Завершение VPN-соединений перед брандмауэром ISA (часть 3)

В первых двух частях этой серии статей о том, как завершать соединения VPN-клиентов перед брандмауэром ISA, мы начали с обсуждения вопросов, связанных с местом терминирования VPN-клиентов, и различных сценариев того, как VPN-клиенты могут подключаться к Интернету и внутренней сети через это соединение. Во второй части серии мы выполнили ряд действий по настройке брандмауэра ISA, чтобы разрешить VPN-клиентам доступ к внутренней сети за брандмауэром ISA и к Интернету.

В качестве краткого обзора того, что нам нужно было сделать на брандмауэре ISA, чтобы настроить все перед созданием наших правил доступа, мы выполнили следующие процедуры:

• Настройте интерфейсное устройство NAT для завершения подключений VPN-клиентов.
• Создайте сеть брандмауэра ISA, определяющую сеть DMZ, и включите прослушиватель веб-прокси для этой сети брандмауэра ISA.
• Создайте сетевое правило, создающее отношения маршрутизации между DMZ и внутренней сетью по умолчанию за брандмауэром ISA.

В этой статье мы закончим настройку программного обеспечения VPN-клиента, а затем установим подключение к интерфейсному устройству NAT. Мы подключимся к внутренней сети за брандмауэром ISA Firewall и к Интернету, используя соединение. Затем мы рассмотрим некоторые специальные сценарии, в которых вам может понадобиться настроить конфигурацию веб-прокси и клиента брандмауэра для дополнительной безопасности.

Правила доступа к ISA Firewall

Сначала я подумал, что могу описать сложный набор правил брандмауэра, обеспечивающих минимальные привилегии между демилитаризованной зоной и внутренней сетью по умолчанию. Я также подумал, что могу предоставить информацию о доступе с минимальными привилегиями между внутренней сетью по умолчанию, демилитаризованной зоной и Интернетом. Однако позже мне пришло в голову, что, поскольку мы решили разорвать соединение VPN перед брандмауэром ISA, а не на брандмауэре ISA, безопасность является второстепенным соображением, так как было бы гораздо безопаснее разорвать соединение на брандмауэре ISA. Брандмауэр ISA. Учитывая этот факт, я собираюсь создать единое правило, которое будет контролировать доступ к демилитаризованной зоне, внутренней сети по умолчанию и Интернету и обратно.

Вы можете увидеть это правило на рисунке ниже. Это правило позволяет:

• Весь трафик должен проходить из DMZ во внешнюю сеть по умолчанию.
• Весь трафик должен проходить из демилитаризованной зоны во внутреннюю сеть по умолчанию.
• Весь трафик должен проходить из внутренней сети по умолчанию в DMZ.
• Весь трафик должен передаваться из внутренней сети по умолчанию во внешнюю сеть по умолчанию.

В рабочей среде я настоятельно рекомендую вам блокировать политику брандмауэра после того, что я описал здесь. Например, нет причин, по которым внутренние пользователи должны иметь доступ ко всем протоколам и сайтам в Интернете. То же самое верно и для DMZ — VPN-клиенты, которые подключаются к VPN-серверу перед брандмауэром ISA, являются хостами DMZ, поэтому, если вы хотите контролировать, к чему эти VPN-клиенты могут получить доступ во внутренней сети по умолчанию, вам следует создать больше ограничительные правила, контролирующие доступ пользователей VPN в демилитаризованной зоне к внутренней сети по умолчанию.

Дайте мне знать, если вам нужно руководство по созданию более заблокированной политики брандмауэра. Если будет достаточно интереса, я напишу дополнительную статью о политике брандмауэра с минимальными привилегиями. Отправляйте свои запросы на [email protected]

Имейте в виду, что вы можете использовать клиент брандмауэра на клиентских компьютерах VPN и получить контроль доступа на основе пользователей/групп над тем, к чему пользователи VPN имеют доступ во внутренней сети по умолчанию. Это потому, что наша сеть DMZ может быть настроена на использование прослушивателя клиента брандмауэра. Я пройдусь по этим деталям позже.

фигура 1

Настройка программного обеспечения VPN-клиента

Настройка программного обеспечения VPN-клиента зависит от типа программного обеспечения VPN-клиента, с которым вы работаете. В этом примере мы будем использовать клиентское программное обеспечение Windows VPN, так как мы разрываем клиентское соединение VPN на сервере RRAS NAT перед брандмауэром ISA. Тип программного обеспечения VPN-клиента, который вы используете, важен, потому что разные VPN-клиенты предлагают разные функции. То же самое верно и для используемого вами VPN-сервера: он может поддерживать функции, которые не поддерживает сервер RRAS, а сервер RRAS VPN может поддерживать функции, которые не поддерживает ваш VPN-сервер.

После создания нового подключения VPN-клиента откройте подключение и нажмите кнопку «Свойства». На вкладке «Общие» вы увидите IP-адрес или полное доменное имя, которое вы настроили для использования клиентом для установления VPN-подключения. Пример этого показан на рисунке ниже.

фигура 2

В диалоговом окне «Свойства» подключения VPN-клиента щелкните вкладку «Сеть». На вкладке «Сеть» вы увидите, что параметр «Тип VPN» по умолчанию — « Автоматически». Это означает, что VPN-клиент сначала попытается использовать L2TP/IPSec, а если это не сработает, он вернется к PPTP. Наш VPN-сервер RRAS в настоящее время настроен на поддержку только PPTP, поэтому наш VPN-клиент будет использовать его для наших подключений.

На вкладке «Сеть» щелкните запись «Протокол Интернета (TCP/IP)» и нажмите кнопку «Свойства».

Рисунок 3

Откроется диалоговое окно свойств Интернет-протокола (TCP/IP). Обратите внимание, что по умолчанию VPN-клиент использует автоматическое назначение адресов VPN-сервером, что является частью процесса IPCP (Internet Protocol Control Protocol). Нажмите кнопку «Дополнительно».

Рисунок 4

В диалоговом окне «Дополнительные параметры TCP/IP» на вкладке «Общие» у вас есть единственный параметр: « Использовать шлюз по умолчанию в удаленной сети ». Когда этот параметр включен (настройка по умолчанию), раздельное туннелирование отключено на клиенте. Когда раздельное туннелирование отключено, все запросы к удаленным сетям, включая Интернет, отправляются по каналу VPN. Если включено раздельное туннелирование (флажок «Использовать шлюз по умолчанию в удаленной сети» снят), то трафик, предназначенный для корпоративной сети, отправляется через VPN-туннель, а трафик, предназначенный для Интернета, направляется непосредственно в Интернет через фактический сервер клиента. интерфейс, а не интерфейс VPN.

Рисунок 5

Решение о разрешении раздельного туннелирования зависит от вашей чувствительности безопасности, а также от возможностей и конфигурации вашего VPN-клиента и VPN-сервера. В общем, раздельного туннелирования следует избегать, так как это серьезная проблема безопасности; это позволяет злоумышленникам легко направлять соединения через клиентский компьютер VPN в корпоративную сеть. С другой стороны, вы можете разрешить раздельное туннелирование, чтобы уменьшить использование пропускной способности вашего корпоративного интернет-соединения.

Некоторые вещи, которые вы, возможно, захотите учесть при принятии решения о включении раздельного туннелирования:

• Это серьезная проблема безопасности, поэтому, если вы ищете безопасное решение, раздельное туннелирование следует отключить.
• Если ваш VPN-сервер не позволяет вам «вернуться» к Интернету через VPN-соединение, вы не сможете получить доступ к Интернету, если не выберете альтернативное решение.
• Если ваш VPN-сервер позволяет вам «зацикливаться» на Интернете через VPN-подключение, вы можете отключить раздельное туннелирование и получить доступ к Интернету через VPN-соединение, но имейте в виду, что VPN-клиенты будут использовать пропускную способность и эту пропускную способность. не будет доступен для клиентов в корпоративной сети
• Если ваш VPN-сервер не позволяет вам «зацикливаться» на Интернет, вы можете рассмотреть возможность настройки VPN-клиентов в качестве веб-прокси-клиентов брандмауэра ISA; это позволит клиентам VPN получить доступ к корпоративной сети за брандмауэром ISA Firewall и получить доступ к веб-сайтам в Интернете, используя конфигурацию клиента веб-прокси. Конфигурация клиента веб-прокси также разрешает доступ веб-прокси во внутреннюю сеть по умолчанию за брандмауэром ISA.
• Если ваш VPN-сервер не позволяет вам «закольцовываться» в Интернет, вы можете подумать о том, чтобы сделать VPN-клиенты брандмауэра клиентами брандмауэра ISA. Когда клиенты VPN настроены как клиенты брандмауэра брандмауэра ISA, они будут иметь доступ к виртуальному разрешению протоколов TCP и UDP, которые вызываются приложениями Winsock.

Самое простое решение — включить раздельное туннелирование, но это также и наименее безопасное решение. Второе наиболее простое решение — это когда ваш VPN-сервер позволяет вам «зацикливаться» на нем для подключения к Интернету; однако это далеко не идеальное решение с точки зрения безопасности, поскольку вы не можете применить политику брандмауэра к этим соединениям. Самым сложным решением является настройка клиентов в качестве клиентов веб-прокси и брандмауэра — это позволяет вам контролировать действия клиентов VPN при подключении к вашей корпоративной сети по каналу VPN.

В оставшейся части этой статьи будет обсуждаться, как вы можете настроить свою инфраструктуру и клиентов для поддержки настроек веб-прокси и клиентов брандмауэра для ваших клиентов VPN, которые подключаются к серверу VPN перед брандмауэром ISA.

Конфигурация DNS

Разделенный DNS, разделенный DNS, разделенный DNS, всем нужен разделенный DNS!

Я много раз писал о ценности разделенного DNS. Вы можете прочитать о раздельном DNS в двух основополагающих статьях, которые я написал на эту тему:

http://www.isaserver.org/tutorials/2004illegaltldsplitdns.html

http://www.isaserver.org/tutorials/You_Need_to_Create_a_Split_DNS.html

Цель разделенной DNS — обеспечить прозрачность разрешения имен независимо от местоположения пользователя. В большинстве случаев мы используем разделенный DNS для поддержки пользователей, перемещающихся между корпоративной сетью и Интернетом, чтобы можно было использовать одни и те же имена, когда пользователь находится в Интернете и когда он находится в корпоративной сети. Разделенный DNS гарантирует, что одно и то же имя будет преобразовано в другой IP-адрес в зависимости от местоположения пользователя.

В сценарии с VPN-клиентом VPN-клиент не является хостом в Интернете, поскольку его IP-адрес действителен в сети DMZ. Что мы хотим сделать в этом сценарии, так это создать разделенный DNS, чтобы записи WPAD и имя брандмауэра ISA Firewall разрешались в разные IP-адреса в зависимости от местоположения пользователя.

Например, если имя брандмауэра ISA — isa2006se.msfirewall.org, мы хотим, чтобы пользователи внутренней сети по умолчанию разрешали это имя во внутренний IP-адрес брандмауэра ISA. Однако мы хотим, чтобы VPN-клиенты разрешали имя isa2006se.msfirewall.org в IP-адрес на внешнем интерфейсе брандмауэра ISA. Это IP-адрес, который сеть DMZ ISA Firewall прослушивает как для своего веб-прокси, так и для слушателей клиента брандмауэра.

Чтобы это заработало, нам нужно создать две записи WPAD Host (A) и две записи Host (A) для имени брандмауэра ISA, как показано на рисунке ниже. Одна запись WPAD и Host (A) для имени ISA Firewall разрешается во внутренний адрес ISA Firewall, и одна WPAD и запись Host (A) для имени ISA Firewall разрешается во внешний адрес ISA Firewall.. Внутренние пользователи будут разрешать имя во внутренний IP-адрес, а VPN-клиенты будут разрешать имя во внешний IP-адрес.

Рисунок 6

Теперь вы можете спросить себя, как вы можете заставить VPN-клиенты разрешать имена во внешний IP-адрес, а внутренние клиенты разрешать имена во внутренний IP-адрес. Ответ заключается в настройке DNS-сервера для использования порядка сетевой маски. При включенном упорядочивании сетевых масок, если имеется несколько записей для одного и того же имени, то запись, наиболее точно соответствующая сетевому идентификатору исходного хоста, будет возвращена клиенту.

Вы можете настроить порядок сетевых масок в диалоговом окне «Свойства» DNS-сервера. Перейдите на вкладку «Дополнительно» в диалоговом окне « Свойства DNS-сервера», установите флажок «Включить порядок сетевых масок» и нажмите «ОК».

Рисунок 7

Для поддержки автообнаружения на основе WPAD веб-прокси брандмауэра ISA и слушателей клиента брандмауэра клиент должен иметь возможность полностью уточнять имя WPAD. Если машина не настроена для полного уточнения имени WPAD, то неполное имя WPAD отправляется на DNS-сервер, и попытка разрешения имени завершается неудачей. Если все ваши VPN-клиенты являются машинами, присоединенными к домену, у вас не возникнет проблем, поскольку они автоматически полностью определят запрос, используя суффикс доменного имени вашего домена Active Directory.

Однако, если ваши клиенты не настроены как члены домена, их необходимо настроить для добавления суффикса доменного имени к их запросам DNS, который является тем же суффиксом DNS, который используется вашим доменом Active Directory во внутренней сети.

Вы можете добавить DNS-суффиксы без присоединения к домену, открыв диалоговое окно «Свойства системы » и щелкнув вкладку «Имя компьютера». На вкладке Имя компьютера нажмите кнопку Изменить.

Рисунок 8

В диалоговом окне «Изменение имени компьютера» нажмите кнопку «Дополнительно».

Рисунок 9

В диалоговом окне DNS-суффикс и имя компьютера NetBIOS введите внутренний DNS-суффикс Active Directory в текстовом поле Первичный DNS-суффикс на этом компьютере и нажмите OK.

Рисунок 10

Вам придется перезагрузить компьютер, чтобы новый DNS-суффикс вступил в силу.

Поддержка клиентов веб-прокси

Брандмауэр ISA должен быть настроен так, чтобы разрешать клиентские соединения веб-прокси, включив прослушиватель веб-прокси. Дважды щелкните сеть DMZ ISA Firewall Network в консоли ISA Firewall и перейдите на вкладку Web proxy. Поставьте галочку в поле «Включить клиент веб-прокси» и установите флажок в поле «Включить HTTP». Порт прослушивателя веб-прокси по умолчанию — 8080, и вы должны оставить его по умолчанию. Изменяйте порт по умолчанию только в том случае, если у вас есть очень веские причины для его изменения.

Рисунок 11

Сделайте то же самое с внутренней сетью ISA Firewall. Перейдите на вкладку «Веб-прокси» в диалоговом окне « Внутренние свойства» и установите флажки в полях «Включить клиенты веб-прокси» и «Включить HTTP» и оставьте порт прослушивания по умолчанию для TCP 8080.

Рисунок 12

Теперь, когда прослушиватели веб-прокси брандмауэра ISA включены, следующим шагом будет настройка VPN-клиентов в качестве клиентов веб-прокси. В этом примере мы выполним настройку вручную, но в производственной среде вы можете предпочесть использовать пакет администрирования диспетчера подключений (CMAK) для создания VPN-подключений. CMAK предоставляет вам возможность установить параметры веб-прокси для VPN-клиентов, чтобы вы могли воспроизвести то, что мы здесь делаем.

В Internet Explorer откройте диалоговое окно «Свойства обозревателя» и перейдите на вкладку «Подключения». Обратите внимание, что ваше VPN-подключение отображается в рамке настроек удаленного доступа и виртуальной частной сети. Выберите ваше VPN-подключение и нажмите кнопку «Настройки».

Рисунок 13

В диалоговом окне «Настройки VPN» установите флажок «Автоматически определять настройки». Когда VPN-клиент устанавливает соединение с VPN-сервером, VPN-клиент выдает запрос WPAD на DNS-сервер, назначенный VPN-клиенту VPN-сервером. Это позволит VPN-клиенту автоматически обнаруживать прослушиватель веб-прокси, который должен использоваться VPN-клиентами. Нажмите OK, чтобы сохранить изменения.

Рисунок 14

На рисунке ниже показано, что вы увидите в консоли мониторинга брандмауэра ISA, когда клиент VPN подключается к прослушивателю веб-прокси. В этом примере VPN-клиенту назначается IP-адрес 10.0.1.104, и он подключается к прослушивателю веб-прокси DMZ ISA Firewall Network по адресу 10.0.1.2 через TCP-порт 8080.

Рисунок 15

Обратите внимание, что когда вы настраиваете хосты как клиенты веб-прокси, вы можете создавать правила доступа, которые контролируют доступ пользователей в Интернете и во внутренней сети на основе учетных записей пользователей или членства в группах. Я не буду вдаваться в подробности настройки, так как эта статья нацелена на то, как разрешить завершение VPN-подключения перед брандмауэром ISA, а не перед брандмауэром ISA. Однако можно установить ограничительную политику для этих VPN-клиентов для доступа в Интернет, если они настроены как VPN-клиенты.

Поддержка клиента брандмауэра

Клиентские системы брандмауэра должны подключаться к слушателю клиента брандмауэра на брандмауэре ISA. Слушатель клиента брандмауэра настраивается для каждой сети брандмауэра ISA. В консоли брандмауэра ISA дважды щелкните внутреннюю сеть по умолчанию и перейдите на вкладку «Клиент брандмауэра».

Установите флажок Включить поддержку клиента брандмауэра для этой сети.

Во фрейме конфигурации клиента брандмауэра введите полное доменное имя брандмауэра ISA в текстовом поле Имя сервера ISA или IP-адрес. Мы должны ввести полное доменное имя, а не IP-адрес, потому что мы хотим воспользоваться нашим разделенным DNS, а наш разделенный DNS основан на разрешении имен DNS. Когда происходит автообнаружение WPAD, клиентская система преобразует имя wpad.domainname.com в IP-адрес брандмауэра ISA, и имя брандмауэра ISA возвращается клиенту брандмауэра. Именно это имя вы вводите в качестве имени или IP-адреса ISA-сервера на вкладке клиента брандмауэра для сети брандмауэра ISA, которую клиент брандмауэра будет использовать для подключения к слушателю клиента брандмауэра ISA.

В конфигурации веб-браузера на фрейме клиентского компьютера брандмауэра установите флажок Использовать веб-прокси-сервер. Когда клиент брандмауэра подключается к брандмауэру ISA, он также устанавливает конфигурацию клиента веб-прокси на клиенте. Однако это не должно повлиять на подключение VPN-клиента, поскольку сервер веб-прокси, используемый VPN-клиентом, настроен для VPN-подключения. Настройка, которую вы устанавливаете на этой вкладке, влияет только на конфигурацию фактической сетевой карты, а не на канал VPN. Однако, чтобы предотвратить конфликт имен веб-прокси и любые непредвиденные последствия, лучше всего поместить фактическое полное доменное имя брандмауэра ISA в текстовое поле имени или IP-адреса ISA-сервера в разделе Использовать сервер веб-прокси.

Рисунок 16

Если вы заметили небольшое махание рукой в приведенном выше объяснении, вы правы. Я знаю, что VPN-клиент будет использовать автообнаружение для поиска прослушивателя веб-прокси, поскольку мы настроили его в браузере. Однако я не знаю, что могло бы произойти, если бы у нас возник конфликт имен веб-прокси-серверов, если бы у нас было одно имя, настроенное в настройках VPN-клиента, и другое имя, установленное для фактической сетевой карты. Если хотите, можете проверить это на себе. Дай мне знать, что ты узнаешь!

Повторите вышеуказанный процесс в DMZ ISA Firewall Network. Помните, хотя мы использовали одно и то же имя для внутренних клиентов и клиентов VPN, это имя будет разрешаться в другой адрес в зависимости от местоположения клиента. VPN-клиенты будут подключаться к слушателю на внешнем интерфейсе брандмауэра ISA, а внутренние клиенты будут подключаться к внутреннему интерфейсу брандмауэра ISA для своего слушателя клиента брандмауэра.

Рисунок 17

Я мог бы указать здесь, что это использование клиента брандмауэра и прослушивателя клиента брандмауэра «не по прямому назначению». Этот сценарий, в котором VPN-клиенты подключаются к прослушивателю на внешнем интерфейсе ISA Firewall, аналогичен реализации клиента брандмауэра ISA Firewall с одной сетевой картой. Да, это правда, это не поддерживаемая конфигурация (официально не поддерживается PSS), но она работает, и нет никаких технических причин для ее неработоспособности. Однако команда ISA Firewall не тестировала эту конфигурацию и поэтому не может ее поддерживать, потому что не уверена, что будет работать, а что нет в тысячах клиентских сценариев.

Еще одно интересное открытие состоит в том, что, когда клиенты VPN «отскакивают» от прослушивателя клиента внешнего интерфейса брандмауэра, брандмауэр ISA воспринимает клиентов как поступающих из сети DMZ. Однако, когда клиенты веб-прокси «отскакивают» от прослушивателя веб-прокси внешнего интерфейса, они рассматриваются как клиенты из локальной хост-сети или внутренней сети, даже если журнал показывает, что они являются членами сети DMZ.

Это важно, потому что для клиентов веб-прокси вам не нужно создавать сетевое правило, соединяющее клиентов DMZ с Интернетом. Уже существуют правила, разрешающие членам внутренней сети по умолчанию и локальной хост-сети выходить в Интернет. Однако, поскольку клиенты брандмауэра обрабатываются как члены DMZ-сети ISA-сервера, вам необходимо создать сетевое правило, которое соединяет DMZ-сеть с Интернетом.

На рисунке ниже показана конфигурация сетевого правила, соединяющего сеть DMZ с Интернетом. Вы должны установить исходную сеть на DMZ, а целевую сеть на внешнюю. Сетевое отношение должно быть установлено как преобразование сетевых адресов (NAT).

Рисунок 18

Имейте в виду, что когда вы настраиваете VPN-клиенты в качестве клиентов брандмауэра, вы можете использовать конфигурацию клиента брандмауэра для создания правил доступа, которые ограничивают пользователей, для каждого пользователя или для каждой группы, к тем протоколам и сайтам, к которым они могут получить доступ. Клиент брандмауэра поддерживает практически любой протокол UDP или TCP, используемый приложениями Winsock, поэтому клиент брандмауэра расширяет возможности безопасности, обеспечиваемые конфигурацией клиента веб-прокси. Существует также потенциальная поддержка сложных протоколов, хотя я заметил, что в конфигурации, которую я использовал в этой серии статей, FTP в режиме PORT не работает.

Поддержка клиентов SecureNAT

Клиенты VPN, работающие перед брандмауэром ISA, которые не настроены как веб-прокси или клиенты брандмауэра, по умолчанию являются клиентами SecureNET брандмауэра ISA. Однако они действуют как клиенты SecureNET только при доступе к ресурсам, расположенным за брандмауэром ISA. Для доступа в Интернет они зависят либо от способности VPN-сервера разрешить клиенту «петлю» в Интернет через VPN-сервер, либо от конфигурации раздельного туннелирования на стороне клиента или сервера.

Обратите внимание, что когда вы используете только конфигурацию клиента SecureNET, доступ к ресурсам за брандмауэром ISA Firewall должен осуществляться на анонимной основе — вы не будете навязывать контроль доступа пользователей/групп на VPN-клиентах при подключении к ресурсам во внутренней сети за брандмауэром. брандмауэр ISA.

Тестирование соединений

Теперь давайте проверим конфигурацию и посмотрим, что произойдет. На рисунке ниже показан системный трей до установки подключения VPN-клиента. Вы можете видеть, что значок клиента брандмауэра показывает, что клиент брандмауэра отключен, потому что он не может разрешить имя слушателя клиента брандмауэра ISA Firewall.

Рисунок 19

После того, как VPN-подключение будет установлено, вы увидите значок подключения в области уведомлений и увидите, что красный значок «X» больше не отображается на значке клиента брандмауэра. Это показывает, что клиент брандмауэра нашел брандмауэр ISA. Зеленая стрелка вверх появится на значке клиента брандмауэра, когда клиент брандмауэра подключится к брандмауэру ISA для передачи данных.

Рисунок 20

Когда вы дважды щелкните значок клиента брандмауэра, вы увидите диалоговое окно Клиент брандмауэра Microsoft для ISA Server. Нажмите на вкладку Настройки. На вкладке «Настройки» нажмите кнопку «Обнаружить сейчас». Это заставит клиент брандмауэра повторно определить брандмауэр ISA, и результаты появятся в диалоговом окне «Обнаружение ISA-сервера». Затем вы увидите, что полное доменное имя отображается в диалоговом окне. Это значение, которое вы ввели на вкладке Firewall Client в свойствах DMZ ISA Firewall Network.

Рисунок 21

Выделенная строка на рисунке ниже показывает подключение клиента веб-прокси к прослушивателю веб-прокси на внешнем интерфейсе брандмауэра ISA. Клиент VPN имеет IP-адрес 10.0.1.102, а прослушиватель веб-прокси находится на внешнем интерфейсе брандмауэра ISA с IP-адресом 10.0.1.2.

Рисунок 22

После того, как соединение через веб-прокси установлено, вы можете увидеть запрос от VPN-клиента к Интернету. Выделенная строка на рисунке ниже показывает http- соединение с IP-адресом назначения 207.46.198.60. Нижний регистр http в файле журнала указывает на то, что соединение фактически устанавливается через клиентское соединение веб-прокси, то есть даже если строка в файле журнала выглядит так, как будто соединение устанавливается от клиента VPN к месту назначения. веб-сервер, запрос фактически выполняется по каналу клиент/сервер веб-прокси через TCP-порт 8080.

Хороший пример того, как это работает, показан в зеленой строке внизу. Зеленая запись в файле журнала показывает, что VPN-клиент делает запрос к целевому веб-серверу, используя протокол http, который на самом деле является HTTP-запросом, сделанным по каналу веб-прокси клиент/сервер. Фактическое HTTP-соединение осуществляется от брандмауэра ISA Firewall к целевому веб-серверу, что вы можете увидеть в нижней строке файла журнала на рисунке ниже. HTTP в верхнем регистре указывает на соединение без веб-прокси, которое происходит, когда брандмауэр ISA Firewall пересылает запрос от клиента веб-прокси.

Рисунок 23

Теперь давайте взглянем на подключение клиента брандмауэра. На рисунке ниже я открыл окно командной строки и установил telnet-соединение с SMTP-сервером.

Рисунок 24

Просматривая файл журнала ISA Firewall, вы можете увидеть, что SMTP-соединение было установлено с IP-адреса VPN-клиента на адрес целевого SMTP-сервера. Вы можете увидеть подключение к каналу управления клиентом брандмауэра через TCP-порт 1745 в строке после SMTP-подключения.

Вы можете удивиться, как я узнал, что на самом деле это клиентское соединение брандмауэра, которое установило SMTP-связь. Есть две подсказки, которые дают ответ. Во-первых, посмотрите в столбце Имя пользователя клиента в записи файла журнала для подключения SMTP. Здесь вы видите tshinder (?), указывающее имя пользователя, выполняющего подключение. Только клиент брандмауэра может сообщать имя пользователя брандмауэру ISA для соединений без веб-прокси.

Второй намек можно увидеть во фрейме диагностики файла журнала ISA Firewall (эй! Откуда взялась эта диагностика? J). В нижней части окна диагностики вы можете увидеть запись агента клиента, указывающую на то, что использовался telnet.exe 3.5.1. Только клиент брандмауэра может отправлять информацию об агенте пользователя на брандмауэр ISA для соединений без веб-прокси.

Рисунок 25

На рисунке ниже показаны типы сеансов, созданных VPN-клиентом. Вы увидите, что созданы все три типа сеансов: веб-прокси, клиент брандмауэра и клиент SecureNET. Запись клиента SecureNET является своего рода артефактом, поскольку она представляет соединения от клиента VPN к слушателям веб-прокси и клиента брандмауэра.

Рисунок 26

Резюме

В этой серии статей мы рассмотрели политики и процедуры, связанные с завершением соединения VPN-клиента перед брандмауэром ISA. В то время как завершение соединения VPN-клиента на брандмауэре ISA Firewall было бы более безопасным решением, многие компании могут иметь установленное решение VPN-клиент/сервер, от которого они не хотят отказываться. В этом случае у вас есть возможность прервать соединение VPN-клиента перед брандмауэром ISA и использовать брандмауэр ISA, чтобы разрешить доступ к внутренней сети за брандмауэром ISA, а также к Интернету. Мы закончили эту статью, показав, как вы можете использовать конфигурацию клиента веб-прокси и брандмауэра на клиенте VPN, чтобы обеспечить более высокий уровень безопасности подключений клиента VPN удаленного доступа. ХТХ, Том.