Раздел: Документация

0 ... 51 52 53 54 55 56 57 ... 131

•установите переключатель в положение All servers in the array (нее серверы массива);

•установите переключатель в положение Only this server (только этот сервер) и затем выберите сервер, к которому будет применяться фильтр.

►Настройка фильтра IP-пакетов для локального компьютера.

1.Откройте меню View и отметьте команду Advanced.

2.В дереве консоли ISA Management щелкните узел IP Packet Filters.

3.В области сведений щелкните фильтр IP-пакетов, который требуется изменить, правой кнопкой мыши и в контекстном меню выберите команду Properties.

4.На вкладке Local Computer выполните следующие действия:

•чтобы указать, что фильтр IP-пакетов применяется к IP-адресу по умолчанию каждого из iHieimiii.x интерфейсов локального ISA-сервера, установите переключатель в положение Default IP addresses) on the external interface(s);

•чтобы указать, что фильтр Р-пакетоь применяется к определенному IP-адресу локального ISA-сервера, установите переключатель в положение This ISA servers

external IP address;

•чтобы выбрать определенный компьютер в сети периметра, установите переключатель в положение This computer (on the perimeter network) и введите IP-адрес, не принадлежащий ISA-серверу;

•чтобы выбрать ряд IP-адресов в сети периметра, установите переключатель в положение These computers (on the perimeter network) и в полях Subnet и Mask укажите соответствующую

>Настройка фильтра IP-пакетов для удаленного компьютера

1.Откройте меню View и отметьте команду Advanced.

2.В дереве консоли ISA Management делкните узел IP Packet Filters.

3.В области сведений щелкните правой кнопкой мыши фильтр IP-пакетов, который требуется изменить, и в контекстном меню выберите команду Properties.

4.На вкладке Remote Computer укажите компьютер, к которому применяется фильтр IP-пакетов, выполнив одно из следующих действий:

•если фильтр применяется ко«с">* внешним компьютерам, установите переключатель в положение All remote com jitters:

•если фильтр применяется коднему компьютеру, установите переключатель в положение This remote computer и у калин с IP-адрес внешнего компьютера, к которому применяется фильтр;

•если фильтр применяется к ряду компьютеров, щелкните переключатель This range of computers и введите соответствующую информацию в полях Subnet и Mask.

Настройка параметров фильтров пакетов

Вы можете настроить параметры фильтрации пакетов. Щелкните правой кнопкой мыши папку IP Packet Filters в консоли ISA Management, выберите в контекстном меню команду Properties и перейдите на вкладку Packet Filters (рис. 4-13), чтобы настроить следующие параметры:

фильтрацию IP-фрагментов;

•фильтрацию параметров протокола IP;

•ведение журнала пакетов дляразрешаюших фильтров.

---

ГР г,iilii-:=j Properties

Uta fee оде to nofftgui* рк1е( See рюрвйк.

Г Enable rlltnrflot IP Jiegmcnti Г" Ertabto tieira IP sptiore I Lofl P**e>t (iO«t. Alow Idere

Ok { Сд»

Рис. 4-13. Вкладка Packet Filters диалогового окна свойств Packet Filters

Фильтрация IP-фрагментов

При включении флажка Enable filtering of IP fragments служба Шф-ЛЩв и служба брандмауэра выполняют фильтрацию IP-фрагментов. При включенной фильтрации IP-фрагментов все фрагментированные IP-пакеты блокируются. Известно, что некоторые виды атак со стороны злоумышленников основаны на том, что отправленные в сеть фрагментированные пакеты собираются и причиняют вред системе.

Не включайте фильтрацию IP-фрагментов, если нужно, чтобы через ISA-сервер проходили потоки аудио- или видеоданных.

► Включение филы ранни IP-фрагментов

1.В дереве консоли ISA Management шелкните правой кнопкой мыши узел IP Packet Filters и в контекстном меню выберите команду Properties.

2.На вкладке General установите флажок Enable packet filtering, если он еше не включен.

3.На вкладке Packet Filters установите флажок Enable filtering of IP fragments.

Фильтрация параметров протокола IP

При включении фильтрации параметров протокола IPблокирует все пакеты,

содержащие слова «IP options» в заголовке.

* Включение фильтрации параметров протокола IP

1.В дереве консоли ISA Management щелкните правой кнопкой мыши узел IP Packet Filters

и в контекстном меню выберите Properties.

2.На вкладке General установите флажок Enable packet filtering, если он еще не включен.

3.На вкладке Packet Filters включите флажок Enable filtering IP options. Ведение журналов пакетов

Все пакеты, проходящие через ISA-сервер, можно регистрировать в журнале фильтра пакетов. Порядок и принципыописаны далее:

• по умолчанию после установки ISA-сервера все заблокированные пакеты учитываются в журнале фильтра пакетов. Если отключить фильтрацию пакетов, то прекращается и ведение журнала;

---

• можно отключить ведение журнала пакетов, не пропущенных всеми блокирующими фильтрами IP-пакетов, выполни» соответствующую настройку в диалоговом окне свойств этого фильтра IP-пакетов:

иногданастраивают для ведения журнала всех пропущенных и заблокиро-

ванных пакетов. Если включеножурнала разрешенных пакетов, в журнале

учитываются все пакеты, поступающие на ISA-сервер.

Ведение журнала разрешенных и заблокированных пакетовнагружает

сервер.

► Включение учета разрешенных пакетов

1.В дереве консоли ISA Management щелкните правой кнопкой мыши узел IP Packet Filters и в контекстном менюProperties.

2.На вкладке Packet Filters установите флажок Log packets from Allow* filters.

Практикум. Запуск служб Интернета на ISA-сервере

I * Если ISA-сервер должен обслуживать доступ к почте, новостям и Web, нужно со-i-U. здать пять фильтров IP-пакетов, разрешающих доступ к портам, используемым службами РОРЗ (входящая почта), SMTP (исходящая почта), NNTP (новости), DNS (запросы к Web) и HTTP (содержимое Web). Вообще, рекомендуется избегать статического открытия портов путем создания фильтров IP-пакетов на брандмауэре. Чтобы снизить риск,открытием портов, создают блокирующие фильтры, запрещающие доступ ко всем IP-адресам, за исключением тех, к которым требуется доступ (например за исключением адресов серверов РОРЗ, SMTP и NNTP). Кроме того, имеется возможность вручную включать и выключать фильтры IP-пакетов, чтобы при необходимости ограничивать использование открытых портов. Не забывайте перезапускать службы ISA-сервера после включения или выключения фильтров IP-пакетов.

Дальнейшие пять заданий следует выполнять на компьютере Server 1.

Еслиподключен к Интернету по выделенной линии через сете-

вой адаптер (а не по телефонной линии через модем), не нужно создавать фильтры IP-

пакетов для обеспечения доступа ISA-сервера к Web. Необходимо только настроить Web-браузер на использование IP-адреса внутреннего сетевого адаптера сервера в качестве адреса прокси-сервера. Для использования отличных от служб Интернета, таких как почта и новости, по-прежнему потребуется создать фильтры IP-пакетов.

Задание Создание фильтра IP-пакетов для входящей почты (РОРЗ)

Сейчас вы создадите фильтр пакетов, р; зреиьиоппнИ прохождение TCP-трафика через порт ПО, что позволит ISA-серверу принимать почту по протоколу РОРЗ.

► Создание фильтра IP-пакетов, разрешающего работу по протоколу РОРЗ

1.Откройте консоль ISA Management.

2.Последовательно раскройте узлы Servers and Arrays, MyArray, Access Policy, найдите папку IP Packet Filters.

Щелкните правой кнопкой мыши папку IP Packet Filters и в контекстном меню последовательно выберите команды New и Filter. Откроется окно мастера New IP Packet Filter. 4. В поле IP Packet Filter Name укажите имя нового фильтра РОРЗ Filter и щелкните кнопку Next.

0 ... 51 52 53 54 55 56 57 ... 131