Раздел: Документация

0 ... 80 81 82 83 84 85 86 ... 131

► Настройка на ISA-серверепротоколов

1.В оснастке Routing and Remote Access (Маршрутизация и удаленный доступ) найдите

нужный сетевой интерфейс.

2.Откройте окно свойств интерфейса и на вкладке Networking выберите соответствующий протокол.

3.Для добавления поддержки РРТР в окне оснастки ISA Management в узле Access Policy создайте фильтр IP-пакетов, разрешающий использование РРТР.

Фильтр IP-пакетов следует настроить следующим образом;

•использовать оба предопределенных фильтра — РРТР call и РРТР receive;

•на вкладке Local Computer определить внешний IP-адрес локального ISA VPN-сервера;

•на вкладке Remote Computer указать IP-адрес удаленного ISA VPN-сервера.

4.Для добавления поддержки L2TP создайте два фильтра IP-пакетов. Первый фильтр следует настроить следующим образом:

•разрешить применение фильтра только к локальному серверу;

•режим фильтра — Allow (разрешить);

•тип фильтра — Custom, протокол — UDP, порт — 500;

•на вкладке Local Computer задать внешний IP-адрес локального ISA VPN-сервера;

•на вкладке Remote Computer указать IP-адрес удаленного ISA VPN-сервера.

Второй фильтр IP-пакетов должен быть настроен следующим образом:

•разрешить применение фильтра только к локальному серверу;

•режим фильтра - Allow (разрешить);

•тип фильтра - Custom, протокол - (JDP, порт - 1701;

•на вкладке Local Computer указать внешний IP-адрес локального ISA VPN-сервера;

•. на вкладке Remote Computer определить IP-адрес удаленного ISA VPN-сервера.

ISA-сервер и IPSec

При настройке ISA-сервера в качестве VPN-сервера, использующего протокол SPSec/ L2TP, включается драйвер IPSec.

При включении IPSec протоколы АН (Authentication Header) и ESP (Encapsulating Security Payload) (IP-протоколы 50 и 51) управляются драйвером IPSec, а не драйвером фильтров пакетов ISA-сервера. Трафиком по туннелю управляет драйвер IPSec. Он гарантирует, что в сеть проходит лишь разрешенный трафик протоколов АН и ESP.

Когда на ISA-сервере не включен драйвер IPSec, управление пакетами выполняется политиками ISA-сервера. Политики ISA-сервера также используются для ведения журналов трафика, проходящего через ISA-сервер, в том числе по протоколам АН и ESP.

Если ISA-сервер настроен на блокирование IP-фрагментов, блокируются все IP-фрагменты, в том числе и фрагменты АН и ESP, даже если IPSec включен,

Пример крупной сети с VPN и маршрутизацией

ISA-сервер часто устанавливается в крупных географически распределенных сетях. Для удовлетворения потребностей пользователей массивы ISA-серверов развертываются в главном офисе и при необходимости — в филиалах. Это позволяет администраторам корпоративной сети обеспечить централизованную политику безопасности и кэширования в масштабе всей корпорации. Развертывание ISA-серверов также позволяет повысить производительность работы филиалов благодаря обслуживанию запросов пользователей к Интернету из локального

---

Описание крупной сети с поддержкой VPN

В этом разделе описан пример развертывания ISA-серверов для поддержки виртуальной частной сети крупной корпорации. Illсай-ивартира корпорации расположена в США, а два филиала — в Канаде и Великобритании. Требуется обеспечить безопасный доступ к Интернету в соответствии со следующими требованиями:

•правила доступа к Интернету, определенные в штаб-квартире в США, должны применяться во всей корпорации. Они предусматривают доступ всех сотрудников к любым Web-узлам по популярным протоколам Интернета: HTTP, HTTPS (Secure Hypertext Transfer Protocol) и FTP;

•сеть филиала в Великобритании следуетзащитить дополнительным брандмауэром;

•необходимо минимизировать затраты на подключение британского филиала к штаб-квартире в США;

•ISA-серверы британского филиала должныкзшировать содержимое Web-серверов региона (то есть тех, что размешены в Великобритании);

•в канадском филиале следует разместить; зшируюший сервер для снижения интернет-трафика.

Выполнение требований к сети

Поскольку корпорации требуется обеспечить общую политику во всех филиалах, ISA-сер-веры следует устанавливать как члены массивов во всех филиалах даже при условии, что в некоторых есть лишь один сервер.

Массив ISA-серверов в штаб-квартире в США

Каждый член массива штаб-квартиры оборудован двумя сетевыми адаптерами: один для

подключения ко внутренней сети, а другой для подключения к Интернету. Разумно предположить наличие прямого соединения с интернет-провайдером посредством маршрутизатора и линии TI/E1.

Массив ISA-серверов в канадском филиале

ISA-сервер филиала в Канаде используются для снижения сетевого трафика путем кэширования \\е1)-солер*си\юго. Это также позволяет снизить загрузку ISA-серверов в штаб-квартире. ISA-сервер в Канаде установлен в режиме кэширования (Cache) и соединен с ISA-серверами штаб-квартиры. ISA-сервер в Канаде также оборудован двумя сетевыми адаптерами: один подключен к локальному маршрутизатору, а другой — к маршрутизатору штаб-квартиры.

Массив ISA-серверов в британском филиале

ISA-сервер филиала в Великобритании оснащен двумя адаптерами для подключения к локальной сети и модемом или ISDN-гщаптером для подключения к Интернету. Пользовательские запросы на Web-серверы, расположенные в Великобритании, направляются черезВсе остальные запросы пересылаются в штаб-квартиру.

Массив ISA-серверов в Великобритании работает в смешанном (Integrated) режиме, то есть совмещает функции брандмауэра филиала и сервера кэширования. Он подключен к массиву штаб-квартиры через VPN.

К.онфтураш1>1 сети показана на рис. 7-6.

---

КглифISA-сервер

Рис. 7-6. Конфигурация сети с VPN

Политика предприятия в штаб-квартире

После установки ISA-серверов в штаб-квартире администратор средствами оснастки ISA Management определяет и реализует политику предприятия. Она разрабатывается в штаб-квартире и применяется во всех массивах предприятия — в канадском и британском филиалах, а также в самой штаб-квартире.

Чтобы настроить сеть и применить корпоративную политику, администратор предприятия в штаб-квартире выполняет действия, описанные далее.

1.Создает политику предприятия с именем Corporate Policy со следующими правилами:

•правило узлов и содержимого,разрешающее круглосуточный доступ любых пользователей ко всем Web-узлам;

•празило протоколов, panieiiiasnmee всем пользователям использовать протоколы FTP, HTTP и HTTPS.

2.Устанавливает Corporate Policy в качестве политики по умолчанию, наследуемой всеми филиалами.

3.Настраивает VPN-подключение британского филиала к массиву ISA-серверов штаб-квартиры. Хотя бы один из ISA-серверов в США следует сконфигурировать как VPN-сервер.

4.Добавляет в таблицу LAT американского ISA-сервера диапазон адресов сети в Великобритании.

5». Средствами мастера Local ISA Server VPN настраивает ISA-сервер на прием VPN-подключений. Мастер создает фильтры IP-пакетов в соответствии с выбранным протоко-

0 ... 80 81 82 83 84 85 86 ... 131