Microsoft ISA Server & Forefront TMG

16 советов для развертывания правил доступа в Isa Server...
Спасибо Dave за перевод! Smile

1. Компьютер это вещь безмозглая. Вы должны проверять конфигурацию ISA сервера когда его поведение не соответствует вашим ожиданиям.
2. Разрешайте доступ выборочно. Предоставляйте доступ только для тех пользователей, внутренних источников, назначений и протоколов которые вам необходимы, и тщательно проверяйте каждое правило. Используйте запрещающие правила только в том случае, когда вы не можете проконтролировать доступ разрешающими правилами.
3. Запрещающее правило должно идти по списку раньше разрешающего правила когда они применяются к одним и тем же элементам политики как, например, пользователи или айпишники.
4. Когда вам необходимо использовать запрещающее правило явно, как например запретное правило для какого-то определенного юзера или чьего-то айпишника, то оно должно быть обработано первым.
5. Располагайте правила, которые будут обрабатываться чаще других вначале списка если это не повлияет на эффективность вашей firewall-политики. Это правила, которые имеют большую вероятность соответствия к срабатыванию, как например правила, которые прнименяются к "Всем пользователям" или "Всем аутентифицированным пользователям". Это дает возможность ISA серверу обрабатывать правила более эффективно.
6. Сделайте вашу firewall-политику как можно проще.
7. Никогда не используйте правило "Allow all To all", т.к. в этом случае ISA сервер теряет контроль доступа.
8. Не создавайте правил, которые дублируют правила системной политики.
9. Помните, что каждое правило обрабатывается независимо. Хотя правила и обрабатываются по порядку, каждое обрабатывается само по себе (отдельно) когда firewall идет по списку.
10. Никогда не давайте доступа "Для всех" к localhost. Внутренняя сеть также должна рассматриваться со стороны недоверия.
11. SecureNAT-клиенты не могут быть аутентифицированы, поэтому используйте Web proxy клиентов и Firewall-клиентов, когда необходимо аутентифицировать пользователей.
12. Если есть возможность, используйте правила, основанные на IP-адресах, а не на пользователях, потому что они обрабатываются быстрее.
13. Настраивайте клиентов как Web proxy клиентов когда вы в правилах используете Domain Name Sets или URL Sets. В противном случае, разрешающее правило доступа может быть проигнорировано из-за ошибки реверсного разрешения доменного имени и может стать причиной медленной работы.
14. Используйте фильтрацию приложений (application filtering) (таких как HTTP filter) только когда это действительно необходимо. Использование фильтров может повлиять на производительность.
15. Помните, что последним правилом в списке firewall-политики является правило "Deny All".
16. Ну и напоследок, тестируйте вашу политику сначала в "песочнице", прежде чем запускать ее в реальное использование.

Спасибо за помощь моим наставникам по ISA Server: Thomas Shinder и Ronald Beekelaar.


Пост от Thu, Apr 3 2008 16:23 от Stone
Copyright 2003-2017 www.IsaServer.Ru

Rambler's Top100 Яндекс.Метрика Яндекс цитирования