Протоколы

В составе Microsoft ISA Server 2006 существует набор предустановленных протоколов, которые могут быть полезны при создании правил доступа и правил публикации серверов.

Можно расширить этот набор протоколов, создав новые протоколы с помощью диспетчера ISA Server. Пользовательские протоколы можно редактировать и удалять. В отношении протоколов, предустановленных в ISA Server, удаление и редактирование не допускается. Протоколы, устанавливаемые с фильтрами приложений, можно изменять, но нельзя удалять. В то же время, протокол можно настроить так, чтобы к нему не применялся фильтр приложения. Дополнительные инструкции см. в разделе Фильтры приложений и протоколы.

При создании протокола нужно указать следующие параметры:

Тип протокола. Возможные параметры: TCP, UDP, ICMP или IP-уровень.
Направление. Параметры для UDP: Отправить, Принять, Отправить Получить, Получить Отправить. Параметры для TCP: Входящий, Исходящий. Для ICMP и IP-уровня: Отправить, Отправить Получить.
Диапазон портов. Для TCP и UDP: диапазон портов от 1 до 65535, применяемый при первоначальном подключении.
Номер протокола. Для протоколов IP-уровня: число от 0 до 254.
Свойства ICMP. Для ICMP: код и тип ICMP.
(Дополнительно) Дополнительные подключения. Диапазон портов, типы протоколов и направления, применяемые при дополнительных подключениях и при передаче пакетов после первоначального подключения. Можно настроить одно или несколько дополнительных подключений.

Примечание

Настроить дополнительные подключения для основных протоколов IP-уровня нельзя.

Инструкции см. в разделе Создание протокола.

Протоколы уровня предприятия

Только для выпуска ISA Server 2006 Enterprise Edition

Создавать и изменять протоколы уровня предприятия имеют право только администраторы предприятий. Протоколы уровня предприятия применяются в правилах доступа уровней массива и предприятия. Протоколы уровня массива могут быть задействованы только в правилах доступа для соответствующего массива.

В ISA Server предусмотрен широкий набор протоколов уровня предприятия.

Порты

К одному порту может быть привязано несколько протоколов.

При создании правила, запрещающего доступ к тому или иному протоколу, обязательно включите в список исключений все протоколы, привязанные к соответствующему порту. В качестве альтернативы можно создать правило, запрещающее доступ по какому-либо из протоколов, связанных с данным портом, и поместить его перед правилом доступа.

Рассмотрим пример реализации этого сценария. Если создается протокол, который предполагается включить в правило запрета на доступ к вирусу, не создавайте правило доступа, разрешающее доступ ко всему, за исключением этого нового протокола. Вместо этого создайте правило, явно запрещающее доступ к новому протоколу. Поместите это правило перед любыми другими правилами доступа, разрешающими доступ по другим протоколам через тот же порт, к которому привязан новый протокол.

Направление

ISA Server использует направление протокола, чтобы указать, что трафик считается исходящим или входящим.

В правилах доступа направление протокола обычно определяется как исходящее. Таким способом разрешается передача трафика из сетевых объектов, указанных как источники правила (От), к сетевым объектам, указанным как пункты назначения правила (Куда). Обычно это означает, что клиентам сети под управлением ISA Server разрешается отправлять данные другим сетевым объектам и во внешние сети — в частности, в Интернет.

В правилах публикации серверов определение протокола должно быть определено как входящее. В таком случае разрешается передача трафика из сетевых объектов, указанных как сетевые источники, на опубликованную службу на сервере.

В правилах публикации серверов предустановленные протоколы обозначаются суффиксом "Server". К примеру, протокол DNS Server обеспечивает передачу запросов для DNS-служб на опубликованный DNS-сервер. При настройке протоколов для публикации серверов суффикс не нужен. В то же время, направление протокола должно быть определено как входящее.

Фильтры приложений и протоколы

В определениях протоколов с прикрепленными фильтрами приложений, как правило, нет предустановленных дополнительных подключений. Описание процесса приводится ниже:

Клиент устанавливает основное подключение к серверу в Интернете.
Компьютер ISA Server уведомляет фильтр об установленном соединении.
Фильтр исследует данные, проходящие через основное подключение, и определяет, какое дополнительное подключение нужно клиенту.
Фильтр указывает компьютеру ISA Server на это дополнительное подключение, и компьютер разрешает его.
Компьютер ISA Server открывает порт, указанный фильтром приложений.

Некоторые фильтры приложений создают и устанавливают новые протоколы. Такие протоколы считаются сложными, так как в них предусматриваются дополнительные подключения. Путем трансляции портов, применяемых этими сложными протоколами, фильтр приложений разрешает применение протоколов и передачу данных по ним. Основные подключения в этих протоколах действуют вне зависимости от того, включен фильтр приложений или нет.

Другие фильтры приложений фильтруют трафик существующих протоколов — пользовательских или предустановленных в ISA Server. Отключение таких фильтров приложений не приводит к отключению протоколов, за фильтрацию трафика которых они ответственны. Например, даже если фильтр SMTP будет отключен, передача данных по этому протоколу продолжится (без фильтрации).

Трафик того или иного протокола можно контролировать путем назначения сразу нескольких фильтров приложений. К примеру, фильтр приложений веб-прокси контролирует трафик HTTP. В случае отключения фильтра приложений веб-прокси веб-фильтры не будут применяться в отношении трафика, который соответствует данному правилу.

Инструкции см. в разделе Назначение фильтра приложений для протокола.

Протоколы RPC

При установке ISA Server определяется протокол исходящего трафика RPC. В определении этого протокола используются все интерфейсы UUID.

Можно создать правила доступа, разрешающие использование этого определения исходящего протокола RPC. Это позволит клиентам внутри сети обращаться к внешним ресурсам по протоколу RPC. Например, можно разрешить клиентам внутренней сети доступ к внешнему Exchange-серверу. Подобным же образом можно создать определения исходящего протокола RPC и использовать их в правилах доступа, тем самым предоставляя клиентам внутри сети доступ к внешним ресурсам.

Исходящие протоколы RPC можно настроить для каждого правила в отдельности, что позволяет обеспечить строгую совместимость RPC. По умолчанию для протоколов RPC строгая совместимость требуется. При строгой совместимости передача данных по протоколам типа RPC (например DCOM) через ISA Server запрещается.

При установке ISA Server для обработки входящих запросов по умолчанию даются два определения протокола RPC:

Все серверы RPC. Если в правиле публикации сервера это определение протокола разрешено, ISA Server отображает любые входящие запросы RPC на опубликованный RPC-сервер. Если идентификатор UUID зарегистрирован на RPC-сервере, доступ к процедуре предоставляется. Если идентификатор UUID не зарегистрирован на RPC-сервере, запрос отбрасывается.
Exchange-сервер RPC. Перечень интерфейсов UUID, применяемых с Exchange, должен быть приведен в определении протокола RPC. Это определение протокола можно использовать в правилах публикации серверов, чтобы разрешить или запретить доступ к тем или иным функциям Exchange.

Протокол RPC (для любых интерфейсов) определен для исходящих запросов.

Можно создать дополнительные определения протокола RPC. С помощью мастера можно выбрать интерфейсы UUID из списка интерфейсов, доступных на RPC-сервере. Кроме того, можно определить интерфейсы вручную. Если в определении протокола RPC для входящей передачи не указано ни одного интерфейса, правила публикации серверов, разрешающие это определение протокола, не будут пропускать никакой трафик.

После создания определений протокола RPC для входящего трафика их можно задействовать в правиле публикации сервера.

Категории протоколов

В инструментарии протоколы классифицируются по функциональным группам. Эти категории упрощают выбор подходящих протоколов для конкретных случаев. Некоторые протоколы приводятся сразу в нескольких категориях. В категории "Все протоколы" перечислены все существующие протоколы. Пользовательские протоколы указываются в категории "Пользовательские".

Категория протоколов	Описание
Инфраструктура	К этой категории причислены протоколы, применяемые для решения общих инфраструктурных задач в сети — в частности, для назначения адресов (DHCP), сопровождения службы каталогов Active Directory (LDAP) и разрешения имен (DNS).
Почта	В этой категории сгруппированы протоколы, применяемые почтовыми серверами: SMTP, IMAP4, POP3 и другие.
Обмен мгновенными сообщениями	К этой категории относятся протоколы, необходимые для программ обмена мгновенными сообщениями (таких как MSN Messenger, ICQ, H.323 и др.).
Удаленный терминал	В этой категории указываются протоколы, обеспечивающие возможность удаленного управления: RDP, Telnet и другие.
Поток мультимедиа	Эта категория содержит протоколы потоковой передачи мультимедийных данных — в частности, MMS и RTSP.
VPN и IPsec	Эта категория объединяет протоколы, применяемые для организации VPN-соединений: IKE Client, IKE Server, L2TP и другие.
Веб	В этой категории содержатся протоколы, применяемые для доступа к веб-узлам: HTTP, HTTPS, FTP и др. При создании правил веб-публикации протоколы можно выбирать только из этой группы.
Проверка подлинности	В этой категории указываются протоколы проверки подлинности — в частности, RADIUS, RSA SecurID и Kerberos.
Протоколы сервера	Эта категория объединяет протоколы сервера, применяемые в правилах публикации серверов: RPC Server, Microsoft SQL Server, FTP Server и другие.

Полный список протоколов, с которыми работают продукты и субкомпоненты Microsoft Windows, приведен в разделе Service overview and network port requirements for the Windows Server system (Обзор служб и требований к сетевым портам в системе Windows Server) на веб-узле Microsoft Help and Support (Справка и поддержка Microsoft) (http://www.microsoft.com/).

Получить последнее содержимое ISA Server на веб-узле с рекомендациями для ISA Server(http://www.microsoft.com/).

Отправить замечания или отзыв об этой странице.

Перевести на английский