ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Правила публикации Web-сервера и сервера позволяют делать серверы и сервисы в сетях, защищенных брандмауэром ISA, доступными для пользователей как защищенных, так и незащищенных сетей. Эти правила предоставляют возможность сделать популярные сервисы, такие как SMTP (Simple Mail Transfer Protocol, простой протокол электронной почты), NNTP (Network News Transfer Protocol, сетевой протокол передачи новостей), РОРЗ (Post Office Protocol v. 3, почтовый протокол в сети Интернет), IMAP4 (Internet Message Access Protocol v. 4, протокол доступа к сообщениям в сети Интернет), Web («всемирная паутина»), OWA (Outlook Web Access, Web-доступ в Outlook),Terminal Services (службы терминалов) и многие другие, более доступными для пользователей удаленных сетей или других внутренних сетей или сетей периметра (Perimeter Networks). Правила публикации Web-сервера и правила публикации сервера предоставляют разные наборы свойств и применяются для разных целей. Вообще правила публикации Web-сервера следует использовать для публикации Web-серверов и сервисов, а правила публикации сервера должны применяться для публикации серверов и сервисов не-Web. Существуют исключения из этого правила, и мы обсудим их в этой главе. Начнем главу с обсуждения свойств и функциональных возможностей правил публикации Web-серверов и серверов. После общего обзора перейдем к деталям создания и настройки правил публикации Web-серверов и серверов. И завершим главу несколькими сценариями, демонстрирующими применение правил публикации Web-серверов и серверов в производственных сетях.

Правила публикации Web-сервера

Правила публикации Web-сервера используются для публикации Web-сайтов и сервисов. Web-публикацию иногда называют «реверсивным представительством» (reverse proxy). Когда публикуется Web-сайт, фильтр Web-прокси брандмауэра ISA всегда перехватывает запрос и затем представляет запрос к Web-сайту, опубликованному с помощью правила публикации Web-сервера. Правила публикации Web-сервера предоставляют следующие функциональные ВОЗМОЖНОСТИ:
¦ серьезный контроль прикладного уровня над соединениями, устанавливаемыми с опубликованными Web-сайтами;
¦ предварительная аутентификация соединений, устанавливаемых с опубликованными Web-сайтами (Forward basic authentication credentials, передача основных аутентификационных данных);
¦ возможность публикации нескольких Web-сайтов с помощью единственного IP адреса;
¦ возможность с помощью Link Translator (Транслятор ссылок) брандмауэра ISA перезаписывать URL-адреса, возвращаемые опубликованным Web-сайтом;
¦ поддержка передачи на Web-сайт как IP-адреса брандмауэра ISA, так и действительного IP-адреса клиента;
¦ возможность задания расписания, в соответствии с которым разрешаются соединения с опубликованными Web-сайтами;
¦ переадресация (redirection) портов и протоколов. Рассмотрим каждую из этих функций подробно. Обеспечение доступа через прокси к Web-сайтам, защищенным брандмауэром ISA Правила публикации Web-сервера обеспечивают доступ через прокси к Web-сайтам, находящимся в сети, защищенной брандмауэром ISA. Любая сеть, не являющаяся частью внешней сети по умолчанию, рассматривается как сеть, защищенная брандмауэром ISA. Соединение через прокси более безопасно, чем соединение с определением маршрута или соединение средствами NAT (network address translation, преобразование сетевых адресов), поскольку соединение разбивается на части и восстанавливается брандмауэром ISA. Оно позволяет брандмауэру ISA выполнять на уровне приложений глубокую проверку Web-запросов к Web-сайтам, опубликованным с помощью правил публикации Web-серверов. Фильтр Web-прокси брандмауэра ISA обрабатывает все входящие Web-соединения, устанавливаемые с применением правил публикации Web-сервера. Даже если отсоединить фильтр Web-прокси от определения протокола HTTP, он все равно останется доступным для правил публикации Web-сервера. Это решение, принятое разработчиками брандмауэра ISA, связано с безопасностью. Определено, что не прошедшие через прокси входящие подключения к Web-серверам защищенной сети должны всегда обрабатываться прокси для обеспечения наивысшего уровня защиты опубликованных Web-серверов.