Доступ компьютеров филиала к приемнику web-прокси сервера ISA 2006

OSzone.net » Microsoft » ISA Server » Доступ компьютеров филиала к приемнику web-прокси сервера ISA 2006
Автор: Томас Шиндер (Thomas Shinder)
Иcточник: Isadocs.ru
Опубликована: 26.04.2007

ISA-сервер – это брандмауэр с возможностью проверки обычных пакетов и проверки на уровне приложений. Одним из самых популярных расширений ISA-сервера для проверки на уровне приложений является фильтр web-прокси. Фильтр web-прокси дает возможность ISA-серверу работать как устройство web-прокси. Устройства web-прокси (или серверы) поддерживают компьютеры с web-браузерами и другими приложениями с возможностью использования web-прокси при использовании web-прокси ISA-сервера для доступа в Интернет.

Фильтр web-прокси ISA-сервера позволяет вам:

В большинстве случаев службы web-прокси ISA-сервера используются на компьютерах внутри корпоративной сети. Администраторы сети настраивают компьютеры на использование ISA-сервера в качестве web-прокси для исходящего web-доступа. Такое использование иногда называется прямым прокси. Фильтр web-прокси ISA-сервера также дает доступ внешним клиентам к web-серверам корпоративной сети, например, к серверам Outlook Web Access (OWA), OMA, ActiveSync и SharePoint. Такое использование иногда называется обратным прокси или web-публикацией. Хотя обычным вариантом использования прямого прокси является предоставление внутренним клиентам доступа в Интернет через ISA-сервер, также возможно использование прямого прокси и для компьютеров внешней сети, получающих доступ к ISA-серверу.

Для примера предположим, что ваша компания использует в главном офисе ISA-сервер. У этой компании есть шесть филиалов, в каждом из которых расположено 10-30 компьютеров. Т.к. в филиалах немного пользователей, служба ИТ компании решила использовать в каждом из филиалов для доступа в Интернет простое NAT-устройство.

Простое NAT-устройство не поддерживает VPN-соединения по схеме site-to-site по протоколу L2TP/IPSec, поэтому служба ИТ не использует данную схему. VPN-соединения по схеме site-to-site по протоколу IPSec в туннельном режиме считаются относительно незащищенными из-за слабой поддержки аутентификации туннельного режима протокола IPSec, и потому туннельный режим протокола IPSec не используется.

Помимо этого служба ИТ хочет разрешить VPN-соединения удаленного доступа для отдельных узлов каждого офиса из-за административных издержек.

Служба ИТ компании хочет контролировать и вести журнал доступа пользователей филиала и главного офиса к web-сайтам. Эту задачу можно решить путем публикации приемника web-прокси на ISA-сервере главного офиса и настройкой браузеров филиала на использование IP-адреса внешнего интерфейса ISA-сервера, который используется для публикации приемника web-прокси ISA-сервера главного офиса. Web-браузеры филиала можно настроить вручную или такими методами автоматизации, как WPAD или IEAK.

Публикация приемника web-прокси

Опубликовать приемник web-прокси просто. Вам нужно сделать следующее:

Настройка приемника web-прокси на использование принудительной аутентификации

Перед разрешением соединений с приемником web-прокси и, как следствие, с Интернетом необходимо настроить приемник на использование принудительной аутентификации. Поскольку данный web-приемник будет доступен для всех пользователей Интернета, следует убедиться, что использование анонимных соединений с приемником запрещено. Анонимные web-прокси могут быть взломаны, что может навредить вашей компании.

Если вы не хотите использовать принудительную аутентификацию на web-приемнике, вы можете настроить правило публикации сервера, публикующее приемник web-прокси, на ограниченный набор IP-адресов, которым разрешено использование данного правила. Этот вариант можно использовать, если в филиалах используются статические или более-менее предсказуемые адреса. Вы не сможете использовать этот вариант, если в филиале не используются статические адреса, поскольку правила публикации серверов не позволяют вам контролировать доступ на основе FQDN удаленного клиента. Ниже, при создании правила публикации сервера, мы рассмотрим этот момент подробней.

Откройте консоль ISA-сервера, раскройте имя сервера, а затем узел Configuration (Настройки) в левой части консоли. Щелкните по узлу Networks (Сети), а затем дважды щелкните по записи Internal (Внутренняя) на вкладке Networks (Сети) в средней части консоли.

В диалоговом окне Internal Properties (Свойства внутренней сети) выберите вкладку Web Proxy (Web-прокси), где отметьте параметр Enable Web Proxy clients (Разрешить соединения клиентов Web-прокси). Отметьте параметр Enable HTTP (Разрешить использование HTTP) и установите значение поля HTTP port (Порт HTTP) 8080.

Рисунок 1

Нажмите кнопку Authentication (Аутентификация). В диалоговом окне Authentication (Аутентификация) вы увидите, что по умолчанию протоколом аутентификации является Integrated (Встроенная). Вам придется использовать встроенную аутентификацию для удаленных клиентов, соединяющихся с вашим приемником web-прокси, поскольку вы не можете использовать SSL для шифрования учетных данных пользователей при регистрации на ISA-сервере с помощью приемника web-прокси. Это не является ограничением ISA-сервера, поскольку на нем можно настроить SSL web-приемник. Проблема в том, что в настоящее время нет браузеров, поддерживающих клиентов web-прокси и использующих защищенные SSL-соединения с web-прокси сервером.

Ни один из остальных вариантов аутентификации не является достаточно безопасным для использования в Интернете, кроме SSL-сертификатов. В данной статье мы не будем рассматривать сертификаты, но данный вариант проверки того, как web-браузер предоставляет пользовательские сертификаты ISA-серверу для более защищенного доступа удаленных клиентов, стоит обсуждения в отдельной статье.

Отметьте опцию Require all users to authentication (Требовать аутентификации всех пользователей). При этом приемник web-прокси будет использовать принудительную аутентификацию пользователей еще до того, как ISA-сервер определит политику для доступа пользователей к разрешенным сайтам. Такой подход предотвратит ситуации, в которых вы или ваш помощник могут случайно настроить правило анонимного доступа, разрешающее доступ неаутентифицированных пользователей к Интернету через приемник web-прокси.

Появится диалоговое окно, сообщающее о том, что случится в случае использования принудительной аутентификации на web-приемнике. Потенциальные проблемы достаточно серьезны, и вам следует учесть эти побочные эффекты до включения принудительной аутентификации на web-приемнике. Единственной альтернативой является гарантия того, что все ваши правила доступа требуют аутентификации. Если вы сможете это сделать, то использование принудительной аутентификации на web-приемнике не требуется.

Рисунок 2

Одним из недостатков встроенной аутентификации является то, что и ISA-сервер и компьютеры пользователей должны быть членами одного домена, или же вы должны сделать зеркало пользовательских учетных данных на ISA-сервере или в домене ISA-сервера.

Например, если компьютеры филиала не являются членами домена, вся информация об учетных записях и паролях каждого пользователя филиалов должна быть воссоздана в локальной базе SAM ISA-сервера, или же в домене Active Directory главного офиса. Это потребует дополнительных издержек, зависящих от политики изменения пароля пользователей филиала.

В диалоговом окне Authentication (Аутентификация) нажмите OK для сохранения изменений.

Рисунок 3

В диалоговом окне Internal Properties (Свойства внутренней сети) нажмите OK для сохранения изменений.

Замечание: Учтите, что внутренний web-приемник используется и клиентами web-прокси во внутренней сети. Встроенная аутентификация не является проблемой для корпоративной сети, в которой ISA-сервер является членом домена, поскольку все клиенты также являются членами домена, что позволяет использовать прозрачную аутентификацию. В этом случае копия учетных записей не нужна, поскольку ISA-сервер, являясь членом домена, аутентифицирует пользователей на контроллере домена Active Directory.

Создание Определения протокола и правила публикации сервера

Правило публикации сервера позволяет ISA-серверу принимать входящие соединения с определенных IP-адресов и портов на свой внешний интерфейс и переадресовывать их на другой IP-адрес и порт. В нашем примере при публикации приемника web-прокси мы хотим, чтобы ISA-сервер принимал соединения на IP-адрес своего внешнего интерфейса и TCP порт 8080 и переадресовывал эти соединения на TCP порт 8080 IP-адреса внутреннего интерфейса ISA-сервера.

Однако, прежде, чем мы создадим правило публикации сервера для публикации приемника web-прокси на внутреннем интерфейсе ISA-сервера, нам нужно создать Определение протокола, которое будет описывать протокол, использующийся для переадресации. В нашем случае мы создадим определение для входящих соединений на TCP порт 8080.

Создание Определения протокола Web-прокси

В консоли ISA-сервера раскройте имя сервера, а затем щелкните по узлу Firewall Policy (Политика сервера). На Панели задач выберите вкладку Toolbox (Средства), а затем щелкните по заголовку Protocols (Протоколы). Откроется список групп протоколов. Выберите пункт меню New (Новый) и нажмите Protocol (Протокол).

На странице Welcome to the New Protocol Definition Wizard (Начало работы мастера создания нового определения протокола) в поле Protocol Definition name (Имя определения протокола) введите Web proxy и нажмите Next (Далее).

На странице Primary Connection Information (Информация о первичном соединении) нажмите кнопку New (Новый).

В диалоговом окне New/Edit Protocol Connection (Новый/Изменение описания соединения по протоколу) выберите в поле Protocol type (Тип протокола) значение TCP. Установите Direction (Направление) как Inbound (Входящие). В разделе Port range (Диапазон портов) установите значением полей From (От) и To (До) число 8080. Нажмите OK.

Рисунок 4

На странице Primary Connection Information (Информация о первичном соединении) нажмите Next (Далее). На странице Secondary Connections (Вторичное соединение) нажмите Next (Далее).

На странице Completing the New Protocol Definition Wizard (Завершение работы мастера создания нового определения протокола) нажмите Finish (Завершить).

Нажмите Apply (Применить) для сохранения изменений и обновления политики сервера. В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.

Если вы щелкните по папке User Defined (Определенные пользователем), вы увидите новое определение Web proxy.

Рисунок 5

Создание правила публикации сервера

Теперь мы можем создать правило публикации сервера. Начнем с использования мастера создания правила публикации сервера, а затем подробно рассмотрим само правило и внесем в него некоторые изменения для поддержки нашего сценария.

В консоли ISA-сервера раскройте имя сервера, а затем щелкните по узлу Firewall Policy (Политика сервера). В Панели задач выберите вкладку Tasks (Задачи), а затем щелкните по ссылке Create a New Server Publishing Rule (Создать новое правило публикации сервера).

На странице Welcome to the New Server Publishing Rule (Начало работы мастера создания нового правила публикации сервера) в поле Server Publishing Rule name (Имя правила публикации сервера) введите Publish Web Proxy Listener и нажмите Next (Далее).

На странице Select Server (Выбор сервера) введите IP-адрес внутреннего интерфейса ISA-сервера. Нажмите Next (Далее).

Рисунок 6

На странице Select Protocol (Выбор протокола) выберите из списка Selected protocol (Выбранные протоколы) протокол Web proxy. Это протокол, созданный вами при создании Определения протокола web-прокси. Нажмите Next (Далее).

Рисунок 7

На странице IP Addresses (IP-адреса) отметьте пункт External (Внешний) и нажмите Next (Далее).

На странице Completing the New Server Publishing Rule Wizard (Завершение работы мастера создания нового правила публикации сервера) нажмите Finish (Завершить).

Нам нужно изменить правило, поэтому дважды щелкните по записи политики сервера Publish Web Proxy Listener. В окне свойств правила выберите вкладку To (К).

На вкладке To (К) выберите опцию Request appear to come from the ISA Server computer (Запросы идут от ISA-сервера).

Рисунок 8

Это нужно сделать для того, чтобы приемник web-прокси ISA-сервера не принимал запросы от IP-адресов, не находящихся в одной сети ISA-сервера с приемником.

Поскольку приемник web-прокси прослушивает соединения от внутренней сети по умолчанию, IP-адрес источника должен находиться в определении этой сети. Этого можно достичь разрешением ISA-серверу подменять IP-адрес внешнего клиента.

Выберите вкладку From (От).

Обратите внимание, что по умолчанию разрешены соединения от Anywhere (Отовсюду). Хотя может показаться, что ISA-сервер разрешает любые соединения отовсюду с правилом публикации сервера, на самом деле разрешены соединения отовсюду из сети, в которую прослушивает приемник правила. В нашем примере мы настроили приемник на прослушивание сети External (Внешняя), поэтому приемник обслуживает только запросы из внешней сети по умолчанию.

Рисунок 9

Вы можете установить ограничение на компьютеры, которые могут соединяться по правилу публикации, удалив запись Anywhere (Отовсюду) и нажав кнопку Add (Добавить).

Откроется окно Add Network Entities (Добавить сетевые элементы). Здесь вы можете выбрать сетевые элементы или создать новый, которому будет разрешен доступ к правилу публикации сервера и к web-приемнику. Новый элемент можно создать с помощью меню New (Новый).

В нашем случае вы можете создать элемент Computer (Компьютер) для IP-адресов внешних интерфейсов устройств NAT каждого филиала и разрешить доступ к правилу публикации сервера только этим адресам.

Создание правила доступа для разрешения соединений с Интернетом

Приемник и правило готовы к поддержке удаленных пользователей при использовании ими приемника web-прокси. Однако, до тех пор, пока не будет создано правило, разрешающее трафик через приемник, на данный интерфейс не будет приходить никакая информация.

Фильтр web-прокси поддерживает только три протокола:

Любая политика сервера, созданная нами, должна быть ограничена использованием одного или нескольких из этих протоколов. Мы создадим правило доступа, которое позволит аутентифицировать пользователей, получающих доступ по протоколам HTTP, HTTPS (SSL) и FTP.

Создание правила доступа

В консоли ISA-сервера раскройте имя сервера, а затем щелкните по узлу Firewall Policy (Политика сервера). В Панели задач выберите вкладку Tasks (Задачи), а затем щелкните по ссылке Create New Access Rule (Создать новое правило доступа)

На странице Welcome to the New Access Rule Wizard (Начало работы мастера создания нового правила доступа) введите название правила Web Protocols to Internet и нажмите Next (Далее).

На странице Rule Action (Действие правила) выберите Allow (Разрешить) и нажмите Next (Далее).

На странице Protocols (Протоколы) выберите опцию Selected protocols (Выбранные протоколы) из списка This rule applies to (Данное правило применяется к) и нажмите Add (Добавить).

На странице the Add Protocols (Добавить протоколы) щелкните по папке Web и дважды щелкните по протоколам FTP, HTTP и HTTPS, затем нажмите Close (Закрыть).

Рисунок 10

На странице Protocols (Протоколы) нажмите Next (Далее).

На странице Access Rule Sources (Источники правила доступа) нажмите Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети Internal (Внутренняя). Нажмите Close (Закрыть).

Рисунок 11

На странице Access Rule Sources (Источники правила доступа) нажмите Next (Далее).

На странице Access Rule Destinations (Получатели для правила доступа) нажмите Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые элементы) щелкните по папке Networks (Сети), а затем дважды щелкните по сети External (Внешняя). Нажмите Close (Закрыть). На странице Access Rule Destinations (Получатели для правила доступа) нажмите Next (Далее).

На странице User Sets (Пользователи) щелкните по записи All Users (Все пользователи) и нажмите Remove (Удалить). Мы не хотим разрешать анонимные соединения с Интернетом через ISA-сервер, поэтому мы и должны удалить запись All Users (Все пользователи). Нажмите Add (Добавить).

В диалоговом окне Add Users (Добавить пользователей) дважды щелкните по записи All Authenticated Users (Все аутентифицированные пользователи) и нажмите Close (Закрыть). На странице User Sets (Пользователи) нажмите Next (Далее).

Рисунок 12

На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) нажмите Finish (Завершить).

Теперь удаленные пользователи и пользователи внутренней сети по умолчанию имеют доступ ко всем web-сайтам после успешной аутентификации.

Заключение

Устройства web-прокси предоставляют безопасные соединения с компьютерами, настроенными как клиенты web-прокси. В ISA-сервере есть фильтр web-прокси, который работает как web-прокси сервер. Фильтр web-прокси использует приемник web-прокси для приема соединений web-браузеров, настроенных как клиенты web-прокси. Клиенты web-прокси, соединяющиеся из корпоративной сети с Интернетом, используют web-прокси сервер в качестве прямого web-прокси. В некоторых случаях, например, при наличии филиалов, вы можете захотеть разрешить принятие приемником web-прокси ISA-сервера соединений удаленных узлов.

Вы можете настроить ISA-сервер на поддержку соединений удаленных узлов с приемником web-прокси с помощью создания Определения протоколов web-прокси, правила публикации сервера и правила доступа для поддержки таких соединений. В данной статье предложены подробные инструкции о том, как выполнить такие настройки.


Ссылка: http://www.oszone.net/4869/ISA_2006