Создание и настройка правил web-публикации без SSL (Часть 2)

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

• Создание и настройка правил web-публикации без SSL (Часть 1)

В первой части статьи о публикации web-сайтов без SSL мы начали работу с мастером создания правил web-публикации. Мы закончили тем, что начали настраивать web-приемник для данного правила. Web-приемник – это программная настройка ISA-сервера, которая используется для приема входящих соединений на фильтр web-прокси ISA-сервера. Web-приемник похож на приемник web-прокси, с той лишь разницей, что web-приемник используется для входящих соединений, которые проверяются правилами web-публикации, а приемник web-прокси используется в правилах доступа для исходящих соединений.

На самом деле, web-приемник выполняет гораздо больше функций, чем простой прием входящих соединений. После того, как соединение принято web-приемником, последний применяет на соединение требования аутентификации, а также контролирует количество разрешенных соединений, IP-адрес, на котором приемник принимает соединения, и протоколы (HTTP, SSL или оба этих протокола).

Сегодня мы продолжим рассматривать правила web-публикации и остановимся на работе web-приемника.

Страница выбора web-приемника и создание web-приемника HTTP

Web-приемник назначается правилу web-публикации на странице Select Web Listener (Выбор web-приемника). Web-приемник – это сетевой объект, используемый в правиле web-публикации. Web-приемник «прослушивает» входящие соединения на выбранном вами интерфейсе или IP-адресе с указанным вами портом.

Например, если вы создаете правило web-публикации, разрешающее HTTP-доступ к сайту www.msfirewall.org, вы должны создать web-приемник, который прослушивает внешний интерфейс ISA-сервер с использованием IP-адреса, в который внешние пользователи разрешают имя www.msfirewall.org. Конечно, если к внешнему интерфейсу ISA-сервера привязаны несколько IP-адресов, вы можете разрешать имя для всех этих адресов, или даже для подсети этих адресов.

Замечание:
В данном случае предполагается, что к внешнему интерфейсу ISA-сервера привязан открытый IP-адрес. Ситуация становится немного отличной от указанной выше, если перед ISA-сервером расположено NAT-устройство (например, pix). В этом случае внешние клиенты будут разрешать имя www.msfirewall.org в открытый адрес NAT-устройства, который привязан к IP-адресу, используемому на web-приемнике ISA-сервера.

На странице Select Web Listener (Выбор web-приемника), если у вас уже есть настроенные web-приемники, предлагается два варианта:

• Edit (Изменить)
• New (Новый)

Вариант Edit (Изменить) позволяет вам настроить существующий web-приемник, а вариант New (Новый) позволяет вам создать новый web-приемник. В нашем случае у нас нет заранее созданных приемников, поэтому мы нажимаем New (Новый).

На странице Welcome to the New Web Listener Wizard (Начало работы мастера создания нового web-приемника) введите имя web-приемника в текстовое поле Web listener name (Имя web-приемника). В нашем примере мы назвали приемник HTTP Listener (поскольку к внешнему интерфейсу привязан только один IP-адрес; если адресов было несколько, мы могли бы добавить в определение приемника последний октет, для облегчения его идентификации). Нажмите Next (Далее).

На странице IP Addresses (IP-адреса) выберите сеть ISA-сервера или IP-адреса тех сетей, которые вы хотите прослушивать приемником. Вспомните, что каждый интерфейс ISA-сервера определяет сеть ISA-сервера, а все достижимые с этого интерфейса IP-адреса считаются частью этой сети ISA-сервера. Web-приемник может прослушивать любую сеть, определенную на ISA-сервере.

Допустим, вы хотите публиковать серверы для сети VPN-клиентов. Сделать это можно, выбрав сеть VPN Clients (VPN-клиенты) как одну из сетей ISA-сервера, соединения которой прослушивает web-приемник.

В нашем примере мы хотим принимать входящие соединения от пользователей Интернета, поэтому выбираем сеть External (Внешняя), поставив рядом с ней отметку. Теперь web-приемника будет принимать входящие соединения на все IP-адреса, привязанные к внешнему интерфейсу ISA-сервера. В случае привязки к интерфейсу, на котором создается web-приемник, нескольких IP-адресов, я рекомендую настроить web-приемник на использование только одного адреса. Таким образом, вы получите большую гибкость, поскольку вы сможете создать отдельные web-приемники для каждого IP-адреса и настроить по своему желанию свойства каждого приемника. Если вы разрешите приемнику прослушивать все IP-адреса интерфейса, то единственный набор свойств web-приемника будет использоваться для всех правил web-публикации, использующих этот приемник. Т.е., если вы настроите web-приемник на прослушивание всех адресов, вы не сможете создать дополнительные приемники для того же самого протокола.

На странице IP Addresses (IP-адреса) нажмите Addresses (Адреса).

Рисунок 1: Страница IP-адресов

На странице Network Listener IP Selection (Выбор IP-адресов для приемника) вам предлагается три варианта для выбора:

• Все IP-адреса ISA-сервера в выбранной сети
• IP-адрес по умолчанию ISA-сервера в выбранной сети
• Указанные IP-адреса ISA-сервера в выбранной сети

Вариант All IP addresses on the ISA Server computer that are in the selected network (Все IP-адреса ISA-сервера в выбранной сети) выбран по умолчанию, и его выбор означает принятие всех установок предыдущего окна без изменения. Данный вариант позволяет приемнику прослушивать все адреса, привязанные к интерфейсу, определяющему выбранную вами сеть. Не используйте эту опцию в случае привязки к внешнему интерфейсу ISA-сервера нескольких IP-адресов.

Вариант The default IP address on the ISA Server computer in the selected network (IP-адрес по умолчанию ISA-сервера в выбранной сети) позволяет приемнику принимать соединения с первичным IP-адресом, привязанным к интерфейсу. Первичным адресом является первый адрес из списка адресов, привязанных к адаптеру. Этот же IP-адрес используется для соединений от интерфейса.

Вариант Specified IP addresses on the ISA Server computer in the selected network (Указанные IP-адреса ISA-сервера в выбранной сети) позволяет вам выбрать IP-адреса, которые будет использовать приемник. Доступные IP-адреса показаны в разделе Available IP addresses (Доступные IP-адреса). Вы выбираете IP-адрес, который вы хотите использовать для web-приемника, и нажимаете Add (Добавить); этот адрес появляется в разделе Selected IP Addresses (Выбранные IP-адреса).

Пример на Рисунке 2 показывает сетевую структуру ISA-сервера. Еще до выбора нами адресов, адреса 172.16.0.1 и 192.168.1.70 находились в списке Available IP Addresses (Доступные IP-адреса). Эти два адреса привязаны к двум разным адаптерам. Адрес 192.168.1.70 привязан к внешнему интерфейсу (с настроенным шлюзом по умолчанию), а адрес 172.16.0.1 привязан к интерфейсу DMZ ISA-сервера. Причина, по которой оба этих адреса находятся в списке, состоит в том, что внешняя сеть по умолчанию включает в себя все IP-адреса, не являющиеся частью сети. Поскольку мы еще не определили сеть DMZ, адрес, привязанный к интерфейсу DMZ, является частью внешней сети по умолчанию, причем даже в том случае, если этот адрес не привязан к официальному «внешнему» интерфейсу, определенному как интерфейс с настроенным шлюзом по умолчанию.

Выберите IP-адрес, привязанный к внешнему интерфейсу ISA-сервера, и нажмите OK. На странице IP Addresses (IP-адреса) нажмите Next (Далее).

Рисунок 2: Выбор IP-адреса приемника внешней сети

На странице Port Specification (Определение порта) вы можете определить TCP-порт, на котором web-приемник будет принимать входящие соединения. По умолчанию установлен порт 80. Вы можете изменить значение на любое, которое не будет конфликтовать с другими, уже настроенными на ISA-сервере, портами.

Также вы можете включить порт SSL на web-приемнике. Мы рекомендуем настраивать HTTP и SSL приемники отдельно. Это новая возможность серверов ISA 2004 и 2006. При работе с сервером ISA 2000 вы не могли создать отдельные HTTP и SSL приемники. Должен сказать, что в настоящее время на сервере ISA 2006 используется гораздо более изощренная настройка интерфейса для поддержки SSL.

В нашем примере мы будем использовать порт по умолчанию. Нажмите Next (Далее). Обратите внимание, что вы можете изменить порт по умолчанию, так что если по каким-либо причинам вы хотите, чтобы внешние пользователи использовали альтернативный порт (такой, как они используют при работе с приложением Webmail, использующем альтернативный порт), вы можете настроить его здесь.

Рисунок 3: Страница настройки порта

Замечание:
Сокет – это комбинация транспортного протокола (TCP или UDP), IP-адреса и порта. Только один процесс может привязать себя к сокету. Если другой процесс ISA-сервера использует тот же самый сокет, который вы используете для web-приемника, вам придется заблокировать этот процесс или выбрать другой порт для приемника. Это частая проблема администраторов ISA-сервера, которые пытаются опубликовать web-ресурсы, расположенные на самом ISA-сервере. Как я уже много раз говорил, никогда не нужно запускать службы на ISA-сервере, отличные от служб самого ISA-сервера, служб, от которых зависит работа ISA-сервера и дополнительных служб, усиливающих работу функций проверки обычных пакетов и проверки на уровне приложений.

На странице Completing the New Web Listener Wizard (Завершение работы мастера создания нового web-приемника) нажмите Finish (Завершить). Детальное описание web-приемника появится на странице Listener properties (Свойства приемника). Теперь мы можем нажать Edit (Изменить) для настройки некоторых параметров нашего web-приемника.

Нажмите Edit (Изменить), а затем выберите вкладку Preferences (Предпочтения). Здесь можно настроить аутентификацию и дополнительные свойства приемника.

Рисунок 4: Вкладка Preferences (Предпочтения)

Нажмите кнопку Authentication (Аутентификация) и вы увидите доступные для web-приемника параметры аутентификации. По умолчанию используется метод Integrated (Встроенная). Ниже приведено описание всех доступных для web-приемника методов аутентификации и краткое описание основных характеристик каждого метода.

Базовая (Basic)

Поддерживается всеми web-клиентами и серверами

Имена пользователей и пароли кодируются (Base64), но не шифруются. Легко добыть с помощью любого анализатора сети

Использование SSL для безопасной базовой аутентификации

Поддержка делегирования базовой аутентификации

(ISA 2006 может делегировать как NTLM и Kerberos)

С хэшированием (Digest)

Учетные данные отсылаются как односторонний хэш

Web-браузер должен поддерживать HTTP 1.1

Требуется контроллер домена для хранения паролей с использованием обратимого шифрования

Также поддерживается шифрование WDigest (только для Windows Server 2003)

Имя пользователя и пароль чувствительны к регистру

Если и ISA-сервер, контроллер домена работают под управлением Windows Server 2003, WDigst используется по умолчанию

Учетные записи Windows NT 4.0 не поддерживают аутентификацию с хэшированием

Встроенная (Integrated)

Механизмы аутентификации NTLM, Kerberos и Negotiate

Имя пользователя и пароль кэшируются перед отсылкой

Учетные данные пользователя после регистрации автоматически отсылаются на ISA-сервер

Если зарегистрировавшийся пользователь неаутентифицирован, появляется диалоговое окно (обычно при удаленном доступе)

Диалоговое окно регистрации продолжает появляться до тех пор, пока пользователь не введет верные учетные данные или не нажмет CANCEL (Отменить)

RADIUS

RADIUS и аутентифицирует и авторизует

Пользователи RADIUS должны вводить учетные данные в формате Домен\пользователь

ISA-сервер использует хэш MD5 для аутентификации на сервере RADIUS для шифрования имени пользователя, пароля и характеристик соединения

Рекомендуется использовать IPSec для создания безопасного канала между ISA-сервером и сервером RADIUS

Серверы RADIUS, настроенные на ISA-сервере, используются для всех правил и объектов, использующих аутентификацию RADIUS. Вы не можете настроить отдельные серверы RADIUS для аутентификации VPN и web-приемника.

Часто уменьшается производительность

SecurID

Двухфакторная аутентификация

Требуется физический ключ и PIN (Personal ID Number – Личный идентификатор)

Агент RSA ACE/Agent работает на ISA-сервере

Агент RSA ACE/Agent передает учетные данные на сервер RSA/ACE

После успешной аутентификации создаются cookie, которые не пишутся на диск, а хранятся в памяти, из которой они удаляются при закрытии браузера

Для защиты соединений между web-браузером и ISA-сервером используйте SSL

Подробности такой конфигурации можно узнать из помощи сервера ISA 2004

С помощью форм OWA

Используется для публикации Outlook Web Access (OWA)

ISA-сервер создает форму регистрации

При успешной аутентификации браузеру отсылается cookie

Информация об учетных данных не кэшируется браузером клиента

Пользователь должен заново проходить аутентификацию, если он закрыл браузер или ушел с сайта OWA

Нельзя установить лимит времени сессии

Между браузером и ISA-сервером рекомендуется использовать SSL-соединения

Во время сессии можно поменять пароль, но после смены необходима повторная аутентификация

SSL-сертификат

Пользователи проходит аутентификацию с помощью пользовательских сертификатов

Самый безопасный метод аутентификации

Рисунок 5: Варианты аутентификации

Выбранный вами метод аутентификации применяется только в том случае, если вы ограничите пользователям или группам доступ к правилу web-публикации. Если вы дадите доступ к правилу всем пользователям (All Users), то аутентификация будет игнорирована. Эти методы аутентификации применяются только для аутентификации, выполняемой самим ISA-сервером, а не для аутентификации, которая может требоваться на опубликованном сайте. Однако, настройки делегирования аутентификации на ISA-сервере должны совпадать с поддерживаемыми протоколами аутентификации на опубликованном web-сайте.

Все методы аутентификации, за исключением RADIUS, требуют, чтобы ISA-сервер был членом домена. Это не такая большая проблема, если только вы не используете схему с двумя серверами, при которой внешним брандмауэром является ISA-сервер (внутренним брандмауэром может быть любой, включая и ISA-сервер). Если ISA-сервер является внешним, и вы хотите аутентифицировать пользователей на внешнем сервере, тогда я рекомендую использовать только аутентификацию RADIUS. Если ISA-сервер является внутренним, я всегда рекомендую сделать его членом домена, и, таким образом, получить все преимущества безопасности, связанные с членством в домене.

Если вы используете сервер ISA 2006, я рекомендую избегать в большинстве случаев использования RADIUS и использовать LDAP-аутентификацию, если ISA-сервер не является членом домена.

Отметьте опцию Require all users to authenticate (Требовать аутентификацию всех пользователей), если вы хотите использовать аутентификацию для всех правил, использующих этот web-приемник.

При использовании аутентификации RADIUS нажмите RADIUS Servers (Серверы RADIUS) и выберите или добавьте сервер RADIUS.

При использовании базовой аутентификации нажмите Select Domain (Выбрать домен) для установки домена по умолчанию.

Для настройки параметров cookie для OWA-соединений нажмите Configure (Настроить) справа от пункта Configure OWA forms-based authentication (Настроить аутентификацию с помощью форм OWA). Далее мы обсудим эту настройку подробнее.

Нажмите OK для закрытия окна Authentication (Аутентификация). В диалоговом окне HTTP Listener Properties (Свойства HTTP-приемника) нажмите Advanced (Дополнительно). Откроется диалоговое окно Advanced Settings (Дополнительные установки), где вы указываете количество соединений (Number of connections), которое будет поддерживать приемник, и время отключения при отсутствии соединения. Нажмите OK для закрытия окна Advanced Settings (Дополнительные установки).

Рисунок 6: Дополнительные установки

Нажмите OK для закрытия окна HTTP Listener Properties (Свойства приемника HTTP Listener) и нажмите Next (Далее) на странице Select Web Listener (Выбор web-приемника).

Резюме

В этой части статьи о публикации сайтов без использования SSL я рассказал о настройке web-приемника. Настройка web-приемника – это важная задача при создании любого правила web-публикации, и чтобы правило работало верно, нужно все сделать без ошибок. В следующей части мы закончим работу с мастером правил web-публикации и проверим свойства нашего правила. Увидимся!

www.isaserver.org

• Vpn сервер Windows 2008
• Развертывание vpn без домена
• Посмотреть фрагментацию таблиц ms sql
• Установить сертификат на компьютер
• Локальная группа размеры

Tags: domain, ISA Server, ldap, nat, vpn