Monday, December 11th, 2017

Создание и настройка правил web-публикации без SSL (Часть 2)

Published on Февраль 17, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В первой части статьи о публикации web-сайтов без SSL мы начали работу с мастером создания правил web-публикации. Мы закончили тем, что начали настраивать web-приемник для данного правила. Web-приемник – это программная настройка ISA-сервера, которая используется для приема входящих соединений на фильтр web-прокси ISA-сервера. Web-приемник похож на приемник web-прокси, с той лишь разницей, что web-приемник используется для входящих соединений, которые проверяются правилами web-публикации, а приемник web-прокси используется в правилах доступа для исходящих соединений.

На самом деле, web-приемник выполняет гораздо больше функций, чем простой прием входящих соединений. После того, как соединение принято web-приемником, последний применяет на соединение требования аутентификации, а также контролирует количество разрешенных соединений, IP-адрес, на котором приемник принимает соединения, и протоколы (HTTP, SSL или оба этих протокола).

Сегодня мы продолжим рассматривать правила web-публикации и остановимся на работе web-приемника.

Страница выбора web-приемника и создание web-приемника HTTP

Web-приемник назначается правилу web-публикации на странице Select Web Listener (Выбор web-приемника). Web-приемник – это сетевой объект, используемый в правиле web-публикации. Web-приемник «прослушивает» входящие соединения на выбранном вами интерфейсе или IP-адресе с указанным вами портом.

Например, если вы создаете правило web-публикации, разрешающее HTTP-доступ к сайту www.msfirewall.org, вы должны создать web-приемник, который прослушивает внешний интерфейс ISA-сервер с использованием IP-адреса, в который внешние пользователи разрешают имя www.msfirewall.org. Конечно, если к внешнему интерфейсу ISA-сервера привязаны несколько IP-адресов, вы можете разрешать имя для всех этих адресов, или даже для подсети этих адресов.

Замечание:
В данном случае предполагается, что к внешнему интерфейсу ISA-сервера привязан открытый IP-адрес. Ситуация становится немного отличной от указанной выше, если перед ISA-сервером расположено NAT-устройство (например, pix). В этом случае внешние клиенты будут разрешать имя www.msfirewall.org в открытый адрес NAT-устройства, который привязан к IP-адресу, используемому на web-приемнике ISA-сервера.

На странице Select Web Listener (Выбор web-приемника), если у вас уже есть настроенные web-приемники, предлагается два варианта:

  • Edit (Изменить)
  • New (Новый)

Вариант Edit (Изменить) позволяет вам настроить существующий web-приемник, а вариант New (Новый) позволяет вам создать новый web-приемник. В нашем случае у нас нет заранее созданных приемников, поэтому мы нажимаем New (Новый).

На странице Welcome to the New Web Listener Wizard (Начало работы мастера создания нового web-приемника) введите имя web-приемника в текстовое поле Web listener name (Имя web-приемника). В нашем примере мы назвали приемник HTTP Listener (поскольку к внешнему интерфейсу привязан только один IP-адрес; если адресов было несколько, мы могли бы добавить в определение приемника последний октет, для облегчения его идентификации). Нажмите Next (Далее).

На странице IP Addresses (IP-адреса) выберите сеть ISA-сервера или IP-адреса тех сетей, которые вы хотите прослушивать приемником. Вспомните, что каждый интерфейс ISA-сервера определяет сеть ISA-сервера, а все достижимые с этого интерфейса IP-адреса считаются частью этой сети ISA-сервера. Web-приемник может прослушивать любую сеть, определенную на ISA-сервере.

Допустим, вы хотите публиковать серверы для сети VPN-клиентов. Сделать это можно, выбрав сеть VPN Clients (VPN-клиенты) как одну из сетей ISA-сервера, соединения которой прослушивает web-приемник.

В нашем примере мы хотим принимать входящие соединения от пользователей Интернета, поэтому выбираем сеть External (Внешняя), поставив рядом с ней отметку. Теперь web-приемника будет принимать входящие соединения на все IP-адреса, привязанные к внешнему интерфейсу ISA-сервера. В случае привязки к интерфейсу, на котором создается web-приемник, нескольких IP-адресов, я рекомендую настроить web-приемник на использование только одного адреса. Таким образом, вы получите большую гибкость, поскольку вы сможете создать отдельные web-приемники для каждого IP-адреса и настроить по своему желанию свойства каждого приемника. Если вы разрешите приемнику прослушивать все IP-адреса интерфейса, то единственный набор свойств web-приемника будет использоваться для всех правил web-публикации, использующих этот приемник. Т.е., если вы настроите web-приемник на прослушивание всех адресов, вы не сможете создать дополнительные приемники для того же самого протокола.

На странице IP Addresses (IP-адреса) нажмите Addresses (Адреса).

Web приемник

Рисунок 1: Страница IP-адресов

На странице Network Listener IP Selection (Выбор IP-адресов для приемника) вам предлагается три варианта для выбора:

  • Все IP-адреса ISA-сервера в выбранной сети
  • IP-адрес по умолчанию ISA-сервера в выбранной сети
  • Указанные IP-адреса ISA-сервера в выбранной сети

Вариант All IP addresses on the ISA Server computer that are in the selected network (Все IP-адреса ISA-сервера в выбранной сети) выбран по умолчанию, и его выбор означает принятие всех установок предыдущего окна без изменения. Данный вариант позволяет приемнику прослушивать все адреса, привязанные к интерфейсу, определяющему выбранную вами сеть. Не используйте эту опцию в случае привязки к внешнему интерфейсу ISA-сервера нескольких IP-адресов.

Вариант The default IP address on the ISA Server computer in the selected network (IP-адрес по умолчанию ISA-сервера в выбранной сети) позволяет приемнику принимать соединения с первичным IP-адресом, привязанным к интерфейсу. Первичным адресом является первый адрес из списка адресов, привязанных к адаптеру. Этот же IP-адрес используется для соединений от интерфейса.

Вариант Specified IP addresses on the ISA Server computer in the selected network (Указанные IP-адреса ISA-сервера в выбранной сети) позволяет вам выбрать IP-адреса, которые будет использовать приемник. Доступные IP-адреса показаны в разделе Available IP addresses (Доступные IP-адреса). Вы выбираете IP-адрес, который вы хотите использовать для web-приемника, и нажимаете Add (Добавить); этот адрес появляется в разделе Selected IP Addresses (Выбранные IP-адреса).

Пример на Рисунке 2 показывает сетевую структуру ISA-сервера. Еще до выбора нами адресов, адреса 172.16.0.1 и 192.168.1.70 находились в списке Available IP Addresses (Доступные IP-адреса). Эти два адреса привязаны к двум разным адаптерам. Адрес 192.168.1.70 привязан к внешнему интерфейсу (с настроенным шлюзом по умолчанию), а адрес 172.16.0.1 привязан к интерфейсу DMZ ISA-сервера. Причина, по которой оба этих адреса находятся в списке, состоит в том, что внешняя сеть по умолчанию включает в себя все IP-адреса, не являющиеся частью сети. Поскольку мы еще не определили сеть DMZ, адрес, привязанный к интерфейсу DMZ, является частью внешней сети по умолчанию, причем даже в том случае, если этот адрес не привязан к официальному «внешнему» интерфейсу, определенному как интерфейс с настроенным шлюзом по умолчанию.

Выберите IP-адрес, привязанный к внешнему интерфейсу ISA-сервера, и нажмите OK. На странице IP Addresses (IP-адреса) нажмите Next (Далее).

Веб приемник

Рисунок 2: Выбор IP-адреса приемника внешней сети

На странице Port Specification (Определение порта) вы можете определить TCP-порт, на котором web-приемник будет принимать входящие соединения. По умолчанию установлен порт 80. Вы можете изменить значение на любое, которое не будет конфликтовать с другими, уже настроенными на ISA-сервере, портами.

Также вы можете включить порт SSL на web-приемнике. Мы рекомендуем настраивать HTTP и SSL приемники отдельно. Это новая возможность серверов ISA 2004 и 2006. При работе с сервером ISA 2000 вы не могли создать отдельные HTTP и SSL приемники. Должен сказать, что в настоящее время на сервере ISA 2006 используется гораздо более изощренная настройка интерфейса для поддержки SSL.

В нашем примере мы будем использовать порт по умолчанию. Нажмите Next (Далее). Обратите внимание, что вы можете изменить порт по умолчанию, так что если по каким-либо причинам вы хотите, чтобы внешние пользователи использовали альтернативный порт (такой, как они используют при работе с приложением Webmail, использующем альтернативный порт), вы можете настроить его здесь.

Веб приемники

Рисунок 3: Страница настройки порта

Замечание:
Сокет – это комбинация транспортного протокола (TCP или UDP), IP-адреса и порта. Только один процесс может привязать себя к сокету. Если другой процесс ISA-сервера использует тот же самый сокет, который вы используете для web-приемника, вам придется заблокировать этот процесс или выбрать другой порт для приемника. Это частая проблема администраторов ISA-сервера, которые пытаются опубликовать web-ресурсы, расположенные на самом ISA-сервере. Как я уже много раз говорил, никогда не нужно запускать службы на ISA-сервере, отличные от служб самого ISA-сервера, служб, от которых зависит работа ISA-сервера и дополнительных служб, усиливающих работу функций проверки обычных пакетов и проверки на уровне приложений.

На странице Completing the New Web Listener Wizard (Завершение работы мастера создания нового web-приемника) нажмите Finish (Завершить). Детальное описание web-приемника появится на странице Listener properties (Свойства приемника). Теперь мы можем нажать Edit (Изменить) для настройки некоторых параметров нашего web-приемника.

Нажмите Edit (Изменить), а затем выберите вкладку Preferences (Предпочтения). Здесь можно настроить аутентификацию и дополнительные свойства приемника.

Веб приемники

Рисунок 4: Вкладка Preferences (Предпочтения)

Нажмите кнопку Authentication (Аутентификация) и вы увидите доступные для web-приемника параметры аутентификации. По умолчанию используется метод Integrated (Встроенная). Ниже приведено описание всех доступных для web-приемника методов аутентификации и краткое описание основных характеристик каждого метода.

Базовая (Basic)
Поддерживается всеми web-клиентами и серверами
Имена пользователей и пароли кодируются (Base64), но не шифруются. Легко добыть с помощью любого анализатора сети
Использование SSL для безопасной базовой аутентификации
Поддержка делегирования базовой аутентификации
(ISA 2006 может делегировать как NTLM и Kerberos)
С хэшированием (Digest)
Учетные данные отсылаются как односторонний хэш
Web-браузер должен поддерживать HTTP 1.1
Требуется контроллер домена для хранения паролей с использованием обратимого шифрования
Также поддерживается шифрование WDigest (только для Windows Server 2003)
Имя пользователя и пароль чувствительны к регистру
Если и ISA-сервер, контроллер домена работают под управлением Windows Server 2003, WDigst используется по умолчанию
Учетные записи Windows NT 4.0 не поддерживают аутентификацию с хэшированием
Встроенная (Integrated)
Механизмы аутентификации NTLM, Kerberos и Negotiate
Имя пользователя и пароль кэшируются перед отсылкой
Учетные данные пользователя после регистрации автоматически отсылаются на ISA-сервер
Если зарегистрировавшийся пользователь неаутентифицирован, появляется диалоговое окно (обычно при удаленном доступе)
Диалоговое окно регистрации продолжает появляться до тех пор, пока пользователь не введет верные учетные данные или не нажмет CANCEL (Отменить)
RADIUS
RADIUS и аутентифицирует и авторизует
Пользователи RADIUS должны вводить учетные данные в формате Домен\пользователь
ISA-сервер использует хэш MD5 для аутентификации на сервере RADIUS для шифрования имени пользователя, пароля и характеристик соединения
Рекомендуется использовать IPSec для создания безопасного канала между ISA-сервером и сервером RADIUS
Серверы RADIUS, настроенные на ISA-сервере, используются для всех правил и объектов, использующих аутентификацию RADIUS. Вы не можете настроить отдельные серверы RADIUS для аутентификации VPN и web-приемника.
Часто уменьшается производительность
SecurID
Двухфакторная аутентификация
Требуется физический ключ и PIN (Personal ID Number – Личный идентификатор)
Агент RSA ACE/Agent работает на ISA-сервере
Агент RSA ACE/Agent передает учетные данные на сервер RSA/ACE
После успешной аутентификации создаются cookie, которые не пишутся на диск, а хранятся в памяти, из которой они удаляются при закрытии браузера
Для защиты соединений между web-браузером и ISA-сервером используйте SSL
Подробности такой конфигурации можно узнать из помощи сервера ISA 2004
С помощью форм OWA
Используется для публикации Outlook Web Access (OWA)
ISA-сервер создает форму регистрации
При успешной аутентификации браузеру отсылается cookie
Информация об учетных данных не кэшируется браузером клиента
Пользователь должен заново проходить аутентификацию, если он закрыл браузер или ушел с сайта OWA
Нельзя установить лимит времени сессии
Между браузером и ISA-сервером рекомендуется использовать SSL-соединения
Во время сессии можно поменять пароль, но после смены необходима повторная аутентификация
SSL-сертификат
Пользователи проходит аутентификацию с помощью пользовательских сертификатов
Самый безопасный метод аутентификации

Web приемники

Рисунок 5: Варианты аутентификации

Выбранный вами метод аутентификации применяется только в том случае, если вы ограничите пользователям или группам доступ к правилу web-публикации. Если вы дадите доступ к правилу всем пользователям (All Users), то аутентификация будет игнорирована. Эти методы аутентификации применяются только для аутентификации, выполняемой самим ISA-сервером, а не для аутентификации, которая может требоваться на опубликованном сайте. Однако, настройки делегирования аутентификации на ISA-сервере должны совпадать с поддерживаемыми протоколами аутентификации на опубликованном web-сайте.

Все методы аутентификации, за исключением RADIUS, требуют, чтобы ISA-сервер был членом домена. Это не такая большая проблема, если только вы не используете схему с двумя серверами, при которой внешним брандмауэром является ISA-сервер (внутренним брандмауэром может быть любой, включая и ISA-сервер). Если ISA-сервер является внешним, и вы хотите аутентифицировать пользователей на внешнем сервере, тогда я рекомендую использовать только аутентификацию RADIUS. Если ISA-сервер является внутренним, я всегда рекомендую сделать его членом домена, и, таким образом, получить все преимущества безопасности, связанные с членством в домене.

Если вы используете сервер ISA 2006, я рекомендую избегать в большинстве случаев использования RADIUS и использовать LDAP-аутентификацию, если ISA-сервер не является членом домена.

Отметьте опцию Require all users to authenticate (Требовать аутентификацию всех пользователей), если вы хотите использовать аутентификацию для всех правил, использующих этот web-приемник.

При использовании аутентификации RADIUS нажмите RADIUS Servers (Серверы RADIUS) и выберите или добавьте сервер RADIUS.

При использовании базовой аутентификации нажмите Select Domain (Выбрать домен) для установки домена по умолчанию.

Для настройки параметров cookie для OWA-соединений нажмите Configure (Настроить) справа от пункта Configure OWA forms-based authentication (Настроить аутентификацию с помощью форм OWA). Далее мы обсудим эту настройку подробнее.

Нажмите OK для закрытия окна Authentication (Аутентификация). В диалоговом окне HTTP Listener Properties (Свойства HTTP-приемника) нажмите Advanced (Дополнительно). Откроется диалоговое окно Advanced Settings (Дополнительные установки), где вы указываете количество соединений (Number of connections), которое будет поддерживать приемник, и время отключения при отсутствии соединения. Нажмите OK для закрытия окна Advanced Settings (Дополнительные установки).

Web приемники

Рисунок 6: Дополнительные установки

Нажмите OK для закрытия окна HTTP Listener Properties (Свойства приемника HTTP Listener) и нажмите Next (Далее) на странице Select Web Listener (Выбор web-приемника).

Резюме

В этой части статьи о публикации сайтов без использования SSL я рассказал о настройке web-приемника. Настройка web-приемника – это важная задача при создании любого правила web-публикации, и чтобы правило работало верно, нужно все сделать без ошибок. В следующей части мы закончим работу с мастером правил web-публикации и проверим свойства нашего правила. Увидимся!

www.isaserver.org




Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]