查看單個文章
舊 2004-07-16, 11:31 PM   #3 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

[同步更新]使用ISA Server 2004防火牆發佈位於公共DMZ網段的伺服器

前言:這篇文章描述了如何使用訪問原則發佈使用公共IP的DMZ主機。這種方法允許你在使用你伺服器已經使用的公共IP和ISA Server 2004防火牆套用層過濾之間進行平衡。不像傳統的關於包過濾的防火牆(PIX、Netscreen、SonicWall等等),ISA Server 2004防火牆對通過防火牆的所有通信執行過濾和套用層識別。這篇文章對此進行了完全的討論。

 

 

使用ISA Server 2004防火牆發佈位於公共DMZ網段的伺服器



 

譯自 Thomas W Shinder M.D,「Publishing Servers on a ISA Server 2004 Firewall Public Address DMZ Segment」,加以編輯修改

 
http://www.isaservercn.org/pic/pubdmz/image001.jpg


比起ISA Server 2000防火牆,ISA Server 2004的一個重大改進是多網路的支持。ISA Server 2004從「世界」中發現多網路,不同於ISA Server 2000只是把「世界」 認為是「信任與不信任「(LAT與非LAT)。ISA Server 2004防火牆認為所有網路都是不信任的,而且把訪問原則套用到所有通過ISA Server 2004防火牆的網路連接,包括通過遠端VPN連接的客戶端和VPN網路閘道。

http://www.isaservercn.org/pic/pubdmz/image002.jpg



ISA Server 2004多網路允許你連接多個網路接頭(或多個使用VLAN標籤的虛擬接頭)和對經過ISA Server 2004防火牆的通信具有完全的控制。這個和ISA Server 2000當資料在內部網路中通行時不會受防火牆原則的影響和需要使用RRAS包過濾建立「不足的DMZ」的網路模型具有強烈的對比。

在這篇文章中,我們測試了如何發佈位於公共IP的DMZ段的主機。你可能會記得ISA Server 2000需要使用DMZ網段的公共位址。ISA Server 2000DMZ網段需要使用公共IP,你不能使用私有位址因為ISA Server 2000防火牆路由(替代NAT)使用簡單的包過濾連線到DMZ網段(類似PIX)。與之對比,ISA Server 2004防火牆允許你在Internet和DMZ使用之間路由,或者NAT。事實上,ISA Server 2004防火牆允許你決定使用什麼方式進行連接:路由或者NAT。

如果你已經擁有一個具有多個使用公共位址的主機所建立的DMZ網段,而且因為如果他們位址架構的改變會影響到其他服務的改變如DNS服務等,你不希望改變他們的位址架構,此時,使用公共位址是必要的。你仍然想使用當前伺服器上的IP架構,這樣Internet主機可以使用過去一樣的IP位址(實際上,相同的DNS映射)來訪問DMZ主機。你可以通過ISA Server 2004來在Internet和包含你想發佈的伺服器的DMZ網段之間配置一個路由關係。

注意我加注了「Publish」。ISA Server 2004防火牆原則提供了兩種方式讓你可以控制通過防火牆的原則:Access Rules和Publishing Rules。訪問原則(Access Rules)可以加入到路由和NAT關係。發佈原則(Publishing Rules)總是對連接實行NAT,不過你是否使用公共位址網段或者在源主機和目的主機之間有路由關係。

如果這樣聽起來有點混淆,它是的。它在你按照ISA Server 2000方式,總是要對非信任主機和信任主機進行NAT的方法來實施時會特別混淆。在我們進入如何發佈位於公共位址網段的伺服器之前,先讓我們對新的ISA Server 2004網路模型的的一些方面進行介紹。

下圖顯示了我們這篇文章中使用的示例網路。下圖展示了一種Internet和DMZ網段之間的路由關係。當PocketPC PDA客戶連線到位於DMZ網段的伺服器,它用於建立連接的名字解析到DMZ主機的實際IP位址,在我們這個例子中是172.16.0.2。路由關係允許我們做DNS解析和儲存映射到DMZ主機到實際IP位址的DNS記錄。ISA Server 2004訪問原則讓DMZ主機對Internet客戶可見。
[img]http://www.isaservercn.org/pic/pubdmz/image003.jpg[img]

但是,你同樣可以使用發佈原則來對Internet用戶發佈位於DMZ的主機。在這個例子中,位於Internet的PocketPC PDA主機使用一個位於ISA Server 2004防火牆外部接頭的IP位址來訪問DMZ主機。注意,DMZ主機同樣也有一個公共IP。即使我們使用公共IP位址,因為使用發佈原則,也會執行NAT。這樣允許Internet主機連線到ISA Server 2004防火牆的外部接頭並且有效的隱藏DMZ主機的IP。這個NAT隱藏對於公開的伺服器是一種通用的安全方法。


[img]http://www.isaservercn.org/pic/pubdmz/image004.jpg[img]
注意在圖中DMZ主機使用的DNS伺服器的IP位址,172.16.0.1是DMZ接頭的IP位址。我們使用這個IP位址替代實際的DNS伺服器位址的原因是我們會發佈位於內部網路的DNS伺服器。DNS伺服器發佈原則會在DMZ接頭的IP位址上進行偵聽。你會在文章的後面配置細節中看到。

一個ISA Server 2000Web發佈的主要缺點是你會在發佈的Web伺服器log中記錄下ISA Server 2000防火牆的IP。這對於在日誌分析和報告軟體上花費了巨大投資的組織來說是一個問題。ISA Server 2004修復了這個問題並且允許你選項是將原始客戶IP位址或者ISA Server 2004防火牆的位址傳送到發佈的Web伺服器上。這個對於使用公共位址或者私有位址的DMZ中的Web和伺服器發佈都有效。


表中描述了ISA Server 2004允許遠端訪問到使用公共位址和私有位址的DMZ網段的行為:

 

表一 遠端訪問使用私有位址和公共位址的DMZ伺服器,NAT vs Route,訪問原則和發佈原則

位址架構、路由關係、規則類型
結果和描述

具有公共位址、路由關係和使用訪問原則的DMZ
這種配置允許你使用他們的實際IP位址連線到你的DMZ主機。位於發佈的伺服器上的Log文件將會顯示遠端主原來的IP位址。除非你建立一條訪問原則連線到一台位於DMZ網段的HTTP伺服器。在此例中,ISA Server 2004防火牆的IP位址將表現為源位址。這個可以通過在規則中禁止Web Proxy過濾器來禁止。

具有公共位址、路由關係和使用發佈原則的DMZ
這種配置需要你通過連接ISA Server 2004防火牆的外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將會是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。

具有公共位址、NAT關係和使用訪問原則的DMZ*
這種配置需要你通過連接ISA Server 2004外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。

具有公共位址、NAT關係和使用發佈原則的DMZ*
這種配置需要你通過連接ISA Server 2004外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。熟悉的話?J

具有私有位址、NAT關係和使用發佈原則的DMZ*
這種配置需要你通過連接ISA Server 2004外部接頭來訪問發佈的DMZ主機。不會直接連線到DMZ主機,並且你公共的DNS記錄可能需要修改。源IP位址將是ISA Server 2004防火牆,除非你配置伺服器和Web發佈原則轉發原始的IP位址。Yep,和上面的兩個一樣。


* 注意在所有的發佈原則配置中,連接是通過NAT。當你使用Web或者伺服器發佈時,沒有使用路由的場景。

我們對於這些結果是否關於Web Proxy過濾器啟用與否有些好奇,我們會在文章的後面探討這些行為。

在完成討論之前,我得提醒你在使用訪問原則替代發佈原則來允許訪問你的DMZ主機前將失去大量的安全性。ISA Server 2004比起PIX或者Netscrenn設備提供了很少的安全性。我們可能使用發佈原則的原因包括:

Web發佈原則允許你阻止用戶使用IP位址來替代FQDN來訪問DMZ主機的資源。許多蠕蟲使用IP位址來訪問伺服器,而不是FQDN。

Web發佈原則允許你配置自訂Web偵聽器,它提供了關於Exchange表單的認證、基本身份認證和RSA安全ID認證。

Web發佈原則允許你執行SSL到SSL的橋接。這樣阻止了在一個SSL隧道之間的攻擊者的隱藏注入,當使用SSL到SSL橋接,ISA Server 2004防火牆「解開」SSL隧道,把連接「暴露」在ISA防火牆的應用程式識別機制下,並且丟棄包含有隱藏注入或者其他可疑特性的連接。被ISA Server 2004認為是值得信任的連接將重新加密,並且通過建立在ISA Server 2004和發佈的Web伺服器之間的第二個SSL連接傳送到發佈的Web伺服器上。

伺服器發佈原則將進入的連接通過應用程式過濾器檢查以保護特定的服務。例如包含SMTP過濾器將阻止緩衝區溢出攻擊,DNS過濾器阻止許多DNS注入攻擊,POP3過濾器阻止POP3緩衝溢出。如果你使用訪問原則來發佈來發佈具有公共IP位址的DMZ主機,應用程式過濾器將不會保護它們。

如果你使用訪問原則發佈位於公共位址DMZ區域的Web伺服器,你仍然受到HTTP安全過濾器的保護。HTTP安全過濾器對所有通過ISA Server 2004防火牆的HTTP通信提供非常深入的應用程式層識別。HTTP安全過濾器允許你粒度控制和關於每條規則進行配置。所以你不需要堅持為ISA Server 2004防火牆的所有原則設定一個HTTP安全原則。這是和過去的關於URLScan方法的HTTP通信過濾的巨大躍變(ISA Server 2000中使用URLScan來進行HTTP識別)。

文章的剩餘部分將描述如何使用訪問原則來發佈使用公共IP位址的DMZ主機。這種方式允許你繼續使用你伺服器使用的公共ip,並且在繼續使用ISA Server 2004防火牆的應用程式過濾之間進行平衡。不像傳統的關於包過濾的防火牆(PIX、Netscreen、SonicWall等等),ISA Server 2004防火牆對通過防火牆的所有通信執行過濾和套用層識別,這樣比起市場上的其他防火牆提供了更進階別的保護和控制。


http://www.isaservercn.org/pic/pubdmz/image002.jpg


為了達到我們的目標,你需要執行以下步驟:

配置上游路由器的路由表;

配置網路接頭;

安裝ISA Server 2004防火牆軟體;

在DMZ伺服器上安裝和配置IIS WWW和SMTP服務;

配置DMZ網路;

在DMZ和外部網路之間、DMZ和內部網路之間建立網路規則;

建立一個伺服器發佈原則以允許DMZ傳送DNS請求到局內網;

建立一個訪問原則以允許局內網向外網傳送DNS請求;

建立一個訪問原則以允許外網向DMZ傳送HTTP請求;

建立一個訪問原則以允許外網向DMZ傳送SMTP請求;

測試從外網到DMZ的訪問原則;

通過修改訪問原則禁止Web Proxy filter來允許外網向DMZ傳送資料。


配置上游路由器的路由表

我見過的ISA防火牆管理的最一般的問題是在上游路由器的路由表中把DMZ網段和其他網段放在一起。當你建立一個公共位址的DMZ網段,你需要對你的公共外網位址進行子網劃分,然後分配一個子網給DMZ網段。你可以綁定第一個分配給DMZ網段的有效的IP位址給DMZ接頭,然後分配另外子網的第一個有效IP位址給公共外網接頭。

這就是許多ISA防火牆管理員停止和出現問題的地方。你需要在上游路由器上配置DMZ網段的路由。你可以通過配置路由器使用ISA Server 2004防火牆的外部接頭位址作為DMZ網段網路ID的網路閘道位址。如果在上游路由器上丟失了這條路由項,那麼對於DMZ網段,沒有主要的進入連接、也沒有對進入連接的回應、通信的出入可以正常工作。

在我們在這篇文章中使用的實驗網路中,外部網路主機和ISA Server 2004防火牆的外部接頭具有相同的網路ID192.168.1.0/24。ISA Server 2004防火牆的外部IP位址是192.168.1.70,外部主機將使用和它相同網路ID的IP位址。DMZ網段使用網路ID 172.16.0.0/16。因此,在這篇文章中我們使用的Windows XP外部網路主機中,我配置了一個路由項來告訴它使用ISA Server 2004防火牆的外部接頭IP位址來到達網路172.16.0.0/16。我執行了以下指令:

 

route add 172.16.0.0 MASK 255.255.0.0 192.168.1.70

 

注意:這個例子中沒有使用公共外網位址塊的子網。在生產環境中,你可能會對你的公共位址塊進行子網劃分和在ISA Server 2004防火牆的上游路由器上為你的DMZ子網段建立對應的路由項。這意味著你必須得控制你的上游路由器,由於ISP的關係,這讓公共位址的DMZ網段成為了難確定的一點。


 

配置網路接頭

網路接頭配置通常是ISA Server 2000管理員的爭論焦點,並且我期望它能繼續成為ISA Server 2004管理員的爭論焦點。關於這個問題,有許多原因,主要的原因是你是否架設你的DNS服務。

對於ISA Server 2004防火牆來說,DNS是一個至關重要的服務,因為防火牆可以為Web Proxy和防火牆客戶代理名字解析。ISA Server 2004防火牆使用它接頭上的DNS設定來詢問合適的DNS伺服器。如果你配置了錯誤的DNS伺服器,那麼你將會體驗緩慢的名字解析,或者根本不能解析名字,給予最終用戶ISA Server 2004防火牆不能工作的印象。

我們可以使用以下的指導方法把ISA Server 2004防火牆正確的DNS配置進行摘要:

如果你在內部網路中擁有DNS伺服器,你應該配置這個DNS伺服器支持Internet的主機名字解析;

如果你不選項讓你的局內網DNS伺服器執行Internet名字解析,你可以考慮在ISA Server 2004防火牆或者DMZ網段上放置一個快取式DNS伺服器。

如果你選項在DMZ網段放置一個為你可以公開訪問的域進行授權的DNS伺服器,不要允許這個DNS伺服器解析DNS名字。它的意思是,你授權的DNS伺服器應該只是對你架設的域解析進行解析,在用戶想通過它解析其他域名時會返回一個錯誤。

如果你不想架設你自己的DNS伺服器而且不想在局內網裡面使用DNS服務,那麼配置ISA Server 2004防火牆使用公眾的DNS伺服器,例如你ISP的DNS伺服器。注意這個配置在進行內部名字解析與在Web Proxy和防火牆客戶端進行連接時將導致問題。因此,你應該為沒有建立DNS基礎結構的SOHO環境選項另外一種防火牆。但是,如果你具有SOHO環境而且具有DNS伺服器,ISA Server 2004防火牆是保護你公司資產的理想防火牆。

永遠不要在已經配置了內部DNS伺服器位址的網路接頭上再配置公眾的DNS伺服器位址。

DNS伺服器位址應該在網路和撥號連接視窗的列表最頂端的接頭上配置。例如,如果你有三個接頭的ISA Server 2004防火牆:一個DMZ接頭,一個內部接頭和一個外網接頭。那麼內部接頭應該是在列表最頂端並且DNS伺服器IP應該配置在這個接頭上。在你使用局內網DNS伺服器、DMZ DNS伺服器、外網DNS伺服器時,這是要值得注意的。

如果你不能理解這些規則,詢問理解了的人。DNS設定非常重要,並且如果ISA Server 2004防火牆的DNS設定不正確,你將體驗非常難偵錯的連通性問題,並且它會給你「ISA Server 2004防火牆不能工作」的壞印象。

最後一條:在發佈你的公共位址的DMZ主機到Internet之前,正確的安排你的DNS伺服器順序。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次