Раздел: Документация

0 ... 50 51 52 53 54 55 56 ... 131

Занятие 5. Настройка фильтров IP-пакетов

Фильтры IP-пакетов разрешают или блокируют прохождение пакетов через определенные порты. В простых сетях для обеспечения безопасного доступа клиентских компьютеров в Интернет не обязательно создавать фильтры IP-пакетов, в более сложных средах они нужны для разрешения или блокировки прохождения определенного трафика с внешнего сетевого интерфейса сервера на внутренний интерфейс.

Изучив материал этого занятия, вы сможете:

v описать но крайней мере три ситуации, когда необходимы фильтры IP-пакетов; ✓ создавать и настраивать фильтры IP-пакетов;

рассказать, какие параметры фильтрации пакетов следует определять.

Продолжительность занятия — около 45 минут.

Условия, когда необходимо применять фильтры IP-пакетов

Фильтры IP-пакетов открывают и закрывают порты статически, то есть порт остается открытым или закрытым в течение всего периода действия фильтра. Однако в большинстве случаев предпочтительно открывать и закрывать порты динамически, по мере необходимости. Динамическое открытие портов конфигурируется при помощи правил протоколов и правил узлов и содержимого. Поэтому правила политики доступа рекомендуется применять для разрешения внутренним клиентам доступа в Интернет, а правила публикации — для разрешения внешним клиентам доступа к внутренним серверам. Предположим, требуется разрешить всем внутренним мользова гелям доступ к узлам по протоколу HTTP. В этом случае следует создавать не фильтр IP-пакетов, открывающий порт 80, а разрешающие такой доступ правила — узлов и содержимого, а также протоколов.

Однако в некоторых ситуациях без использования фильтров IP-пакетов не обойтись. Далее перечислены случаи, когда применение фильтров IP-пакетов обязательно:

•публикация серверов, расположенных в сети периметра (perimeter network), также называемой демилитаризованной зоной (demilitarized zone, DMZ) или экранированной подсетью (screened subnet);

•наличие приложений или других служб ISA-сервера, которым требуется доступ в Интернет;

•обеспечение доступа по протоколам, не основанным на1: f Л или TCP.

Создание фильтров IP-пакетов

Фильтры перехватывают пакеты, адресованные определенным компьютерам корпоративной сети, и пропускают или блокируют их. Таким образом, возможны два типа статических фильтров IP-пакетов: разрешающие (allow filter) и блокирующие (block filter).

Разрешающие фильтры работают по принципу исключения — блокируются все типы пакетов, за исключением указанных. Если для порта не определен активный фильтр пакетов, службе не удастся прослушивать такой порт, пока тот не откроется динамически. Блокирующие фильтры закрывают указанные в них порты. Блокирующие фильтры создают для более точного определения трафика, которому разрешено проходить через ISA-сервер.

Разрешающие и блокирующие фильтры обычно применяются совместно. Например, создается фильтр, разрешающий трафик TCP по порту 25 между внутренними и внешними узлами (рис. J - J 2), то есть передачу данных по протоколу SMTP. А затем доступ огра-

---

138

Конфигурирование веэопасног > доступа в Интернет

Глава 4

ничивается блокирующим фильтром, запрещающим определенному диапазону внешних IP-адресов (потенциальным злоумышленникам) отправлять на ISA-сервер TCP-пакеты на порт

: Packet >: \
Fritoi Settings Speefethe protocol used, communication direction, and olta fdter-spedlic inlormation
S»toe« te№(n kjt Фк IP pad t> fllti IPtKfltorti
JTCP »J i>4. to	1
Both »J
kscalpDffi Painph«
iJD.inamic [10»5000! "J
JFrxedporl J>J 25
	**>

Рис. 4-12. Создание фильтра IP-пакетов, разрешающего передачу данных по протоколу SMTP

При создании фильтров IP-пакетов указываются следующие параметры:

•серверы — серверы, с которыми запрещен или разрешен обмен данными;

•протокол, порт, направление — фильтр разрешает или блокирует трафик через конкретный порт и протокол в определенном направлении;

•локальный узел — имя компьютера внутренней сети, для которого разрешается или блокируется передача данных. Можно указать рад IP-адресов или один IP-адрес;

•удаленный узел — имя компьютер* в Интернете, которому разрешена или запрещена передача данных.

Примечание Перед созданием фильмов IP-пакетов необходимо включить фильтрацию IP-пакетов. По умолчанию при установке SSA-jepnepa фильтрация IP-пакетов включается автоматически. Это же можно сделать вручную в диалоговом окне IP Packet Filters Properties.

► Создание фильтра IP-пакетов

1.В консоли ISA Management щелкните правой кнопкой мыши узел IP Packet Filters и в контекстном менювыберите пункты New и Filter.

2.В окне мастера New IP Packet Filter введите имя нового фильтра и щелкните кнопку Next.

3.На странице Servers укажите, нужно ли применять фильтр IP-пакетов ко всему массиву ISA-серверов или только к одни а у из серверов.

4.На странице Filter Mode укажите, разрешает или блокирует фильтр прохождение пакетов.

5.На странице Filter TYpe выберите предустановленный фильтр или переместите переключатель в положениечтобы создать новый тип фильтра.

6.В случае выбора Custom на странице Filter Settings укажите IP-протокол (IP protocol), направление (Direction), локальный (Local port) и удаленный (Remote port) порты фильтра IP-пакетов.

---

7.На станине Local Computer укажите компьютер локальной сети, к которому будет применяться фильтр IP-пакетов.

8.На странице Remote Computers укажите yjuucimьа - компьютеры, к которым будет применяться фильтр IP-пакетов.

Примечание Чтобы внесенные изменения вступили в силу после создания фильтра или изменения конфигурации фильтра IP-пакетов, необходимо перезапустить службы ISA-сервера.

►Настройка протокола для фильтра IP-пакетов

1.Откройте меню Mew и отметьте команду Advanced.

2.В дереве консоли ISA Management щелкните папку IP Packet Filters.

3.В области сведений щелкните правой кнопкой мыши фильтр IP-пакетов, который

требуется изменить, и в контекстном меню выберите команду Properties.

4.Перейдите на вкладку Filter Туре.

5.Выполните одно из следующих действий;

•установите переключатель в положение Predefined и выберите фильтр из списка;

•установите переключатель в положение Custom и в поле со списком IP protocol выберите одно из значений: Any, ICMP, TCP, UDP или Custom protocol.

6.Если выбран переключатель Custom и протокол ICMP, выполните следующие действия:

•в поле со списком Direction укажите одно из значений: Inbound, Outbound или Both;

•в поле со списком Туре выберите одно из значений:ЛН types или Fixed Туре. Если вы

выбрали Fixed type, введите type number в поле Number;

•в поле со списком Code щелкните All Codes или Fixed Code. Если вы указали Fixed Code, введите code number в поле Number.

7.Еслипереключатель Custom и элемент Any, в списке IP Protocol укажите направление: Inbound, Outbound или Both.

8.Если выбран переключатель Custom и протокол UDP, выполните следующие действия:

•в поле со списком Direction щелкните Receive only, Sendonly, Both, Receive send или

Send receive;

•в поле со списком Local Port укажите All ports, Fixedport или Dynamic. Если выбран

Fixed port, укажите номер порта в поле Port number;

•в поле со списком Remote port щелкните All ports или Fixedport. Если выбран Fixed

port, введите порт в поле Port number.

9.Если выбран Custom и протокол TCP, выполните следующие действия:

•в поле со списком Direction щелкните Inbound, Outbound или Both;

•в поле со списком Local port укажите Allports, Fixed port или Dynamic. Если выбран

Fixed port, введите номер порта в поле Port Number;

•в поле со списком Remote Port выберите All Ports или Fixed Port. Если выбран Fixed port, укажите номер порта в поле Port number.

Применение фильтра IP-пакетов к серверу

1.Откройте меню View и отметьте команду Advanced.

2.В дереве консоли ISA Management щелкните узел IP Packet Filters.

3.В области сведений щелкните правой кнопкой мыши фильтр IP-пакетов, который требуется изменить, и в контекстном меню выберите команду Properties.

4.На вкладке General в разделе Servers that use this filter (серверы, использующие этот фильтр) выполните одно из следующих действий:

0 ... 50 51 52 53 54 55 56 ... 131