Раздел: Документация

0 ... 39 40 41 42 43 44 45 ... 131

Клиенты брандмауэра и аутентификация

Клиенты брандмауэра при запросе сообщают ISA-серверу имя пользователя и компьютера. Поэтому к сеансам клиентов брандмауэра можно применять требующие аутентификацию правила политики доступа, а запросы гаки.ч клиентов, не связанные с Web, не отвергаются так категорически, как это происходит с клиентами iiirJ \ !

Допустим, что политика доступа состоит из правил протоколов и правил узлов и содержимого,доступ в любое время ко всем узлам по любому протоколу членам группы Domain Users. Если пользэватель John выполнит почтовый запрос с компьютера — клиента брандмауэра, запрос пройдет через ISA-сервер только при том единственном условии, что John входит в группу Domain Users. Однако если на сервере есть еще одно правило протоколов, запрещающее доступ пользователю John, ISA-сервер заблокирует такой, не связанный с Web, запрос.

Клиенты Web-прокси и аутентификация

По умолчанию доступ клиентовосуществляется анонимно, но есть два усло-

вия, при которых им требуется предоставлять идентификационную информацию. При выполнении хотя бы одного изусловий правила, определенные для конкретных пользователей или групп, применяютсн к сеансам клиентов Web-прокси:

•стандартные (по умолчанию) свойства ISA-сервера изменены, теперь требуется аутентификация исходящих Web-запросов i по умолчанию проверка подлинности не нужна);

•политика доступа содержитразрешаюшее правило (правило протоколов или правило узлов и содержимого), определенное для конкретных пользователей или групп. Любое разрешающее правило, определенное для конкретных пользователей или групп, требует от клиентов Web-прокси предоставлять свои реквизиты при создании сеанса. Аналогичные запрещающие правила политики доступа не оказывают влияния на клиентов Web-прокси, если только нет разрешающего правила, для которого аутентификация обязательна.

Допустим, что стандартные свойства исходящих Web-запросов не изменялись, а политика доступа состоит из следующих правил:

•правила протоколов, разрешающего доступ всем запросам по всем протоколам в любое время;

•правила протоколов, запрещающего пользователю John доступ по любому протоколу;

•правила узлов и содержимого, разрешающего доступ ко всем адресатам всех запросов

в любое время.

В этом случае Web-запрос пользователя John не заблокируется, так как нет разрешающего правила, которое могло бы потребовать идентификационные реквизиты у клиентов

Web-прокси. Однако если добавить в политику правило протоколов или правило узлов и содержимого, разрешающеедоступ всем членам группы Domain Users, все Web-запросы пользователя John будут блокироваться.

► Включение требования аутентификации при всех Web-запросах

В дереве консоли ISA Management щелкните правой кнопкой мыши нужный массив и в контекстном меню выберите команду Properties. 2. На вкладке Incoming Web Requests (входящие Web-запросы) или Outgoing Web Requests (исходящие Web-запросы) установите флажок Ask unauthenticated users for identification.

Примечание Изменения вступят в силу только после перезагрузки ISA-сервера..

---

Системная безопасность ISA-сервера (блокировка изменений системной конфигурации)

В состав ISA-сервера входит мастер ISA Server Security Configuration, который применяется ли» определения требуемых параметров безопасности системы на всех серверах массива, то есть различного уровня блокировок для предотвращения изменений системной конфигурации (system hardening). Он позволяет выбрать один из трех уровней безопасности системы:

•Dedicated — применяется, когда ISA-сервер используется исключительно в качестве брандмауэра и на нем не работают никакие другие интерактивные приложения;

•Limited Services — применяется, когда ISA-сервер используется как брандмауэр и сервер кэширования. В этом случае можно защити i ь ISA-сервер дополнительным брандмауэром;

•Secure — применяется, когда на компьютере кроме ISA-сервера установлены и другие серверы, например IIS (Internet Information Services), серверы баз данных, серверы SMTP

Чтобы запустить мастер ISA Server Security Configuration, выберите папку Computers в дереве консоли ISA Management, в области сведений щелкните правой кнопкой мыши значок нужного сервера и в контекстном меню выберите команду Secure (рис. 4-2).

arty wd At (Abator. Snk I Щ Пшефои % «ltd ftnays

Jj Mr. -

И AM MHAMlf

„j 5to srvj Content -.i*ti 2j ProtocdPJts

Р PKW fttft"J

h 1 Prtltt Eferw*i iF=.i -Wit . nr/kj .v d~

Рис. 4-2. Запуск мастера ISA Server Security Configuration

- Настройка уровня безопасности системы

В дереве консоли ISA Management шелкните папку Computers.

2.В области сведений шелкните правой кнопкой мыши нужный компьютер и в контекстном меню выберите команду Secure.

3.Последовательно выполняйте инструкции мастера.

Мастер Getting Started

В составе ISA-сервера поставляется мастер Getting Started (рис. 4-3), который позволяет создать политики доступа, отвечающие особенностям вашей сети. Выполнив все инструкции мастера, вы получите настроенное безопасное подключение сети к Интернету через ISA-сервер.

Мастер Getting Started предназначен для:

•настройки параметров политики предприятия (только в массивах);

•создания элементов политики уровня предприятия (только в массивах);

•создания правил протоколов уровня предприятия (только в массивах);

•создания правил узлов и содержимого уровня предприятия (только в массивах);

•создания элементовпопгшки уровня массива;

I

---

•создания правилпротоколоя уровня массива;

•создания правил узлов и содержимого уровня массива;

•установки уровня безопасности системы;

•настройки фильтрации пакетов;

•настройки маршрутизации и построения иерархии брандмауэров;

•создания политики кэширования.

Мастером Getting Started можно иоспользоваться в любой момент после настройки политики доступа,

►Запуск мастера Getting Started

1.В консоли ISA Management откройте меню Viewn отметьте команду Taskpad.

2.В дереве консоли выберите узел Internet Security And Acceleration Server.

3.В области сведений щелкните значок Getting Started Wizard.

4.Последовательно выполняйте инструкции мастера, отображаемые в области сведений.

Sto and Content Rules

: j Pf...t,v.(.lf.i!fr<,

фиЫщ JS»

ЕВ Щ Ро*су Ek№*nt«

configuration

Ш VttTtarrq СогЛг/jFeton Щ- JTErferHton*

tNetworkConftjurstO OntCrWitMeWn Щ $1 НЗгЭШекмреп

Mooted hfwrwit Security andAcc*let.ifi«ifr.Ji)S*f-*r Ldvidjf secure iar, ..;..!:!. l/ton*! rr.i.-i-i,irv

Itai Vtrfj«* ДОС wcuty-xd .-Mlorytor pefcjf based jatjj.. KCotnaiHTi. 4nd m rtwrt of

and

Sitting alerled Wl7«4 - ISA !«.1WA rfti Support on theWeb

HfllaiEASwvTMRelated Ptodocci

WslctMiie J Serve* s at hJ Air ays JEittorpi нв Backup j Мипйошю j iiv

Рис. 4-3. Запуск мастера Getting Started

Резюме

На ISA-сервере создаются политики доступа, состоящие из правил узлов и содержимого, правил протоколов и фильтров IP-пакетов. Клиентские запросы пропускаются только при наличии правила узлов и содержимого и правила протоколов, разрешающих данный тип запросов, и отсутствии правил, запрещающих такие запросы.

Выполняя ми рос, клиенты SecureN.M не сообщаю! ISA-серверу имя пользователя или компьютера, поэтому при наличии правила политики доступа, предусматривающего аутентификацию, ISA-сервер отвергает все подобные запросы. Клиенты брандмауэра предоставляют информацию для идентификации пользователя; на порядок обработки поступающих от них исходящих запросовчленство в группах и права пользователей. При запросе содержимого клиентами Web-прокси информация для аутентификации передается на ISA-сервер только в том случае, когда ISA-сервер требует от пользователей предоставлять идентификационныеили если существует разрешающее правило политики, требующее выполнять аутентификацию.

Для повышения безопасности системы в состав ISA-сервера входит мастер ISA Server Security Configuration, который позволяет установить на всех серверах массива нужные параметры безопасности системы. Kpovje того, для облегчения настройки безопасности и политики доступа применяют мастер Getting Started, который позволяет создавать политики доступа для конкретной сети.

tt

0 ... 39 40 41 42 43 44 45 ... 131