ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Рассмотрим пример организации, в которой используется имя домена internal.net для ресурсов, расположенных во внутренней сети позади брандмауэра ISA Server 2004. В этой организации используется одно и то же имя домена для предоставления ресурсов удаленным пользователям и для публикации этих ресурсов во внутренней сети. Например, компания имеет собственный Web-сервер во внутренней сети, а IP-адрес этого Web-сервера во внутренней сети 192.168.1.10. Организация также имеет собственные DNS-ресурсы и в базе данных DNS присвоила имени хоста www.internal.net IP-адрес 222.222.222.1. Внешние пользователи используют имя www.internal.net для получения доступа к Web-серверу компании. Этот Web-сервер опубликован с использованием правил Web-публикации ISA Server 2004, и внешние пользователи могут без проблем получить к нему доступ. Если клиенты SecureNAT во внутренней сети пытаются установить соединение с этим Web-сервером, то попытки установить соединения оказываются неудачными. Это объясняется тем, что клиенты SecureNAT настроены на использование того же DNS-сервера, который используется внешними клиентами для разрешения имени www.internal.net. Это имя разрешается в общий адрес на внешнем интерфейсе брандмауэра ISA Server 2004, используемый в правиле Web-публикации. Клиент SecureNAT разрешает имя www.internal.net в этот адрес и перенаправляет соединение на внешний интерфейс брандмауэра ISA Server 2004, который затем перенаправляет запрос на Web-сервер во внутренней сети. Web-сервер отвечает напрямую компьютеру клиента SecureNAT, потому что исходный IP-адрес в запросе, перенаправленном брандмауэром ISA Server 2004 на Webсервер во внутренней сети, является IP-адресом клиента SecureNAT. Web-сервер во внутренней сети считает, что этот IP-адрес расположен в его локальной сети, и отвечает напрямую клиенту SecureNAT. Компьютер клиента SecureNAT отбрасывает ответ от Web-сервера, потому что он отправлял запрос на общий IP-адрес брандмауэра ISA Server 2004, а не на IP-адрес Web-сервера во внутренней сети. На Решение этой проблемы состоит в применении расщепленной инфраструктуры DNS. Практически во всех случаях, когда организации требуется удаленный доступ к ресурсам, расположенным во внутренней сети, расщепленная структура DNS является решением проблем с разрешением имен для клиентов SecureNAT и «блуждающих клиентов» (roaming clients) (хостов, которые располагаются то во внутренней сети, то за пределами корпоративной сети). В расщепленной инфраструктуре DNS клиент SecureNAT настраивается на использование внутреннего DNS-сервера, который разрешает имена для ресурсов, основываясь на адресе ресурса во внутренней сети. Удаленные хосты также могут разрешать эти имена, но внешние хосты разрешают эти имена в IP-адреса на внешнем интерфейсе брандмауэра ISA Server 2004, который опубликовал эти ресурсы. Это позволяет клиенту SecureNAT избежать обратного замыкания через брандмауэр ISA Server 2004 и успешно выполнить соединения с опубликованными серверами. На рис. 5.5 показано, как расщепленная инфраструктура DNS разрешает проблему обратного замыкания дли клиентов SecureNAT. В табл. 54 представлены важные вопросы относительно применения DNS к клиентам SecureNAT.