Раздел: Документация

0 ... 9 10 11 12 13 14 15 ... 131

14

Основныеоб iSA-сегиере

Гяаев 1

ванные определенным службам во in-утренней сети, в том числе Web-проке и, Web-серверу или почтовому SMTP-.триеру.

Фильтры IP-пакетов поддерживают анализ пакетов на основании таких критериев, как тип службы, номер порта, имя компьютера- источника или компьютера-приемника. Фильтры IP-пакетов статические, то есть они применяются к определенным портам и не изменяют своих свойств, постоянно пропуская или блокируя пакеты согласно заданным критериям. Разрешающие фильтры (Allow) беспрепятственно пропускают весь трафик через указанный порт, а запрещающие (Block) - полностью блокируют.

Примечание Даже если фильтрация пакетов отключена, связь между локальной сетью и Интернетом становится возможной только после того, как вы сконфигурируете правила протокола на явное разрешение доступа.

Фильтрация на уровне каналов (протоколов)

Предусмотрена возможность конфигурировать фильтрацию на уровне отдельных протоколов трафика, проходящего через lSA-еернер, настройкой правил политики доступа и правил публикации. Как показано на рис. I -5, эта особенность позволяет контролировать сеансы, а не просто отдельные подключения или пакеты. Сеанс часто охватывает многие подключения — таким образом обеспечивается ряд важных преимуществ для клиентов брандмауэра, работающих под управлением операционных систем семейства Windows.

Сервер

Рис. 1-5. Фильтрация сеансов на несколько подключений

Клиент

jwiifie каналов или сеансов может охватывать

Динамическая фильтрация

lSA-сернер поддерживает динамическую фильтрацию на основании правил политики доступа и правил публикации. Она позволяет автоматически открывать порты только на время связи и закрывать после разрыва подключения, Благодаря такому подходу минимизируется число открытых портов во направлениях и обеспечивается высокий уровень защиты сети.

Фильтрация на уровне каналов обеспечивает встроенную поддержку таких поддерживающих дополнительные подключения протоколов, как FTP и протоколыпередачи мультимедиа. Основное и дополнительные подключения протокола указываются непосредственно в пользовательском без какого-либо дополнительного программирования или применения средств сторонних поставщиков. В процессе настройки вы можете определить номер порта или их диапазон, тип протокола, протокол TCP или а также направление — входящее или исходящее.

---

Фильтрация трафика приложений

Наиболее сложный вариант управления трафиком через брандмауэр — это защита на уровне приложений. Качественные фильтры приложений позволяют анализировать поток данных конкретных приложений и вы полня п. особые, характерные для данного приложения операции, например контроль, экранирование или блокирование, перенаправление или модификацию данных при их проходе через брандмауэр. Как показано на рис. 1-6, этот механизм применяется для защиты от таких угроз, как небезопасные команды SMTP или атаки на внутренние серверы DNS. Во всех средствах сторонних поставщиков, предназначенных для перекрытия доступа к определенному содержанию (экранирование), в том числе для обнаружения вирусов, лексического анализа и классификации Web-узлов, применяются Web-фильтры и фильтры приложения. Таким образом эти дополнительные программные средства расширяют функциональные возможности брандмауэра.

SMTP: Команда VRFY"А

Корпоративный сервер

Рис. 1-6. Фильтрация на уровне приложений

В составе ISA-сервера поставляются различные встроенные фильтры трафика приложений. Фильтры редиректора HTTP управляют пересылкой прямых HTTP-запросов от брандмауэра и клиентов SecureNAT к Web-прокси. Таким образом обеспечивается «прозрачное» кэширование для клиентов, которые не в состоянии перекоифигурнровап ь свой браузер на перенаправление запросов на Web-прокси.

Фильтры доступа по протоколу перехватывают и проверяют данные протокола FTP. Работающая в режиме ядра подсистема передачи данных обеспечивает высокую скорость для разрешенного трафика.

Фильтры SMTP перехватывают и проверяют трафик электронной почты, пересылаемой по протоколу SMTP, таким образом защищая почтовые серверы от атак. Фильтр распознают небезопасные команды и способны проверять сообщения электронной почты на предмет запрещенного содержания или превышения размера и отбрасывать такие сообщения до того, как они достигнут почтового сервера.

Фильтры SOCKS пересылают в службу брандмауэра ISA-сервера запросы от поддерживающих SOCKS 4.3 приложений на клиентских компьютерах без установленного клиента брандмауэра. Доступ приложения клиента SOCKS к Интернету управляется правилами политики доступа. В отличие от Wmsock, SOCKS поддерживает все клиентские

платформы, в том числе Unix, Macintosh и нестандартные вычислительные устройства.

Фильтры RPC обеспечивают сложную фильтрацию вызовов удаленных процедур для определенных интерфейсов, выбор которых определяется администратором.

---

Фильтры Н.323 перенаправляют II.31i-ii;ikcti.i с данными мультимедиа и телеконфе-рениюйизи и управляет вызовами, в том числе позволяют обслуживать вхоздшие запросы и подключаться к определенному привратнику (gatekeeper) H.323. Фильтры потоковых мультимедийных данных поддерживают отраслевые стандарты, в том числе Microsoft Windows Media Technologies и оба потоковых протокола компании RealNetworks - PNA (Progressive Networks Audio) и Real-Time Streaming Protocol (RTSP). Они также предоставляют пользователям возможность разбивать (размножать) онлайновые потоки Windows Media и та\v-м образом экономить полосу пропускания. Фильтры протокола POP и обнаружения атак на DNS распознают и блокируют многие типы атак на внутренние серверы, в том числе переполнение буфера имени узла в DNS, переполнение буфера зонной передачи и буфера почтового протокола POP (Post Office Protocol).

Привратник Gatekeeper H.323 используется совместно с фильтром протокола Н.323 для поддержки исех возможностей связи регистрированных клиентов Н.323 с приложения-совместимыми с привратником Н.323, например NetMeeting Привратник предоставляет зарегистрированным клиентам услуги по маршрутизации вызовов и доступу к каталогу адресатов, а также позволяет по известному псевдониму связаться с ними другим клиентам. Клиенты, зарегистрировавшиеся на Н.323 Gatekeeper, получают возможность использовать его для участия во встречах с применением видео, звука и данных в ЛВС и ГВС, через брандмауэры и Интернет. Настройка привратника Gatekeeper H.323 выполняется средствами консоли ISA Management в узле Н323 Gatekeepers (рис. 1-7).

Carter*

f: iitviMi rcgJTK x <0ГтеЮг HUM CM

Рис. 1-7. Конфигурирование привратников Н.323 Gatekeeper

На ISA-сервере определены около 100 протоколов приложений, кроме того, администраторам предоставлено право определять дополнительные протоколы, задавая номер и тип порта, протокол — TCP или (... )Р — и направление. Поддержка протоколов с добавочными (вторичными) подключениями обеспечивается средствами ПО клиента брандмауэра или фильтра приложений.

0 ... 9 10 11 12 13 14 15 ... 131