Создание множественных периметров безопасности с использованием Multihomed ISA-брандмауэров Часть 4: Настройка правил web-публикации, поддерживающих соединения с внешним Exchange-сервером в DMZ с установленным доступом

В первой части статьи о том, как сделать ISA-сервер многосетевым ISA-сервером для нескольких периметров, мы обсудили концепции и проблемы построения нескольких DMZ в нескольких зонах безопасности. Во второй части мы рассмотрели настройку сетей ISA-сервера и сетевых правил для поддержки многосетевого ISA-сервера. В третьей части были освещены вопросы, связанные с сертификатами web-сайтов и ключевые положения правильного именования сертификатов.

Если вы пропустили первые три части статьи, прочтите их:

• Часть 1
• Часть 2
• Часть 3

В данной, четвертой, части статьи мы продолжим настройку ISA-сервера. Мы создадим правила web-публикации для всех входящих соединений с web-сайтами внешнего Exchange-сервера. Мы рассмотрим следующие процедуры:

• Создание правила web-публикации OWA
• Создание правила web-публикации RPC/HTTP
• Создание правила web-публикации OMA/ActiveSync

Прежде, чем начать, ознакомьтесь с Таблицей 1 для того, чтобы удостовериться, что вы понимаете соглашения по именованию, используемые для сертификатов в нашем решении. ISA-сервер будет настроен на работу двух web-приемников: один для правила web-публикации OWA, которое использует аутентификацию с помощью форм; а другой будет использовать базовую аутентификацию и поддерживать публикацию RPC/HTTP, OMA и ActiveSync.

Web-приемник для правила web-публикации OWA будет использовать сертификат с именем owa.msfirewall.org. Внешние пользователи получают доступ к OWA-сайту с помощью адреса https://owa.msfirewall.org/exchange.

Web-приемник для правил web-публикации RPC/HTTP и OMA/ActiveSync будет использовать сертификат с именем rpc.msfirewall.org, а клиентские приложения для связи с сайтами RPC/HTTP, OMA и ActiveSync будут настроены на использование имени rpc.msfirewall.org.

Таблица 1: Имена сертификатов, привязанных к web-приемникам ISA-сервера и web-службам внешнего Exchange-сервера

Обратите внимание, что мы создаем три правила. Правило OWA должно быть отделено от правил, разрешающих соединения RPC/HTTP, OMA или ActiveSync, поскольку клиентские приложения для RPC/HTTP, OMA и ActiveSync не понимают аутентификацию с помощью форм и обрывают соединение.

Однако, вы можете использовать одно и то же правило для соединений RPC/HTTP, OMA и ActiveSync. Мы же будем использовать два разных правила для поддержки входящих соединений с RPC/HTTP, OMA и ActiveSync, поскольку это позволит нам более тщательно контролировать настройки фильтра безопасности HTTP. Компания Microsoft опубликовала достаточно полное руководство по настройке фильтра безопасности HTTP для публикации OWA и RPC/HTTP.

К настоящему моменту, компания Microsoft не опубликовала никакого руководства по настройке фильтра безопасности HTTP для публикации OMA и ActiveSync. Вследствие этого, мы создадим правило web-публикации для публикации RPC/HTTP и настроим пользовательские установки фильтра безопасности HTTP для этого правила. Мы создадим другое правило web-публикации для OMA/ActiveSync, которое будет использовать общие установки фильтра безопасности HTTP.

Создание правила web-публикации OWA

Правило web-публикации OWA будет разрешать входящие SSL (HTTPS)-соединения из Интернета через ISA-сервер ко внешнему Exchange-серверу. На рисунке показан путь входящего соединения через ISA-сервер ко внешнему Exchange-серверу в сегменте DMZ с установленным доступом.

Рисунок 1

Правило web-публикации будет принимать входящие соединения с узлом owa.msfirewall.org. Пользователи должны будут пройти аутентификацию и авторизоваться на ISA-сервере до переадресации соединения на OWA-сайт внешнего Exchange-сервера. Поскольку базовое делегирование разрешено, ISA-сервер будет переадресовывать пользовательские учетные данные на OWA-сайт, так что OWA-сайт сможет аутентифицировать пользователя. Только после предварительной аутентификации на ISA-сервере, авторизации соединения и аутентификации на OWA-сайте соединению внешнего пользователя будет разрешен доступ к сайтам внешнего Exchange-сервера.

И, наконец, на ISA-сервере включено SSL-сопряжение, так что ISA-сервер сможет проводить проверку пакетов на уровне приложений данных SSL-туннеля. Это одно из главных преимуществ ISA-сервера перед обычными аппаратными брандмауэрами с функцией проверки обычных пакетов. ISA-сервер предотвращает скрытие в SSL-туннеле злоумышленниками вредных программ.

Таблица 2: Описание правила web-публикации OWA

Для создания правила web-публикации OWA выполните следующее:

1. В консоли управления ISA-сервера раскройте имя сервера и выберите узел Firewall Policy (Политики сервера).
2. В панели задач узла Firewall Policy (Политики сервера) выберите Tasks (Задачи) и Publish a Mail Server (Публикация почтового сервера).
3. На странице Welcome to the New Mail Server Publishing Rule Wizard Начало работы мастера правил публикации нового почтового сервера) в текстовом окне Mail Server Publishing Rule name (Имя правила публикации почтового сервера) введите название правила. В нашем примере это Web Pub FE OWA Svr. Нажмите Next (Далее).
4. На странице Select Access Type (Выбор типа доступа) выберите опцию Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync (Доступ web-клиентов: OWA, Outlook Mobile Access, Exchange Server ActiveSync) и нажмите Next (Далее).
5. На странице Select Services (Выбор сервисов) выберите только опции Outlook Web Access (Web-доступ к Outlook) и Enable high bit characters used by non-English character sets(Разрешить символы, используемы в не-английских наборах символов). Нажмите Next (Далее).
6. На странице Bridging Mode (Способ сопряжения) выберите опцию Secure connection to clients and mail server (Безопасные соединения клиентов и почтового сервера) и нажмите Next (Далее).
7. На странице Specify the Web Mail Server (Укажите почтовый web-сервер) введите имя сертификата web-сайта внешнего Exchange-сервера. Это имя, которое появится на вкладке To (К) правила web-публикации. Помните, что это имя должно совпадать с именем сертификата web-сайта, привязанного к внешнему Exchange-серверу. В нашем примере это имя feexchange.msfirewall.org. Введите его в поле Web mail server (Почтовый web-сервер) и нажмите Next (Далее).

   

   Рисунок 2

8. На странице Public Name Details (Подробности имени) из списка Accept requests for (Принимать запросы для) выберите This domain name (type below) (Этот домен (обозначен ниже)). Введите имя, которое пользователи внешней сети будут использовать для доступа к OWA-сайту в текстовое поле Public name (Имя). Это имя должно совпадать с именем сертификата web-сайта, привязанного к приемнику в правиле web-публикации. В нашем случае это имя owa.msfirewall.org, поэтому введите его в текстовое поле Public name (Имя). Нажмите Next (Далее).

   

   Рисунок 3

9. На странице Select Web Listener (Выбор web-приемника) нажмите кнопку New (Новый).
10. На странице Welcome to the New Web Listener Wizard (Начало работы мастера нового web-приемника) введите в поле Web listener name (Имя web-приемника) название вашего приемника. В нашем примере это OWA Listener. Нажмите Next (Далее)
11. На странице IP Addresses (IP-адреса) отметьте опцию External (Внешний) и нажмите Address (Адрес).
12. В диалоговом окне External network Listener IP Selection (Выбор IP-адреса внешнего сетевого приемника) выберите опцию Specified IP addresses on the ISA Server computer in the selected network (IP-адреса ISA-сервера в выбранной сети). Дважды щелкните по IP-адресу, связанному с полностью определенным доменным именем, указанном на странице Public Name (Имя). В нашем примере внешний DNS-сервер разрешает имя owa.msfirewall.org в IP-адрес 192.168.1.70, поэтому щелкаем по этому адресу, и он появляется в списке Selected IP Addresses (Выбранные IP-адреса). Нажмите OK.

    

    Рисунок 4
13. На странице IP Addresses (IP-адреса) нажмите Next (Далее).

    

    Рисунок 5
14. На странице Port Specification (Порт) уберите флажок с опции Enable HTTP (Разрешить HTTP). Отметьте опцию Enable SSL (Разрешить SSL). Нажмите кнопку Select (Выбор).
15. В диалоговом окне Select Certificate (Выбор сертификата) выберите сертификат с именем для внешнего приемника. В нашем примере ISA-сервер в правиле web-публикации OWA будет использовать имя owa.msfirewall.org. Выберите сертификат и нажмите OK.

    

    Рисунок 6

16. Нажмите Next (Далее) на странице Port Specification (Порт).

    

    Рисунок 7
17. На странице Completing the New Web Publishing Rule Wizard (Завершение создания нового правила web-публикации) нажмите Finish (Завершить).
18. На странице Select Web Listener (Выбор web-приемника) нажмите кнопку Edit (Редактировать).
19. В диалоговом окне OWA Listener Properties (Свойства OWA Listener) откройте вкладку Preferences (Предпочтения).
20. На вкладке Preferences (Предпочтения) нажмите кнопку Authentication (Аутентификация).
21. В диалоговом окне Authentication (Аутентификация) уберите отметку с опции Integrated (Встроенная). Нажмите OK в диалоговом окне, сообщающим, что вами не выбран не один из методов аутентификации.
22. Отметьте опцию OWA Forms-based (Формы OWA-сайта). Отметьте пункт Require all users to authenticate (Требовать аутентификации всех пользователей). Нажмите кнопку Configure (Настроить).

    

    Рисунок 8

23. На странице OWA Forms-Based Authentication (Аутентификация с помощью форм) прочтите описание настроек. В нашем примере мы оставим значение времени ожидания по умолчанию и отметим пункты Clients on public machines (Клиенты компьютеров общего пользования) и Log off OWA when the user leaves OWA site (Выходить из OWA, если пользователь уходит с сайта OWA). Эти настройки не являются необходимыми для достижения наилучшей производительности, это то, что я обычно устанавливаю по умолчанию, если не знаю, чего хочет клиент. Нажмите OK.

    

    Рисунок 9
24. На странице Authentication (Аутентификация) нажмите OK.
25. На странице OWA Listener Properties (Свойства OWA Listener) нажмите OK.
26. На странице Select Web Listener (Выбор web-приемника) нажмите Next (Далее).

    

    Рисунок 10

27. На странице User Sets (Установки пользователей) выберите пункт All Users (Все пользователи) и нажмите Remove (Удалить). Нажмите кнопку Add (Добавить).
28. В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по пункту All Authenticated Users (Все пользователи, прошедшие аутентификацию), затем нажмите Close (Закрыть).

    

    Рисунок 11

29. На странице User Sets (Установки пользователей) нажмите Next (Далее).
30. На странице Completing the New Mail Server Publishing Rule Wizard (Завершение создания правила публикации нового почтового сервера) нажмите Finish (Завершить).

Следующим шагом мы сделаем пару изменений в правило, которые нельзя сделать с помощью мастера:

1. Дважды щелкните по правилу web-публикации OWA
2. В диалоговом окне Web Pub FE OWA Svr Properties (Свойства правила Web Pub FE OWA Svr) выберите вкладку Traffic (Трафик). Установите отметку на пункте Require 128-bit encryption for HTTPS traffic (Требовать 128-битное шифрование для HTTPS-трафика).

   

   Рисунок 12

3. Откройте вкладку Users (Пользователи). Отметьте пункт Forward Basic authentication credentials (Basic delegation) (Переадресовывать учетные данные для аутентификации (базовое делегирование)). Нажмите OK.

   

   Рисунок 13

Последний шаг – настройка фильтра безопасности HTTP для усиления уровня безопасности, устанавливаемого ISA-сервером на web-сайт внешнего Exchange-сервера.

Для настройки фильтра безопасности HTTP для правила web-публикации OWA выполните следующее:

1. Дважды щелкните по правилу web-публикации OWA и нажмите Configure HTTP (Настройка HTTP).
2. На вкладке General (Общие) диалогового окна Configure HTTP policy for rule (Настройка политики HTTP для правила) настройте следующие параметры:
   Maximum headers length (Максимальная длина заголовков) 32768
   Allow any payload length (Разрешить любую длину полезной нагрузки)
   Maximum URL Length (Максимальная длина адреса URL) 260
   Maximum query length (Максимальная длина запроса) 4096
   Enable Verify normalization (Включить подтверждение нормализации)
   Disable Block high bit characters (Отключить блокировку символов с высоким битом)

   

   Рисунок 14

3. На вкладке Methods (Методы) выберите опцию Allow only specified methods (Разрешить только определенные методы) из списка Specify the action taken for HTTP methods (Укажите действия методов HTTP). Нажмите Add (Добавить). В диалоговом окне Method (Метод) в текстовое поле Method (Метод) введите GET. Нажмите OK. Повторите эту процедуру для следующих методов:
   GET
   POST
   PROPFIND
   PROPPATCH
   BPROPPATCH
   MKCOL
   DELETE
   BDELETE
   BCOPY
   MOVE
   SUBSCRIBE
   BMOVE
   POLL
   SEARCH

   

   Рисунок 15

4. Список разрешенных вами методов должен выглядеть как на рисунке ниже.

   

   Рисунок 16

5. Выберите вкладку Extensions (Расширения). Из списка Specify the action taken for file extensions (Укажите действия для расширения файла) выберите пункт Block specified extensions (allow all others)(Блокировать указанные расширения (разрешать все остальные)). Нажмите кнопку Add (Добавить). В диалоговом окне Extension (Расширение) введите в текстовое поле Extension (Расширение) .exe и нажмите OK. Повторите эту процедуру для следующих расширений:
   .exe
   .bat
   .cmd
   .com
   .htw
   .ida
   .idq
   .htr
   .idc
   .shtm
   .shtml
   .stm
   .printer
   .ini
   .log
   .pol
   .dat

   

   Рисунок 17
6. Список расширений должен выглядеть как на рисунке ниже.

   

   Рисунок 18
7. Выберите вкладку Signatures (Подписи). Нажмите кнопку Add (Добавить). В диалоговом окне Signature (Подпись) в текстовое поле Name (Имя) введите OWA1. Из выпадающего списка Search in (Поиск в) выберите Request URL (Запрошенный URL). Текстовое поле Signature (Подпись) введите ./. Нажмите OK. Повторите данную процедуру для следующих подписей:
   \
   %

   

   Рисунок 19
8. Список подписей должен выглядеть как на рисунке:

   

   Рисунок 20
9. В окне Configure HTTP policy for rule (Настройка политики HTTP для правила) нажмите OK.

Создание правила web-публикации RPC/HTTP

Следующий шаг – создание правила web-публикации для сайта RPC/HTTP. Как и правило web-публикации OWA это правило разрешает входящие SSL (HTTPS) соединения к сайту RPC-прокси внешнего Exchange-сервера. На рисунке показан путь входящих SSL-соединений с внешним Exchange-сервером:

Рисунок 21

Данное правило web-публикации разрешает все входящие соединения к имени rpc.msfirewal.org, и будет работать только если путь в запросе содержит /rpc/. Как и в правиле web-публикации OWA, SSL-публикация призвана обеспечить более высокий уровень безопасности в сравнении с аппаратными брандмауэрами. До того, как RPC/HTTP-соединения будут переадресованы на сайт RPC-прокси внешнего Exchange-сервера, также потребуется предварительная аутентификация и авторизация на ISA-сервере.

В Таблице 3 представлено краткое описание правила web-публикации RPC/HTTP.

Таблице 3: Описание правила web-публикации RPC поверх HTTP

Для создания правила web-публикации RPC/HTTP выполните следующее:

1. В консоли управления ISA-сервера правой кнопкой щелкните по правилу web-публикации OWA и нажмите Copy (Копировать).
2. Еще раз правой кнопкой щелкните по правилу web-публикации OWA и нажмите Paste (Вставить).
3. Дважды щелкните по новому правилу Web Pub FE OWA Svr(1).
4. На вкладке General (Общие) переименуйте правило. В текстовое поле Name (Имя) введите Web Pub RPC Proxy. Нажмите Apply (Применить).
5. Выберите вкладку Listener (Приемник) и нажмите кнопку New (Новый).
6. На странице Welcome to the New Web Listener Wizard (Начало работы мастера нового web-приемника) введите в поле Web listener name (Имя web-приемника) название вашего приемника. В нашем примере это RPC/OMA/ActiveSync Listener. Нажмите Next (Далее).
7. На странице IP Addresses (IP-адреса) отметьте опцию External (Внешний) и нажмите Address (Адрес).
8. В диалоговом окне External network Listener IP Selection (Выбор IP-адреса внешнего сетевого приемника) выберите опцию Specified IP addresses on the ISA Server computer in the selected network (IP-адреса ISA-сервера в выбранной сети). Дважды щелкните по адресу, разрешающему имя rpc.msfirewall.org. То есть вы выбираете адрес, в который будет разрешаться имя сертификата web-сайта для данного приемника. В нашем примере имя owa.msfirewall.org разрешается в IP-адрес 192.168.1.71, поэтому щелкаем по этому адресу, и он появляется в списке Selected IP Addresses (Выбранные IP-адреса). Нажмите OK.

   

   Рисунок 22
9. На странице IP Addresses (IP-адреса) нажмите Next (Далее).
10. На странице Port Specification (Порт) уберите флажок с опции Enable HTTP (Разрешить HTTP). Отметьте опцию Enable SSL (Разрешить SSL). Нажмите кнопку Select (Выбор).
11. В диалоговом окне Select Certificate (Выбор сертификата) выберите сертификат для правила web-публикации HTTP-RPC/OMA/ActiveSync. В нашем внешние клиенты HTTP-RPC/OMA/ActiveSync для доступа к ISA-серверу будут использовать имя owa.msfirewall.org. Выберите сертификат и нажмите OK.

    

    Рисунок 23

12. Нажмите Next (Далее) на странице Port Specification (Порт).

    

    Рисунок 24

13. На странице Completing the Web-Listener Wizard (Завершение создания нового web-приемника) нажмите Finish (Завершить).
14. Обратите внимание, что новый web-приемник выбран на вкладке Listener (Приемник). Нажмите кнопку Properties (Свойства).
15. В диалоговом окне RPC/OMA/ActiveSync Listener Properties (Свойства приемника RPC/OMA/ActiveSync) выберите вкладку Preferences (Предпочтения).
16. На вкладке Preferences (Предпочтения) нажмите кнопку Authentication (Аутентификация).
17. В диалоговом окне Authentication (Аутентификация) уберите отметку с опции Integrated (Встроенная). Нажмите OK в диалоговом окне, сообщающим, что вами не выбран не один из методов аутентификации.
18. Отметьте пункт Basic (Базовая). Также выберите опцию Require all users to authenticate (Требовать аутентификации всех пользователей). Нажмите OK.

    

    Рисунок 25
19. В диалоговом окне RPC/OMA/ActiveSync Listener Properties (Свойства приемника RPC/OMA/ActiveSync) нажмите OK. Вкладка Listener (Приемник) должна выглядеть так, как изображено на рисунке.

    

    Рисунок 26

20. Выберите вкладку Paths (Пути). Для каждого пути из списка нажмите кнопку Remove (Удалить). Теперь список путей пуст. Нажмите кнопку Add (Добавить). В диалоговом окне Path Mapping (Присоединенные пути) в текстовое поле введите путь /OMA/*. Повторите данную процедуру для добавления следующих путей:
    /rpc/*

    

    Рисунок 27
21. Вкладка Path (Путь) теперь должна выглядеть как на рисунке ниже.

    

    Рисунок 28

22. Выберите вкладку Public Name (Имя), далее выберите запись owa.msfirewall.org и нажмите кнопку Remove (Удалить). Нажмите Add (Добавить).
23. В диалоговом окне Public Name (Имя) введите имя, которые внешние пользователи будут использовать для связи с ресурсами с помощью правила web-публикации. В нашем случае это rpc.msfirewall.org. Введите это имя в текстовое поле Public domain name or IP address (Имя домена или IP-адрес) и нажмите OK.

    

    Рисунок 29

24. Теперь имя появилось в списке. Нажмите OK.

    

    Рисунок 30

Теперь нам нужно настроить фильтр безопасности HTTP для увеличения защиты сайта RPC поверх HTTP на внешнем Exchange-сервере.

Для этого внесем в фильтр безопасности HTTP следующие изменения:

1. Дважды щелкните по правилу Web Pub RPC Proxy и выберите Configure HTTP (Настройка HTTP).
2. На вкладке General (Общие) диалогового окна Configure HTTP policy for rule (Настройка политики HTTP для правила) измените значение Maximum URL length (bytes) Maximum URL Length (Максимальная длина адреса URL (в байтах)) на 16384 и значение параметра Maximum query length (bytes) (Максимальная длина запроса (в байтах)) на 4096.

   

   Рисунок 31

3. На вкладке Methods (Методы) выберите опцию Allow only specified methods (Разрешить только определенные методы) из списка Specify the action taken for HTTP methods (Укажите действия методов HTTP). Нажмите Add (Добавить).
4. В диалоговом окне Method (Метод) в текстовое поле Method (Метод) введите RPC_IN_DATA. Нажмите OK. Снова нажмите Add (Добавить) и в диалоговом окне Method (Метод) в текстовое поле Method (Метод) введите RPC_OUT_DATA. Нажмите OK.

   

   Рисунок 32

5. Вкладка Methods (Методы) должна выглядеть, как изображено на рисунке.

   

   Рисунок 33
6. В диалоговом окне Configure HTTP policy for rule (Настройка политики HTTP для правила) нажмите OK.

Создание правила web-публикации для OMA и ActiveSync

Теперь создадим правило web-публикации OMA/ActiveSync. Данное правило будет иметь все те же характеристики, что и правило web-публикации RPC/HTTP, за исключение того, что оно будет работать при запросе пути /OMA/ или /Microsoft-Server-ActiveSync.

Для создания правила web-публикации OMA/ActiveSync выполните следующее:

1. В консоли управления ISA-сервера правой кнопкой щелкните по правилу web-публикации RPC-прокси и нажмите Copy (Копировать).
2. Еще раз правой кнопкой щелкните по правилу web-публикации RPC-прокси и нажмите Paste (Вставить).
3. Дважды щелкните по новому правилу Web Pub RPC Proxy(1).
4. На вкладке General (Общие) переименуйте правило. В текстовое поле Name (Имя) введите Web Web Pub OMA/ActiveSync. Нажмите Apply (Применить).
5. На странице IP Addresses (IP-адреса) нажмите Next (Далее).
6. O На странице Port Specification (Порт) уберите флажок с опции Enable HTTP (Разрешить HTTP). Отметьте опцию Enable SSL (Разрешить SSL). Нажмите кнопку Select (Выбор).
7. Выберите вкладку Paths (Пути). Выберите путь /rpc/* и нажмите кнопку Remove (Удалить). Теперь список путей пуст. Нажмите кнопку Add (Добавить). В диалоговом окне Path Mapping (Присоединенные пути) в текстовое поле введите путь /OMA/*. Повторите данную процедуру для добавления пути /Microsoft-Server-ActiveSync/*.

   

   Рисунок 34

8. Вкладка Path (Путь) должна выглядеть также, как на рисунке.

   

   Рисунок 35
9. Нажмите OK.

К моменту написания статьи компания Microsoft не предоставила никакого руководства по настройке фильтра безопасности HTTP для защиты OMA и ActiveSync. Если Microsoft сделает данную информацию доступной, эта статья будет обновлена.

Резюме

В четвертой части статьи о создании нескольких периметров для много сетевого ISA-сервера мы детально рассмотрели на стройку правил web-публикации для разрешения входящих безопасных соединений к внешнему Exchange-серверу в сегменте DMZ с установленным доступом. Были созданы три правила: для web-сайта OWA, для web-сайта RPC/HTTP и для web-сайта OMA/ActiveSync. Следующей части мы создадим правила публикации сервера и правила доступа для разрешения входящих соединений из Интернет к внешнему Exchange-серверу и для связи внешнего Exchange-сервера с контроллером домена и внутренним Exchange-сервером корпоративной сети.

www.isaserver.org

• Планировщик заданий Windows server 2008
• Посмотреть фрагментацию таблиц ms sql
• Как создать контакт в active directori?
• Принт сервер на Windows server
• Нстройка впн server 2008

Tags: dns, domain, Exchange, forward, imap, ISA Server, mac, nat, proxy, search, traffic