Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб. Часть 3. Создание правил доступа к службам и присоединение машин к домену и присоединение машин к домену

Настройте ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб —
Часть 3. Создание правил доступа к службам и присоединение компьютеров к домену
Томас Шиндер, доктор медицинских наук, MVP

В первых двух частях этой серии статей о настройке сегмента сетевых служб за брандмауэром ISA мы начали с рассмотрения концепций и соображений по созданию сетей периметра. Во второй части мы обсудили начальную настройку периметра сетевых служб брандмауэра ISA. В этой статье мы завершим настройку периметра сетевых служб брандмауэра ISA, создав правила веб-публикации, правила публикации серверов и правила доступа, разрешающие доступ к ресурсам в сегменте сетевых служб, расположенном за периметром сетевых служб брандмауэра ISA.

Создайте правила доступа к сетевым службам, разрешающие клиентам корпоративной сети доступ к сетевым службам (OWA, SMTP, POP3, IMAP4, файловые ресурсы)

Теперь мы готовы создать правила публикации и правила доступа, которые позволяют хостам в сети корпоративного брандмауэра ISA и внешним клиентам в Интернете получать доступ к ресурсам сервера Exchange и файлового сервера в сегменте сетевых служб. Хосты в сети корпоративного брандмауэра ISA смогут подключаться к Exchange Server и ресурсам файлового сервера, проходя через периметр сегмента сетевых служб брандмауэра ISA. Узлы в Интернете должны будут пройти как пограничный брандмауэр ISA, так и брандмауэр ISA по периметру сегмента сетевых служб. Позже мы создадим правила на брандмауэре Edge ISA, чтобы разрешить доступ к ресурсам периметра сетевых служб.

В этом разделе мы сделаем следующее:

• Создайте правило публикации OWA на периметре сетевых служб брандмауэра ISA.
• Создайте правила публикации серверов SMTP, POP3 и IMAP4.
• Создайте правило доступа, разрешающее доступ к файловым ресурсам на файловом сервере.

В сценарии, обсуждаемом в этой серии статей о создании сегментов сетевых служб с использованием брандмауэров ISA, я предполагаю, что вы уже развернули свою инфраструктуру сертификатов и уже запросили соответствующие сертификаты веб-сайта для поддержки соединений SSL/TLS с почтовыми службами сервера Exchange..

Если вы еще этого не сделали и не знаете, с чего начать, я настоятельно рекомендую документы комплекта развертывания ISA Server 2004/Exchange Server, которые я создал для Microsoft, по адресу http://download.microsoft.com/download/1/8/. 8/188ab94a-4ec5-4746-ac0f-a18177040fbf/isa2004se_exchangekit-rev%201%2005.doc (обратите внимание, что это один очень большой документ; если вам нужен отдельный файл Word, который применяется к вашей конфигурации сети из одной из глав в документе комплекта развертывания, затем напишите мне по адресу [email protected], и я вышлю вам отдельный документ).

В сценарии, использованном в этой серии статей, мы привязали сертификаты к веб-сайту OWA, сайту SMTP, сайту POP3 и сайту IMAP4 на сервере Exchange в сегменте сетевых служб. В таблице 1 показаны общие/тематические имена сертификатов, привязанных к каждому сайту.

Служба сервера обмена	Общее имя/имя субъекта в сертификате веб-сайта
OWA	owa.msfirewall.org
SMTP	mail.msfirewall.org
POP3	pop3.msfirewall.org
IMAP4	Imap4.msfirewall.org

Таблица 1: Общие имена, привязанные к службам Exchange Server

В следующих разделах мы создадим правила доступа, правила веб-публикации и правила публикации сервера с характеристиками, перечисленными в таблице 2.

Заказ	Имя	Действие	Протоколы	От/Слушатель	К	Условие
1	Сервер Exchange IMAPS-сервер	Разрешать	IMAPS-сервер	Корпоративный	10.0.0.2	Н/Д
2	Сервер Exchange POP3S-сервер	Разрешать	POP3S-сервер	Корпоративный	10.0.0.2	Н/Д
3	Сервер Exchange SMTP-сервер	Разрешать	SMTP-сервер	Корпоративный	10.0.0.2	Н/Д
4	Сервер Exchange IMAP4-сервер	Разрешать	IMAP4-сервер	Корпоративный	10.0.0.2	Н/Д
5	Сервер Exchange POP3-сервер	Разрешать	POP3-сервер	Корпоративный	10.0.0.2	Н/Д
6	Сервер обмена SMTPS-сервер	Разрешать	SMTPS-сервер	Корпоративный	10.0.0.2	Н/Д
7	Опубликовать OWA	Разрешать	HTTPS	Слушатель OWA	owa.msfirewall.org	Все авторизованные пользователи
8	Опубликовать DNS	Разрешать	DNS-сервер	Корпоративный	10.0.0.2
9	DNS на внешний	Разрешать	DNS	Контроллер домена	Внешний	Все пользователи
10	Исходящая отчетность WU и MS	Разрешать	HTTP HTTPS	Внутренний	Сайты отчетов об ошибках Майкрософт Сайты, разрешенные системной политикой	Все пользователи
11	Внутридоменная корпоративная сеть — внутренняя	Разрешать	Kerberos-Adm (UDP) Kerberos-Sec (TCP) Kerberos-Sec (UDP) LDAP LDAP (УДП) LDAP GC (глобальный каталог) Microsoft CIFS (TCP) Microsoft CIFS (UDP) НТП (УДП) пинг RPC (все интерфейсы)	Корпоративный	Контроллер домена	Все пользователи
12	Доступ к файловому серверу	Разрешать	Microsoft CIFS (TCP) Microsoft CIFS (UDP)	Корпоративный	Файловый сервер 1	Все пользователи

Таблица 2: Результирующая политика брандмауэра на периметре сетевых служб брандмауэра ISA

Чтобы упростить настройку, мы воспользуемся мастером публикации почтовых серверов брандмауэра ISA, чтобы одновременно создать несколько правил публикации.

Создайте правило публикации OWA на периметре сетевых служб ISA Firewall

Выполните следующие шаги на периметре сетевых служб брандмауэра ISA, чтобы создать правило веб-публикации, которое публикует веб-сайт OWA:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач, а затем щелкните ссылку «Опубликовать почтовый сервер».
3. На странице Добро пожаловать в мастер нового правила публикации почтового сервера введите имя правила в текстовом поле Имя правила публикации почтового сервера. В этом примере мы назовем правило «Опубликовать OWA» и нажмем «Далее».
4. На странице «Выбор типа доступа» выберите доступ к веб-клиенту: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync и нажмите «Далее».
5. На странице «Выбор служб» установите флажок Outlook Web Access и нажмите «Далее».

фигура 1

6. На странице Режим моста выберите параметр Безопасное подключение к клиентам и почтовому серверу. Это включает мост SSL для SSL. Нажмите «Далее».

фигура 2

7. На странице Specify the Web Mail Server введите имя сертификата веб-сайта, привязанного к веб-сайту OWA. В этом примере имя — owa.msfirewall.org. Имейте в виду, что брандмауэр ISA должен преобразовать это имя в фактический IP-адрес сайта OWA в сегменте сетевых служб. Вы можете сделать это с записью в файле hosts на брандмауэре ISA или настроить разделенную инфраструктуру DNS.

   Инфраструктура разделенной DNS может быть сложной в этом сценарии, потому что, как вы увидите позже, нам потребуется создать тройную разделенную DNS для поддержки разрешения имен для самого брандмауэра ISA, для хостов в корпоративной сети и для хостов, расположенных на Интернет. Хотя создание хорошо спроектированной инфраструктуры разделенного DNS довольно просто, некоторые сетевые администраторы ошибочно полагают, что она либо небезопасна, либо сложна в управлении. Оба заблуждения заведомо неверны, и вы не должны становиться их жертвой. Мы создадим запись файла HOSTS на периметре сетевых служб брандмауэра ISA после того, как создадим все правила публикации и доступа. Нажмите «Далее».
   

Рисунок 3

8. На странице «Сведения об общедоступном имени» выберите «Это доменное имя» (введите ниже) в списке «Принимать запросы на». Введите общее/субъектное имя в сертификате веб-сайта, который будет привязан к веб-приемнику для этого правила веб-публикации. В этом примере мы экспортировали сертификат веб-сайта, привязанный к веб-сайту OWA, и импортировали его в хранилище сертификатов компьютера на брандмауэре ISA. Поскольку это один и тот же сертификат, он имеет то же общее/субъектное имя. Поэтому мы вводим owa.msfirewall.org в текстовое поле Public name. Нажмите «Далее».

Рисунок 4

9. На странице «Выбор веб-прослушивателя» нажмите кнопку «Создать».

10. На странице Вас приветствует мастер создания нового веб-прослушивателя введите имя прослушивателя в текстовом поле Имя веб-прослушивателя. В этом примере мы назовем веб-прослушиватель OWA Listener. Нажмите «Далее».

11. На странице «IP-адреса» поставьте галочку в поле «Корпорация» и нажмите «Далее».

12. На странице «Спецификация порта» снимите флажок «Включить HTTP» и установите флажок в поле «Включить SSL». Нажмите кнопку Выбрать.

13. Выберите сертификат веб-сайта OWA из списка в диалоговом окне «Выбор сертификата» и нажмите «ОК».

Рисунок 5

14. Нажмите «Далее» на странице «Спецификация порта».

15. Нажмите «Готово» на странице «Завершение создания нового веб-прослушивателя».

16. На странице Select Web Listener нажмите кнопку Edit.

17. В диалоговом окне «Свойства прослушивателя OWA» перейдите на вкладку «Настройки».

18. На вкладке «Настройки» нажмите кнопку «Аутентификация».

19. В диалоговом окне «Аутентификация» снимите флажок «Интегрировано». Нажмите OK в диалоговом окне, информирующем вас о том, что у вас не настроены какие-либо методы аутентификации. Поставьте галочку в поле OWA Forms-based. Установите флажок Требовать аутентификацию всех пользователей. Нажмите ОК.

Рисунок 6

20. OK в диалоговом окне свойств прослушивателя OWA.

21. Нажмите «Далее» на странице «Выбор веб-прослушивателя».

Рисунок 7

22. На странице «Наборы пользователей» щелкните запись «Все пользователи» и нажмите «Удалить». Нажмите кнопку «Добавить».

23. В диалоговом окне «Добавить пользователей» дважды щелкните запись «Все прошедшие проверку» и нажмите «Закрыть ».

24. Нажмите «Далее» на странице «Наборы пользователей».

25. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового почтового сервера».

Ваша политика брандмауэра должна выглядеть так, как показано на рисунке ниже.

Рисунок 8

Есть вопросы по статье? Спросите по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=26;t=000565

Создайте правила публикации серверов SMTP, POP3 и IMAP4.

Следующим шагом является создание правил публикации сервера, которые публикуют остальные службы Exchange Server. К ним относятся правила публикации сервера для безопасного обмена RPC, SMTP, POP3 и IMAP4. У нас есть возможность создать эти правила по отдельности или создать их все сразу с помощью мастера публикации почтовых серверов. Мы будем использовать последний вариант для упрощения.

Вы могли заметить, что в этом примере мы не собираемся создавать безопасное правило публикации сервера RPC для Exchange. Причина этого связана с двумя факторами:

• Мы используем отношения маршрутизации между корпоративной сетью брандмауэра ISA.
• Правило доступа к внутридоменной связи настроено на разрешение входящей связи TCP 135 (определение протокола RPC (все интерфейсы))

Поскольку мы используем отношение маршрута вместо отношения NAT между исходной и целевой сетью, мы не можем привязать определенный IP-адрес к прослушивателю, используемому в правиле публикации сервера. Когда вы используете отношение Route, правило публикации сервера прослушивает все адреса, привязанные к внешнему интерфейсу, используя функцию, известную внутри как захват портов. Поскольку и правило публикации сервера RPC сервера Secure Exchange, и компонент RPC (все интерфейсы) правила доступа к внутридоменной связи прослушивают аналогичные сообщения, возникает конфликт, который не позволяет клиентам Outlook MAPI подключаться к службам каталогов.

Если бы существовала связь NAT между корпоративной сетью и сегментом сетевых служб, мы могли бы привязать несколько IP-адресов к внешнему интерфейсу периметра сетевых служб брандмауэра ISA. Затем мы могли бы создать два правила: одно для публикации RPC Secure Exchange, а другое для RPC (все интерфейсы) и использовать разные адреса прослушивания для каждого из правил. Затем машины в сети брандмауэра ISA Corpnet подключаются к службам RPC Secure Exchange или службам RPC (все интерфейсы), используя IP-адрес, используемый для прослушивателя их соответствующего правила. Это работает, потому что соединения выполняются с IP-адресами на внешнем интерфейсе брандмауэра ISA, когда у вас есть отношения NAT между сегментом сетевых служб и сетью брандмауэра ISA Corpnet.

Это не работает, когда между сегментом сетевых служб и сетью корпоративного брандмауэра ISA существует отношение маршрута, потому что хосты в сети корпоративного брандмауэра ISA соединяются с сервером Exchange , используя фактический IP-адрес сервера Exchange. Поскольку хосты подключаются к IP-адресу самого сервера Exchange, а не к IP-адресу внешнего интерфейса брандмауэра ISA, механизм кражи портов брандмауэра ISA должен прослушивать и перехватывать сообщения RPC на всех IP-адресах внешнего интерфейса. Это нарушает детализацию, необходимую для того, чтобы разрешить как правило публикации безопасного сервера Exchange RPC, так и правило доступа RPC (все интерфейсы) на одном и том же брандмауэре ISA, когда существует связь маршрута между исходной и целевой сетями брандмауэра ISA.

Вы можете убедиться в этом, создав безопасное правило публикации Exchange RPC Server в сценарии, используемом в этой серии статей. Затем попытайтесь установить соединение с сервером Exchange из полного клиента Outlook MAPI, используя RPC (не используйте RPC/HTTP, так как входящее соединение является HTTP, поэтому брандмауэр ISA не видит соединения RPC, туннелированные в заголовке HTTP). ). Вы увидите, что соединение установлено успешно, но если вы откроете окно состояния соединения в Outlook 2003, вы обнаружите, что соединения RPC успешно устанавливаются только с почтовыми службами сервера Exchange. Соединение со службами каталогов не установлено.

Создайте правила публикации сервера для POP3, IMAP4 и SMTP

Выполните следующие шаги, чтобы создать правила публикации серверов на периметре сетевых служб брандмауэра ISA:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач и щелкните ссылку «Опубликовать почтовый сервер».
3. На странице Добро пожаловать в мастер нового правила публикации почтового сервера введите имя правила в текстовом поле Имя правила публикации почтового сервера. В этом примере мы назовем правило Exchange Server и нажмем Next.
4. На странице «Выбор типа доступа» выберите вариант «Клиентский доступ: RPC, IMAP, POP3, SMTP» и нажмите «Далее».

Рисунок 9

5. На странице «Выбор услуг» поставьте галочку в каждом из флажков. Это позволит нам подключиться к серверу Exchange в сегменте сетевых служб через периметр сетевых служб брандмауэра ISA для всех служб, перечисленных на этой странице (за исключением службы NNTP сервера Exchange, мы могли бы создать для нее отдельное правило, если требуется). Обратите внимание на комментарий на странице, касающийся средства проверки сообщений SMTP. Мы не будем развертывать средство проверки сообщений в этом примере, но вы можете рассмотреть его в своем собственном развертывании. Вы можете установить SMTP Message Screener на брандмауэре ISA для фильтрации как входящей, так и исходящей почты. Несмотря на то, что SMTP Message Screener не будет включен, фильтр SMTP включен и будет защищать SMTP-коммуникации, проходящие через периметр сетевых служб брандмауэра ISA. Нажмите «Далее».

Рисунок 10

6. На странице Выбор сервера введите IP-адрес сервера Exchange в текстовое поле IP-адрес сервера. В этом примере IP-адрес сервера Exchange — 10.0.0.2, поэтому мы вводим это значение. Нажмите «Далее».

7. На странице IP-адреса установите флажок Корпоративной сети. Нажмите «Далее».

8. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового почтового сервера».

Ваша политика брандмауэра должна выглядеть примерно так, как показано на рисунке ниже. Обратите внимание, что мастер правил публикации почтовых серверов добавил семь новых правил публикации серверов. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Рисунок 11

Создайте правило доступа, разрешающее доступ к файловым ресурсам на файловом сервере

Теперь мы можем создать правило доступа, разрешающее подключения к файловым ресурсам на файловом сервере в сегменте сетевых служб. Мы можем включить либо протоколы NetBIOS, либо прямой хостинг (TCP 445). В этом примере мы включим только прямой хостинг, который более эффективен, чем протоколы NetBIOS.

Выполните следующие шаги, чтобы создать правило прямого доступа к хостингу:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач, а затем щелкните « Создать новое правило доступа».
3. На странице Вас приветствует мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило Publish File Server. Нажмите «Далее».
4. Выберите параметр «Разрешить» на странице «Действие правила» и нажмите «Далее».
5. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к» и нажмите «Добавить».
6. В диалоговом окне «Добавить протоколы» щелкните папку «Все протоколы», а затем дважды щелкните протоколы Microsoft CIFS (TCP) и Microsoft CIFS (UDP). Щелкните Закрыть.

Рисунок 12

7. Нажмите «Далее» на странице «Протоколы».

8. Щелкните Добавить на странице Источники правил доступа.

9. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните запись «Корпорация». Щелкните Закрыть.

Рисунок 13

10. Нажмите «Далее» на странице «Источники правил доступа».

11. Нажмите «Добавить» на странице «Назначения правил доступа».

12. В диалоговом окне «Добавить сетевые объекты» откройте меню « Создать» и выберите «Компьютер».

13. В диалоговом окне «Новый элемент правила для компьютера» введите имя файлового сервера в текстовом поле «Имя». В этом примере мы назовем его File Server 1. Введите IP-адрес файлового сервера, расположенного в сегменте сетевых служб, в текстовом поле IP-адрес компьютера. Введите дополнительное описание, если хотите. Нажмите ОК.

Рисунок 14

14. Щелкните папку «Компьютеры» в диалоговом окне «Добавить сетевые объекты», дважды щелкните запись «Файловый сервер 1» и нажмите «Закрыть».

15. Нажмите «Далее» на странице «Назначения правил доступа».

16. Нажмите «Далее» на странице «Наборы пользователей».

17. Нажмите «Готово» на странице «Завершение работы мастера нового правила доступа».

Ваша политика брандмауэра должна выглядеть так, как показано на рисунке ниже.

Рисунок 15

Есть вопросы по статье? Спросите по адресу: http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=26;t=000565

Резюме

В этой статье мы закончили настройку периметра сетевых служб брандмауэра ISA. Мы использовали мастер публикации почтовых серверов для создания правила веб-публикации, позволяющего подключаться к службам OWA, SMTP, POP3 и IMAP4 сервера Exchange. Не было создано правила публикации сервера, разрешающего доступ к безопасным службам RPC сервера Exchange, из-за проблемы, связанной с правилом внутридоменной связи. В части 4 этой серии мы сосредоточимся на настройке брандмауэра ISA пограничной сети и хостов в сети брандмауэра ISA Corpnet.