Microsoft ISA Server 2006 представляет собой многоуровневый брандмауэр (Multilayer Firewall) для управления доступом меж сетями. ISA Server 2006 употребляет последующие объекты для сотворения соединений меж сетями и для управления сетевым трафиком меж ними:
Сети (Networks)
Сетевые правила (Network rules)
Правила брандмауэра (Firewall rules)
Сети
ISA Server употребляет многосетевую модель (multi network model), позволяющую админам ISA Server иллюстрировать каждую физическую сеть, к которой подключен ISA Server.
Поначалу необходимо сделать сети в качестве базисного элемента в ISA Server 2006.
Сетевые правила
После того как админ ISA обусловил все нужные сети, эти сети необходимо привести к взаимодействию с теми сетями, через которые будет проходит поток сетевого трафика. В ISA Server 2006 можно создавать два разных типа сетевых правил:
Маршрутизация (Route): Сетевое правило с типом Route делает двунаправленные сетевые подключения меж 2-мя сетями, которые направляют уникальные IP адреса меж этими сетями.
Трансляция сетевых адресов (NAT): Сетевое правило с типом NAT (Network Address Translation) делает однонаправленное сетевое подключение меж 2-мя сетями, которое подменяет IP адреса сетевого сектора IP адресом соответственного сетевого адаптера ISA Server.
Правила брандмауэра
После того как все сети и сетевые правила определены, нужно держать под контролем сетевой трафик меж этими сетями при помощи правил брандмауэра.
Обзор Сетей в ISA
Чтоб получить обзор конфигурации сетей ISA Server, запустите консоль ISA Server MMC, перейдите в Конфигурацию (Configuration) ‘ Сети (Networks). Тут вы отыщите разные закладки:
Сети (Networks)
Наборы сетей (Network Sets)
Сетевые правила (Network Rules)
Интернет цепи (Web Chaining)
Во вкладке Сети перечислены все сети, определенные на ISA Server, в закладке Наборы сетей сети группируются в сетевые группы, вкладка Сетевые правила определяет Route либо NAT дела меж сетями, а во вкладке Интернет цепи создается интернет маршрутизация (Web routing) для интернет запросов.
Прирастить
Набросок 1: Сети ISA Server 2006
Справа в панели задач вы отыщите вкладку шаблонов. В этой вкладке перечислены все доступные сетевые шаблоны, которые админы ISA Server могут использовать для построения собственных сетей.
Тут есть 5 шаблонов:
Брандмауэр Edge Firewall
3-Leg Perimeter
Наружный брандмауэр (Front Firewall)
Внутренний брандмауэр (Back Firewall)
Один сетевой адаптер (Single Network Adapter)
Набросок 2: Сетевые шаблоны ISA Server 2006
Брандмауэр Edge Firewall
Шаблон Edge Firewall представляет собой традиционный сетевой шаблон и подключает внутреннюю сеть, защищенную ISA Server, к вебу.
Набросок 3: ISA Server 2006 ‘сетевой шаблон Edge Firewall
Обычный шаблон Edge Firewall просит 2-ух сетевых адаптеров на сервере ISA Server. Для дополнительной инфы о шаблоне Edge Firewall прочтите статью, написанную Томом Шиндером: Using ISA Server 2004 Network Templates to Automatically Create Access Policy: The Edge Firewall Template
3-Leg Perimeter
3-Leg Perimeter Firewall – это ISA Server с 3-мя и поболее сетевыми адаптерами. Один сетевой адаптер подключен для внутренней сети, один – для наружной сети и один – для сети DMZ (DeMilitarized Zone), также известной как Сеть периметра (Perimeter Network). Сеть периметра содержит службы, к которым нужен доступ из веба, но которые также должны быть защищены при помощи ISA Server. Обычными службами сети DMZ являются интернет серверы, DNS серверы и прочее. 3-Leg Perimeter Firewall также нередко именуют «Брандмауэром бедного человека» (‘Poor Man’s Firewall’), так как это не совершенно DMZ. Реальная DMZ представляет собой зону меж 2-мя разными брандмауэрами.
Набросок 4: ISA Server 2006 ‘ сетевой шаблон 3-leg Perimeter
Брандмауэр Front Firewall
Шаблон Front Firewall подразумевает, что ISA Server размещен перед другим брандмауэром конкретно на краю (Edge) сети. Место меж брандмауэрами Front Firewall и Back Firewall можно использовать в качестве сети периметра либо DMZ.
Набросок 5: ISA Server 2006 ‘ сетевой шаблон Front Firewall
Шаблон Back Firewall
Шаблон Back Firewall может употребляться админами ISA Server, когда ISA Server размещен за брандмауэром Front Firewall. Брандмауэр Back Firewall защищает внутреннюю сеть от доступа из сети DMZ и из наружной сети, также держит под контролем сетевой трафик, разрешенный с узлов сети DMZ и с Front Firewall.
Набросок 6: ISA Server 2006 ‘ сетевой шаблон Back Firewall
Один сетевой адаптер
Шаблон с одним сетевым адаптером имеет некие ограничения, так как ISA Server с одним сетевым интерфейсом не может употребляться в качестве реального брандмауэра, многие функции просто недосягаемы. Ниже приведен перечень доступных в таковой конфигурации функций:
Передача интернет прокси запросов, использующих протоколы HTTP, Secure HTTP (HTTPS) либо File Transfer Protocol (FTP) для загрузки
Кэширование интернет контента для использования клиентами корпоративной сети
Интернет публикация для помощи в защите общественных интернет и FTP серверов
Microsoft Outlook Web Access, ActiveSync и вызов удаленных процедур (remote procedure call – RPC) через публикацию HTTP
Набросок 7: ISA Server 2006 ‘ сетевой шаблон One Network Adapter
Внедрение мастера сетевых шаблонов (Network Template Wizard)
ISA Server 2006 обустроен мастером сетевых шаблонов (Network Template Wizard), которого можно использовать для опции сетевой топологии с сетями, сетевыми правилами и правилами брандмауэра.
В панели задач изберите требуемый сетевой шаблон.
Набросок 8: Мастер сетевых шаблонов
Мастер проведет вас через весь процесс. В качестве первого шага вам необходимо экспортировать вашу текущую конфигурацию сервера ISA Server методом отката (failback method), так как мастер поменяет все текущие сетевые опции и правила политики брандмауэра, кроме правил системной политики.
Набросок 9: Экспортирование конфигурации ISA Server
В качестве последующего шага вам необходимо найти IP адреса внутренней сети (Internal Network). После чего вам необходимо избрать предопределенную политику брандмауэра. НЕЛЬЗЯ выбирать политику брандмауэра ‘ Разрешить неограниченный доступ (Allow unrestricted access) ‘ так как это правило разрешает весь исходящий сетевой трафик.
Набросок 10: Выбор политики брандмауэра
Внимание: после окончания работы мастера шаблонов сетевых правил необходимо поменять сделанное правило брандмауэра на абсолютный минимум разрешений. Брандмауэр должен всегда иметь набор правил с минимумом разрешенных подключений.
После окончания работы мастера вы увидите результаты в закладке Конфигурация ‘ Сети.
Прирастить
Набросок 11: Сетевые правила ISA Server
Мастер делает дела сетевых правил с типом NAT меж внутренней сетью и сетью периметра, а дела Route меж сетью периметра и наружной сетью. Это необходимо поменять, если ваши серверы в сети периметра содержат личные IP адреса.
Настройка сетевых шаблонов
Можно настраивать предопределенные графики сетевых шаблонов на расширение собственной своей информацией, как к примеру имена серверов либо своей топологией.
Сетевой шаблон состоит из 2-ух компонент:
Сетевой шаблон в файле XML file pro
Сетевой шаблон в файле Bitmap graphic pro
XML файл содержит информацию о нужных параметрах для сотворения объектов требуемой сети, сетевых правил и правил брандмауэра. Файл bitmap представляет собой графический файл, который показывает избранный сетевой шаблон. Файлы XML и BMP можно отыскать в последующей директории: Program FilesMicrosoft ISA ServerNetworkTemplates.
Можно редактировать bitmap файлы в Microsoft Paint либо других схожих программках, как показано на рисунке 12.
Набросок 12: Изменение сетевого шаблона в Microsoft Paint
После конфигурации шаблона вы увидите эти конфигурации в консоли ISA MMC.
Заметка: вам, может быть, пригодится обновить вид либо закрыть и опять открыть консоль ISA MMC, чтоб узреть конфигурации.
Прирастить
Набросок 13: Модифицированный сетевой шаблон
Файлы XML шаблонов
XML файл содержит информацию о нужных параметрах для сотворения требуемых объектов сети, сетевых правил и правил брандмауэра. Сетевые шаблоны определяются в объекте ISA под заглавием FPCNetworkTemplate. Объект FPCNetworkTemplate позволяет вам задавать имя и описание сетевого шаблона.
Файл XML содержит конфигурацию сетевого шаблона, которая включает:
Сети и наборы сетей
Сетевые правила, описывающие дела меж разными сетевыми группами
Элементы политики
Политики
Figure 14:3-Leg DMZ ‘ шаблон XML
Заключение
В этой статье я попробовал предоставить вам информацию, нужную для сотворения своей неопасной сетевой инфраструктуры с ISA Server 2006. Я также показал вам, как изменять графические составляющие сетевых шаблонов. На мой взор, сетевые шаблоны являются неплохой отправной точкой для начинающих админов ISA, но если вы являетесь опытным админом ISA Server, вы должны строить свои сетевые инфраструктуры методом конфигурации сетей, сетевых правил и политик брандмауэра на ISA Server вручную.
Дополнительные ссылки
Network Concepts in ISA Server 2006
Using ISA Server 2004 Network Templates to Automatically Create Access Policy: The Edge Firewall Template
Configuring ISA Server 2004 on a Computer with a Single Network Adapter
Troubleshooting Network Configuration in ISA Server 2004
Configuring ISA Server 2004 on a Computer with a Single Network Adapter
The features and limitations of a single-homed ISA Server 2006, ISA Server 2004, or Microsoft Forefront Threat Management Gateway, Medium Business Edition computer