Раздел: Документация

0 ... 38 39 40 41 42 43 44 ... 131

Занятие 1 Создание политик доступа на ISA-сервере

Одна из основных функций ISA-сервера подключение локальной сети к Интернету и зашита от опасных данных, поступающих из внешних источников. Чтобы настроить безопасное подключение к Интернету в соответствии с потребностями конкретной сети, на ISA-сервере определяют политику доступа, разрешающую внутренним клиентам доступ лишь к определенным узлам Интернета. Такая политика совместно с правилами маршрутизации определяет порядок взаимодействия работы клиентов в Интернете.

Изучив материал этого занятия, вы сможете:

рассказать о том, как ISA-сервер обрабатывает исходящие запросы; рассказать о принципах обработки ISA-сервером запросов, прошедших аутентификацию клиентов брандмауэра и Web-прокси; ✓ определять уровень системной безопасности ISA-сервера.

Продолжительность занятия — около 30 минут.

Управление исходящими запросами

Обрабатывая исходя щи й запрос и определяя возможность доступа, ISA-сервер руководствуется правилами маршрутизации, правилами узлов и содержимого и правилами прото-ко.юн. Пересылка запроса разрешается только при наличии правила протоколов и правила узлов и содержимого, разрешающих запрос, и отсутствии правил, запрещающих прохождение такого запроса. После установки ISA-сервера в режиме брандмауэра или смешанном режиме активизируется определенное по умолчанию правило узлов и содержимого, разрешающее доступ ко всем узлам и типам содержимого. Однако никаких правил протоколов при установке ISA-сервера не создается.

Правила протоколов и правила узлов и содержимого регулируют доступ к содержимому и применяются к целым подмножествам адресов клиентов, определяемых по их IP-адресам I ю есть диапазонам IP-адресов), или к конкретным пользователям или их группам. Порядок обработки запросов ISA-сервером определяется типом клиентов (клиенты SecureNAT, брандмауэра или Web-прокси) и конфигурацией самого сервера.

При обработке исходящих запросов правила и фильтры пакетов применяются в следу-последовательности:

правила протоколов;

2.правила узлов и содержимого;

3.фильтры IP-пакетов;

4.правила маршрутизации или конфигурация цепочки (иерархии) брандмауэров.

Порядок обработки исходящего Web-запроса показан на рис. 4-1.

Прежде всего ISA-сервер проверяет правила протоколов. Он пропускает запрос только при наличии правила протоколов,прохождение запроса, и при отсутствии

правил протоколов,его.

После проверки правил протоколов ISA-сервер обращается к правилам узлов и содержимого. Запрос пропускается только при наличии правила узлов и содержимого, разрешающего данный запрос, и при отсутствии правил узлов и содержимого,его.

---

Запрос от

внутреннего

клиента

Да

Нет!

Есть ли правило протоколов, запрещающее пересылку данного запроса? Нет

Естьли правило протоколов, разрешающее пересылку данного запроса? Да

Есть ли правило узлов и содержимого, запрещающее пересылку данного запроса? Нет

Отклонить запрос

Есть ли правило узлов и содержимого, разрешающее пересылку данного запроса?

ДаI

Есть ли фильтр IP-пакетов, блокирующий данный запрос?

Да

Присутствует ли указанный в запросе адресат в каком-либо правиле маршрутизации?

Нет

Не травлен ли маршрут напрямую в Интернет?

Получить объект

Выполнить маршрутизацию на вышестоящий сервер

Рис. 4-1. Порядок обработки запроса на доступ к объекту

После проверки правил узлов и содержимого ISA-cepnep определяет, есть ли фильтр IP-пакетов, который блокирует данный запрос. Обратите внимание, что, в отличие от правил протоколов и правил узлов и содержимого, наличие фильтров IP-пакетов, разрешающих клиентский запрос, не требуется.

Внимание! При доступе в Интернет доведение ISA-сервера существенно отличается от поведения клиентов. Для разрешения полноценного доступа самого ISA-сервера необходимы фильтры IP-пакетов. В отличие от клиентов, чтобы получить доступ в Интернет с компьютера ISA-сервера, одной настройки разрешающих правил протоколов и правил узлов и содержимого недостаточно. Однако, поскольку фильтры IP-пакетов статические, а не динамические, как правила, обычно не предполагается использовать компьютер, на котором установлен ISA-сервер, для доступа в Интернет. Поэтому в книге рассказано лишь об обеспечении безопасного доступа в Интернет клиентов (а не самого) ISA-сервера. (Настройка фильтров IP-пакетов подробно рассматривается в занятии 5 этой главы.)

И, наконец, ISA-сервер проверяет правила маршрутизации (если объект запрашивается клиентом Web-прокси) или конфигурацию иерархии брандмауэров (если объект запрашивается клиентом SecureNATiura брандмауэра), чтобы определить порядок обслужива-ния запроса.

Допустим, ISA-сервер установлен в смешанном режиме или в режиме брандмауэра на компьютере с двумя сетевымиодна из которых подключена к Интернету, а дру-

---

гая — к локальной сети. Корпоративные правила разрешают доступ всем пользователям ко всем узлам. В этом случае в политике достаточно предусмотреть лишь два правила доступа:

•правило протоколов, разрешающее всем внутренним пользователям приме нем не любых протоколов в любое время;

•правило узлов и содержимого, разрешаюн.iee всем пользователям доступ к содержимому всех узлов в любое время. Обратите внимание, что это правило разрешает доступ внутренних клиентов в Интернет, но не внешних — к локальной сети.

Настройка политики доступа

Политики доступа ISA-сервера состоят из правил узлов и содержимого, правил протоколов и фильтров IP-пакетов. На изолированных серверах создаются изолированные золи-тики доступа. В массивах создают и применяют политику доступа уровня массива, тику доступа уровня предприятия или сочетание этих двух политик.

Правила политики доступа применяются к клиентам всех типов: к клиентам брандмауэра,и

Правила и аутентификация

Правила протоколов и правила узлов и содержимого разрешают иликонкрет-

ным пользователям доступ к определенным администратором протоколам, узлам Интернета или содержимому. Когда правила настроены и приведены в действие, прежде чем пропустить клиентский запрос через брандмауэр, ISA-сервер выполняет его аутентификацию. Эта процедура различна для клиентов SecureNAT, брандмауэра и Web-прокси.

Примечание В отличие от правил политики, применяемых к определенным пользователям и группам, правила,на клиентские компьютеры, применяются ко всем клиентам SecureNAT, брандмауэра и Web-прокси. Правила, применяемые к клиентским компьютерам, настраиваются для подмножеств адресов клиентов (диапазонов IP-адресов), а не имен компьютеров. Так как все типы клиентов сообщают ISA-серверу IP-адрес клиентского компьютера, они автоматически предоставляют информацию, необходимую для применения подобных правил.

Клиенты SecureNAT и аутентификация

Запросы клиентов SecureNAT — это все не связанные с Web запросы в Интернет, поступающие с компьютеров, на которых не установлен клиент брандмауэра. Например, почтовые запросы и запросы новостей считаются сеансами SecureNAT, если на соответствующих клиентских компьютерах нет активного клиента брандмауэра.

Выполняя запрос, клиенты SecureNAT не сообщают ISA-серверу имя пользователя или компьютера, Поэтому при наличии правила политики доступа, предусматривающего аутентификацию, ISA-сервер отвергает все запросы по SecureNAT.

Допустим, политика доступа состоит из правил протоколов и правил узлов и содержимого,доступ в любое время ко всем узлам по всем протоколам членам группы Domain Users (Пользователи домена). В этом случае все почтовые запросы пользователя John, выполненные с клиента SecureNAT, блокируются, даже если он является членом группы Domain Users. Причина в том, что клиенты SecureNAT не поддерживают аутентификацию, которую требуют правила политики доступа. Чтобы получить доступ в Интернет по протоколам, отличным от протоколов Web, пользователю John следует установить на своем компьютере клиент брандмауэра.

5-2186

0 ... 38 39 40 41 42 43 44 ... 131