На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 7377197
8408
Hosts 835707
1937
Visitors 1046959
2321

8
Мониторинг активности принтеров

Главная / Статьи /  / Обучение директора и сетевого персонала работе с ISA Firewall (Часть 1)


Обучение директора и сетевого персонала работе с ISA Firewall (Часть 1)

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Если вы захотите прочитать вторую часть этой статьи, то пройдите по ссылке Обучение директора и сетевого персонала работе с ISA Firewall (Часть 2)

Во многих статьях на ISAserver.org я рассказал о предназначении ISA Firewall. Единственное, о чем мы не говорили – так это об устройстве ISA Firewall. Мы предполагали, что все уже знакомы с устройством ISA Firewall и поэтому рассказали, как его запускать и работать с ним.

Отсюда и проблемы. Многие админы ISA Firewall хотят установить ISA Firewall у себя в сети, но возникают проблемы, потому что сетевые операторы не понимают ISA Firewall, а боссы обычно полностью полагаются на них. В этой серии статей я поделюсь с вами информацией, которая будет очень полезной, когда вы будете презентовать ISA Firewall своему боссу и сетевым операторам.

В то время, пока многие компании заинтересованы только в том, чем ISA Server будет им полезен, многие захотят узнать, как он может защитить их сети и все возрастающее использование Интернета, как для внутренних пользователей, подключающихся к Интернету, так и для посетителей веб-сайта компании. Получив ответ на эти вопросы, вы познакомитесь с общими сценариями. Обсуждая различные сценарии со своим боссом и сетевым персоналом, сделайте ударение на том, что нет ни одного первоочередного сценария Microsoft, и что возможности внедрения ISA firewall многогранны, что позволяет вам установить ISA firewall, удовлетворив всем требованиям безопасности вашей компании.

ISA Firewall работает как внешний брандмауэр для соединения с Интернетом

Вы можете установить ISA Firewall в качестве выделенного брандмауэра соединения с Интернетом, действующего в качестве шлюза системы безопасности Интернета для внутренних пользователей. Это общая настройка для маленьких и небольших организаций, так как у крупных корпораций уже есть база данных об аппаратных средствах и другой брандмауэр для соединения с Интернетом. На нижеприведенном рисунке показан ISA Firewall как брандмауэр фронтального компьютера или соединения с Интернетом.

У данной настройки имеется множество преимуществ. Все соединения как внутри корпоративной сети, так и с внешними компьютерами отображаются в брандмауэре безопасности, а все доступы входа и выхода могут контролироваться модульностью системы сетевой безопасности, основными пользователями или группами. У пользователей будет доступ только к той информации и серверами, к которым вы им разрешите, исходя из правил доступа (Access Rules) ISA firewall и правил публикации (Publishing Rules), настроенных администратором ISA Firewall.

Администратору нужно только понять, как настраивать программное обеспечение ISA Firewall; это отклоняет возможности того, что брандмауэр потеряет произведенные ранее настройки, когда используются многосоставные брандмауэры. Эту настройку легко установить и использовать. Управление и наблюдение в дальнейшем могут быть значительно улучшены и упрощены, если использовать System Center Operations Manager для наблюдения за ISA firewall.

Работая как пограничный брандмауэр, ISA Firewall доступен для всеобщего наблюдения при коммуникации. Пользователи Интернета не смогут сказать, что брандмауэр включен, пока они пытаются получить доступ к сетевому сервису, протоколу или сайту, доступ к которому блокируется ISA Firewall

Сетевые операторы часто спрашивают является ли ISA firewall «прозрачным» брандмауэром. У термина «прозрачный» есть множество определений, о которых вам нужно знать. Некоторые считают брандмауэр «прозрачным», если им не нужно настраивать системы пользователя, чтобы иметь представления о существовании брандмауэра. В этом случае ISA firewall является «прозрачным» брандмауэром. Однако другие считают брандмауэр «прозрачным» на сетевом уровне, когда брандмауэр не описывает ни одного IP адреса, поэтому изменения должны быть произведены в IP адресации и инфраструктуре маршрутизации. В этом случае, ISA firewall не является «прозрачным» брандмауэром, так как он не обеспечивает то, что обычно называется «прозрачностью 2 уровня».

Устанавливая политику безопасного доступа, администратор может предотвратить неавторизованный доступ и утечку информации для доступа в сеть, и может ограничить исходящий трафик для пользователей и групп, прикладные программы, адресата, информацию, день недели или время суток.

Ниже приведены преимущества ISA Firewall как наилучшего решения для подключения к Интернету:

  • Многоуровневая фильтрация трафика — полный контроль и контроль на уровне прикладных программ
  • Программируемые фильтры контроля прикладных программ
  • Встроенная система выявления несанкционированного доступа
  • Уменьшение переполнения и вероятности распространения вирусов
  • Усиление системы защиты от взлома основной операционной системы
  • Объединенная виртуальная частная организация сети (VPN)
  • Безопасный офис шлюза системы безопасности
  • Решение безопасного удаленного доступа для Microsoft Exchange и серверов SharePoint Portal
  • Оптимизированное устройство брандмауэра, которое позволяет фильтровать трафик со скоростью в несколько гигабайт

ISA Firewall работает как брандмауэр уровня отделения или внутренний брандмауэр

Вы можете установить ISA Firewall как брандмауэр уровня отдела или внутренний сетевой брандмауэр, что обеспечит безопасный контроль входящего и исходящего доступа внутренних и внешних LAN. Это особенно привлекательно для крупных компаний, так как организации с уже установленными инфраструктурами брандмауэра захотят сохранить их при соединении с Интернетом и переписывать контроль на уровне прикладных программ в ISA Firewall при соединении с LAN. Это позволяет организациям выгодно использовать высокоскоростное соединение с Интернетом при выгоде от уникального уровня зашиты прикладных программ, который обеспечивается ISA Firewall контролем прикладных программ.

Сеть между сторонними внешними брандмауэрами представляет собой налаженную по какому-то периметру сеть, в которой могут быть размещены сервисы, доступ к которым открыт для всех. У стороннего комплекта фильтрующих брандмауэров есть интерфейс, соединенный напрямую с Интернетом, и интерфейс, соединенный с сетью периметра между сторонними фильтрующими интерфейсами, и брандмауэр контроля уровня прикладных программ ISA. У ISA firewall есть интерфейс сети периметра и интерфейс в защищенной, корпоративной LAN.

В этой настройке существует несколько преимуществ для организаций, у которых уже установлены сторонние продукты брандмауэра. Компания не обязана устанавливать основные обновления для сторонней инфраструктуры брандмауэра. Сторонние брандмауэры, базирующиеся на аппаратном обеспечении, могут обеспечивать высокоскоростную фильтрацию пакетов. Этот контроль пакетов, основанный на перезаписывании, взят из ISA Firewall и увеличивает доступ к ресурсам, доступным в ISA Firewall, с целью успешного проведения контроля на уровне прикладных программ. К тому же, устройство ISA Firewall для установки контроля пакетов может поддерживать некоторые несоответствия в устройстве установки устройства контроля пакетов во внешнем брандмауэре

Ресурсы, расположенные в корпоративной сети, защищены улучшенным механизмом контроля ISA firewall на уровне прикладных программ. Контроль внутреннего и внешнего доступа может быть произведен в базисе пользователя или группы, и ISA Firewall может стать членом домена внутренней сети без наличия «прямого доступа» к члену домена через Интернет.

На нижеприведенном рисунке приведены функции ISA 2006 как внутреннего брандмауэра.

Ниже приведены устройства, которые делают ISA Firewall наиболее удобным в качестве брандмауэра уровня отделения или внутреннего брандмауэра:

  • Безопасная публикация Outlook
  • Безопасная публикация веб-доступа RPC/HTTP
  • Безопасная публикация сервисов Интернет-информации веб-сайтов
  • Безопасная публикация Exchange RPC
  • Безопасная публикация сервера SharePoint Portal
  • Контроль доступа пользователя/группы ко всем протоколам и сервисам Интернета
  • Сложная сеть подразделения компании в VPN для подключения к LAN через опорную сеть корпорации
  • Сцепление серверов Web-прокси с восходящими серверами Web-прокси
  • Существующая инфраструктура брандмауэра может остаться нетронутой. Не нужно «разрывать и заменять», чтобы достичь улучшенной защиты, которая возможна с ISA firewall.
  • Внутренние сторонние брандмауэры помогают увеличить работоспособность ISA Firewall путем передвижения «ненужного трафика» - вызывающего больше периодов процессора в ISA Firewall для выполнения подробного контроля на уровне прикладных программ.

ISA Firewall работает как решение контроля доступа к интерсети через внутренние сети Organization – Multiple или сегменты сервиса выделенной сети

В связи со сложностью инфраструктуры безопасности, которая требуется многим организациям, необходимо с помощью LAN обслуживать сложные безопасные зоны. В каждой безопасной зоне содержатся сервисы и информация, которым требуются различные уровни доступа. Это особенно важно в организациях, которые требуют строгий контроль доступа. Будет очень трудно наладить проверку соблюдения требований без рационального сетевого дизайна, который сегрегирует хост-узлы, находящиеся в безопасных зонах, к которым они принадлежат.

Например, вы хотите создать сложный NIC в единственном ISA firewall и создать сеть для пользователей, сетевые сервисы, внешнюю сеть и всеобщий доступ к DMZ сети. Вы можете сделать это в единственном ISA firewall с четырьмя NIC и настроить политику брандмауэра на строгий контроль трафика между всеми этими сетями.

Другой главной опцией ISA firewall является создание сегментов сетевых сервисов. При таком сценарии ISA firewall находится между сегментами сетевых сервисов, содержащими контроллеры домена, Exchange Servers, SharePoint Portal Servers и SQL серверы. В этом случае в ISA firewall присутствует NIC в сегменте сетевых сервисов и NIC в корпоративной интрасети. Это помогает защитить серверы инфраструктуры сетевого ключа как от внешних пользователей, так и от потенциальных компромиссных хост-узлов в корпоративной сети. Иногда это носит название “перепериметиризации”.

Пользователям разрешен доступ к сегментам корпоративной сети, которые находятся в политике ограниченного брандмауэра. Весь доступ в брандмауэре подлежит регистрации, что создает механизм определения тех данных, к которым пользователи имели доступ через ISA firewall.Следующий рисунок иллюстрирует этот процесс.

Ниже приведены устройства, делающие ISA великолепным решением для контроля доступа к интерсети:

  • Мультисети ISA 2006 требуется политика брандмауэра для всех интерфейсов
  • Усовершенствованная защита от вирусов и переполнения останавливает атаки по переполнению брандмауэра и целевого сервера
  • Улучшенное описание сетевых объектов облегчает поиск контроля доступа
  • Отношения маршрутов между сетями могут быть установлены как NAT или маршрутизированы
  • Контроль доступа пользователя или группы определяет, какие корпоративные сегменты доступны
  • Общая для всех регистрация и предоставление отсчета о всех доступах, совершенных пользователями через ISA firewall
  • Сверхнадежные сегменты защиты могут быть настроены с целью запроса VPN доступа по двум факторам аутентификации
  • Полный пакет проверки, применяемый во всех интерфейсах
  • Программируемая фильтрация прикладных программ выполняет проверку трафика между LAN
  • Программируемый контроль доступа и полная проверка WLAN трафика с улучшенной безопасностью

ISA Firewall работает как брандмауэр филиала предприятия

Вы можете использовать ISA Firewall для соединения сети филиала офиса с главным офисом с применением PPTP, режим сетевого IPSec или L2TP/IPSec сайт с использованием VPN соединений. Вы можете установить ISA Firewall в филиале офиса, где он может работать как брандмауэр, защищающий сеть филиала офиса как VPN шлюз сети безопасности, соединяющий сеть филиал с сетью главного офиса. ISA 2006 улучшил VPN устройства межсетевого взаимодействия, позволяющие создавать сайт для прямого соединения с любым существующим VPN решением.

Отметим, что сетевые операторы при использовании ISA Firewall в качестве VPN шлюза безопасной сети филиала с главным офисом, могут использовать тот же строгий контроль доступа пользователя/группы для контроля пользователей в филиале, которые соединяются с главным офисом, которым они пользуются для контроля доступа пользователей в Интернет. Это позволяет вам влиять на «последнюю привилегию» при соединении с главным офисом и уменьшает поверхность атаки, представленную пользователями филиала, которые часто объявляются наименее сильным стандартами безопасности компьютера, чем пользователи главного офиса.

Настройки филиала приведены на рисунке.

Ниже приведены устройства, благодаря которым ISA Server 2006 будет лучшим брандмауэром филиала:

  • Поддержка режима сетевого IPSec позволяет вам создать сайт с наличием прямого соединения со сторонним VPN шлюзом сети безопасности
  • PPTP и L2TP/IPSec позволяет вам создать сайт с наличием прямого соединения с Microsoft VPN шлюзом сети безопасности
  • Усиленные опции EAP аутентификации разрешают более безопасный VPN шлюз сети безопасности
  • Полный пакет и контроль сайта на уровне прикладных программ для описания прямого соединения, ресурсы которого находятся в сети главного офиса, который может быть достигнут удаленными сетями
  • ISA firewall контролирует входящий и исходящий доступ в/из Интернета в филиале
  • ISA Enterprise Edition позволяет ISA firewall администраторам главного офиса установить политику безопасности брандмауэра во все филиалы от главного офиса и использовать эту политику
  • Программируемые фильтры на уровне прикладных программ выполняют полный контроль трафика между VPN, соединенными LAN
  • BITS кэширование уменьшает пропускную способность, требуемую на сайте для налаживания прямого соединения VPN
  • HTTP сжатие уменьшает влияние веб-скачиваний с сайта для наладки прямого VPN подключения
  • Защита от вирусов и переполнения предотвращает отказ в обслуживании атак расширением филиалов офиса
  • Соединенные веб-прокси серверы увеличивают скорость подключения к Интернету филиала, извлекая информацию из веб-прокси сервера главного офиса
  • Diffserv QoS позволяет филиалам наилучшим образом использовать ограниченную пропускную способность между главным офисом и филиалами

Заключение

Эта статься является первой из трех статей, “обучающих босса и сетевых операторов работе с ISA firewall”. Мы изучили несколько основных сценариев, в которых ISA Firewall может быть заменен, и входящие в ISA Firewalls устройства и настройки безопасности, которые позволяют вам поддерживать вашу инфраструктуру брандмауэры. В следующей статье мы продолжим изучать сценарии, которые помогут директору и сетевым операторам лучше понять, как ISA Firewall используется для создания более безопасной инфраструктуры для любых компании. Увидимся! – Том.

Если вы захотите прочитать вторую часть этой статьи, то пройдите по ссылке Обучение директора и сетевого персонала работе с ISA Firewall (Часть 2)





Рейтинг:  
3.5 (голосов 13)  
 1   2   3   4   5    

Автор: Томас Шиндер (Thomas Shinder)
Доктор Томас Шиндер (Thomas W. Shinder) является MCSE, MCP+I и MCT. Он работает в качестве инструктора и консультанта по технологиям в Dallas-Ft. Worth муниципальном районе, помогая в разработке и внедрении коммуникационных стратегий, основанных на IP, для таких больших фирм, как Xerox, Lucent и FINA.
Эта статья переведена и опубликована с разрешения www.isaserver.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2009