Понимание клиента брандмауэра ISA (Часть 1)
Клиентское программное обеспечение брандмауэра — это дополнительная клиентская часть, которую можно установить в любой поддерживаемой операционной системе Windows, чтобы обеспечить повышенную безопасность и доступность. Программное обеспечение клиента брандмауэра предоставляет следующие усовершенствования для клиентов Windows:
- Обеспечивает строгую аутентификацию на основе пользователей/групп для всех приложений Winsock, использующих протоколы TCP и UDP.
- Позволяет записывать информацию о пользователях и приложениях в лог-файлы брандмауэра ISA.
- Обеспечивает расширенную поддержку сетевых приложений, включая сложные протоколы, требующие вторичных подключений.
- Обеспечивает поддержку «прокси» DNS для клиентских машин брандмауэра.
- Позволяет публиковать серверы, требующие сложных протоколов, без помощи фильтра приложений.
- Инфраструктура сетевой маршрутизации прозрачна для клиента брандмауэра.
- Обеспечивает строгую аутентификацию на основе пользователей/групп для всех приложений Winsock, использующих протоколы TCP и UDP.
Обсудить эту статью |
Программное обеспечение клиента брандмауэра прозрачно отправляет информацию о пользователе на брандмауэр ISA. Это позволяет вам создавать правила доступа, которые применяются к пользователям и группам и разрешают или запрещают доступ к любому протоколу, сайту или контенту на основе учетной записи пользователя или членства в группе. Этот строгий контроль исходящего доступа на основе пользователей/групп чрезвычайно важен. Не всем пользователям требуется одинаковый уровень доступа, и пользователям должен быть разрешен доступ только к тем протоколам, сайтам и содержимому, которые им необходимы для выполнения их работы.
Примечание:
Концепция предоставления пользователям доступа только к тем протоколам, сайтам и содержимому, которые им необходимы, основана на принципе наименьших привилегий. Принцип наименьших привилегий применяется как к входящему, так и к исходящему доступу. Для сценариев входящего доступа правила сервера и веб-публикации разрешают трафик с внешних узлов на ресурсы внутренней сети строго контролируемым и контролируемым образом. То же самое должно быть справедливо и для исходящего доступа. В традиционных сетевых средах входящий доступ сильно ограничен, в то время как пользователям разрешен исходящий доступ практически к любому ресурсу, который они пожелают. Такой слабый подход к управлению исходящим доступом может поставить под угрозу не только корпоративную сеть, но и другие сети, поскольку Интернет-черви могут легко преодолевать брандмауэры, которые не ограничивают исходящий доступ.
Клиент брандмауэра автоматически отправляет учетные данные пользователя (имя пользователя и пароль) на брандмауэр ISA. Пользователь должен войти в систему с учетной записью, которая находится либо в Windows Active Directory, либо в домене NT, либо учетная запись пользователя должна быть отражена на брандмауэре ISA. Например, если у вас есть домен Active Directory, пользователи должны входить в домен, а брандмауэр ISA должен быть членом домена. Брандмауэр ISA может аутентифицировать пользователя и разрешать или запрещать доступ на основе учетных данных домена пользователя.
Если у вас нет домена Windows, вы все равно можете использовать клиентское программное обеспечение брандмауэра для управления исходящим доступом на основе пользователя/группы. В этом случае вы должны отразить учетные записи, под которыми пользователи входят на своих рабочих станциях, в учетные записи пользователей, хранящиеся в локальном диспетчере учетных записей безопасности (SAM) на компьютере с брандмауэром ISA.
Например, малый бизнес не использует Active Directory, но им нужен строгий контроль исходящего доступа на основе членства пользователя/группы. Пользователи входят на свои компьютеры с локальными учетными записями пользователей. Вы можете ввести те же имена пользователей и пароли на брандмауэре ISA, и брандмауэр ISA сможет аутентифицировать пользователей на основе той же информации об учетной записи, которая используется при входе пользователей в свои локальные машины.
Клиенты Windows 9x можно настроить для пересылки учетных данных домена, если на них установлено клиентское программное обеспечение Active Directory.
Позволяет записывать информацию о пользователях и приложениях в файлы журнала брандмауэра ISA 2004.
Основным преимуществом использования клиента брандмауэра является то, что когда имя пользователя отправляется на брандмауэр ISA, это имя пользователя включается в файлы журнала брандмауэра ISA. Это позволяет вам легко запрашивать имена пользователей в файлах журналов и получать точную информацию об активности этого пользователя в Интернете.
В этом контексте клиент брандмауэра обеспечивает не только высокий уровень безопасности, позволяя вам контролировать исходящий доступ на основе учетных записей пользователей/групп, но и обеспечивает высокий уровень подотчетности. Пользователи будут менее заинтересованы в обмене информацией о своей учетной записи с другими пользователями, если они будут знать, что их действия в Интернете отслеживаются на основе имени их учетной записи, и они несут ответственность за эту деятельность.
Обеспечивает расширенную поддержку сетевых приложений, включая сложные протоколы, требующие дополнительных подключений.
В отличие от клиента SecureNAT, которому требуется фильтр приложений для поддержки сложных протоколов, требующих вторичных подключений, клиент брандмауэра может поддерживать практически любое приложение Winsock, использующее протоколы TCP или UDP, независимо от количества первичных или вторичных подключений, не требуя фильтра приложений.
Брандмауэр ISA упрощает настройку определений протоколов, отражающих несколько первичных или вторичных соединений, а затем создание правил доступа на основе этих определений протоколов. Это дает значительное преимущество с точки зрения совокупной стоимости владения (TCO), поскольку вам не нужно приобретать приложения, поддерживающие прокси-сервер SOCKS, и вам не нужно тратить время и средства на создание настраиваемых фильтров приложений для поддержки « Интернет-приложения не по прямому назначению.
Обеспечивает поддержку «прокси» DNS для клиентских машин брандмауэра
В отличие от клиента SecureNAT, клиент брандмауэра не требует настройки DNS-сервера, который может разрешать имена хостов в Интернете. Брандмауэр ISA может выполнять функцию «прокси» DNS для клиентов брандмауэра.
Например, когда клиент брандмауэра отправляет запрос на подключение к ftp://ftp.microsoft.com, запрос отправляется непосредственно брандмауэру ISA. Брандмауэр ISA разрешает имя для клиента брандмауэра на основе настроек DNS на картах сетевого интерфейса брандмауэра ISA. Брандмауэр ISA возвращает IP-адрес клиентской машине брандмауэра, а клиентская машина брандмауэра отправляет FTP-запрос на IP-адрес FTP-сайта ftp.microsoft.com.
Брандмауэр ISA также кэширует результаты DNS-запросов, которые он делает для клиентов брандмауэра. В отличие от ISA Server 2000, который кэшировал эту информацию на период по умолчанию в 6 часов, брандмауэр ISA кэширует записи на период, определяемый TTL в записи DNS. Это ускоряет разрешение имен для последующих подключений клиентов брандмауэра к тем же сайтам. На рис. 1 показана последовательность разрешения имен для клиента брандмауэра.
Рисунок 1: Последовательность разрешения имени брандмауэра
- Клиент брандмауэра отправляет запрос на ftp.microsoft.com.
- Брандмауэр ISA отправляет DNS-запрос на внутренний DNS-сервер.
- DNS-сервер преобразует имя ftp.microsoft.com в его IP-адрес и возвращает результат брандмауэру ISA.
- Брандмауэр ISA возвращает IP-адрес ftp.microsoft.com клиенту брандмауэра, который сделал запрос.
- Клиент брандмауэра отправляет запрос на IP-адрес ftp.microsoft.com, и соединение установлено.
- Интернет-сервер возвращает запрошенную информацию клиенту брандмауэра через соединение клиента брандмауэра с брандмауэром ISA.
Обсудить эту статью |
Инфраструктура сетевой маршрутизации прозрачна для клиента брандмауэра
Последним важным преимуществом клиента брандмауэра является то, что инфраструктура маршрутизации практически прозрачна для клиентской машины брандмауэра. В отличие от клиента SecureNAT, который зависит от своего шлюза по умолчанию и настроек шлюза по умолчанию на маршрутизаторах корпоративной сети, клиентской машине брандмауэра нужно знать только маршрут к IP-адресу на внутреннем интерфейсе брандмауэра ISA 2004.
Клиентская машина брандмауэра «удаляет» или отправляет запросы непосредственно на IP-адрес брандмауэра ISA. Поскольку корпоративные маршрутизаторы обычно знают обо всех маршрутах в корпоративной сети, нет необходимости вносить изменения в инфраструктуру маршрутизации для поддержки подключений клиентов брандмауэра к Интернету. Рисунок 2 изображает «удаление» этих подключений непосредственно к брандмауэру ISA. В таблице 1 приведены преимущества клиентского приложения брандмауэра.
Рисунок 2: Подключения клиента брандмауэра к брандмауэру ISA 2004 не зависят от конфигурации шлюза по умолчанию на промежуточных маршрутизаторах
Преимущество клиента брандмауэра | Значение |
Надежная аутентификация на основе пользователя/группы для протоколов Winsock TCP и UDP | Строгая аутентификация на основе пользователей/групп для приложений Winsock с использованием TCP и UDP позволяет точно настроить детальный контроль над исходящим доступом и позволяет вам реализовать принцип наименьших привилегий, который защищает не только вашу собственную сеть, но и сети других корпораций. также. |
Информация об имени пользователя и приложении сохраняется в журналах брандмауэра ISA 2004. | В то время как строгий контроль доступа на основе пользователей/групп повышает безопасность, которую брандмауэр обеспечивает для вашей сети, информация об именах пользователей и именах приложений, сохраняемая в журналах брандмауэра ISA 2004, повышает ответственность и позволяет вам легко исследовать, какие сайты, протоколы и приложения запускает любой пользователь. клиентское программное обеспечение брандмауэра получило доступ. |
Расширенная поддержка сетевых приложений и протоколов | Клиент брандмауэра может получить доступ практически к любому протоколу на основе TCP или UDP, даже к тем, которые используются сложными протоколами, требующими нескольких первичных и/или вторичных соединений. Напротив, клиенту SecureNAT требуется фильтр приложений на брандмауэре ISA 2004 для поддержки сложных протоколов. Общий эффект заключается в том, что клиент брандмауэра снижает совокупную стоимость владения решения брандмауэра ISA 2004. |
Поддержка прокси-DNS для клиентов брандмауэра | Брандмауэр ISA 2004 может разрешать имена от имени клиентов брандмауэра. Это снимает ответственность за разрешение имен хостов в Интернете с клиентского компьютера брандмауэра и позволяет брандмауэру ISA 2004 хранить DNS-кэш последних запросов на разрешение имен. Эта функция DNS-прокси также улучшает конфигурацию безопасности для клиентов брандмауэра, поскольку устраняет требование, чтобы клиент брандмауэра был настроен на использование общедоступного DNS-сервера для разрешения имен хостов в Интернете. |
Позволяет публиковать серверы, для которых требуется сложный сетевой протокол. | Правила веб-публикации и серверной публикации поддерживают простые протоколы, за исключением тех, которые имеют приложение, установленное на брандмауэре ISA 2004, такое как фильтр приложений FTP-доступа. Вы можете установить клиентское программное обеспечение брандмауэра на опубликованном сервере для поддержки сложных протоколов, таких как те, которые могут потребоваться, если вы хотите запустить игровой сервер в своей сети. Важно отметить, что Microsoft больше официально не поддерживает эту конфигурацию, и они рекомендуют, чтобы у вас был программист на C++, написавший фильтр приложения для поддержки вашего приложения. |
Инфраструктура сетевой маршрутизации практически прозрачна для клиента брандмауэра. | В отличие от клиента SecureNAT, который полагается на инфраструктуру маршрутизации организации для использования брандмауэра ISA 2004 в качестве брандмауэра доступа в Интернет, клиенту брандмауэра нужно знать только маршрут к IP-адресу на внутреннем интерфейсе брандмауэра ISA 2004. Это значительно снижает административные издержки, необходимые для поддержки клиента брандмауэра по сравнению с клиентом SecureNAT. |
Таблица 1: Преимущества конфигурации клиента брандмауэра
Как работает клиент брандмауэра
Детали того, как на самом деле работает клиентское программное обеспечение брандмауэра, не полностью задокументированы в литературе Microsoft. На самом деле, если вы выполните сетевую трассировку связи клиента брандмауэра с помощью сетевого монитора Microsoft, вы увидите, что мониторинг сети не может декодировать связь клиента брандмауэра; однако у Ethereal есть элементарный клиентский фильтр брандмауэра, который вы можете использовать.
Что мы знаем, так это то, что клиент брандмауэра ISA 2004/6, в отличие от предыдущих версий, использует только TCP 1745 для канала управления клиента брандмауэра. По этому каналу управления клиент брандмауэра связывается напрямую со службой брандмауэра ISA для выполнения команд разрешения имен и сетевых приложений (например, используемых FTP и Telnet). Служба брандмауэра использует информацию, полученную по каналу управления, и устанавливает соединение между клиентом брандмауэра и целевым сервером в Интернете. Брандмауэр ISA проксирует соединение между клиентом брандмауэра и целевым сервером.
Примечание:
Клиент брандмауэра устанавливает соединение канала управления только при подключении к ресурсам, не расположенным во внутренней сети.
В ISA Server 2000 внутренняя сеть определялась таблицей локальных адресов (LAT). Брандмауэр ISA 2004/6 не использует LAT из-за его расширенных возможностей работы с несколькими сетями. Тем не менее, клиент брандмауэра должен иметь некоторый механизм для определения того, какие сообщения должны быть отправлены в службу брандмауэра на брандмауэре ISA, а какие должны быть отправлены непосредственно на хост назначения, с которым клиент брандмауэра хочет общаться.
Клиент брандмауэра решает эту проблему, используя адреса, определенные сетью брандмауэра ISA, в которой находится клиент. Сеть брандмауэра ISA для любого конкретного клиента брандмауэра состоит из всех адресов, доступных из сетевого интерфейса, подключенного к собственной сети брандмауэра ISA клиента. Эта ситуация становится интересной на многосетевом брандмауэре ISA, который имеет несколько сетей брандмауэра ISA, связанных с разными сетевыми адаптерами. Как правило, все хосты, расположенные за одним и тем же сетевым адаптером (независимо от идентификатора сети), считаются частью одной и той же сети ISA Firewall, и все соединения между хостами в одной сети ISA Firewall должны проходить в обход клиента брандмауэра.
Адреса для сетей брандмауэра ISA определяются во время установки программного обеспечения брандмауэра ISA, но вы можете создать другие сети по мере необходимости после завершения установки. Как правило, после установки для вас создается только внутренняя сеть ISA Firewall по умолчанию, и вам нужно будет вручную создать другие сети ISA Firewall Networks, если на вашем ISA Firewall установлено более двух сетевых адаптеров.
ПРЕДУПРЕЖДЕНИЕ О БЕЗОПАСНОСТИ БРАНДМАУЭРА ISA:
У вас может быть несколько интерфейсов на одном и том же брандмауэре ISA. Однако только одна сеть может иметь имя Internal. Внутренняя сеть состоит из группы машин, которые имеют неявное доверие друг к другу (по крайней мере, достаточное доверие, чтобы не требовать сетевого брандмауэра для контроля обмена данными между ними). У вас может быть несколько внутренних сетей, но дополнительные внутренние сети не могут быть включены в диапазон внутренних адресов другой внутренней сети. Внимательно просмотрите Системную политику брандмауэра ISA после завершения установки, чтобы ограничить обмен данными между брандмауэром ISA и внутренней сетью по умолчанию только теми, которые необходимы для вашего сценария.
Это означает, что вы не можете использовать централизованно настроенный диапазон сетевых адресов, настроенный для внутренней сети и дополнительных внутренних сетей, чтобы обойти клиента брандмауэра при обмене данными между внутренними сетями, подключенными к брандмауэру ISA через разные сетевые интерфейсы.
Однако централизованная конфигурация клиента брандмауэра может быть выполнена для каждой сети брандмауэра ISA, поэтому вы можете управлять настройками клиента брандмауэра для каждой сети. Это позволяет в некоторой степени контролировать, как параметры конфигурации клиента брандмауэра управляются в каждой сети. Однако это решение не помогает в сети в рамках сетевого сценария, где за одной и той же сетевой картой расположено несколько сетевых идентификаторов.
В сети в сетевом сценарии вы можете использовать локальный файл LAT (locallat.txt), чтобы переопределить централизованные параметры внутренней сети, если вы обнаружите, что это необходимо. В общем, сеть в сетевом сценарии не создает каких-либо существенных проблем для клиента брандмауэра.
Самое значительное улучшение клиента брандмауэра ISA 2004/6 по сравнению с предыдущими версиями клиента брандмауэра (Winsock Proxy Client 2.0 и ISA Server 2000 Firewall Client) заключается в том, что теперь у вас есть возможность использовать зашифрованный канал между клиентом брандмауэра и ISA. брандмауэр.
Помните, что клиент брандмауэра прозрачно отправляет учетные данные пользователя брандмауэру ISA. Клиент брандмауэра ISA теперь шифрует канал, чтобы кто-то, кто может «обнюхивать» сеть с помощью сетевого анализатора (например, Microsoft Network Monitor или Ethereal), не мог перехватить учетные данные пользователя. Учтите, что у вас есть возможность настроить брандмауэр ISA таким образом, чтобы он разрешал как безопасный зашифрованный, так и незашифрованный канал управления.
Очень тщательное эмпирическое исследование того, как клиентское приложение брандмауэра работает со службой брандмауэра в ISA Server 2000, можно найти в статье Стефана Пуселе (Stefan Pouseele) Understanding the Firewall Client Control Channel.
Примечание:
Если для сети включен транспортный режим защиты протокола Интернета (IPSec), так что клиентский компьютер брандмауэра использует транспортный режим IPSec для подключения к брандмауэру ISA, вы можете столкнуться с необычными и непредсказуемыми проблемами подключения. Если клиенты брандмауэра в сети ведут себя не так, как ожидалось, отключите IP-маршрутизацию в консоли брандмауэра ISA. В консоли ISA Firewall разверните сервер, а затем разверните узел Configuration ; щелкните узел Общие. В области сведений щелкните Определить настройки IP. На вкладке IP-маршрутизация убедитесь, что флажок Включить IP-маршрутизацию не установлен. Обратите внимание, что отключение IP-маршрутизации может значительно снизить производительность ваших клиентов SecureNAT, которым требуется доступ к вторичным соединениям.
Обсудить эту статью |
Резюме
В этой статье мы обсудили клиентское программное обеспечение брандмауэра ISA firewall. Клиент брандмауэра действует как прокси-клиент Winsock, который удаленно отправляет сетевые вызовы приложения Winsock на брандмауэр ISA. Затем служба брандмауэра ISA Firewall проксирует эти подключения к месту назначения, запрошенному клиентом. Клиент брандмауэра поддерживает все протоколы, включая несколько первичных и вторичных подключений, и не требует создания конкретных определений протоколов, если создается правило доступа «все открыто». Что наиболее важно, клиент брандмауэра может отправлять информацию об использовании и имени компьютера на брандмауэр ISA, и эта информация доступна в файлах журналов и отчетах, так что вы можете получить очень подробную информацию о том, что пользователи делают с интернет-соединением, в течение почти все приложения и все протоколы, что невозможно сделать с машиной, настроенной только как веб-прокси или клиент SecureNET. Кроме того, клиент брандмауэра отправляет имя образа приложения на брандмауэр ISA, так что вы можете легко определить, используются ли запрещенные приложения корпоративными пользователями.
подпишитесь на нашу рассылку новостей ISAserver.org в режиме реального времени