Как использовать сетевые шаблоны в ISA Server 2006.

Оригинал.

Введение.

Microsoft ISA Server 2006 представляет собой многоуровневый брандмауэр (Multilayer Firewall) для управления доступом между сетями. ISA Server 2006 использует следующие объекты для создания соединений между сетями и для управления сетевым трафиком между ними:

- Сети (Networks)

- Сетевые правила (Network rules)

- Правила брандмауэра (Firewall rules)

Сети.

ISA Server использует многосетевую модель (multi network model), позволяющую администраторам ISA Server иллюстрировать каждую физическую сеть, к которой подключен ISA Server.

Сначала нужно создать сети в качестве базового элемента в ISA Server 2006.

Сетевые правила.

После того как администратор ISA определил все необходимые сети, эти сети нужно привести к взаимодействию с теми сетями, через которые будет проходит поток сетевого трафика. В ISA Server 2006 можно создавать два различных типа сетевых правил:

- Маршрутизация (Route): Сетевое правило с типом Route создает двунаправленные сетевые подключения между двумя сетями, которые направляют оригинальные IP адреса между этими сетями.

- Трансляция сетевых адресов (NAT): Сетевое правило с типом NAT (Network Address Translation) создает однонаправленное сетевое подключение между двумя сетями, которое заменяет IP адреса сетевого сегмента IP адресом соответствующего сетевого адаптера ISA Server.

Правила брандмауэра.

После того как все сети и сетевые правила определены, необходимо контролировать сетевой трафик между этими сетями с помощью правил брандмауэра.

Обзор Сетей в ISA.

Чтобы получить обзор конфигурации сетей ISA Server, запустите консоль ISA Server MMC, перейдите в Конфигурацию (Configuration) -> Сети (Networks). Здесь вы найдете различные закладки:

- Сети (Networks)

- Наборы сетей (Network Sets)

- Сетевые правила (Network Rules)

- Веб-цепочки (Web Chaining)

Во вкладке Сети перечислены все сети, определенные на ISA Server, в закладке Наборы сетей сети группируются в сетевые группы, вкладка Сетевые правила определяет Route (маршрутизация) или NAT отношения между сетями, а во вкладке Веб-цепочка создается веб маршрутизация (Web routing) для веб запросов.

Рисунок 1: Сети ISA Server 2006.

Справа в панели задач вы найдете вкладку шаблонов. В этой вкладке перечислены все доступные сетевые шаблоны, которые администраторы ISA Server могут использовать для построения собственных сетей.

Здесь есть пять шаблонов:

- Edge Firewall (Пограничный межсетевой экран);

- 3-Leg Perimeter (Трёхзонная конфигурация сервера);

- Front Firewall (Внешний межсетевой экран);

- Back Firewall (Внутренний межсетевой экран);

- Single Network Adapter (Одна сетевая плата).

Рисунок 2: Сетевые шаблоны ISA Server 2006.

Edge Firewall (Пограничный межсетевой экран).

Шаблон Edge Firewall представляет собой классический сетевой шаблон и подключает внутреннюю сеть, защищенную ISA Server`ом к интернету.

Рисунок 3: ISA Server 2006 сетевой шаблон Edge Firewall (Пограничный межсетевой экран).

Типичный шаблон Edge Firewall требует двух сетевых адаптеров на сервере ISA Server. Для дополнительной информации о шаблоне Edge Firewall прочтите статью, написанную Томом Шиндером: Using ISA Server 2004 Network Templates to Automatically Create Access Policy: The Edge Firewall Template

3-Leg Perimeter (Трёхзонная конфигурация сервера).

3-Leg Perimeter Firewall – это ISA Server с тремя и более сетевыми адаптерами. Один сетевой адаптер подключен для внутренней сети, один – для внешней сети и один – для сети DMZ (DeMilitarized Zone), также известной как Сеть периметра (Perimeter Network). Сеть периметра содержит службы, к которым нужен доступ из интернета, но которые также должны быть защищены с помощью ISA Server. Типичными службами сети DMZ являются веб серверы, DNS серверы и прочее. 3-Leg Perimeter Firewall также часто называют «Брандмауэром бедного человека» (‘Poor Man’s Firewall’), потому что это не совсем DMZ. Настоящая DMZ представляет собой зону между двумя различными брандмауэрами.

Рисунок 4: ISA Server 2006 сетевой шаблон 3-Leg Perimeter (Трёхзонная конфигурация сервера).

Front Firewall (Внешний межсетевой экран).

Шаблон Front Firewall предполагает, что ISA Server расположен перед другим брандмауэром непосредственно на краю (Edge) сети. Место между брандмауэрами Front Firewall и Back Firewall можно использовать в качестве сети периметра или DMZ.

Рисунок 5: ISA Server 2006 сетевой шаблон Front Firewall (Внешний межсетевой экран).

Back Firewall (Внутренний межсетевой экран).

Шаблон Back Firewall может использоваться администраторами ISA Server, когда ISA Server расположен за брандмауэром Front Firewall. Брандмауэр Back Firewall защищает внутреннюю сеть от доступа из сети DMZ и из внешней сети, а также контролирует сетевой трафик, разрешенный с узлов сети DMZ и с Front Firewall.

Рисунок 6: ISA Server 2006 сетевой шаблон Back Firewall (Внутренний межсетевой экран).

Single Network Adapter (Одна сетевая плата).

Шаблон с одним сетевым адаптером имеет некоторые ограничения, поскольку ISA Server с одним сетевым интерфейсом не может использоваться в качестве настоящего брандмауэра, многие функции просто недоступны. Ниже приведен список доступных в такой конфигурации функций:

- Передача веб прокси запросов, использующих протоколы HTTP, Secure HTTP (HTTPS) или File Transfer Protocol (FTP) для загрузки;

- Кэширование веб контента для использования клиентами корпоративной сети;

- Веб публикация для помощи в защите публичных веб и FTP серверов;

- Microsoft Outlook Web Access, ActiveSync и вызов удаленных процедур (remote procedure call – RPC) через публикацию HTTP.

Рисунок 7: ISA Server 2006 сетевой шаблон Single Network Adapter (Одна сетевая плата).

Использование мастера шаблонов сети (Network Template Wizard).

ISA Server 2006 оснащен мастером шаблонов сети (Network Template Wizard), которого можно использовать для настройки сетевой топологии с сетями, сетевыми правилами и правилами брандмауэра.

В панели задач выберите требуемый сетевой шаблон.

Рисунок 8: Мастер шаблонов сети.

Мастер проведет вас через весь процесс. В качестве первого шага вам нужно экспортировать вашу текущую конфигурацию сервера ISA Server способом отката (failback method), поскольку мастер заменит все текущие сетевые настройки и правила политики брандмауэра, за исключением правил системной политики.

Рисунок 9: Экспортирование конфигурации ISA Server.

В качестве следующего шага вам нужно определить IP адреса внутренней сети (Internal Network) и демилитаризованной зоны. После этого вам нужно выбрать предопределенную политику межсетевого экрана. НЕЛЬЗЯ выбирать политику межсетевого экрана "Разрешить неограниченный доступ (Allow unrestricted access)" поскольку это правило разрешает весь исходящий сетевой трафик.

Рисунок 10: Выбор политики межсетевого экрана.

Внимание: после окончания работы мастера шаблонов сетевых правил нужно изменить созданное правило брандмауэра на абсолютный минимум разрешений. Брандмауэр должен всегда иметь набор правил с минимумом разрешенных подключений.

После завершения работы мастера вы увидите результаты в закладке Конфигурация -> Сети.

Рисунок 11: Сетевые правила ISA Server.

Мастер создает отношения сетевых правил с типом NAT между внутренней сетью и сетью периметра, а отношения Route между сетью периметра и внешней сетью. Это нужно изменить, если ваши серверы в сети периметра содержат частные IP адреса.

Настройка сетевых шаблонов.

Можно настраивать предопределенные графики сетевых шаблонов на расширение своей собственной информацией, как например имена серверов или собственной топологией.
Сетевой шаблон состоит из двух компонентов:

- Сетевой шаблон в файле XML file pro;

- Сетевой шаблон в файле Bitmap graphic pro.

XML файл содержит информацию о необходимых параметрах для создания объектов требуемой сети, сетевых правил и правил брандмауэра. Файл bitmap представляет собой графический файл, который отображает выбранный сетевой шаблон. Файлы XML и BMP можно найти в следующей директории: \Program Files\Microsoft ISA Server\NetworkTemplates.

Можно редактировать bitmap файлы в Microsoft Paint или других подобных программах, как показано на рисунке 12.

Рисунок 12: Изменение сетевого шаблона в Microsoft Paint.

После изменения шаблона вы увидите эти изменения в консоли ISA MMC.

Заметка:

Вам, возможно, понадобится обновить вид или закрыть и снова открыть консоль ISA MMC, чтобы увидеть изменения.

Рисунок 13: Измененный сетевой шаблон.

Файлы XML шаблонов.

XML файл содержит информацию о необходимых параметрах для создания требуемых объектов сети, сетевых правил и правил брандмауэра. Сетевые шаблоны определяются в объекте ISA под названием FPCNetworkTemplate. Объект FPCNetworkTemplate позволяет вам задавать имя и описание сетевого шаблона.

Файл XML содержит конфигурацию сетевого шаблона, которая включает:

- Сети и наборы сетей;

- Сетевые правила, описывающие отношения между различными сетевыми группами;

- Элементы политики;

- Политики.

Рисунок 14: 3-Leg DMZ (Трёхзонная конфигурация сервера) шаблон XML.

Заключение.

В этой статье я попытался предоставить вам информацию, необходимую для создания собственной безопасной сетевой инфраструктуры с ISA Server 2006. Я также показал вам, как изменять графические компоненты сетевых шаблонов. На мой взгляд, сетевые шаблоны являются хорошей отправной точкой для начинающих администраторов ISA, но если вы являетесь опытным администратором ISA Server, вы должны строить свои сетевые инфраструктуры путем изменения сетей, сетевых правил и политик брандмауэра на ISA Server вручную.

Автор:

 Марк Гроут(Mark Grote) является MCSA/MCSE Messaging & Security и Microsoft Certified Trainer (инструктором, сертифицированным Microsoft). Он работает в качестве внештатного IT инструктора и консультанта на севере Германии. Он специализируется в ISA, SMS, Exchange, Безопасности на Windows 2000 и Windows Server 2003 при разработках, миграциях и реализациях и Citrix Metaframe / Cisco реализациях. Его заслуги были замечены и ему присвоено звание Microsoft MVP для ISA Server. Вы можете посетить его домашнюю страницу www.it-training-grote.de