• Две версии ISA -сервера
• Основные отличия
• Роли ISA-сервера
• Интеграция с Windows 2000
• Масштабируемость
• Расширяемость
• Архитектура ISA-сервера
• Практикум. Презентация, посвященная ISA-серверу
• Резюме

На этом занятии мы расскажем о возможностях и преимуществах ISA-сервера.

Изучив материал этого занятия, вы сможете:

• рассказать о различиях двух версий ISA-сервера;
• описать функциональные возможности ISA-сервера;
• объяснить, как ISA-сервер использует возможности Windows 2000 для обеспечения повышенной безопасности, производительности и управляемости;
• рассказать о масштабируемости и расширяемости ISA-сервера.

Продолжительность занятия - около 45 минут.

ISA-сервер - это расширяемый брандмауэр масштаба предприятия и сервер Web-кэширования, который базируется на операционной системе Windows 2000. Многоуровневый брандмауэр на базе ISA-сервера обеспечивает защиту сетевых ресурсов от вирусов, хакеров и несанкционированного доступа, а сервер Web-кэширования позволяет организациям обеспечить более быстрый доступ к Web-ресурсам, сохраняя локальные копии объектов Интернета и возвращая их пользователям без обращения к узлам, хранящим оригинал. Режим работы ISA-сервера определяется в процессе установки - режим брандмауэра (Firewall), сервера Web-кэширования (Cache) или смешанный режим (Integrated), ISA-сервер позволяет минимизировать сложности, сопутствующие внедрению и управлению брандмауэром и сервером кэширования, предоставляя интуитивно понятные и мощные средства управления, в том числе оснастки консоли MMC (Microsoft Management Console), панели заданий (taskpads) и мастера.

Две версии ISA-сервера

ISA-сервер поставляется в двух модификациях: ISA Server Enterprise Edition и ISA Server Standart Edition.

Версия ISA Server Enterprise Edition
Эта версия удовлетворяет высоким требованиям по производительности, управляемости и масштабируемости в средах с интенсивным трафиком Интернета. Она поддерживает централизованное сервером, многоуровневые политики доступа, кластеризацию серверов путем создания массивов и обеспечение отказоустойчивости.

Версия ISA Server Standart Edition.
Эта версия обеспечивает возможности защиты сетей посредством брандмауэра и кэширование Web-содержания для небольших предприятий, рабочих групп и отдельных подразделений. Она отличается превосходным соотношением "цена/качество" среди систем, применяемых в критически важных бизнес средах.

Основные различия

Функции безопасности, кэширования, управления, производительности и расширяемости одинаковы в обеих версиях ISA-сервера. Однако версия Standard работает только как изолированный ISA-сервер с локальной политикой и поддерживает не более 4 процессоров. Версия Enterprise может работать в многосерверных массивах с централизованным управлением, политиками уровня предприятия и уровня массива и неограниченной масштабируемостью.
Хотя эта книга и посвящена конфигурированию и управлению версией Enterprise Edition ISA-сервера, понимание различий между двумя версиями позволяет правильно выбрать подходящую в той или иной ситуации, Эти различия перечислены в таблице 1-1.

Таблица 1-1. Различия двух версий ISA-сервера ISA Server Standard Edition и ISA Server Enterprise Edition

Роли ISA-сервера

ISA-сервер - отличное решение для организаций самых разных размеров, заинтересованных в обеспечении безопасности, производительности и управляемости сетей за разумные деньги. С ним могут работать ИТ-менеджеры, администраторы сети и специалисты информационной безопасности. ISA-сервер работает в одном из трех возможных режимов: как брандмауэр (Firewall), как кэширующий сервер (Cache) или в смешанном режиме (Integrated). В последнем случае он совмещает выполнение функций брандмауэра и сервера Web-кэширования. Существует множество вариантов развертывания ISA-сервера в конкретных организациях - в этой книге описаны лишь наиболее популярные.

Брандмауэр Интернета

ISA-сервер можно установить как выделенный брандмауэр, выполняющий функции защищенного шлюза Интернета для клиентов внутренней сети. ISA-сервер работает незаметно ("прозрачно") для соединяемых клиентов, если только они не обмениваются информацией, запрещенной ограничениями доступа или правилами защиты.
Работая в качестве брандмауэра, ISA-сервер позволяет реализовать определяемую бизнесом политику безопасности при работе через Интернет, предоставляя богатые возможности по настройке обширного набора правил, которые определяют порядок пересылки через него трафика различных узлов, протоколов и Web-содержимого. Постоянно контролируя запросы и ответные сообщения между Интернетом и клиентскими компьютерами внутренней сети, ISA-сервер управляет доступом различных клиентов к тем или иным компьютерам корпоративной сети. Также он позволяет управлять доступом клиентов внутренней сети к компьютерам Интернета.

Безопасная публикация серверов

Сервер прямого Web-кэширования

Выполняя функции сервера прямого Web-кэширования, ISA-сервер поддерживает централизованный кэш наиболее часто запрашиваемых данных Интернета и использует содержимое кэша для обслуживания запросов от браузеров в частной сети. Таким образом, удается добиться повышения производительности браузера, сократить время отклика и снизить потребление пропускной способности подключений к Интернету.

Сервер обратного Web-кэширования

ISA-сервер иногда действует как Web-сервер, используя данные из кэша для обслуживания входящих клиентских запросов и пересылая запросы на локальный Web-сервер только при отсутствии нужной информации в кэше.

Сервер, совмещающий функции брандмауэра и сервера кэширования Web-содержимого

ISA-сервер обычно используют в одном из режимов - брандмауэра или сервера кэширования, однако существует возможность совместить эти функции на одном компьютере для обеспечения безопасной и быстрой связи с Интернетом. Независимо от варианта развертывания, ISA-сервер обеспечивает все преимущества централизованного управления на основе политик.

Интеграция с Windows 2000

ISA-сервер базируется на технологиях Windows 2000, за счет чего обеспечивается повышенная безопасность и производительность, а также расширенные возможности управления. Далее перечислены возможности Windows 2000, применяемые на ISA-сервере для поддержки перечисленных функций.
∙ Преобразование сетевых адресов (Network Adress Translation,NAT).
ISA-сервер расширяет возможности NAT в Windows 2000, поддерживая специальную политику для клиентов SecureNАТ (рис. 1-1).
Примечание: Стандарт NAT описан в документе RFC 1361 сообщества IETF (Internet Ingeneering Task Force). NAT является встроенным компонентом Windows 2000 и представляет собой шлюз, скрывающий IP-адреса клиентов внутренней ЛВС (LAN) от внешних клиентов, что достигается путем сопоставления внутренних адресов другим, доступным извне, адресам.
∙ Интегрированные виртуальные частные сети (Virtual Private Network, VPN). ISA-сервер можно сконфигурировать как VPN-сервер для поддержки безопасных удаленных подключений типа "шлюз - шлюз" или "клиент - шлюз" через Интернет. Основанная на общепринятых стандартах подсистема Windows 2000 для работы по VРN поддерживает протоколы РРТР (Point to Point Tunneling Protocol) и L2TP/IPSec (Layer 2 Tunneling Protocol/Secure Internet Protocol).
∙ Аутентификация. ISA-сервер поддерживает принятые в Windows 2000 методы проверки подлинности, в том числе базовую аутентификацию, проверку подлинности по протоколам NTLM
(NT Lan Manager) и Kerberos, а также аутентификацию на основании цифровых сертификатов.

Рис. 1-1. Механизм Secure NAT

Ограничение возможностей пользователей по настройке системы. Для частичного или полного предотвращения модификации системы пользователями на ISA-сервере применяются шаблоны безопасности Windows 2000.
База данных Active Directory. Когда ISA Server Enterprise Edition конфигурируется для работы в многосерверном массиве, конфигурация и политики хранятся централизованно в базе данных службы каталогов Active Directory. Кроме того, для управления доступом пользователей и групп на ISA-сервере часто применяют данные Active Directory.
Многоуровневая подсистема управления на основе политик. Сервер ISA Server Enterprise Edition позволяет использовать распределенные службы каталогов Active Directory, для этого определяется одна или несколько политик, которые затем применяются к массивам всего предприятия. Указанный механизм поддерживает многоуровневую и масштабируемую модели администрирования.

Административные консоли ММС. Интерфейс управления ISA-сервером называется ISA Management (рис. 1-2) и представляет собой оснастку ММС, отображаемую в виде панели заданий (Taskpad) или в расширенном виде (Advanced). Консоль ММС расширяема и позволяет ╚гладко╩ интегрировать средства управления, созданные сторонними поставщиками, в панель управления ISA-сервером.

Рис. 1-2. Окно оснастки ISA Management

Качество обслуживания (Quality of Servis, QoS). ISA-сервер обеспечивает механизмы управления пропускной способностью, которые базируются на службе качества обслуживания (QoS) в Windows 2000 и применяются для распределения трафика в соответствии с приоритетами.
Поддержка многопроцессорных систем. Для повышения производительности на ISA-сервере применяется присутствующая в Windows 2000 архитектура поддержки симметричных многопроцессорных вычислений (SMP).
Автоматическое обнаружение прокси-сервера клиентами. Поддержка протокола автоматического обнаружения прокси-сервера WPAD (Web Proxy Autodiscovery Protocol) на клиентах брандмауэра, основанного на ISA-сервере, позволяет им автоматически подключаться к ISA-серверу, при этом нет необходимости индивидуально конфигурировать каждый клиент.
СОМ-объект администрирования ISA-сервера. ISA-сервер представляет доступ из программ к механизму управления правилами брандмауэра и всеми административным параметрами.
Web-фильтры. Для контроля и управления проходящим через шлюз трафиком протоколов НТТР и РТР применяются Web-фильтры ISA-сервера, создаваемые на основе интерфейса ISAPI (Internet Server Application Programming Interface).
Оповещения. ISA-сервер регистрирует оповещения Windows 2000 в журнале событий.

Масштабируемость

Компьютеры с ISA Server Enterprise Edition можно объединять в массивы для обеспечения повышенной отказоустойчивости, балансирования нагрузки и распределенного кэширования. Массив ISA-серверов рассматривается и управляется как единый логический объект. Установка массива также позволяет повысить производительность и снизить потребление пропускной способности. Объединение в массивы позволяет распределять клиентские запросы между многими ISA-серверами, что сокращает время отклика на клиентские запросы. За счет распределения нагрузки между серверами массива удается добиться повышения производительности даже на оборудовании средней мощности.
Существуют и другие возможности, способствующие высокой масштабируемости ISA-серверов.
∙ Поддержка симметричных многопроцессорных вычислений (SМР).
ISA-сервер использует преимущества поддержки технологии SМР в Windows 2000 для поддержки многопроцессорных систем и масштабирования производительности вверх. Версия ISA Server Standard Edition поддерживает до 4 процессоров на компьютере, а версия ISA Server Enterprise Edition - неограниченное число процессоров, что достигается за счет использования массивов. В отличие от других программных продуктов на ISA-сервере дополнительные вычислительные мощности применяются для повышения производительности.
∙ Балансировка сетевой нагрузки (Network Load Balancing). Поставляемая в составе Microsoft Windows 2000 Advanced Server и Windows 2000 Datacenter Server служба балансировки сетевой нагрузки используется на ISA-серверах для объединения их в кластеры и обеспечения отказоустойчивости, высокой готовности и производительности. Служба NLB особенно эффективна в конфигурациях, где требуется обеспечить работу брандмауэра, обратное кэширование (Web-публикация) и публикацию серверов.

Расширяемость

Ряд сторонних поставщиков предоставляют расширения ISA-сервера, обеспечивающие дополнительные функции, такие, как обнаружение вирусов, фильтрация информации, классификация Web-узлов, расширенные возможности отчетности и администрирования.
Клиенты и разработчики также вправе создавать собственные расширения ISA-сервера. Для этого в составе ISA-сервера поставляется полноценный комплект ресурсов для разработчиков (software developmend kit, SDK), позволяющий создавать дополнительные функции на основе существующих возможностей ISA-сервера - брандмауэра, кэширования и управления. Кроме того, в составе ISA-сервера поставляются типовые сценарии, освобождающие администраторов от необходимости создавать их "с нуля": зачастую достаточно лишь изменить типовой сценарий, указав требуемые протоколы, правила или узлы, и успешно использовать его для решения своих задач.

Архитектура ISA-сервера

ISA-сервер обеспечивает защиту корпоративной сети на многих коммуникационных уровнях. ISA-сервер осуществляет фильтрацию на уровне пакетов. При включенной фильтрации пакетов ISA-сервер статически управляет пересылкой данных через внешний интерфейс, оценивая входящий и исходящий трафик до того, как тот достигает какого-либо ресурса. Данные, прошедшие через фильтры пакетов, передаются службам брандмауэра и Web-прокси, где вступают в игру правила ISA-сервера и определяется возможность обслуживания запроса.
ISA-сервер обеспечивает защиту клиентам трех типов (рис. 1-3): брандмауэра, SecureNAT и Web-прокси.
Клиенты брандмауэра - это компьютеры с установленным и работающим программным обеспечением клиента брандмауэра (Firewall Client). Запросы от клиентов брандмауэра поступают на брандмауэр ISA-сервера, где определяется возможность предоставления доступа. В дальнейшем трафик от клиента брандмауэра обычно проходит через фильтры приложений и других дополнительных модулей. Запрос НТТР-объекта клиентом брандмауэра перенаправляется редиректором НТТР на Web-прокси, который, возвращая запрошенный объект, может параллельно разместить его в своем кэше. При наличии НТТР-объекта в кэше ISA-сервер не обращается в Интернет, а возвращает копию объекта из кэша.
Клиенты SecureNAT - это компьютеры, на которых не установлен клиент брандмауэра. Запросы от клиентов SecureNAT сначала попадают на NAT-драйвер, который заменяет глобальный IP-адрес Интернета клиента SecureNAT на адрес клиента во внутренней сети. Далее запросы от клиентов брандмауэра поступают на брандмауэр ISA-сервера, где определяется возможность доступа. В дальнейшем трафик от клиента брандмауэра проходит через фильтры приложений и других дополнительных модулей. Так же как и в предыдущем случае, запрос НТТР-объекта клиентом брандмауэра перенаправляется редиректором НТТР на Web-прокси, и тот, возвращая ответ, может параллельно разместить полученный из Интернета запрошенный объект в своем кэше. Далее он не обращается в Интернет, а возвращает копию из кэша.
Клиенты Web-прокси - это любые поддерживающие стандарты CERN Web-приложения, например Microsoft Internet Explorer. Запросы от клиентов Web-прокси направляются в службу Web-прокси Web-сервера для определения возможности предоставления доступа. Служба Web-прокси возвращает запрошенный объект непосредственно из Интернета (одновременно размещая его копию в кэше) или из кэша ISA-сервера.
В таблице 1-2 описаны основные возможности ISA-сервера.

Таблица 1-2. Основные возможности Microsoft ISA Server

Практикум. Презентация, посвященная ISA-серверу

Сейчас вы посмотрите 15-минутную мультимедийную презентацию, посвященную возможностям и преимуществам ISA-сервера. Для этого дважды щелкните файл ISA_Demo.ехе, расположенный в папке \Exercises\Chapter1\ на прилагаемом к книге компакт-диске.

Резюме

ISA-сервер позволяет создавать решения подключения к Интернету масштаба целого предприятия, которые содержат устойчивый многофункциональный брандмауэр и масштабируемый Web-кэш для ускорения работы в Интернете. Брандмауэр и сервер кэширования Web-содержимого можно развертывать как по отдельности, так и совмещать - все определяется проектом сети и требованиями заказчика.

ISA-сервер поставляется в двух версиях, что позволяет удовлетворить любые бизнес-требования и требования к проектам сетей заказчика. ISA Server Standard Edition позволяет обеспечить функции брандмауэра и сервера кэширования для предприятия в небольших компаниях, рабочих группах и отдельных подразделениях. Версия ISA ISA Server Enterprise Edition предназначена для более крупных организаций и является масштабируемым решением с поддержкой брандмауэра и сервера Web-кэширования благодаря поддержке многосерверных массивов и многоуровневых политик.
Развитые функции безопасности ISA-сервера базируются на мощных возможностях баз данных безопасности в Windows 2000 и позволяют конфигурировать правила безопасности, основанные на конкретных типах трафика на уровне отдельных пользователей, компьютеров или групп Windows 2000.
Консоль управления ISA Management обеспечивает простоту управления брандмауэром и кэшем ISA-сервера. Она базируется на консоли MMC и объединяет все "рычаги управления" ISA-сервером, позволяя централизованно контролировать его работу с помощью мастеров и панелей заданий, которые существенно упрощают наиболее популярные процедуры управления. ISA-сервер также обеспечивает мощные средства управления безопасностью на основе политик. Администраторы получают возможность управлять доступом и пропускной способностью, определяя их для любых существующих элементов политики - пользователей, компьютеров, протоколов, типов информационного наполнения, расписаний и Web-узлов. Наконец, 13А-сервер - это чрезвычайно гибкая расширяемая платформа с собственным комплектом ресурсов для разработчиков (SDK) и набором типовых сценариев, которые позволяют настраивать архитектуру подключения к Интернету в соответствии с потребностям бизнеса.

Занятие 2. Брандмауэр на базе ISA-сервера

• Методы фильтрации
• Правила пропускной способности
• Интегрированная поддержка VPN
• Встроенные механизмы обнаружения вторжений
• Безопасная публикация
• Резюме

Интернет предоставляет организациям новые возможности связи с клиентами, партнерами и сотрудниками, однако его использование связано с определенным риском и трудностями, что вызывает необходимость принятия дополнительных мер для обеспечения безопасности, производительности и управляемости. Вместе с ростом популярности Интернета растут и требования к производительности и безопасности. Брандмауэр ISA-сервера позволяет решить многие связанные с защитой проблемы, предоставляя возможности по управлению доступом как извне к корпоративным сетевым ресурсам, так и из сети к серверам в Интернете. Управление доступом осуществляется на основании правил, реализуемых согласно настраиваемым политикам, число которых практически ничем не ограничено,

Изучив материал этого занятия, вы сможете:

• рассказать о трехуровневой фильтрации на ISA-сервере;
• рассказать о встроенных фильтрах приложений на ISA-сервере;
• описать типы обнаруживаемых ISA-сервером атак на уровне пакетов и на уровне приложений.

Продолжительность занятия - около 35 минут.

Методы фильтрации

Брандмауэр обеспечивает защиту, применяя различные методы фильтрации, в том числе фильтрацию пакетов, низкоуровневую фильтрацию протоколов и фильтрацию трафика приложений. На развитых брандмауэрах предприятия, к числу которых относится ISA-сервер, эти методы объединяются для обеспечения защиты на многих уровнях сети.
Фильтрация IP-пакетов
Фильтры пакетов позволяют управлять входящим и исходящим потоками IP-пакетов через ISA-сервер (рис. 1-4). При включенной фильтрации пакетов (включение и отключение фильтрации выполняется в диалоговом окне IP Packet Filters Propertiеs) на внешнем интерфейсе игнорируются (то есть не пропускаются) все пакеты, прохождение которых не разрешено явно. Система перехватывает и оценивает пакеты до того, как они попадут на более высокий уровень брандмауэра или на фильтр приложений.

Сконфигурировав фильтры IP-пакетов на разрешение пересылки лишь ограниченного числа вполне определенных типов пакетов, вы существенно повысите защищенность своей сети. Фильтрация IP-пакетов также позволяет блокировать трафик от конкретных серверов Интернета и не пропускать пакеты, которые явно относятся к наиболее популярным видам атак. Кроме того, вам предоставляется право заблокировать пакеты, адресованные определенным службам во внутренней сети, в том числе Web-прокси, Web-серверу или почтовому SMTP-серверу.
Фильтры IP-пакетов поддерживают анализ пакетов на основании таких критериев, как тип службы, номер порта, имя компьютера-источника или компьютера-приемника. Фильтры IP-пакетов статические, то есть они применяются к определенным портам и не изменяют своих свойств, постоянно пропуская или блокируя пакеты согласно заданным критериям. Разрешающие фильтры (Allow) беспрепятственно пропускают весь трафик через указанный порт, а запрещающие (Block) - полностью блокируют.
Примечание: Даже если фильтрация пакетов отключена, связь между локальной сетью и Интернетом становится возможной только после того, как вы сконфигурируете правила протокола на явное разрешение доступа.

Фильтрация на уровне каналов (протоколов)
Предусмотрена возможность конфигурировать фильтрацию на уровне отдельных протоколов трафика, проходящего через ISA-сервер, настройкой правил политики доступа и правил публикации. Как показано на рис. 1-5, эта особенность позволяет контролировать сеансы, а не просто отдельные подключения или пакеты. Сеанс часто охватывает многие подключения - таким образом обеспечивается ряд важных преимуществ для клиентов брандмауэра, работающих под управлением операционных систем семейства Windows.

Динамическая фильтрация
ISA-сервер поддерживает динамическую фильтрацию на основании правил политики доступа и правил публикации. Она позволяет автоматически открывать порты только на время связи и закрывать после разрыва подключения. Благодаря такому подходу минимизируется
число открытых портов во всех направлениях и обеспечивается высокий уровень зашиты сети.
Поддержка для протоколов, основанных на сеансах
Фильтрация на уровне каналов обеспечивает встроенную поддержку таких поддерживающих дополнительные подключения протоколов, как FTP и протоколы потоковой передачи мультимедиа. Основное и дополнительные подключения протокола указываются непосредственно в пользовательском интерфейсе без какого-либо дополни- тельного программирования или применения средств сторонних поставщиков. В процессе настройки вы можете определить номер порта или их диапазон, тип протокола, протокол TCP или UDP, а также направление - входящее или исходящее.

Фильтрация трафика приложений
Наиболее сложный вариант управления трафиком через брандмауэр - это защита на уровне приложений. Качественные фильтры приложений позволяют анализировать поток данных конкретных приложений и выполнять особые, характерные для данного приложения операции, например контроль, экранирование или 'блокирование, перенаправление или модификацию данных при их проходе через брандмауэр. Как показано на рис. 1-6, этот механизм применяется для защиты от таких угроз, как небезопасные команды SMTP или атаки на внутренние серверы DNS. Во всех средствах сторонних поставщиков, предназначенных для перекрытия доступа к определенному содержанию (экранирование), в том числе для обнаружения вирусов, лексического анализа и классификации Web-узлов, применяются Web-фильтры и фильтры приложения. Таким образом эти дополнительные программные средства расширяют функциональные возможности брандмауэра.

В составе ISA-сервера поставляются различные встроенные фильтры трафика приложений.

• Фильтры редиректора НТТР управляют пересылкой прямых НТТР - запросов от брандмауэра и клиентов SecureNAT к Web-прокси. Таким образом обеспечивается "прозрачное" кэширование для клиентов, которые не в состоянии переконфигурировать свой браузер на перенаправление запросов на Web-прокси.
• Фильтры доступа по протоколу FTP перехватывают и проверяют данные протокола РТР. Работающая в режиме ядра подсистема передачи данных обеспечивает высокую скорость для разрешенного трафика.
• Фильтры SMTP перехватывают и проверяют трафик электронной почты, пересылаемой по протоколу SMTP, таким образом защищая почтовые серверы от атак. Фильтр распознают небезопасные команды и способны проверять сообщения электронной почты на предмет запрещенного содержания или превышения размера и отбрасывать такие сообщения до того, как они достигнут почтового сервера.
• Фильтры SОСКS пересылают в службу брандмауэра ISA-сервера запросы от поддерживающих SOCKS 4.3 приложений на клиентских компьютерах без установленного клиента брандмауэра. Доступ приложения клиента SOCKS к Интернету управляется правилами политики доступа. В отличие от Winsocks SOCKS поддерживает все клиентские платформы, в том числе UNIX, Macintosh и нестандартные вычислительные устройства.
• Фильтры RPC обеспечивают сложную фильтрацию вызовов удаленных процедур для определенных интерфейсов, выбор которых определяется администратором.
• Фильтры Н.323 перенаправляют Н.323-пакеты с данными мультимедиа и телеконференцсвязи и управляет вызовами, в том числе позволяют обслуживать входящие запросы и подключаться к определенному привратнику (gatekeeper) Н.323.
• Фильтры потоковых мультимедийных данных поддерживают отраслевые стандарты, в том числе Microsoft Windows Media Technologic и оба потоковых протокола компании RealNetworks - PNA (Progressive Network Radio) и Real-time Streaming Protocol (RTSP). Они также предоставляют пользователям возможность разбивать (размножать) онлайновые потоки Windows Media и таким образом экономить полосу пропускания.
• Фильтры протокола РОР и обнаружения атак на DNS распознают и блокируют многие типы атак на внутренние серверы, в том числе переполнение буфера имени узла в DNS, переполнение буфера зонной передачи и буфера почтового протокола POP (Post Office Protocol).

Привратник Gatekeeper Н.323
Привратник Gatekeeper Н.323 используется совместно с фильтром протокола Н.323 для поддержки всех возможностей связи зарегистрированных клиентов Н.323 с приложениями, совместимыми с привратником Н.323, например Net Meeting 3.x. Привратник предоставляет зарегистрированным клиентам услуги по маршрутизации вызовов и доступу к каталогу адресатов, а также позволяет по известному псевдониму связаться с ними другим клиентам. Клиенты, зарегистрировавшиеся на Н.323 Gatekeeper, получают возможность использовать его для участия во встречах с применением видео, звука и данных в ЛВС и ГВС, через брандмауэры и Интернет. Настройка привратника Gatekeeper Н.323 выполняется средствами консоли ISA Management в узле Н323 Gatekeeper╩ (рис. 1-7). Широкая поддержка приложений
На ISA-сервере определены около 100 протоколов приложений, кроме того, администраторам предоставлено право определять дополнительные протоколы, задавая номер и тип порта, протокол - TCP или UDP - и направление. Поддержка протоколов с добавочными (вторичными) подключениями обеспечивается средствами ПО клиента брандмауэра или фильтра приложений. шлюзами или для поддержки удаленного доступа между клиентами и шлюзами через Интернет.

Правила пропускной способности

Правила пропускной способности определяют приоритеты подключений. Средства управления пропускной способностью ISA-сервера не ограничивают ее, а лишь информируют службу качества обслуживания (QoS) Windows 2000 о приоритетах тех или иных сетевых подключений. Подключениям, с которыми не связаны никакие правила пропускной способности, присваивается приоритет по умолчанию. Любое подключение с таким правилом пользуется преимуществом перед подключением с приоритетом по умолчанию.

Интегрированная поддержка VPN

ISA-сервер облегчает администраторам установку и обеспечение безопасности виртуальных частных сетей (VPN). Как показано на рис. 1-8, VPN - это расширение частной сети, простирающееся далеко за ее пределы через совместно используемые или общедоступные сети, такие, как Интернет. VPN позволяет пересылать данные между двумя компьютерами через открытые сети так, как это происходит по связи типа "точка - точка" в частной сети. ISA-сервер можно сконфигурировать как сервер VPN для обеспечения безопасной связи между

Рис. 1-8. Поддержка VPN средствами ISA-сервера

На ISA-сервере в локальной сети выполняется мастер создания локальной VPN, а на ISA-сервере в удаленной сети - мастер создания удаленной VPN. ISA-серверы подключаются к своим Интернет - провайдером (ISP). В процессе обмена информацией данные инкапсулируются и пересылаются через VPN-туннель. Основанные на отраслевых стандартах службы VPN в Windows 2000 поддерживают туннельные протоколы PPTP и L2TP/IPSec. Эти протоколы используются для управления туннелями и инкапсуляции частных данных. Для создания полноценного VPN-подключения данные, пересылаемые по туннелю, следует шифровать.

Встроенные механизмы обнаружения вторжений

В ISA-сервер встроены механизмы, которые позволяют обнаруживать атаки на сеть. Администраторы брандмауэра обычно определяют оповещения, инициируемые при обнаружении вторжения, а также ответные действия, предпринимаемые системой. В числе последних - отправка сообщения администратору по электронной почте или на пейджер, остановка службы брандмауэра, создание записи в журнале событий Windows 2000 или запуск заранее определенной программы или сценария. Обнаружение вторжений на ISA-сервере выполняется как на уровне фильтров пакетов, так и фильтров приложений.
Примечание: Функции обнаружения вторжений ISA-сервер основываются на технологии, полученной по лицензии от компании Internet Security System Inc. (ISS), расположенной в Атланте, штат Джорджия (адрес в Интернете- http://www.iss.net)

Обнаружение вторжений с помощью фильтров пакетов
Перечисленные далее типы атак ISA-сервер обнаруживает на уровне фильтров пакетов.

• Сканирование всех портов (Port scan) - попытка подключиться к большему числу портов, чем настроено на сервере.
• Атака перечисления портов (enumerated port scan) - попытка перечислить все работающие на компьютере службы путем направления запросов на все порты и получения ответов.
• IP-атака без создания подключения (IP half scan) - выполняется много попыток подключиться к атакуемому компьютеру, однако атакующий уклоняется от создания подключения. Таким образом нападающий пытается обнаружить открытые порты и при этом избежать регистрации подключения системой.
• Атака с обратной адресацией (land attack) предусматривает создание TCP-подключения, в котором ложный IP-адрес и порт источника совпадает с IP-адресом и номером порта атакуемого компьютера. В некоторых реализациях протокола TCP такая атака вызывает зацикливание и аварийный отказ компьютера.
• "Ping смерти" (Ping of death) - к пакету запроса или контроля связи (Ping) по протоколу ICMP (Internet Control Message Protocol) добавляются избыточные данные. Успешно выполненное нападение приводит к переполнению буферов ядра при попытке ответить и аварийному отказу компьютера.
• UDP-бомба (UDP-bomb) - отправка атакуемому некорректного UDP-пакета. В некоторых ранних версиях операционных систем получение UDP-пакета с ошибочными значениями в определенных полях вызывает разрушение ОС.
• Атака передачи срочных данных в Windows (Windows out-of-band attack) - предпринимается в попытке вызвать отказ в обслуживании компьютера, защищенного ISA-сервером. Успешное нападение вызывает аварийный отказ компьютера или нарушение его подключения к сети.

Фильтры приложений с поддержкой POP и DNS

На ISA-сервере также предусмотрены фильтры приложений с поддержкой POP и DNS, которые анализируют весь входящий трафик на предмет обнаружения атак. Фильтр обнаружения атак на DNS перехватывает и анализирует весь трафик DNS, направленный во внутреннюю сеть. Фильтр обнаружения атак по POP перехватывает и анализирует весь трафик протокола POP, поступающий во внутреннюю сеть. Фильтры конфигурируются на обнаружение типов атак, описанных далее.

• Переполнение буфера имен узлов в DNS (DNS Hostname Overflow) происходит, когда ответ DNS на запрос имени узла превышает установленную длину. Приложения, не проверяющие длину имен узлов, могут, возвращая слишком длинное имя, вызывать переполнение внутреннего буфера, что позволяет удаленному злоумышленнику выполнять свои команды на атакуемом компьютере.
• Переполнение буфера номера узла в DNS (DNS Light Overflow) обусловлено ограниченной 4 байтами длиной поля IP-адресов. Создавая ответ DNS большей длины, некоторые приложения поиска в DNS переполняют внутренние буферы, предоставляя удаленному злоумышленнику возможность выполнить его любые команды.
• Зонная передача в DNS (DNS Zone Transfer) с привилегированных портов (с номерами 1 - 1024) выполняется, когда приложение клиента DNS применяется для передачи данных зоны с внутреннего сервера DNS. Номер порта источника относится к диапазону привилегированных номеров порта, указывая на клиентский процесс.
• Зонная передача в DNS с портов верхнего диапазона (с номерами более 1024) выполняется, когда приложение клиента DNS применяется для передачи зоны с внутреннего сервера DNS. Номер порта источника относится к диапазону номеров портов верхнего диапазона, указывая на клиентский процесс.
• Переполнение буфера POP (POP Buffer Overflow) - нападающий пытается получить корневой доступ к серверу POP путем переполнения внутреннего буфера на сервере.

Безопасная публикация

Для обработки входящих запросов на внутренние серверы, например SMTP, FTP, серверы базы данных и другие, на ISA-сервере применяется механизм публикации серверов. Запросы перенаправляются внутреннему серверу, расположенному ниже по иерархии, чем ISA-сервер.
Публикация серверов позволяет опубликовать в Интернете практически любой компьютер внутренней сети. При этом защита не нарушается, так как все входящие запросы и исходящие ответы проходят через ISA-сервер. При публикации сервера компьютером ISA-сервера, его IP-адресом фактически становится адрес ISA-сервера. Посетители, запрашивающие объекты, полагают, что общаются с ISA-сервером - компьютером, IP-адрес которого они используют, а на самом деле взаимодействие осуществляется с опубликованным сервером.
Например, при наличии Microsoft Exchange Server и ISA-сервера вы вправе создавать правила публикации сервера, в которых оговорена публикация сервера электронной почты в Интернете. В описанной ситуации брандмауэр ISA-сервера перехватывает электронную почту, приходящую на Exchange Server, а значит, ISA-сервер выглядит для клиентов как сервер электронной почты. ISA-сервер позволят фильтровать трафик пересылаемый на Exchange Server в соответствии с любыми, заранее определенными администратором правилам и политикам. Доступ к Exchange Server никогда не предоставляет внешним пользователям напрямую - сервер расположен в своей безопасной среде и продолжает взаимодействовать с другими внутренним сетевыми службами напрямую.

Рис. I-9 иллюстрирует, как описанным способом ISA-сервер применяется для безопасной публикации Web-серверов.

Когда клиент Интернета запрашивает объект Web-сервера, запрос направляется на IP-адрес ISA-сервера. Правила Web-публикации, сконфигурированные на ISA-сервере, распознают запрос и пересылают его на внутренний Web-сервер.

Резюме

Брандмауэр ISA-сервера обеспечивает фильтрацию на трех уровнях. Во-первых, контролируя прохождение IP-пакетов, ISA-сервер пропускает или блокирует подключение на основании информации о типе службы, номере порта, имени компьютера-источника или компьютера-приемника. Фильтры пакетов IP статичны: они работают лишь на определенных портах и либо пропускают, либо блокируют прохождение пакетов. Во-вторых, ISA-сервер обеспечивает поддерживающие сеансы механизмы фильтрации на уровне каналов в форме правил политики доступа и правил публикации. Эта особенность позволяет выполнять динамическую фильтрацию пакетов и обеспечить поддержку протоколов с добавочными подключениями. И, наконец, фильтры трафика приложений на ISA-сервере применяются для анализа потоков данных отдельных приложений и выполняют особые преобразования в зависимости от типа приложения, в том числе контроль, экранирование или блокировку, перенаправление или изменение данных при проходе через брандмауэр.
Сложная многослойная структура брандмауэра ISA-сервер позволяет создавать мощные и гибкие политики управления доступом, обнаружения вторжений, безопасной публикации серверов, выделения пропускной способности в соответствии с приоритетами и интеграцией с VPN.

Занятие 3. Кэширование на ISA-сервере

• Высокопроизводительный WEB-кэш
• Сервер прямого Web-кэширования
• Сервер обратного Web-кэширования
• Загрузка информации по расписанию
• Активное кэширование
• Протокол CARP и Масштабируемость сервера кэширования
• Иерархическое кэширование
• Маршрутизация Web-прокси
• Резюме

Для повышения производительности сети на 15А-сервере реализован кэш, в котором хранятся часто запрашиваемые объекты. Чтобы в кэше размешались данные, наиболее часто используемые в компании и запрашиваемые пользователями Интернета, необходимо его сконфигурировать соответствующим образом.

Изучив материал этого занятия, вы сможете:

• объяснить различие между прямым и обратным Web-кэшированием;
• рассказать, как протокол Cache Array Routing Protocol используется для улучшения процедур конфигурирования кэша массива ISA-серверов;
• рассказать о преимуществах иерархических конфигураций кэширования на базе ISA-серверов.

Продолжительность занятия - около 30 минут.

Высокопроизводительный Web-кэш

Служба Web-прокси ISA-сервера поддерживает кэш Web-объектов, которые возвращаются в ответ на клиентские запросы. Если в кэше нет запрошенного объекта, инициируется новый запрос от имени клиента. Получив ответ от удаленного Web-сервера, Web-сервер кэширует его и возвращает ответ клиенту.
В процессе быстрого кэширования в памяти ISA-сервера наиболее часто запрашиваемые данные размещаются в оперативной памяти компьютера. Это позволяет сократить время отклика, так как нужные данные извлекаются из памяти, а не с диска. ISA-сервер также поддерживает оптимизированный кэш дискового ввода-вывода, который сокращает время операций дискового чтения и записи. Перечисленные методики уменьшают время отклика и повышают общую производительность системы.

Сервер прямого Web-кэширования

ISA-сервер можно установить в качестве сервера прямого Web-кэширования, который поддерживает доступ в Интернет клиентов внутренней сети. Web-сервер поддерживает централизованный кэш часто запрашиваемых объектов Интернета, доступ к которым осуществляется с любого браузера на компьютере, расположенном за брандмауэром во внутренней сети. На предоставление объектов из кэша уходит существенно меньше ресурсов и времени, чем на загрузку данных из Интернета. Таким образом, кэширование позволяет повысить производительность клиентского браузера, снизить время ответа на пользовательский запрос и сократить потребление пропускной способности на подключениях к Интернету.
Рис. 1-10 иллюстрирует преимущества кэширования на ISA-сервере для пользователей. Хотя на рисунке показан лишь механизм прямого Web-кэширования (когда клиенты из внутренней сети обращаются в Интернет), процесс обратного Web-кэширования (когда пользователи Интернета запрашивают ресурсы у опубликованных Web-серверов во внутренней сети) полностью аналогичен.

1. Первый пользователь (Клиент 1) запрашивает Web-объект.
2. ISA-сервер проверяет, нет ли запрошенного объекта в кэше. Так как объекта там нет, ISA-сервер запрашивает его у соответствующего сервера в Интернете.
3. Сервер в Интернете возвращает объект ISA-серверу.
4. ISA-сервер размещает копию объекта в своем кэше и возвращает объект Клиенту 1.
5. Клиент 2 запрашивает тот же самый объект.
6. Компьютер ISA-сервер возвращает объект из кэша, не обращаясь в Интернет.

Сервер обратного Web-кэширования

ISA-сервер можно разместить перед Web-сервером, на котором располагаются коммерческие связанные с бизнесом Web-ресурсы или который поддерживает связь с деловыми партнерами. С точки зрения внешних пользователей, ISA-сервер выполняет роль Web-сервера, обслуживая клиентские запросы Web-информации из своего кэша и переправляя запросы на Web-сервер только тогда, когда нужных данных в кэше нет.
Как показано на рис. 1-11, когда клиент Интернета из Франции запрашивает информацию у Web-сервера, расположенного в локальной сети в Канаде, ISA-сервер во Франции анализирует запрос. Если требуемые данные имеются в кэше ISA-сервера, информация немедленно возвращается клиенту. Высокая производительность достигается за счет предоставления данных с компьютера ISA-сервера, который находится ближе к клиенту.

Если требуемого объекта на французском ISA-сервере нет, запрос переправляется на ISA-сервер в Канаде. Если объекта нет и в кэше массива в Канаде, канадский массив ISA-серверов обращается за объектом к web-серверу.

Загрузка информации по расписанию

На ISA-сервере возможности повышения производительности кэширования расширены за счет загрузки кэша по расписанию. Служба загрузки содержимого по расписанию (Scheduled Content Download) позволяет получать данные по протоколу HTTP прямо в кэш ISA-сервера - как по запросу, так и по расписанию. В дальнейшем вы можете загружать в кэш ISA-сервера данные, которые, как ожидается, понадобятся клиентам в организации. Эта информация будет предоставляться пользователям непосредственно из кэша 15А-сервера, а не из Интернета.

Вы вправе загрузить как несколько страниц данных, так и содержание всего Web-узла. При создании задания на загрузку данных в кэш можно определить, какую информацию следует загружать, например лишь данные из одного домена или с заданной глубиной (числом переходов) от указанного адреса, а также ограничиться лишь загрузкой текста. Разрешается конфигурировать ISA-сервер на кэширование динамического содержания - даже если в заголовках управления кэшем протокола HTTP указано, что информация не кэшируется. Загрузка выполняется по расписанию в заданное время или периодически с определенным интервалом.

Запланированные задания загрузки настраиваются как для исходящих, так и входящих Web-запросов. Для исходящих запросов определяются наиболее часто запрашиваемые пользователями Интернета ресурсы. Далее настраиваются задания для загрузки в кэш данных из Интернета, которые в дальнейшем предоставляются пользователям внутренней сети. Для входящих Web-запросов данные локального Web-сервера загружаются в кэш ISA-сервера для предоставления информации пользователям Интернета с него, а не с Web-сервера.

Активное кэширование

ISA-сервер можно сконфигурировать на автоматическое обновление объектов кэша. При включенном активном кэшировании ISA-сервер анализирует объекты в кэше, определяя, какие из них запрашиваются особо часто. При "устаревании" популярных объектов ISA-сервер автоматически обновляет их копию в кэше.

Активное кэширование позволяет хранить в кэше и предоставлять клиентам самые свежие копии объектов, регулярно загружая их с исходного Web-сервера до истечения срока их годности. Основная цель этого - ускорение доступа для клиентов, при котором в обычных условиях потребовалось бы запросить и получить ответ от исходного сервера в процессе проверки "свежести" данных. Так как активное кэширование создает определенную нагрузку (как на прокси, так и на подключение к Интернету), обновлять рекомендуется только объекты, которые наверняка понадобятся клиентам.

Одной частоты обращения недостаточно для определения данных, нуждающихся в обновлении, ведь многие популярные страницы не успевают устареть, так как клиенты обновляют их вручную. Другие же объекты оказываются востребованными лишь короткое времени. При определении нужных объектов механизм активного кэширования следует правилу: кэшируются лишь устаревающие объекты, повторно запрашиваемые клиентами.

Протокол CARP и масштабируемость сервера кэширования

Версия Enterprise Edition ISA-сервера оснащена поддержкой протокола CARP (Cache Array Routing Protocol), который используется для обеспечения "гладкого" масштабирования и повышенной производительности при работе нескольких ISA-серверов с объединенным логическим кэшем. Для определения "пути разрешения запроса" в пределах массива в CARP используется маршрутизация, основанная на хеше. Путь разрешения запроса либо указывает точное местоположение нужной информации в массиве или в кэше подчиненного сервера, либо информирует о необходимости первичной загрузки и кэширования данных из Интернета.

CARP обладает рядом преимуществ.

• За счет четкого определения местоположения запрашиваемой информации в протоколе CARP отсутствует обмен сообщениями-запросами между прокси-серверами, который обычно выполняется в сетях с протоколом ICP (Internet Cache Protocol) и увеличивает нагрузку на сеть, особенно при большом числе серверов.
• CARP устраняет дублирование информации, которое при других условиях случается в массиве прокси-серверов. В сети с ICP в кэшах массива из пяти серверов может быстро накапливаться дублирующая информация, полученная с наиболее часто запрашиваемых URL-адресов. Основанная на хеше маршрутизация в CARP предотвращает дублирование, поддерживая единый логический кэш на всех пяти прокси-серверах. В результате время ответа на запрос существенно уменьшается, кроме того, гораздо эффективнее используются ресурсы сервера.
• CARP обеспечивает эффективную масштабируемость при росте числа серверов. Благодаря основанной на хеше маршрутизации, не нужен обмен сообщениями между равноправными узлами, а значит, CARP работает быстрее и эффективнее при добавлении дополнительных прокси-серверов. Этот механизм существенно отличается от механизма протокола ICP, в котором для определения местоположения нужной информации применяются сообщения - чрезвычайно неэффективный процесс, инициирующий значительный добавочный сетевой трафик. Массивы ICP характеризуются "отрицательной масштабируемостью", то есть чем больше серверов в массиве, тем больше запросов в сети, что, естественно, перегружает сеть.
• CARP автоматически реконфигурируется при добавлении или удалении серверов массива. Благодаря основанной на хеше маршрутизации, при добавлении или удалении серверов требуется лишь незначительное переназначение в кэше информации с различных URL-адресов,
• CARP обеспечивает управляемое распределение данных в кэше между серверами массива - равномерное или в соответствии коэффициентами, определенными для отдельных серверов. За счет четкого определения местоположения запрашиваемой информации в CARP не нужно поддерживать объемные таблицы расположения информации кэша. Браузер выполняет с объектами стандартные операции.

ISA-серверы массива иногда имеют различное по мощности оборудование, что требует распределять нагрузку кэширования неравномерно. В протоколе CARP предусмотрена перенастройка конфигурации с определением коэффициентов нагрузки для отдельных серверов массива.

Кроме того, CARP поддерживает раздельную настройку для входящих и исходящих Web-запросов. Например, можно разрешить CARP для исходящих запросов и запретить - для входящих.

Иерархическое кэширование

Версия Enterprise Edition ISA-сервера поддерживает так называемое иерархическое кэширование, или кэширование в цепочках. Под иерархией (или цепочкой) подразумевается структура, состоящая из ISA-серверов или их массивов. В процессе поиска требуемого объекта в кэше клиентские запросы пересылаются вверх по иерархии. После обнаружения искомого объекта результат запроса проходит через кэши всех серверов в цепочке, пока не возвращается клиенту. Иерархии - это эффективное средство распределения нагрузки между серверами и обеспечения отказоустойчивости. Администраторы вправе создавать иерархии ISA-серверов в филиалах и подразделениях.
На рис. 1-12 показан клиент в филиале, запрашивающий информацию в Интернете. Запрос поступает на ISA-сервер филиала, а затем (но до обращения в Интернет) - в региональное отделение или штаб-квартиру. После извлечения нужной информации из Интернета ISA-сервер в штаб-квартире кэширует ее и возвращает ISA-серверу филиала, который в свою очередь также кэширует данные и только после этого возвращает их клиенту. Преимущество иерархического кэширования в приведенной схеме заключается в том, что при первичном обращении данные пересылаются из Интернета через штаб-квартиру, а при повторных запросах - предоставляются непосредственно из массива ISA-серверов в филиале.

Иерархическое кэширование важно для бизнеса, так как обеспечивает максимальную близость информации в кэше к потребителю. Например, на предприятии механизм кэширования охватывает не только одно, центральное местоположение на краю сети организации, а распространяется на уровень рабочих групп и филиалов. У сети Интернет-провайдера структура кэширования может кроме центральной охватывать и региональные точки присутствия. Кроме того, кэширование по цепочке обеспечивает отказоустойчивость, создавая резервные маршруты, которые используются в случае выхода из строя основного маршрута.

Маршрутизация Web-прокси

Концепция создания иерархии (или цепочек) серверов получила развитие в правилах маршрутизации Web-прокси, которые подразумевают условную маршрутизацию, в зависимости от адресата. Представьте себе, что компания установила ISA-сервер в своем филиале в Великобритании и подключила его к местному Интернет-провайдеру. Далее администраторы настроили правило маршрутизации на ISA-сервере в филиале, предусматривающее перенаправление запросов к британским узлам Интернета локальному Интернет-провайдеру, а всех остальных запросов - на массив ISA-серверов в штаб-квартире в США. Здесь подчиненный ISA-сервер в британском филиале пользуется преимуществами кэша на ISA-сервере в штаб-квартире. Дополнительным преимуществом также является добавочное кэширование локальных объектов, загруженных на ISA-сервер в филиале, через локального Интернет-провайдера.
Рис. 1-13 иллюстрирует, как запросы Web-прокси перенаправляются на разные серверы в зависимости от адреса запрашиваемых узлов. ISA-сервер в филиале переправляет в Интернет все клиентские запросы Web-узлов внутри страны. Запросы других узлов направляются вверх по иерархии на ISA-сервер в США.

Резюме

ISA-сервер применяется для совершенствования связи между локальной сетью и Интернетом. Выполняя прямое Web-кэширование, ISA-сервер сохраняет данные для клиентов внутренней сети при их обращении к данным в Интернете. Обратное Web-кэширование используется для обслуживания запросов внешних клиентов, обращающихся к опубликованным серверам во внутренней сети. В обеих описанных ситуациях ISA-сервер облегчает и ускоряет доступ пользователей к информации.

Механизм кэширования на ISA-сервере также предоставляет и другие возможности:

• кэширование по расписанию - поддерживается конфигурирование ISA-сервера для плановой загрузки в кэш часто запрашиваемой информации из Интернета;
• активное кэширование - автоматическая загрузка часто изменяемых данных в периоды снижения сетевого трафика;
• распределенное кэширование - версия Enterprise Edition ISA-сервера поддерживает протокол CARP, который позволяет объединять кэши многих ISA-серверов в единый логический кэш;
• иерархическое кэширование - ISA-серверы версии Enterprise Edition объединяются в иерархическую структуру с созданием цепочек кэшей. В этом случае клиенты, как правило, получают запрошенную информацию из кэша самого географически близкого к ним сервера.

Занятие 4. Особенности управления ISA-сервером

• Интуитивно понятный пользовательский интерфейс
• Встроенные механизмы администрирования
• Управление доступом на основе политик
• Многоуровневая политика
• Резюме

Отраслевые исследования показывают, что большинство изъянов защиты обусловлено неудовлетворительной настройкой брандмауэров, а не плохой работой оборудования или программного обеспечения. ISA-сервер упрощает обеспечение безопасности, облегчая процедуры внедрения надежного брандмауэра путем предоставления интуитивно понятных, но тем не менее мощных средств управления.

Изучив материал этого занятия, вы сможете:

• рассказать, как средствами ISA-сервера обеспечить централизованное администрирование и как оно позволяет повысить безопасность сети;
• рассказать, как администраторы применяют политики предприятия и массивов для гибкого управления доступом в Интернет.

Продолжительность занятия - около 20 минут.

Интуитивно понятный пользовательский интерфейс

ММС-оснастка ISA Management представляет собой знакомый и удобный интерфейс для выполнения практически всех задач по администрированию ISA-сервера. Она обеспечивает простоту и управляемость процессов администрирования ISA-сервера. Графические панели заданий (taskpad) в ISA Management: позволяют "одним щелчком мыши" решить стандартные задачи и запустить мастера, которые упрощают наиболее часто выполняемые процедуры управления, в том числе:

• начальные операции;
• конфигурирование VPN-подключений - локальных, удаленных и типа "клиент - сервер";
• определение правил протоколов;
• создание правил узлов и содержимого;
• создание правил пропускной способности;
• конфигурирование безопасной публикации;
• конфигурирование почтового сервера защищенного ISA-сервером, публикацию и обеспечение его безопасности, а также конфигурирование политики почтовых служб;
• обеспечение безопасности систем с ограниченными возможностями по конфигурированию пользователями.

Встроенные механизмы администрирования

ISA-сервер поддерживает функции и брандмауэра, и сервера кэширования как на отдельных серверах, так (в версии ISA Server Enterprise Edition) и в массивах. Предусмотрена также возможность устанавливать отдельные ISA-серверы для выполнения разных функций, то есть выделять отдельные компьютеры для разных компонентов, а администрирование выполнять централизованно, средствами одной оснастки. Единый механизм управления упрощает задачу одновременного управления и защитой сети, и производительностью Web-доступа. Единый интерфейс конфигурирования политик доступа, применяемых как к брандмауэру, так и серверу кэширования, обеспечивает непротиворечивость и последовательность процедур управления доступом в Интернет.

• Унифицированная политика и управление доступом - независимо от режима (брандмауэр, сервер Web-кэширования или смешанный). ISA-сервер предоставляет непротиворечивые процедуры управления доступом в Интернет на основании политик управления доступом. Ограничения доступа, заданные на брандмауэре, применяются и к серверу Web-кэширования.
• Унифицированные механизмы управления - единый интерфейс управления Web-кэшированием и брандмауэром предоставляет множество преимуществ. Брандмауэр и сервер Web-кэширования совместно используют одни службы регистрации событий, отчетности и оповещения.

Централизованное администрирование обычно обеспечивает большую безопасность. Все административные операции выполняются с одного компьютера, а заданная конфигурация применяется ко всем компьютерам, обеспечивая унификацию конфигурации политик доступа. Это особенно важно для крупных организаций, где массивы состоят из большого числа ISA-серверов.

Управление доступом на основе политик

Web-сервер позволяет определять и проводить в жизнь единую для всей организации политику работы с Интернетом. Контроль всех входящих и исходящих запросов и применение правил доступа на ISA-сервере гарантирует выполнение требований этих политик пользователями внутренних и внешних сетей.
На ISA-сервере применяются предопределенные, настраиваемые, расширяемые и повторно используемые элементы политик, в том числе перечисленные далее:

• подмножества адресов клиентов - IP-адреса или, при наличии службы каталогов Active Directory, прошедшие аутентификацию пользователи и группы;
• подмножества адресатов во внешних сетях - URL-адреса;
• протоколы;
• типы информации - различные виды данных в Интернете, например файлы со звуком, видео, текстом или изображениями. Поддерживается более подробная детализация, например файлы с расширениями .wav, .mpЗ, .MOV или .GIF;
• задания (графики);
• приоритеты пропускной способности.

Эти и другие элементы политики определяются в оснастке ISA Management (рис. 1-14).

После определения элементы политики используются для создания политик доступа, которые состоят из названий протоколов и правил узлов и содержимого. Правила протоколов (рис. 1-15) определяют перечень протоколов разрешенных для взаимодействия между локальной сетью и Интернетом. Например, правило протокола, которое разрешает клиентам работать по протоколу HTTP. Правила узлов и содержимого определяют, какие данные узлов Интернета доступны клиентам внутренней сети, защищенной ISA-сервером. В том числе посредством правил, к примеру, можно предоставлять клиентам ничем не ограниченный доступ к любым узлам Интернета.

Кроме конфигурирования политики доступа в Интернет администраторы вправе настраивать политику публикации серверов для доступа внешних клиентов. Эти политики состоят из правил публикации серверов или правил Web-публикации. Правила публикации серверов фильтруют все входящие запросы, при необходимости преобразуют их и направляют соответствующим серверам во внутренней сети. Правила Web-публикации преобразуют и пересылают входящие запросы на Web-серверы внутренней сети, защищенной ISA-сервером.

Многоуровневая политика

Версия Enterprise Edition ISA-сервера поддерживает два уровня политики - массива и предприятия.
Примечание: Версия Standard Edition ISA-сервера поддерживает только политику автономного сервера.

Политика массива
ISA Enterprise Edition устанавливается либо как автономный сервер, либо в качестве узла массива. В массиве или на автономном сервере политика массива состоит из правил узлов и содержания, правил протоколов, фильтров IP-пакетов, правил Web-публикации и правил публикации серверов. Для всех членов массива задана единая конфигурация, что облегчает управление и администрирование. При изменении конфигурации массива изменяются параметры всех ISA-серверов массива, в том числе все политики доступа и кэширования.
Политика предприятия
Политика предприятия стоит на уровень выше. Ее можно применить к одному или нескольким массивам в корпоративной сети. Политика предприятия состоит из правил протоколов и правил узлов и содержания. Она применяется к любому массиву (рис. 1-16) и расширяется за счет собственной политики массива.

Разрешение поддержки обеих политик - предприятия и массива - позволяет обеспечить реализацию единой корпоративной политики во всей организации. В то же время можно предоставить локальным администраторам право по мере необходимости изменять конфигурацию на уроне отделов или филиалов. Например, политика предприятия разрешает доступ по протоколу HTTP и запрещает любые другие протоколы. На уровне массива, где действует указанная политика предприятия, разрешается добавить правило, ограничивающее круг субъектов, которым доступен протокол HTTP. Переопределение политики предприятия политикой массива запрещено, то есть в массиве нельзя разрешить связь по другим протоколам.

Резюме

ISA-сервер упрощает обеспечение безопасности, облегчая процедуры установки защищенного брандмауэра и сервера кэширования, а также предоставляя, интуитивно понятные, но тем не менее мощные средства управления. Графические панели заданий (taskpad) в ISA Management позволяют "одним щелчком мыши" решать стандартные задачи и запускать мастера, которые упрощают наиболее популярные процедуры управления. Централизованное администрирование обычно обеспечивает большую безопасность. Все административные операции выполняются с одного компьютера, а заданная конфигурация применяется ко всем компьютерам, обеспечивая унификацию конфигурации политик доступа.

ISA-сервер позволяет определять и проводить в жизнь единую для всей организации политику работы с Интернетом посредством назначения правил для предопределенных и пользовательских элементов политик. Разрешение поддержки и конфигурирование обеих политик - предприятия и массива - позволяет обеспечить реализацию единой корпоративной политики во всей организации. В то же время можно предоставить локальным администраторам право по мере необходимости изменять конфигурацию на уровне отделов или филиалов.

Закрепление материала

Приведенные ниже вопросы помогут вам лучше усвоить основные темы данной главы. Если вы не сумеете ответить на вопрос, повторите материал соответствующего занятия. Ответы для самопроверки ? в приложении А: "Вопросы и ответы" в конце книги.

1. Какой протокол позволяет браузерам автоматически подключаться к ISA-серверу?
2. Какие функции выполняет фильтр редиректора HTTP?
3. Как и когда в конфигурации ISA-сервер применяется служба каталогов Active Directory?
4. Каковы преимущества протокола CARP по сравнению с протоколом ICP?
5. Зачем применяются многоуровневые политики в версии ISA Server Enterprise Edition?
6. Какая возможность в Windows 2000 Advanced Server или Windows 2000 Datacenter Server позволяет повысить производительность массива ISA-серверов версии Enterprise Edition?