-end Exchange сервера к контролеру домена (domain controller) и back-end серверу Exchange в корпоративной сети. Правила Server Publishing Rules разрешают входящие POP3S, IMAP4S и SMTP соединения к front-end серверу Exchange. Правила Access Rules были созданы для того, чтобы позволить front-end серверу Exchange получить доступ к внутри доменным протоколам для соединения с контролером домена и back-end сервером Exchange.

В следующей статье из этого цикла мы создадим правило Server Publishing Rule, позволяющее серверу с анонимным доступом к DMZ общаться с SMTP службами back-end Exchange сервера и предоставляющее компьютерам из интернет доступ к службам Secure Exchange RPC Services на back-end сервере Exchange в корпоративной сети. Мы также создадим правило Access Rules, необходимое для того, чтобы разрешить компьютерам в корпоративной сети получить доступ к ресурсам на DMZ с анонимным доступом и в интернет.

www.isaserver.org



















Смотрите также:

Tags: , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]