Удостоверяване на достъп до Интернет чрез ISA Server, Windows IT Pro

Защита и ограничаване на клиентския достъп до Интернет Най-известният проблем със сигурността при работа с Интернет е защитата на мрежата от външни прониквания. За целта се използва контролиран достъп до интернет. Да се

Защита и диференциране на клиентския достъп до Интернет

Най-известният проблем със сигурността в Интернет е защитата на мрежата от външни прониквания. За целта се използва контролиран достъп до интернет. Можете да използвате Microsoft Internet Security and Acceleration (ISA) Server 2000, за да позволите достъп на конкретни потребителски акаунти до Интернет чрез прокси сървър.ISA Server не само помага за защита на вътрешните клиенти от външни атаки, но също така предоставя възможност за контрол и управление на потребителската активност в Интернет. ISA Server поддържа достъп до вътрешни сървъри отвън (обратен прокси), но тази възможност не се разглежда в тази статия.

Версии и режими

ISA Server се предлага в две версии: корпоративна и стандартна (корпоративна и стандартна). ISA Server Enterprise Edition ви позволява да стартирате ISA Server като самостоятелен сървър или като логическа комбинация от множество ISA сървъри в един масив (можете да създадете масив на един компютър, но това няма да даде никакви предимства). Конфигурацията на масив поддържа корпоративни административни политики, тоест промените, направени на една от системите в масива, се разпространяват към всички системи в масива, така че не е необходимо да се правят едни и същи промени на всяка система. Можете да създадете множество масиви, за да поддържате правила и разрешения на много нива. Освен това можетепрехвърляне на правото за управление на масиви на други потребители и групи. Enterprise Edition се интегрира с Active Directory (AD) и съхранява конфигурационните данни на масива на ISA Server в AD, за разлика от специалния ISA Server, чиято конфигурация се съхранява в системния регистър. Когато Enterprise Edition се инсталира в мрежа без AD, ISA Server става специален сървър. Enterprise Edition се мащабира до произволен брой процесори. ISA Server Standard Edition поддържа максимум четири процесора. За да опростя, използвам ISA Server в тестовата мрежа като специален сървър, който не е интегриран в AD.

SecureNAT клиент

Клиент на защитната стена

Клиентът на защитната стена трябва да изпълнява специален софтуер, ISA Server Firewall Client. По време на инсталирането на ISA Server директорията \%programfiles%microsoft isa serverclients се създава, за да съдържа всички програмни и конфигурационни файлове, необходими за инсталиране на клиента. Клиентът на защитната стена се конфигурира с помощта на модула за конфигурация на ISA ManagementClient, който се стартира от конзолата за управление на Microsoft (MMC). ISA Server разпространява тези настройки до всички системи, които използват клиента на защитната стена. Този софтуер се използва от ISA Server като Windows Sockets Layer Provider (Winsock Layered Service Provider). Клиентът приема всички заявки от приложения, използващи сокети, и ги препраща към системата, работеща с ISA Server. В резултат на това всички приложения във вътрешната мрежа, които използват сокети, се държат така, сякаш са директно свързани към интернет. След като инсталират този софтуер на клиентски системи, потребителите ще могат да стартират ftp.exe от командния ред и да имат достъп по-специално до външни FTP сайтове.

ПриРезолюцията на имена на клиенти на защитната стена е проста. По подразбиране ISA Server разрешава всички имена, съдържащи точки (например www.braginski.com); имена без точки се разрешават локално. Можете да използвате модула за управление на ISA, за да промените настройките за разделителна способност на имена.

Заявката на клиента на защитната стена съдържа потребителски имена, така че могат да се прилагат политики за достъп, базирани на потребителски имена. Заявките обаче се правят в контекста на текущия потребител и няма механизъм за клиентския софтуер да подкани потребителите за различно потребителско име и парола, ако потребителското име и паролата за влизане са неправилни. Ето защо, ако попречите на даден потребител да напусне защитната стена, опитът за достъп до интернет ще доведе до грешка, без да изисква друго потребителско име и парола.

Уеб прокси клиент

контрол

ISA Server се управлява чрез модула за управление на ISA, който поддържа два типа контролни прозорци: Taskpad View (изглед на лентата на задачите) и Advanced View (разширен изглед). Предпочитам разширения изглед, показан наекран 1. Той логично организира всички компоненти на ISA Server в съответните им папки под системния обект на ISA Server. Целта на тези папки е описана в страничната лента“Папки за управление на ISA сървър”.

достъп
Екран 2: Конфигуриране на изходящи заявки

Подобно на Microsoft IIS, ISA Server поддържа различни методи за влизане. За да изберете схемата за влизане, която клиентът ще използва за проверка на името и паролата спрямо прокси сървъра, изберете ISA сървъра в секцията за удостоверяване и щракнете върху Редактиране, за да отворите диалоговия прозорец Добавяне/Редактиране на слушатели. Препоръчвам да изберетеИнтегрирано удостоверяване, което инструктира клиента да използва Kerberos удостоверяване (когато ISA сървърът и клиентите са членове на AD домейн) или протокол NT LAN Manager (NTLM). Когато е избрано вградено удостоверяване, браузърът на клиента първо се опитва да използва потребителското име и паролата за влизане. Ако потребителското име или паролата не съвпадат, браузърът ви подканва да въведете отново потребителското име и паролата. Следователно повечето потребители на домейн използват интегрирано удостоверяване. В основния с този режим на удостоверяване на домейна потребителското име и паролата се изпращат по мрежата в чист текст. Това удостоверяване е защитено само когато приложенията използват Secure Sockets Layer (SSL) връзки. Дайджестът с този режим на домейн работи като NTLM, докато опцията за клиентски сертификат работи само със SSL връзки.

По подразбиране, когато ISA Server е инсталиран, неговият алгоритъм за контрол на достъпа (Фигура 2показва опростена версия) предотвратява достъпа на вътрешни клиенти до всички външни системи. За всяка изходяща заявка услугата Firewall определя дали има изрични текущи разрешения за достъп или откази за всеки от заявените протоколи, сайтове или типове съдържание. Можете да присвоите конкретни правила на сайтовете и тяхното съдържание, които ще определят кой сайт или кой тип съдържание ще бъде достъпен за кои потребители. ISA Server отказва всички външни заявки, докато администраторът изрично не ги разреши. Той също така проверява всички пакети, преминаващи през прокси сървъра, за да види дали заявките са изрично отказани от някой филтър за IP пакети. ISA Server не използва никакви филтри за отказ запо подразбиране. Например външните системи не могат да получават ping отговори от ISA сървъра, докато администраторът не създаде подходящ филтър за IP пакети, който изрично разрешава пакетите на протокола за вътрешни контролни съобщения (ICMP), които командата ping използва. Следователно първата задача на администратора при разрешаването на клиенти за достъп до интернет ще бъде да добави HTTP и HTTP Secure (HTTPS) към списъка с разрешени протоколи.

Можете да използвате папките Правила за достъп на сайта и Правила за съдържание, Правила за протоколи и IP пакетни филтри на конзолата за управление на ISA, за да конфигурирате правила и филтри. За да създадете правило за протокол, щракнете с десния бутон върху папката Protocol Rules, след което изберете New Rule, за да стартирате съветника за ново правило. Следвайте инструкциите на съветника, за да създадете правило, което позволява използването на HTTP и HTTPS протоколите. В моя пример нарекох това правило Http Allow (HTTP permission). Щракнете върху Напред, след което изберете Разреши. На следващия екран изберете протоколите HTTP и HTTPS от списъка с избрани протоколи. На всички следващи екрани щракнете върху Напред, за да приемете настройките по подразбиране. След като затворите съветника, рестартирайте услугата Firewall и уеб прокси услугите, като изберете елемента Stop в контекстното меню на всяка услуга (в папката MonitoringServices), след което изберете Start, за да рестартирате услугите.

Политики за използване на протоколи и Политики за контрол на достъпа

достъп
Екран 3: Свързване към прокси сървър

Използването на ISA Server като защитна стена и сървър за посредничество може да ви помогне да защитите мрежата си от външни атаки, като разрешитевъншен контрол на достъпа. В допълнение, прокси сървърът ви позволява да контролирате достъпа на вътрешни клиенти до Интернет.

Папки за управление на ISA Server

Microsoft Internet Security and Acceleration (ISA) Server 2000 се управлява с помощта на Microsoft Management Console (MMC) и модула за управление на ISA. Добавката за управление на ISA поддържа разширен изглед, който групира настройките на сървъра в папки под всеки системен обект на ISA Server. Този режим опростява управлението на ISA Server. Нека разгледаме по-подробно тези папки и тяхното предназначение.

ПапкатаНаблюдениесъдържа няколко подпапки. Подпапката Alerts съхранява кратки съобщения и предупреждения, които се появяват в системния регистър на услугата Firewall в отговор на определени събития. Подпапката Services съдържа информация за изпълняваните услуги и ви позволява да ги спирате и стартирате. Подпапката Sessions ви помага да следите текущата активност на ISA Server. Подпапката Reports съдържа задания за отчитане на ISA Server (като отчети за използване на уеб), които могат да бъдат планирани за изпълнение.

ПапкатаКомпютърсъдържа списък с компютри, на които е инсталиран ISA и които са членове на масиви заедно с избраната система.

ПапкатаПравила за достъпсъдържа три подпапки: правила за сайтове и съдържание, правила за протоколи и филтри за IP пакети. ISA Server използва комбинация от тези правила за осигуряване на достъп до Интернет.

ПапкатаКонфигурация на кешави позволява да конфигурирате функцията за кеширане на ISA сървъра (т.е. какво съдържание трябва да се кешира в ISA сървъра и за колко време). Папката Monitoring Configuration ви позволява да определите кое действие трябваизпълнете ISA Server в отговор на конкретно събитие (например, изпратете имейл съобщение до администратора, ако дадена услуга спре). Папката Extensions може да бъде полезна за работа с динамични библиотеки, които разширяват функционалността на ISA Server (трябва да използвате ISA Server SDK, за да пишете такива библиотеки). Папката за мрежова конфигурация контролира как ISA Server маршрутизира заявките и как ISA ги препраща към други прокси сървъри. Папката Client Configuration съдържа настройките на ISA Server Firewall Client.

Споделяйте материал с колеги и приятели