Windows - Az ISA szerver szabályrendszere

ISA szerver 4. rész

Az ISA szerver bonyolult szabályrendszerrel rendelkezik. Internet hozzáférési szabályok, sávszélességi szabályok, és szerver vagy Web szerver publikációs szabályok segítik egyedileg behangolni a cég igényei szerint a tűzfalszolgáltatást. Cikkünkben részletesen foglalkozunk a különféle szabályokkal.
Az ISA szerver beállítható úgy, hogy a speciális biztonsági és teljesítménybeli igényeinket kielégítse azáltal, hogy olyan szabályokat definiálunk, amelyek meghatározzák, hogy a felhasználók, számítógépek vagy alkalmazások számára biztosított-e az elérés a hálózat számítógépeihez, vagy az Internethez. Az ISA szerver segítségével az alábbi szabálytípusokat definiálhatjuk:
  • Hozzáférési házirend szabályok, amelyek tartalmazzák az IP csomagszűrőket, protokoll szabályokat, valamint az oldal- és tartalomszabályokat.
  • Sávszélesség szabályok.
  • Publikációs házirend szabályok.
Amikor egy belső kliens egy Internet objektumot kér, az ISA szerver feldolgozza a szabályokat, hogy eldöntse, a kérés engedélyezhető-e.
Hasonlóan, amikor egy külső (Internet) kliens a belső szerverről kér valamilyen objektumot, az ISA szerver szintén a szabályok alapján határoz a kérés sorsáról.
Hozzáférési házirend szabályok
A hozzáférési házirend szabályok kétfélék lehetnek:
  • IP csomagszűrők
  • Protokoll, oldal- vagy tartalomszabályok
IP csomagszűrők
A csomagszűrő tulajdonság segítségével kontrollálható az ISA szerveren áthaladó IP csomagforgalom. Amikor engedélyezzük a csomagszűrést, az ISA minden csomagot a külső csatolón eldob, amely kifejezetten nem engedélyezett, akár statikus IP csomagszűrésről, vagy a hozzáférési vagy publikálási szabály dinamikus szűréséről van szó.
Még akkor is, ha nem kapcsoljuk be a csomagszűrést, a kommunikáció a lokális hálózat és az Internet között csak akkor lesz engedélyezett, amikor kifejezetten beállítunk engedélyező szabályokat.
A legtöbb esetben javasolt, hogy dinamikusan nyissunk port-okat. Ennek folytán általában javasolt, hogy létrehozzunk hozzáférési házirend szabályokat, amelyek lehetővé teszik a belső kliensek hozzáférését az Internethez, vagy publikációs szabályokat, amelyekkel a külső felhasználók tudják elérni a belső szervereket. Mindezt azért, mivel az IP csomagszűrők statikusan nyitják ki a port-okat, a hozzáférési és publikációs szabályok ellenben dinamikusan (amikor kérés érkezik). Például, képzeljük el, hogy minden belső kliensnek hozzáférést adunk a HTTP oldalakhoz. Nem kell IP csomagszűrőt létrehoznunk, amely megnyitja a 80-as port-ot, hanem létrehozhatjuk a szükséges oldal- és tartalom-, valamint protokoll szabályokat, amelyek engedélyezik ezt a hozzáférést.
Létrehozhatunk IP csomagszűrőket, amelyek a szolgáltatás típusa, port száma, forrás- vagy célgép neve szerint szűrik a csomagokat. Az IP csomagszűrők statikusak – a kommunikáció egy meghatározott port-on állandóan engedélyezett, vagy állandóan tiltott lehet. Az engedélyező szűrők kivételi szűrők, amelyek blokkolnak mindent, kivéve, amit mi meghatározunk. Ha nincs egy csomagszűrő aktiválva egy meghatározott port-on, akkor a szolgáltatás nem képes figyelni azt a port-ot, amíg a port dinamikusan meg nem nyílik.
Blokkoló szűrők lezárnak megadott port-okat. Létrehozhatunk és beállíthatunk zároló szűrőket, hogy később definiáljuk a forgalmat az ISA szerver gépen keresztül. Például létrehozhatunk és engedélyezhetünk egy szűrőt, amely a TCP forgalmat engedélyezi a 25-ös port-on minden belső és külső host között, így engedélyezve az SMTP kommunikációt. Ezután korlátozhatjuk az elérést, létrehozva egy zároló szűrőt, amely lekorlátoz számos külső kiszolgálót, mint a potenciális támadókat, amelyek TCP csomagokat küldenének a 25-ös port-jára az ISA gépnek.
Protokoll, oldal és tartalom szabályok
A protokoll szabályok definiálják, hogy mely protokollok használhatók a kommunikációban a helyi háló és az Internet között. A protokoll szabályok alkalmazás szinten kerülnek feldolgozásra. Például egy protokoll szabály lehetővé teszi egy kliensnek, hogy a HTTP protokollt használja.
Oldal- és tartalomszabályok definiálják, hogy mely tartalom és mely Internet oldalon érhető el az ISA szerver mögött lévő kliensek által. Oldal- és tartalom-szabályok alkalmazás szinten kerülnek feldolgozásra. Például egy oldal- és tartalomszabály lehetővé teszi a kliensnek, hogy egy bizonyos célt elérjen az Interneten.
Amikor az ISA szervert telepítjük, megadhatjuk a telepítési módot: tűzfal, cache, vagy integrált. Cach módban a protokoll szabályok közül csak a következők érhetők el: HTTP, FTP, HTTPS, Gopher.

Sávszélesség szabályok
Sávszélesség szabályok meghatározzák, hogy mely kapcsolatok élveznek elsőbbséget mások felett. Az ISA szerver sávszélesség felügyelet nem korlátozza, hogy mennyi sávszélesség használható, hanem informálja a Windows 2000 QoS csomagütemező szolgáltatást, hogy miként állítson fel prioritást a hálózati kapcsolatok között. Bármely kapcsolat, amelyhez nincs megfeleltetett sávszélesség szabály egy alapértelmezett ütemezési prioritást kap. Másrészről, bármely kapcsolat, amely megfeleltetett sávszélesség szabállyal rendelkezik, az alapértelmezetten ütemezett kapcsolatok elé kerül.
A sávszélesség szabályok mindkét telepítési mód esetén elérhetők.

Publikációs házirendi szabályok
Az ISA szerver segítségével publikációs szabályokat is létrehozhatunk, amelyek szerver- és Web-publikáló szabályokból állnak. A publikációs házirend csoport szinten hozható létre az Enterprise szint helyett.
A szerverpublikáló szabályok kiszűrnek minden bejövő kérést. Megfeleltetik a bejövő kéréseket az ISA szerver gép mögötti megfelelő szervereknek.
A Web-publikációs szabályok ugyanezt az ISA mögötti Web szerverekkel kapcsolatban teszik.
Tűzfal módban a Web-publikációs szabályok, cache módban a szerverpublikációs szabályok nem elérhetők. Integrált módban mindkét szabály típus megtalálható.

ISA szerver cikksorozat