Політика міжмережевого екрану принципи
У цьому розділі наведено короткий огляд політики міжмережевого екрану Microsoft ISA Server 2006.
Щоб отримати додаткові відомості про політику міжмережевого екрана ISA Server, див. рекомендації щодо використання політики міжмережевого екрану для ISA Server на веб-сайті Microsoft TechNet. (http://www.microsoft.com/)
Як працює політика міжмережевого екрану
Вихідні запити
Однією з основних функцій ISA Server є створення підключення між мережею джерела та мережею призначення, захищеного при цьому від несанкціонованого доступу. Щоб спростити це підключення, за допомогою сервера ISA Server створіть політику доступу, яка дозволяє клієнтам з вихідної мережі отримувати доступ до певних комп'ютерів у мережі призначення. Політика доступу визначає, як клієнти отримують доступ до інших мереж.
Коли ISA Server обробляє вихідний запит, він перевіряє мережеві правила та правила політики міжмережевого екрану для визначення доступу. Для запитів клієнтів веб-проксі або HTTP мережеві правила ігноруються. Зауважте, що якщо веб-проксі вимкнено, потрібне мережне правило.
Спочатку ISA Server перевіряє мережеві правила, щоб переконатися, що дві мережі підключено. Якщо мережні правила визначають підключення між мережею джерела та призначення, ISA Server опрацьовує правила політики доступу.
Потім ISA Server по черзі перевіряє правила доступу. Якщо до запиту застосовується дозвільне правило, ISA Server дозволяє запит. А саме, ISA Server застосовує правило, якщо запит відповідає наступним умовам правила, перевіряючи елементи правила в даному порядку:
Після застосування правила ISA Server не перевіряє запит на відповідність іншимправилам та зупиняє перевірку правил. Згодом ISA Server може заборонити запит, залежно від додаткових фільтрів протоколів, які застосовуються до правила.
Нарешті, ISA Server знову перевіряє мережеві правила, щоб визначити, як підключені мережі. ISA Server перевіряє правила веб-ланцюжка (якщо об'єкт запросив клієнт веб-проксі) або налаштування послідовного з'єднання міжмережевих екранів (якщо об'єкт запросив клієнт SecureNAT або клієнт міжмережевого екрану) для визначення, як буде виконуватись запит.
Наприклад, припустимо, що ISA Server встановлений на комп'ютер із двома мережними платами: одна підключена до Інтернету, а інша підключена до локальної мережі. Є корпоративні інструкції, що дозволяють для всіх користувачів доступ до всіх вузлів. У цьому випадку політика складатиметься з таких правил політики доступу:
- Мережеве правило, яке встановлює зв'язок між мережею джерела (локальною мережею) та мережею призначення (Інтернет).
- Правило доступу, яке дозволяє всім внутрішнім клієнтам мати доступ до всіх вузлів у будь-який час за допомогою протоколу.
Вхідні запити
Для вхідних веб-запитів правила обробляються так:
Наприклад, розглянемо випадок, коли ISA Server встановлений на комп'ютері з двома мережними платами: одна підключена до Інтернету, а інша підключена до локальної мережі. Застосовується таке:
Коли зовнішній клієнт запитує об'єкт із внутрішнього веб-сервера, правила обробляються так:
Наприклад, розглянемо такі правила:
Як ISA Server перевіряє імена
У прикладі www.fabrikam.com на відповідність правилу доступу можуть бути перевірені такі елементи:
Перевірка автентичності
При обробці правил, які потребують автентифікації, ISA Server вимагає надання облікових даних клієнтом. Якщо клієнт не може надати облікові дані, запит відкидається перед застосуванням правил. Це означає, що запити від клієнтів SecureNAT будуть відкидатися, якщо правило, що застосовується, вимагає перевірки автентичності.
Правила на рівні підприємства можуть бути налаштовані для вимоги перевірки автентичності. Коли політика підприємства, що включає такі правила, застосовується до масиву, всі клієнти міжмережевого екрану мають надавати облікові дані.