Во второй части я более подробно рассмотрю задачи по настройке ISA Server 2004 в роли обратного прокси-сервера в DMZ, защищенной двумя другими брандмауэрами.
Если вы пропустили первую часть статьи, прочтите ее
- Настройка сервера ISA Server 2004 для работы в качестве front-end сервера Exchange в DMZ (часть 1)
Мы рассмотрим, как настроить и максимально защитить такую конфигурацию.
Данная схема обычно разрабатывается для того, чтобы небольшие и средние организации (а иногда и большие) могли безопасно публиковать:
- Outlook Web Access
- Outlook Mobile Access
- Exchange Server Sync
- Службы RPC поверх HTTPS
Подготовка окружения
До начала установки вы должны определиться с аппаратным обеспечением для вашего обратного прокси-сервера. Поскольку он будет защищен двумя аппаратными брандмауэрами, вам придется использовать только одну сетевую карту. Это облегчает процесс настройки. Для того, чтобы все работало корректно, вам необходимо выбрать шаблон “Single Network Adapter” (Один сетевой адаптер). Данный выбор означает, что все IP-адреса будут внутренними/
Настройка служб RADIUS/IAS
В вашей внутренней сети должна быть доступна служба IAS. Данная служба может быть установлена на любой компьютер под управлением Windows Server 2003. Если вы хотите добиться высокой работоспособности, продумайте возможность использования двух служб IAS.
После установки служб IAS вам нужно настроить их на распознавание клиентов RADIUS для ISA-сервера в DMZ. Обычно соединения используют известные порты RADIUS: 1812 и 1813, но для большей безопасности я бы предложил настроить собственные порты.
Наконец, с помощью оснастки IAS вы должны убедиться, что IAS-сервер зарегистрирован в Active Directory (Рисунок 3).
После завершения работы в Active Directory нужно настроить соединения ISA-сервера и служб IAS.
Служба IAS будет более защищена, если вы настроите все запросы на использование в них атрибута Message Authenticator (Аутентификатор сообщения).
Теперь ISA-сервер знает о существовании IAS-клиента и сможет общаться со службами IAS.
Защита конфигурации
Если вы хотите, чтобы ваши соединения были максимально защищены, вам необходимо настроить HTTPS между внешней сетью и ISA-сервером, и между ISA-сервером и Exchange-сервером. Для вашего URL используйте сертификат web-сервера. Вследствие внутренних проблем ISA-сервера, предпочтительным решением является использование только одного сертификата на обоих серверах.
Использование одного сертификата – крайне простое решение, однако, вам нужно будет создать область DNS для внутреннего сервера и убедиться, что сервер, выдавший сертификат, находится в хранилище доверенных корневых центрах сертификации.
Настройка web-публикации
Мы закончили подготовительные настройки. Теперь настроим работу обратного прокси.
Вначале мы должны создать новое правило публикации почтового сервера для нашего Exchange-сервера.
Далее, мы должны выбрать нужную службу для публикации. Здесь нам необходим первый вариант, поскольку мы будем публиковать службы Exchange-сервера напрямую.
Теперь выберем почтовые службы, которые мы хотим опубликовать.
Для большей безопасности весь трафик от внешней сети в ISA-серверу и от ISA-сервера к Exchange-серверу должен быть зашифрован. Сопряжение означает, что для проверки пакетов в целях безопасности будут использоваться фильтры приложений.
Введите IP-адрес или FQDN внутреннего почтового сервера, т.е. вашего Exchange-сервера.
Теперь вы должны выбрать имя для внутренней службы, которое также является адресом URL, выбранном вами для SSL-сертификата.
Теперь выберите верный IP-адрес, на котором ISA-сервер будем принимать входящие запросы.
Одним из последних шагов при создании нового приемника является настройка метода аутентификации. Выберите аутентификацию RADIUS.
Теперь добавьте соответствующий сервер RADIUS для правила публикации.
И, наконец, настройте группу пользователей RADIUS из пользователей Active Directory для разрешения ей доступа к опубликованному серверу.
Последний шаг – применение нового правила к вашему ISA-серверу. Убедитесь, что все работает верно.
Если вы обнаружили проблемы, найдите их и исправьте с помощью журналов ISA-сервера.
Заключение
После того, как вы все настроите и протестируете, вы увидите, что такая схема более безопасна, чем размещение Exchange Server 2003 напрямую в DMZ. К увеличению безопасности вы получаете и уменьшение расходов, поскольку лицензия ISA-сервера дешевле лицензии Exchange-сервера. Если у вас все еще остались вопросы, не стесняйтесь спрашивать меня.
