Лучшие решения по обеспечению безопасности при управлении предприятием
Сервер Microsoft ISA Server 2006 предоставляет
многоуровневую архитектуру, в которой данные о конфигурации
хранятся на сервере хранилища настроек. Члены массива
связываются с сервером хранилища настроек для получения актуальных
данных о конфигурации. Кроме того, члены массива взаимодействуют
между собой. Чтобы обеспечить безопасность данной модели
развертывания, используйте лучшие решения, приведенные в данном
разделе. Кроме того, для обеспечения безопасности компьютеров с
запущенными службами ISA Server, выполняйте рекомендации,
приведенные в разделе Лучшие решения по обеспечению безопасности. Также
рекомендуется ознакомиться с документом Инструкции по усилению
безопасности ISA Server, доступным на веб-узле Microsoft
TechNet(http://www.microsoft.com/), так как он
регулярно обновляется новой информацией.
Обеспечение безопасности сервера хранилища настроек
Чтобы обеспечить безопасность сервера хранилища настроек,
следуйте приведенным ниже рекомендациям.
Сервер хранилища настроек рекомендуется установить на
выделенном компьютере, который не используется для других
задач.
Примите необходимые меры по обеспечению безопасности сервера
хранилища настроек. Убедитесь в физической защищенности данного
компьютера.
После создания ролей администратора избегайте выполнения любых
действий на сервере хранилища настроек. Изменения сервера хранилища
настроек должны выполняться при использовании учетных данных
администратора предприятия на компьютере массива ISA Server или
компьютере удаленного управления.
Пользователи, принадлежащие группе администраторов сервера
хранилища настроек, фактически обладают разрешениями администратора
предприятия. Это связано с тем, что они могут напрямую изменять
любые данные на сервере хранилища настроек.
Не рекомендуется размещать сервер хранилища настроек на границе
сети. Вместо этого его следует разместить за компьютером с
запущенными службами ISA Server, который поможет защитить от
потенциальных атак.
Обеспечения безопасности взаимодействия внутри массива
Чтобы обеспечить безопасность взаимодействия внутри массива,
следуйте представленным ниже рекомендациям.
Во время установки для каждого члена массива создается закрытый
и открытый ключ. Данные ключи используются для передачи
конфиденциальных данных между членами массива. Если вы думаете, что
ключи были раскрыты, создайте новую пару ключей, удалив и
переустановив ISA Server.
Рекомендуется использовать выделенную сетевую плату в сети,
используемой только для взаимодействия внутри массива. Данная сеть
должна включать адреса внутри массива всех члена массива .
Дополнительные сведения см. в разделе Настройка безопасного
взаимодействия внутри массива.
При включении балансировки сетевой нагрузки маршрутизатор
разместите перед массивом с балансировкой сетевой нагрузки.
Настройте маршрутизатор на блокирование трафика Raw IP. В противном
случае все члены массива будут обрабатывать данный трафик
одновременно.
После включения служба балансировки сетевой нагрузки
синхронизует членов массива, взаимодействуя только по протоколу Ethernet. Этот низкоуровневый трафик не
защищен сервером ISA Server. Для защиты данного трафика
настоятельно рекомендуется между Интернетом и массивом с
балансировкой сетевой нагрузки разместить маршрутизатор третьего
уровня. Такой маршрутизатор третьего уровня не пропустит трафик
низкоуровневого протокола Ethernet, тем самым защищая массив от
потенциально вредоносного трафика Ethernet из Интернета,
нацеленного на нарушение работы балансировки сетевой нагрузки.
Протокол CARP (Cache Array Routing Protocol)
При включении протокола CARP выполняйте представленные ниже
рекомендации.
Для взаимодействия по протоколу CARP используйте выделенную
сеть. Настройте для такой сети протокол IPsec.
Сети с поддержкой протокола CARP должны быть доступны только
членам массива.
Получить последнее содержимое ISA Server на
веб-узле с рекомендациями для ISA Server(http://www.microsoft.com/).
Отправить замечания или отзыв об этой странице.