Хотя на время написания этой статьи еще не было официального выпуска, в ближайшее время должен выйти пакет обновления для ваших брандмауэров ISA. Компания Microsoft выпустила подробности в публикациях на блоге команды разработчиков ISA firewall Team Forefront TMG (ISA Server) Product Team Blog, а Марк Гроут тоже немного освятил этот вопрос.
Вместо того, чтобы повторять все то, о чем писала команда разработчиков ISA и Марк, я решил углубиться в подробности некоторых основных функций, включенных в ISA 2006 Service Pack 1. На мой взгляд, у вас может возникнуть чувство того, что вы получили новую версию апгрейда, когда вы установите SP1 на свой брандмауэр ISA 2006! Именно так впечатляют новые возможности, включенные в Service Pack 1.
В этой статье мы рассмотрим процесс установки, затем подробно рассмотрим функцию отслеживания изменений, а затем в деталях рассмотрим работу кнопки Test, которая помогает вам решить самые раздражающие проблемы правила веб публикации.
Во второй части этой серии статей мы подробно рассмотрим симулятор трафика, а также заглянем в глубь нового набора функций записи логов диагностики.
Обратите внимание на то, что данная статья основана на предварительной версии ISA 2006 Service Pack 1 и некоторые диалоговые окна и даже функции могут измениться за время написания статьи и выпуска финальной версии пакета обновления.
Дважды нажмите на файле установки пакета обновления. В результате у вас откроется приветственная страница Welcome to the Update for Microsoft ISA Server 2006 Service Pack 1. Нажмите Далее.
На странице Лицензионное соглашение выберите опцию Я принимаю условия соглашения и нажмите Далее.
На странице Мастер готов к установке программы нажмите кнопку Установить.
Шкала хода установки будет показывать вам прогресс установки.
О! Установка завершена без ошибок. Нажмите Закончить.
На этом этапе мастер попросит вас перезагрузить компьютер.
После установки Service Pack 1 вы не найдете множество косметических изменений. По крайней мере, я не нашел. Однако если вы нажмете на ветви Политика брандмауэра в левой панели консоли, а затем нажмете по вкладке Задачи в панели задач, вы найдете новый объект в коллекции Связанные задачи ‘ Перейти к симулятору трафика. Мы поговорим о симуляторе трафика более подробно позже.
Когда вы нажмете на ветви Диагностика в левой панели консоли, вы заметите, что там появилось несколько новых вкладок ‘ Симулятор трафика и Запись журналов диагностики. Подробнее об этих функциях мы поговорим позже.
Первой основной функцией, которую мы будем рассматривать, является функция отслеживания изменений. Отслеживание изменений позволяет вам вести журнал всех изменений, которым подвергалась конфигурация брандмауэра ISA в течение времени. Функция отслеживания изменений автоматически считывает изменения, которые вы вносите, и записывает их. У вас также есть возможность при каждом внесении изменений сопровождать их комментариями.
Отслеживание изменений можно использовать для предоставления информации управления изменениями касаемо конфигурации вашего брандмауэра техническому персоналу. Это то, что преследовало администраторов ISA в течение некоторого времени, поскольку не существовало автоматизированных средств отслеживания внесенных в конфигурацию брандмауэра изменений в течение времени.
Нажмите на вкладке Мониторинг в левой панели консоли брандмауэра ISA, затем перейдите по вкладке Отслеживание изменений. Нажмите на вкладке Задачи в панели задач и у вас появится ссылка Настроить отслеживание изменений.
Это вызовет диалоговое окно Свойства. Вы также увидите это окно, если правой клавишей нажмете на названии брандмауэра в левой панели консоли и выберите команду Свойства.
На вкладке Отслеживание изменений вы можете включить эту функцию. Данная функция отключена по умолчанию, поэтому вам придется поставить галочку в строке Включить отслеживание изменений, чтобы включить ее.
Опция Показывать описание изменения при применении внесенных в конфигурацию изменений позволяет вам вводить описание сделанных вами изменений в конфигурации брандмауэра. Это очень полезная опция, поскольку вы, возможно, захотите отключить эту функцию во время первой настройки брандмауэра. Затем, когда вы осуществили основные настройки и создали резервную копию, вы можете включить эту функцию с тем, чтобы любые изменения в вашей базовой конфигурации требовали пояснения (комментария).
Стандартное количество записей в логе отслеживания изменений составляет 1000, а максимальное рекомендуемое значение составляет 10,000. Абсолютное максимальное значение в этот раз нигде не указано, но в компании Microsoft не рекомендуют превышать 10,000 записей из соображений производительности. Если вы превышаете этот лимит, самые старые записи будут перезаписываться более новыми.
Вы также можете использовать сочетание клавиш CTRL+A и CTRL+C, а также CTRL+V для копирования содержимого журнала изменений конфигурации в буфер, чтобы потом вставлять его в текстовые файлы, если вы боитесь потерять записи.
Как показано на рисунке ниже, когда вы нажимаете кнопку Применить, у вас открывается диалоговое окно Описание изменения конфигурации, где вы можете вводить информацию об изменениях, которые вы сделали, и возможно объяснение для этих изменений. Нажмите кнопку Применить в диалоговом окне Описание изменения конфигурации.
После нажатия на кнопку Применить у вас появится диалоговое окно Сохранение изменений конфигурации, а также шкала прогресса сохранения изменений.
Обратите внимание на то, что появляется в текстовом блоке диалогового окна Сохранение изменений конфигурации. В секции Описание изменения вы видите подробности своего описания. Однако я думал, что в этом текстовом окне я смогу изменить описание. Но на самом деле, оно действительно означает описание изменения. Я ломал голову над этим словосочетанием примерно пять минут, пока до меня не дошло его истинное значение.
Теперь перейдите на ветвь Мониторинг в левой панели консоли и нажмите вкладку Отслеживание изменений. Здесь у вас появляется пять столбцов:
Если вы развернете запись, у вас появится подробная информация о произведенных изменениях. Большая часть этой информации довольно понятна, хотя встречается терминология в некоторых описаниях, для понимания значения которой вам придется обратиться к ISA 2006 SDK. Вы также можете использовать эти подробные описания для того, чтобы больше узнать о том, как ISA работает с различными типами изменений, производимых вами в настройке брандмауэра.
Функция отслеживания изменений также имеет отличную возможность поиска, поэтому вам не придется ломать глаза при просмотре журнала отслеживания изменений. К примеру, на рисунке ниже видно, что я осуществил поиск изменения под названием ‘bluecoat’, и обнаружил, что создал набор доменных имен (Domain Name Set) под названием Bluecoat и создал правило политики под названием ‘Deny Bluecoat’.
Теперь давайте перейдем к следующей отличной функции, включенной в ISA 2006 SP1 ‘ кнопка тестирования правил веб публикации (Web Publishing Rule Test button).
Люди сталкиваются с разного рода проблемами при создании правил веб публикации. Проблемы могут быть связаны с разрешением имен, или с сертификатами, или с названиями сертификатов, или с IP адресами, или даже с несколькими из этих областей. Для некоторых начинающих администраторов брандмауэра ISA эти проблемы могут стать очень раздражающими и послужить причиной разочарований в инвестиции средств в ISA.
Команда разработчиков брандмауэра ISA знает об этом, и они проделали огромную работу в ISA 2006 SP1, чтобы помочь решить эти проблемы, включив кнопку Test в мастера создания правил веб публикации, а также в диалоговое окно Свойства правил веб публикации.
Давайте создадим безопасное правило веб публикации и посмотрим, поможет ли кнопка Test с ошибками, которые я мог допустить в правиле.
Для начала нажмем по ссылке Опубликовать веб сайты во вкладке Задачи панели задач. Это вызовет приветственную страницу мастера Welcome to the New Web Publishing Rule Wizard. Вводим название в текстовом поле Название правила веб публикации. В этом примере мы назовем правило Безопасный веб сайт и нажмем Далее.
На странице Выбрать действие правила мы выберем опцию Разрешить и нажмем Далее.
На странице Тип публикации выбираем опцию Опубликовать веб сайт или компенсатор нагрузки, так как мы публикуем только один SSL веб сервер в этом примере. Нажимаем Далее.
На странице Безопасность подключения сервера выбираем Пользователь SSL для подключения к опубликованному веб серверу или семейству серверов, поскольку мы хотим, чтобы ISA создавал SSL соединение со своего внутреннего интерфейса к публичному веб серверу на стандартной внутренней сети. Жмем Далее.
На странице Подробности внутренней публикации вводим ssl.msfirewall.org в текстовом поле Внутреннее имя сайта. Это имя должно быть на сертификате веб сайта, который присвоен сайту на внутренней сети. Если общее/субъектное имя на веб сайте сертификата, присвоенного веб сайту, будет отличаться от этого имени, правило не будет работать.
Я поставлю флажок в строке Использовать имя компьютера или IP адрес для подключения к публичному серверу, а затем введу IP адрес публичного сервера в текстовое поле Имя компьютера или IP адрес. В данном случае адрес будет 10.0.0.2. Жмем Далее.
На странице Подробности внутренней публикации вы можете указать путь, для которого вы хотите ограничить доступ пользователям. В этом примере мы дадим пользователям доступ ко всем путям на веб сервере, поэтому не будем вносить никаких изменений на этой странице. Жмем Далее.
На странице Подробности публичных имен мы выбираем опцию Это имя домена (вписать ниже) из списка Принимать запросы для. В текстовом поле Публичное имя вводим имя, которое внешние пользователи будут использовать для доступа к этому сайту. Помните, это имя также должно быть общим/субъектным именем на сертификате веб сайта, который вы присвоили веб приемнику, используемому для этого правила.
Мы не ограничиваем никакие пути в этом правиле, поэтому ничего не будем вписывать в текстовое поле Путь (необязательно). Жмем Далее.
На этой машине пока не настроен ни один веб приемник, поэтому нужно создать новый безопасный веб приемник, который можно будет использовать для правила веб публикации. На странице Выбор веб приемника нажимаем кнопку Новый.
На приветственной странице мастера Welcome to the New Web Listener Wizard введите имя веб приемника в текстовом поле Имя веб приемника. В этом примере, мы назовем веб приемник Безопасный приемник и нажмем Далее.
На странице Безопасность клиентских подключений мы выберем опцию Требовать защищенных SSL соединений с клиентами, так как мы хотим, чтобы внешние клиенты создавали безопасные SSL сеансы с внешним интерфейсом брандмауэра. Жмем Далее.
На странице IP адрес веб приемника ставим галочку в строке Внешний, чтобы приемник принимал внешние соединения на внешнем интерфейсе брандмауэра. Поскольку есть только один IP адрес, присвоенный внешнему интерфейсу брандмауэра, мне нет причины нажимать кнопку Выбор IP адреса. Однако если бы было более одного IP адреса на внешнем интерфейсе брандмауэра, я мог бы нажать кнопку Выбор IP адреса, чтобы создать различные веб приемники с различными параметрами для разных IP адресов.
Жмем Далее.
На странице Сертификаты SSL приемника выбираем опцию Использовать единый сертификат для этого веб приемника. Мы выбираем эту опцию, так как у нас есть только один IP адрес на внешнем интерфейсе брандмауэра, и только один сертификат может быть присвоен одному IP адресу. Жмем кнопку Выбор сертификата.
В этом примере мы напутаем в настройках, выбрав неправильный сертификат. Чтобы выбрать неправильный сертификат, я выберу wrongcert.msfirewall.org сертификат из списка и нажму кнопку Выбрать.
Теперь мы видим на странице Сертификаты SSL приемника, что выбрали wrongcert.msfirewall.org сертификат и присвоили его этому веб приемнику. Жмем Далее.
Мы не слишком интересуемся аутентификацией для этого правила, поэтому упростим все, выбрав опцию HTTP аутентификация из списка Выберите способ предоставления клиентами мандатов для ISA Server, а затем выберем опцию Базовый. Поскольку брандмауэр является членом домена (чтобы повысить безопасность), мы выберем опцию Windows (Active Directory) из списка опций Выберите способ подтверждения клиентских мандатов сервером ISA Server.
Жмем Далее.
У нас нет опций, доступных для выбора на странице Параметры Single Sign On, так как для поддержки single sign on вам нужно использовать аутентификацию на основе форм. Жмем Далее.
Жмем Закончить на странице завершения работы мастера Completing the New Web Listener Wizard.
Вы можете посмотреть подробности о веб приемнике на странице Выбор веб приемника. Обратите внимание, что в нижней части страницы есть предупреждение, которое гласит: Выбранный веб приемник не имеет сертификата, соответствующего публичному имени, указанному в мастере. Пользователи могут получать предупреждение при попытке подключиться к серверу, опубликованному этим правилом.
Это довольно полезная информация, и я не припомню, чтобы предварительные версии ISA 2006 брандмауэров предоставляли такую информацию. Мастер говорит нам, что публичное имя, настроенное в этом правиле веб публикации, не совпадает общим/субъектным именем на сертификате веб сайта, который мы присвоили этому веб приемнику. При несовпадении этих имен обозреватели будут говорить пользователям о том, что возникла проблема с сертификатом, а если они используют не браузеры для подключения, они могут вообще не получить никакой информации, и подключения просто не будет.
Жмем Далее, чтобы посмотреть, предоставит ли кнопка Test подобную информацию.
На странице Делегирование аутентификации выбираем опцию Общая аутентификация из списка Выбор способа, используемого ISA Server для аутентификации на публичном веб сервере. В этом примере нас мало волнует аутентификация, но посмотрим, предоставит ли нам кнопка Test какую-нибудь информацию относительно аутентификации.
На странице Наборы пользователей мы разрешим только Всем аутентифицированным пользователям доступ к этому сайту, так как это защищенный сайт. Это означает, что мы удалили запись Все пользователи и добавили Все аутентифицированные пользователи. Жмем Далее.
Обратите внимание на странице Completing the New Web Publishing Rule Wizard, что в ее нижнем левом углу есть кнопка Test. Давайте нажмем кнопку и посмотрим, что произойдет.
Ой! Что-то не так с нашим правилом. Давайте нажмем на ветви в самом низу древа и посмотрим, что там за информация. Когда мы нажимаем на https://ssl.msfirewall.org:443 мы видим следующую информацию:
Проверка URL https://ssl.msfirewall.org:443/: Невозможно создать сеанс с публичным сервером. Error code 2148074274 ‘ Целевое главное имя неверное.
Да, это относительно полезная информация в том случае, если вы знаете, что означает ошибка Целевое главное имя неверное (The target principle name is incorrect). Если вы являетесь начинающим администратором брандмауэра ISA, вы, скорее всего, не будете знать, что это означает, и будете ломать голову над этим. Однако, будучи даже начинающим администратором ISA, у вас теперь есть некоторая полезная информация, которой можно поделиться с другими членами www.isaserver.org веб сайта, и когда вы опубликуете эту информацию, более опытные администраторы ISA тут же поймут, что проблема связана с несовпадением имен сертификата.
Эта ошибка означает, что ssl.msfirewall.org не является общим/субъектным именем на сертификате, присвоенном публичному веб сайту. Однако это то имя, которое мы указали во вкладке TO правила веб публикации. Чтобы исправить эту проблему, нам нужно проверить общее/субъектное имя на сертификате веб сайта, присвоенном публичному веб сайту, а затем изменить запись во вкладке TO на соответствующую этому имени.
Мы закроем страницу Результаты теста правила веб публикации и нажмем Завершить на странице Completing the New Web Publishing Rule.
Теперь давайте дважды нажмем на правиле веб публикации Безопасный веб сайт в списке правил политики брандмауэра, чтобы открыть диалоговое окно Свойства безопасного веб сайта. Нажмем на вкладке TO. Здесь мы видим запись ssl.msfirewall.org. Я вернулся обратно на публичнй веб сервер, чтобы посмотреть настоящее имя на сертификате веб сайта, и обнаружил что это secure.msfirewall.org. Итак, чтобы исправить проблему, нам нужно вписать secure.msfirewall.org в текстовое поле это правило применяется для этого публичного сайта во вкладке TO.
Вы видите, что я исправил проблему и во вкладке TO я ввел secure.msfirewall.org.
Теперь я нажму кнопку Применить и запущу Тест снова. Работает, и мы видим зеленый значок, который означает, что подключение брандмауэра ISA к публичному веб серверу нормально работает.
Теперь я нажму кнопку Применить, чтобы сохранить изменения, а также информацию в диалоговом окне Описание изменений конфигурации.
Кажется, что основной задачей кнопки Test является проверка возможности создания соединения между самим брандмауэром ISA и публичным веб сайтом. Кажется, она не проверяет возможность внешнего пользователя подключиться к внешнему интерфейсу брандмауэра ISA для создания соединения, поскольку отсутствует возможность проверки проблем, связанных с публичными именами/сертификатами, которые мастер мог бы вызвать. Итак, хотя кнопка Test является очень полезной при создании подключений межу брандмауэром и веб сервером, вам нужно обращать внимание на предупреждения, которые появляются в мастере создания новых правил веб публикации во время создания этих правил.
В этой первой части серии статей о ISA 2006 Service Pack 1 мы рассмотрели подробности функции отслеживания изменений и кнопки Test для правил веб публикации. В следующей статье мы подробно рассмотрим новый симулятор трафика и усовершенствования, включенные в функцию ведения логов диагностики. Мы также рассмотрим некоторые сценарии диагностирования, чтобы показать вам, как вы можете использовать эти отличные новые функции на практике. До встречи!
www.isaserver.org
Tags: domain, ISA Server, Microsoft ISA Server