Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб — Часть 4: Настройка пограничного брандмауэра ISA

Настройте ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб —
Часть 4: Настройка пограничного брандмауэра ISA
Томас Шиндер, доктор медицинских наук, MVP

Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб — часть 1
Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб — часть 2

В первых трех частях этой серии статей о настройке сегмента сетевых служб за брандмауэром ISA мы начали с рассмотрения концепций и соображений по созданию сетей периметра. Во второй части мы обсудили начальную настройку периметра сетевых служб брандмауэра ISA. В части 3 мы продолжили настройку периметра сетевых служб брандмауэра ISA, добавив правила веб-публикации, правила публикации сервера и правила доступа. В этой, четвертой части серии, мы сосредоточим внимание на пограничном брандмауэре ISA.

В этой, четвертой части серии, мы сосредоточим внимание на пограничном брандмауэре ISA. В этой статье мы выполним следующие процедуры на пограничном брандмауэре ISA:

• Настройте внутреннюю сеть по умолчанию и создайте запись в таблице маршрутизации на пограничном брандмауэре ISA.
• Присоедините внешний брандмауэр ISA к домену Active Directory.
• Создание правил доступа на пограничном брандмауэре ISA, контролирующем исходящий доступ с хостов корпоративной сети и хостов в сегменте сетевых служб
• Создайте правила публикации на пограничном брандмауэре ISA, чтобы разрешить входящие подключения к почтовым службам Exchange Server.

Напоминаем, что на рисунке ниже представлен общий вид примера сети, используемого в этой серии статей.

Рисунок А

Настройте внутреннюю сеть по умолчанию на пограничном брандмауэре ISA.

Когда установлен пограничный брандмауэр ISA, он взял определение внутренней сети по умолчанию из таблицы маршрутизации на устройстве пограничного брандмауэра ISA. Записи таблицы маршрутизации указали установщику брандмауэра ISA, что адреса 10.0.1.0-10.0.1.255 должны быть включены в определение внутренней сети по умолчанию. Это правильная конфигурация, если единственная сеть за пограничным брандмауэром ISA имела идентификатор сети 10.0.1.0/24. Однако в нашем сценарии это неправильная конфигурация, которая вызовет проблемы с управлением доступом при подключениях к сегменту сетевых служб и из него через пограничный брандмауэр ISA.

Причина проблемы с начальными настройками внутренней сети по умолчанию на пограничном брандмауэре ISA заключается в том, что существует отношение маршрута между сетью корпоративного брандмауэра ISA (которая является внутренней сетью по умолчанию пограничного брандмауэра ISA) и внутренней сетью по умолчанию за сетью. сервисный сегмент брандмауэра ISA. Поскольку существует отношение маршрутизации, соединения от клиентов SecureNAT, расположенных за периметром сетевых служб брандмауэра ISA, будут достигать пограничного брандмауэра ISA с исходным IP-адресом клиента, включенным в качестве исходного адреса (обратите внимание, что это не относится к прокси-соединениям Winsock). Брандмауэр] и клиенты веб-прокси). Если мы оставим установленное по умолчанию определение внутренней сети пограничного брандмауэра ISA как сейчас, то соединения от клиентов SecureNAT, расположенных за периметром сетевых служб брандмауэра ISA, будут определяться как поддельные пакеты.

Сети брандмауэра ISA используются для определения достоверности соединений, достигающих интерфейса, который является «корнем» конкретной сети брандмауэра ISA. Для пограничного брандмауэра ISA корнем внутренней сети по умолчанию является внутренний интерфейс с идентификатором сети 10.0.1.0/24. Любые соединения с исходным IP-адресом в этом идентификаторе сети считаются допустимыми.

Однако, если соединение с исходным IP-адресом, который не является частью внутренней сети по умолчанию пограничного брандмауэра ISA, определяется через интерфейс, который является корнем внутренней сети по умолчанию пограничного брандмауэра ISA (который является внутренним интерфейсом пограничного брандмауэра ISA). брандмауэр), то соединение прерывается из-за попытки подделки. Брандмауэр ISA предполагает, что интерфейс не может принять соединение от хоста в сети брандмауэра ISA, которая отличается от той, для которой интерфейс является корневым.

Примечание:
Я использую термин «корень» для обозначения точки выхода и отправления. Термин «корневой» не означает, что IP-адрес или сетевой идентификатор сетевой карты определяет, какие сетевые идентификаторы или подсети могут быть размещены за сетевой картой. Вы можете разместить непрерывные или прерывистые сетевые идентификаторы за любым сетевым адаптером. Единственным требованием является то, что все IP-адреса, расположенные за любой сетевой картой на брандмауэре ISA, должны быть включены в сеть брандмауэра ISA, для которой эта сетевая карта является «корневой», и чтобы никакая другая сеть брандмауэра ISA не включала бы такие же адреса.

Мы можем легко решить эту проблему, добавив IP-адреса, включенные во внутреннюю сеть по умолчанию брандмауэра ISA периметра сетевых служб (которая является сегментом сетевых служб), в определение определения внутренней сети брандмауэра ISA по умолчанию.

Добавьте IP-адреса сегмента периметра сетевых служб во внутреннюю сеть внешнего брандмауэра ISA по умолчанию.

Выполните следующие шаги, чтобы добавить IP-адреса внутренней сети брандмауэра ISA по умолчанию по периметру сетевых служб в определение внутренней сети по умолчанию внешнего брандмауэра ISA:

1. В консоли брандмауэра ISA разверните имя сервера, а затем разверните узел Конфигурация. Нажмите на узел Сети.
2. В узле «Сети» щелкните вкладку «Сети» в области сведений, затем дважды щелкните « Внутренняя сеть».
3. В диалоговом окне «Внутренние свойства» щелкните вкладку «Адреса».
4. На вкладке Адреса нажмите кнопку Добавить.
5. В диалоговом окне «Свойства диапазона IP-адресов» введите начальный адрес и конечный адрес в текстовые поля. В этом примере мы введем 10.0.0.0 и 10.0.0.255 соответственно. Нажмите ОК.

фигура 1

6. Нажмите «ОК» в диалоговом окне «Внутренние свойства».

фигура 2

Информация об IP-адресации узлов в корпоративной сети определяется вашими требованиями. Наиболее безопасная конфигурация — не предоставлять пользователям адрес шлюза по умолчанию, обеспечивающий маршрут в Интернет. Это вынуждает всех пользователей использовать клиент брандмауэра и конфигурацию веб-прокси, которые можно использовать для обеспечения строгого контроля доступа на основе пользователей/групп, а также для блокировки доступа приложений, установленных на компьютерах пользователей, к Интернету. Это также предотвращает использование пользователями приложений, не совместимых с Winsock или веб-прокси, таких как утилиты ICMP, такие как PING и TRACERT.

Административные пользователи и серверы могут быть настроены с адресами шлюзов, которые направляются в Интернет. Администраторам требуется использование утилит на основе ICMP, а на серверах нет зарегистрированных пользователей, поэтому и администраторам, и серверам требуются средства, предоставляемые конфигурацией клиента SecureNAT.

Создайте запись в таблице маршрутизации на пограничном брандмауэре ISA.

Запись в таблице маршрутизации должна быть настроена на пограничном брандмауэре ISA, чтобы он знал путь, по которому можно добраться до сегмента сетевых служб. Брандмауэр ISA всегда должен быть настроен с записями таблицы маршрутизации для всех идентификаторов сетей, которые не могут быть достигнуты с помощью шлюза по умолчанию. На практике это обычно означает, что, за исключением Интернет-адресов, в брандмауэре ISA должна быть запись в таблице маршрутизации для всех сетевых идентификаторов в вашей корпоративной сети.

Обратите внимание, что если ваш брандмауэр ISA настроен на шлюз по умолчанию, указывающий на маршрутизатор локальной сети, и все сетевые идентификаторы доступны с этого маршрутизатора, то нет необходимости вводить все идентификаторы сетей в таблицу маршрутизации брандмауэра ISA, так как маршрутизатор локальной сети выполняет обязанности роутера.

На пограничном брандмауэре ISA откройте командную строку и введите следующее:

добавить маршрут –p 10.0.0.0 MASK 255.255.255.0 10.0.1.2

Где 10.0.0.0 — идентификатор сети для сегмента сетевых служб за периметром сетевых служб брандмауэра ISA, 255.255.255.0 — маска подсети для этого идентификатора сети, а 10.0.1.2 — IP-адрес на внешнем интерфейсе внутреннего интерфейса. Брандмауэр ISA.

На рисунке ниже показан пример настройки записи таблицы маршрутизации.

Рисунок 3

Присоедините пограничный брандмауэр ISA к домену

Пограничный брандмауэр ISA должен быть членом домена, чтобы вы могли в полной мере использовать конфигурацию клиента брандмауэра и веб-прокси. Хотя вы можете использовать аутентификацию RADIUS для клиентов веб-прокси, существуют значительные ограничения для аутентификации RADIUS как в области ведения журнала, так и в области управления. По этой причине я рекомендую вам по возможности избегать аутентификации RADIUS. Кроме того, вы должны сделать пограничный брандмауэр ISA членом домена, если хотите в полной мере использовать повышенную безопасность и гибкость, предоставляемые клиентом брандмауэра.

Пограничный брандмауэр ISA сможет использовать правило доступа к внутридоменным коммуникациям, созданное на периметре сетевых служб брандмауэра ISA, для доступа к контроллеру домена. Пограничный брандмауэр ISA настроен на использование DNS-сервера в сегменте сетевых служб, а DNS-сервер в сегменте сетевых служб настроен на поддержку разрешения имен в сети, а также для имен хостов в Интернете.

Создание правил доступа на пограничном брандмауэре ISA, контролирующем исходящий доступ с хостов корпоративной сети и хостов в сегменте сетевых служб

Политика брандмауэра на пограничном брандмауэре ISA может быть настроена в соответствии с требованиями безопасности вашей собственной сети. Вам нужно будет решить вместе со своей командой сетевой безопасности, кто должен иметь доступ к каким сайтам и веб-сайтам в какое время суток. Политика брандмауэра определенно не подходит для всех.

В примере, предоставленном нашим образцом конфигурации сети, все хосты в сети корпоративного брандмауэра ISA настроены как клиенты брандмауэра и веб-прокси, а не как клиенты SecureNAT. Единственным исключением являются рабочие станции администраторов, поскольку сетевым администраторам потребуется доступ к протоколам и утилитам, отличным от Winsock, таким как PING и TRACERT.

Мы создадим следующие правила доступа:

• Правило доступа, разрешающее контроллеру домена в сегменте сетевых служб доступ к исходящему DNS.
• Правило доступа, разрешающее всем аутентифицированным пользователям исходящий доступ ко всем протоколам. Обратите внимание, что в производственной среде вы должны создать более детальный контроль доступа и создать группы брандмауэра ISA, которые позволяют пользователям получать доступ только к тому контенту, который им необходим для выполнения их работы.
• Правило доступа, позволяющее серверам в сегменте сетевых служб получать доступ к сайтам отчетов Windows и Центру обновления Майкрософт. Нам нужно это правило, потому что на серверах в сегменте сетевых служб нет зарегистрированных пользователей, поэтому мы не сможем использовать клиент брандмауэра для принудительной аутентификации при подключении к серверу.

В таблице 1 показаны основные характеристики этих правил доступа.

Таблица 1: Правила доступа на пограничном брандмауэре ISA

Заказ	Имя	Действие	Протоколы	От/Слушатель	К	Условие
1	MU и отчеты об ошибках — серверы	Разрешать	HTTP HTTPS	Сегмент сетевых услуг	Сайты отчетов об ошибках Майкрософт Сайты, разрешенные системной политикой	Все пользователи
2	Исходящий DNS для DNS-сервера	Разрешать	DNS	DNS-сервер*	Внешний	Все пользователи
3	Все открыто - аутентифицировано	Разрешать	Весь исходящий трафик	Внутренний	Внешний	Все авторизованные пользователи

* Обратите внимание на приведенное ниже обсуждение конфигурации From для этого правила доступа.

Создайте исходящий DNS для правила доступа к DNS-серверу

Выполните следующие шаги, чтобы создать правило доступа, разрешающее контроллеру домена в сегменте сетевых служб исходящий доступ к протоколу DNS:

1. На пограничном брандмауэре ISA откройте консоль брандмауэра ISA и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра » перейдите на вкладку «Задачи» на панели задач и нажмите «Создать новое правило доступа».
3. На странице Вас приветствует мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило «Исходящий DNS для DNS-сервера» и нажмем «Далее».
4. Выберите параметр «Разрешить» на странице «Действие правила». Нажмите «Далее».
5. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к» и нажмите «Добавить».
6. В диалоговом окне «Добавить протоколы» щелкните папку «Общие протоколы» и дважды щелкните запись DNS. Щелкните Закрыть.
7. Нажмите «Далее» на странице «Протоколы».
8. На странице «Источники правил доступа» нажмите кнопку «Добавить».
9. В диалоговом окне «Добавить сетевые объекты» откройте меню « Создать» и выберите «Компьютер».
10. В диалоговом окне «Новый элемент правила для компьютера» введите имя компьютера в текстовом поле «Имя». В этом примере мы назовем компьютер DNS-сервером. Введите IP-адрес внешнего интерфейса сегмента сетевых служб по периметру брандмауэра ISA. Обратите внимание, что мы используем IP-адрес внешнего интерфейса брандмауэра ISA-сервера периметра, потому что существует отношение NAT между внутренней сетью брандмауэра ISA-сервера периметра по умолчанию и его внешней сетью по умолчанию. Поскольку DNS-запросы, которые делает DNS-сервер, относятся к DNS-серверу в Интернете, соединение будет NAT. Когда соединение использует NAT, исходный IP-адрес исходящего соединения является первичным IP-адресом на внешнем интерфейсе брандмауэра ISA firewall периметра. В этом примере IP-адрес — 10.0.1.2, поэтому мы введем этот адрес. Введите дополнительное описание, если хотите. Нажмите ОК.

Рисунок 4

11. В диалоговом окне «Добавить сетевые объекты» щелкните папку « Компьютеры » и дважды щелкните запись «DNS-сервер». Щелкните Закрыть.

Рисунок 5

12. Нажмите «Далее» на странице «Источники правил доступа».

13. Нажмите «Добавить» на странице «Назначения правил доступа».

14. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните «Внешний». Щелкните Закрыть.

15. Нажмите «Далее» на странице «Назначения правил доступа».

16. Нажмите «Далее» на странице «Наборы пользователей».

17. Нажмите «Готово» на странице «Завершение работы мастера нового правила доступа».

Создайте правило All Open для аутентифицированных пользователей

Выполните следующие шаги, чтобы создать правило исходящего доступа, разрешающее всем аутентифицированным пользователям исходящий доступ ко всем протоколам и сайтам:

1. На пограничном брандмауэре ISA откройте консоль брандмауэра ISA и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра » перейдите на вкладку «Задачи» на панели задач и нажмите «Создать новое правило доступа».
3. На странице Вас приветствует мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило All Open — Authenticated и нажмем Next.
4. Выберите параметр «Разрешить» на странице «Действие правила». Нажмите «Далее».
5. На странице Протоколы выберите вариант Весь исходящий трафик из списка Это правило применяется к и нажмите Далее.
6. Нажмите «Далее» на странице «Протоколы».
7. На странице «Источники правил доступа» нажмите кнопку «Добавить».
8. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните «Внутренние». Щелкните Закрыть.
9. Нажмите «Далее» на странице «Источники правил доступа».
10. Нажмите «Добавить» на странице «Назначения правил доступа».
11. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Сети», а затем дважды щелкните «Внешний». Щелкните Закрыть.
12. Нажмите «Далее» на странице «Назначения правил доступа».
13. На странице «Наборы пользователей» щелкните запись «Все пользователи» и нажмите «Удалить». Щелкните Добавить.
14. В диалоговом окне «Добавить пользователей» дважды щелкните запись «Все прошедшие проверку» и нажмите «Закрыть».

Рисунок 6

15. Нажмите «Далее» на странице «Наборы пользователей».
16. Нажмите «Готово» на странице «Завершение работы мастера нового правила доступа».

Создайте правило доступа к сайтам Центра обновления Майкрософт и отчетов об ошибках

Выполните следующие шаги, чтобы создать правило доступа, разрешающее серверам в сегменте сетевых служб доступ к сайтам Центра обновления Windows и сайтам отчетов об ошибках Microsoft:

1. На пограничном брандмауэре ISA откройте консоль брандмауэра ISA и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра » перейдите на вкладку «Задачи» на панели задач и нажмите «Создать новое правило доступа».
3. На странице Вас приветствует мастер создания нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы назовем правило MU и Error Reporting — Servers и нажмем Next.
4. Выберите параметр «Разрешить» на странице «Действие правила». Нажмите «Далее».
5. На странице «Протоколы» выберите параметр «Выбранные протоколы» в списке «Это правило применяется к» и нажмите «Добавить».
6. В диалоговом окне «Добавить протоколы» щелкните папку «Общие протоколы» и дважды щелкните записи HTTP и HTTPS. Щелкните Закрыть.
7. Нажмите «Далее» на странице «Протоколы».

Рисунок 7

8. На странице «Источники правил доступа» нажмите кнопку «Добавить».
9. В диалоговом окне «Добавить сетевые объекты» откройте меню « Создать» и выберите «Диапазон адресов ».
10. В диалоговом окне «Новый элемент правила диапазона адресов» введите имя диапазона адресов в текстовом поле «Имя». В этом примере мы назовем его Network Services Segment. Введите начальный и конечный адреса в текстовые поля Начальный адрес и Конечный адрес. Введите необязательное описание и нажмите OK.

Рисунок 8

11. В диалоговом окне «Добавить сетевые объекты» щелкните папку « Диапазоны адресов » и дважды щелкните запись « Сегмент сетевых служб». Щелкните Закрыть.

Рисунок 9

12. Нажмите «Далее» на странице «Источники правил доступа».

13. Нажмите «Добавить» на странице «Назначения правил доступа».

14. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Наборы доменных имен» и дважды щелкните «Сайты отчетов об ошибках Microsoft» и «Сайты, разрешенные системной политикой». Щелкните Закрыть.

Рисунок 10

15. Нажмите «Далее» на странице «Назначения правил доступа».
16. Нажмите «Далее» на странице «Наборы пользователей».
17. Нажмите «Готово» на странице «Завершение работы мастера нового правила доступа».

Перед применением конфигурации к политике брандмауэра брандмауэра ISA убедитесь, что вы поместили правила доступа без аутентификации перед правилами аутентификации. Это хороший общий подход к упорядочению правил брандмауэра на вашем брандмауэре ISA.

Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию». Ваша политика брандмауэра должна выглядеть так, как показано на рисунке ниже.

Рисунок 11

Создайте правила публикации на пограничном брандмауэре ISA, чтобы разрешить входящие подключения к почтовым службам Exchange Server.

Теперь мы готовы создать правила публикации, разрешающие доступ к службам Exchange Server для пользователей в Интернете. Мы создадим правила публикации серверов, которые разрешат доступ к службам OWA, Secure Exchange RPC, SMTP, POP3 и IMAP4.

Создайте правило публикации SSL-сервера на периметре сетевых служб ISA Firewall

Мы начнем с создания правила публикации сервера SSL на внешнем брандмауэре ISA. Мы должны создать правило публикации сервера вместо правила веб-публикации, потому что форма OWA, сгенерированная периметром сетевых служб брандмауэра ISA, не может доставить форму входа через соединение веб-прокси на пограничном брандмауэре ISA. Правило публикации SSL-сервера разрешает безопасное сквозное соединение, но не позволяет пограничному брандмауэру ISA выполнять проверку прикладного уровня с отслеживанием состояния SSL-соединения, проходящего через пограничный брандмауэр ISA.

Это ограничение нашего примерного дизайна сети, и его не следует истолковывать как означающее, что вы никогда не сможете использовать OWA FBA в конфигурации брандмауэра ISA с обратной связью. Например, предположим, что у вас есть обратная конфигурация брандмауэра ISA с DMZ между внешним и внутренним брандмауэрами ISA. Вы можете использовать FBA на внешнем брандмауэре ISA и настроить правило веб-публикации OWA внешнего брандмауэра таким образом, чтобы основные учетные данные пересылались в правило веб-публикации внутреннего брандмауэра ISA. Внутренний брандмауэр ISA настроен на использование базовой аутентификации. В этом случае у нас есть единый вход с FBA.

Создание правила веб-публикации OWA сети периметра сетевых служб

Выполните следующие шаги на пограничном брандмауэре ISA, чтобы включить входящий доступ к правилу веб-публикации OWA брандмауэра ISA по периметру сетевых служб:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политика брандмауэра.
2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач, а затем щелкните ссылку «Опубликовать защищенный веб-сервер».
3. На странице Вас приветствует мастер создания правил веб-публикации SSL введите имя правила в текстовом поле Имя правила веб-публикации SSL. В этом примере мы назовем правило SSL Tunnel to OWA и нажмем Next.
4. На странице «Режим публикации» выберите параметр «Туннелирование SSL» и нажмите «Далее».

Рисунок 12

5. На странице Select Server введите IP-адрес внешнего интерфейса периметра сетевых служб брандмауэра ISA. Это адрес, используемый прослушивателем в правиле веб-публикации OWA на периметре сетевых служб брандмауэра ISA. В этом примере IP-адрес — 10.0.1.2, поэтому мы введем этот адрес и нажмем «Далее».

Рисунок 13

6. На странице «IP-адреса» поставьте галочку в поле «Внешний» и нажмите «Далее».

7. Нажмите «Готово» на странице «Завершение мастера нового правила веб-публикации SSL».

На этом этапе ваша политика брандмауэра должна выглядеть так, как показано на рисунке ниже.

Рисунок 14

Создание безопасных правил публикации серверов Exchange RPC, SMTP, POP3 и IMAP4

Следующим шагом является создание правил публикации серверов на пограничном брандмауэре ISA, которые обеспечивают доступ к правилам публикации серверов, настроенным на периметре сетевых служб брандмауэра ISA. Эти правила публикации серверов разрешают узлам в Интернете доступ к службам Exchange Server в сегменте сетевых служб.

Создайте правила публикации почтового сервера

Выполните следующие шаги, чтобы создать правила публикации сервера на пограничном брандмауэре ISA:

1. В консоли брандмауэра ISA разверните имя сервера и щелкните узел Политики брандмауэра.
2. В узле «Политика брандмауэра» щелкните вкладку «Задачи» на панели задач и щелкните ссылку «Опубликовать почтовый сервер».
3. На странице Добро пожаловать в мастер нового правила публикации почтового сервера введите имя правила в текстовом поле Имя правила публикации почтового сервера. В этом примере мы назовем правило Exchange Server и нажмем Next.
4. На странице «Выбор типа доступа» выберите вариант «Клиентский доступ: RPC, IMAP, POP3, SMTP» и нажмите «Далее».

Рисунок 15

5. На странице «Выбор услуг» поставьте галочку в каждом из флажков. Это позволит нам подключиться к серверу Exchange в сегменте сетевых служб через периметр сетевых служб брандмауэра ISA для всех служб, перечисленных на этой странице. Обратите внимание на комментарий на странице, касающийся средства проверки сообщений SMTP. Мы не будем развертывать средство проверки сообщений в этом примере, но вы можете рассмотреть его в своем собственном развертывании. Вы можете установить SMTP Message Screener на брандмауэре ISA для фильтрации как входящей, так и исходящей почты. Несмотря на то, что средство проверки сообщений SMTP не будет включено, фильтр SMTP будет включен и будет защищать соединения SMTP. Нажмите «Далее».

Рисунок 16

6. На странице Выбор сервера введите IP-адрес сервера Exchange в сегменте сетевых служб в текстовом поле IP-адрес сервера. В этом примере IP-адрес — 10.0.0.2, поэтому мы вводим это значение. Нажмите «Далее».

7. На странице IP-адреса поставьте галочку в поле Внешний. Нажмите «Далее».

8. Нажмите «Готово» на странице «Завершение работы мастера создания правила публикации нового почтового сервера».

Ваша политика брандмауэра должна выглядеть примерно так, как показано на рисунке ниже. Обратите внимание, что мастер правил публикации почтовых серверов добавил семь новых правил публикации серверов. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Рисунок 17

Есть еще одна вещь, которую нам нужно сделать на пограничном брандмауэре ISA, чтобы заставить правила публикации сервера работать правильно. Поскольку между сетью корпоративного брандмауэра ISA и сегментом сетевых служб существует отношение маршрута, нам нужно будет изменить правила публикации серверов на пограничном брандмауэре ISA, чтобы клиентские запросы исходили от пограничного брандмауэра ISA. Это позволяет нам использовать правила публикации сервера, которые мы создали на периметре сетевых служб брандмауэра ISA, где слушатель прослушивает сеть корпоративного брандмауэра ISA.

Настройте правила публикации сервера для использования адреса брандмауэра ISA в качестве исходного IP-адреса.

Для каждого из правил публикации сервера, созданных мастером публикации почтовых серверов, выполните следующие действия:

1. Дважды щелкните одно из правил публикации сервера, созданное мастером правил публикации сервера.
2. В диалоговом окне «Свойства» для этого правила щелкните вкладку «Кому».
3. На вкладке «Кому» выберите параметр «Запрос исходит от компьютера с ISA-сервером». Нажмите ОК.

Рисунок 18

4. Повторите процедуру для всех правил публикации сервера, созданных мастером правил публикации почтового сервера.
5. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра.
6. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Резюме

В этой, четвертой части нашей серии, посвященной созданию сегмента сетевых служб с использованием внутреннего брандмауэра ISA, мы обратили внимание на пограничный брандмауэр ISA. Мы создали правила публикации Server Publishing Rule, которые разрешали входящий доступ к службам Exchange Server через пограничный брандмауэр ISA, чтобы пользователи, находящиеся в Интернете, могли получить доступ к службам Exchange из любой точки мира. В следующей статье этой серии мы настроим хосты в сети корпоративного брандмауэра ISA, настроим внутренний DNS и настроим параметры, используемые клиентами брандмауэра и веб-прокси.

Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб — часть 1
Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб — часть 2