Monday, December 11th, 2017

Создание сетей на базе ISA 2004 (Часть 1)

Published on Февраль 13, 2009 by   ·   Комментариев нет

В этой статье я расскажу о создании сети и сетевых взаимодействиях с помощью ISA 2004.

Если вы хотите прочесть вторую часть статьи, перейдите по:
Создание сетей на базе ISA 2004 (Часть 2).

Все большее количество организаций начали понимать реальные выгоды от использования ISA 2004 в качестве брандмауэра корпоративного уровня, к тому же я заметил тенденцию среди большого количества организаций использовать ISA для защиты важной информации. ISA также используется для замены конкурентоспособных продуктов, которые не предоставляют подобного прикладного уровня защиты для сетей Microsoft. По этой причине статья о создании и сегментации сети очень уместна.

Сервер ISA Server 2004 построен для предоставления многосетевой (multi-networking) модели, которая позволяет обеспечивать четкий контроль трафика между сетями. Эти сети могут быть описаны с помощью сетевых объектов в менеджере ISA Server Management. Благодаря настройке этих параметров, можно достичь расширенные конфигурации для нескольких сетей со сложными взаимодействиями.

Сети ISA

Сети ISA проектируются или создаются в зависимости от расположения сервера ISA по отношению к другим элементам внутри сети. Например, если требуется использование DMZ, и важно защищать ресурсы в DMZ,то необходимо разместить сервер ISA между открытой сетью (open net) и DMZ. Будучи нестандартной сетью DMZ необходимо создать (если только не используется шаблон ISA), а затем с помощью назначенных правил определить расположение источника и права (permission).

Подсказка:
Для лучшей практики, рекомендуется, чтобы важные сети были разделены ISA с помощью NIC портов для каждой сети. Эта практика помогает физически и улучшает дизайн. Причина такого подхода не в том, что программное обеспечение брандмауэра может быть недостаточно хорошо, а потому, что это помогает осуществить подход глубинной безопасности и применяется для лучшей эффективности.

Создание правил на isa

Рисунок 1: Физическое и логическое разделение доступное внутри ISA

Рисунок 1 выше помогает понять то, что делает брандмауэр (Firewall). На практике брандмауэр логически или/и физически разделяет сети или группы компьютеров.

Встроенные сетевые элементы внутри стандартной ISA 2004 Standard edition (SE) и корпоративной Enterprise edition (EE) версий:

  • External network (внешняя сеть) – состоит из любых адресов, которые не принадлежат к числу адресов, определенных для сети. Например, внутренняя сеть (internal network) и сеть VPN описываются как свои собственные сети, которые не являются частью внешней сети (External network). Все другие неописанные сети будут составлять внешнюю сеть (External network). Эти неописанные сети могут также называться ненадежными сетевыми элементами.
  • VPN Clients network (сеть клиентов VPN) – эта сеть включает в себя все адреса, назначенные для клиентов VPN.
  • Quarantined VPN Clients network (сеть изолированных клиентов VPN) – эта сеть включает все адреса, назначенные для изолированных клиентов Quarantined VPN clients.
  • Local Host network – (сеть локального компьютера) включает все адреса компьютера с сервером ISA Server.
  • Internal network (Created at install – внутренняя сеть, созданная при установке) – эта сеть обычно используется для сокрытия внутренних клиентов и внутренних клиентских сетей.

Другие сети будут доступны после создания. Обычно, создается сеть представляющая внутреннюю клиентскую сеть – это может быть сделано на шаге установки при назначении адаптера для вновь созданной сети, он в свою очередь использует таблицу локальных адресов (Local address table) сетевой карты (NIC) и может автоматически конфигурировать для вас доступные сетевые адреса.

Смысл создания сетей

Сети обычно создаются для описания или выделения логической группы компьютеров. Обычно, это логическое разделение позволяет более четко контролировать трафик между сетью источником и сетью приемником. Эта методология особенно полезна сред с удаленными офисами (remote office environment) или для контроля расширений LAN, например, для использования дополнительного ADSL в качестве альтернативного метода для доступа к интернету.

Подсказка:
Перед установкой ISA, пометьте вашу сетевую карту (NIC) для отражения сети, к которой они присоединяются. Это поможет на следующих этапах, а также упростит администрирование. Также рекомендуется, чтобы сетевые кабели были различных выделяющихся цветов для простоты использования. Обычно, внутренний кабель зеленого цвета, в то время как внешний – красного цвета. На следующих этапах, если понадобится удаленное администрирование (remote administration) и устранение неполадок (troubleshooting), это очень поможет, т.к. вы можете по телефону помочь удаленному пользователю (remote user) устранить неполадки. Полезность сетевых наборов (network sets)

Во многих случаях специалисты по сетям (network professional) очень ценят удобство совместной группировки одной или нескольких сетей, таким образом, что для них можно задать определенные правила и взаимодействия. Это может быть разделение или маскирование подобных сетевых интервалов друг от друга. Сетевые наборы (Network sets) используются в ISA для создание группировок сетей, для использования их в качестве сетевых элементов внутри сетевых правил или в стандартных правил ISA rules для четкого контроля протокола.

Контроль, достигаемый за счет создания сетевых правил (network rules), очень значителен, и может быть использован для запуска определенного трафика по предопределенному маршруту, особенно, при работе в качестве маршрутизатора, но с большим контролем и возможно фильтрацией прикладного уровня (application layer filtering) и аутентификацией (authentication). Это не только складывается в различных уровнях безопасности, но также помогает при журнализации (logging) и ограничении трафика в сети. Сетевые правила (Network rules)

Этот список правил описывает и определяет топологию сети в настоящее время. Правила принимают решения в независимости от того, есть ли объединение между двумя сущностями сети, и от того, какой тип взаимодействия определен. Если взаимодействия между сетями не найдены, то сервер ISA Server остановит трафик между двумя сетями.

Основа при проектировании сетей внутри ISA заключается в понимании взаимодействия между каждой сетью и трафиком, который должен быть распределен между сетями, или необходимостью применения трансляции сетевого адреса (network address translation -NAT). Создание сетей таким образом, чтобы они затем становились сетевыми элементами, может быть очень полезным. Эти сетевые элементы создаются так, чтобы затем их можно было использовать в правилах в качестве сети источника (source) или сети приемника (destination). Благодаря этому может быть достигнут более четкий контроль на уровне протокола (protocol level). Могут быть также использованы дополнительные техники публикации таких служб, благодаря чему они доступны для удаленных сетей. С помощью дополнений к ISA можно воспользоваться управлением пропускной способностью (bandwidth management).

Обычно NAT правила и взаимодействия используются для маскирования адресов внутренней сети (internal network) от внешних сетей (external networks), а также это может быть использовано для сети, взаимодействующей с интернет. Правила маршрутизации (Routing rules) можно использовать для взаимодействия с дополнительными офисами (branch offices) и другими надежными сетями (trusted networks), между которыми вы можете захотеть обмениваться трафиком.

Созданные сети могут состоять из различных элементов, таких как интервалы IP, компьютеры, сетевые наборы (network set), подсети (subnet), домены (domain) и наборы URL.

На основе этих знаний, можно создавать различные правила, которые будут разрешать или запрещать трафик в различных последовательностях или передавать его с помощью NAT между доступными сетями. Включенное в это сетевое связывание можно также использовать для передачи трафика по условию для альтернативной предварительно настроенных сетей с помощью нескольких механизмов, включая коммутацию (dialup). Этот механизм может быть использован для связи сетей через интернет для альтернативного взаимодействия и передачи файлов (file transfer). Примером может служить офис в Лондоне (London) и штаб-квартира (HQ) в Гонг-Гонге (Hong Kong). Офис в Лондоне имеет быстрое соединение к интернет, поэтому можно структурировать правило для передачи всего HTTP трафика локально на ISP с помощью IP маршрутизатора ISP, однако, весь другой трафик должен поступать в штаб-квартиру (HQ), т.к. так располагается сервер приложений. Правило может быть структурировано для передачи такого трафика на сервер в штаб-квартире (HQ) с использованием аутентификации в случае необходимости. Эта возможность – очень ценное качество, которое лежит в основе сетей, которые распространены в интернет, и для взаимодействия которых необходима удаленная аутентификация. Преимущество беспроводных сетей?

Держа информацию из этой статьи в голове, очень логично предположить, что беспроводные сети (wireless networks) могут также управляться с помощью сетей ISA. При помощи еще одного сетевого интерфейса NIC на сервере ISA server и установки беспроводной точки доступа для новой сетевой карты, можно назначить статический IP адрес для NIC и создать новую сеть ISA. Применительно к новому сетевому элементу можно создать новые сетевые правила, и в результате мы получим новый способ эффективного контроля беспроводной сети. Можно предложить различные способы доступа к внутренней сети (internal network), например, VPN с помощью Ipsec, но эти способы могут отличаться в зависимости о окружения.

Правила для корпоративных сетей (Enterprise network rules) (только для версии Enterprise Edition)

Примечание: Сетевые правила можно создавать на уровне корпорации (enterprise) и на уровне массива (array level). Сетевые правила уровня корпорации (Enterprise-level network rules) могут быть использованы применительно ко всем массивам, а правила уровня массива могут применятся только для одного массива.

Порядок выполнения сетевых правил:
Сетевые правила упорядочены. Сетевое правило выполняется в соответствии с приоритетом. Сервер ISA Server начинает искать правило, которое соответствует адресам. Затем подходящее правило описывает взаимодействия между адресами в сети. Преобладающие правила (Overriding rules) имеют более высокий приоритет в стеке правил.

В корпоративной сети ISA Server сначала выполняет сетевое правило array-level (уровня массива), а затем правила enterprise-level (корпоративного уровня). Сетевые правила корпоративного уровня (Enterprise-level network rules) имеют более низкий приоритет, по сравнению с сетевыми правилам уровня массива (array-level network rules).

Резюме

В первой части этой статьи мы рассмотрели сетевые правила и различные сети по умолчанию, создаваемые в ISA. Мы также рассмотрели принципы того, как сети могут быть использованы для разделения и сегментирования существующих сетевых структур, и как можно управлять взаимодействиями между различными сетями. В следующей статье мы подробнее взглянем на то, как мы можем использовать, то что мы узнали в этой статье в приложении для достижения различных стратегий безопасности (security strategies) для различных сетевых сценариев.

www.isaserver.org






Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]