Настройка прямого доступа к сайтам: Часть 1 - Настройка прямого доступа для клиентов прокси-серверов для веб-страниц
Один из самых распространенных советов, который я обычно даю относительно правил доступа брандмауэра ISA и стратегии брандмауэра, заключается в «создании раздельного DNS и настройки прямого доступа к этим сайтам». В первой статье мы определим, что такое прямой доступ и как настраивать прямой доступ для клиентов, работающих с прокси-серверами для веб-страниц.
Очень часто я cлышу от администраторов брандмауэра ISA, сталкивающихся с проблемами доступа к веб-сайтам через брандмауэр ISA, гордое заявление, «он работает, если мы используем PIX (Private Internet Exchange)». Интересно, почему эти сайты работали только при использовании PIX? Действительно ли PIX предоставляет необходимую защиту? Разве «легкий доступ» ко всем сайтам при использовании любого протокола — это та защита, которая Вам необходима? Ваш брандмауэр ISA блокирует доступ к сайтам, к которым ранее Вы подсоединялись, даже не задумываясь о его конфигурации? Тогда пришло время внимательно изучить, какого рода контроль и защиту исходящих соединений предоставляло программное средство защиты данных, которое Вы использовали ранее.
Однако, придет время, когда у Вас возникнут проблемы при доступе к некоторым сайтам через брандмауэр ISA. Не все программисты, создающие веб-сайты, и их администраторы заботятся о том, что многие организации используют сложную проверку с учетом состояний пакетов и брандмауэры прокси-серверов (такие как брандмауэр ISA ) для защиты своего корпоративного имущества. Поэтому соединение с их веб-сайтом может оказаться проблематичным. Обычно эти сайты имеют Java- основу, но Java — не единственная технология, которая оказывается жертвой непрофессионального подхода к созданию кода и реализации. Основная проблема заключается в том, что сайты и приложения не могут корректно работать с аутентификацией прокси-сервера для веб-страниц.
Для преодоления этой проблемы с соединением к таким сайтам нужно настроить их на прямой доступ. Прямой доступ может работать немного по-разному в зависимости от ISA клиента, который Вы используете:
- При соединении веб-клиентов с прокси-сервером прямой доступ позволяет клиенту использовать альтернативный метод подсоединения к ресурсам, при котором не учитываются настройки клиента прокси-сервера для веб-страниц. Система клиента для доступа к ресурсам может использовать либо конфигурацию SecureNAT, либо конфигурацию клиента брандмауэра, при этом выбор клиента брандмауэра обеспечивает большую безопасность.
- При использовании клиента брандмауэра прямой доступ позволяет хосту, содержащему клиента, который осуществил запрос, не учитывать конфигурацию клиента брандмауэра и подсоединяться напрямую к другим хостам, которые находятся в той же самой сети брандмауэра ISA
Мы опишем оба типа конфигурации прямого доступа, каждый в отдельной статье. В первой статье мы поговорим о настройке прямого доступа для клиентов прокси-сервера для веб-страниц.
Прямой доступ для клиентов прокси-сервера для веб-страниц
Скорее всего, найдется несколько сайтов, доступ к которым Ваши клиенты не смогут получить из-за фильтра прокси-сервера брандмауэра ISA. По умолчанию, мастер работы с протоколом HTTP связывает фильтр прокси-сервера HTTP с HTTP протоколом. Таким образом, брандмауэр ISA получает возможность передавать все веб-соединения (HTTP, HTTPS и FTP через туннель HTTP) прокси-фильтру брандмауэра ISA и пользоваться преимуществами кеширования веб-страниц брандмауэра ISA и тщательной проверки на прикладном уровне HTTP.
И хотя все это очень удобно, иногда необходимо обойти компоненту прокси-сервера для доступа к сайтам, которые не могут корректно работать с прокси-фильтром брандмауэра. Давайте рассмотри пример того, как прямой доступ может решить проблему соединения с сайтами, которые отказываются работать с брандмауэром прокси-сервера для веб-страниц.
Для начала предположим, что Вы используете программное обеспечение, предоставляющее достаточно высокий уровень безопасности. Вы установили клиента брандмауэра на операционные системы Ваших клиентов и настроили клиентов прокси-сервера (это может быть сделано автоматически во время инсталляции клиента брандмауэра). Проблема состоит в том, что для соединения с учетной записью в Hotmail Вам нужно использовать Outlook Express. Вы создали несложный набор следующих правил для ISA брандмауэра:
- Разрешить исходящее DNS соединение для всех пользователей
- Для авторизованных пользователей разрешить исходящие соединения по любому протоколу
- Правило, действующее по умолчанию, которое блокирует весь трафик, проходящий через брандмауэр ISA
Эти правила выглядят следующим образом:
Давайте теперь настроим брандмауэр и клиента прокси-сервера для внутренней сети для подсоединения к сайту Hotmail через Outlook Express. При попытке доступа к сайту Вы увидите следующую ошибку клиента Outlook Express:
Сообщение об ошибке содержит следующую ключевую фразу Proxy Authentication Required (The ISA Server requires authorization to full the request. Access to the Web Proxy service is denied) (Необходима аутентификация прокси-сервера, сервер ISA требует авторизации для того, чтобы выполнить запрос, в доступе к прокси-серверу для веб-страниц отказано). Это означает, что приложение Outlook Express работает некорректно при аутентификации брандмауэров прокси-серверов. Решение заключается в отключении работы прокси-системы, использовать прямой доступ и предоставить возможность системе клиента получить доступ к сайту Hotmail через конфигурацию клиента брандмауэра.
Это решение позволяет запросить аутентификацию для брандмауэра ISA непосредственно перед получением доступа. Клиент брандмауэра дополняет уже установленные требования по безопасности посылая учетную запись брандмауэру ISA, даже если из-за прямого доступа конфигурация клиента прокси-сервера не используется. Нам не хочется удалять уже существующую аутентификацию для внешних соединений, нам и не надо этого делать. Для доступа к сайту нужно просто использовать конфигурацию клиента брандмауэра и установить жесткий контроль над исходящими соединениями.
Прямой доступ настраивается в свойствах сети брандмауэра ISA, откуда и поступает запрос брандмауэру ISA. Если, например, у Вас есть четыре сетевых интерфейса для брандмауэра ISA, которые соединяют установленные по умолчанию внешнюю и внутреннюю сети, сеть с зоной DMZ и служебную сеть. Клиент, передающий внешний запрос, расположен во внутренней сети, то Вам придется настроить прямой доступ в свойствах внутренней сети.
Для того, чтобы установить свойства сети, откройте консоль Microsoft Internet Security and Acceleration Server 2004, а затем разверните элемент с именем сервера. Укажите на узел Configuration и щелкните узел Networks. На информационной панели откройте закладку Networks, а затем двойным щелчком откройте элемент Internal.
В диалоге Internal Properties откройте закладку Web Browser. На открывшейся закладке нажмите на кнопку Add.
В диалоговом окне Add Server выберите опцию Domain or computer и введите имя сайта, для которого будет использоваться прямой доступ. В нашем примере одним из сайтов для прямого доступа является домен hotmail.com. Введите *.hotmail.com (поместив звездочку в начале адреса, вы предоставите прямой доступ ко всем серверам в домене Hotmail ). Нажмите OK.
Повторите этот набор действий для следующих доменов:
*.msn.com
*.passport.com
*.passport.net
Нажмите Apply, а затем OK в диалоговом окне Internal Properties. Нажмите Apply. Теперь Ваши изменения будут сохранены и правила брандмауэра будут изменены. Нажмите OK в диалоговом окне Apply New Configuration.
Обновленная конфигурация для брандмауэра и клиентов прокси-сервера для веб-страниц хранится у брандмауэра ISA. По умолчанию брандмауэр и клиенты прокси-сервера обновляют конфигурации каждые шесть часов. Но Вы можете произвести немедленное обновление конфигурации, просто перезапустив свой компьютер, или обновить конфигурацию с помощью клиентского приложения брандмауэра. Это одна из причин, почему никогда не стоит убирать иконку клиента брандмауэра из панели задач.
Щелкните дважды на иконке клиентского приложения брандмауэра, затем нажмите на кнопку Test Server. Конфигурационные данные будут перекачены из брандмауэра ISA на клиентскую часть. Когда тестирование закончится, нажмите Close в диалоговом окне Testing ISA Server, а затем нажмите на кнопку Apply в диалоговом окне Microsoft Firewall Client for ISA Server 2004.
Откройте закладку Web Browser. Убедитесь, что для опции Enable Web browser automatic configuration поставлена галочка, щелкните Configure Now, а затем нажмите кнопку OK в диалоговом окне Web Browser Settings Update. Обратите внимание, что эти установки автоконфигурации не совпадают с установками автоконфигурации в диалоговом окне Properties Вашего браузера. Установки автоконфигурации браузера применяются к элементам wpad, позволяющим браузеру найти брандмауэр ISA.
В диалоговом окне Microsoft Firewall Client for ISA Server 2004 нажмите Apply, а затем Ok.
Теперь, открыв Outlook Express, Вы сможете установить соединение и получить доступ к Вашей почте на сайте Hotmail. Все аутентифицированные соединения будут отображены в файле журнала регистрации брандмауэра ISA. Соединение устанавливает клиент брандмауэра вместо клиента прокси-сервера, так как URL указывает IP адрес сайта Hotmail, а не полностью определенное имя домена (FQDN). Полное имя домена можно увидеть только в файле журнала регистрации после того, как клиент прокси-сервера установит соединение. Также Вы можете привлечь сторонние приложения для того, чтобы получить URL соединений клиента брандмауэра.
Очень важной особенностью прямого доступа является то, что, когда клиенты настроены, как и клиенты прокси-сервера, и брандмауэра (что, кстати, должно делаться всегда), даже при использовании прямого доступа для обхода прокси-сервиса для веб-страниц, нам не приходится поступаться своей безопасностью, убирая аутентификацию для внешних соединений. Клиент брандмауэр заменяет клиента прокси-сервера и осуществляет авторизацию с нуля.
По тому же самому принципу происходит работа с любым сайтом, проблема которого заключается в несовместимости с прокси-фильтром брандмауэра ISA. Просто укажите IP адрес или имя сайта в списке сайтов, которым необходим прямой доступ, и ими займется клиент брандмауэра или SecureNAT.
Учтите, что если Вы не установили клиента брандмауэра, например, в случае установки сервера, когда клиентская часть обычно не устанавливается, тогда Вам нужно создать правило анонимного доступа, которое будет применяться к IP адресам клиентов в сети, защищенной брандмауэром ISA, которым необходим прямой доступ к проблемным сайтам.
Приведем пример: Ваш босс сошел с ума и просить запустить Outlook Express на доменном контроллере. Вы ему говорите, что это не слишком хорошая идея запускать клиентские приложения на серверах. Но он платит Вам деньги, так что Вам приходится делать то, что он хочет. Вам не хочется устанавливать клиент брандмауэра на доменном контроллере, так как это сервер. Но Вы можете добавить правило, которое позволяло бы доменному контроллеру получить анонимный доступ к необходимым сайтам.
Для этого необходимо следующее:
- Набор доменных имен сайтов, доступ к которым Вам нужен
- Список машин, на которых не установлен клиент брандмауэра
- Правило доступа, предоставляющее доступ машинам из списка к выбранным сайтам по выбранным протоколам
Набор доменных имен должен выглядеть аналогично тому, что изображено на рисунке. Этот набор включает в себя те же самые сайты, что мы настроили для прямого доступа веб-браузера к сети, чей запрос получил брандмауэр ISA.
Список машин включает в себя IP адреса серверов, которые должны получить доступ к выбранным сайтам без аутентификации брандмауэра ISA. Для нашего пример, когда начальник хочет использовать Outlook Express на доменном контроллере, список машин будет выглядеть следующим образом.
Пример Правила доступа, позволяющего исходящее соединение с сайтом Hotmail неаутентифицированному клиенту, изображен на следующем рисунке. Обратите внимание, что данное правило должно быть применено раньше всех остальных правил, требующих аутентификации по тем же самым протоколам. Короче, Вам нужно разместить правила анонимного доступа над правилами аутентифицированного доступа.
Не забудьте, что если Вы не требуете аутентификации, то информация о пользователях не появится в журнале регистрации. Поэтому я рекомендую подключать правила анонимных исходящих соединений только в случае экстренное технической или политической необходимости.
Резюме
В этой статье, представляющей первую часть разговор о настройке прямого доступа, мы обсудили конфигурацию прямого доступа для клиентов прокси-серверов для веб-страниц. Прямой доступ для клиентов прокси-серверов позволяет клиентским машинам обходить настройки прокси-сервера и использовать конфигурацию клиентов брандмауэра или SecureNAT для доступа к проблемным сайтам. В следующей статье мы обсудим конфигурацию прямого доступа для клиентов брандмауэра и выясним, почему необходимо настраивать прямой доступ в сценариях клиентской части брандмауэра.
Автор: Томас Шиндер (Thomas Shinder)
Доктор Томас Шиндер (Thomas W. Shinder) является MCSE, MCP+I и MCT. Он работает в качестве инструктора и консультанта по технологиям в Dallas-Ft. Worth муниципальном районе, помогая в разработке и внедрении коммуникационных стратегий, основанных на IP, для таких больших фирм, как Xerox, Lucent и FINA.
Набор бесплатных утилит, облегчающих работу администратора Microsoft ISA Server.
Программа для контроля Интернет-канала организации и учета трафика, проходящего через Microsoft ISA Server
и другие прокси-серверы. Позволяет отслеживать кто, когда, куда, откуда и зачем выходил в Интернет.
Программа для учета трафика и контроля эффективности работы Microsoft Exchange Server и других почтовых серверов.
Позволяет отслеживать сколько, кто, кому, когда отправлял электронных писем.
Программа для мониторинга принтеров Вашей организации. Позволяет отслеживать кто, когда и сколько распечатал страниц.
RSS