Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб. Часть 2. Настройка ISA Firewall периметра сетевых служб

Настройте ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб —
Часть 2: Настройка периметра сетевых служб ISA Firewall
Томас Шиндер, доктор медицинских наук, MVP

В первой части этой серии статей о настройке сегмента сетевых служб с использованием периметра брандмауэра ISA мы обсудили концепции и проблемы проектирования сети периметра, а также вопросы, связанные с механизмами проверки пакетов брандмауэра ISA с отслеживанием состояния. Мы также рассмотрели образец схемы сети, использованный в этой серии статей. В этой, второй части серии статей, мы сосредоточим наше внимание на периметре сегмента сетевых служб брандмауэра ISA.

В этой, второй части серии статей, мы сосредоточим наше внимание на периметре сегмента сетевых служб брандмауэра ISA. В этой статье мы сделаем следующее:

• Создайте сеть брандмауэра ISA, представляющую корпоративную сеть на периметре сетевых служб.
• Создайте сетевое правило на периметре сетевых служб ISA Firewall Настройка отношения маршрутизации между корпоративной сетью и сегментом сетевых служб
• Создайте правило доступа к внутридоменным коммуникациям на периметре сетевых служб ISA Firewall и правило публикации DNS-сервера.
• Создайте правила доступа, контролирующие исходящий доступ из сегмента сетевых служб на периметре ISA Firewall

Напоминаем, что на рисунке ниже представлен общий вид примера сети, используемого в этой серии статей.

Рисунок А

Создайте сеть брандмауэра ISA, представляющую корпоративную сеть на периметре сетевых служб.

Одно из самых распространенных заблуждений относительно сетей брандмауэра ISA и того, как брандмауэр ISA видит сетевой мир, заключается в том, как брандмауэр ISA работает с внешней сетью по умолчанию. Давайте внесем ясность: внешняя сеть по умолчанию на брандмауэре ISA определяется как любой IP-адрес, который не является частью какой-либо другой сети брандмауэра ISA, настроенной на брандмауэре ISA.

Это означает, что вы можете настроить любой набор IP-адресов, которые не являются частью другой сети брандмауэра ISA, как часть пользовательской сети брандмауэра ISA. Сюда входят IP-адреса, привязанные к внешнему интерфейсу брандмауэра ISA (хотя адреса на внешнем интерфейсе брандмауэра ISA всегда будут принадлежать локальной сети).

Это позволяет нам создать пользовательскую сеть брандмауэра ISA, которая включает IP-адреса, используемые в корпоративной сети, расположенной между граничным брандмауэром ISA и периметром сетевых служб брандмауэра ISA. Эти адреса не обязательно должны быть частью внешней сети по умолчанию, даже если корпоративная сеть имеет тот же идентификатор сети, что и внешний интерфейс брандмауэра ISA. Термин «внешний интерфейс» означает только то, что это интерфейс с настроенным на нем шлюзом по умолчанию, который обычно находится ближе всего к Интернету.

ПРИМЕЧАНИЕ:
Хотя термин «внешний интерфейс» используется для обозначения сетевой карты, на которой настроен шлюз по умолчанию, факт заключается в том, что вы можете настроить брандмауэр ISA без шлюза по умолчанию. Этот брандмауэр ISA не сможет получить доступ к Интернету и хостам, обслуживаемым этим брандмауэром ISA, не сможет получить доступ к Интернету, но он показывает, что брандмауэр ISA не требует внешнего интерфейса.

Ценность создания корпоративной сети между пограничным брандмауэром ISA и периметром сетевых служб брандмауэра ISA отдельной сетью брандмауэра ISA заключается в том, что вы можете контролировать отношения маршрутизации между этой сетью и любой другой сетью, определенной на брандмауэре ISA. В примере сети, используемом в этой статье, настройка пользовательской корпоративной сети брандмауэра ISA позволит нам создать отношение маршрутизации между внутренней сетью по умолчанию за внутренним брандмауэром ISA и корпоративной сетью между пограничным брандмауэром ISA и сетевыми службами ISA. периметр брандмауэра ISA. Мы также можем создать правила доступа, контролирующие трафик, проходящий в любую сеть брандмауэра ISA и из нее.

Создайте корпоративную сеть брандмауэра ISA

Выполните следующие шаги на периметре сетевых служб брандмауэра ISA, чтобы создать сеть корпоративного брандмауэра ISA:

1. В консоли брандмауэра ISA разверните имя сервера, а затем разверните узел Конфигурация. Щелкните узел Сети.
2. В узле «Сети» щелкните вкладку «Сети» в области сведений. Перейдите на вкладку «Задачи» на панели задач, а затем нажмите ссылку « Создать новую сеть».
3. На странице Добро пожаловать на страницу мастера создания сети введите имя сети в текстовом поле Имя сети. В этом примере мы назовем Network Corpnet. Нажмите «Далее».
4. На странице «Тип сети» выберите параметр «Сеть периметра» и нажмите «Далее».
5. На странице «Сетевой адрес» нажмите кнопку «Добавить».
6. В диалоговом окне «Свойства диапазона IP-адресов» введите начальный и конечный адреса для корпоративной сети брандмауэра ISA. В этом примере мы введем 10.0.1.0 в качестве начального адреса и 10.01.255 в качестве конечного адреса. Обратите внимание, что вам не нужно включать весь идентификатор сети; вы можете включить только те адреса, которые фактически используются в этой сети, или вы можете получить еще большую степень детализации и включить только те адреса, которые вы хотите иметь маршрутным отношением с интернет-сетью по умолчанию за периметром сетевых служб брандмауэра ISA, чтобы вы позже вы можете создать другую сеть брандмауэра ISA, представляющую другие адреса в корпоративной сети, с которыми вы хотите создать отношения NAT. Нажмите ОК.

фигура 1

7. Нажмите «Далее» на странице «Сетевые адреса».

фигура 2

8. Нажмите «Готово» на странице «Завершение работы мастера создания сети».

Рисунок 3

Создайте сетевое правило на периметре сетевых служб ISA Firewall Настройка отношения маршрутизации между корпоративной сетью и сегментом сетевых служб

В сценарии, обсуждаемом в этой статье, узлы корпоративной сети являются членами домена, контроллеры домена которого расположены за периметром сетевых служб брандмауэра ISA.

Необходимо создать правило доступа, позволяющее узлам в корпоративной сети взаимодействовать с контроллерами домена в сегменте сетевых служб. Внутридоменная связь требует, чтобы между исходной и целевой сетями существовала связь Route. По этой причине мы создадим сетевое правило, которое устанавливает отношение Route между корпоративной сетью и внутренней сетью по умолчанию, расположенной за периметром сетевых служб брандмауэра ISA.

Важно отметить, что, несмотря на то, что между периферией сетевых служб внутренней сетью брандмауэра ISA по умолчанию и сетью корпоративной сети будет связь маршрутизации, связь NAT между внутренней сетью брандмауэра ISA брандмауэра ISA по умолчанию периметра сетевых служб и Интернетом все же будет. Это полностью поддерживается (и требуется), поскольку частные адреса используются во всех сетях за пограничным брандмауэром ISA.

Создайте сетевое правило, определяющее отношение маршрутизации между корпоративной сетью брандмауэра ISA и внутренней сетью по умолчанию.

Выполните следующие шаги, чтобы создать сетевое правило, создающее отношение маршрута между корпоративной сетью и внутренней сетью по умолчанию за периметром сетевых служб брандмауэра ISA:

1. В консоли брандмауэра ISA разверните имя сервера, а затем разверните узел Конфигурация в левой панели консоли. Щелкните узел Сети.
2. В узле «Сети» щелкните вкладку «Сетевые правила» в области сведений консоли, затем щелкните ссылку «Создать новое сетевое правило» на вкладке « Задачи » панели задач.
3. На странице Вас приветствует мастер создания нового сетевого правила введите имя правила в текстовом поле Имя сетевого правила. В этом примере мы назовем правило Corpnet — Internal (внутренняя сеть по умолчанию за периметром сетевых служб брандмауэра ISA представляет сегмент сетевых служб). Нажмите «Далее».
4. На странице Источники сетевого трафика нажмите кнопку Добавить.
5. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните «Сеть корпоративной сети». Щелкните Закрыть.

Рисунок 4

6. Нажмите «Далее» на странице «Источники сетевого трафика ».

7. Нажмите «Добавить» на странице «Назначения сетевого трафика».

8. Щелкните папку «Сети», а затем дважды щелкните запись «Внутренние ». Щелкните Закрыть.

9. На странице «Сетевые отношения» выберите параметр «Маршрут» и нажмите «Далее».

Рисунок 5

10. Нажмите «Готово» на странице «Завершение работы мастера создания нового сетевого правила».

Рисунок 6

Создайте правило доступа к внутридоменным коммуникациям на периметре сетевых служб ISA Firewall и правило публикации DNS-сервера.

Для обеспечения внутридоменной связи между узлами в корпоративной сети и контроллерами домена в корпоративной сети требуется несколько протоколов. В Таблице 1 представлена подробная информация об этом правиле доступа. В Таблице 2 приведены подробные сведения о правиле публикации DNS-сервера.

Таблица 1: Правило доступа, разрешающее внутридоменную связь между хостом DMZ и контроллером домена во внутренней сети по умолчанию за внутренним брандмауэром ISA.

Имя	Внутридоменная корпоративная сеть — внутренняя
Действие	Разрешать
Протоколы	Microsoft CIFS (TCP) Microsoft CIFS (UDP) Kerberos-Adm (UDP) Kerberos-Sec (TCP) Kerberos-Sec (UDP) LDAP LDAP (УДП) LDAP GC (глобальный каталог) RPC (все интерфейсы) НТП (УДП) пинг
Из	Корпоративный
К	Контроллер домена
Пользователи	Все
Расписание	Всегда
Типы контента	Все типы контента

Таблица 2. Правило публикации DNS-сервера

Имя	Публикация DNS домена
Действие	Разрешать
Протоколы	DNS-сервер
Слушатель	Корпоративный
К	10.0.0.2
Расписание	Всегда

Обратите внимание, что мы используем правило доступа вместо правила публикации, чтобы разрешить доступ из сети корпоративного брандмауэра ISA и сети сегмента сетевых служб. Причина этого в том, что у нас есть маршрутные отношения между этими двумя сетями. Поскольку у нас есть отношение маршрута, у нас нет необходимости или возможности скрывать адреса серверов в сегменте сетевых служб.

Вы можете быть обеспокоены тем, что не сможете использовать фильтры приложений глубокой проверки уровня приложений брандмауэра ISA при использовании правил доступа, но факт в том, что вы можете извлечь выгоду из фильтров уровня приложений для большинства протоколов. Если вы проверите определения протоколов, связанные с фильтрами приложений, связанными с определениями протоколов, вы увидите, что как входящие, так и исходящие определения протоколов для протоколов имеют привязанные к ним фильтры проверки прикладного уровня.

К сожалению, DNS-фильтр не входит в число фильтров, которые можно использовать для проверки входящего и исходящего доступа с отслеживанием состояния на прикладном уровне. Даже если вы можете связать фильтр проверки прикладного уровня DNS с определением исходящего протокола DNS, фильтр не будет иметь никакого эффекта.

Вы можете проверить это самостоятельно, привязав фильтр проверки уровня приложения DNS к исходящему протоколу DNS, а затем создав правило доступа из корпоративной сети в сеть сегмента сетевых служб, используя это определение протокола DNS. Затем заблокируйте передачу зоны DNS в диалоговом окне «Включить обнаружение вторжений и обнаружение атак DNS ». После создания правила доступа и настройки обнаружения вторжений DNS попробуйте выполнить передачу зоны DNS с помощью утилиты nslookup и введя команду ls –d <имя_домена.>. Вы обнаружите, что можете выполнять передачу зоны. Напротив, если вы выполнили правило публикации DNS-сервера, передача зоны завершится ошибкой, поскольку фильтр проверки уровня приложения DNS обнаружил вторжение.

По этой причине мы создадим два правила публикации: одно для DNS-соединений, а другое — для всех остальных внутридоменных взаимодействий. Хотя мы могли бы упростить настройку, включив протокол DNS в правило доступа к внутридоменной связи, мы упустили бы дополнительную защиту, обеспечиваемую фильтром DNS.

Создайте правило связи внутри домена

Выполните следующие шаги, чтобы создать правило доступа к внутридоменным коммуникациям на периметре сетевых служб брандмауэра ISA:

1. В консоли брандмауэра ISA разверните имя сервера, а затем щелкните узел «Политика брандмауэра» в левой панели консоли.
2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач и щелкните ссылку «Создать новое правило доступа».
3. На странице Вас приветствует мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило Intradomain Corpnet —Internal и нажмем Next.
4. Выберите параметр «Разрешить» на странице «Действие правила».
5. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к». Щелкните Добавить.
6. Щелкните папку «Добавить протоколы», а затем дважды щелкните следующие протоколы:
   Microsoft CIFS (TCP)
   Microsoft CIFS (UDP)
   DNS
   Kerberos-Adm (UDP)
   Kerberos-Sec (TCP)
   Kerberos-Sec (UDP)
   LDAP
   LDAP (УДП)
   LDAP GC (глобальный каталог)
   RPC (все интерфейсы)
   НТП (УДП)
   пинг
   Нажмите «Закрыть» в диалоговом окне «Добавить протоколы».
7. Нажмите «Далее» на странице «Протоколы».

Рисунок 7

8. На странице «Источники правил доступа» нажмите кнопку «Добавить».

9. В диалоговом окне «Добавить сетевые объекты » дважды щелкните запись «Корпорация» и нажмите «Закрыть».

10. Нажмите «Далее» на странице «Источники правил доступа».

11. Нажмите «Добавить» на странице «Назначения правил доступа».

12. В диалоговом окне «Добавить сетевые объекты» откройте меню « Создать» и выберите «Компьютер».

13. В диалоговом окне Новый элемент правила для компьютера введите имя контроллера домена во внутренней сети (сегмент сетевых служб). В этом примере мы назовем Контроллер домена компьютерного объекта. Введите IP-адрес контроллера домена в текстовое поле IP-адрес компьютера. Введите дополнительное описание, если хотите. Нажмите ОК.

Рисунок 8

14. В диалоговом окне «Добавить сетевые объекты» щелкните папку « Компьютеры», а затем дважды щелкните запись «Контроллер домена». Щелкните Закрыть.

15. Нажмите «Далее» на странице «Назначения правил доступа».

Рисунок 9

16. Примите настройку по умолчанию All Users на странице User Sets и нажмите Next.

17. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».

Создайте правило публикации DNS-сервера

Следующим шагом является создание правила публикации DNS-сервера. Выполните следующие шаги на периметре сетевой службы брандмауэра ISA, чтобы создать правило публикации DNS-сервера:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.

2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач, а затем щелкните ссылку «Создать новое правило публикации сервера».

3. На странице Вас приветствует мастер нового правила публикации сервера введите имя правила в текстовом поле Имя правила публикации сервера. В этом примере мы назовем правило Publish Domain DNS и нажмем Next.

4. На странице Выбор сервера введите IP-адрес DNS-сервера для домена в текстовом поле IP-адрес сервера. В этом примере DNS-сервер домена расположен на контроллере домена с IP-адресом 10.0.0.2. Мы вводим этот IP-адрес в текстовое поле и нажимаем «Далее».

Рисунок 10

5. На странице «Выбор протокола» выберите параметр «DNS-сервер» в списке «Выбранный протокол». Нажмите «Далее».

Рисунок 11

6. На странице «IP-адрес» установите флажок рядом с «Корпоративной сетью» и нажмите «Далее». В этой настройке есть интересная причуда, о которой я расскажу подробнее в конце этого раздела.

Рисунок 12

7. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового сервера».

Я упомянул, что существует интересный поворот в правилах публикации серверов, когда у вас есть отношения маршрутизации между исходной и целевой сетью брандмауэра ISA. Чтобы полностью оценить ситуацию, давайте сначала рассмотрим, что происходит, когда существует отношение NAT между опубликованным сервером и внешним клиентом.

Когда между опубликованным сервером и внешним клиентом существует отношение NAT, внешний клиент подключается к опубликованному серверу , используя IP-адрес на внешнем интерфейсе брандмауэра ISA, настроенного на прослушивание входящих соединений для этого конкретного правила публикации сервера. Например, если между опубликованным DNS-сервером и корпоративной сетью существует отношение NAT, то мы можем выбрать IP-адрес 10.0.1.2 на внешнем интерфейсе периметра сетевых служб брандмауэра ISA в качестве адреса для прослушивания. Хосты, которым необходимо получить доступ к опубликованному серверу, будут отправлять DNS-запросы на IP-адрес, используемый в прослушивателе правила публикации сервера, а не на фактический IP-адрес опубликованного веб-сервера.

Напротив, когда между исходной и целевой сетью брандмауэра ISA существует связь маршрута, внешний клиент достигает опубликованного DNS-сервера (или любого другого сервера, кроме веб-сервера, опубликованного с использованием правила веб-публикации), используя фактический IP-адрес опубликованного сервер. Таким образом, даже несмотря на то, что мы создали правило публикации DNS-сервера, у которого есть прослушиватель на внешнем интерфейсе периметра сетевых служб брандмауэра ISA, внешние клиенты должны использовать фактический IP-адрес для доступа к DNS-серверу, который в данном случае равен 10.0. .0.2.

Создайте правила доступа, контролирующие исходящий доступ из сегмента сетевых служб на периметре ISA Firewall

Вы должны создать правила доступа, разрешающие новые исходящие соединения с хостов в сегменте сетевых служб и любой другой сети. В большинстве случаев единственные исходящие подключения, которые вы хотите разрешить, — это те, которые разрешают доступ к сайту обновлений Windows или серверу WSUS в корпоративной сети. Вы также, вероятно, захотите включить исходящий доступ к общедоступным DNS-серверам, если DNS-серверы вашего домена также обеспечивают разрешение имен хостов в Интернете.

То, что именно вы хотите разрешить исходящему от серверов в сегменте сетевых служб, будет очень специфичным для вашей собственной реализации. В нашем текущем примере мы собираемся разрешить только исходящий DNS с DNS-сервера и исходящий HTTP и HTTPS со всех хостов в сегменте сетевых служб на сайты Центра обновления Windows.

ПРИМЕЧАНИЕ:
Вам не нужно создавать правила исходящего доступа из сегмента сетевых служб в сеть корпоративного брандмауэра ISA, чтобы поддерживать правила входящего доступа из сети корпоративного брандмауэра ISA в сеть сегмента сетевых служб. Брандмауэр ISA — это брандмауэр с контролем состояния пакетов, который автоматически разрешает ответы на запросы, поступающие от хостов в сети корпоративной сети.

Создайте правило доступа, разрешающее DNS с DNS-сервера в Интернет.

Выполните следующие шаги, чтобы создать правило доступа:

1. На внутреннем брандмауэре ISA в консоли брандмауэра ISA разверните имя сервера, а затем щелкните узел «Политика брандмауэра» в левой панели консоли.
2. Нажмите ссылку «Создать новое правило доступа» на вкладке «Задачи» в области задач.
3. В диалоговом окне Добро пожаловать в новое правило доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило DNS to External. Нажмите «Далее».
4. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
5. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к». Щелкните Добавить.
6. Щелкните папку «Общие протоколы», а затем дважды щелкните запись DNS. Щелкните Закрыть.
7. Нажмите «Далее» на странице «Протоколы».
8. На странице «Источники правил доступа» нажмите кнопку «Добавить».
9. В диалоговом окне «Добавить сетевые объекты» щелкните папку « Компьютеры » и дважды щелкните запись «Контроллер домена». Щелкните Закрыть.
10. Нажмите «Далее» на странице «Источники правил доступа».
11. На странице «Назначения правил доступа» нажмите кнопку «Добавить».
12. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети». Дважды щелкните Внешняя сеть. Щелкните Закрыть.
13. Нажмите «Далее» на странице «Назначения правил доступа».
14. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее».
15. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».

Создайте правило доступа, разрешающее исходящее обновление Windows и создание отчетов Microsoft.

Выполните следующие шаги, чтобы создать правило доступа HTTP/HTTPS, разрешающее доступ к центрам обновления Windows и сайтам отчетов:

1. На внутреннем брандмауэре ISA в консоли брандмауэра ISA разверните имя сервера, а затем щелкните узел «Политика брандмауэра» в левой панели консоли.
2. Нажмите ссылку «Создать новое правило доступа» на вкладке «Задачи» в области задач.
3. В диалоговом окне Добро пожаловать в новое правило доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило Outbound to WU and MS Reporting. Нажмите «Далее».
4. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».
5. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к». Щелкните Добавить.
6. Щелкните папку Common Protocols, а затем дважды щелкните записи HTTP и HTTPS. Щелкните Закрыть.
7. Нажмите «Далее» на странице «Протоколы».
8. На странице «Источники правил доступа» нажмите кнопку «Добавить».
9. В диалоговом окне «Добавить сетевые объекты » щелкните папку «Сети» и дважды щелкните значок « Внутренняя сеть». вход. Щелкните Закрыть.
10. Нажмите «Далее» на странице «Источники правил доступа».
11. На странице «Назначения правил доступа» нажмите кнопку «Добавить».
12. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Наборы доменных имен». Дважды щелкните сайты отчетов об ошибках Microsoft и записи разрешенных сайтов системной политики. Щелкните Закрыть.
13. Нажмите «Далее» на странице «Назначения правил доступа».
14. На странице «Наборы пользователей» примите значение по умолчанию « Все пользователи» и нажмите «Далее».
15. Нажмите «Готово» на странице «Завершение работы мастера создания нового правила доступа».
16. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
17. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Ваша политика брандмауэра должна выглядеть так, как показано на рисунке ниже.

Рисунок 13

Есть вопросы по статье? Спросите по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=26;t=000555

Резюме

Во второй части нашей серии статей о создании сегмента сетевых служб, защищенного периметром брандмауэра ISA, мы начали процесс с настройки периметра сетевых служб брандмауэра ISA. Процедуры включали создание Сети брандмауэра ISA, определяющей корпоративную сеть, создание Сетевого правила, которое устанавливает отношение маршрута между сегментом сетевых служб и корпоративной сетью, а также создание ряда правил доступа и правила публикации сервера, чтобы разрешить входящие и исходящие соединения и из сегмента сетевых услуг. В следующей части этой серии статей мы завершим настройку политики брандмауэра на периметре сетевых служб брандмауэра ISA.