Дюжина вопросов по брандмауэру ISA Firewall

Есть несколько вопросов, которые изо денька в денек
повторяются на доске сообщений сервера ISAServer.org и в
перечнях подписчиков. Эти же самые вопросы задают также в общих
лентах новостей брандмауэра ISA. Чтоб сберечь всем уйму
времени, я собрал 12 более нередко задаваемых вопросов, а
также привел свои ответы на их. Я именовал этот перечень
из 12-ти вопросов, касающихся брандмауэра ISA Firewall,
грязной дюжиной. Порядок, в каком я представляю эти вопросы,
непринципиален, просто мне так захотелось.

Грязная дюжина вопросов по брандмауэру ISA Firewall

Я желаю иметь несколько наружных интерфейсов на моем
брандмауэре ISA. Как мне их настроить? Брандмауэр ISA
может поддерживать несколько наружных интерфейсов. Но,
только один из этих интерфейсов можно настроить для работы в
качестве шлюза по дефлоту. Хоть какой другой наружный интерфейс
для доступа к удаленным объектам должен использовать
информацию из маршрутной таблицы (routing table) брандмауэра
ISA. В недалеком прошедшем было приложение под
заглавием RainConnect, которое вы могли для этого
использовать. Сейчас, когда RainConnect устарел, вы сможете
использовать только мульти роутер WAN перед брандмауэром ISA
Firewall.
Мой Яху/AOL/MSN/Windows Messenger не работает. Как
мне это поправить? Программное обеспечение для обмена
моментальными сообщениями представляют значительную опасность для
вашей сети. Файлы можно передавать через туннели IM, но даже
если файлы и не передаются, через туннель IM может пройти
значимый объем инфы, которую вы не можете
найти либо перекрыть. Одно из решений данной задачи
заключается в использовании продукта, наподобие Websense,
вместе с брандмауэром ISA Firewall. При помощи Websense вы
сможете держать под контролем, какие юзеры могут получить
доступ к IM туннелю, а такде перекрыть определенные
приложения. Чтоб ответить на вопрос, IM требуются свои
собственные протоколы, и некие из их включены в перечень
протоколов по дефлоту, поставляющийся с ISA firewall. Хотя
большая часть IM разрешают вам использовать компонент Web
proxy брандмауэра ISA firewall для доступа к веб , вы
не должны настраивать их на внедрение Web proxy, т.к.
они могут не поддерживать аутентификацию интернет прокси (Web
proxy authentication). Заместо этого используйте
аутентификацию с внедрением юзеров/групп,
включенную в клиент брандмауэра. Чтоб получить более
подробную информацию относительного того, как использовать
MSN Instant Messenger, прочитайте Instant
Messaging with ISA Server. Для Яху и AOL IM вы должны
убедиться, что клиент является клиентом брандмауэра, и
настроить правило доступа (Access Rule), которое разрешит
использовать специфику протоколов этого приложения IM.
Я установил Exchange на мой брандмауэр ISA firewall,
а OWA/SMTP/POP3/IMAP4/NNTP не отправляет/получает? Как мне это
поправить? Я не могу довольно верно выразить, что вы
не должны устанавливать дополнительное программное
обеспечение на компьютер с брандмауэром ISA firewall. Такие
приложения и службы, как Microsoft Office, Microsoft SQL
Server, Microsoft Exchange, Microsoft SharePoint Portal
Server и любы другие службы либо приложения не должны быть
установлены и не должны быть запущены на компьютере с
брандмауэром ISA. Я также рекомендую не запускать интернет
браузер (Web browser) на компьютере с брандмауэром ISA
firewall. Брандмауэр – это основная точка безопасности вашей
сети. Вы же не желаете подвергнуть угрозы вашу
сетевую безопасность, скомпрометировав брандмауэр и
существенно увеличив поверхность атак на него. Установите
Exchange на внутренний сетевой сервер и опубликуйте службы
OWA/SMTP/POP3/IMAP4 и NNTP при помощи правил публикаций
(Publishing Rules).
Мое правило публикации Secure Exchange RPC Server
Publishing rule и/либо мой удавленный вызов процедур Exchange
RPC при помощи правила публикации HTTP Web publishing rule не
работает. Я сделал все, о чем вы ведали в ваших
статьях на веб-сайте ISAserver.org. Что не так? Неопасная
публикация Secure Exchange RPC и Exchange RPC по HTTP
мучаются от одной трудности: недостающее количество
руководств от команды разработчиков Microsoft Exchange,
относительно того, как верно настроить DNS
инфраструктуру для поддержки этих решений для удаленного
доступа. Вы когда-нибудь думали, как клиент Outlook
распознает заглавие сервера Exchange Server? Употребляет ли
он только NetBIOS имя? Употребляет ли он FQDN? А, может быть,
время от времени он употребляет NetBIOS имя, а время от времени FQDN? По-разному
ли распознают разные версии Outlook заглавие сервера
Exchange Server? Сможете ли вы отыскать эту информацию
где-нибудь на интернет веб-сайте Microsoft Exchange? Может информация
из этой статьи поможет вам — Troubleshooting
slow startup of Outlook and Exchange Clients. Как
насчет этой статьи: Exchange
Server 2003 and Exchange 2000 Server require NetBIOS name
resolution for full functionality? Наилучшее решение ваших
заморочек с неопасной публикацией Exchange RPC и публикацией
RPC по HTTP заключается в использовании раздельной DNS
инфраструктуры. Раздельная DNS позволяет вам использовать
одни и те же имена во внутренней сети и из удаленных мест.
Вы сможете отыскать подробную информацию относительно опции
раздельной DNS и клиента Outlook в статье You
Need a Split DNS и в статье Supporting
ISA Firewall Networks Protecting Illegal Top-level Domains:
You Need a Split DNS!
На моем клиенте брандмауэра изображена красноватая
стрелка, и он не может обратиться к брандмауэру ISA
firewall. В чем тут дело? Есть несколько обстоятельств, по
которым клиент брандмауэра не может подключиться к
брандмауэру ISA firewall. Самая часта причина заключается в
том, что не выходит распознать имя. По дефлоту в
конфигурации клиента брандмауэра употребляется NetBIOS имя
брандмауэра ISA firewall, и задано, чтоб клиентская машина
использовала это имя. Если клиентская машина может верно
квалифицировать это имя, то соединение удачно
устанавливается. Если клиент брандмауэра не может верно
распознать это имя, то соединение может не установиться, в
зависимости от того, является ли брандмауэр ISA firewall
клиентом WINS, и настроена ли при всем этом клиентская машина на
воззвание к правильному WINS серверу. Почти всегда
брандмауэр ISA firewall и клиентская машина принадлежат к
одному домену, потому клиентская система сумеет верно
квалифицировать имя брандмауэра ISA. Но, бывают
происшествия, когда брандмауэр ISA firewall не подключают
к домену, а настраивают учетные записи юзеров на
самом брандмауэре ISA. В данном случае клиентская система по
умолчанию не сумеет верно квалифицировать имя NetBIOS
брандмауэра ISA, и не сумеет установить с ним соединение. В
этом случае вы должны настроить на клиентской машине суффикс
основного домена (Primary Domain Name Suffix), который
позволить верно квалифицировать NetBIOS заглавие
брандмауэра ISA, и это имя должно преобразовываться в IP
адресок внутреннего интерфейса брандмауэра ISA. Кандидатурой
такому решению может служить многофункциональная инфраструктура
WINS.
Мне необходимо, чтоб имена юзеров отражались в
журнальных файлах, также я желаю держать под контролем доступ в
зависимости от учетной записи юзера/группы. Я не желаю
устанавливать клиент брандмауэра (Firewall Client) либо
настраивать браузеры для работы в качестве клиентов интернет
прокси. Что мне делать далее? Ничего. Чтоб
держать под контролем доступ зависимо от юзеров либо
групп либо созидать имена юзеров в журнальных файлах
брандмауэра и интернет прокси, ваши клиенты должны быть клиентами
брандмауэра либо интернет прокси. Клиент интернет прокси (Web proxy) –
это неважно какая машина, браузер которой настроен на внедрение
брандмауэра ISA firewall в качестве собственного интернет прокси
сервера. Вам не надо трогать клиентские машины,
чтоб сделать их клиентами интернет прокси. По дефлоту браузер
Internet Explorer настроен на внедрение автоматического
обнаружения (autodiscovery). А когда задано внедрение
автоматического обнаружения, то Internet Explorer будет
автоматом находить записи wpad в DNS и/либо DHCP, и
настроит себя сам. Интернет прокси клиент по мере надобности
пройдет аутентификацию при подключении к ресурсам по HTTP,
HTTPS и HTTP туннелированном FTP. Клиент брандмауэра – это
хоть какой компьютер с операционной системой Windows, на котором
установлено программное обеспечение клиента брандмауэра.
Точно также, как и для опции клиента интернет прокси, вам не
необходимо трогать компьютер для установки и опции клиента
брандмауэра. Вы сможете установить программное обеспечение
для клиента брандмауэра при помощи политик групп Windows
Group Policy. Клиент брандмауэра также может использовать
записи wpad для автоматического обнаружения брандмауэра ISA
firewall и самонастройки. Клиенты брандмауэра отправляют
информацию об имени юзера на брандмауэр, если
выполнен Winsock TCP либо UDP запрос в веб. Для
получения более подробной инфы об автоматической
конфигурации клиентов интернет прокси и брандмауэра обратитесь к
ссылке ISA
Server 2000 in Education Kit.
Я желаю поставить мой сервер ISA Server меж 2-ух
брандмауэров и установить одну NIC на брандмауэре ISA
firewall. Мне необходимы все способности ISA, включая поддержку
клиентов брандмауэра. Как мне это сделать? Хотя такое и
может быть, это неподдерживаемая конфигурация. Конфигурация с
одной NIC никогда не поддерживалась для клиента брандмауэра.
Но, можно установить брандмауэр ISA с одной NIC в DMZ и
настроить публикацию интернет и сервера при помощи так именуемой
‘ISP co-lo Configuration’. Такая конфигурация позволит вам
публиковать все протоколы с внедрением правил публикация
Web и Server Publishing Rules. Но, я безотступно
рекомендую вам пересмотреть вашу конфигурацию. Брандмауэр
ISA – это реальный сетевой брандмауэр, который обеспечивает
наивысший уровень безопасности и контроля доступа, из
огромного количества брандмауэров, представленных на сегодня
на рынке. Что выдавить из брандмауэра ISA по максимуму, вы
должны удалить back-end брандмауэр и поменять его
брандмауэром ISA. Другой вариант – поставить брандмауэр ISA
firewall наряду с текущим брандмауэром и поставить
более неопасные элементы сзади брандмауэра ISA firewall, и
опубликовать доступные веб-сайты за брандмауэром, фильтрующим
пакеты. Такая топология позволяет вам бросить на месте
текущий front-end брандмауэр, и стопроцентно использовать
безопасности и контроль доступа брандмауэра ISA .
Я желаю запустить сервер
Web/FTP/NNTP/Quake/Kazaa/Morpheus на моем брандмауэре ISA
firewall. Я сделал правильные права доступа (Access Rules),
но ничего не работает. Почему? Я безотступно рекомендую
вам не устанавливать избыточное программное обеспечение
на брандмауэр. Хотя и хорошо установить дополнительное
программное обеспечение на брандмауэр ISA для улучшения
набора способностей брандмауэра, неприемлимо устанавливать
Web сервера, FTP сервера, сервера новостей, Quake сервера,
Kaaza сервера либо клиентов либо хоть какое другое программное
обеспечение, не относящееся к брандмауэру. Помните, что
брандмауэр – это основная точка безопасности вашей сети. Вы
же не желаете подвергнуть угрозы вашу сетевую
безопасность, скомпрометировав брандмауэр и существенно
увеличив поверхность атак на него.
Как сделать так, чтоб Internet Explorer/Outlook
Express/Hello Kitty работал на брандмауэре ISA firewall? Я
попробовал сделать фильтры пакетов, но брандмауэр ISA не
обладает возможностью по фильтрации пакетов. Брандмауэр
ISA firewall не имеет очевидного интерфейса для опции
фильтра пакетов, т.к. проверка пакетов наследуется во всех
правилах доступа (Access Rules) брандмауэра ISA firewall.
Вам необходимо сделать правила доступа (Access Rules) для
контроля входящего и исходящего доступа от и к самой машине
с брандмауэром ISA firewall. К примеру, вам необходимо разрешить
исходящий SMTP от брандмауэра ISA firewall, вы сможете
сделать правило доступа SMTP Access Rule из локальной сети
(Local Host Network) во внешнюю сеть (External network);
таковой тип правил требуется, если вы желаете использовать
брандмауэр ISA firewall в качестве исходящего SMTP шлюза. Я
безотступно рекомендую не запускать Outlook Express либо
Hello Kitty на самом брандмауэре ISA по причинам, о которых
я упоминал ранее.
У меня не работает POP3 и/либо FTP. Я не желаю
устанавливать клиент брандмауэра. Как мне получить почтовые
и FTP файлы? Вам не надо устанавливать клиента
брандмауэра для доступа к POP3 либо FTP веб-сайтам в веб.
Единственно требование состоит в том, что клиент должен
уметь распознавать имя сервера, нужного ему для
подключения, также должно существовать правило доступа,
которое включает преобразование имен и доступ к протоколам
POP3 и/либо FTP. Определение имени – это частая неувязка,
т.к. оно по-разному обрабатывается SecureNAT, Web прокси и
клиентами брандмауэра. POP3 – это обычный протокол,
требующий одно соединение по TCP порту 110. FTP, напротив,
непростой протокол, требующий повторных соединений с FTP
сервером. В данном случае вам или нужно установить
клиент брандмауэра, либо использовать фильтр FTP Access
application filter, входящий в состав ISA firewall. Клиенты
SecureNAT могут использовать фильтр FTP Access application
filter для поддержки вторичных соединений. Если у вас
появились препядствия с FTP, удостоверьтесь, что включен фильтр FTP
Access application filter.
Как мне поглядеть файлы в кэше? Также, как мне
запретить кэширование веб-сайтов? О, и очередной вопрос, как мне
очистить кэш? Вы сможете использовать инструмент под
заглавием cachedir.exe
с веб-сайта Microsoft.
Сотрудник тех поддержки попросил меня открыть порты
X, Y и Z. Как мне это сделать? Это одна из более
нередко возникающих заморочек. Термин ‘открыть порт’ ничего не
означает, он подразумевает, что брандмауэр – это ‘перфорированная
доска’, в какой вы закрываете отверстия. Но протокол
TCP/IP работает незначительно не так, и по этой причине вы никогда
не увидите на брандмауэре кнопку ‘открыть порт’. Для того
чтоб разрешить трафик через брандмауэр ISA firewall (либо
хоть какой другой брандмауэр), вы должны знать, какой вам нужен
протокол, направление протокола, также какие протоколы
употребляются для второстепенных соединений. К примеру, если
используете FTP в стандартном режиме, то основное соединение
– это исходящее соединение от FTP клиента к FTP
серверу по TCP порту 21. Потом, FTP сервер устанавливает
новое вторичное соединение с клиентом со собственного
собственного TCP порта 20 на высочайший номер порта на наружном
интерфейсе брандмауэра ISA. Вы должны спросить сотрудника
службы саппорта, какие порты открыть для FTP, и ответят ли
они вам ‘откройте порты 21 и 20′? Может быть, но кто знает,
т.к. ‘открыть порт’ ничего не означает. Это ответственность
производителя Веб приложения – докладывать вам такую
информацию. По другому, вы должны использовать сетевой анализатор
(как Network Monitor либо Ethereal) и узнать, какие
протоколы, направления, главные и вторичные соединения они
употребляют. Не забудьте также заплатить производителю
приложения за то время, которое вы издержали на исследование
их приложения!

Итак, я сказал о грязной дюжине вопросов по ISA
Firewall. Если вы вспомнили о каком-то вопросе, ответ на
который уже 100 раз звучал, то скажите об этом мне, и я
добавлю его в этот перечень.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.