Политика межсетевого экрана: принципы

В данном разделе представлен краткий обзор политики межсетевого экрана Microsoft ISA Server 2006.

Для получения дополнительных сведений о политике межсетевого экрана ISA Server см. документ с рекомендациями по использованию политики межсетевого экрана для ISA Server на веб-узле Microsoft TechNet. (http://www.microsoft.com/)

Как работает политика межсетевого экрана

Используя ISA Server 2006, можно создавать политику межсетевого экрана, которая включает набор правил публикации и правил доступа. Данные правила, совместно с сетевыми правилами, определяют, как клиенты получают доступ к ресурсам сетей.

Исходящие запросы

Одной из основных функций ISA Server является создание подключения между сетью источника и сетью назначения, защищенного при этом от несанкционированного доступа. Чтобы упростить это подключение, с помощью сервера ISA Server создайте политику доступа, которая разрешает клиентам из исходной сети получать доступ к определенным компьютерам в сети назначения. Политика доступа определяет, как клиенты получают доступ к другим сетям.

Когда ISA Server обрабатывает исходящий запрос, он проверяет сетевые правила и правила политики межсетевого экрана для определения, разрешен ли доступ. Для запросов клиентов веб-прокси или HTTP сетевые правила игнорируются. Заметьте, что если веб-прокси отключен, потребуется сетевое правило.

Некоторые правила можно настроить для применения к определенным клиентам. В этом случае клиентов можно указать по IP-адресу или по имени пользователя. ISA Server обрабатывает запросы по-разному, в зависимости от типа клиентов, запрашивающих объект, и настроек ISA Server.

Сначала ISA Server проверяет сетевые правила, чтобы убедиться, что две сети подключены. Если сетевые правила определяют подключение между сетью источника и назначения, ISA Server обрабатывает правила политики доступа.

Затем ISA Server по очереди проверяет правила доступа. Если к запросу применяется разрешающее правило, ISA Server разрешает запрос. А именно, ISA Server применяет правило, если запрос удовлетворяет следующим условиям правила, проверяя элементы правила в данном порядке:

1. Протокол
2. Исходный адрес и порт
3. Расписание
4. Адреса назначения, имена, URL-адреса
5. Пользователи
6. Группы содержимого

После применения правила ISA Server не проверяет запрос на соответствие другим правилам и останавливает проверку правил. Впоследствии ISA Server может запретить запрос, в зависимости от дополнительных фильтров протоколов, применяемых к правилу.

Наконец, ISA Server заново проверяет сетевые правила, чтобы определить, как подключены сети. ISA Server проверяет правила веб-цепочки (если объект запросил клиент веб-прокси) или настройки последовательного соединения межсетевых экранов (если объект запросил клиент SecureNAT или клиент межсетевого экрана) для определения, как будет выполняться запрос.

Например, предположим, что ISA Server установлен на компьютер с двумя сетевыми платами: одна подключена к Интернету, а другая подключена к локальной сети. Имеются разрешающие корпоративные инструкции, которые разрешают для всех пользователей доступ ко всем узлам. В данном случае политика будет состоять из следующих правил политики доступа:

• Сетевое правило, которое устанавливает связь между сетью источника (локальной сетью) и сетью назначения (Интернет).
• Правило доступа, которое разрешает всем внутренним клиентам иметь доступ ко всем узлам в любое время при помощи любого протокола.

Правила доступа, которые запрещают трафик, обрабатываются перед правилами публикации. Если запрос подпадает под правило доступа, запрос будет запрещен, даже если правило публикации разрешило запрос.

Входящие запросы

ISA Server может предоставить безопасный доступ к серверам для клиентов из других сетей. Сервер ISA Server используется для создания политики публикации для безопасной публикации серверов. Политика публикации, которая состоит из правил веб-публикации, правил публикации серверов, правил безопасных веб-публикаций и правил публикации почтовых серверов, наряду с правилами веб-цепочки, определяет, как предоставляется доступ к опубликованным серверам.

Для публикации серверов можно использовать одно из следующих правил ISA Server:

• Правила веб-публикации. Для публикации содержимого веб-сервера.
• Правила публикации серверов. Для публикации любого другого содержимого.
• Защита серверов веб-публикаций. Для публикации SSL-содержимого.

Когда ISA Server обрабатывает запрос HTTP или HTTPS от клиента, он проверяет правила публикации и правила веб-цепочки для определения, разрешен ли запрос, и какой сервер будет обслуживать запрос.

Для не HTTP-запросов ISA Server проверяет сетевые правила, а затем проверяет правила публикации для определения, разрешен ли запрос.

Для входящих веб-запросов правила обрабатываются в следующем порядке:

1. Правила веб-публикации.
2. Правила веб-цепочки. Дополнительные сведения см. в разделе Правила веб-цепочки.

Например, рассмотрим случай, когда ISA Server установлен на компьютере с двумя сетевыми платами: одна подключена к Интернету, а другая подключена к локальной сети. Применяется следующее:

1. Если правило веб-публикации специально запрещает запрос, запрос запрещается.
2. Если правило веб-цепочки указывает, что запросы необходимо маршрутизировать на определенный вышестоящий сервер или на другой размещенный веб-узел, запрос обрабатывает указанный сервер.
3. Если правило веб-цепочки указывает, что запросы необходимо маршрутизировать на указанный сервер, внутренний веб-сервер возвращает объект.

Правила веб-публикации и правила веб-цепочки

Правила веб-публикации обрабатываются по порядку. Правила веб-цепочки также обрабатываются по порядку.

Когда внешний клиент запрашивает объект с внутреннего веб-сервера, правила обрабатываются в следующем порядке:

1. Правила веб-публикации
2. Правила веб-цепочки

Например, рассмотрим следующие правила:

• Правило веб-публикации, которое перенаправляет запросы от всех клиентов для widgets.microsoft.com на размещенный веб-узел (веб-сервер), указанный как msweb.
• Правило веб-цепочки, которое маршрутизирует запросы для назначения, которые содержат msweb, обрабатывая их напрямую.

Когда внешний (Интернет) пользователь запрашивает объект с widgets.microsoft.com, ISA Server перехватывает запрос. Сначала он обрабатывает правило веб-публикации, определяя, что запрос будет перенаправлен на компьютер msweb. Затем он обрабатывает правило веб-цепочки, определяя, что запрос будет обслужен непосредственно указанным сервером (msweb).

В следующем примере показано, что происходит при создании правила веб-публикации, не создавая соответствующего правила веб-цепочки:

• Правило веб-публикации, которое перенаправляет запросы от всех клиентов набору назначения, которое включает example.microsoft.com, на размещенный веб-узел, который называется myinternalms.
• Правило веб-цепочки, которое маршрутизирует запросы для всех пунктов назначения на вышестоящий сервер.

В данном случае правило веб-публикации обрабатывается первым. Все запросы example.microsoft.com перенаправляются на myinternalms. Однако правило веб-цепочки определяет, что запрос будет маршрутизироваться на вышестоящий сервер (а не пересылаться напрямую на сервер назначения). Запрос всегда будет маршрутизироваться на вышестоящий сервер.

Как ISA Server проверяет имена

Когда клиент посылает HTTP-запрос, это может быть имя, полное доменное имя или IP-адрес. ISA Server обрабатывает эти запросы по-разному.

Если HTTP-запрос использует имя веб-узла (например http://www.fabrikam.com), ISA Server опознает имя в запросе и выполняет прямое разрешение имен через DNS-сервер для получения полного доменного имени, псевдонимов и IP-адресов, связанных с данным именем. В результате ISA Server имеет доступное имя узла, полное доменное имя, псевдонимы и IP-адреса для сравнения с требованиями правила доступа. Любой из этих элементов может быть проверен на соответствие правилу, в зависимости от того, какой элемент используется в правиле.

В примере www.fabrikam.com на соответствие правилу доступа могут быть проверены следующие элементы:

• Имя: www.fabrikam.com
• Полное доменное имя: fabrikam.com
• IP-адреса: 207.46.250.119, 207.46.130.108

Если HTTP-запрос использует IP-адрес, ISA Server сначала проверяет правила, чтобы убедиться, что IP-адрес подпадает под какое-либо правило. Если во время этого процесса сервер ISA Server обнаружит правило, требующее имени, он выполняет обратное разрешение имен, чтобы получить полное доменное имя для данного IP-адреса. ISA Server может сравнить полное доменное имя с определениями правил доступа.

Если при обратном разрешении имени происходит ошибка, при сравнении с определениями правила используется только исходный IP-адрес.

Примечание

• Когда клиент SecureNAT запрашивает узел по имени, ISA Server сначала проверяет, что содержимое заголовка узла не маскирует несвязанный IP-адрес, запрошенный клиентом. Если проверка завершается успешно, процесс продолжается в обычном порядке как для клиента веб-прокси.

Проверка подлинности

При обработке правил, требующих проверки подлинности, ISA Server требует предоставления учетных данных клиентом. Если клиент не может предоставить учетные данные, запрос отбрасывается перед применением правил. Это означает, что запросы от клиентов SecureNAT будут отбрасываться, если применяемое правило требует проверки подлинности.

Правила на уровне предприятия могут также быть настроены для требования проверки подлинности. Когда политика предприятия, включающая такие правила, применяется к массиву, все клиенты межсетевого экрана должны предоставлять учетные данные.

---

Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server. Отправить замечания или отзыв об этой странице.

• Перевести на английский