Опубликован: 10.03.2009 | Доступ: свободный | Студентов: 1840 / 449 | Оценка: 4.50 / 4.30 | Длительность: 06:03:00
Лекция 3:

Защитные экраны

< Лекция 2 || Лекция 3 || Лекция 4 >
Аннотация: Данная лекция затрагивает вопросы использования сетевых экранов и приводит в качестве такого решения Microsoft Internet Security and Acceleration Server 2004 (ISA Server).

Защита границ корпоративной сети предприятия от внешних угроз, контроль входящего и исходящего Интернет трафика и маршрутизация внутри локальных подсетей являются важными элементами системы безопасности. С каждым разом угроза заражения данных вирусами и уровень хакерских атак на сеть возрастают, а нерадивые пользователи стремятся "обойти" установленные ограничения. Решить задачи по контролю маршрутизации пакетов можно с помощью профессиональных программных брандмауэров.

Одним из таких решений является Microsoft Internet Security and Acceleration Server 2004 (ISA Server). Этот брандмауэр может контролировать сетевой трафик на пяти уровнях стека протоколов TCP/IP, кроме канального и физического уровней. Он способен контролировать не только заголовки пакетов, но и раскрывать их содержимое, анализировать скрытую информацию. Этой системой также, безусловно, поддерживается контроль адресов пакетов.

ISA Server можно использовать не только как внешний сетевой экран, с помощью которого корпоративная сеть отделяется от Интернета, но также и как контролер Интернет-трафика во внутренней сети. Также ISA Server можно использовать в качестве прокси. Он способен кэшировать содержимое внешних web-узлов. При этом их содержимое будет сохраняться в локальной сети. В случае повторного обращения пользователей к внешнему web-серверу ответ даст ISA Server компании, что существенно разгрузит внешний канал связи. Его кэш достаточно производителен, т.к. содержимое сохраняется не только на жестких дисках, но и в оперативной памяти сервера. При этом сам кэш представляет собой единый индексированный файл, что существенно ускоряет поиск нужной информации. Кэшировать объекты можно по расписанию.

Это полезно если клиенты корпоративной сети часто пользуются одним и тем же сайтом, информация на котором меняется. В этом случае ISA Server может загружать новую версию сайта раз в несколько минут, предоставляя пользователям максимально адекватную времени информацию. В случае если на предприятии используются несколько ISA Serverов, между ними можно распределить задачи по кэшированию.

Располагая ISA Server на границе корпоративной сети и внешнего Интернета, можно использовать его как брандмауэр. В этом случае внешний адрес присваивается только ISA Server, который проводит безопасную идентификацию внешних пользователей и осуществляет их связь с внутренними серверами компании. При этом внутренние серверы компании не видны из Интернета, но прошедшие проверку пользователи могут получить доступ к их сервисам.

Как брандмауэр ISA Server поддерживает множество фильтров, пакетов, каналов и приложений, что позволяет дать доступ только к явно указанным ресурсам в случае необходимости. Используя комбинацию фильтров можно защитить данные даже тогда, когда протоколы, по которым происходит связь, сами по себе являются небезопасными. Также брандмауэр способен определять вторжение в автоматическом режиме по заранее заданным шаблонам.

ISA Server имеет очень гибкий инструмент по настройке внутренней и внешней сетевой топологии. Этот элемент является важным, т.к. позволяет отделить внутренние сети от внешних и применять различные политики доступа к различным сетевым сегментам. Компьютеры объединяются в группы в соответствии с диапазонами адресов, что позволяет в настройках ISA Serverа создать максимально точную модель корпоративной сетевой топологии. Поэтому можно управлять потоками данных не только между внутренней сетью и внешним Интернетом, но и между отдельными сетевыми сегментами предприятия.

ISA Server 2004 поставляется в двух вариантах: Standard Edition и Enterprise Edition. ISA Server Standard Edition также входит в комплект поставки Small Business Server Premium Edition. Версии продукта отличаются друг от друга возможностью масштабирования и интеграции с Активным каталогом. В дальнейшем мы будем рассматривать ISA Server 2004 Enterprise Edition, которая поддерживает до 25 серверов в одном массиве, поддерживает технологию балансировки сетевой нагрузки (NLB), возможность управления несколькими серверами централизованно и полную интегрируемость в Активный каталог.

С точки зрения аппаратных требований этот программный продукт поддерживает процессоры от 1 ГГц, оперативную память от 512 Мб, неограниченное число сетевых адаптеров и не менее двух выделенных разделов дисковой системы. Следует отметить, что ISA Server не является самостоятельной операционной системой и устанавливается поверх Windows Server 2003.

Важным аспектом является лицензирование ISA Server. Отличительной чертой является необходимость лицензии на каждый используемый в системе процессор. Поэтому при модернизации процессоры выгоднее заменять более быстрыми, а не увеличивать их число. Однако для многоядерных процессоров достаточно одной лицензии.

Управлять возможностями ISA Server и проводить его настройку можно с помощью множества мастеров и консоли Управление ISA Server. ISA Server поддерживает средства удаленного администрирования.

< Лекция 2 || Лекция 3 || Лекция 4 >
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Мария Архипова
Мария Архипова