В первой части статьи мы рассмотрели вопросы создания сетей и сетевых отношений. Во второй части мы остановимся на проблемах дополнительных настроек сети и работы сети с сервером ISA 2004.
Если вы пропустили первую часть статьи, прочтите ее:
Создание сетей на базе ISA 2004 (Часть 1).
В первой части мы уже установили, что ISA-сервер используется для разделения сетей, что сети можно определять, и что к каждой сети применяются политики в форме правил для каждой сети.
Не смотря на убеждения некоторых любителей сенсаций, DMZ и подобные ей сети все еще живы и широко применяются при построении сетей. На самом деле, те, кто говорит, что DMZ мертвы, просто боятся публикации серверов, находящихся во внутренней сети, и поэтому предпочитают создавать чрезмерно защищенные сети с помощью двух брандмауэров для обеспечения доступа высокой безопасности. Но это, само по себе, просто расширенный вариант DMZ.
По умолчанию после установки ISA-сервера никакой трафик не может проходить из одной сети в другую. По мере добавления правил на ISA-сервере, сети могут обмениваться трафиком. Это позволяет установить на всех интерфейсах ISA-сервера функцию фильтрования пакетов. Для этого я в первой части рекомендовал определять сети по интерфейсу, если это возможно, поскольку такой подход дает возможность использования сложного контроля всех протоколов и сетевых элементов. Это, помимо всего прочего, позволяет применять к любой топологии подход, при котором ISA-сервер может соединяться с любым количеством сетей любой конфигурации с несколькими политиками на каждом интерфейсе. Давайте детально рассмотрим, как это работает.
Используя сервер ISA 2004 для контроля сетевого трафика с помощью набора правил и возможности для определения контроля доступа на каждом интерфейсе, вы, как специалист по ISA-серверу, можете получить сложный уровень контроля доступа, более усовершенствованный в сетях Microsoft, чем в других конкурирующих сетях. Поскольку ISA-сервер тесно связан с Microsoft Active Directory и другими механизмами аутентификации Microsoft, применение данного метода контроля доступа всегда успешно.
Всестороннее журналирование трафика становится все более важным, поскольку соответствие стандартам является краеугольным камнем ведения бизнеса по всему миру. Ведение журналов трафика и информации становится юридическим требованием в большинстве сфер деятельности. ISA-сервер полностью соответствует таким требованиям, поскольку весь трафик и информация может быть в расширенном виде зафиксирована в виде SQL для анализа как в режиме реального времени, так и последующей обработки. Многие брандмауэры лишены таких функций, а передовой механизм записи журналов ISA-сервера развивается от версии к версии, увеличивая производительность и масштабируемость.
Поскольку VPN считается отдельной сетью, естественно, что тесную интеграцию и сложный контроль трафика можно использовать в правилах для источника и назначения. В частности, это применяется при определении, кто обладает доступа к какому протоколу при создании VPN-соединения с корпоративной сетью. Также это может потребоваться при первом VPN-соединении с сетью с ограниченными ресурсами, откуда пользователи с помощью NAT могут соединяться с другими службами. Возможен вариант, если пользователи VPN соединяется с заранее определенной сетью так, что обычные LAN-службы доступны в ограниченном виде или в опубликованных вариантах.
В ISA EE есть возможность создания прямого VPN-соединения с помощью IPSec. IPSec – это протокол IP, улучшенный по вопросам безопасности. Для прямого соединения настоятельно рекомендуется использование дополнительных средств защиты, таких как IPSec, поскольку этот тип сети использует Интернет.
Для соединения клиента с VPN с помощью IPsec необходимо выполнить следующее:
Эта возможность выделяет ISA-сервер от остальных. Обычный довод от незнающих людей: ISA-сервер плохо защищен, поскольку он работает на операционных системах и программном обеспечении Microsoft. Однако, весь трафик, проходящий через ISA-сервер, блокируется. ISA-сервер считается локальным узлом, и для прохождения пакетов нужно создавать правила, разрешающие прохождение трафика от и к локальному узлу. По существу, никакой трафик не может достигнуть локального узла, если на ISA-сервере установлен сетевой драйвер низкого уровня, который инкапсулирует ядро Windows. Весь трафик к локальному узлу обрабатывается ISA-сервером: вначале он проверяется на соответствие правилам, а затем, в соответствие с правилами, пропускается к месту назначения.
Диаграмма А
На Диаграмме А показано, как к ISA-серверу можно добавить несколько сетей: соответственно LAN (Внутренняя), NET2 (Внутренняя2), NET3 (Внутренняя2) и Internet (Внешняя).
Обычно в таком сценарии устанавливается сервер ISA 2004 с четырьмя сетевыми картами. Внешний интерфейс соединен с маршрутизатором исходящих соединений с внешней сетью. Внутренний адаптер соединен со свитчем локальной сети или корневым маршрутизатором, связанным с коммутатором локальной сети. Второй внутренний интерфейс может быть отдельной внутренней сетью, в которой на изолированной сети VLAN или в сегменте сети, управляемой ISA-сервером, расположены критически важные службы. Последний интерфейс, Внутренняя3, отвечает за сеть, которая используется для скачивания приложений или содержимого из внешней сети и существует как альтернатива для первичного соединения с внешней сетью, и также управляется ISA-сервером для обеспечения безопасности соединений.
У всех этих сетей отношения друг с другом разные. Например, сеть LAN может перенаправлять трафик от сети LAN в сеть NET 2. IP-адрес в сети LAN может быть 10.0.0.0, а в сети NET 2 — 10.0.10.0, трафик будет проходить между сетями. Трафик из сети LAN может с помощью NAT направляться в сеть NET 3 таким образом, что, по желанию сетевого администратора, он будет выглядеть, как трафик сети NET 3. Например, трафик в сети LAN — 10.0.0.0, а в сети NET 3 — 192.168.0.0. После обработки NAT из сети LAN в сеть NET 3 трафик будет показан как исходящий из сети с адресом 192.168.0.0.
Точно также можно настроить отношения NAT между сетями LAN и Внутренняя2 для выхода во внешнюю сеть. Обычно это делается, при определении сетей при установке, но если сети добавляются на поздних стадиях, отношения будет необходимо настраивать.
После создания сетей следует определить и настроить элементы и детали элементов для каждой сети. Эти элементы помогут ISA-серверу определить основы для маршрутизации трафика и для клиентов брандмауэра. Ниже я расскажу об этом. Обратите внимание, что на уровне массива (ISA2004 EE), можно быть создано новое прямое VPN-соединение.
В этой части мы рассмотрели контроль доступа и способ достижения сложного сетевого доступа. Мы рассмотрели поведение локального узла и то, что он считается сетевым элементом, сети VPN, контроль трафика к и от VPN-сетям и настройку эффективного использования набора сетей с общей точкой в ISA-сервере. Я надеюсь, в этой статье вы нашли ценную информацию и воспользуйтесь данными советами и приобретенным знанием.
www.isaserver.org
Tags: domain, ISA Server, nat, proxy, SQL, vpn