Раздел: Документация

0 ... 119 120 121 122 123 124 125 ... 131

Запрос выполнен с использованием кэша, о чем говорит значение Cache в поле s-objeet-юкгсе.

3.Когда (в какое время) удаленный узел сбросил подключение? Совет: по таблице 9-5 определите код результата, соответствующего этому событию. Затем найдите в журнале запись с таким кодом и потопите время события.

В 02:34:47. Это момент, когда служба Web-прокси перешла в состояние (поле sc-status) с кодом 10054.

4.Найден ли запрошенный в 02:31:45 объект в кэше? Был ли он изменен? Из какого источника в конечном счете объект возвращен клиенту? Со не i найдите в журнале запись о событии произошедшем в указанное время. По габлипе 9-2 определите имя поля, в котором регистрируется кед результата. Затем сравните значение соответствующего поля журнала со значениям и, приведенными в таблице 9-5.

Объект расположен в кэше, но он изменился. Запрос перенаправлен, и объект получен из Интернета. Такой вывод сделан на основании того, что значение поля s-nbjeel-source равно

5.Какая операция выполнена в 04:5*: 14? Удалось ли обратиться к адресату? Совет: найдите в журнале запись о событии, произошедшем в указанное время. По таблице 9-2 определите имя поля, в котором ссдержится информация о выполненной операции, и найдите соответствующее поле в данной записи. Затем определите результат операции, используя значения из9-5.

Выполнена операция POST, но адресат не найден, потому что значение поля s-operation равно POST, а поля sc-status - 404.

Закрепление материала

1.Какие четыре типа ответныхлепетш!!! выполняются в ответ на оповещение. Какие из них настроены и выполняются по умолчанию?

Существует четыре ответных действия для оповещения: отправка сообщения по электронной почте, запуск определенной программы, регистрация события в журнале событий Windows (Windows Event Log), остановка или запуск любой службы ISA-сервера, По умолчанию оповещения сконфигурированы длясобытия в журнале событий Windows 2000.

2.Какое имя получит файл журнала брандмауэра, созданный в формате ISA-сервера 23 октября 2002 года?

Имя файла журнала - FWSD20021023.

3.Какие права необходимы пользователю, чтобы конфигурировать задания для создания

отчета?

Пользователь должен обладать привилегиями локального администратора и правом запуска на всехмассива.

4.Опишите недостаток назначения подключению приоритета пропускной способности, отличного от приоритета по умолчанию?

Для обслуживания новых приоритетов пропускной способности требуется больше вычислительных мощностей, чем для прнормзетов по умолчанию.

5.Каковы преимущества применения консоли ISA-сервер Performance Monitor для просмотра показаний счетчиков

Оснастка ISA Server Performance Monitor позволяет наблюдать за данными только ISA-сервера — отдельно от других системных данных. Она содержит 21 счетчик производительности ISA-сервера, предустановленный в системный монитор, средство наблюдения в реальном масштабе времени.

---

Вещтл347

Глава 10

Занятие Практикум

5. Сколько активных подключений указано для внешнего интерфейса ISA-сервера в колонке Local Address? Посмотрите на внешние адреса подключений: действительно ли они внешние, или лишь представляют другой порт локального адреса? Какие порты этих внешних адресов используются для отправки информации на локальные адреса ISA-сервера.

Ответы определяются конкретной системой и ее состоянием.

8.Взгляните в коней списка вывода, Сколько дополнительных активных подключений (по сравнению с данными, полученными в результате выполнения пункта 5) появилось на внешнем интерфейсе ISA-сервера в колонке Local Address? Есть ли новые активные порты на внешних адресах? После просмотра данных скажите, какой внешний порт используется для отправки Wfeb-данных на локальный внешний IP-адрес?

Для пересылки Web-данных па локальный компьютер применяется порт 80.

9.На какие локальные порты внешнего интерфейса ISA-сервера отправляются УАЬ-дан-ньге? Эти динамические порты обычно изменяются от подключения к подключению. Укажите номера этих портов.

Ответы определяются конкретной системой и ее состоянием. На внешнем интерфейсе обычно активно несколькопортов.

Закрепление материала

1.ISA-сервер установлен в сети периметра (DMZ). Адресное пространство в защищенной ISA-сервером сети состоит из подсети 192.168.0.0/24. а сеть периметра перед ISA-сервером сконфигурирована какподсеть 192.168.1.0/24. Внутренний адрес ISA-сервера- 192.168.0.1,авнешний— 192.16 8.1.99. Адрес внешнего шлюза- 192.168.1.1. Ни с одного из клиентских компьютеров, расположенных за ISA-сервером, нет доступа в Интернет, При выполнении команды Route print на ISA-сервере получена информация, показанная на рис. 10-5. Еде допущена ошибка в таблице маршрутизации? Как исправить неполадку скоманды Route.

Проблема с таблицей маршрутизации в том, что в ней не определен маршрут по умолчанию, указывающий на внешний шлюз. Чтобы устранить неполадку, выполните в командной строке следующую команду:

route addmask 0.0.0.0 192.168.1/1

2.После перезагрузки сервера, описанного в вопросе неполадка осталась. Как избежать изменений в таблице маршрутизации после каждой перезагрузки?

Вы можете устранить неполадку, добавив постоянный маршрут. Для этого нужно либо добавить статический маршрут в оснастке Routing and Remote Access (Маршрутизация и удаленный доступ), либо воспользоваться ключом -р в утилите Route следующим образом:

route add 0,0.0.0 mask 0.0.0.0 192.168.1.1

3.Какая утилита применяется для выявления атаки синхронизации < SYN )? Опишите характерный признак такой атаки?

Для обнаружения атаки синхронизации (SYN) иногда применяют утилиту Netstat. Такие атаки характеризуются потоком полуоткрытых подключений, исходящих из ложного (spoofed) адреса-источника, причем номера портов в них последовательны.

---

4.Зачем применяют утилиту Telnet гри проверке конкретных TCP- или UDP-моргов? Успешное подключение Telnet к определенным портам TCP или UDP означает, что работающие на этих портах службы принимают команды от внешних пользователей. Это может быть как нормальным состоянием (например при публикации службы), так и епнествен-нойвкогда некоторые потенциально уязвимые службы оставлены откры-зымн. чем может вое ноль к>вй1 ься злоумышленник.

5.Вы запустили мастер VPN Configuniior и в качестве протокола аутентификации указали L2TP. Сколько фильтров пакетов должен создать мастер? Какие порты статически откроют эти фильтры?

Создаются два фильтра IP-пакетов, которые разрешают трафик протокола L2TP на портах 500 и 1701.

Приложение Б Вопросы

Что следует предпринять, чтобы успешно обновить серверы Proxy Server до ров в действующей сетевой среде?

Удалите два сервера Proxy Server 2.0 из массива, после чего обновите операционную систему до Windows 2000 Server с пакетом обновлений Service Pack I. Мастер установки Windows 2000 предупредит вас, что Proxy Server 2.0 не совместим с новой ОС, но продолжит обновление. По завершении установки Windows 2000 Server обновите схему Active Directory в домене, выполнив процедуру инициализации предприятии. Установите ISA-сервер на первом компьютере и создайте политики предприятия и массива. Установите ISA-сервер на другом компьютере,его к новому массиву. Мастер установки уда-

лит кэш Proxy Server 2.0 и создаст новый кэш для ISA-сервера. Параметры конфигурации сервера Proxy Server переносятся впричем порядок переноса определяется

конфигурацией политики предприятия. Подробнее о порядке переноса правил Proxy Server 2.0 на ISA-сервер прн обновлении - в разделе «Microsoit Ртоху Server 2.0 array considerations* справочной системы ISA-сервера. 2. После перехода на ISA-серверы сервер Exchange Server в Сиэтле утратил способность поддерживать обмен электронной почтой через Интернет. Что следует сделать для устранения неполадки?

Для публикации сервера Exchange в среде Proxy Server 2.0 необходимо наличие на сервере Winsock-клиента, особая конфигурация которого указана в файле WspCltit.itii. ISA-сервер этуне поддерживает.

На компьютере сервера Exchange переименовывают или удаляют WspClm.mi и конфигурируют его как клиент SecureNAT, определяя в качестве основного шдкна внутреннего сетевого адаптера IP-адрее внутреннего сетевого адаптера ISA-сервера. Проверите настройку шлюза и других параметров сетевого я дат ера, выполнив команду ipconfig/all. He устанавливайте на сервере Exchange клиент брандмауэра. Почтовый сервер следует опубликовать на ISA-сервере, чтобы SMTP-трафик пересылался на сервер Exchange. Запустите Мастер Secure Mail Server, который поможет вам опубликовать протоколы SMTP и РОРЗ и порты удаленного вызова процедур (RPC) сервера Exchange. Публикация протокола SMTP позволит серверу Exchange Server получать почту из Интернета, а протоколы РОРЗ и RPC обеспечат внешним клиентам доступ к серверу Exchange для получения почты.

Вы вправе не прибегать к услугами вручную создать серверноепублика-

ции для определения протокола SMTP, а также другие необходимые правила. Сервер Exchange создает собственные исходящие подключения независимо от любых опубликованных (входящих) сессий и нодключе.шй протокола TCP/IP. Поэтому вы должны со-

0 ... 119 120 121 122 123 124 125 ... 131