ISA Server 2004 в подлиннике

Т. Шиндер Д. Шиндер

Глава 1 Эволюция брандмауэра: от Proxy 10 до ISA 2004
1
О чем эта книга и для кого предназначена 2
О чем эта книга 3
Для кого предназначена эта книга 12
Безопасность: восходящая звезда 14
Безопасность: какое отношение к ней имеет корпорация Microsoft? 15
Безопасность: подход, основанный на политике 19
Безопасность: многоуровневый подход 30
Брандмауэры: стражи у ворот 32
Брандмауэры: история и философия 33
Брандмауэры: основы архитектуры 34
Брандмауэры: свойства и функции 39
Брандмауэры: их роль и размещение в сети 50
ISA Server: от прокси-сервера до полнофункционального брандмауэра 51
Предвестник ISA: MS Proxy Server 51
ISA: личное представление 62
Резюме 63
Глава 2. Изучение функциональных возможностей ISA Server 2004
67
Новый GUI: больше, чем просто приятный интерфейс 68
Изучение графического интерфейса 69
Изучение узлов управления 71
Старые функции обретают новые возможности 87
Усовершенствованные и улучшенные механизмы удаленного управления 87
Улучшенные функции брандмауэра 94
Улучшенные функции создания виртуальных частных сетей и удаленного доступа 102
Расширенная и улучшенная функциональность Web&кэша и Web&прокси 104
Расширенные и улучшенные возможности мониторинга и создания отчетов 108
Новые функции 113
Поддержка нескольких сетей 113
Новые функции фильтрации на уровне приложения (ALF) 114
Контроль изолирования VPN&подключений 118
Отсутствующие функции: удалены, но не забыты 120
Разбиение потоковых данных 121
Шлюз Н323 121
Контроль пропускной способности 122
Активное кэширование 122
Выводы 123
Краткое резюме по разделам 124
Часто задаваемые вопросы 128
Глава 3 Рейтинг брандмауэров и место в нем ISA Server 2004
133
Параметры сравнения брандмауэров 134
Стоимость работы брандмауэра 137
Спецификации и функции 143
Сравнение ISA Server 2004 с другими брандмауэрами 151
Параметры сравнения ISA Server 2004 152
Сравнение брандмауэров ISA Server 2004 и Check Point 173
Сравнение брандмауэров ISA Server 2004 и Cisco PIX 178
Сравнение брандмауэров ISA Server 2004 и NetScreen 184
Сравнение брандмауэров ISA Server 2004 и SonicWall 190
Сравнение брандмауеров ISA Server 2004 и WatchGuard 198
Сравнение брандмауеров ISA Server 2004
и промышленного брандмауэра Symantec 205
Сравнение брандмауэров ISA Server 2004 и Blue Coat SG 212
Сравнение брандмауеров ISA Server 2004
с бесплатными брандмауэрами 216
Выводы 219
Сравнение архитектуры 222
Сравнение функциональности 223
Сравнение цен 223
Краткое резюме по разделам 224
Часто задаваемые вопросы 230
Глава 4 Конфигурация сетей в среде ISA Server
2004
и подготовка сетевой инфраструктуры 235
Сети с брандмауэром ISA и тактика защиты 236
Многоуровневая защита 237
Заблуждения, связанные с брандмауэром ISA 249
Почему брандмауэр ISA нужно размещать перед ценными ресурсами 256
Улучшенная топология сети и брандмауэра 257
План конфигурирования сети с ISA Server 2004
в концепции Тома и Деб Шиндеров 259
Создание виртуальной машины ISALOCAL 262
Определение сетей и отношений между ними с точки зрения брандмауэров ISA 276
ISA Server 2004: возможности при работе с несколькими сетями 280
Брандмауэр ISA: сети по умолчанию 282
Создание новых сетей 296
Контроль маршрутизации с помощью сетевых правил 299
Сетевые объекты брандмауэра ISA 2004 302
Сетевые шаблоны брандмауэра ISA 316
Динамическое присваивание адреса на внешнем интерфейсе брандмауэра ISA 336
Поддержка коммутируемых соединений для брандмауэров ISA, в том числе VPN&подключения к интернет&провайдеру 337
Сетевой сценарий «сеть в Сети» (расширенная настройка брандмауэра ISA) 342
Создание цепочек Web-прокси как форма сетевой маршрутизации 350
Создание цепочек брандмауэров как форма сетевой маршрутизации 359
Настройка брандмауэра ISA в качестве DHCP-сервера 359
Резюме 361
Краткое резюме по разделам 362
Часто задаваемые вопросы 365
Глава 5 Типы клиентов ISA Server
2004
и автоматизация настройки клиентов 367
Типы клиентов ISA Server 2004 368
Клиент SecureNAT ISA Server 2004 370
Разрешение имен для клиентов SecureNAT 379
Клиент брандмауэра ISA Server 2004 383
Клиент Web&прокси ISA Server 2004 409
Конфигурирование ISA Server 2004 с клиентами разных типов 419
Выбор типа клиента ISA Server 2004 421
Автоматизация инициализации клиента ISA Server 2004 423
Настройка DHCP&серверов для поддержки автоматического обнаружения клиента Web&прокси и клиента брандмауэра 424
Конфигурирование DNS&серверов для поддержки автоматического обнаружения клиента Web&прокси и клиента брандмауэра 435
Автоматизация установки клиента брандмауэра 443
Конфигурирование клиента брандмауэра и клиента Web&прокси в консоли управления ISA 444
Установка программного обеспечения с помощью групповой политики 449
Сценарий установки без вмешательства пользователя 452
SMS&сервер 452
Выводы 453
Краткое резюме по разделам 455
Часто задаваемые вопросы 458
Глава 6 Установка и конфигурирование брандмауэра ISA
461
Задачи и анализ действий перед установкой брандмауэра ISA 462
Системные требования 462
Настройка таблицы маршрутизации 464
Размещение DNS&сервера 465
Конфигурирование сетевых интерфейсов брандмауэра ISA 468
Автоматизированная установка 472
Установка служб терминалов в режиме администрирования 474
Установка брандмауэра ISA «с нуля» на компьютере с несколькими сетевыми адаптерами 475
Стандартная конфигурация брандмауэра ISA после установки 481
Настройка системной политики после установки брандмауэра ISA 483
Установка обновления брандмауэра ISA 491
Установка брандмауэра ISA на компьютере с одним сетевым адаптером (брандмауэр ISA с одним сетевым интерфейсом) 492
Конфигурирование брандмауэра ISA для быстрого старта 495
Конфигурирование сетевых интерфейсов брандмауэра ISA 497
Установка и конфигурирование DNS&сервера на брандмауэре ISA 500
Установка и конфигурирование DHCP&сервера на брандмауэре ISA 506
Установка и конфигурирование программного обеспечения ISA Server 2004 510
Конфигурирование компьютеров внутренней сети 522
Улучшение базовой конфигурации брандмауэра ISA и базовой операционной системы 525
Зависимость брандмауэра ISA от служб 526
Требования к службам для выполнения распространенных задач на брандмауэре ISA 528
Роли клиента для брандмауэра ISA 531
Административные роли и полномочия брандмауэра ISA 532
Режим блокировки 534
Ограничения соединений 535
Предотвращение атак имитации соединения на DHCP 538
Резюме 541
Краткое резюме по разделам 541
Часто задаваемые вопросы 543
Глава 7. Создание и применение политики доступа в брандмауэре ISA Server 2004
547
Введение 548
Элементы правил доступа брандмауэра ISA 551
Протоколы 551
Наборы пользователей 552
Типы содержимого 554
Часы работы или расписание 559
Сетевые объекты 560
Конфигурирование правил доступа для исходящих соединений через брандмауэр ISA 560
Страница Rule Action 561
Страница Protocols 561
Страница Access Rule Sources 564
Страница Access Rule Destinations 565
Страница User Sets 565
Свойства правила доступа 567
Команды контекстного меню правила доступа 575
Настройка RPC&политики 576
Настройка FTP&политики 577
Настройка HTTP&политики 578
Расстановка и упорядочивание правил доступа 578
Как препятствовать регистрации в журнале соединений для выбранных протоколов 579
Запрет автоматических соединений Web&прокси для клиентов SecureNAT 581
Использование сценариев для заполнения наборов имен доменов 582
Расширение диапазона портов туннелирования SSL&соединения для Web&доступа к дополнительным SSL&портам 590
Исключение петель через брандмауэр ISA для соединения с внутренними ресурсами 593
Появление анонимных запросов в журнале регистрации соединений, даже при обязательной аутентификации, заданной для Web&доступа (HTTP&соединений) 594
Блокирование протокола MSN Messenger с помощью правила доступа 595
Разрешение исходящего доступа по протоколу MSN Messenger через Web&прокси 598
Изменения политики брандмауэра ISA влияют только на новые соединения 599
Создание и конфигурирование трехадаптерной сети DMZ с общедоступными адресами 601
Настройка таблицы маршрутизации на предшествующем брандмауэру маршрутизаторе 607
Конфигурирование сетевых адаптеров 608
Разрешение внутридоменных соединений через брандмауэр ISA 625
Резюме 635
Краткое резюме по разделам 636
Часто задаваемые вопросы 640
Глава 8. Публикация сетевых служб в Интернете с помощью ISA Server 2004
643
Обзор публикаций Web-серверов и серверов 644
Правила публикации Web&сервера 644
Правила публикации сервера 652
Создание и настройка правил публикации Web-сервера по протоколу, отличному от SSL 655
Страница Select Rule Action 656
Страница Define Website to Publish 657
Страница Public Name Details 659
Страница Select Web Listener и создание Web&приемника для протокола HTTP 661
Страница User Sets 670
Диалоговое окно Properties правила публикации Web&сервера 671
Создание и настройка правил публикации Web-сервера по протоколу SSL 687
Сопряжение протокола SSL 688
Импорт сертификатов Web&сайтов в хранилище сертификатов на компьютере брандмауэра ISA 694
Запрос сертификата пользователя для представления его брандмауэром ISA защищенным Web&сайтам 696
Создание правила публикации Web&сервера по протоколу SSL 700
Создание правил публикации сервера 711
Публикация HTTP&сайтов с помощью правил публикации сервера 722
Оглавление XIX Создание правил публикации почтового сервера 724
Вариант Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync 726
Вариант Client Access: RPC, IMAP, POP3, SMTP Option 729
Резюме 731
Краткое резюме по разделам 732
Часто задаваемые вопросы 734
Глава 9. VPN-соединения удаленного доступа и конфигурации «узел-в-узел» в брандмауэре ISA Server 2004
737
Обзор использования VPN брандмауэром ISA 738
Политика брандмауэра, применяемая к соединениям VPN&клиентов 739
Политика брандмауэра, применяемая к VPN&соединениям конфигурации узел&в&узел 742
VPN&карантин 743
Отображение пользователей для VPN&клиентов 743
Поддержка клиентов SecureNAT для VPN&соединений 744
VPN конфигурации узел&в&узел с применением туннельного режима протокола IPSec 746
Публикация VPN&серверов по протоколу PPTP 747
Поддержка аутентификации секретным ключом в VPN&соединениях по протоколу IPSec 748
Улучшенное назначение сервера имен для VPN&клиентов 749
Мониторинг соединений VPN&клиентов 750
Создание VPN-сервера удаленного доступа по протоколу PPTP 751
Включение VPN&сервера 751
Создание правила доступа, предоставляющего VPN&клиентам доступ к разрешенным ресурсам 761
Разрешение удаленного доступа по телефонной линии 763
Тестирование VPN&соединения по протоколу PPTP 767
Создание VPN-сервера удаленного доступа по протоколу L2TP/IPSec 769
Обеспечение сертификатами брандмауэра ISA 2004 и VPN&клиентов 769
Тестирование VPN&соединения по протоколу L2TP/IPSec 776
Мониторинг VPN&клиентов 777
Использование секретного ключа в соединениях VPN&клиентов удаленного доступа 779
Создание VPN-соединения «узел-в-узел» по протоколу PPTP 781
Создание удаленной сети в центральном офисе 784
Создание сетевого правила в центральном офисе 787
Создание правил доступа в центральном офисе 789
Создание в центральном офисе учетной записи VPN&шлюза для удаленного доступа по телефонной линии 791
Создание сети удаленного сайта в филиале 793
Создание сетевого правила в филиале 795
Создание правил доступа в филиале 796
Создание в филиале учетной записи VPN&шлюза для удаленного доступа по телефонной линии 798
Активизация каналов конфигурации узел&в&узел 800
Создание VPN-соединения «узел-в-узел» по протоколу L2TP/IPSec 800
Разблокирование правила системной политики на брандмауэре центрального офиса для доступа к ЦС предприятия 802
Запрос и установка сертификата Web&сайта для брандмауэра центрального офиса 803
Конфигурирование брандмауэра ISA центрального офиса для использования канала связи конфигурации узел&в&узел по протоколу L2TP/IPSec 807
Разблокирование правила системной политики брандмауэра филиала для доступа к ЦС предприятия 808
Запрос и установка сертификата Web&сайта для брандмауэра филиала 809
Конфигурирование брандмауэра ISA центрального офиса для использования канала связи конфигурации узел&в&узел по протоколу L2TP/IPSec 811
Установка VPN&соединения конфигурации узел&в&узел по протоколу L2TP/IPSec 812
Настройка секретных ключей для VPN&каналов конфигурации узел&в&узел по протоколу L2TP/IPSec 813
Туннельный режим протокола IPSec в VPN конфигурации «узел-в-узел» с VPN-шлюзами 814
Использование системы RADIUS для VPN-аутентификации и политики удаленного доступа 815
Конфигурирование сервера сервисов интернет&аутентификации (RADIUS) 816
Создание политики удаленного доступа VPN&клиентов 817
Разрешения удаленного доступа и функциональный уровень домена 820
Изменение разрешений в учетной записи пользователя для соединения по телефонной линии 822
Изменение функционального уровня домена 823
Управление доступом с помощью политики удаленного доступа 825
Включение VPN&сервера на брандмауэре ISA и конфигурирование поддержки RADIUS 826
Создание правила доступа, разрешающего доступ VPN&клиентов к санкционированным ресурсам 829
Создание подключения VPN&клиента по протоколу PPTP 831
Применение аутентификации сертификатами пользователя с помощью протокола EAP для VPN-соединений удаленного доступа 833
Настройка программного обеспечения брандмауэра ISA для поддержки EAP&аутентификации 834
Включение отображения пользователей для пользователей, подтверждающих подлинность с помощью протокола EAP 836
Выдача сертификата пользователя компьютеру VPN&клиента удаленного доступа 837
Поддержка исходящих VPN-соединений через брандмауэр ISA 840
Установка и конфигурирование DHCP-сервера и агента ретрансляции DHCP на брандмауэре ISA 844
Создание VPN конфигурации «узел-в-узел» между ISA Server 2000
и брандмауэром ISA 847
Выполнение Local VPN Wizard на ISA Server 2000 849
Изменение пароля в учетной записи для удаленного VPN&пользователя 852
Изменение верительных данных, используемых брандмауэром ISA Server 2000
для соединения с центральным офисом по телефонной линии 853
Изменение параметров простоя интерфейса по требованию VPN&шлюза ISA Server 2000 853
Создание пула статических адресов для VPN&клиентов и шлюзов 854
Выполнение Remote Site Wizard на брандмауэре ISA в центральном офисе 855
Создание сетевого правила, определяющего маршрутную связь между центральным офисом и филиалом 857
Создание правил доступа, разрешающих трафик из центрального офиса в филиал 858
Создание учетной записи пользователя для удаленного VPN&маршрутизатора 860
Тестирование соединения 861
Заметки о VPN-карантине 861
Резюме 864
Краткое резюме по разделам 864
Часто задаваемые вопросы 868
Глава 10. Динамическая фильтрация и фильтрация на уровне приложений в брандмауэре ISA Server 2004
871
Введение 872
Фильтры приложений 873
Фильтр SMTP и Message Screener 873
Фильтр DNS 887
Фильтр обнаружения атак на протокол POP 888
Фильтр SOCKS V4 889
Фильтр FTP&доступа 890
Фильтр H323 891
Фильтр MMS 892
Фильтр PNM 893
Фильтр PPTP 893
Фильтр RPC 893
Фильтр RTSP 894
Web-фильтры 894
HTTP&фильтр 894
Транслятор ссылок ISA Server 921
Фильтр Web&прокси 927
Фильтр SecurID 928
OWA&фильтр аутентификации, основанной на формах 929
Фильтр RADIUS&аутентификации 930
IP-фильтрация и обнаружение/предупреждение вторжения 930
Обнаружение и предотвращение типовых атак 930
Обнаружение и предотвращение DNS&атак 939
Фильтрация IP&параметров и IP&фрагментов 941
Резюме 943
Краткое резюме по разделам 943
Часто задаваемые вопросы 944
Глава 11. Повышение скорости доступа в Интернет с помощью функции кэширования ISA Server 2004
947
Базовые понятия кэширования 948
Типы Web&кэширования 949
Структуры Web&кэширования 951
Протоколы Web&кэширования 953
Основные возможности Web-кэширования ISA Server 2004 954
Применение функции кэширования 955
Описание правил кэширования 956
Описание функции загрузки содержимого 958
Конфигурирование ISA Server 2004 как сервера кэширования 961
Активизация и конфигурирование кэширования 961
Конфигурирование свойств кэширования 963
Создание и настройка правил кэширования 966
Конфигурирование загрузок содержимого из Интернета 977
Резюме 988
Краткое резюме по разделам 989
Часто задаваемые вопросы 990
Глава 12 Применение ISA Server
2004
для наблюдения, ведения журналов и создания отчетов 995
Введение 996
Инструментальная панель ISA Server 2004 997
Разделы инструментальной панели 998
Настройка и конфигурирование инструментальной панели 1005
Создание и конфигурирование оповещений ISA Server 2004 1005
События, вызывающие оповещения 1006
Просмотр предопределенных оповещений 1008
Создание нового оповещения 1009
Изменение оповещений 1014
Просмотр инициированных оповещений 1015
Наблюдение за связями, сеансами и службами в ISA Server 2004 1017
Конфигурирование связей и наблюдение за ними 1017
Наблюдение за сеансами 1025
Наблюдение за службами 1030
Работа с журналами и отчетами в ISA Server 2004 1031
Журналы ISA Server 2004 1031
Создание, просмотр и публикация отчетов с помощью ISA Server 2004 1042
Использование монитора производительности в ISA Server 2004 1050
Краткое резюме по разделам 1056