Дюжина вопросов по брандмауэру ISA Firewall

Существуют несколько вопросов, которые изо дня в день повторяются на доске сообщений сервера ISAServer.org и в списках подписчиков. Эти же самые вопросы задают также в общих новостных лентах брандмауэра ISA. Чтобы сэкономить всем уйму времени, я собрал 12 наиболее часто задаваемых вопросов, а также привел свои ответы на них. Я назвал этот список из двенадцати вопросов, касающихся брандмауэра ISA Firewall, грязной дюжиной. Порядок, в котором я представляю эти вопросы, неважен, просто мне так захотелось.

Грязная дюжина вопросов по брандмауэру ISA Firewall

1. Я хочу иметь несколько внешних интерфейсов на моем брандмауэре ISA. Как мне их настроить? Брандмауэр ISA может поддерживать несколько внешних интерфейсов. Однако, лишь один из этих интерфейсов можно настроить для работы в качестве шлюза по умолчанию. Любой другой внешний интерфейс для доступа к удаленным объектам должен использовать информацию из маршрутной таблицы (routing table) брандмауэра ISA. В недалеком прошлом существовало приложение под названием RainConnect, которое вы могли для этого использовать. Теперь, когда RainConnect устарел, вы можете использовать лишь мульти роутер WAN перед брандмауэром ISA Firewall.
2. Мой Yahoo/AOL/MSN/Windows Messenger не работает. Как мне это исправить? Программное обеспечение для обмена мгновенными сообщениями представляют значительную угрозу для вашей сети. Файлы можно передавать через туннели IM, но даже если файлы и не передаются, через туннель IM может пройти значительный объем информации, которую вы не сможете обнаружить или блокировать. Одно из решений данной проблемы заключается в использовании продукта, наподобие Websense, совместно с брандмауэром ISA Firewall. С помощью Websense вы можете контролировать, какие пользователи могут получить доступ к IM туннелю, а такде блокировать определенные приложения. Чтобы ответить на вопрос, IM требуются свои собственные протоколы, и некоторые из них включены в список протоколов по умолчанию, поставляющийся с ISA firewall. Хотя большинство IM разрешают вам использовать компонент Web proxy брандмауэра ISA firewall для доступа к интернет , вы не должны настраивать их на использование Web proxy, т.к. они могут не поддерживать аутентификацию веб прокси (Web proxy authentication). Вместо этого используйте аутентификацию с использованием пользователей/групп, включенную в клиент брандмауэра. Чтобы получить более подробную информацию относительного того, как использовать MSN Instant Messenger, прочитайте Instant Messaging with ISA Server. Для Yahoo и AOL IM вы должны убедиться, что клиент является клиентом брандмауэра, и настроить правило доступа (Access Rule), которое разрешит использовать специфику протоколов этого приложения IM.
3. Я установил Exchange на мой брандмауэр ISA firewall, а OWA/SMTP/POP3/IMAP4/NNTP не посылает/получает? Как мне это исправить? Я не могу достаточно четко выразить, что вы не должны устанавливать дополнительное программное обеспечение на компьютер с брандмауэром ISA firewall. Такие приложения и службы, как Microsoft Office, Microsoft SQL Server, Microsoft Exchange, Microsoft SharePoint Portal Server и любы другие службы или приложения не должны быть установлены и не должны быть запущены на компьютере с брандмауэром ISA. Я также рекомендую не запускать веб браузер (Web browser) на компьютере с брандмауэром ISA firewall. Брандмауэр – это главная точка безопасности вашей сети. Вы же не хотите подвергнуть опасности вашу сетевую безопасность, скомпрометировав брандмауэр и значительно увеличив поверхность атак на него. Установите Exchange на внутренний сетевой сервер и опубликуйте службы OWA/SMTP/POP3/IMAP4 и NNTP с помощью правил публикаций (Publishing Rules).
4. Мое правило публикации Secure Exchange RPC Server Publishing rule и/или мой удавленный вызов процедур Exchange RPC с помощью правила публикации HTTP Web publishing rule не работает. Я сделал все, о чем вы рассказывали в ваших статьях на сайте ISAserver.org. Что не так? Безопасная публикация Secure Exchange RPC и Exchange RPC по HTTP страдают от одной проблемы: недостаточное количество руководств от команды разработчиков Microsoft Exchange, относительно того, как правильно настроить DNS инфраструктуру для поддержки этих решений для удаленного доступа. Вы когда-нибудь задумывались, как клиент Outlook распознает название сервера Exchange Server? Использует ли он лишь NetBIOS имя? Использует ли он FQDN? А, может быть, иногда он использует NetBIOS имя, а иногда FQDN? По-разному ли распознают различные версии Outlook название сервера Exchange Server? Можете ли вы найти эту информацию где-нибудь на веб сайте Microsoft Exchange? Может информация из этой статьи поможет вам -- Troubleshooting slow startup of Outlook and Exchange Clients. А как насчет этой статьи: Exchange Server 2003 and Exchange 2000 Server require NetBIOS name resolution for full functionality? Лучшее решение ваших проблем с безопасной публикацией Exchange RPC и публикацией RPC по HTTP заключается в использовании раздельной DNS инфраструктуры. Раздельная DNS позволяет вам использовать одни и те же имена во внутренней сети и из удаленных мест. Вы можете найти подробную информацию относительно настройки раздельной DNS и клиента Outlook в статье You Need a Split DNS и в статье Supporting ISA Firewall Networks Protecting Illegal Top-level Domains: You Need a Split DNS!
5. На моем клиенте брандмауэра изображена красная стрелка, и он не может обратиться к брандмауэру ISA firewall. В чем здесь дело? Есть несколько причин, по которым клиент брандмауэра не может подключиться к брандмауэру ISA firewall. Самая часта причина заключается в том, что не получается распознать имя. По умолчанию в конфигурации клиента брандмауэра используется NetBIOS имя брандмауэра ISA firewall, и задано, чтобы клиентская машина использовала это имя. Если клиентская машина может правильно квалифицировать это имя, то соединение успешно устанавливается. Если клиент брандмауэра не может правильно распознать это имя, то соединение может не установиться, в зависимости от того, является ли брандмауэр ISA firewall клиентом WINS, и настроена ли при этом клиентская машина на обращение к правильному WINS серверу. В большинстве случаев брандмауэр ISA firewall и клиентская машина принадлежат к одному домену, поэтому клиентская система сможет правильно квалифицировать имя брандмауэра ISA. Однако, бывают обстоятельства, когда брандмауэр ISA firewall не подключают к домену, а настраивают учетные записи пользователей на самом брандмауэре ISA. В этом случае клиентская система по умолчанию не сможет правильно квалифицировать имя NetBIOS брандмауэра ISA, и не сможет установить с ним соединение. В этом случае вы должны настроить на клиентской машине суффикс основного домена (Primary Domain Name Suffix), который позволить правильно квалифицировать NetBIOS название брандмауэра ISA, и это имя должно преобразовываться в IP адрес внутреннего интерфейса брандмауэра ISA. Альтернативой такому решению может служить функциональная инфраструктура WINS.
6. Мне нужно, чтобы имена пользователей отражались в журнальных файлах, а также я хочу контролировать доступ в зависимости от учетной записи пользователя/группы. Я не хочу устанавливать клиент брандмауэра (Firewall Client) или настраивать браузеры для работы в качестве клиентов веб прокси. Что мне делать дальше? Ничего. Чтобы контролировать доступ в зависимости от пользователей или групп или видеть имена пользователей в журнальных файлах брандмауэра и веб прокси, ваши клиенты должны быть клиентами брандмауэра или веб прокси. Клиент веб прокси (Web proxy) – это любая машина, браузер которой настроен на использование брандмауэра ISA firewall в качестве своего веб прокси сервера. Вам не нужно трогать клиентские машины, чтобы сделать их клиентами веб прокси. По умолчанию браузер Internet Explorer настроен на использование автоматического обнаружения (autodiscovery). А когда задано использование автоматического обнаружения, то Internet Explorer будет автоматически искать записи wpad в DNS и/или DHCP, и настроит себя сам. Веб прокси клиент при необходимости пройдет аутентификацию при подключении к ресурсам по HTTP, HTTPS и HTTP туннелированном FTP. Клиент брандмауэра – это любой компьютер с операционной системой Windows, на котором установлено программное обеспечение клиента брандмауэра. Точно также, как и для настройки клиента веб прокси, вам не нужно трогать компьютер для установки и настройки клиента брандмауэра. Вы можете установить программное обеспечение для клиента брандмауэра с помощью политик групп Windows Group Policy. Клиент брандмауэра также может использовать записи wpad для автоматического обнаружения брандмауэра ISA firewall и самонастройки. Клиенты брандмауэра посылают информацию об имени пользователя на брандмауэр, если выполнен Winsock TCP или UDP запрос в интернет. Для получения более подробной информации об автоматической конфигурации клиентов веб прокси и брандмауэра обратитесь к ссылке ISA Server 2000 in Education Kit.
7. Я хочу поставить мой сервер ISA Server между двух брандмауэров и установить одну NIC на брандмауэре ISA firewall. Мне нужны все возможности ISA, включая поддержку клиентов брандмауэра. Как мне это сделать? Хотя такое и возможно, это неподдерживаемая конфигурация. Конфигурация с одной NIC никогда не поддерживалась для клиента брандмауэра. Однако, можно установить брандмауэр ISA с одной NIC в DMZ и настроить публикацию веб и сервера с помощью так называемой 'ISP co-lo Configuration'. Такая конфигурация позволит вам публиковать все протоколы с использованием правил публикация Web и Server Publishing Rules. Однако, я настоятельно рекомендую вам пересмотреть вашу конфигурацию. Брандмауэр ISA – это настоящий сетевой брандмауэр, который обеспечивает наивысший уровень безопасности и контроля доступа, из множества брандмауэров, представленных на сегодняшний день на рынке. Что выжать из брандмауэра ISA по максимуму, вы должны удалить back-end брандмауэр и заменить его брандмауэром ISA. Другой вариант – поставить брандмауэр ISA firewall параллельно с текущим брандмауэром и поставить более безопасные элементы позади брандмауэра ISA firewall, и опубликовать доступные сайты за брандмауэром, фильтрующим пакеты. Такая топология позволяет вам оставить на месте текущий front-end брандмауэр, и полностью использовать безопасности и контроль доступа брандмауэра ISA .
8. Я хочу запустить сервер Web/FTP/NNTP/Quake/Kazaa/Morpheus на моем брандмауэре ISA firewall. Я создал правильные права доступа (Access Rules), но ничего не работает. Почему? Я настоятельно рекомендую вам не устанавливать лишнее программное обеспечение на брандмауэр. Хотя и неплохо установить дополнительное программное обеспечение на брандмауэр ISA для улучшения набора возможностей брандмауэра, недопустимо устанавливать Web сервера, FTP сервера, сервера новостей, Quake сервера, Kaaza сервера или клиентов или любое другое программное обеспечение, не относящееся к брандмауэру. Помните, что брандмауэр – это главная точка безопасности вашей сети. Вы же не хотите подвергнуть опасности вашу сетевую безопасность, скомпрометировав брандмауэр и значительно увеличив поверхность атак на него.
9. Как сделать так, чтобы Internet Explorer/Outlook Express/Hello Kitty работал на брандмауэре ISA firewall? Я попытался создать фильтры пакетов, но брандмауэр ISA не обладает возможностью по фильтрации пакетов. Брандмауэр ISA firewall не имеет явного интерфейса для настройки фильтра пакетов, т.к. проверка пакетов наследуется во всех правилах доступа (Access Rules) брандмауэра ISA firewall. Вам нужно создать правила доступа (Access Rules) для контроля входящего и исходящего доступа от и к самой машине с брандмауэром ISA firewall. Например, вам нужно разрешить исходящий SMTP от брандмауэра ISA firewall, вы можете создать правило доступа SMTP Access Rule из локальной сети (Local Host Network) во внешнюю сеть (External network); такой тип правил требуется, если вы хотите использовать брандмауэр ISA firewall в качестве исходящего SMTP шлюза. Я настоятельно рекомендую не запускать Outlook Express или Hello Kitty на самом брандмауэре ISA по причинам, о которых я упоминал ранее.
10. У меня не работает POP3 и/или FTP. Я не хочу устанавливать клиент брандмауэра. Как мне получить почтовые и FTP файлы? Вам не нужно устанавливать клиента брандмауэра для доступа к POP3 или FTP сайтам в интернет. Единственно требование заключается в том, что клиент должен уметь распознавать имя сервера, необходимого ему для подключения, а также должно существовать правило доступа, которое включает преобразование имен и доступ к протоколам POP3 и/или FTP. Распознавание имени – это частая проблема, т.к. оно по-разному обрабатывается SecureNAT, Web прокси и клиентами брандмауэра. POP3 – это простой протокол, требующий одно соединение по TCP порту 110. FTP, напротив, сложный протокол, требующий повторных соединений с FTP сервером. В этом случае вам либо необходимо установить клиент брандмауэра, или использовать фильтр FTP Access application filter, входящий в состав ISA firewall. Клиенты SecureNAT могут использовать фильтр FTP Access application filter для поддержки вторичных соединений. Если у вас возникли проблемы с FTP, убедитесь, что включен фильтр FTP Access application filter.
11. Как мне посмотреть файлы в кэше? Также, как мне запретить кэширование сайтов? О, и еще один вопрос, как мне очистить кэш? Вы можете использовать инструмент под названием cachedir.exe с сайта Microsoft.
12. Сотрудник тех поддержки попросил меня открыть порты X, Y и Z. Как мне это сделать? Это одна из наиболее часто возникающих проблем. Термин 'открыть порт' ничего не значит, он предполагает, что брандмауэр - это 'перфорированная доска', в которой вы закрываете отверстия. Но протокол TCP/IP работает немного не так, и по этой причине вы никогда не увидите на брандмауэре кнопку 'открыть порт'. Для того чтобы разрешить трафик через брандмауэр ISA firewall (или любой другой брандмауэр), вы должны знать, какой вам нужен протокол, направление протокола, а также какие протоколы используются для второстепенных соединений. Например, если используете FTP в стандартном режиме, то основное соединение – это исходящее соединение от FTP клиента к FTP серверу по TCP порту 21. Затем, FTP сервер устанавливает новое вторичное соединение с клиентом со своего собственного TCP порта 20 на высокий номер порта на внешнем интерфейсе брандмауэра ISA. Вы должны спросить сотрудника службы поддержки, какие порты открыть для FTP, и ответят ли они вам 'откройте порты 21 и 20'? Может быть, но кто знает, т.к. 'открыть порт' ничего не значит. Это ответственность производителя Интернет приложения – сообщать вам такую информацию. Иначе, вы должны использовать сетевой анализатор (как Network Monitor или Ethereal) и выяснить, какие протоколы, направления, основные и вторичные соединения они используют. Не забудьте также заплатить производителю приложения за то время, которое вы потратили на исследование их приложения!

Итак, я рассказал о грязной дюжине вопросов по ISA Firewall. Если вы вспомнили о каком-то вопросе, ответ на который уже 100 раз звучал, то скажите об этом мне, и я добавлю его в этот список.