Настройка членов домена в DMZ брандмауэра Back-to-Back ISA Firewall — Часть 3: Настройка веб-сервера DMZ и внешнего брандмауэра ISA Firewall

Опубликовано: 12 Апреля, 2023

Настройка членов домена в DMZ брандмауэра ISA Firewall Back-to-Back
Часть 3: Настройка веб-сервера DMZ и внешнего брандмауэра ISA
Томас Шиндер, доктор медицинских наук, MVP



Есть вопросы по статье?

Спросите по адресу: http://tinyurl.com/qxpsn

В первых двух частях этой серии статей, состоящей из трех частей, мы обсудили концепции проектирования и развертывания сети DMZ, а также подробно рассмотрели настройку внутреннего брандмауэра ISA.

В этой статье мы рассмотрим следующее:

  • Настройте запись таблицы маршрутизации на сервере DMZ
  • Присоедините сервер DMZ к домену, расположенному во внутренней сети по умолчанию за внутренним брандмауэром ISA.
  • Настройте внутреннюю сеть внешнего брандмауэра ISA Firewall по умолчанию.
  • Настройте запись в таблице маршрутизации на внешнем брандмауэре ISA.
  • Создайте правило открытого доступа на внешнем брандмауэре ISA.
  • Создайте правило веб-публикации на внешнем брандмауэре ISA.
  • Протестируйте решение

Настройте запись таблицы маршрутизации на сервере DMZ

Шлюз по умолчанию на веб-сервере DMZ должен быть установлен для внутреннего интерфейса внешнего брандмауэра ISA, потому что веб-сервер должен отвечать на соединения с интернет-хостов. Кроме того, веб-серверу может потребоваться инициировать подключения к хостам в Интернете, например к сайту Центра обновления Майкрософт. Обратите внимание, что это не является жестким и быстрым требованием, потому что, если веб-серверу в демилитаризованной зоне не нужно инициировать подключения к хостам Интернета, и вы настраиваете правила публикации на внешнем брандмауэре ISA, чтобы заменить исходный IP-адрес на IP-адрес брандмауэра ISA, то вы можете не делать шлюз по умолчанию на веб-сервере DMZ внутренним интерфейсом брандмауэра ISA.

На сервере DMZ откройте командную строку и введите следующее:

добавить маршрут –p 10.0.0.0 MASK 255.255.255.0 10.0.1.2

Где 10.0.0.0 — идентификатор сети для корпоративной сети за брандмауэром ISA, 255.255.255.0 — маска подсети для этого идентификатора сети, а 10.0.1.2 — IP-адрес на внешнем интерфейсе внутреннего брандмауэра ISA.

На рисунке ниже показан пример настройки записи таблицы маршрутизации.


фигура 1

Присоедините сервер DMZ к домену, расположенному во внутренней сети по умолчанию за внутренним брандмауэром ISA.

Следующим шагом является присоединение веб-сервера DMZ к домену корпоративной сети. Ключевым фактором здесь является правильная конфигурация DNS на сетевом интерфейсе сервера DMZ. Веб-сервер DMZ должен иметь возможность найти контроллер домена в корпоративной сети. По этой причине мы будем использовать IP-адрес самого контроллера домена, на котором размещен DNS-сервер, интегрированный с Active Directory.

Выполните следующие шаги, чтобы присоединить сервер к домену (процедура зависит от ОС, на которой работает сервер; в этом примере веб-сервер DMZ работает под управлением Windows 2000).

  1. На веб-сервере DMZ щелкните правой кнопкой мыши значок «Мой компьютер» на рабочем столе и выберите «Свойства».
  2. В диалоговом окне «Свойства системы» перейдите на вкладку «Сетевая идентификация».
  3. На вкладке «Сетевая идентификация» нажмите кнопку «Свойства».
  4. В диалоговом окне «Изменения идентификации» выберите параметр « Домен » и введите полное доменное имя для своего домена. В этом примере имя корпоративного домена — msfirewall.org, поэтому я введу это имя в текстовое поле. Введите учетные данные администратора домена в диалоговом окне проверки подлинности. Нажмите OK в диалоговом окне, приветствуя вас в домене. Нажмите OK в диалоговом окне, информирующем вас о том, что вы должны перезагрузить компьютер.
  5. Нажмите «ОК» в диалоговом окне «Свойства системы».
  6. Нажмите Да, чтобы перезагрузить компьютер.

Настройте внутреннюю сеть внешнего брандмауэра ISA Firewall по умолчанию.

Когда внешний брандмауэр ISA был установлен, он брал свое определение из таблицы маршрутизации на устройстве внешнего брандмауэра ISA. Записи таблицы маршрутизации указали установщику брандмауэра ISA, что адреса 10.0.1.0-10.0.1.255 должны быть включены в определение внутренней сети по умолчанию. Это правильная конфигурация, если единственная сеть за внешним брандмауэром ISA имела идентификатор сети 10.0.1.0/24. Однако в нашем сценарии это неправильная конфигурация, которая вызовет проблемы с контролем доступа через интерфейсный брандмауэр ISA.

Причина проблемы с начальными настройками внутренней сети по умолчанию на внешнем брандмауэре ISA заключается в том, что существует связь маршрута между сетью DMZ (которая является внутренней сетью по умолчанию для внешнего брандмауэра ISA) и внутренней сетью по умолчанию. за внутренним брандмауэром ISA. Поскольку существует отношение маршрутизации, соединения от клиентов SecureNAT, расположенных за внутренним брандмауэром ISA, будут достигать внешнего брандмауэра ISA с исходным IP-адресом клиента, включенным в качестве исходного адреса (это не относится к прокси-соединениям Winsock). Брандмауэр] и клиенты веб-прокси). Если мы оставим определение внутренней сети внешнего брандмауэра ISA по умолчанию, как сейчас, то соединения от клиента SecureNAT, расположенного за внутренним брандмауэром ISA, будут определяться как поддельные пакеты.

Причина этого в том, что сети брандмауэра ISA используются для определения допустимости соединений, достигающих интерфейса, который является «корнем» конкретной сети брандмауэра ISA. Для внешнего брандмауэра ISA корнем внутренней сети по умолчанию является внутренний интерфейс с идентификатором сети 10.0.1.0/24. Любые соединения с исходным IP-адресом в этом идентификаторе сети считаются допустимыми. Однако, если соединение с исходным IP-адресом, который не является частью определения внутренней сети по умолчанию, выполняется через интерфейс, который является корнем внутренней сети внешнего брандмауэра ISA по умолчанию (который является внутренним интерфейсом внешнего интерфейса). брандмауэр ISA), то соединение сбрасывается как попытка подмены, так как брандмауэр ISA предполагает, что интерфейс не может принять соединение от хоста в Сети, которая отличается от той, для которой интерфейс является корневым..

Мы можем легко решить эту проблему, добавив IP-адреса, включенные во внутреннюю сеть внутреннего брандмауэра ISA по умолчанию, к определению внутренней сети внешнего брандмауэра ISA по умолчанию.

Выполните следующие шаги, чтобы добавить IP-адреса внутренней сети внутреннего брандмауэра ISA по умолчанию в определение внутренней сети внешнего брандмауэра ISA по умолчанию:

  1. В консоли брандмауэра ISA разверните имя сервера, а затем разверните узел Конфигурация. Нажмите на узел Сети.
  2. В узле «Сети» щелкните вкладку «Сети» в области сведений, затем дважды щелкните « Внутренняя сеть».
  3. В диалоговом окне «Внутренние свойства» щелкните вкладку «Адреса».
  4. На вкладке Адреса нажмите кнопку Добавить.
  5. В диалоговом окне «Свойства диапазона IP-адресов» введите начальный адрес и конечный адрес в текстовые поля. В этом примере мы введем 10.0.0.0 и 10.0.0.255 соответственно. Нажмите ОК.


фигура 2

  1. Нажмите «ОК» в диалоговом окне «Внутренние свойства».


Рисунок 3

Настройте запись в таблице маршрутизации на внешнем брандмауэре ISA.

Как и в случае с веб-сервером DMZ, вам необходимо настроить запись таблицы маршрутизации на внешнем брандмауэре ISA, которая позволит ему узнать маршрут к внутренней сети по умолчанию, расположенной за внутренним брандмауэром ISA. Выполните ту же процедуру, что и на веб-сервере DMZ, чтобы создать запись в таблице маршрутизации, обеспечивающую маршрут к внутренней сети по умолчанию за внутренним брандмауэром ISA.

Создайте правило открытого доступа на внешнем брандмауэре ISA.

В примере, обсуждаемом в этой статье, мы создадим правило доступа All Open на внешнем брандмауэре ISA, разрешающее весь исходящий трафик из внутренней сети по умолчанию во внешнюю. Я использую это только для того, чтобы сценарий был простым, чтобы мы могли сосредоточиться на основной теме этой статьи, а именно на настройке DMZ. Это не то, что я бы рекомендовал вам делать в производственной среде.

Что бы я делал в производственной среде? Некоторые вещи, которые я бы рассмотрел, включают:

  • Разрешите исходящий доступ через внешний брандмауэр ISA только для хостов DMZ, которым необходимо инициировать новые соединения.
  • Не разрешать исходящий доступ через внешний брандмауэр ISA для опубликованных серверов в DMZ и в корпоративной сети за внутренним брандмауэром ISA, которым не нужно устанавливать новые исходящие подключения к Интернету.
  • Разрешить исходящие соединения для всех протоколов с основного IP-адреса на внешнем интерфейсе внутреннего брандмауэра ISA. Это IP-адрес, который будет представлен внешнему брандмауэру ISA для веб-прокси и клиенту брандмауэра, расположенному за внутренним брандмауэром ISA.

Это всего лишь некоторые соображения высокого уровня и требования к исходящему доступу, хотя внешний брандмауэр ISA будет различаться в зависимости от характера связи, разрешенной в и из сегмента DMZ, а также от внутренних сетей, расположенных за внутренним брандмауэром ISA.

Выполните следующие шаги, чтобы создать правило исходящего доступа All Open во внешнем брандмауэре ISA:

  1. На внешнем брандмауэре ISA в консоли брандмауэра ISA разверните имя сервера, а затем щелкните узел «Политика брандмауэра» в левой панели консоли.
  2. Нажмите ссылку «Создать новое правило доступа» на вкладке «Задачи» в области задач.
  3. В диалоговом окне Добро пожаловать в новое правило доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило All Open Outbound. Нажмите «Далее».
  4. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
  5. На странице Протоколы выберите вариант Весь исходящий трафик из списка Это правило применяется к и нажмите Далее.
  6. На странице «Источники правил доступа» нажмите кнопку «Добавить».
  7. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети» и дважды щелкните запись « Внутренние ». Щелкните Закрыть.
  8. Нажмите «Далее» на странице «Источники правил доступа».
  9. На странице «Назначения правил доступа» нажмите кнопку «Добавить».
  10. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети». Дважды щелкните Внешняя сеть. Щелкните Закрыть.
  11. Нажмите «Далее» на странице «Назначения правил доступа».
  12. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее».
  13. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».
  14. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
  15. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Есть вопросы по статье?

Спросите по адресу: http://tinyurl.com/qxpsn

Создайте правило веб-публикации на внешнем брандмауэре ISA.

Теперь мы создадим правило веб-публикации для тестирования решения. Правило веб-публикации будет простым и не потребует аутентификации на брандмауэре ISA. Единственная аутентификация, которая потребуется, будет на самом веб-сайте. Опять же, в производственной среде я рекомендую, если вам требуется аутентификация на веб-сервере в DMZ, вы должны усилить безопасность, используя предварительную аутентификацию на брандмауэре ISA. Однако, если внешний брандмауэр ISA не является членом того же домена, что и опубликованный веб-сервер, или если учетные записи пользователей не зеркалируются на внешнем брандмауэре ISA, то пользователю будет предложено пройти аутентификацию дважды: один раз. внешним брандмауэром ISA и один раз на самом веб-сайте.

Мы создадим правило веб-публикации, которое позволит пользователям, вводящим URL-адрес http://dmzweb.msfirewall.org, получить доступ к веб-серверу в демилитаризованной зоне. Если вы хотите воспроизвести эту конфигурацию, вы должны сделать запись в файле HOSTS на внешнем брандмауэре ISA, которая сопоставляет общедоступное имя веб-сервера DMZ с IP-адресом веб-сервера в DMZ. Кроме того, публичный DNS должен содержать запись Host (A) для сервера, которая сопоставляется с IP-адресом внешнего интерфейса внешнего брандмауэра ISA.

Выполните следующие шаги, чтобы создать правило веб-публикации:

  1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.
  2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач, а затем щелкните ссылку «Опубликовать веб-сервер».
  3. На странице Вас приветствует мастер создания нового правила веб-публикации введите имя правила веб-публикации в текстовом поле Имя правила веб-публикации. В этом примере мы назовем правило Publish DMZ Server. Нажмите «Далее».
  4. На странице «Выбор действия правила» выберите параметр «Разрешить» и нажмите «Далее».
  5. На странице «Определить веб-сайт для публикации» введите имя веб-сервера DMZ в текстовом поле Имя компьютера или IP-адрес. Помните, что брандмауэр ISA должен иметь возможность преобразовать это имя в фактический IP-адрес веб-сервера DMZ в сети DMZ. Мы разрешим доступ ко всем папкам на этом сайте, поэтому введите /* в текстовом поле «Путь». Обычно рекомендуется пересылать исходный заголовок хоста, так как это позволяет многим приложениям, выполняющим сценарии на стороне сервера, работать правильно. Нажмите «Далее».


Рисунок 4

  1. На странице сведений об общедоступном имени выберите параметр Это доменное имя (введите ниже) в раскрывающемся списке Принимать запросы на. В текстовом поле Общедоступное имя введите имя, которое внешние пользователи будут использовать для доступа к сайту. В этом примере внешние пользователи будут использовать имя dmzweb.msfirewall.org для доступа к сайту, поэтому мы введем это значение. Мы хотим разрешить доступ ко всем папкам на сайте, поэтому мы оставим для параметра «Путь» (необязательно) значение по умолчанию (которое основано на параметре пути, который мы указали на предыдущей странице в мастере). Щелкните Далее.


Рисунок 5

  1. На странице «Выбор веб-прослушивателя» нажмите кнопку «Создать».
  2. На странице Добро пожаловать в мастер создания нового веб-прослушивателя введите имя для веб-прослушивателя. В этом примере мы назовем прослушиватель HTTP Listener. Нажмите «Далее».
  3. На странице «IP-адреса» поставьте галочку в поле «Внешний» и нажмите «Далее».


Рисунок 6

  1. Примите настройки по умолчанию на странице «Спецификация порта» и нажмите «Далее».
  2. Нажмите «Готово» на странице «Завершение работы мастера создания нового веб-прослушивателя».
  3. Нажмите «Далее» на странице «Выбор веб-прослушивателя».
  4. Примите настройку по умолчанию на странице «Наборы пользователей» и нажмите «Далее».
  5. Нажмите «Готово» на странице «Завершение работы мастера создания правила веб-публикации».
  6. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
  7. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Протестируйте решение

Проверим конфигурацию. На узле во внешней сети установите соединение с опубликованным веб-сервером. В этом примере мы подключимся к http://dmzweb.msfirewall.org. Вы должны увидеть диалоговое окно единого входа в систему. Введите свои учетные данные, и вы увидите домашнюю страницу сайта. В Таблице 1 ниже показан пример записей файла журнала внешнего брандмауэра ISA, связанных с попыткой подключения.


Таблица 1: Записи файла журнала, относящиеся к подключению внешнего клиента к опубликованному веб-серверу в демилитаризованной зоне (щелкните таблицу, чтобы увеличить)

В таблице 2 показан пример записей файла журнала, относящихся к внутридоменной связи между веб-сервером DMZ и контроллером домена в корпоративной сети.


Таблица 2: Внутридоменная связь между веб-сервером DMZ и контроллером домена в корпоративной сети за внутренним брандмауэром ISA (щелкните таблицу, чтобы увеличить)

Есть вопросы по статье?

Спросите по адресу: http://tinyurl.com/qxpsn

Резюме

В этой серии статей мы рассмотрели концепции и процедуры, связанные с размещением компьютера-члена домена в сегменте DMZ в конфигурации брандмауэра ISA с обратной связью. В этой, третьей части серии, мы настроили интерфейсный брандмауэр ISA и установили соединение с внешним клиентом. Затем мы просмотрели файлы журнала на внешнем и внутреннем брандмауэрах ISA, чтобы увидеть подробности веб-соединения с веб-сервером DMZ и внутридоменной связи между веб-сервером DMZ и контроллером домена в корпоративной сети за спиной. - конец брандмауэра ISA.

  • Настройка членов домена в DMZ брандмауэра Back-to-Back. Часть 4. Использование аутентификации RADIUS на внешнем брандмауэре ISA.