none
ISA 2006 в режиме прокси + DMZ RRS feed

  • Вопрос

  • Коллеги что то я запутался, подскажите плиз :
    Если ISA 2006 установлена в режиме Single Network Adapter - то бишь в режиме прокси-сервера ( насколько я помню в этом режиме она ни разу не фаерволл)
    можно ли в нее добавить еще  сеть  DMZ и настроить правила доступа ?
    3 июня 2009 г. 13:40

Все ответы

  • Если в неё воткнуть ещё один сетевой адаптер (или задействовать второй имеющийся встроенный) , то конечно можно.


    Абсолютно нормальный парень...
    3 июня 2009 г. 13:50
  • Ну, почему же? ISA защищает сеть локального хоста, то бишь саму себя. :)

    Как сказал ранее Алексей, для обеспечения контроля межсетевого взаимодействия средствами ISA, придется задействовать дополнительный сетевой интерфейс.
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    3 июня 2009 г. 14:26
    Отвечающий
  • Так стоп - но ведь выбран режим Single Network Adapter - то есть функции фаерволла по идее не должна присутствовать

    http://www.oszone.net/print/8990/

    Один сетевой адаптер

    Шаблон с одним сетевым адаптером имеет некоторые ограничения, поскольку ISA Server с одним сетевым интерфейсом не может использоваться в качестве настоящего брандмауэра, многие функции просто недоступны. Ниже приведен список доступных в такой конфигурации функций:

    • Передача веб прокси запросов, использующих протоколы HTTP, Secure HTTP (HTTPS) или File Transfer Protocol (FTP) для загрузки
    • Кэширование веб контента для использования клиентами корпоративной сети
    • Веб публикация для помощи в защите публичных веб и FTP серверов
    • Microsoft Outlook Web Access, ActiveSync и вызов удаленных процедур (remote procedure call – RPC) через публикацию HTTP
    Для того что бы использовать DMZ нужно выбирать вот этот шаблон

    3-Leg Perimeter

    3-Leg Perimeter Firewall – это ISA Server с тремя и более сетевыми адаптерами. Один сетевой адаптер подключен для внутренней сети, один – для внешней сети и один – для сети DMZ (DeMilitarized Zone), также известной как Сеть периметра (Perimeter Network). Сеть периметра содержит службы, к которым нужен доступ из интернета, но которые также должны быть защищены с помощью ISA Server. Типичными службами сети DMZ являются веб серверы , DNS серверы и прочее. 3-Leg Perimeter Firewall также часто называют «Брандмауэром бедного человека» (‘Poor Man’s Firewall’), потому что это не совсем DMZ. Настоящая DMZ представляет собой зону между двумя различными брандмауэрами.

    тоесть добавляя сетевой интерефейс в установленном шаблоне Single Network Adapter мы изменяем конфигурацию ISA на  EDGE в разных видах, а добавляя еще 1 сетевой интерефейс получаем 3-Leg Perimeter - то бишь DMZ

    ?
  • Функция Firewall присутствует всегда, в частности, для защиты "сети" Localhost, см. ответы выше. А тот рисунок, который ISA Server показывает на картинке Networks, не должно вводить вас в заблуждение. Это всего лишь загруженный шаблон, одна из типовых конфигураций, которую вы вручную можете перенастроить как угодно. Если у вас конфигурация с одним сетевым адаптером и вы добавляете еще один и загружаете другой шаблон конфигурации, у вас будут удалены все ранее настроенные правила. Но вы можете не трогать текущий шаблон, а просто добавить Сеть (Network), связанную с новым сетевым интерфейсом, и настроить правила контроля сетевого трафика между новой сетью и существующими. Единственный недоствток такого подхода - рисунок останется прежним, не отражающим новую сетевую структуру.
    Модератор
  • Lawash, я могу только догадываться, что понимают под "настоящим брандмауэром" авторы статьи, которую Вы цитируете.

    По поводу DMZ - да, именно так. А в чем расхождения нашими с Алексеем ответами?


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • Всем спасибо - разобрался
    в общем при добавлении новой сети с текущим шаблоном Single Network Adapter - конфигурация менятеся из простого прокси на FW (без разницы как - с помощью шаблона или с помощью мастера новой сети )
    Вот только одно не могу понять - функционал FW полностью присутсвует ? или шаблон это только картинка с предустановленнными правилами ?
  • Lawash, "функционал" присутствует всегда. Другое дело, что задействовать Вы его могли лишь при наличии более одного сетевого адаптера.
    Шаблон не определяет правила, а лишь частично - отношение сетей.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий