Сетевая безопасность в Windows 2000 за 15 минут в неделю:
 

Перемещение структуры существующего брандмауэра на сервер ISA фирмы Microsoft

от Leonard Loro

 

Вам необходимо спланировать, как осуществить миграцию вашего уже установленного программного обеспечения сетевой безопасности. Независимо от того, осуществляете ли вы миграцию с единственного сервера, действующего в качестве простого прокси-сервера или со сложной многосайтовой сетевой структуры, вы должны сначала проанализировать вашу среду для того, чтобы определить правильный план миграции.

Обновление брандмауэра является важнейшей операцией для сетевой безопасности. Так как большинство внешнего сетевого трафика проходит через брандмауэр, план обновления необходимо предварительно протестировать и должным образом внедрить. Хотя Microsoft Proxy Server 1.0 и 2.0 являются прекрасными кэширующими системами, они не способны выполнять функции брандмауэра. Покупатели прокси-серверов фирмы Microsoft в течение длительного времени выражали недовольство по поводу отсутствия дополнительных защитных функций данных продуктов. Проблема состоит в том, что Microsoft Proxy Server 1.0 и 2.0 с самого начала были разработаны для осуществления только функции кэширования и не включают в себя такие дополнительные опции, как поддержка VPN, обратное кэширование и Intrusion Detection (обнаружение вторжений).

Сервер ISA фирмы Microsoft является платформой, которая обеспечивает сильную и мощную структуру брандмауэра, которая поддерживает растущие требования к расширяемости и масштабируемости, предъявляемые крупными организациями и сложными средами.

Планирование миграции

Миграция архитектуры брандмауэра, работающего на сервере Microsoft Proxy 1.0 или 2.0, на сервер Microsoft ISA, требует тщательного планирования. Обновление установки сервера Microsoft Proxy включает в себя обновление операционной системы, настройку файлов и проектирование брандмауэра. Ваш план миграции должен содержать по крайней мере следующие элементы:

Документация по архитектуре брандмауэра. Включает в себя диаграмму высокоуровневого брандмауэра, отражающую инфраструктуру брандмауэра, включающую сетевые протоколы, аппаратные средства, используемые программные продукты и реализацию служб. Ниже приведен пример диаграммы, описывающей используемые протоколы, возможные источники атак и высокоуровневое разделение сетей:

Рисунок 1. Диаграмма высокоуровневого брандмауэра.

Анализ планформы. Если вы в настоящее время используете сервер Microsoft Proxy 2.0, то некоторые службы будут заменены сервером Microsoft ISA. Опишите, какие функции сервера Microsoft Proxy вы сейчас используете и какие новые функции предлагает сервер Microsoft ISA для вашей сетевой безопасности.

План для миграции существующего программного обеспечения брандмауэра. Детально опишите процесс миграции. Определите, какое программное обеспечение и инструменты вам необходимо перенести. Детализируйте, какая модификация аппаратных средств и программных продуктов должна произойти. Удостоверьтесь, что составили план перехода на случай аварийного режима.

Приемное тестирование. Определите тестовые процедуры, которые должны быть выполнены на новой инфраструктуре брандмауэра. Включите текущие и планируемые операции, осуществляемые вашими клиентами сети и те ресурсы, которые должны быть доступны через брандмауэр.

План работ по обеспечению сетевой безопасности для новой архитектуры брандмауэра. Если целью является длительная работа вашего брандмауэра, вы должны проводить мониторинг и поддержку инфраструктуры. Опишите программу административной поддержки, включая анализ системного файла журнала и резервное копирование сервера.

Стадии миграции

Прежде чем начать осуществлять миграцию, посетите сайт http://www.microsoft.com/security для ознакомления с последними обновлениями в области безопасности и ввода в действие. Кратко, вы должны осуществлять данный процесс так:

Стадия миграции

Путь миграции

1.

Осуществите резервное копирование настроек вашего прокси-сервера, используя интерфейс его настройки

2.

Удалите прокси-сервер, переместите его файл журнала, веб-кэш и резервный файл конфигурации в безопасное место

3.

Проведите обновление вашей OS до сервера или Advance сервера Windows 2000 Service Pack 1

4.

После удачного обновления сервера установите на систему сервер Microsoft Proxy 2.0 (прямое обновление с сервера Microsoft Proxy 1.0 не поддерживается)

5.

Восстановите файлы конфигурации сервера

6.

Протестируйте операции сервера Microsoft Proxy

7.

Остановите службы сервера Microsoft Proxy

8.

Начните процесс установки сервера Microsoft ISA

Для остановки служб сервера Microsoft Proxy:

  1. Нажмите на кнопку Start, затем Run. Появится диалоговое окно Run….
  2. В диалоговом окне Run… напечатайте cmd.
  3. В окне командной строки напечатайте net stop service_name. Где service_name – имя службы сервера Microsoft Proxy, которую вы хотите остановить.

Служба прокси-сервера

Имя службы

Служба Microsoft Winsock Proxy

Wspsrv

Управление прокси-сервером Microsoft

Mspadmin

Служба Proxy Alert Notification

Mailalrt

Сервер WWW Publishing

w3svc

Пример 2. Остановка службы WWW Publishing.

Если вы осуществляете миграцию сервера Microsoft Proxy Server 2.0, на новом сервере обычно необходимо осуществить некоторые предварительные действия. Когда вы осуществляете миграцию автономного сервера, большинство правил и установок конфигурации сохраняется. Если вы осуществляете миграцию массива, то установки политики предприятия определяют, какие правила прокси-сервера будут мигрировать.

Прежде чем осуществлять миграцию массива прокси-серверов, рекомендуется удалить всех членов массива. Сервера будут сохранять настройки сетевой конфигурации и прокси-правила, которые были унаследованы от настроек массива. После удаления их из массива прокси-серверов, осуществляйте миграцию всех прокси-серверов отдельно в сервера Microsoft ISA, используя сценарий автоматической установки.

Для настройки таблицы локальных адресов на сервере Microsoft ISA:

  1. Нажмите кнопку Start, выберите папку Programs, затем Microsoft ISA Server. Нажмите на ISA Management.
  2. Кликните мышкой на узле Name, где Name – является именем вашего сервера для того, чтобы развернуть дерево конфигурации.
  3. Нажмите на Network Settings и затем на Local Address Table (LAT).
  4. Перейдите в меню Action menu, выберите опцию New и затем .
  5. Введите адрес вашего внутреннего сегмента сети.

Большинство правил и фильтров сервера Microsoft Proxy 2.0 мигрируют в сервер Microsoft ISA автоматически. Но, так или иначе, после миграции на сервер Microsoft ISA, некоторые настройки конфигурации обычно изменяются. В большинстве сред внедрение сервера Microsoft ISA требует определения нового фильтра пакетов и перенастройки сетевых настроек.

Для настройки фильтра IP-пакетов:

  1. Нажмите на Start, выберите папку Programs, затем Microsoft ISA Server.
  2. Нажмите на ISA Management.
  3. Кликните мышкой на узле Name, где Name – является именем вашего сервера для того, чтобы развернуть дерево конфигурации.
  4. Кликните на узле Access Policy и затем IP Packet Filters.
  5. Перейдите в меню Action menu, выберите опцию New и затем Packet Filter
  6. Выберите имя фильтра, режим (разрешать или блокировать трафик) и где данный фильтр должен быть применен.

Леонард Лоро, MCSE, MCSD, ISS, MCT, CCNA.