Защита информации в инфокоммуникационных системах и сетях

and all subfeatures, will be installed on the local hard drive (Эта функция и все подфункции будут установлены на локальном жестком диске).

Использование клиента брандмауэра позволяет лучше защитить сеть, по возможности следует всегда устанавливать клиент брандмауэра на клиентских компьютерах во внутренней сети. Нажмите кнопку Next

(Далее).

На странице Internal Network (Внутренняя сеть) нажмите кнопку Add

(Добавить). Внутренняя сеть отличается от таблицы локальных адресов

(LAT, Local Address Table), которая использовалась в брандмауэре ISA Server 2000. Внутренняя сеть включает в себя доверяемые сетевые службы, с которыми должен взаимодействовать брандмауэр ISA. В

качестве примера таких служб можно при вести контроллеры домена

Active Directory, DNS, DHCP, службы терминалов и др. Системная политика брандмауэра использует определение внутренней сети во многих правилах системной политики.

На странице Internal Network (Внутренняя сеть) нажмите кнопку Select Network Adapter (Выбрать сетевой адаптер).

На странице Configure Internal Network (Настроить внутреннюю сеть) сни-

мите флажок в поле Add the following private ranges... (Добавить следующие частные диапазоны...). Оставьте флажок в поле Add address ranges based on the Windows Routing Table (Добавить диапазоны адресов на основе таблицы маршрутизации Windows). Установите флажок в поле рядом с адаптером, соединенным со внутренней сетью. В данном случае сетевые интерфейсы были переименованы так, чтобы имя интерфейса отражало его расположение. Нажмите кнопку ОК.

Нажмите кнопку OK в диалоговом окне с сообщением о том, что внутренняя сеть была определена на основании таблицы маршрутизации

Windows.

Щелкните кнопку ОК в диалоговом окне Internal network address ranges

291

(Диапазоны адресов внутренней сети).

Нажмите кнопку Next (Далее) на странице Internal Network (Внутренняя сеть).

Не устанавливайте флажок в поле Allow computers running earlier versions of Firewall Client software to connect (Разрешить соединения компьютерам с более ранними версиями программного обеспечения клиента брандмауэра). Этот параметр предполагает применение клиента брандмауэра нового бранд мауэра ISA. Предыдущие версии клиента

брандмауэра (входящие в Proxy 2.0 и

ISA Server 2000) не поддерживаются. Этот параметр также разрешает клиенту брандмауэра отправлять верительные данные пользователя по зашифрованному каналу на брандмауэр ISA и проходить проверку подлинности на брандмауэре ISA в прозрачном режиме. Щелкните кнопку

Next (Далее).

На странице Services (Службы) отметьте, чтобы службы SNMP и IIS Admin Service были остановлены на время установки. Если на компьютере брандмауэра ISA Server 2004 установлены службы Internet Connection Firewall (ICF)/Internet Connection Sharing (ICF) и/или служба IP Network Address Translation, то они будут отключены, т. к. они конфликтуют с программным обеспечением брандмауэра ISA Server 2004.

Щелкните кнопку Install (Установить) на странице Ready to Install the Program (Установка программы).

На странице Installation Wizard Completed (Завершение работы мастера ус-

тановки) нажмите кнопку Finish (Готово).

Щелкните кнопку Yes (Да) в диалоговом окне Microsoft ISA Server, в

котором сообщается, что нужно перезапустить сервер.

Выполните вход в систему как администратор после перезапуска компьютера.

292

Нажмите кнопку Start (Пуск) и установите курсор на All Programs

(Программы). Установите курсор на Microsoft ISA Server и выберите пункт ISA Server Management. Откроется консоль управления Microsoft Internet Security and Acceleration Server 2004, и появится страница Welcome to Microsoft Internet Security and Acceleration Server 2004.

Конфигурирование брандмауэра ISA

Теперь можно настроить политику доступа на брандмауэре ISA. Нужно

создать пять правил доступа:

правило, разрешающее клиентам внутренней сети доступ к DHCP-серверу на брандмауэре ISA;

правило, разрешающее брандмауэру ISA отправлять DHCP-сообщения хостам во внутренней сети;

правило, разрешающее DNS-серверу внутренней сети использовать брандмауэр ISA в качестве своего DNS-сервера. Это правило следует создавать, только если во внутренней сети имеется DNS-сервер;

правило, разрешающее клиентам внутренней сети доступ к DNS-серверу в ре жиме только кэширования на брандмауэре ISA. Это правило используется, только если во внутренней сети нет DNS-сервера или если нужно использовать брандмауэр ISA в качестве DNS-сервера в режиме только кэширования с зоной-заглушкой, указывающей на домен внутренней сети;

правило «все открыто», разрешающее клиентам внутренней сети доступ ко

всем протоколам и узлам Интернета.

ПРЕДУПРЕЖДЕНИЕ Последнее правило, «все открыто», используется только для того, чтобы

начать работу. Это правило позволяет протестировать способность брандмауэра

ISA устанавливать соединение с Интернетом, но оно не обеспечивает никакого

293

контроля исходящего доступа, как это делают большинство аппаратных брандмауэров с фильтрацией пакетов. Брандмауэр ISA способен обеспечить контроль входящего и исходящего трафика, поэтому нужно выключить это правило и создать правила для пользователей/групп, для протоколов и для узлов после того, как базовые соединения с Интернетом через брандмауэр ISA

окажутся успешными.

Помимо этих правил доступа, следует настроить системную политику брандма-

уэра, чтобы разрешить DHCP-ответы с DHCP-серверов внешней сети.

Правило «DHCP Request to Server»

Для того чтобы создать правило «DHCP Request to Server» (DHCP-запрос к серверу), выполните следующие действия:

В консоли управления Microsoft Internet Security and Acceleration Server

2004 разверните имя сервера и щелкните пункт Firewall Policy (Политика брандмауэра

В узле Firewall Policy (Политика брандмауэра) щелкните вкладку Tasks

(Задачи). На панели задач щелкните мышью пункт Create a New Access Rule (Создать новое правило доступа).

На странице Welcome to the New Access Rule Wizard (Мастер создания нового правила доступа) введите DHCP Request to Server (DHCP-запрос к серверу) в текстовое поле Access Rule name (Имя правила доступа).

Щелкните кнопку Next (Далее).

На странице Rule Action (Действие правила) выберите Allow

(Разрешающее)

и нажмите кнопку Next (Далее).

На странице Protocols (Протоколы) выберите вариант Selected protocols

(К выбранным протоколам) из списка This rule applies to (Это правило при меняется) и щелкните кнопку Add (Добавить).

294

В диалоговом окне Add Protocols (Добавить протоколы) щелкните папку Infrastructure (Инфраструктура). Дважды щелкните мышью запись

DHCP

(request) (DHCP, запрос) и нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Protocols (Протоколы).

На странице Access Rule Sources (Источники для правила доступа)

щелкните

кнопку Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью папку Computer Sets (Подмножества компьютеров).

Дважды щелкните мышью запись Anywhere (Везде) и нажмите кнопку

Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Sources (Источники

для правила доступа). На странице Access Rule Destinations (Адресаты

кнопку Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните

мышью папку Networks (Сети) и дважды щелкните мышью Local Host

(Локальный хост). Щелкните кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Destinations

(Адресаты правила доступа).

На странице User Sets (Подмножества пользователей) оставьте значение по умолчанию All Users (Все пользователи) и щелкните, кнопку Next (Далее).

На странице Completing the New Access Rule Wizard (Завершение работы ма стера создания нового правила доступа) проверьте настройки и нажмите

кнопку Finish (Готово).

295

Нажмите кнопку Next (Далее) на странице Access Rule Sources (Источники для правила доступа).

На странице Access Rule Destinations (Адресаты для правила доступа)

щелкните кнопку Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью папку Networks (Сети) и дважды щелкните мышью запись Internal (Внутренняя). Нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Destinations

(Адресаты правила доступа).

На странице User Sets (Подмножества пользователей) оставьте значение по умолчанию (All Users (Все пользователи)) и щелкните кнопку Next

(Далее).

На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) проверьте настройки и нажмите кнопку Finish (Готово).

Правило «Internal DNS Server to DNS Forwarder»

Для создания правила «Internal DNS Server to DNS Forwarder» (От

внутреннего DNS-сервера к серверу пересылок DNS) выполните следующие

действия:

В консоли управления Microsoft Internet Security and Acceleration Server

2004 разверните имя сервера и щелкните мышью пункт Firewall Policy

(Политика брандмауэра).

В узле Firewall Policy (Политика брандмауэра) щелкните мышью вкладку

Tasks (Задачи) на панели задач. На панели задач щелкните мышью пункт

Create a New Access Rule (Создать новое правило доступа)На странице

Welcome to the New Access Rule Wizard (Мастер создания нового правила доступа) введите Internal DNS Server to DNS Forwarder (От внутреннего

297

DNS-сервера к серверу пересылок DNS) в текстовом поле Access Rule

name (Имя правила доступа). Нажмите кнопку Next (Далее).

На странице Rule Action (Действие правила) выберите Allow

(Разрешающее) и щелкните кнопку Next (Далее).

На странице Protocols (Протоколы) выберите вариант Selected protocols (К

выбранным протоколам) из списка This rule applies to (Это правило при-

меняется) и щелкните кнопку Add (Добавить).

В диалоговом окне Add Protocols (Добавить протоколы) щелкните мышью папку Infrastructure (Инфраструктура). Дважды щелкните мышью запись

DNS и щелкните кнопку Close (Закрыть). Нажмите кнопку Next (Далее) на странице Protocols (Протоколы).

На странице Access Rule Sources (Источники для правила доступа)

щелкните кнопку Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью меню New (Новый), а затем Computer (Компьютер).

В диалоговом окне New Computer Rule Element (Новый элемент правила для компьютера) введите Internal DNS Server (Внутренний DNS-сервер) в

текстовое поле Name (Имя). Введите 10.0.0.2 в текстовое поле Computer IP Address (IP-адрес компьютера). Нажмите кнопку ОК.

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью папку Computers (Компьютеры) и дважды щелкните мышью запись Internal DNS Server (Внутренний DNS-сервер). Нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Sources (Источники для правила доступа).

Нажмите кнопку Add (Добавить) на странице Access Rule Destinations

(Адресаты правила доступа).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

298

щелкните мышью папку Networks (Сети) и дважды щелкните мышью

Local Host (Локальный хост). Нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Destinations

(Адресаты правила доступа).

На странице User Sets (Подмножества пользователей) оставьте значение по умолчанию All Users (Все пользователи) и нажмите кнопку Next (Далее).

На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) проверьте настройки и нажмите кнопку Finish (Готово).

Правило «Internal Network to DNS Server»

Для создания правила «Internal Network to DNS Server» (Из внутренней

сети к DNS-серверу) выполните следующие действия:

В консоли управления Microsoft Internet Security and Acceleration Server

2004 разверните имя сервера и щелкните мышью Firewall Policy (Политика брандмауэра).

В узле Firewall Policy (Политика брандмауэра) щелкните мышью вкладку

Tasks (Задачи) на панели задач. На панели задач щелкните мышью Create a New Access Rule (Создать новое правило доступа).

На странице Welcome to the New Access Rule Wizard (Мастер создания нового правила доступа) введите Internal Network to DNS Server (Из внутренней сети к DNS-серверу) в текстовое поле Access Rule name (Имя правила доступа). Нажмите кнопку Next (Далее).

На странице Rule Action (Действие правила) выберите Allow

(Разрешающее) и нажмите кнопку Next (Далее). На странице Protocols

(К выбранным протоколам) из списка This rule applies to (Это правило при-

299

меняется) и нажмите кнопку Add (Добавить).

В диалоговом окне Add Protocols (Добавить протоколы) щелкните мышью папку Common Protocols (Общие протоколы). Дважды щелкните мышью запись DNS и нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Protocols (Протоколы).

На странице Access Rule Sources (Источники для правила доступа)

нажмите кнопку Add (Добавить).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью папку Networks (Сети). Дважды щелкните мышью

Internal (Внутренняя сеть) и нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Sources (Источники для правила доступа).

Нажмите кнопку Add (Добавить) на странице Access Rule Destinations

(Адресаты правила доступа).

В диалоговом окне Add Network Entities (Добавить сетевые объекты)

щелкните мышью папку Networks (Сети) и дважды щелкните мышью

Local Host (Локальный хост). Нажмите кнопку Close (Закрыть).

Нажмите кнопку Next (Далее) на странице Access Rule Destinations

(Адресаты правила доступа).

На странице User Sets (Подмножества пользователей) оставьте значение по умолчанию All Users (Все пользователи) и нажмите кнопку Next (Далее).

На странице Completing the New Access Rule Wizard (Завершение работы мастера создания нового правила доступа) проверьте настройки и нажмите кнопку Finish (Готово).

Правило «All Open»

Для создания правила «All Open» (Все открыто) выполните следующие

действия:

300