Microsoft Forefront Threat Management Gateway (Forefront TMG), ранее известный как Microsoft Internet Security and Acceleration Server (ISA Server) — прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика, описываемое Microsoft как «(Forefront TMG) позволяет сотрудникам компании безопасно и эффективно пользоваться ресурсами Интернета, не беспокоясь о вредоносных программах и других угрозах».
SERVER 2006. РУКОВОДСТВО ПО БЕЗОПАСНОЙ НАСТРОЙКЕ И КОНТРОЛЮ ПО НАСТРОЙКЕ. СЕРТИФИЦИРОВАННОЙ ВЕРСИИ ISA - СЕРВЕРА.
Хотя многие специалисты по ИТ полагаются на ISA Server 2006 для защиты своих технологических активов, немногие специалисты.
For ISA Server. Руководство администратора (Microsoft ISA Server 2006) на базе комплекса антивирусных программ ОДО «ВирусБлокАда». Данный.
Краткая инструкция по установке и настройке ISA сервера для обеспечения Нам понадобится дистрибутив ISA сервера, набор последних обновлений к. Чистая установка Windows 7 - пошаговое руководство.
Руководство для корпоративных клиентов ISA сервер предназначается для Кроме того, ISA сервер позволяет контролировать номера портов.
Настройка сервера ISA для работы с системой iBank 2
1 Описание; 2 Версии. 2.1 Microsoft Proxy Server; 2.2 ISA Server 2000; 2.3 ISA Server 2004; 2.4 ISA Server 2006; 2.5 Microsoft Forefront Threat Management.
Microsoft Forefront Threat Management Gateway
Создание фильтра IP-пакетов Настройка протокола для фильтра IP-пакетов Применение фильтра IP-пакетов к серверу Настройка сервера ISA для работы с системой iBank 2 Руководство для корпоративных клиентов Содержание Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Принцип обработки запросов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Создание определения протоколов . . . . . . . . . . . . . . . . . . . . . . . . . . Настройка правила протоколов . . . . . . . . . . . . . . . . . . . . . . . . . . . . Создание правила протоколов . . . . . . . . . . . . . . . . . . . . . . . . . Изменение правила протоколов . . . . . . . . . . . . . . . . . . . . . . . . Создание правила узлов и содержимого . . . . . . . . . . . . . . . . . . . . . . . Назначение подмножества адресатов для правила узлов и содержимого Настройка фильтра IP-пакетов . . . . . . . . . . . . . . . . . . . . . . . . . . . . Создание фильтра IP-пакетов . . . . . . . . . . . . . . . . . . . . . . . . . Настройка протокола для фильтра IP-пакетов . . . . . . . . . . . . . . . Применение фильтра IP-пакетов к серверу . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 3 5 7 7 9 11 12 14 14 16 17 Система iBank 2 БИФИТ Введение Данный документ описывает процедуру настройки ISA (Internet Security Assistant) сервера для работы корпоративных клиентов с системой iBank 2 . ISA сервер предназначается для обеспечения информационной безопасности в сети организации. Его использование позволяет ограничить доступ из сети банковским сервером iBank 2 , запретив доступ с прочих IP адресов. Кроме того, ISA сервер позволяет контролировать номера портов, на которые разрешены или запрещены соединения, используемые протоколы, а также содержимое поступающих пакетов. Ниже подробно рассмотрены как конфигурация созданного ISA сервера, так и настройка уже существующего. 2 Система iBank 2 БИФИТ Принцип обработки запросов Принцип обработки внешних запросов ISA сервером можно представить с помощью следующей блок-схемы (см. рис. 1): Рис. 1. Схема обработки внешних запросов Таким образом, для настройки ISA сервера для работы с системой выполнить перечисленные ниже действия. iBank 2 необходимо • Создать определение протоколов в случае, если оно не было создано ранее. 3 Система iBank 2 БИФИТ • Отключить правила протоколов, запрещающие пересылку HTTPS запросов и запросов на порт 9091. • Создать правило протоколов, разрешающее пересылку HTTPS запросов и запросов на порт 9091. • Проверить правила узлов на наличие запрета доступа к банку. • Создать правило узлов, разрешающее пересылку запросов. • Проверить фильтрацию IP адресов. Подробно данные действия описаны в соответствующих разделах ниже. 4 Система iBank 2 БИФИТ Создание определения протоколов Для создания определения протокола выполните следующие действия: 1. В дереве консоли ISA Management щелкните правой кнопкой мыши по пункту Protocol Denitions, в контекстном меню последовательно выберите пункты New и Denitions. 2. В окне мастера New Protocol Denition укажите имя определения протокола iBankIN и нажмите кнопку Next (см. рис. 2). Рис. 2. Задание имени создаваемого протокола 3. На странице Primary Connection Information укажите порт 9091, тип протокола HTTPS и направление основного подключения INCOMING. Нажмите кнопку Next (см. рис. 3). 4. На странице Secondary Connection Information укажите, использует ли протокол дополнительные подключения. Для работы системы iBank 2 дополнительные подключения не нужны (см. рис. 4). 5. Нажмите кнопку Next, а затем кнопку Finish для завершения работы мастера. 6. Повторите описанные выше операции и создайте протокол iBankOUT с направлением основного подключения OUTGOING. 5 Система iBank 2 БИФИТ Рис. 3. Информация об основном подключении Рис. 4. Информация о дополнительных подключениях 6 Система iBank 2 БИФИТ Настройка правила протоколов Создание правила протоколов 1. В дереве консоли ISA Management щелкните правой кнопкой мыши по узлу Protocol Rules и в контекстном меню последовательно выберите пункты New и Rules. 2. В окне мастера New Protocol Rule введите имя правила протоколов (iBank2) и нажмите кнопку Next (см. рис. 5). Рис. 5. Задание имени правила 3. На странице Rule Action укажите, что данное правило разрешает подключения, выбрав пункт Allow, и нажмите кнопку Next (см. рис. 6). Рис. 6. Определение разрешающего правила 7 Система iBank 2 БИФИТ 4. На странице Protocols укажите протоколы, к которым применяется данное правило (HTTPS, HTTPS Server, iBankIN, iBankOUT). Нажмите кнопку Next (см. рис. 7). Рис. 7. Выбор протоколов правила 5. На странице Schedule укажите временной период, когда применяется создаваемое правило, и нажмите Next (см. рис. 8). Рис. 8. Выбор расписания применения правила 6. На странице Client Type укажите, к каким клиентам применяется правило, и нажмите Next (см. рис. 9). 8 Система iBank 2 БИФИТ Рис. 9. Выбор клиентов, к которым применяется правило 7. В финальном окне мастера создания правила протокола нажмите Finish. Если в массиве действует политика предприятия, то разрешается создавать только запрещающие правила. Изменение правила протоколов Администратор может изменить ранее созданные правила. Для этого откройте в дереве консоли ISA Management диалоговое окно свойств правил протоколов и внесите необходимые изменения, выполнив следующие действия: 1. В дереве консоли ISA Management выберите пункт Protocol Rules. 2. Откройте меню View и отметьте команду Advanced. 3. В области сведений щелкните правой кнопкой мыши по нужному правилу и в контекстном меню выберите пункт Properties. 4. На закладке Protocol выполните одно из следующих действий (см. рис. 10): (a) Если правило предполагается применять ко всем протоколам, даже не определенным явно на ISA-сервере, выберите с помощью списка поля пункт All IP Trac (весь IP-трафик). (b) Если требуется применить правило только к выбранным протоколам, выберите с помощью списка поля пункт Selected protocols. (c) Если требуется применить правило ко всему IP-трафику, за исключением выбранных протоколов, выберите с помощью списка поля пункт All IP trac except selected. 5. В случае выбора Selected protocols или All IP trac excepted selected отметьте в списке Protocols одно или несколько определений протоколов. 9 Система iBank 2 БИФИТ Если нужного определения протокола в списке нет, создайте его с помощью кнопки New (см. стр. 5). Поскольку по умолчанию HTTPS запросы разрешены, обычно создание протоколов ограничивается портом 9091. Рис. 10. Настройка правил протокола 10 Система iBank 2 БИФИТ Создание правила узлов и содержимого 1. В дереве консоли ISA Management щелкните правой кнопкой мыши по пункту Site and Content Rules и последовательно выберите пункты New и Rule. 2. В мастере создания правил узлов и содержимого New Site and Content Rule введите имя создаваемого правила и нажмите кнопку Next (см. рис. 11). Рис. 11. Задание имени нового правила 3. На странице Rule Action укажите тип правила (разрешающее или запрещающее) и нажмите кнопку Next (см. рис. 12). Рис. 12. Определение типа правила 4. На странице определения конфигурации правила Rule Conguration выберите вариант применения правила (см. рис. 13): 11 Система iBank 2 • к определенным узлам (Deny access based on destination); • по расписанию (Deny access only on certain times); БИФИТ • к конкретным клиентам (Deny selected clients access to all external sites); • другой, пользовательский вариант (Custom). Нажмите кнопку Next. Рис. 13. Выбор варианта применения правила Если в массиве действует политика предприятия, можно создавать только запрещающие правила. Назначение подмножества адресатов для правила узлов и содержимого 1. В дереве консоли ISA Management щелкните левой кнопкой мыши по узлу Site and Content Rules. 2. Откройте меню View и отметьте команду Advanced. 3. В области сведений щелкните правой кнопкой мыши по нужному правилу и в контекстном меню выберите пункт Properties. 4. На закладке Destinations выберите необходимое значение с помощью списка поля Selected destination set (см. рис. 14). 5. В случае выбора Selected destination set или All destinations except selected set в поле Name укажите подмножество адресатов. 12 Система iBank 2 БИФИТ Рис. 14. Выбор адресатов для правила узлов и содержимого 13 Система iBank 2 БИФИТ Настройка фильтра IP-пакетов Создание фильтра IP-пакетов 1. В консоли ISA Management щелкните правой кнопкой мыши по пункту IP Packet Filter и в открывшемся контекстном меню последовательно выберите пункты New и Filter. В окне мастера New IP Packet Filter введите имя нового фильтра и нажмите кнопку Next (см. рис. 15). Рис. 15. Задание имени фильтра 2. На странице Servers укажите, нужно ли применять фильтр IP-пакетов ко всему массиву ISA-серверов или только к одному серверу. 3. На странице Filter Mode укажите, разрешает или блокирует фильтр прохождение пакетов (см. рис. 16). Рис. 16. Задание режима работы фильтра 14 Система iBank 2 БИФИТ 4. На странице Filter Type выберите предустановленный тип фильтра или пункт Custom для создания собственного фильтра (см. рис. 17). Рис. 17. Выбор типа фильтра 5. При выборе Custom на странице Filter Settings укажите IP протокол (IP Protocol), направление (Direction), локальный (Local Port) и удаленный (Remote Port) порты фильтра IP-пакетов (см. рис. 18). Рис. 18. Настройки фильтра 6. На странице Local Computer укажите локальные компьютеры, к которым будет применяться фильтр IP-пакетов (см. рис. 19). 7. На странице Remote Computer укажите удаленные компьютеры, к которым будет применяться фильтр IP-пакетов (см. рис. 20). 15 Система iBank 2 БИФИТ Рис. 19. Выбор локальных компьютеров Рис. 20. Выбор удаленных компьютеров Настройка протокола для фильтра IP-пакетов 1. Откройте меню View и отметьте команду Advanced. 2. В дереве консоли ISA Management выберите папку IP Packet Filters. 3. В области сведений щелкните правой кнопкой мыши по фильтру IP-пакетов, который требуется изменить, и в контекстном меню выберите пункт Properties. 4. Перейдите на закладку Filter Type. 5. Выполните одно из следующих действий: • проставьте флаг в поле Predened и выберите требуемый фильтр из списка; 16 Система iBank 2 БИФИТ • проставьте флаг в поле Custom и с помощью списка поля IP protocol выберите одно из следующих значений: Any, ICMP, TCP, UDP, Custom protocol. 6. Если для типа фильтра Custom выбран произвольный протокол (пункт Any), с помощью списка поля IP Protocol укажите направление: Inbound, Outbound или Both. 7. Если для типа фильтра Custom выбран протокол ICMP, выполните следующие действия: • С помощью списка поля Direction укажите одно из следующих значений: Inbound, Outbound, Both. • С помощью списка поля Type выберите одно из следующих значений: All types или Fixed type (для значения Fixed type введите type number в поле Number). • С помощью списка поля Code выберите одно из следующих значений: All Codes или Fixed Code (для значения Fixed Code введите code number в поле Number). 8. Если для типа фильтра Custom выбран протокол TCP, выполните следующие действия: • С помощью списка поля Direction выберите Inbound, Outbound или Both. • С помощью списка поля Local Port выберите All ports, Fixed port или Dynamic. Для значения Fixed port введите номер порта в поле Port Number. • С помощью списка поля Remote Port выберите All ports или Fixed port. Для значения Fixed port введите номер порта в поле Port Number. 9. Если для типа фильтра Custom выбран протокол UDP, выполните следующие действия: • С помощью списка поля Direction выберите один из следующих пунктов: Receive only, Send only, Both, Receive send или Send receive. • С помощью списка поля Local Port выберите All ports, Fixed port или Dynamic. Для значения Fixed port введите номер порта в поле Port Number. • С помощью списка поля Remote Port выберите All ports или Fixed port. Для значения Fixed port введите номер порта в поле Port Number. Применение фильтра IP-пакетов к серверу 1. В дереве консоли ISA Management выберите узел IP Packet Filters. 2. В области сведений щелкните правой кнопкой мыши по фильтру IP-пакетов, который требуется изменить, и в контекстном меню выберите пункт Properties (см. рис. 21). 3. На закладке Local computers задайте локальный компьютер, к которому будет применяться фильтр (см. рис. 22). 4. На закладке Remote computers задайте удаленные компьютеры, к которым будет применяться фильтр (см. рис. 23). 17 Система iBank 2 БИФИТ Рис. 21. Вызов окна свойств фильтра 18 Система iBank 2 БИФИТ Рис. 22. Задание локального компьютера Рис. 23. Задание удаленных компьютеров 19
В данной статье описывается, как остановить службу Internet Security and Acceleration ( ISA) Server с помощью командной. Существует множество.