Публикация Outlook Web Access и Outlook RPC/HTTP с брандмауэрами ISA Server 2006 Enterprise Edition с использованием проверки подлинности на основе форм (одночленный массив без NLB)
Публикация Outlook Web Access и Outlook RPC/HTTP с брандмауэрами ISA Server 2006 Enterprise Edition с использованием проверки подлинности на основе форм (одночленный массив без NLB)
Томас Шиндер, доктор медицинских наук, MVP 
- Публикация OWA и Outlook RPC/HTTP с брандмауэрами ISA Server 2006 EE с использованием проверки подлинности на основе форм (одночленный массив без NLB): Часть 2. Проблемы развертывания DNS и сертификатов
- Публикация Outlook Web Access и Outlook RPC/HTTP с брандмауэрами ISA Server 2006 Enterprise Edition (RC) с использованием аутентификации на основе форм (одночленный массив без NLB) — часть 4. Создание правил веб-публикации и тестирование конфигурации
ISA Server 2006 — это многофункциональное универсальное устройство управления угрозами (UTM), которое включает в себя брандмауэр корпоративного уровня, VPN-сервер удаленного доступа, VPN-шлюз типа site-to-site, веб-прокси и сервер кэширования. Брандмауэр ISA можно настроить для работы в одной роли или в любой комбинации этих ролей. Независимо от вашего сценария развертывания, брандмауэр ISA всегда применяет проверку пакетов и приложений с отслеживанием состояния для всех соединений, проходящих через брандмауэр.
Основной сценарий развертывания брандмауэров ISA в корпоративной среде — безопасный удаленный доступ к веб-службам Microsoft Exchange Server. Эти веб-сервисы включают в себя:
- Веб-доступ к Outlook (OWA)
- Outlook Mobile Access (OMA — запланирован к выводу из эксплуатации и не включен в Exchange 2007)
- Exchange ActiveSync (EAS — для телефонов и карманных ПК с поддержкой Windows Mobile)
- Outlook RPC/HTTP (поддерживает соединения Outlook MAPI с использованием SSL-защищенного HTTP в качестве транспорта прикладного уровня)
В этой статье мы сосредоточимся на следующем:
- Развертывание одного брандмауэра ISA Server 2006 Enterprise Edition в массиве с одним членом, присоединенном к домену.
- Один IP-адрес на внешнем интерфейсе брандмауэра ISA.
- Единый веб-прослушиватель для поддержки как публикации OWA с использованием проверки подлинности на основе форм, так и RPC/HTTP.
В настоящее время я не буду обсуждать проблемы с Windows Mobile.
ISA Server 2006 включает новую функцию, позволяющую публиковать веб-сайты OWA с использованием проверки подлинности на основе форм, но при этом иметь возможность использовать тот же веб-прослушиватель для публикации приложений, не поддерживающих проверку подлинности на основе форм (FBA). Основным сценарием использования этой новой функции является RPC/HTTP. В ISA 2004 вы не могли использовать один и тот же веб-прослушиватель для публикации OWA/FBA и RPC/HTTP, потому что клиент Outlook 2003 не знал, как обрабатывать форму. Это требовало наличия двух разных веб-прослушивателей, двух разных сертификатов и двух IP-адресов для публикации как OWA/FBA, так и RPC/HTTP.
Решение этой проблемы в ISA Server 2006 заключается в проверке заголовка клиентского агента в запросе. Если клиентский агент не является веб-браузером, тогда брандмауэр ISA может использовать другой механизм аутентификации. В случае RPC/HTTP резервным механизмом проверки подлинности является обычная проверка подлинности, которая является предпочтительным механизмом проверки подлинности для клиентов Outlook RPC/HTTP через безопасное соединение SSL. Эта статья будет посвящена этой новой возможности.
В этой статье мы обсудим лабораторную среду и предоставим некоторые сведения о поддержке сетевых служб. В следующей статье мы рассмотрим вопросы развертывания DNS и сертификатов и начнем настройку брандмауэра ISA.
Описание лабораторной среды
На рисунке ниже представлен общий обзор лабораторной среды. Все машины расположены в одном сегменте сети и, таким образом, представляют одну и ту же зону безопасности. В производственной среде это может быть сегмент сетевых служб или даже DMZ с аутентифицированным доступом, хотя DC не будет располагаться в DMZ с аутентифицированным доступом. Дело в том, что существует множество возможных сетевых топологий для безопасной публикации OWA и RPC/HTTP.
Одним из важных соображений в безопасном сценарии публикации веб-служб Exchange является то, что в идеале у вас должно быть три IP-адреса и три разных URL-адреса для поддержки публикации OWA, ActiveSync/OMA и RPC/HTTP. Причина этого в том, что конфигурация фильтра безопасности HTTP для каждой из этих веб-служб немного отличается, а безопасная конфигурация позволяет настраивать фильтр безопасности HTTP для каждого правила веб-публикации. Чтобы поддерживать эту очень безопасную конфигурацию, вам нужно как минимум три IP-адреса, привязанных к внешнему интерфейсу брандмауэра ISA. Однако с учетом сказанного настройка фильтра безопасности HTTP выполняется для каждого правила отдельно, поэтому потенциально вы можете сделать это, создав три разных правила. Я расскажу об этих проблемах в следующей статье, чтобы показать, почему вы можете захотеть развернуть эту альтернативную конфигурацию.
Однако в этой статье я хочу продемонстрировать новую функцию ISA Server 2006, которая позволяет вам использовать один и тот же веб-прослушиватель для OWA/FBA и RPC/HTTP, что означает, что нам нужен только один IP-адрес на внешнем интерфейсе брандмауэра ISA. для поддержки конфигурации. Кроме того, я воспользуюсь этой возможностью, чтобы продемонстрировать новую функцию ISA Server 2006, называемую балансировкой нагрузки веб-фермы, которая обеспечивает балансировку нагрузки и прозрачное переключение при сбое и восстановление после сбоя для опубликованных веб-ферм, таких как набор интерфейсных серверов Exchange.
В этой лабораторной работе я буду использовать один сегмент сети для всех служб только для удобства. Однако многие администраторы Exchange могут предпочесть эту топологию, потому что ее проще реализовать и не требуется хорошего понимания многосетевых возможностей брандмауэра ISA. Кроме того, команда Microsoft Exchange Server, кажется, считает, что это достаточно безопасная конфигурация, и именно эту модель они используют в большей части своей документации, включающей обсуждение брандмауэра ISA.
Если вас интересует более безопасная конфигурация, которую предпочитаю я и другие эксперты по сетевой безопасности, посетите: http://www.isaserver.org/tutorials/Configuring-Domain-Members-Back-to-Back-ISA- Брандмауэр-DMZ-Part1.html
ПРИМЕЧАНИЕ:
В следующих статьях я опишу, как реализовать высокозащищенную конфигурацию, в которой вы используете три IP-адреса, три веб-приемника и три разных правила веб-публикации, чтобы обеспечить наилучший уровень безопасности для публикации веб-служб Exchange.
фигура 1
В таблице 1 представлена основная информация о конфигурации каждой машины в лаборатории.
Имя машины | ОКРУГ КОЛУМБИЯ | ОБМЕН2003 | FE1EXCHANGE | FE2EXCHANGE | ИСА2006SE** |
Информация об IP-адресации | IP-адрес: 10.0.0.2/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 | IP-адрес: 10.0.0.3/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 | IP-адрес: 10.0.0.4/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 | IP-адрес: 10.0.0.5/24 Шлюз по умолчанию: 10.0.0.1 DNS: 10.0.0.2 | ВНЕШНИЙ IP-адрес: 192.168.1.71/24 Шлюз по умолчанию: 192.168.1.60/24. INT IP-адрес: 10.0.0.1/24 DNS: 10.0.0.2* |
Операционные системы | Windows Server 2003 SP1 | Windows Server 2003 SP1 | Windows Server 2003 SP1 | Windows Server 2003 SP1 | Windows Server 2003 SP1 |
Сетевые службы установлены | DHCP DNS ЦС предприятия МСФО ВЫИГРЫШИ Активный каталог СМАК | Microsoft Exchange Server 2003 SP2 Настроен как внутренний сервер Exchange | Сервер Microsoft Exchange с пакетом обновления 2 Настроен как первый из пары интерфейсных серверов Exchange. | Сервер Microsoft Exchange с пакетом обновления 2 Настроен как второй из пары интерфейсных серверов Exchange. | ISA Server 2006 Enterprise Edition как массив с одним членом CSS установлен на брандмауэре Член пользовательского домена (рекомендуемая конфигурация) |
Сертификаты установлены | Сертификат ЦС для корпоративного ЦС, установленного на контроллере домена | Сертификат ЦС для корпоративного ЦС, установленного на контроллере домена | Сертификат ЦС для корпоративного ЦС, установленного на контроллере домена Сертификат веб-сайта с общим/субъектным именем owa.msfirewall.org, установленный на веб-сайте по умолчанию. | Сертификат ЦС для корпоративного ЦС, установленного на контроллере домена Сертификат веб-сайта с общим/субъектным именем owa.msfirewall.org, установленный на веб-сайте по умолчанию. | Сертификат ЦС для ЦС предприятия Сертификат веб-сайта с общим/субъектным именем owa.msfirewall.org, установленный в хранилище сертификатов компьютера для использования веб-прослушивателем |
Заметки: | DC является контроллером домена в этой сети, где все машины являются членами домена msfirewall.org. Все поддерживающие сетевые службы, требуемые брандмауэром ISA, установлены на DC. Это не означает, что это рекомендуемая или очень безопасная конфигурация. Например, серверы DHCP лучше всего размещать на машине, которая не является контроллером домена. Некоторые службы, такие как CMAK и IAS, устанавливаются для поддержки конфигураций, не рассматриваемых в этой статье. | BEEXCHANGE2003 — это внутренний сервер Exchange в том же домене, что и все остальные серверы в домене. Этот фоновый сервер Exchange будет базовым для двух интерфейсных серверов Exchange. Обратите внимание, что это не означает продвижение предпочтительной конфигурации. В зависимости от количества почтовых ящиков могут потребоваться два или более внутренних сервера Exchange. | FE1EXCHANGE — это первый из двух интерфейсных серверов Exchange. На этой машине размещен интерфейс OWA и прокси-сайты RPC/HTTP. | FE1EXCHANGE — это первый из двух интерфейсных серверов Exchange. На этой машине размещен интерфейс OWA и прокси-сайты RPC/HTTP. | * Крайне важно, чтобы адрес DNS-сервера был настроен на брандмауэре ISA, и чтобы адрес DNS-сервера был настроен только на внутреннем интерфейсе брандмауэра ISA, и этот интерфейс должен быть вверху списка интерфейсов. ** Название сервера указывает на то, что это брандмауэр Standard Edition, но это лабораторный артефакт. В этой лабораторной работе на компьютере с ISA2006SE установлен ISA Server 2006 Enterprise Edition. Брандмауэр ISA является членом домена, что в целом является более безопасной конфигурацией. Некоторые функции, включенные в ISA Server 2006, снижают уровень безопасности не члена домена, но не полностью. Обратите внимание, что шлюз по умолчанию в этой лабораторной работе соответствует внутреннему адресу вышестоящего брандмауэра ISA. Это артефакт конфигурации моей лаборатории. Вы должны настроить свой шлюз по умолчанию в соответствии с требованиями сначала для вашей лабораторной среды, а затем для вашей производственной среды. |
Таблица 1: Информация о конфигурации лабораторных машин
На DC установлено несколько сетевых служб, которые используются для поддержки конфигурации брандмауэра ISA в различных сценариях. Одной из наиболее часто игнорируемых проблем при планировании и развертывании брандмауэра ISA является установка и настройка этих вспомогательных сетевых служб до установки и настройки брандмауэра ISA.
Эти сетевые службы включают в себя:
- DHCP
В развертываниях брандмауэра ISA DHCP обеспечивает поддержку информации об IP-адресации для VPN-клиентов удаленного доступа и VPN-шлюзов типа site-to-site. Хотя DHCP в этих сценариях не требуется, вы можете значительно упростить развертывание, используя DHCP для адресации VPN-клиентов и шлюзов. Мы не будем использовать службы DHCP в этой статье, но будем использовать их в следующих статьях о ISA Server 2006 VPN удаленного доступа к VPN-серверу и настройкам VPN-шлюза. - DNS
DNS — критически важная сетевая служба, от которой сильно зависит брандмауэр ISA. Брандмауэр ISA использует DNS для прямого и обратного просмотра исходящих и входящих запросов, а также для определения местоположения своего контроллера домена. Инфраструктура DNS должна быть установлена и правильно настроена до развертывания брандмауэра ISA. - ИАС (РАДИУС)
Брандмауэр ISA можно настроить на использование аутентификации RADIUS для входящих и исходящих веб-соединений, осуществляемых через фильтр веб-прокси брандмауэра ISA. Кроме того, брандмауэр ISA может использовать аутентификацию RADIUS для VPN удаленного доступа и конфигураций VPN-шлюза типа site-to-site. Мы не будем использовать аутентификацию RADIUS в этой статье, но служба установлена для поддержки аутентификации RADIUS в будущих статьях. - Службы сертификации
Службы сертификации являются основным компонентом любого безопасного сценария публикации Exchange с использованием брандмауэров ISA. Брандмауэр ISA использует службы сертификатов для поддержки безопасных веб-публикаций, выдавая себя за опубликованные серверы. На веб-серверах должны быть установлены сертификаты веб-сайтов, чтобы брандмауэр ISA мог обеспечить безопасный мост между SSL. Эти сертификаты веб-сайтов экспортируются вместе с их закрытыми ключами и устанавливаются в хранилище сертификатов машины брандмауэра ISA. Это позволяет брандмауэру ISA использовать эти сертификаты в веб-слушателях, используемых в правилах веб-публикации, которые публикуют защищенные веб-службы Exchange. - ВЫИГРЫШИ
WINS обеспечивает поддержку разрешения имен для NetBIOS (компьютерных) имен. Пользователи во многих компаниях привыкли подключаться к корпоративным ресурсам, используя имя компьютера вместо полного доменного имени. Проблема заключается в том, что никакие пользовательские машины не настроены для правильной квалификации неквалифицированного запроса и, следовательно, должны иметь возможность вернуться к разрешению имен NetBIOS. WINS более важен, если вы планируете развернуть брандмауэр ISA в качестве решения VPN-сервера удаленного доступа. WINS не играет роли в сценарии развертывания, обсуждаемом в этой серии статей. - СМАК
CMAK (комплект администрирования диспетчера подключений) используется для создания пакетов VPN-клиентов, которые пользователи могут установить одним щелчком мыши. Пакеты CMAK можно отправить пользователям по электронной почте или дать им указание загрузить клиентский пакет CMAK VPN с веб-сайта или FTP-сайта. Пакет CMAK можно настроить для предоставления определенных параметров безопасности, необходимых для соответствия требованиям безопасности вашей организации. CMAK используется для поддержки брандмауэра ISA, когда он настроен как VPN-сервер удаленного доступа. CMAK не применяется к текущим сценариям.
На BEEXCHANGE2003 установлен Exchange 2003 SP2 на базе операционной системы Windows Server 2003. Этот компьютер настроен как внутренний сервер Exchange Server и является членом домена msfirewall.org, как и все другие компьютеры в этом лабораторном занятии.
Компьютеры FE1EXCHANGE и FE2EXCHANGE настроены как интерфейсные серверы Exchange для компьютера BEEXCHANGE2003. На этих машинах установлен прокси-сервер RPC/HTTP, поэтому они могут выступать в качестве прокси-сервера RPC для клиентов Outlook 2003. Внешние серверы Exchange принадлежат домену msfirewall.org, как и все остальные машины в этом лабораторном занятии. Сертификат веб-сайта привязан к веб-сайту по умолчанию на обеих этих машинах с использованием общего/субъектного имени owa.msfirewall.org.
Машина ISA2006SE настроена в режиме полного брандмауэра с внешним интерфейсом, подключенным к внешней сети, и внутренним интерфейсом, подключенным к внутренней сети. Брандмауэр ISA настроен как машина с одним членом массива с использованием ISA Server 2006 Enterprise Edition. Поскольку это одночленный массив, сетевой интерфейс внутри массива не требуется. Если бы я настроил машину как член массива из нескольких машин, то на каждой машине должно быть установлено три интерфейса, чтобы третий интерфейс можно было настроить как сетевую карту внутри массива.
Брандмауэр ISA настроен как член домена для повышения общей безопасности, которую брандмауэр может обеспечить для сети. Если брандмауэр ISA не является членом домена, мы не сможем использовать прозрачную аутентификацию для клиентов веб-прокси и брандмауэра. Фактически, мы вообще не могли использовать клиент брандмауэра, что сильно ограничивает количество протоколов, которые мы можем использовать для исходящего доступа. Мы также не смогли бы получить информацию о приложениях, которые пользователи используют для доступа в Интернет, без поддержки клиента брандмауэра.
ПРИМЕЧАНИЕ:
Не совсем правильно говорить, что клиент брандмауэра не поддерживается, когда брандмауэр ISA не является членом пользовательского домена. Вы можете использовать клиент брандмауэра, если вы зеркалируете учетные записи пользователей на брандмауэре ISA. Зеркальные учетные записи должны иметь то же имя пользователя и пароль, что и учетные записи домена пользователя. Это нереалистичный сценарий в корпоративной среде, потому что эта конфигурация не очень масштабируема.
Мы также хотим, чтобы брандмауэр ISA выполнял делегирование базовой аутентификации, что позволяет брандмауэру ISA предварительно аутентифицировать пользователей и прозрачно передавать эти учетные данные внешним серверам Exchange. При делегировании базовой аутентификации брандмауэр ISA сначала аутентифицирует и авторизует соединение пользователя. Если пользователь успешно аутентифицируется и авторизован для подключения к сайтам OWA или RPC/HTTP, тогда брандмауэр ISA перенаправит эти учетные данные на внешние серверы Exchange, так что пользователю не придется аутентифицироваться во второй раз.
Резюме
ISA Server 2006 — это брандмауэр, VPN-сервер удаленного доступа, VPN-шлюз типа site-to-site, веб-прокси и решение для кэширования. Одним из ключевых сценариев развертывания брандмауэра ISA является обеспечение безопасного удаленного доступа к веб-службам Microsoft Exchange, работающего в качестве обратного прокси-сервера. Брандмауэр ISA уже поставляется с набором технологий и мастеров, позволяющих создавать безопасные правила веб-публикации с минимальными усилиями и каждый раз выполнять их правильно.
В этой серии статей мы обсудим концепции, принципы и методы публикации веб-сайтов OWA и RPC/HTTP с использованием брандмауэра ISA с одним внешним IP-адресом. Хотя существует множество возможных топологий и конфигураций, из которых я мог бы выбрать, я решил выбрать эту в качестве моей первой статьи о веб-публикации для ISA Server 2006, поскольку она дает возможность представить новую функцию, позволяющую публиковать OWA и RPC/ HTTP-сайты, использующие один IP-адрес, что было невозможно в ISA 2004.
В следующей статье этой серии я расскажу о DNS и проблемах с сертификатами в этой конфигурации. Проблемы с DNS являются критически важными и очень часто неправильно понимаются и приводят к неудачным развертываниям, которые в противном случае были бы успешными. Я также расскажу о развертывании сертификатов и соглашениях об именах, которые тесно интегрированы с настройками разрешения имен DNS. Тогда увидимся! -Том.
- Публикация OWA и Outlook RPC/HTTP с брандмауэрами ISA Server 2006 EE с использованием проверки подлинности на основе форм (одночленный массив без NLB): Часть 2. Проблемы развертывания DNS и сертификатов
- Публикация Outlook Web Access и Outlook RPC/HTTP с брандмауэрами ISA Server 2006 Enterprise Edition (RC) с использованием аутентификации на основе форм (одночленный массив без NLB) — часть 4. Создание правил веб-публикации и тестирование конфигурации