Сетевая безопасность в Windows 2000 за 15 минут в неделю:
 

Вопросы планирования и оптимизации Сервера ISA фирмы Microsoft

от Leonard Loro

 

Правильные решения по планированию являются решающим условием для успешной реализации брандмауэров. Если не принять во внимание некоторые из наиболее важных моментов при планировании, то внедрение брандмауэра может подвергнуть опасности целостность вашей информации и безопасность сети в целом.

Вы можете обратиться к целому ряду публикаций, когда будете внедрять или следить за инсталляцией брандмауэра. Производители предлагают различные продукты для специфических сред. Брандмауэры различаются своей управляемостью, уровнем защиты и функциями. Также их цена должна быть адаптирована к финансовой ситуации вашей организации.

С другой стороны должны быть сделаны некоторые оценки и с технической точки зрения. Количество незащищенного сетевого трафика может значительно увеличиваться на краткосрочный период времени. Если один из серверов становится недоступным, другие сервера должны также осуществлять функции защиты, иначе ваша сеть будет беззащитна. Отказоустойчивость, масштабируемость и простота администрирования, являются важными техническими аспектами. И в заключение, для правильной оценки брандмауэра важно не только знать, сколько он стоит сейчас, но и сколько будет стоить его техническая поддержка и обновления версий.

Модель брандмауэра Сервер ISA фирмы Microsoft

Сервер ISA может выполнять роль сервера, входящего в «массив». При этом элемент массива – это компьютер, на котором запущен Сервер ISA, поддерживающий совокупность наиболее свежих веб-страниц и запросов, сделанных клиентами Интернета (кэш). Кэш Сервера ISA может быть распределен и поддержан несколькими компьютерами в массиве или цепочкой массивов. Это помогает клиентам Интернета получать содержание кэша от ближайшего к ним Сервера ISA и загружать веб-страницы быстрее.

Кэширование и выполнение требований по количеству обращений является важными техническими аспектами. Сервер ISA может быть установлен как кэширующий сервер, который поддерживает кэш наиболее часто запрашиваемых объектов и страниц, посещаемых клиентами. В данном сценарии очень важно принять во внимание количество внутренних web-клиентов, которых сервер будет поддерживать.

Когда планируется требования по количеству обращений, например, вы можете захотеть поместить Сервер ISA между корпоративной сетью и внутрисетевым приложением по обработке кадровой информации. Чем больше выполняется обращений к приложению, тем более мощные аппаратные требования предъявляются к серверу.

Обращения в сек.

Конфигурация Сервера

RAM

Менее 250

Один Сервер2хPentium III 700 MHz

512 Mb

250 – 500

Два Сервера2хXeon 933 MHz

1024 Mb

Размер памяти зависит от объема содержания, которое вы будете кэшировать. Все содержание должно помешаться в память компьютера, кроме того, должно быть зарезервированы дополнительные 256 Мб для выполнения серверных функций. Для каждых дополнительных 150 обращений придется добавить один сервер с конфигурацией, соответствующей содержанию, которое он должен вмещать.

Функции Сервера ISA фирмы Microsoft

Сервер ISA предлагает несколько функций, обеспечивающих безопасность межсетевого взаимодействия. Политики доступа, основанные на информации о пользователях или IP-адресах, могут быть применены ко всей сети. Несанкционированный доступ или запрет на доступ к нежелательному содержанию и web-сайтам может быть внедрен централизованно для того, чтобы не допустить изменения администраторами подразделений настроек брандмауэра или политик информационной безопасности организации в целом. Сервер ISA включает в себя несколько инструментов для обеспечения безопасности:

Фильтры ip-пакетов и правила публикации. Правила публикации сайтов и их содержания могут быть применены для контроля того, как и какие клиенты внутренней сети могут получать доступ к Интернету. Правила для протоколов и фильтров могут быть применены для управления входящими и исходящими соединениями.

Специальные фильтры для приложений. Для определения специальных фильтров и правил для приложений может быть использована информация о сеансе сетевого соединения. Протоколы и пакеты уровня приложений могут проверяться для обеспечения высшего уровня безопасности. Обычно применяются фильтры для обнаружения вирусов.

Обнаружение вторжений. Эта функция позволяет помочь установить, когда и кто пытался атаковать вашу сеть. Вы можете настроить предупреждения и действия для информирования отдела сетевой безопасности в случае обнаружения атак.

Поддержка виртуальных частных сетей (VPN). Сервер ISA может быть использован для инкапсуляции секретных данных, передаваемых по открытым сетям. Сервер VPN часто используется для обеспечения доступа к внутренним приложениям сети через Интернет или для защищенного взаимодействия с офисами филиалов предприятия (сценарий, применяемый для банков, например).

Извините… но придется расширять Схему

Если вы хотите установить цепочку массивов, Сервер ISA изменит Схему Windows 2000. Расширение в Active Directory должно быть осуществлено в домене, в котором находится Сервер ISA. Прежде, чем осуществлять это действие, рекомендуется проанализировать, как это может отразиться на вашей сети и репликации служб каталога. Вы также можете установить сервер ISA как автономный сервер, информация о конфигурации которого сохраняется в регистре.

Для того чтобы иметь возможность для расширения Схемы Active Directory, вы должны быть Администратором локального компьютера. Вы должны также быть членом группы Администраторы Предприятия и группы Администраторы Схемы. Данный процесс состоит в копировании информации о Схеме Сервера ISA в Active Directory. И этот процесс является необратимым.

Для импортирования Схемы Сервера ISA в Active Directory:

1. Нажмите кнопку Start, а затем Run. Появиться диалоговое окно Run… .

2. В диалоговом окне Run… напечатайте drive\ISA\i386\msisaent. В этой команде drive – это дисковод компакт-дисков Сервера ISA фирмы Microsoft.

3. Вы можете запустить команду msisaent –q для расширения схемы без вашего участия (при этом вам не придется нажимать на кнопки и отвечать на вопросы).

Предупреждение: данный процесс необратим, так как Active Directory не поддерживает удаление классов.

Использование цепочки массивов имеет ряд преимуществ. Вы можете использовать «политики массива» для создания правил безопасности, применяемых к отдельным группам серверов. «Политики Предприятия» имеют более высокий приоритет правил, чем тот, который может быть применен к цепочке массивов. В сценариях для банков, это позволяет сотрудникам службы безопасности определять политики безопасности для всей организации в целом, а уже администраторам филиалов применять дальнейшее ограничение доступа (не изменяя корпоративные ограничения).

Выбор функций

В ходе процесса установки, вы можете выбрать между двумя различными режимами: режимом брандмауэра, кэширующего сервера и комплексным режимом. В зависимости от выбранного режима вам будут доступны различные функции.

Выбор различных режимов установки:

1. Нажмите кнопку Start, а затем Run. Появится диалоговое окно Run… .

2. В диалоговом окне Run… напечатайте drive\ISA\Setup.exe. В этой команде drive – это дисковод компакт-дисков Сервера ISA фирмы Microsoft.

3. Следуйте появляющимся на экране инструкциям и выберите режим установки.

Службы Сервера ISA всегда устанавливаются для осуществления функций брандмауэра. Вы также можете установить различные компоненты, включая такие, как ISA Server Management (Управление сервером ISA) и ISA Server Extensions (Дополнения Сервера ISA). Если вы собираетесь осуществлять удаленное администрирование, вы можете установить ISA Management tools (Инструменты управления ISA) для управления одним или несколькими массивами серверов. Сервер Терминалов может также использоваться для управления удаленным автономным сервером. Дополнения Сервера ISA являются фильтрами приложений по умолчанию, предоставляемыми фирмой Microsoft. Message Screener предоставляется для фильтрации и обеспечения безопасности связи по электронной почте, а фильтр служебных протоколов H.323 Gatekeeper для управления аудио-визуальными приложениями и обеспечения приложений по проведению конференций.

Леонард Лоро, MCSE, MCSD, ISS, MCT, CCNA.