На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 7377196
8407
Hosts 835707
1937
Visitors 1046959
2321

9
Мониторинг активности принтеров

Главная / Статьи /  / Обучение директора и сетевого персонала работе с ISA Firewall (Часть2)


Обучение директора и сетевого персонала работе с ISA Firewall (Часть2)

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Если вы не читали первую статью, то прочитайте ее Обучение директора и сетевого персонала работе с ISA Firewall (Часть 1)

Периметральная сеть (иногда ее называют “DMZ” или “защищенной подсетью”) является сетевым сегментом, соединенным напрямую с ISA firewall, что позволяет обычным входящим соединениям с ресурсами, находящимися в нем. Периметральные сети обычно представляют собой всем доступные хост-ресурсы, такие как Web, FTP, SMTP и NNTP серверы. Хост-узлы в периметральных сетях получают запросы входящих соединений от хост-узлов внешних сетей.

Вы можете использовать правила брандмауэра ISA firewall для публикации сервисов, находящихся в сегменте периметральной сети или во внутренней сети. Серверы, которые должны быть доступны Интернет-пользователям, и которые не нужны для соединения с сервисами внутренней сети, должны располагаться в сегменте периметральной сети. Это обеспечивает повышенную безопасность, потому что только ограниченный доступ разрешен между внутренней сетью и сегментов периметральной сети. В случае если хост-узел в сегменте периметральной сети является компромиссным, внутренняя сеть защищена, потому что трафик между внутренней сетью и периметральным сегментом ограничен.

Два ISA Firewall могут использоваться в “полной” настройке на каждом конце периметральной сети, как показано на нижеприведенном рисунке.

Рисунок 1 Рисунок 1

Устройства, делающие брандмауэр ISA 2006 идеальным решением для создания полной периметральной сети, состоят из:

  • Полный контроль пакетов всех интерфейсов как внутреннего, так и внешнегоISA firewall
  • Контроль на уровне прикладных программ во всех интерфейсах, включая VPN клиента и соединений шлюза безопасной сети
  • VPN клиент и соединения сервера во всех интерфейсах
  • Возможность аутентификации во всех интерфейсах
  • Всеобщая регистрация для всех трафиков, находящихся в интерфейсах ISA firewall

ISA Firewall работает как фильтр на уровне прикладных программ или обратный веб-прокси сервер

В ваших организациях уже может быть установлена инфраструктура брандмауэра, состоящая из внешнего и внутреннего брандмауэров. Если я прав, то у организации присутствует отличный базовый брандмауэр, и будет лучше оставить его без изменений. Вы можете выгодно использовать устройства фильтрации на уровне прикладных программ ISA Firewall, сделав их веб-прокси контролем на уровне прикладных программ

Главный веб-прокси сервер позволяет корпоративным клиентам иметь доступ к ресурсам Интернета. Главный веб-прокси сервер разрешает соединения с веб-серверами Интернета и направляет их в интересах веб-клиентов корпоративной сети. Главный веб-прокси сервер позволяет настроить контроль доступа пользователя/группы к определенному сайту, доступ к которому вы можете разрешить через веб-прокси сервер. Это позволяет потребителю ограничить доступ пользователя только к тем сайтам, доступ к которым необходим пользователю для выполнения своих профессиональных обязанностей.

Обратный веб-прокси сервер позволяет вашей компании производить входящие соединения с хост-узлами веб-сайтов. Наиболее популярными сценариями обратного веб-прокси сервера для ISA Firewall являются сценарии, позволяющие иметь входящие соединения с Outlook Web Access, Outlook Mobile Access, Exchange ActiveSync, и серверами SharePoint Portal.

Эта настройка «режима кэширования» или «единственного NIC» является наиболее популярной для крупных организаций, потому что не нужно никаких изменений в существующей инфраструктуре сети. Это уменьшает перегрузку политики, вовлеченную в полную установку ISA Firewall как главного брандмауэра. В большинстве крупных организаций «сетевые операторы» потребуют, чтобы устройство на основе «аппаратного обеспечения» использовалось для всех целей брандмауэра, и они не поймут ISA Firewall и будут сотрудничать с предыдущим поставщиками аппаратного обеспечения брандмауэров. Однако вы можете легко установить ISA firewall в эту операционную систему путем выделения установок устройства прямого и обратного веб-прокси, включающего брандмауэр ISA 2006.

Веб-прокси сервер ISA 2006 может быть установлен в периметральную сеть между внешним и внутренним сторонними брандмауэрами фильтрации пакетов (как показано на нижеприведенном рисунке) в «аппаратную» DMZ сеть брандмауэра, или он может быть установлен в корпоративную сеть.

Рисунок 2 Рисунок 2

Преимуществами использования настройки прокси-фильтрации на уровне прикладных программ со сторонними брандмауэра являются:

  • Возможность оставить существующую инфраструктуру брандмауэра нетронутой; вы можете «внедрить» прокси-фильтрацию брандмауэра на уровне прикладных программ в любое место
  • Сторонние внешние и внутренние брандмауэры полного контроля пакетов могут принять пакеты на высокой скорости при разрешении ISA firewall, обеспечивать высокий уровень безопасности для веб-соединений в фильтре на уровне прикладных программ
  • Усиленный веб-прокси ISA может быть установлен в сегмент периметральной сети для уменьшения поверхности атаки. Информируйте директора и сетевой персонал, что если ISA firewall не поставляет все сервисы брандмауэра в сеть, компоненты брандмауэра того же уровня защищают устройство ISA firewall, делая его наиболее безопасным устройством корпоративной сети.
  • В обратном сценарии веб-прокси сервера прокси-фильтрация ISA firewall на уровне прикладных программ может направить полномочия пользователя через внутренний брандмауэр к прежде аутентифицированным удаленным пользователям. Этот тип пре-аутентификации в ISA firewall предотвращает анонимные соединения с внутренними веб-серверами и сервисами
  • В дополнение к безопасности, которая настраивается пре-аутентификацией, ISA firewall включает в себя фильтр безопасности HTTP, контролирующий все HTTP соединения и может настраиваться с целью разрешения только законного веб-доступа к Exchange и серверу SharePoint Portal.
  • Обратный прокси-сервер для серверов Microsoft Exchange является самым популярным внедрением для больших организаций. ISA firewall был разработан для создания высоко уровня безопасности для соединения удаленного доступа со всеми сервисами сервера Exchange, включая Outlook Web Access, Outlook Mobile Access, Exchange ActiveSync, SMTP/S, POP3/S, и IMAP4/S. К тому же ISA 2006 firewall, работающий как обратный прокси-сервер создает сверхвысокий уровень безопасности для соединений удаленного доступа, используя Outlook 2003/2007 RPC/HTTP, обеспечивающего “повсеместный доступ” для клиентов Outlook.
  • Другим очень популярным внедрением обратного прокси-сервера ISA firewall является создание соединений удаленного доступа с сервисом сервера Microsoft SharePoint Portal. В ISA 2006 firewall содержатся улучшения, которые создают уникальную поддержку для комплекса потенциальных задач по публикации серверов SharePoint Portal. Комплексы задач, на выполнение которых может потребоваться несколько десятков часов с использованием других продуктов, полностью выполняются встроенными эксперт-програмами сервера SharePoint Portal ISA 2006 и технологиями прямой передачи.

ISA Firewall работает как сервер прямого веб-кэширования

Вы можете установить ISA Firewall сервер прямого веб-кэширования для создания внутренним пользователям более быстрого доступа к веб-информации Интернета. ISA 2006 содержит централизованный кэш запросов Интернет информации, доступ к которой можно получить через любую программу веб-обозревания. Получению объектов из памяти или с помощью кэш-памяти диска понадобится значительно меньшее время, чем скачиванию этих же объектов из Интернета.

ISA 2006 может быть установлен как постоянный сервер веб-кэширования, в котором матрица представляет клиентам единственную логическую кэш-память. Это позволяет вашей компании иметь выгоду из более большого кэширования веб-информации, чем с использования единственного сервера, также появляются преимущества распределения нагрузки и отказоустойчивости при использовании устройств ISA Enterprise Edition Cache Array Routing Protocol (CARP). К тому же в связи с тем, что матрица представляет единственному веб-прокси устройство, выполнение заметно улучшено в связи с полной пропускной способностью матрицы ISA firewall, которая может пропускать через одного члена матрицы, образованного числом других членов матрицы.

Прямое веб-кэширование улучшает возможность пользователей обозревать, уменьшает время ответа пользователю и уменьшает использование пропускной способности при соединений с Интернетом. Это поможет вам сэкономить деньги, если пропускная способность измеряется в мегабитах. Если даже пропускная способность не измеряется в мегабитах, компания может сэкономить деньги с помощью любых временных улучшений соединений или отказом от полного обновления соединений. Это особенно выгодно дл маленьких и средних размеров организаций, которые могут ограничить в использовании Т-1 сервис, который в свою очередь ограничивает пропускную способность, используемую в месяц по определенной цене.

Устройства, с помощью которых ISA 2006 работает как решение веб-кэширования, состоят из:

  • Быстрая кэш-память RAM разрешает быстрый доступ к веб-информации, хранящейся в веб-прокси кэш-памяти, находящейся в памяти RAM
  • Оптимизированная база данных кэш-памяти для кэширования диска включает ISA firewall и позволяет ISA firewall сохранять сотни гигабайт информации в оптимальных кэш-файлах диска
  • Запланированное скачивание информации. Позволяет вам “предварительно нагрузить” веб-кэширование. Частные запросы информации организациями будет разрешены в любое время, даже при отключенных соединениях с Интернетом и сервере содержимого. Content Download Jobs дают компании возможность предварительно занять кэш-память, что позволяет работодателям иметь круглосуточный доступ к этой информации. Вы можете установить прямые прокси-серверы прямого ISA Firewall в филиалах и соединить их с главным офисом с помощью веб-прокси матриц ISA 2006. Это позволит фиалам иметь выгоду с использования большого количества кэшированных данных, находящихся в веб-прокси матрице главного офиса, и уменьшит запросы пропускной способности Интернет-канала в главном офисе. К тому же, эти данные будут более закрытыми для пользователей филиалов, так как данные будут храниться в веб кэш-памяти филиала.

Сервер ISA работает как сервер обратного веб-кэширования

Вы можете установить ISA 2006 отдельно от веб-серверов организации, что станет сайтом торговли по Интернету, на котором будет находиться информация для покупателей, а также доступ для деловых партнеров. С входящими веб-запросами ISA 2006 может работать как веб-сервер, выполняющий запросы пользователей на получение веб-информации, хранящейся в кэш-памяти. Брандмауэр затем отправляет запросы в веб-сервер, но только тогда, когда они не могут быть обслуживаться из кэш-памяти. Это помогает начать загрузку с веб-сервера (-ов) и уменьшить использование пропускной способности в LAN между сервером ISA и веб-сервером (-ми).

Устройства, делающие ISA Server 2006 идеальным решением для обратного веб-кэширования, состоят из:

  • Эксперт-программа веб-публикации, выполняющая догадки по высокой производительности и наладке безопасного соединения с веб-сайтом
  • Быстрое кэширования включает обратный веб-прокси сервер ISA 2006 для обеспечения быстрого возврата запрошенной информации веб-пользователям
  • Оптимизированная база данных кэш-памяти для дискового кэширования позволяет сохранять гигабайты веб-информации в файлах веб-прокси кэширования ISA firewall для быстрого ответа на запросы веб-пользователей
  • Прозрачность для всех пользователей. Внешние пользователи не знают, что установлен обратный веб-прокси сервер. В любое время пользователи могут иметь прямое соединение с нужным веб-сервером. Даже когда нужный веб-сервер отключен, ISA firewall может продолжить загрузку информации из веб-прокси кэш-памяти.
  • Запланированное скачивание информации может заранее загрузить сайты в кэш-память. Когда веб-прокси кэш-память заранее загружена с информацией веб-сайта, ISA Firewall не нужно ждать запрос пользователя, прежде чем поместить его в кэш-память. Это может значительно увеличить как скорость, так и возможности данных.

Заключение

Во второй части статьи о том, как обучить директора и рабочий персонал работе с ISA Firewall, мы уделили много внимания устройствам веб-прокси сервера, которые облегчают внедрение политики ISA Firewall в существующую операционную систему брандмауэра. В третьей части статьи мы более подробно разберем преимущества ISA Firewall, которые возможны для компаний, установившим Exchange Server, сервер SharePoint и веб-сайты на основе IIS. Увидимся! –Том.

Если вы не читали первую статью, то прочитайте ее Обучение директора и сетевого персонала работе с ISA Firewall (Часть 1)





Рейтинг:  
3.5 (голосов 11)  
 1   2   3   4   5    

Автор: Томас Шиндер (Thomas Shinder)
Доктор Томас Шиндер (Thomas W. Shinder) является MCSE, MCP+I и MCT. Он работает в качестве инструктора и консультанта по технологиям в Dallas-Ft. Worth муниципальном районе, помогая в разработке и внедрении коммуникационных стратегий, основанных на IP, для таких больших фирм, как Xerox, Lucent и FINA.
Эта статья переведена и опубликована с разрешения www.isaserver.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2009