Создание сетей на базе ISA 2004 (Часть 2)

Published on Февраль 13, 2009 by   ·   Комментариев нет

В первой части статьи мы рассмотрели вопросы создания сетей и сетевых отношений. Во второй части мы остановимся на проблемах дополнительных настроек сети и работы сети с сервером ISA 2004.

Если вы пропустили первую часть статьи, прочтите ее:
Создание сетей на базе ISA 2004 (Часть 1).

В первой части мы уже установили, что ISA-сервер используется для разделения сетей, что сети можно определять, и что к каждой сети применяются политики в форме правил для каждой сети.

Не смотря на убеждения некоторых любителей сенсаций, DMZ и подобные ей сети все еще живы и широко применяются при построении сетей. На самом деле, те, кто говорит, что DMZ мертвы, просто боятся публикации серверов, находящихся во внутренней сети, и поэтому предпочитают создавать чрезмерно защищенные сети с помощью двух брандмауэров для обеспечения доступа высокой безопасности. Но это, само по себе, просто расширенный вариант DMZ.

По умолчанию после установки ISA-сервера никакой трафик не может проходить из одной сети в другую. По мере добавления правил на ISA-сервере, сети могут обмениваться трафиком. Это позволяет установить на всех интерфейсах ISA-сервера функцию фильтрования пакетов. Для этого я в первой части рекомендовал определять сети по интерфейсу, если это возможно, поскольку такой подход дает возможность использования сложного контроля всех протоколов и сетевых элементов. Это, помимо всего прочего, позволяет применять к любой топологии подход, при котором ISA-сервер может соединяться с любым количеством сетей любой конфигурации с несколькими политиками на каждом интерфейсе. Давайте детально рассмотрим, как это работает.

Один из основных элементов безопасности: контроль доступа

Используя сервер ISA 2004 для контроля сетевого трафика с помощью набора правил и возможности для определения контроля доступа на каждом интерфейсе, вы, как специалист по ISA-серверу, можете получить сложный уровень контроля доступа, более усовершенствованный в сетях Microsoft, чем в других конкурирующих сетях. Поскольку ISA-сервер тесно связан с Microsoft Active Directory и другими механизмами аутентификации Microsoft, применение данного метода контроля доступа всегда успешно.

Соответствие стандартам и ведение журналов

Всестороннее журналирование трафика становится все более важным, поскольку соответствие стандартам является краеугольным камнем ведения бизнеса по всему миру. Ведение журналов трафика и информации становится юридическим требованием в большинстве сфер деятельности. ISA-сервер полностью соответствует таким требованиям, поскольку весь трафик и информация может быть в расширенном виде зафиксирована в виде SQL для анализа как в режиме реального времени, так и последующей обработки. Многие брандмауэры лишены таких функций, а передовой механизм записи журналов ISA-сервера развивается от версии к версии, увеличивая производительность и масштабируемость.

VPN в качестве сети

Поскольку VPN считается отдельной сетью, естественно, что тесную интеграцию и сложный контроль трафика можно использовать в правилах для источника и назначения. В частности, это применяется при определении, кто обладает доступа к какому протоколу при создании VPN-соединения с корпоративной сетью. Также это может потребоваться при первом VPN-соединении с сетью с ограниченными ресурсами, откуда пользователи с помощью NAT могут соединяться с другими службами. Возможен вариант, если пользователи VPN соединяется с заранее определенной сетью так, что обычные LAN-службы доступны в ограниченном виде или в опубликованных вариантах.

VPN только для ISA Server 2004 Enterprise Edition

В ISA EE есть возможность создания прямого VPN-соединения с помощью IPSec. IPSec – это протокол IP, улучшенный по вопросам безопасности. Для прямого соединения настоятельно рекомендуется использование дополнительных средств защиты, таких как IPSec, поскольку этот тип сети использует Интернет.

Для соединения клиента с VPN с помощью IPsec необходимо выполнить следующее:

  1. Создайте Сетевое правило, разрешающее трафик к и от сети VPN.
  2. Создайте Правило доступа, разрешающее трафик к и от данной сети.
  3. Проверьте настройки протокола IPsec, используя свойства созданной сети VPN.

Локальный узел считается сетью

Эта возможность выделяет ISA-сервер от остальных. Обычный довод от незнающих людей: ISA-сервер плохо защищен, поскольку он работает на операционных системах и программном обеспечении Microsoft. Однако, весь трафик, проходящий через ISA-сервер, блокируется. ISA-сервер считается локальным узлом, и для прохождения пакетов нужно создавать правила, разрешающие прохождение трафика от и к локальному узлу. По существу, никакой трафик не может достигнуть локального узла, если на ISA-сервере установлен сетевой драйвер низкого уровня, который инкапсулирует ядро Windows. Весь трафик к локальному узлу обрабатывается ISA-сервером: вначале он проверяется на соответствие правилам, а затем, в соответствие с правилами, пропускается к месту назначения.

7126

Диаграмма А

На Диаграмме А показано, как к ISA-серверу можно добавить несколько сетей: соответственно LAN (Внутренняя), NET2 (Внутренняя2), NET3 (Внутренняя2) и Internet (Внешняя).

Обычно в таком сценарии устанавливается сервер ISA 2004 с четырьмя сетевыми картами. Внешний интерфейс соединен с маршрутизатором исходящих соединений с внешней сетью. Внутренний адаптер соединен со свитчем локальной сети или корневым маршрутизатором, связанным с коммутатором локальной сети. Второй внутренний интерфейс может быть отдельной внутренней сетью, в которой на изолированной сети VLAN или в сегменте сети, управляемой ISA-сервером, расположены критически важные службы. Последний интерфейс, Внутренняя3, отвечает за сеть, которая используется для скачивания приложений или содержимого из внешней сети и существует как альтернатива для первичного соединения с внешней сетью, и также управляется ISA-сервером для обеспечения безопасности соединений.

У всех этих сетей отношения друг с другом разные. Например, сеть LAN может перенаправлять трафик от сети LAN в сеть NET 2. IP-адрес в сети LAN может быть 10.0.0.0, а в сети NET 2 — 10.0.10.0, трафик будет проходить между сетями. Трафик из сети LAN может с помощью NAT направляться в сеть NET 3 таким образом, что, по желанию сетевого администратора, он будет выглядеть, как трафик сети NET 3. Например, трафик в сети LAN — 10.0.0.0, а в сети NET 3 — 192.168.0.0. После обработки NAT из сети LAN в сеть NET 3 трафик будет показан как исходящий из сети с адресом 192.168.0.0.

Точно также можно настроить отношения NAT между сетями LAN и Внутренняя2 для выхода во внешнюю сеть. Обычно это делается, при определении сетей при установке, но если сети добавляются на поздних стадиях, отношения будет необходимо настраивать.

Определение сетевых элементов внутри сети

После создания сетей следует определить и настроить элементы и детали элементов для каждой сети. Эти элементы помогут ISA-серверу определить основы для маршрутизации трафика и для клиентов брандмауэра. Ниже я расскажу об этом. Обратите внимание, что на уровне массива (ISA2004 EE), можно быть создано новое прямое VPN-соединение.

  • Вкладка Domains (Домены) (Только для клиентов брандмауэра). На этой вкладке вы можете указать домены, которые входят в определенную вами сеть. Запросы клиентов к этим доменам будут считаться локальными, и не будут перенаправляться.
  • Вкладка Web browser (Web-браузер). На этой вкладке настраиваются свойства web-браузера и определение web-браузерами сценария настройки ISA-сервера.
  • Automatic discovery (Автоматическое определение). Определяет, как клиенты будут находить ISA-сервер
  • Web Proxy client support (Поддержка клиентов web-прокси). Указывается, прослушивает ли данная сеть запросы от клиентов web-прокси. Этот параметр находится там, где меняется номер порта нестандарного прокси-сервера.

Резюме

В этой части мы рассмотрели контроль доступа и способ достижения сложного сетевого доступа. Мы рассмотрели поведение локального узла и то, что он считается сетевым элементом, сети VPN, контроль трафика к и от VPN-сетям и настройку эффективного использования набора сетей с общей точкой в ISA-сервере. Я надеюсь, в этой статье вы нашли ценную информацию и воспользуйтесь данными советами и приобретенным знанием.

www.isaserver.org



Смотрите также:

Tags: , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]