Раздел: Документация
0 ... 117 118 119 120 121 122 123 ... 131 Глава 3 - Закрепление материала 1.Вы устанавливаете ISA-сервер и настраиваете его службы брандмауэра и Web-кэширования в двух филиалах компании. Требуется изучить потребности пользователей и дать рекомендации по настройке клиентских компьютеров. В каждом из филиалов работает по 20 сотрудников, кроме того, 1 штате предусмотрены 10 специалистов по обслуживанию , которые курсируют между филиалами и подключают свои портативные компьютеры к любому доступному порту Ethernet. Расположение офисных компьютеров в филиалах более или менее постоянное, и нет необходимости определять для них особые правила доступа. Требуется добиться максимальной эффективности установки и последующего сопровождения ISA-сервера. Какие компьютеры вы порекомендуете сконфигурировать как клиенты брандмауэра (если таковые вообще нужны), а какие — как клиенты SecureNAT? Так как офисные компьютеры усганов.хены стационарно, а правила доступа ншн конфигурируются для машины, а не для конкретных пользовательских учетных записей, такие компьютеры следует настроить как клиенты SecureNAT — таким образом максимально упростится установка и обслуживание. С другой стороны, портативные компьютеры следует конфигурировать как клиенты брандмауэра, тогда на них будет работать функция автоматического обнаружения сервера — ее поддерживают лишь клиенты брандмауэра. 2.Чем отличаются файлы Mspclni.ini и Vvspctjjj.ini на компьютерах — клиентах брандмауэра? Оба файла содержат параметры конфигурации клиентов Winsock, однако при обработке запросов Wiiisoc клиент Гфамдчаузр; отдает приоритет файлу VVsjidg.iiii. Файл W4pcfg.ini, хранящийся в папке соответствующею Winsock-приложения, содержит параметры конфигурации конкретного клиента. Если файл Wspcfg.ini найти не удается, или если в нем нет никаких параметров, клиент брандмауэра пытается найти сведения о конфигурации в файле Mspclnt.ini, который расположен в установочной папке клиента брандмауэра. В этом файле хранятся стандартные параметры Winsock, не учитывающие особенности того или иного приложения. 3.Какие действия выполняются в процессе обслуживания запроса клиента при активном механизме автоматического Сначала клиент обращается к серверу DNS (Domain Name System) или DHCP (Dynamic Host Configuration Protocol), где долина храниться запись WPAIX указывающая на сервер Web-прокси с поддержкой автоматического обнаружения (Web Proxy Autodiscovery, WPAD), который подскажет местоположение SA-сервера. Далее клиентские запросы выполняются ISA-cepnepoM, как описано в WPAD-записи на сервере DNS или DHCP. 4.Можно ли путем настройки записей подключений ISA-сервера по телефонной линии обеспечить совместное использование клиентами Web-прокси безопасного подключения к Интернету по телефонной линии? Нет. Клиенты Web-прокси могут совместно использовать безопасное подключение по телефонной линии при отсутствии на ISA-сервере записи подключения по телефонной линии. Конфигурирование записи подключения по телефонной линии позволяет клиентам SecureNAT совместно использовать бс зопасное подключение через модем. Ваша организация недавно перешла с выделенного подключения к Интернету на подключение по телефонной линии. При этом вы отключили внешний сетевой адаптер и настроили записьпо телефонной линии наподключение по телефонной линии. Однако когда ISA-сервер дозванивается до провайдера через это подключение, никто из клиентов не в состоянии установить связь с Интернетом. Что вы порекомендуете предпринять в первую очередь для устранения этой неполадки? После каждого включения или отключения сетевого адаптера it до восстановления связи с клиентами ISA-сервера необходимо перезапустить службы брандмауэра и Web-прокси. Глава 4 Закрепление материала 1. В каких из перечисленных далее условиях пользователь John получит доступ в И iгер-нет через ISA-сервер? Предполагается, что существует только разрешающее (Allow) правило узлов и содержимого по умолчанию. •Вы создали правило протоколов, разрешающее доступ любому!Р-графику по любым запросам, а затем — еще одно правило протоколов, запрещающее пользователю John доступ к любому IP-трафику. Свойства исходящих Web-запросов массива по умолчанию не изменялись. Получит ли John доступ в Интернет через Web-браузер с клиента SecureNAT? John получит доступ в Интернет со своего Web-браузера. Так как заданные по умолчанию свойства массива для исходящих Web-запросов не изменились и не требуют идентификации пользователей, а также потому, что не сконфигурировано разрешающее правило, требующее аутентификации, Web-сеанс пользователя John останется анонимным, и запрещающее правило его не затронет. •Вы создали правилсшротколов, разрешающее доступ к любому1Р- графпьл всемччс-нам группы Domain Users (Пользователи домена). John является членом группы Domain Guests (Гости домена), но не входит в группу Domain Users. Свойства исходящих Web-запросов массива умолчанию не изменялись. Получит ли John доступ в Интернет через Web-браузер с клиента SecureNAT? John не получит доступ в Интернет из своего Web-браузера. Создано разрешающее правило протокола для группы Domain Users, которое требует от всех клиентов Web-щшм а проходить аутентификацию. John не является членом этой группы и, следовательно, не получит доступа в Web. • Вы создали правило протоколов, разрешающее доступ любому IP-трафику по любым запросам, а затем — еще одно правило протоколов,доступ к любому трафику членам группы Domain Guests. John входит только в группу Domain Guests. Свойства исходящих Web-запросов массива изменены: требуется идентификация пользователей, не прошедших аутентификацию. Получит ли John доступ в Интернет через Web-браузер с клиента брандмауэра? John не получит доступ в Интернет, так как анонимный доступ заблокирован. Его сеанс должен проходить проверку подлинности службой Web-прокси, и так как он является членом группы Domain Guests, то доступ не получит. •Вы создали правило протоколов, разрешающие доступ к любому IP-трафику членам группы Domain Users. John входит в группу Domain Users. Сможет ли он установить подключение к Интернету по протоколу FTP из командной строки с компьютера, на котором нет ПО клиента брандмауэра? John не получит доступ в Интернет со своеготак как его компьютер не скон- фигурирован как клиент брандмауэра. Только клиентам брандмауэра разрешается нересы- лать на ISA-сервер реквизитызаписи для не связанных с Web запросов. John не сможет пройти аутентификацию, и его запрос отклонят. 2.Какие защитные меры следует предпринять, если обнаружена атака «IP half scan» с определенного сетевого адреса? Рекомендуется создать правило узлов н содержимого или фильтркоторые бло- кируют весь трафик для диапазона IP-адресов, откуда выполняется атака. 3.В каких трех ситуациях для разрешения доступа в Интернет нужно создавать фильтры IP-пакетов вместо правил протоколов и правил узлов и содержимого? Фильтры IP-пакетов следует создавать при публикации серверов, расположенных в сети периметра (DMZ), когда на компьютере ISA-сервера выполняютсяили другие службы, которым необходим доступ в Интернет, а также когда требуется предоставить доступ к протоколам, которые не базируются на протоколах UDP или TCP. 4.Вы создали правило узлов и содержимого, запрещающее доступ к двум адресатам: ftp:// movies.acme.com/clips wftp://radio.acme.сот. Пользователи имеют разрешения на загрузку файлов с РТР-узлов. Смогут ли они загрузить средствами FTP-клиента содержимое с узла ftp://movies.acme.com? Смогvt ли они загрузить содержимое с папки ftp://rc.dio. acme.com/songs? Пользователи получат доступ m.ftp://morivs.acme.cm потому что правило запрещает доступ лишь к подпапке. Однако они получат доступ ftp://radio.aam.com/mn потому что доступ к подпапке неявно запрещен правилом, запрещающим доступ 5.Вы хотите запретить группе пользователей Windows 2000 загрузку любых аудиоданных с 10 до 16 часов по будним дням. Сколько потребуется создать элементов политики? Достаточно создать один элемент политики — расписание для периода времени между 10 и 16 часами. Звуковое информационное наполнение является предопределенным элементом групповой политики содержания, а пользователи и группы Windows 2000 конфигурируются в домене, а не на ISA-сервере. После создания расписания достаточно сформировать правило узлов и содержимого, котороедоступ группы к аудиоданным с любых адресатов в течение заданного периода Глава 5 Закрепление материала Клиент Web-p.poKcsi запрашивает Vfeb-обект, и ISA-сервер ищет копию этого объекта в своем кэше и обнаруживает, что копия просрочена. Согласно правилу маршрутизации, ISA-сервер обращается за объектом к узлу в Интернете, который оказывается недоступным. Каковы дальнейшие действия ISA-сервера? выясняет, разрешает ли конфигурацияиз кэша просроченные пии объектов. Этот параметр определяется на вкладке Advanced диалогового окна страницы свойств Cache Configuration Properties. Если выбран переключатель Return the expired object only expiration was, копия <»u кга из кэша возвращается лишь при условии, что не истекло ее время жизни. 2. Как ISA-сервер определяет, нужно ли кэшировать полученный из оригинального источника Web-объск? Определяя, следует ли кэшировать ооьект. ISA-сервер проверяет параметры на странице свойств механизма кэширования Cache Configuration Properties. Например, выясняет, не превышает ли размер объекта максимальный разрешенный на вкладке Advanced, а также, если адрес объекта содержит вопросительный знак (?), выясняет, включено ли кэширование динамического содержания. Если объект нарушает никаких ограничений, а также если правила маршрутизации настроены для кэширования ответов, ISA-сервер размешает копию объекта в кэше и возвращает объект пользователю. 0 ... 117 118 119 120 121 122 123 ... 131
|
