Сетевые шаблоны

Для управления трафиком между сегментами на ISA Server необходимо настроить несколько базовых объектов: протоколы, наборы пользователей, фильтры содержимого пакетов и сетевые компоненты. Среди последних можно выделить диапазоны адресов, подсети, наборы компьютеров, наборы допустимых имен, ссылок и прослушивателей. Причем можно настраивать как разрешенные, так и запрещенные объекты. Настройка указанных компонентов осуществляется с помощью графических Мастеров и выполняется в зависимости от потребности организации и сетевой топологии. Указанные объекты могут быть сгруппированы по категориям. Например, это касается протоколов – языков обмена данными между компьютерами. Можно осуществлять настройку каждого протокола в отдельности или целой категории протоколов. Для фильтрации и перенаправления трафика в зависимости от пользователя, осуществляющего прием или передачу, нужно сконфигурировать набор пользователей по аналогии с группой пользователей в Активном каталоге.

Безусловно, особый интерес представляют возможные источники и получатели трафика на уровне сетевого интерфейса. Для контроля над ними необходимо настраивать сетевые объекты. Сети разделяются на четыре вида: локальную (включает IP-адреса самого ISA Server), внутреннюю (включает все IP-адреса, связанные с внутренним сетевым адаптером), внешнюю (включает все ненастроенные IP-адреса, изменить ее вручную нельзя), клиентов VPN (создаются автоматически при подключении удаленного клиента).

Сети можно объединять в наборы, чтобы управлять ими совместно. В случае, если в корпоративной сети используется несколько коммутационных устройств, причем часть из них не подключена ко внутреннему адаптеру ISA Server непосредственно, для управления трафиком в них нужно использовать специальный объект – Подсеть.

В случае если в сети существуют компьютеры, для которых необходимы особые правила регулирования сетевого трафика, то необходимо управлять их единичными IP-адресами. Ими управляют с помощью специального объекта, который называется Компьютер. Из Компьютеров можно создавать наборы.

Для управления трафиком в зависимости от Web-адреса удаленного узла или от его имени можно создавать наборы URL и доменных имен, а также задать IP-адреса и номера портов, на которых ISA Server прослушивает Web-запросы с помощью Прослушивателей.

После создания базовых объектов можно начинать управлять трафиком. В ISA Server обработка трафика осуществляется на основе определенной политики брандмауэра, которая состоит из правил трех уровней, применяемых последовательно: сетевые правила (определяют способ пересылки пакетов между сегментами сети – с помощью NAT или маршрутизации, если способ явно не выбран, то трафик запрещается), правила системной политики (определяют каким образом ISA Server передает данные дальше в сети), правила политики брандмауэра (определяют метод передачи данных между сетями; по умолчанию запрещают весь трафик). Управлять всеми видами правил можно из консоли Управление ISA Server.

В любом случае механизм обмена данными между сетевыми сегментами сводится к следующему: если отношения между сетями не настроено, то трафик запрещен; если применяется система NAT, то адреса целевой сети будут скрыты от адресов исходной; если применяется маршрутизация, оригинальный адрес источника будет сохранен, а частные и общие адреса будут заданы.

Создавая правила того или иного уровня, необходимо располагать их в следующем порядке: глобальные запрещающие правила; глобальные разрешающие правила; правила для конкретных компьютеров; правила для конкретных пользователей; прочие разрешающие правила.

Совокупность правил доступа на разных уровнях называется сценарием политики брандмауэра. Создание того или иного сценария должно четко отражать потребность организации. Проще говоря, правила доступа описывают, как исходная сеть получает доступ к целевой сети. При попытке получить доступ к ресурсу, трафик к которому контролирует ISA Server, клиент, инициирующий связь, должен пройти проверку. При прохождении такой проверки службами ISA Server должны быть получены ответы на следующие вопросы в порядке очереди:

1. разрешен ли протокол для связи;
2. разрешен ли адрес и порт источника;
3. разрешен ли доступ данному клиенту в данное время;
4. разрешен ли целевой ресурс;
5. прошел ли пользователь аутентификацию;
6. разрешена ли передача содержимого данного типа.

Связь разрешается, если получены положительные ответы на все вопросы. При попытке ответить на указанные вопросы в порядке очереди проверяются:

1. набор протоколов;
2. набор компьютеров или сетей;
3. расписание доступа;
4. набор IP-адресов доменных имен и URL;
5. реквизиты пользователя;
6. список разрешенного содержимого.

Необходимо обратить внимание, что изменение политик брандмауэра не затрагивает текущие сеансы.

Физическая сетевая топология должна четко отражаться в программных компонентах, защищающих корпоративную сеть, для этого в ISA Server 2004 есть возможность работать с сетевыми шаблонами. Рассмотрим четыре наиболее часто используемых сетевых шаблона.

В случае, если ISA Server отделяет корпоративную сеть от внешнего Интернета и используется как в качестве брандмауэра, так и в качестве сервера кэширования, необходимо использовать шаблон Edge Firewall.

Если на ISA Server установлено три сетевых адаптера, подключенные к внутренней сети, внешней сети и сети периметра соответственно, то необходимо использовать шаблон 3-Leg Perimeter.

В случае, если на границе корпоративной сети последовательно установлены два ISA Server, то нужно использовать два шаблона Front Firewall и Back Firewall. При этом внешний брандмауэр обеспечивает проверку на уровне адресов, а внутренний - на уровне приложений.

Настройка указанных шаблонов сводится к трем этапам. Сначала необходимо указать наборы IP-адресов, соответствующих внутренней сети, внешней сети и сети периметра (последней – в зависимости от шаблона). Дальше необходимо указать IP-адреса ISA Server, подключенные к соответствующим сетям. В конце необходимо выбрать один из сценариев разрешающих правил, который предоставляет шаблон. Описание предлагаемых сценариев содержит в себе графический мастер, с помощью которого осуществляется настройка указанных шаблонов. Доступ к этому мастеру можно получить из консоли Управление ISA Server. В случае, если потребуется изменить сценарий, можно создать собственные разрешающие правила в шаблоне.