Windows - SecureNAT szolgáltatás az ISA szerverben

ISA szerver 3. rész

Az ISA szerver a Windows 2000 szerver hálózati címfordító szolgáltatásának egy továbbfejlesztett változatát tartalmazza, amelynek neve SecureNAT. Cikkünkben áttekintjük a NAT és a SecureNAT jelentését. Összehasonlítást végzünk a protokollok között.
Secure Network Address Translation
A biztonságos hálózati címfordítás (SecureNAT) egy kiterjesztett megvalósítása a Microsoft Windows 2000 NAT driver-ének.
A NAT egy Interneten valósan használható globális IP címet egy helyi IP címre helyettesít be. Ez a címcsere lehetővé teszi azt, hogy több, különálló belső IP címmel rendelkező kiszolgálót közös publikus (ISA tűzfal által védett) IP címen csatoljunk az Internetre.
Az ISA SecureNAT tulajdonsága címáttetszőséget jelent a hálózati klienseknek. A NAT az IETF szabványon alapszik, és behelyettesít egy globális IP címet – amely az Interneten valós – egy helyi IP címre. Az ISA szerver kiterjeszti az alatta lévő NAT képességeit, lehetővé téve az FTP, ICMP, H.323 és PPTP protokollok elérésének felügyeletét. A NAT ezen kívül újrairányítja a HTTP kéréseket, amelyeket gyakran kiad a helyi gyorsítótár, mint a CERN proxy esetében.
A SecureNAT Internet kapcsolatot nyújt több számítógép számára megosztottan, egy egyedülálló modem és egy Internet felhasználói azonosító segítségével. A SecureNAT több kiszolgálónak engedélyezi, hogy egy átjáró gépen keresztül kapcsolódjon a publikus Internethez. A SecureNAT tulajdonság segítségével egy egyedi dial-up vagy más nyilvános hálózatra nyitott kapcsolat képes kiszolgálni az adott hálózatot és így elérést nyújt egyaránt az Internetre és a céges belső hálózatra, lehetővé téve a kommunikációt. Minden kiszolgáló a privát hálózaton egy vagy több globális címet képes megosztani.
Ha a hálózati beállítások úgy lettek megadva, hogy az alapértelmezett átjáró az ISA szerver gép IP címe, akkor a NAT behelyettesíti globális IP címként a privát IP címét a gépnek, amelytől a kimenő kérés származik. A NAT be fogja cserélni a forrás címét az ISA gépnek az adatcsomagban, mivel a válasznak a globális ISA IP címre kell érkeznie.
Amíg a SecureNAT átlátszóság kiiktatja annak szükségességét, hogy más beállításokat használjunk, mint az alapértelmezett átjáró, fontos megjegyeznünk, hogy a SecureNAT nem fog együttműködni valamennyi protokollal, számos játék protokollal, és új protokollokkal, amelyekhez nem található meg protokollszerkesztő.
A SecureNAT az ISA tűzfallal együttműködésben használható a Winsock alkalmazások használatának esetén. Nem szükséges kézi beállítás ehhez a tulajdonsághoz, mivel a konfiguráció a színfalak mögött zajlik. Mióta a SecureNAT a tűzfalszolgáltatással együttműködik, az alkalmazásszűrők NAT szerkesztőként dolgoznak, és a NAT klienseket a rendszergazdák kezelhetik, mint leendő tűzfalszolgáltatás-klienseket. Ez azt jelenti, hogy az ISA szerver szabályok és házirendek a NAT kliensekre vonatkozhatnak.
SecureNAT szempontok
Amíg a SecureNAT átláthatóságot nyújt anélkül, hogy speciális klienskonfigurálásra, vagy -telepítésre lenne szükség a kliensszoftverben (és egyben automatikus beállításokat is jelent az alapértelmezett átjárókon), a NAT esetében a következő korlátokkal kell számolnunk:
  • Csak IP-alapú (nem felhasználó-alapú) házirendeket lehet megvalósítani, mivel a felhasználók azonosítója nem kerül át az ISA szerverre. E korlát miatt van az, hogy a házirend a kliens IP címén alapszik.
  • A NAT csak azokkal a protokollokkal dolgozik, amelyeket kifejezetten támogat is, és nem lehet használni azon protokollok többségével, amelyek az IP címet a csomagban helyezik el.
  • A SecureNAT kliensek esetében egy szabály létrehozása, amely lehetővé tesz valamennyi IP forgalomhoz való hozzáférést, megegyezik azzal, mintha hozzáférést engednénk valamennyi protokollhoz, amely az ISA szerverben definiált. Ez nem azonos azzal, mintha valamennyi IP forgalomnak elérést nyújtanánk.
Megjegyzések fejlesztők számára
A SecureNAT segítségével az ISA szerver kiterjeszti az alatta lévő NAT funkcionalitását a Windows 2000-nek a tűzfal szintjére, és ezzel felhasználói módba. Egy alkalmazásszűrő, amely másodlagos kapcsolatokat engedélyez egy NAT kliensnek, átveszi egy NAT szerkesztő helyét. Másodlagos kapcsolatok lehetősége egy NAT kliensnek SecureNAT-en keresztül így egyszerűbb, és elérésünk lesz a felhasználói módú hibakereső eszközökhöz a fejlesztési folyamatban.
Fejleszthetünk alkalmazásszűrőt, amely másodlagos kapcsolatot engedélyez egy NAT kliensnek és hatékony tulajdonságát egyaránt hozzáadja a tűzfal és NAT kliensekhez. Másként fogalmazva fejleszthetünk egy alkalmazásszűrőt, hogy meghatározottan címezzük a másodlagos kapcsolat szükségleteit a NAT kliensnek, lehetővé téve számára, hogy más alkalmazásszűrőkkel dolgozzon, mint az, amely tartalomszűrést valósít meg.
Ha létrehozunk egy alkalmazást, amely egy szabadalmaztatott protokollt használ, akkor készíthetünk egy alkalmazásszűrőt, amely lehetővé teszi a SecureNAT klienseknek, hogy használják azt az alkalmazást.
A SecureNAT felhasználói módú függvényei és az ISA egy egyesített része miatt az ISA házirend érvényes lehet a NAT kliensekre. A SecureNAT segítségével felügyelhetjük az FTP elérését, a Streaming média protokollokat, és a Windows NetMeeting-et. Az ISA SecureNAT szolgáltatása ezen kívül engedélyezi a HTTP kérések újrairányítását, amely gyakran lehet sikeres a helyi gyorsítótár segítségével. Ez a fejlesztés fokozza a HTTP teljesítményét és csökkenti a sávszélesség szükségleteket.

ISA szerver cikksorozat