Раздел: Документация

0 ... 66 67 68 69 70 71 72 ... 131

Внимание! Это занятие предполагает наличие активного нсшночыгич к Интернету по телефонной линии, кроме того, все три следующих задания необходимо выполнять в течение одного сеанса связи.

До выполнения заданий следует остановить службу FTP на сервере Server 1. Для этого в оснастке Internet Services Manager щелкните правой кнопкой мыши значок Default FTP Site (FTP-узел по умолчанию) и выберите команду Stop (Остановить).

Задание Создание правила публикации на сервере 1

Вы создадите правило публикации, которое разрешает пересылку всех РТР- ширчеив через ISA-сервер на сервер Server2. Выполните задание на сервере Server].

1.Убедитесь, что Serverl подключен к Интернету через модем. Если подключение к Интернету не установлено, создайте его.

2.Откройте консоль ISA Management.

3.В дереве консоли разверните узел МуАггау и перейдите к узлу Publishing.

4.Разверните узел Publishing.

5.Щелкните правой кнопкой мыши папку Server Publishing Rules, в контекстном меню перейдите к пункту New и затем выберите команду Rule. Откроется окно мастера New Server Publishing Rule.

6.В текстовом поле Server Publishing Rule Name введите FTP Server и щелкните кнопку Next.

7.На странице Address Mapping в текстовом поле IP address of internal server введите 192.168.0.2.

8.Щелкните кнопку Browse. Откроется информационное окно, где указаны внешние адреса ISA-сервера.

9.Выберите внешний IP-адрес и щелкните кнопку ОК. Этот внешний IP-адрес компьютера появится в текстовом поле External IP address on ISA Server. Следует иметь в виду, что это правило действует лишь на протяжении текущего сеанса связи через

так как IP-адрес, как правило, изменяется при каждом подключении к интернет-провайдеру.

10.Запишите или запомните внешний I Р-адрес — он понадобится в следующих заданиях. Щелкните кнопку Next.

11.На странице Protocol Settings в поле со списком Apply the rule to this protocol выберите FTP Server и щелкните кнопку Next.

12.На странице Client Туре оставьте без изменений установленное по умолчанию положение Any Request переключателя и щелкните кнопку Next.

13.На странице Complete The New Server Publishing Rule щелкните кнопку Finish.

14.Прежде чем перейти к заданию 2, перезапустите службу ISA-сернера средствами оснастки ISA Management.

Задание 2. Проверка публикации FTP-сервера

Вы подключитесь по протоколу FTP к JSA-серверу по его внешнему IP-адресу. Хотя опубликованный FTP-сервер установлен на внутреннем сервере Server2, а не на самом ISA-сервере, благодаря новому правилусервера, созданному в задании для вне-

шних пользователей FTP-сервер выглядит как размещенный на Serverl.

1.Войдите в систему сервера Serverl под учетной записью Administrator (Администратор).

2.В меню Start (Пуск) выберите команду Run (Выполнить). Откроется диалоговое окно Run (Выполнить).

---

36публикация серверов

6

3.В поле Open (Открыть) введите and и щелкните кнопку ОК. Откроется окно командной строки.

4.В командной строке введите:

ftp <8нбшниЙ 1Р~адрес>

где <внешний1Р-адрес>- это внешний IP-адрес ISA-сервера, назначенный интернет-провайдером, для которого вы определили правило публикации в задании Вы записали его, выполняя операцию 10 задания I настоящего практикума.

5.Нажмите Enter. В окне консоли вы увидите сообщение, информирующее о подключении к FTP-серверу и предлагающее ввести имя пользователя. Наличие этого сообщения подтверждает, что новое правило публикации позволило подключиться из Интернета к службе FTP на сервере Server2.

6.В качестве имени пользователя укажите anonymous. Следующее сообщение проинформирует о возможности анонимного доступа и предложит ввести пароль.

7.Введите пустой пароль, просто нажап клавишу Enter. Откроется строка приглашения FTP.

8.В приглашении FTP введите команду quit. Система вернет вас в окно командной строки.

9.Закройте окно командной строки.

Резюме

Правила публикации серверов позволяют ISA-серверу обрабатывать входящие запросы, адресованные серверам во внутренней сети, таким как SMTP- и FTP-cepnepu и серверы баз данных. Вы можете опубликовать в Интернете практически любой компьютер внутренней сети. Безопасность не нарушается, так как все входящие запросы и исходящие ответы проходят через ISA-сервер. Подобно правилам узлов и информации, правила публикация серверов открывают TCP-порты для запросов служб динамически, то есть по мере необходимости.

При публикации ISA-сервером в качестве внешнего IP-адреса внутреннего сервера публикуется внешний адрес ISA-сервере. Удаленные пользователи взаимодействуют с ISA-сервером и обращаются по его IP-адресу, Получив запрос, ISA-сервер пересылает его от имени внешнего пользователя на еоогиегстиуюший опубликованный сервер во внутренней сети. Для создания новых правил лубликацин серверов применяется мастер New Server Publishing Rule. Параметры существуют их правил публикации серверов можно корректировать в диалоговых окнах свойств соответствующих правил в оснастке ISA Management.

Для публикации серверов, расположенных в сети периметра, или служб, размещенных на самом ISA-сервере, применяются фильтры IP-пакетов, а не правила публикации серверов.

---

Замятие 2, Безопасная публикация Web-серверов

ISA-сервер принимает запросы извне от имени опубликованных внутренних Web-серверов. Когда клиент Интернета запрашивает объект на опубликованном Web-сервере, запрос на самом деле направляется по внешнему адресу ISA-сервера. Перенаправление запросов на внутренний Web-сервер осуществляется на основании сконфигурированных на ISA-сервере правил публикации. Опубликованный Web-сервер не нуждается ни в никакой дополнительной настройке.

Для создания нового правила публикации Web-сервера применяется мастер New Web Publishing Rule. Существующие правила публикации Web-серверов можно корректировать в

диалоговом окне свойств правил в оснастке ISA Management.

Изучив материалвы сможете:

* публиковать Web-серверы внутренней сети, защищенной ISA-сервером; •* безопасно публиковать Web-серверы на компьютере ISA-сервера.

Продолжительность занятия - около 45 минут.

Правила Web-публикации

Правила Web-публикации на ISA-сервере применяются для укрепления безопасности и предотвращения компрометации внутренней защиты: сети при публикации информации в Интернете. Правила Web-публикации определяют, каким образом ISA-сервер обрабатывает входящие И ПТ-запросы, адресованные внутреннему Web-серверу, и отвечает на них от имени Web-сервера. Правило определяет, какие запросы отбрасываются, а какие пересылаются далее на внутренний Web-сервер, расположенный в защищенной ISA-сервером сети. По возможности запросы выполняются с использованием информации из кэша ISA-сервера.

Для укрепления защиты не разрешайте просмотр каталогов на опубликованном \№Ь-сервере. По этой же причине не настраивайте Web-сервер на базовую аутентификацию или аутентификацию на основе хешей, В случае использования этих методов у внешних пользователей появляется возможность узнать внутреннее имя и/или IP-адрес VVeh-c.-pBcpa.

Подмножества адресатов и клиентов

В процессе конфигурирования правилнапример с помощью мастера

New Web Publishing Rule (рис. 6-3), вам предлагается определить подмножество адресатов (серверов во внутренней сети), на которое распространяется правило. В правилах Web-публикации подмножества адресатов обычно состоят из доменных имен, которые сопоставляются IP-адресу ISA-сервера. В подмножестве адресатов разрешается также указывать полный или частичный путь, в этом случае правило управляет запросами на уровне отдельных каталогов или файлов. (Например, запросы по адресу

могут перенаправляться на один внутренний сервер, а запросы http://www.microsqfl.com/ marketing — на другой.) Подмножества клиентов — это, как правило, адреса клиентов Интернета, а не клиентов внутренней корпоративной сети. Указанная группировка клиентов облегчает администрирование, так как доступ к опубликованному Web-серверу предоставляется или запрещается целым группам.

Подмножества адресатов и клиентов создаются и управляются в папках узла Policy Eiements.

0 ... 66 67 68 69 70 71 72 ... 131