Создание Site-to-Site VPN с помощью мастера подключения филиала брандмауэра ISA 2006 (часть 6)

Сценарий контроллера домена филиала

В первых пяти частях этой серии статей о том, как создать VPN-подключение типа site-to-site между главным офисом и филиалом с помощью ISA Firewall, мы сосредоточились на вопросах, связанных с созданием и управлением самим VPN-подключением site-to-site. Теперь, когда у нас есть сведения о созданном VPN-подключении между сайтами, мы можем настроить VPN-подключение между сайтами, чтобы контролировать все, что перемещается по VPN-туннелю, и получить гораздо более высокую степень безопасности, чем та, которую вы можете получить при обычном подключении. «Концентратор» VPN или «аппаратный» шлюз VPN.

Хорошим местом для начала этого упражнения с минимальными привилегиями для компьютера филиала является настройка брандмауэра ISA Firewall филиала для обеспечения внутридоменной связи между контроллером домена филиала и контроллером домена главного офиса. Настройка ISA Firewall филиала для поддержки контроллера домена филиала является хорошим примером, поскольку нам также необходимо выполнить ряд других шагов настройки, чтобы контроллер домена филиала работал.

В этой статье я надеюсь выполнить следующие шаги:

• Отключите DDNS на интерфейсах вызова по требованию, а также на брандмауэрах ISA Firewall главного офиса и филиала.
• Включите DDNS в зоне прямого и обратного просмотра msfirewall.org.
• Создайте правило доступа к внутридоменным коммуникациям на брандмауэре ISA Firewall филиала

Отключите DDNS на интерфейсах вызова по требованию, а также на брандмауэрах ISA Firewall главного офиса и филиала.

Помните, в первой или второй статье этой серии мы отключили DDNS в зоне прямого просмотра msfirewall.org? Ты помнишь, почему мы это сделали? Чтобы освежить вашу память, мы отключили DDNS в зоне прямого просмотра msfirewall.org, потому что мы хотели предотвратить регистрацию брандмауэром ISA Firewall в главном и филиалах IP-адреса интерфейса вызова по требованию в DNS. Когда интерфейсы вызова по требованию регистрируются в DDNS, это вызывает всевозможные проблемы, потому что клиенты разрешают имена брандмауэров ISA в адреса интерфейсов вызова по требованию, а не в их фактические IP-адреса.

Тогда я спросил вас, действительно ли нам нужно это сделать. Не лучше ли было бы каким-то образом настроить сами интерфейсы вызова по требованию, чтобы они не регистрировали свои адреса в DDNS? Это было бы гораздо лучшим решением, так как очень неудобно держать DDNS отключенным на DNS-сервере в нашей организации. Мало того, что это неудобно, часто нереально это сделать.

Хорошей новостью является то, что мы можем отключить автоматическую регистрацию DNS на интерфейсах вызова по требованию для ISA Firewall главного офиса и филиала с помощью консоли RRAS. В общем, нам нужно избегать внесения изменений в конфигурацию VPN на брандмауэрах ISA с помощью консоли RRAS, потому что настройки, сделанные в консоли брандмауэра ISA, перезапишут изменения, сделанные нами в консоли RRAS. Хорошей новостью здесь является то, что изменение регистрации DDNS для интерфейса вызова по требованию не перезаписывается конфигурацией VPN брандмауэра ISA.

Выполните следующие шаги в главном офисе ISA Firewall:

1. Нажмите «Пуск», выберите «Администрирование» и нажмите «Маршрутизация и удаленный доступ».
2. В консоли маршрутизации и удаленного доступа разверните имя сервера.
3. Щелкните узел «Сетевые интерфейсы» на левой панели консоли. Щелкните правой кнопкой мыши запись Branch на правой панели консоли и выберите «Свойства».

фигура 1

4. В диалоговом окне «Свойства филиала» щелкните вкладку «Сеть», а затем нажмите кнопку «Свойства».

фигура 2

5. В диалоговом окне «Свойства протокола Интернета (TCP/IP)» нажмите кнопку «Дополнительно».

Рисунок 3

6. В диалоговом окне Дополнительные параметры TCP/IP щелкните вкладку DNS. На вкладке DNS снимите флажок с поля Зарегистрировать адреса подключения в DNS. Нажмите ОК.

Рисунок 4

7. Нажмите «ОК» в диалоговом окне «Свойства протокола Интернета (TCP/IP)». Нажмите «ОК» в диалоговом окне «Свойства ветки». Если интерфейс вызова по требованию в настоящее время подключен, вы можете увидеть диалоговое окно, информирующее вас о том, что изменения не вступят в силу до следующего подключения интерфейса вызова по требованию.
8. Закройте консоль маршрутизации и удаленного доступа.

Выполните следующие шаги в брандмауэре ISA Firewall филиала:

1. Нажмите «Пуск», выберите «Администрирование» и нажмите «Маршрутизация и удаленный доступ».
2. В консоли маршрутизации и удаленного доступа разверните имя сервера.
3. Щелкните узел «Сетевые интерфейсы» на левой панели консоли. Щелкните правой кнопкой мыши запись Branch на правой панели консоли и выберите «Свойства».

Рисунок 5

4. В диалоговом окне «Основные свойства» щелкните вкладку «Сеть», а затем нажмите кнопку «Свойства».

Рисунок 6

5. В диалоговом окне «Свойства протокола Интернета (TCP/IP)» нажмите кнопку «Дополнительно».

Рисунок 7

6. В диалоговом окне Дополнительные параметры TCP/IP щелкните вкладку DNS. На вкладке DNS снимите флажок с поля Зарегистрировать адреса подключения в DNS. Нажмите ОК.

Рисунок 8

7. Нажмите «ОК» в диалоговом окне «Свойства протокола Интернета (TCP/IP)». Нажмите «ОК» в диалоговом окне «Свойства ветки». Если интерфейс вызова по требованию в настоящее время подключен, вы можете увидеть диалоговое окно, информирующее вас о том, что изменения не вступят в силу до следующего подключения интерфейса вызова по требованию.
8. Закройте консоль маршрутизации и удаленного доступа.
9. Перезапустите брандмауэры главного офиса и филиала и подождите, пока не установится VPN-соединение между сайтами по запросу.

Включите DDNS в зоне прямого и обратного просмотра msfirewall.org.

Теперь, когда проблема с DDNS для интерфейсов вызова по требованию решена, мы можем включить DDNS для зоны msfirewall.org. DDNS полезен в целом и будет особенно полезен в частности, поскольку мы хотим, чтобы контроллер домена филиала автоматически регистрировал все записи DNS, связанные с доменом, в DNS главного офиса. Мы могли бы создать эти записи вручную, но это влечет за собой большие административные издержки и увеличивает риск совершения ошибки.

Перейдите на контроллер домена в главном офисе и выполните следующие действия:

1. На контроллере домена главного офиса нажмите «Пуск» и выберите «Администрирование». Щелкните DNS.
2. В консоли DNS разверните имя сервера, а затем разверните узел Зоны прямого просмотра.
3. Щелкните узел msfirewall.org, а затем щелкните Свойства.

Рисунок 9

4. В диалоговом окне свойств msfirewall.org щелкните вкладку Общие. На вкладке «Общие» щелкните стрелку вниз в раскрывающемся списке «Динамические обновления» и выберите параметр « Только безопасные ». Это позволяет только членам домена вводить свои записи в DDNS. Нажмите ОК.

Рисунок 10

5. Щелкните правой кнопкой мыши имя DNS-сервера в левой панели консоли и выберите «Все задачи», затем нажмите «Перезагрузить».

Рисунок 11

Создайте правило доступа к внутридоменным коммуникациям на брандмауэре ISA Firewall филиала

Закончив фоновую работу, мы можем перейти к настройке ISA Firewall. Сначала нам нужно создать правило, позволяющее контроллеру домена филиала использовать внутридоменные протоколы, необходимые для обмена информацией об активности домена с другими контроллерами домена. В этом примере с контроллером домена в главном офисе.

В таблице ниже показаны настройки правил доступа для обычных внутридоменных протоколов:

Таблица 1: Протоколы, необходимые для внутридоменной связи

Здесь я должен отметить, что это не единственный подход, который мы можем использовать для разрешения внутридоменной связи между филиалом и контроллером домена в главном офисе. Этот подход фокусируется на контроле трафика, который перемещается из филиала в главный офис, и предполагает, что разрешен весь трафик из главного офиса в филиал. Хотя я бы не сказал, что это оптимальный подход (позже мы изменим правила доступа к главному офису), он подчеркивает то, что я считаю лучшим подходом к управлению доступом: место повышенного риска — это филиал и поэтому мы должны сосредоточить наше внимание на контроле того, что перемещается между филиалами в главный офис.

С другой стороны, вы можете установить политику доступа в главном офисе и сосредоточить свое внимание на брандмауэре ISA в главном офисе и создать там правила доступа, чтобы контролировать, что может приходить из филиалов.

Вероятно, лучший и наиболее масштабируемый метод управления доступом между филиалами и главным офисом — это использование корпоративных политик. Когда вы создаете корпоративную политику, вы можете назначить эту политику каждому массиву, представляющему каждую установку филиала. Это значительно упрощает управление политикой брандмауэра для филиалов, поскольку вы можете один раз внести изменения в политику предприятия, и эти изменения автоматически распространяются на все массивы филиалов.

В этом примере мы будем использовать корпоративную политику, чтобы продемонстрировать, как работают корпоративные политики. Насколько мне известно, это первое обсуждение или демонстрация корпоративных политик на открытом форуме, так что добро пожаловать в это новое новаторское достижение!

Первым шагом является создание новой корпоративной политики. Нам нужно создать новую политику предприятия, потому что мы не можем вносить какие-либо изменения в политику предприятия по умолчанию. После создания новой корпоративной политики мы можем создать правило доступа, которое можно применить ко всем массивам, для которых определена эта корпоративная политика. Последним шагом является привязка корпоративной политики к массиву брандмауэра ISA Firewall филиала.

Выполните следующие шаги на компьютере с CSS, чтобы создать корпоративную политику:

1. На компьютере CSS в сети главного офиса откройте консоль ISA Firewall.
2. В консоли брандмауэра ISA разверните узел Enterprise, а затем разверните узел Enterprise Policies. Щелкните узел «Политики предприятия», а затем щелкните его правой кнопкой мыши. Наведите курсор на «Создать» и нажмите «Политика предприятия».

Рисунок 12

3. На странице Добро пожаловать в мастер создания новой корпоративной политики введите имя корпоративной политики в текстовое поле Корпоративная политика. В этом примере мы назовем политику Branch Policy и нажмем Next.

Рисунок 13

4. Нажмите «Готово» на странице «Завершение работы мастера создания новой корпоративной политики».

Рисунок 14

5. Щелкните узел Branch Policy на левой панели консоли, затем щелкните вкладку Tasks на панели задач. В области задач нажмите « Создать корпоративное правило доступа».
6. На странице приветствия мастера нового правила доступа введите имя правила в текстовом поле Имя правила доступа. В этом примере мы хотим создать правило доступа, которое позволит контроллерам домена филиала подключаться к контроллеру домена главного офиса. По этой причине мы назовем правило Branch DCs >5 Main DC. Нажмите «Далее».

Рисунок 15

7. На странице «Действие правила» выберите параметр «Разрешить» и нажмите «Далее».

Рисунок 16

8. На странице «Протоколы» убедитесь, что в раскрывающемся списке «Применяется это правило» выбран параметр « Выбранные протоколы». Затем нажмите кнопку Добавить. В диалоговом окне «Добавить протоколы» щелкните папку «Все протоколы». Дважды щелкните каждый из протоколов, перечисленных в Таблице 1 выше, затем щелкните Закрыть.

Рисунок 17

9. Нажмите «Далее» на странице «Протоколы».

Рисунок 18

10. На странице «Источники правил доступа» нажмите кнопку «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните меню «Создать», а затем щелкните « Набор компьютеров ». В диалоговом окне «Новый элемент правила набора компьютеров» введите «Контроллеры домена филиала» в текстовом поле «Имя».

Рисунок 19

11. Нажмите кнопку «Добавить» в диалоговом окне «Новый элемент правила набора компьютеров» и щелкните запись « Компьютер» в списке.

Рисунок 20

12. В диалоговом окне Новый элемент правила для компьютера введите имя компьютера филиала в текстовом поле Имя. В этом примере имя нашего компьютера в филиале будет называться Branch1 DC, что поможет нам отличить этот DC от других DC в филиале. Введите IP-адрес контроллера домена нашего филиала в текстовое поле IP-адрес компьютера, в данном примере это 10.0.1.2. Нажмите ОК.

Рисунок 21

13. Нажмите кнопку «ОК» в диалоговом окне «Новый элемент правила набора компьютеров ».

Рисунок 22

14. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Наборы компьютеров», а затем дважды щелкните запись «Контроллеры домена филиала ». Нажмите «Закрыть» в диалоговом окне «Добавить сетевые объекты».

Рисунок 23

15. Нажмите «Далее» на странице «Источники правил доступа».

Рисунок 24

16. На странице «Назначения правил доступа» нажмите кнопку «Добавить». В диалоговом окне «Добавить сетевые объекты» щелкните меню «Создать» и щелкните запись «Компьютер».

Рисунок 25

17. В диалоговом окне «Новый элемент правила для компьютера» введите имя компьютера в текстовом поле «Имя». В этом примере мы вводим имя контроллера домена главного офиса, поэтому назовем его DC главного офиса. Введите IP-адрес контроллера домена главного офиса в текстовое поле IP-адрес компьютера, затем нажмите OK.

Рисунок 26

18. В диалоговом окне «Добавить сетевые объекты» щелкните папку «Компьютеры», а затем дважды щелкните запись контроллера домена главного офиса. Щелкните Закрыть.

Рисунок 27

19. Нажмите «Далее» на странице «Назначения правил доступа».

Рисунок 28

20. На странице «Наборы пользователей» примите значение по умолчанию «Все пользователи». Причина, по которой нам нужно разрешить доступ всем пользователям, заключается в том, что на контроллерах домена нет зарегистрированных пользователей, и что для аутентификации вам нужен клиент брандмауэра, а клиент брандмауэра никогда не должен устанавливаться на контроллере домена. Нажмите «Далее».
21. Нажмите «Готово» на странице «Завершение работы мастера нового правила доступа».
22. Нажмите «Применить», чтобы сохранить изменения и обновить политику брандмауэра. Нажмите «ОК» в диалоговом окне «Применить новую конфигурацию».

Теперь, когда корпоративная политика настроена, следующим шагом будет привязка этой корпоративной политики к массиву филиалов. В настоящее время корпоративная политика по умолчанию привязана к массиву филиалов. Мы изменим ситуацию, чтобы политика филиалов была привязана к массиву филиалов.

Выполните следующие шаги, чтобы привязать корпоративную политику Branch Policy к массиву Branch:

1. В консоли ISA Firewall разверните узел Arrays и затем щелкните узел Branch. Щелкните правой кнопкой мыши узел Branch и выберите Properties.

Рисунок 29

2. В диалоговом окне «Свойства филиала» щелкните вкладку «Параметры политики». На вкладке «Параметры политики» щелкните стрелку утопления для списка политик предприятия. Выберите опцию «Политика филиалов». Это позволит импортировать и применить правила, определенные в политике предприятия, в политику массива. Мы также удалим флажок из правила публикации («Запретить» и «Разрешить»), чтобы в филиале нельзя было создавать правила веб-публикации и серверной публикации, чего мы действительно хотели бы избежать по соображениям безопасности.. Нажмите ОК.

Рисунок 30

3. Разверните массив Branch в левой панели консоли и щелкните узел Firewall Policy (Branch). Обратите внимание, что правило доступа, которое мы создали на уровне корпоративной политики, было применено к политике массива.

Рисунок 31

4. Мы хотим, чтобы эта политика контроллера домена всегда применялась до политики локального массива. Для этого щелкните узел Branch Policy Enterprise Policy в левой панели консоли. Щелкните правой кнопкой мыши контроллеры домена филиала > правило доступа к основному контроллеру домена и выберите команду «Переместить вверх».

Рисунок 32

5. Нажмите на политику массива Firewall Policy (Branch). Теперь вы увидите, что политика предприятия будет применяться до политики локального массива.

Рисунок 33

Как видно из настройки корпоративной политики, будет намного проще применять политики к нескольким филиалам, если один раз внести изменения в корпоративную политику филиальной политики и автоматически распространить эти изменения на все массивы, к которым привязана эта политика. Это намного проще, чем иметь 30 массивов и вносить изменения в каждый из них. Например, когда мы добавляем больше контроллеров домена в филиалах, все, что нам нужно сделать, это обновить контроллеры домена в филиалах, и правило будет применяться к этим новым контроллерам домена в филиалах.

Резюме

В этой, шестой части нашей серии статей об использовании мастера подключения филиалов VPN типа «сеть-сеть» для подключения филиалов к главному офису, мы приступили к расширенным настройкам конфигурации, которые будем использовать для присоединения контроллера домена филиала к контроллеру домена главного офиса. для внутридоменных коммуникаций. Во время этой статьи произошло новаторское событие, когда я продемонстрировал, как создать корпоративную политику и как использовать эту корпоративную политику для оптимизации разработки и развертывания политик для развертывания распределенного корпоративного брандмауэра. В следующей части этой серии мы запустим depromo на контроллере домена филиала, установим интегрированный DNS-сервер Active Directory на контроллере домена филиала, а затем изменим настройки DNS на брандмауэре ISA Firewall филиала.

После установки контроллера домена филиала следующим шагом будет создание политики брандмауэра для филиалов, которая позволит им получить доступ к ресурсам в главном офисе. Мы создадим настраиваемую политику на основе пользователей/групп, которая позволит пользователям получать доступ к ресурсам Exchange Server в главном офисе и т. д. Если будет время, мы также начнем настройку альтернативного CSS, чтобы обеспечить отказоустойчивость нашей конфигурации ISA Firewall Enterprise.

• Создание Site-to-Site VPN с помощью мастера подключения филиала брандмауэра ISA 2006 (часть 7)