ISA. ИБУ.

Ибо! Не "ибо", а "ибу"!


ISA. Internet Security and Acceleration. ИБУ. Интернет Безопасность и Ускорение.

ISA. Internet Security and Acceleration. ИБУ. Интернет Безопасность и Ускорение.
Сделано в kocby.ru

На данной страничке предоставляется информация о Microsoft ISA Server 2004. Мы рассмотрим все вопросы, связанные с установкой брандмауэра, поговорим о возможности мониторинга и составления отчетов, работе с несколькими сетями, настройки и использовании виртуальных частных сетей, администрировании брандмауэра. Также здесь вы найдете ссылки на популярные ресурсы, связанные с Microsoft ISA Server 2004.
© Перепечатка разрешается с установкой ссылки на ресурс http://kocby.ru.


Бад Рэтлифф и Джейсон Баллард. При участии команды Майкрософт Сервер ИБУ. ISA. Microsoft Internet Security and Acceleration Server 2004.
ISA Server 2004 - брандмауэр и сервер кэширования.

Что такое Server ISA, понятно из расшифровки названия - Internet Security and Acceleration (т.е. ИБУ - Интернет Безопасность и Ускорение). При этом данный программный продукт компании Майкрософт ориентирован прежде всего на обеспечение безопасности работы в сетях, и только во вторую очередь на ускорение работы пользователей сетей посредством кэширования.

Для глубокого погружения в тему мы советуем прочитать книжку Бада Рэтлиффа и Джейсона Балларда --->>>...

Структура книги позволяет использовать ее как в качестве справочника, включающего отдельные, не зависящие друг от друга разделы инструкций, так и для изучения продукта "шаг за шагом", начиная с терминологии и основных понятий, заканчивая практическими вопросами.

Книга не только отлично написана, но и прекрасно переведена на русский язык.

Мы же здесь, на данной страничке, остановимся на некоторых важных опорных точках, представляющих интерес для тех кто использует или собирается использовать в своей работе ISA Server 2004.

ISA Server 2004 предназначен для средних и крупных промышленных предприятий.

Другими словами, мы не можем рекомендовать использование ISA Server 2004 для мелких предприятий, работающих в стиле "офис на кухне", которые имеют ограниченный бюджет для поддержания безопасности.

Таким небольшим компаниям, наверное, стоит обратить внимание на недорогие средства обеспечения безопасности от таких производителей, как NetScreen, Watch-guard, SonicWall, Symantec. Еще более приемлимый вариант: бесплатные брандмауэры IPchains, Juniper Firewall Tool Kit (FWTK) и IPCop. Открытые (бесплатные) брандмауэры разрабатываются и распространяются по общедоступной лицензии GNU (General Public License). Как и в случае других бесплатных программ, их исходный код предлагается бесплатно для всех желающих. В результате многие пользователи могут его перепроверять, что теоретически облегчает задачу поиска и устранения ошибок в программном обеспечении, но практически требует наличия в штате хотя бы одного технически образованного пользователя, что для маленьких компаний случай не такой уж частый.

ISA Server 2004: две версии - ЕЕ (Enterprise Edition) и SE (Standard Edition).

SE (Standard Edition) представляет собой "облегченную" версию по сравнению с ЕЕ (Enterprise Edition). Существуют также различия между интерфейсами брандмауэра редакций ЕЕ (Enterprise Edition) и SE (Standard Edition), в основном это касается вкладок и вариантов выбора, существующих в редакции ЕЕ, но отсутствующих в редакции SE.

Типы брандмауэров Уровни модели 0SI
Фильтрация уровня приложения Уровень приложения
*** Уровень представления
*** Сеансовый уровень
Фильтрация уровня канала Транспортный уровень
Фильтрация пакетов Сетевой уровень
*** Канальный уровень
*** Физический уровень
Динамическая фильтрация пакетов и фильтрация на уровне приложений в брандмауэре ISA Server 2004

Брандмауэр ISA способен выполнять как динамическую фильтрацию пакетов, так и их динамическую проверку на уровне приложений.

Динамическая проверка на уровне приложений позволяет брандмауэру ISA полностью обследовать коммуникационные потоки, проходящие через него из одной сети в другую.

Истинная проверка с отслеживанием состояния соединения в отличие от динамической фильтрации, проверяющей информацию только на сетевом и транспортном уровнях, требует, чтобы брандмауэр мог анализировать и принимать решения на всех коммуникационных уровнях, включая наиболее важный прикладной уровень или уровень приложений.

Критически важным является применение брандмауэра ISA Server 2004 на самых ответственных участках сети. Высокоскоростные аппаратные устройства фильтрации пакетов, установленные на границе сети, могут помогать брандмауэру ISA Server 2004. Но на важных участках сети простой фильтрации пакетов недостаточно. Когда дело доходит до защиты важнейших ресурсов, необходимо не только позаботиться о том, чтобы все входящие соединения под вергались тщательной проверке на уровне приложения, но также нужно контролировать трафик, выходящий из сети, используя жесткий пользовательский контроль доступа.

В отличие от типичного аппаратного брандмауэра с фильтрацией пакетов, который бесконтрольно выпускает весь трафик, современные брандмауэры должны контролировать исходящие соединения. Брандмауэры ISA являются настоящими брандмауэрами промышленного уровня, которые обеспечивают жесткий контроль входящего и исходящего доступа и фильтрацию на уровне приложения, которая необходима для защиты современных сетей, а не сетей прошлого века, когда вполне хватало традиционных брандмауэров с фильтрацией пакетов.

Настройка рабочих станций, как клиентов брандмауэра ISA Server 2004

Программное обеспечение клиента брандмауэра является вспомогательным программным продуктом, который можно установить на любую совместимую операционную систему Windows для обеспечения расширенных функций защиты и предоставления доступа. Программное обеспечение клиента брандмауэра добавляет следующие функции клиентам Windows:
- позволяет выполнять строгую пользовательскую/групповую проверку подлинности для всех приложений Winsock, использующих протоколы TCP и UDP;
- позволяет вносить в системные журналы брандмауэра ISA Server 2004 информацию о пользователях и приложениях;
- обеспечивает расширенную поддержку сетевых приложений, включая сложные протоколы, требующие вторичных соединений;
- обеспечивает DNS-поддержку компьютеров клиентов брандмауэра;
- позволяет публиковать серверы, требующие использования сложных протоколов без помощи фильтров приложений;
- маршрутная инфраструктура сети прозрачна для клиента брандмауэра.

Программное обеспечение клиента брандмауэра отправляет информацию о пользователе на брандмауэр ISA Server 2004 в прозрачном режиме. Это позволяет создавать правила доступа, которые применяются к пользователям и группам и разрешают или запрещают доступ к любому протоколу, сайту или содержимому, основываясь на учетной записи пользователя или на членстве в группе. Такой жесткий контроль исходящего пользовательского (группового) доступа очень важен. Не всем пользователям следует предоставлять одинаковый уровень доступа, им следует предоставлять доступ только к тем протоколам, сайтам и содержимому, которое им необходимо для выполнения их работы.

Принцип, состоящий в том, чтобы разрешать пользователям доступ только к тем протоколам, сайтам и содержимому, которые им необходимы, называется принципом наименьшего уровня привилегий. Этот принцип применяется как к входящему, так и к исходящему доступу. В случае входящего доступа правила Web-публикации и публикации серверов разрешают трафик от внутренних хостов к ресурсам во внешней сети только под жестким контролем и наблюдением. То же относится и к исходящему доступу. В традиционных сетях входящий доступ сильно ограничен, а внешний доступ разрешен практически ко всем ресурсам. Такой подход к контролю исходящего доступа может подвергнуть риску не только корпоративную сеть, но и другие сети, поскольку интернет-черви могут с легкостью обойти брандмауэры, которые не ограничивают исходящий доступ.

Типовые атаки, обнаружение и предотвращение которых возможно с помощью брандмауэра ISA Server 2004

Атаки отказов от обслуживания (Denial-of-service, DoS-атака) особенно популярны у интернет-хакеров, стремящихся нарушить сетевые операции. Хотя эти атаки не разрушают и не крадут данные, как делают некоторые атаки других типов, цель злоумышленника, запускающего атаку DoS, вывести сеть из строя и вызвать отказ от обслуживания ее законных пользователей. Атаки отказов от обслуживания легко инициировать, программное обеспечение готово и доступно на Web-сайтах хакеров и в группах новостей краденого программного обеспечения (warez newsgroups), что позволяет любому человеку, имеющему небольшой технический навык или вообще не имеющему таковых, запустить DoS-атаку.

Распределенные атаки отказов от обслуживания (DDoS) используют промежуточные компьютеры, называемые агентами, на которых предварительно тайно установлены программы, именуемые зомби. Злоумышленник удаленно активизирует программы-зомби, вызывая на промежуточных компьютерах (которых может быть сотни и даже тысячи) одновременный запуск действительной атаки. Поскольку атака приходит с компьютеров, выполняющих программы-зомби и расположенных в сетях по всему миру, хакер способен скрыть истинный источник атаки.

SYN-атаки используют «трехстороннее квитирование» («three-way handshake») no TCP-протоколу — процесс, с помощью которого сеанс связи устанавливается между двумя компьютерами.

Тип DoS-атаки, на обнаружение которой можно настроить ISA Server, — так называемый «Ping смерти» (также известный как «пингование большими пакетами»). Атака «Ping смерти» проводится созданием IP-пакета, большего чем 65 536 байтов, максимума, разрешенного IP-спецификацией (иногда такой пакет называют «пакетом-убийцей»). Он может вызвать аварийный сбой, зависание или перезагрузку системы.

Атака Teardrop действует несколько иначе, чем «Ping смерти», но с теми же результатами. Программа Teardrop создает IP-фрагменты, части IP-пакета, на которые он может делиться, путешествуя по Интернету. Проблема заключается в том, что поля смещения (offset fields) в этих фрагментах, которые должны отображать величину порции исходного пакета (в байтах), содержащейся в фрагменте, накладываются друг на друга.

Например:

Fragment 1: (offset) 100 - 300
Fragment 2: (offset) 200 - 400

Когда компьютер-адресат попытается повторно собрать эти пакеты, он не сможет этого сделать и аварийно завершит работу, зависнет или выполнит перезагрузку.

У этого типа атаки есть следующие варианты:
- NewTear;
- Teardrop2;
- SynDrop;
- Boink.
Все эти программы создают тот или иной сорт наложения фрагментов.

VPN-сервер: конфигурирация и управление на консоли управления брандмауэра ISA Server 2004

Постоянный рост популярности виртуальных частных сетей (VPN) превратил их в стандарт для компаний, имеющих надомных работников, администраторов и продавцов, которым необходим доступ к сети вне офиса, а также партнеров и клиентов, нуждающихся в доступе к ресурсам корпоративной сети. Задача VPN — разрешить удаленный доступ к ресурсам корпоративной сети, которые в противном случае могут быть доступными только при непосредственном подключении пользователя к локальной сети. С помощью VPN-соединения пользователь получает «виртуальное», конфигурации узел-в-узел соединение удаленного VPN-пользователя с корпоративной сетью. Пользователь может работать так, как будто он (она) находится в офисе; приложения и сервисы, выполняющиеся на компьютерах пользователей, интерпретируют VPN-линию связи как типичное соединение Ethernet. Интернет, через который клиент соединяется с корпоративной сетью, полностью скрыт от пользователей и приложений (прозрачен для них).

Одно из главных преимуществ применения VPN-соединения по сравнению с клиент-серверным Web-приложением заключается в том, что VPN-пользователи, находящиеся далеко от локальной сети, могут получить доступ ко всем протоколам и серверам корпоративной сети. Это означает, что у ваших пользователей есть возможность получить доступ к полному набору сервисов серверов Microsoft Ex¬change, Microsoft SharePoint Servers, Microsoft SQL Servers и Microsoft Live Communication Servers так же, как если бы эти пользователи непосредственно подключались к сети, находясь в корпоративном офисе. Программное обеспечение VPN-клиента встроено во все современные операционные системы Windows. VPN-пользо¬вателю не нужны никакие специальные программные средства для подключения к любому из этих сервисов и нет необходимости создавать специальные приложения прокси, разрешающие вашим пользователям подсоединяться к этим ресурсам.

В ISA Server 2004 существенно усовершенствованы VPN-компоненты, которые включены в состав брандмауэра из сервиса Routing and Remote Access (RRAS) операционных систем Windows 2000 и Windows Server 2003. Теперь администратор имеет возможность конфигурировать VPN-сервер и шлюзовые компоненты и управлять ими непосредственно на консоли управления брандмауэра ISA Server 2004, не переключаясь между консолью управления ISA MMC и консолью управления RRAS ММС. Вам очень редко понадобится консоль сервиса маршрутизации и удаленного доступа для конфигурирования VPN-компонентов.

Повышение скорости доступа в Интернет с помощью функции кэширования ISA Server 2004

В большинстве организаций, подсоединенных к Интернету, Web-трафик посто¬янно растет. Пользователь зачастую посещает одни и те же сайты регулярно, или многочисленные пользователи в пределах организации посещают одни и те же сайты и просматривают одинаковые страницы. Кроме того, общий сетевой и интернет-трафик устойчиво увеличивается, приближаясь к точке насыщения допустимой пропускной способности Интернета. В этой ситуации кэширование может стать хорошим решением.

ISA Server 2004 поддерживает как прямое (для исходящих запросов), так и обратное (для входящих запросов) кэширование. Один и тот же ISA Server может выполнять одновременно оба типа кэширования.

ISA Server 2004 применяет для взаимодействия с серверами Web-кэширования протокол маршрутизации между кэш-серверами (Cache Array Routing Protocol, CARP) — это хеш-ориентированный протокол, позволяющий объединять многочисленные прокси кэширования в единый логический кэш и использовать хеш-функцию для определения кэша, на который должен быть отправлен запрос. ISA Server 2004 применяет правила кэширования для определения сохраняемых типов содержимого и конкретных способов обработки содержимого при запросе объектов из кэша.

ISA Server 2004 помимо его конфигурации, устанавливаемой по умолчанию (только в качестве брандмауэра), может функционировать в смешанном режиме: как брандмауэр и сервер кэширования или как изолированный сервер Web-кэширования.

~~~~~~~~~~~~

Спасибо за внимание, для более глубокого погружения в тему рекомендую приобрести книгу --->>>...

Бад Рэтлифф и Джейсон Баллард. ISA.

в магазине "Озон". Сам всегда покупаю в этом магазине, очень доволен его работой.

~~~~~~~~~~~~

###


Куда теперь идти?

Используйте ссылки выше или ниже...

  • Страничка контактов :: Вы можете написать письмо по любой теме, включая Ваше мнение о "ISA".

  • Форум по теме "ISA" :: расшарить свои мысли-идеи по теме "ISA", задать свой вопрос, ответить на чужой и т.п. можно здесь.

  • Solution Center "ISA" :: этот ресурс по теме "ISA" поддерживается непосредственно компанией Майкрософт. Здесь можно найти массу полезного, интересного и актуального материала. На англ.яз.

  • Овладение английским языком :: невозможно стать классным компьютерным спецом и при этом не владеть в достаточной степени английским языком. Овладейте же этим языком быстро по эффективной методе: не надо куда-то ходить, занятия дома в свободном режиме.

  • Как сделать популярный сайт :: При всем многообразии вебсайтов в Интернете, основная задача для их менеджеров является одной и той же: как сделать свой ресурс популярным и как поддерживать эту популярность. В этой рассылке мы поговорим о всех известных способах промоушена: создание контента, оптимизация для поисковиков, обмен ссылками и др. Кроме того, мы поделимся с читателями некоторыми фирменными секретами.

  • kocby.ru, главная страничка этого сайта.


Если Вы планируете зайти позднее...
Запомните эту страничку -

URL: http://kocby.ru/post/webmaster/isa/


Rambler's Top100 Створки зеркала Клуба Одиноких Сердец. Пыльное зеркало Клуба Одиноких Сердец.

* На верх *

Вордпресс RU-CENTER. Центр регистрации доменов.
Овладение новым языком Интернет. Все о жизни онлайн.
одинокое сердце
Правильная любовь
По правильным
правилам!
А роза упала...
eГармония

ВНИМАНИЕ! Спасибо за посещение Клуба Одиноких Сердец! Желаю удачи в любви и успеха в делах!
CopyRight(R), CopyLeft(L), CopyCat(C)
1974 - 2074 Клуб Одиноких Сердец
Без поддержки людей из будущего этот проект, конечно же, у меня бы не получился. Спасибо всем, кто делает будущее уже сегодня - USA2017.com!