На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2748873
13566
Hosts 1649576
486
Visitors 229682
562

19
Мониторинг активности принтеров

Главная / Статьи / Exchange 2003 / Защита Microsoft Exchange с помощью брандмауэра ISA Server 2004: Внедрение брандмауэра ISA в налаженную сетевую инфраструктуру


Защита Microsoft Exchange с помощью брандмауэра ISA Server 2004: Внедрение брандмауэра ISA в налаженную сетевую инфраструктуру
Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Никто не любит начинать с нуля. Это особенно верно, если у вас есть хорошо налаженная сеть и настроенный и работающий брандмауэр. Зачем это вам может понадобиться взять и изменить все, чтобы просто добавить интеллектуальный брандмауэр в вашу систему? Ведь все уже и так работает и вы не подвергались атакам уже 6 недель.

Это то, с чем я часто сталкиваюсь, когда рекомендую брандмауэр ISA организациям, которые уже имеют брандмауэр в своей сети, который замечательно работает. Когда они приходят к решению, что получат пользу от установки дополнительной защиты в виде интеллектуального брандмауэра, наподобие ISA, они устанавливают его, как я называю это, в «урезанном» режиме, когда ISA работает только как обратный прокси-сервер, для защиты протоколов HTTP/HTTPS (SSL/TLS). Эта конфигурация походит на покупку Корвета и снятия с него трех шин, потому что он «слишком быстро едет».

Причина такого «урезания» обычно в том, что они считают, что таким методом легче установить брандмауэр ISA в их сеть. В этом режиме «обратного прокси-сервера» брандмауэр ISA не должен находиться в режиме контроля входящего или исходящего трафика и не нужно беспокоиться о «пустых днях» работающих против операционных систем Windows. Это несколько верных моментов, связанных с установкой ISA Server 2000. К счастью, эти моменты, имевшие место у ISA Server 2000 пропадают, когда речь идет о брандмауэре ISA Server 2004.

Проблемы с брандмауэром ISA Server 2000 заключалась в том, что он имел упрощенное представление о сети, в которой он работал. Сеть была либо надежной (и тогда включалась в Локальную Адресную Таблицу или LAT) или она была ненадежной (не включалась в LAT). Вся связь между компьютерами из LAT не проверялась брандмауэром ISA Server 2000. Кроме того, вся связь между LAT и не-LAT компьютерами была NAT? d. Вы не могли отследить запросы между LAT и не-LAT компьютерами. Даже если вы установите сегмент не размеченной зоны (DMZ), где вы можете установить маршрутизацию, простая динамическая фильтрация пакетов и не полный уровень динамической проверки, которую обеспечивает брандмауэр ISA Server 2000, контролировала соединения.

Великолепная новость заключается в том, что ISA Server 2004 кардинально отличается от ISA Server 2000. Правила брандмауэра применимы ко всем интерфейсам и больше нет Локальной Адресной Таблицы. Нет больше «надежной» сетей, все сети ненадежные и все подключения, проходящие через брандмауэр ISA Server 2004, подвергнуты политике брандмауэра. Создание DMZ-зон теперь является простым делом. В отличие от ISA Server 2000, вы теперь легко можете поместить ваш внешний сервер Exchange в сегмент DMZ и применить все политики безопасности брандмауэра к соединениям между внешним и внутренним Exchange сервером.

Говоря о Microsoft Exchange, ясно, что ISA Server 2004 должен рассматриваться как брандмауэр для защиты серверов Microsoft Exchange. ISA Server 2004 включает множество технологий, нацеленных специально на защиту серверов Microsoft Exchange. Сюда входят:

  • Идентификация на основе форм
  • Делегирование основной идентификации
  • SSL в SSL замыкание (SSL завершение)
  • Дополнительная защитная фильтрация протокола HTTP
  • Защита URL
  • OWA/OMA/ActiveSync мастера, которые создают безопасное публичное правило по умолчанию
  • Безопасная фильтрация Exchange RPC
  • И многое другое!

Ключевой особенностью в сценариях развертывания ISA Server 2004 для Exchange в том, что он представляет умную защиту приложений для служб сетей Microsoft и служб установленных где-либо в сети. Так же вы получите выгоду и от способности сервера ISA предоставлять следующие виды защиты:

  • HTTP атаки: Code Red, Nimda, HTR переполнение, атаки обхода директории, атаки переполнения буфера, chunked transfer encoding атаки, css-атаки, зараженные URL, зараженное содержание HTTP, атаки кодирования старшего бита, WebDAV атаки.
  • SMTP атаки: атаки наводнения спама, атаки зараженных вложений, SMTP-переполнение буфера, заполняющая диск DoS атака SMTP, spammer open relay attack, brute force closed relay attack, все черви и их вариации
  • Атаки DNS: DNS трансформация зон из ненадежных источников, DNS-переполнение буфера, неправильный запрос в DNS, неправильный пакет в DNS
  • POP3 атаки: POP3-переполнение буфера, неправильная POP3-команда
  • RPC атаки: Microsoft BLAST, Microsoft Blaster вариации, Nachi, RPC вариации простых и меняющихся червей.

Кроме того, в каждом сценарии, брандмауэр ISA Server 2004 позволяет вам:

  • Блокировать доступ ко всем модулям Windows
  • Блокировать доступ к Web-сайтам по ключевым словам и URL-адресам
  • Блокировать доступ к Web-сайтам по сигнатуре в заголовках запроса, ответа и в данных
  • Осуществлять кодирование канала для безопасного удаленного доступа Exchange RPC клиентов Outlook
  • Блокировать или давать разрешения на скачивание с FTP-серверов отдельным пользователям
  • Разрешить только те методы HTTP (PUT, GET, и т. д.), которые вы хотите и блокировать все остальные для всех, или только для отдельных пользователей/групп — выборочное управление в вашем распоряжении
  • Осуществлять строгую RPC согласованность, чтобы остановить RPC-червей как только они достигнут брандмауэра ISA 2004; это так же позволяет предотвратить перемещения DCOM через брандмауэр ISA 2004 из и в корпоративную сеть

Только когда сервер ISA настроен в конфигурации единственного NIC (сетевой информационный центр), весь набор интеллектуальной защиты приложений не будет доступен. В ограничениях сценария конфигурации единственного NIC, сервер ISA защищает только против HTTP атак.

В этой статье мы будем обсуждать множество сетевых топологий, которые продемонстрируют пригодные для вас варианты размещения. В эти топологии входят:

  • Брандмауэр высокоскоростной фильтрации пакетов Internet трафика с внутренним брандмауэром ISA Server 2004. Внутренний брандмауэр ISA Server 2004 защищает внешние и внутренние сервера Exchange, каждый из которых расположен во внутреннем сегменте сети
  • Брандмауэр высокоскоростной фильтрации пакетов Internet трафика с внешним сервером Exchange находящимся на границе сети между внешним брандмауэром и внутренним брандмауэром ISA Server 2004. Внутренний сервер Exchange расположен в защищенной внутренней сети под защитой брандмауэра ISA Server 2004
  • Брандмауэр высокоскоростной фильтрации пакетов Internet трафика с внутренним брандмауэром ISA Server 2004. Групповой внутренний брандмауэр ISA Server 2004 включает в себя внешний интерфейс, внутренний интерфейс и интерфейс границы сети. Внешний сервер Exchange расположен на границе сети, напрямую связанной с брандмауэром ISA Server 2004 и внутренним сервером Exchange расположенным во внутренней сети
  • Брандмауэр высокоскоростной фильтрации пакетов Internet и не-ISA универсальный брандмауэр, работающий внутри сети. Брандмауэр ISA Server 2004 firewall настроен на работу в режиме Web-прокси для обеспечения работы служб обратного Web-прокси, которые разрешают доступ к OWA, OMA и ActiveSync сервисам, расположенным на Exchange серверах внутренней сети, под защитой внутреннего не-ISA брандмауэра
  • Внешний брандмауэр высокоскоростной фильтрации пакетов. Брандмауэры ISA Server 2004 во встречно-параллельной конфигурации расположенные позади высокоскоростного фильтра пакетов. Цепочка из брандмауэра и Web-прокси сконфигурирована, чтобы обеспечить уровень безопасности уровень безопасности не доступный типичным не-ISA брандмауэрам. Внешний и внутренний сервера Exchange расположены во внутренней сети позади внутреннего брандмауэра ISA
  • Внешний брандмауэр высокоскоростной фильтрации пакетов и внутренний не-ISA брандмауэр. Интеллектуальные брандмауэры ISA Server 2004 защищают специализированные служебные сегменты, содержащие внешние и внутренние сервера Exchange

Главной особенностью в каждом из этих сценариев является то, что уже существующий брандмауэр и схема маршрутизации остаются не тронутыми. Реконфигурация брандмауэров и маршрутизаторов сведена к минимуму. Размещение брандмауэра ISA Server 2004 относительно прозрачно. Эта прозрачность критична, потому что основанный на брандмауэрах высокоскоростные фильтры пакетов Internet трафика должны оставаться в их текущем положении. Высокоскоростные фильтры пакетов отвечают требованиям производительности для осуществления мульти-гигабитных Internet соединений.

Внешние высокоскоростные фильтры пакетов могут быстро «передавать пакеты» к границе сети или к базовой сети. Высокоскоростные пакетные фильтры передают пакеты ко множествам устройств расположенным за ними, после осуществления элементарной сетевой динамической фильтрации. Загрузка пакета распределена среди большого числа конечных устройств. Такая конфигурация, где высокоскоростные пакетные фильтры обрабатывают трафик большого объема и множество внутренних устройств распределяют этот большой объем на множество мелких объемов, позволяет конечным устройствам обеспечивать высший уровень безопасности, необходимый для защиты серверов и служб расположенных позади вторичных брандмауэров. Внутренние устройства не должны обладать той же производительностью, что и внешние устройства, потому, что они имеют дело с совсем другим объемом трафика.

Давайте рассмотрим поближе каждую из этих топологий с применением брандмауэра ISA Server 2004.

Брандмауэр высокоскоростной фильтрации пакетов Internet трафика / Брандмауэр ISA Server 2004 как внутренний брандмауэр, защищающий сервер Microsoft Exchange

Первый сценарий имеет брандмауэр высокоскоростной фильтрации пакетов снаружи и интеллектуальную фильтрацию брандмауэром ISA Server 2004 внутри сети. Брандмауэр ISA Server 2004 обеспечивает дополнительный уровень защиты необходимый для сервера Microsoft Exchange.

Эта топология сети является прямой. Внешний высокоскоростной пакетный фильтр очень быстро переносит данные, приходящие в и из корпоративной сети. Между высокоскоростными пакетными фильтрами находится граница сети, отделяющая внешние брандмауэры от внутренних брандмауэров. Рисунок ниже показывает, что внутренний брандмауэр ISA Server 2004 находится перед частью сети, содержащей внешний и внутренний сервера Exchange.

На внешних брандмауэрах требуется минимальное количество настроек. Внешние брандмауэры должны быть настроены так:

  • Переправлять все входящие запросы к Exchange OWA сервису на внешний адрес брандмауэра ISA Server 2004
  • Переправлять все входящие SMTP сообщения для сервера Exchange на внешний адрес брандмауэра ISA Server 2004
  • Переправлять все входящие запросы службы IMAP4 на внешний IP-адрес брандмауэра ISA Server 2004
  • Переправлять все входящие запросы службы POP3 брандмауэру ISA Server 2004
  • Брандмауэр ISA Server 2004 настроен на использование маршрутизатора, который переправляет Internet-запросы ко внешнему пакетному фильтру.
  • Дополнительная настройка, которая дает высокий уровень безопасности, заключается в настройке высокоскоростного пакетного фильтра на перенаправление всех связанных с почтой (HTTP/HTTPS/SMTP/IMAP3/POP3/RPC) соединений на брандмауэр ISA Server 2004. Хотя интеллектуальный фильтр брандмауэра ISA Server 2004 не может обеспечить производительность, как у высокоскоростного пакетного фильтра, но брандмауэр ISA Server 2004 обеспечивает высший уровень безопасности.
  • В каждой из этих настроек, внутренний брандмауэр ISA Server 2004 является выходом для внешнего сервера Exchange

Как видно из картинки ниже, брандмауэр ISA Server 2004 легко может быть размещен на границе сегмента служб или внутреннего сегмента сети лишь с минимальной настройкой внешних брандмауэров высокоскоростной фильтрации пакетов.

Рис. 1: Брандмауэры высокоскоростной пакетной фильтрации/Внутренний брандмауэр ISA Server 2004

Внешний высокоскоростной пакетный фильтр / Внутренний брандмауэр ISA Server 2004 и внешний сервер Exchange на границе сети

Этот сценарий описывает топологию сети, где внешние брандмауэры фильтрации пакетов остается в Internet-части, а ISA Server 2004 действует как внутренний брандмауэр, защищающий внутренний сервер Exchange. Внешний сервер Exchange расположен на границе сети между внешним пакетным фильтром и внутренним интеллектуальным брандмауэром ISA Server 2004. В этом сценарии вы должны быть предельно осторожны и максимально укрепить внешний сервер Exchange, потому что только простые динамические пакетные фильтры защищают его от атак из Интернета.

Эта конфигурация требует очень маленькой переконфигурации внешних высокоскоростных пакетных фильтров. Изменения, которые нужно сделать:

  • Перенаправить входящие соединения внешнего пакетного фильтра к OWA web-сайту на IP адрес, используемый внешним сервером Exchange в граничной сети
  • Перенаправить входящие соединения внешнего пакетного фильтра к SMTP службам Exchange на внешний сервер Exchange в граничной сети
  • Перенаправить входящие POP3 соединения внешнего пакетного фильтра на внешний сервер Exchange в граничной сети
  • Перенаправить входящие IMAP4 соединения внешнего пакетного фильтра на внешний сервер Exchange в граничной сети
  • Внешний сервер Exchange является членом того же домена, что и внутренний сервер Exchange. Внутренний брандмауэр ISA Server 2004 должен быть настроен на разрешение внутридоменной связи через брандмауэр, так же должно быть разрешены SMTP, POP3, IMAP4 и HTTP/HTTPS соединения к внутреннему серверу Exchange. На соединения между внешним и внутренним серверами Exchange может быть добавлена защита с использованием IPSec.

Это распространенная конфигурация. Внешний сервер Exchange обеспечивает уникальное пространство имен и одну точку входа для внутреннего сервера Exchange. Защита обеспечивается за счет отсутствия пользовательских почтовых ящиков на внешнем сервере Exchange.

Однако, размещая внешний сервер Exchange на границе сети, появляется дополнительная опасность безопасности, потому что:

  • Высокоскоростной пакетный фильтр Интернет пакетов не может обеспечить высокий уровень безопасности, требуемый для защиты современных сетевых служб, таких, которые размещены на внешнем сервере Exchange
  • Внешний сервер Exchange является членом внутренней доменной сети, которая содержит пользовательские данные и Active Directory. Распространение зоны безопасности, предоставляемые Active Directory, на сеть с более низким уровнем безопасности — является плохой практикой обеспечения безопасности
Рис. 2: Внешний пакетный фильтр / Внутренний брандмауэр ISA Server 2004 и внешний сервер Exchange на границе сети

Внешний высокоскоростной пакетный фильтр / Внутренний групповой брандмауэр ISA Server 2004 c внешним сервером Exchange на Trihomed границе сети

В этом сценарии внешний высокоскоростной пакетный фильтр остается в Интернет части, а интеллектуальный брандмауэр ISA Server 2004 остается внутри. Различие между этим сценарием и предыдущим в размещении внешнего сервера Exchange в trihomed границе сети, соединенной с внутренним брандмауэром ISA Server 2004. Такая структура сети обеспечивает более высокий уровень защиты внешнего сервера Exchange. В отличие от элементарных пакетных фильтров на внешнем высокоскоростном фильтрующем устройстве , интеллектуальная фильтрация брандмауэра ISA Server 2004 и динамический осмотр защищают сервер Exchange.

Сегмент граничной сети, в которой расположен внешний сервер Exchange, может иметь маршрутизацию или NAT-соединения с граничной сетью между внешними высокоскоростными пакетными фильтрами и внутренним брандмауэром ISA Server 2004. Преимущество NAT-соединений в том, что оно скрывает IP адрес, используемый внешним сервером Exchange.

Изменения, которые нужно сделать на внешнем высокоскоростном пакетном фильтре:

  • Если маршрутизация использована между trihomed границей сети и границей сети между внешним и внутренним брандмауэрами, то высокоскоростные пакетные фильтры снаружи могут быть настроены на перенаправление SMTP, POP3, IMAP4 и OWA, OMA и RPC через HTTP соединения к реальному IP адресу внешнего сервера Exchange на trihomed границе сети
  • Если NAT-соединения использованы между trihomed границе сети и границей сети между внешним и внутренним брандмауэром, то внешние высокоскоростные пакетные фильтры могут быть настроены на пересылку SMTP, POP3, IMAP4, OWA, OMA и RPC через HTTP соединения на IP-адрес внешнего интерфейса брандмауэра ISA Server 2004
  • Брандмауэр ISA Server 2004 настроен с шлюзом по умолчанию на его внешнем интерфейсе который пересылает Интернет-пакеты маршрутизатору, который пересылает их через высокоскоростные пакетные фильтры

Эта конфигурация хорошо работает с брандмауэром ISA Server 2004 потому что:

  • Политика брандмауэра применяется ко всем интерфейсам брандмауэра ISA Server 2004.
  • Вы можете разместить компьютер домена на trihomed границе сети и разрешить внутридоменные соединения между граничной сетью и внутренней сетью без разрешения доступа ко всем протоколам.
  • Вы можете настроить маршрутизацию или NAT-соединение между граничной сетью и внутренней сетью. При использовании маршрутизации вы настраиваете правила доступа разрешающие внешнему серверу связываться с внутренним; при NAT-соединении вы настраиваете правила доступа в Интернет и правила публикации сервера. Вообще, правила доступа обеспечивают более высокий уровень гибкости, а маршрутизация обеспечивает более высокий уровень поддержки протокола; не все протоколы/приложения работают корректно через NAT устройства.

Оборотная сторона этой схемы в том, что внутрисетевая зона безопасности содержит базу пользователей и Active Directory расширен в относительно низкую сетевую зону безопасности. Однако, эта схема все же лучше по сравнению с предыдущей схемой, потому что брандмауэр ISA Server 2004 защищает внешний сервер Exchange.

Рис. 3: Внутренний брандмауэр ISA Server 2004 в Trihomed границе сети

Внешний брандмауэр высокоскоростной пакетной фильтрации / Внутренний не-ISA брандмауэр и брандмауэр ISA Server 2004 в конфигурации Web-КЭШа в граничной сети

В этом сценарии внешние высокоскоростные пакетные фильтры остаются на Интернет-стороне. Внутренние брандмауэры — универсальные не-ISA брандмауэры. Между внешними высокоскоростными пакетными фильтрами и внутренними не-ISA брандмауэрами находится брандмауэр ISA Server 2004 в конфигурации единого внутреннего КЭШа. Рисунок ниже показывает расположение брандмауэров в этой конфигурации.

Эта конфигурация обеспечивает организацию, вложившую финансы во внешний и внутренний брандмауэры, дополнительным уровнем проверки и уникальной защитой служб Microsoft Exchange предоставляемой брандмауэром ISA Server 2004. Единый внутренний (единственный NIC) брандмауэр ISA Server 2004 настроен на «режим КЭШа». Эта конфигурация отключает большинство защит обеспечиваемых брандмауэром ISA Server 2004, но оставляет HTTP приложения нетронутыми.

Единый внутренний брандмауэр ISA Server 2004 в конфигурации КЭШа может действовать как обратный (и прямой, если пожелаете) прокси-сервер и обеспечивает поддержку доступ к удаленным подключениям к Exchange OWA, OMA, ActiveSync и RPC через HTTP сервисы. Вы не сможете использовать обратный прокси для входящих SMTP, POP3 или IMAP4 соединений потому, что публикация этих протоколов требует, чтобы ISA Server 2004 был настроен как брандмауэр.

Хотя объем функциональных возможностей брандмауэра пропадает из ISA Server 2004, когда он настроен в режим единого внутреннего КЭШа, входящие и исходящие Интернет соединения продолжают быть подвержены глубокой HTTP проверке обеспечиваемой HTTP фильтром безопасности и входящий SSL в SSL замыкание может быть настроено, чтобы обеспечить динамическую проверку SSL соединений. SSL в SSL замыкание препятствует скрытию хакерских программ в SSL туннелях.

Настройка внешних высокоскоростных пакетных фильтров включает:

  • Перенаправление входящих HTTP и HTTPS соединений на IP адрес брандмауэра ISA Server 2004 в конфигурации единого внутреннего КЭШа
  • Не перенаправление SMTP, POP3 или IMAP4 соединений на брандмауэр ISA Server 2004 в конфигурации единого внутреннего КЭШа
  • Брандмауэр ISA Server 2004 в конфигурации единого внутреннего КЭШа должен быть настроен на:
  • Публикацию внешнего сервера Exchange. Если настроено NAT-соединение между граничной сетью и внешним сервером Exchange, то перенаправить соединение на внешний адрес внутреннего не-ISA брандмауэра. Если настроена маршрутизация между граничной сетью и внешним сервером Exchange, то перенаправить соединение на реальный IP адрес внешнего сервера Exchange
  • Брандмауэр ISA Server 2004 не нужно настраивать на шлюз по умолчанию, если внешние брандмауэры высокоскоростной пакетной фильтрации между Интернетом и граничной сетью настроены на NAT-соединения. Если высокоскоростные пакетные фильтры между Интернетом и граничной сетью настроены на маршрутизацию, то шлюз по умолчанию брандмауэра ISA Server 2004 в конфигурации единого внутреннего КЭШа должен быть настроен как шлюз, который направляет Интернет запросы назад к высокоскоростным пакетным фильтрам.

Внутренний не-ISA брандмауэр должен быть настроен на:

  • Маршрутизацию входящих соединений от брандмауэра ISA Server 2004 к внешнему серверу Exchange, если настроена маршрутизация между граничной сетью и внутренней сетью
  • Если настроено NAT-соединение между граничной сетью и внутренней сетью, то настройте не-ISA брандмауэр на публикацию или выполнение обратного NAT-соединения, чтобы переправить соединение ко внешнему серверу Exchange
  • Внутренний не-ISA брандмауэр не должен быть настроен на использование брандмауэра ISA Server 2004 в конфигурации единого внутреннего КЭШа как шлюза по умолчанию. Это позволит вам оставить настройки текущего шлюза по умолчанию на внутреннем брандмауэре как есть, без изменений.

Эта конфигурация идеальна для организаций с большими капиталовложениями во внешние и внутренние брандмауэры, которые хотят получить выгоды от мощи предоставляемой интеллектуальным брандмауэром ISA Server 2004. Кроме того, внешний и внутренний сервер оба во внутренней сети, так, что внутренняя сетевая зона безопасности не расширена на граничную сеть. Это обеспечивает гораздо лучшую безопасность тогда, когда внутренняя сетевая зона безопасности расширена в более низкую зону безопасности.

Рис. 4: Брандмауэр ISA Server 2004 в конфигурации единого внутреннего КЭШа в граничной сети

Внешние высокоскоростные пакетные фильтры с внутренними встречно-параллельными брандмауэрами ISA Server 2004

В этом сценарии наружные высокоскоростные пакетные фильтры остаются со Интернет стороны. Брандмауэры ISA Server 2004 расположены последовательно позади внешних пакетных фильтров, чтобы создать встречно-параллельную конфигурацию брандмауэра ISA Server 2004. Такая установка позволяет внешним пакетным фильтрам быстро передавать пакеты, обеспечивая при этом высоко безопасную граничную сеть между брандмауэрами ISA Server 2004 и внутренней сетью позади внутреннего брандмауэра ISA Server 2004.

Эта схема используется теми организациями, с существующей инфраструктурой внешних брандмауэров, и слабой инфраструктурой внутренних брандмауэров, обеспечивающей интеллектуальную защиту публичного доступа к служебному сегменту, который соединяется со сетевым службам в безопасной внутренней сети. ISA Server 2004 в конфигурации встречно-параллельного брандмауэра, расположенный позади текущей структуры брандмауэров, может обеспечить этот уровень безопасности.

Настройка внешних пакетных фильтров включает:

  • Перенаправление всех соединений к OWA HTTP и HTTPS службам на внешний адрес внешнего брандмауэра ISA Server 2004
  • Перенаправление всех соединений к расположенным на сервере Exchange SMTP, POP3 и IMAP4 службам на внешний интерфейс внешнего брандмауэра ISA Server 2004

Внешний брандмауэр ISA Server 2004 настроен на:

  • Публикацию OWA сайта на внешнем сервере Exchange с использованием правила Интернет публикации
  • Публикацию SMTP, POP3 и IMAP4 служб на внешнем сервере Exchange, используя правила серверных публикаций
  • Настройку шлюза по умолчанию внешнего брандмауэра ISA Server 2004 на использование маршрутизатора, который передает Интернет запросы назад к внешним брандмауэрам высокоскоростной пакетной фильтрации

Внутренний ISA Server 2004 настроен на:

  • Публикацию OWA сервиса на внутреннем сервере Exchange используя правила Интернет публикации
  • Публикацию SMTP, POP3 и IMAP4 служб на внутреннем сервере Exchange используя правила серверных публикаций
  • Настройку шлюза по умолчанию внутреннего брандмауэра как внутреннего IP адреса внешнего брандмауэра ISA Server 2004

Эта конфигурация обеспечивает расширенную защиту внешнего сервера Exchange расположенного в граничной сети между двумя брандмауэрами ISA Server 2004. Кроме того, внутренняя сеть получает даже более высокий уровень защиты, потому что она защищена двумя брандмауэрами.

Даже если внешний брандмауэр ISA Server 2004 даст сбой, внутренний брандмауэр ISA Server 2004 продолжит защищать внутреннюю сеть. Недостаток этой конфигурации в том, что внутренняя безопасная зона расширена до граничной сети, которая представляет собой более низкую зону безопасности, чем во внутренней сети.

Рис. 5: Встречно-параллельная конфигурация брандмауэров ISA Server 2004 за высокоскоростными пакетными фильтрами

Внешние высокоскоростные пакетные фильтры снаружи, не-ISA брандмауэры внутри и брандмауэры ISA Server 2004 защищающие отделы сети и служебные сегменты

Сценарий рассматривает топологию трех или более ярусного брандмауэра. Снаружи — брандмауэры высокоскоростной пакетной фильтрации, создающие ограждение на базе простой пакетной фильтрации. За ними располагаются универсальные не-ISA брандмауэры. Сеть между внешними высокоскоростными пакетными фильтрами и внутренними не-ISA брандмауэрами — является базовой корпоративной или граничной сетью с низким уровнем безопасности. В этой части сети с низким уровнем безопасности могут быть размещены такие компьютеры как honeypots или системы IDS.

Вторая зона безопасности, расположена между внутренними не-ISA брандмауэрами и брандмауэрами ISA Server 2004. Она представляет собой безопасную зону публичного или анонимного доступа, где могут быть размещены серверы для публичного доступа. Здесь так же может быть размещена вторичная базовая корпоративная сеть.

Брандмауэры ISA Server 2004 расположены на границах отделов сетей и сегментов сетевых служб и обеспечивают сильный входящий и исходящий, основанный на пользователях/группах контроль доступа и высший уровень безопасности для служб Microsoft Exchange и других сетевых служб Microsoft. Это высшая по безопасности конфигурация, потому, что использует хорошо зарекомендовавшую военную концепцию, заключенную в том, что уровень защиты должен расти каждый раз, как вы все ближе приближаетесь к ядру служб.

Наиболее удаленная часть сети имеет наиболее слабую защиту, потому что она защищена только высокоскоростными пакетными фильтрами. Второй уровень защищен универсальным не-ISA брандмауэром, который обеспечивает более высокий уровень безопасности, чем высокоскоростные пакетные фильтры. Эти вторичные брандмауэры могут обеспечивать простой уровень фильтрации. Брандмауэры ISA Server 2004 расположены вблизи от самых внутренних зон безопасности, где требуется высший уровень защиты. Этот многоуровневый подход обеспечивает высший уровень безопасности там, где он более всего необходим: в зоне клиентской сети и сегменте служб.

Настройка скоростных пакетных фильтров и брандмауэров второго яруса различается у различных сетей. Однако, этот сценарий согласуется со всеми предыдущими сценариями, рассмотренными выше: весьма просто спрятать брандмауэр ISA Server 2004 позади существующих не-ISA брандмауэров. Это позволяет брандмауэрам ISA Server 2004 быть расположенным глубже в сети, позади вторичной базовой сети и перед очень важными целями, находящимися глубоко в корпоративной сети.

Рис. 6: Конфигурация многоярусного брандмауэра с брандмауэрами ISA Server 2004

Вывод

ISA Server 2004 — это интеллектуальный брандмауэр, включающий в себя множество возможностей, которые делают его убедительным выбором для защиты серверов Microsoft Exchange. Эта статья, описавшая несколько сценариев, продемонстрировала, что брандмауэр ISA Server 2004 может быть размещен фактически в любом месте корпоративной сети с небольшими изменениями в настройках существующих брандмауэров и топологии сети. Общей темой в каждой из шести обсужденных топологий является то, что брандмауэр ISA Server 2004 замечательно работает с уже установленными брандмауэрами. В скоростных пакетных фильтрах требуют изменений только множество правил. Даже в структуру, в конфигурацию которой много было вложено и содержащую внешний и внутренний брандмауэр, брандмауэр ISA Server 2004 может быть легко добавлен, чтобы обеспечить необходимый уровень защиты, требуемый сетям для защиты от современных хакерских атак.





Рейтинг:  
2.3 (голосов 3)  
 1   2   3   4   5    

Автор: Томас Шиндер (Thomas Shinder)
Доктор Томас Шиндер (Thomas W. Shinder) является MCSE, MCP+I и MCT. Он работает в качестве инструктора и консультанта по технологиям в Dallas-Ft. Worth муниципальном районе, помогая в разработке и внедрении коммуникационных стратегий, основанных на IP, для таких больших фирм, как Xerox, Lucent и FINA.
Эта статья переведена и опубликована с разрешения http://www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.




Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010