Perimetar mreže se koriste da izoluju servere i resurse i sa Interne i sa internet mreže. U većini slučajeva, serveri kojima bi trebali da pristupaju internet klijenti postavljaju se u perimetar mrežu iza Firewall-a. Ovi serveri će takođe biti odvojeni i od Interne mreže Firewall-om. ISA Server 2004 je dizajniran kao Full-feautured (sadrži sve karakteristike) jakog Firewall-a koji pruža naprednu perimetar sigurnost. ISA Server Omogućava konfiguraciju skoro svih Firewall pravila i perimetar mrežnih konfiguracija. Da bi uprostio implementaciju ISA Server-a kao Firewall-a, ISA Server 2004 nudi nekoliko mrežnih šablona. Ova lekcija opisuje kako se implementira perimetar mreža korišćenjem ISA Server 2004.

 

  

  

Šta je perimetar mreža ?

Postoji nekoliko različitih načina konfigurisanja perimetar mreže, i oni uključuju:

  • Three-legged firewall: Jedan uređaj ili kompjuter na kojem se nalazi više mrežnih kartica, jedna kartica koja je povezana na internet, druga koja je konektovana na perimetar mrežu, i treća kartica koja je povezana na internu mrežu kompanije. Softver koji je instaliran na hostu koristi se za kreiranje razdvajanja između mreža (separation). Razdvajanje se odrađuje kroz filterisanje na firewall uređaju tako da se između interfejsa koji su imenovani kao private, perimeter i public, propušta samo specifičan saobraćaj. Ova solucija radi lepo u manjim mrežama, pošto je firewall uređaj konektovan direktno na sve tri mreže, i sigurnost nije na najvišem nivou u poređenju sa drugim solucijama.
  • Dual back-to-back firewalls: U ovom scenariju, dva firewall-a su konektovana jedan za drugim preko tri mreže; internet, perimetar mreža i privatna (intranet) mreža kompanije. Mreža na koju su konektovana oba firewall-a je perimetar mreža. Firewall-ovi su konfigurisani da dozvoljavaju prolaz samo odgovarajućem saobraćaju između konektovanih mreža. Ovo je kompleksniji metod i mnogo skuplja solucija pošto zahteva konfiguraciju dodatnog hardvera i softvera. Ipak ova solucija pruža mnogo sigurnije okruženje i u većini slučajeva ova solucija predstavlja izbog za velike mreže.  


Kroz kombinaciju hardvera i softvera, i sa odgovarajućom konfiguracijom, administrator bi trebao da bude u mogućnosti da kreira perimetar mrežu da određenim stepenom mrežne izolacije koja je potrebna, dok u isto vreme dozvoljava potrebnu komunikaciju između uređaja koji se nalaze u svakoj od tri mreže.

  

Servisi koji bi trebali da se smeste u perimetar mrežu

Veoma su retke organizacije koje nemaju potrebu da konektuju svoje mrežne infrastrukturne servere na internet. Većina organizacija koristi barem e-mail aplikacije da bi ispratili neke elemente njihovog poslovanja.

Administrator treba da sagleda sve mrežne servise koje ima unutar organizacije i da nakon toga odredi koji servisi moraju da budu dostupni korisnicima koji se nalaze na internetu. Nakon toga, potrebno je da obrati pažnju na to na koji način želi da te servise učini dostupnim korisnicima na internetu. Na primer, ako korisnici zahtevaju pristup svom e-mailu dok rade izvan svojih kancelarija, potrebno je razmisliti o korišćenju we-based e-mail solucija.

 

Tipične perimetar aplikacije

Mada je tačno da ovo nije konačna lista, sledeća tabela ipak pomaže pri identifikaciji najćešćih aplikacija koje mogu da se učine dostupnim u perimetar mreži:

 

  

  

ISA Server kao (Internet Edge Firewall) zaštitna kapija

Ovo je jedan od primarnih scenarija za ISA Server 2004. Njegova najjača osobina je da bude Firewall na ivici. U ovom scenariju ISA Server pruža zaštitnu kapiju za korisnike koji pristupaju resursima na Internetu i Firewall (zaštitni zid) koji štiti od virusa, hakera i neautorizovanog pristupa.
 
Kao Internet Edge Firewall (zaštitni zid na ivici) ISA Server predstavlja ulaznu tačku kao i primarnu zaštitnu granicu između interne mreže i interneta (javne i nesigurne mreže). ISA Server je izgrađen tako da ima jednu mrežnu kartu koja je povezana na Internet i drugu mrežnu karticu koja je povezana na internu mrežu. U nekim slučajevima ISA Server 2004 može da ima i treću mrežnu karticu koja je povezana na perimetar mrežu.

 

U ovom scenariju ISA Server 2004:

  • Blokira sav saobraćaj sa Interneta od pristupanja mreži organizacije ( organizations Network) osim u slučajevima kad je saobraćaj eksplicitno dozvoljen. Iz razloga što je ISA Server primarna zaštitna granica, svi komponenti ISA Server Firewall-a su implementirani uključujući višeslojno filterisanje paketa, aplikativno filterisanje i detekcija uljeza.
  • ISA Server se koristi kad administrator želi da učini određene servere ili servise na internoj mreži pristupačnim za Internet korisnike. Ovakav pristup se konfiguriše tako što administrator objavljuje (publishing) Server ili konfigurisanjem Firewall Access Roles. ISA Server filteriše sve dolazeće zahteve i omogućava prolaz samo onim zahtevima koji su definisani u Access Rules (pravilima pristupa)
  • ISA Server može biti i VPN tačka pristupa internoj mreži. U ovom slučaju, sve VPN konekcije sa Interneta se rutiraju kroz ISA Server 2004. Sva pravila pristupa i zahteve za karantinom primenjuje ISA Server.
  • Svi klijentski zahtevi za resurse na Internetu prolaze kroz ISA Server. ISA Server određuje (stavlja) polise organizacije u kojima se određuje koji korisnici imaju pravo korišćenja Interneta, koje aplikacije protokoli mogu da se koriste za pristup internetu i koji Web sajtovi mogu da se posećuju na Internetu.

  

Kako ISA Server 2004 radi kao Back-End-Firewall

U nekim slučajevima organizacija može da izabere da postavi ISA Server 2004 kao drugi zid u više zidnom okruženju. Ovaj scenario omogućava organizacijama da koriste svoju postojeću Firewall infrastrukturu ali isto tako omogućava korišćenje ISA Servera kao napredni aplikacioni filter zid (Application-Filtering Firewall).

Mnoge organizacije implementiraju Back-to-Back Firewall konfiguraciju. U ovoj konfiguraciji, jedan Firewall je direktno povezan na Internet sa jednom mrežnom karticom, dok je druga mrežna karta povezana sa perimetar mrežom. Drugi Firewall ISA Server je povezana sa jednom mrežnom karticom na privatnu internu mrežu a sa drugom karticom na perimetar mrežu. Sav mrežni saobraćaj mora da prođe kroz oba zida i kroz perimetar mrežu da bi došao sa Interneta do interne privatne mreže.

Za organizacije koje već imaju hardverski zid (Hardware-Based firewall) kao Firewall na ivici ISA Server 2004 može da pruži dragocenu dodatnu funkcionalnost kao Back-End Firewall. Napredno Aplikativno filterisanje koje ISA Server 2004 može uspešno da odradi osigurava da su specifične aplikacije i servisi sigurno objavljeni (Published).

 

U ovom scenariju ISA Server 2004:

  • ISA Server 2004 može da se iskoristi da se napravi zaštićeni pristup Exchange Serveru kompanije. Iz razloga što kompjuteri koji rade Exchange Server moraju biti članovi Aktivnog Direktorijuma, neke organizacije izbegavaju da postave Exchange Server u perimetar mreži. ISA Server 2004 može da obezbedi pristup Exchange Serverima koji se nalaze u privatnoj mreži kroz Secure Microsoft Outlook Web Access Publishing, Secure Server Publishing, uključujući spam filterisanje i zaštićeno Exchange RPC Publishing (objavljivanje) za Outlook klijente, i kroz udaljenu proceduru koja se naziva RPC preko HTTP konekcija.
  • ISA Server 2004 može biti iskorišćen za objavljivanje (publishing) drugih zaštićenih Web sajtova ili Web aplikacija. Ako se Web Server nalazi na privatnoj mreži, ISA može da se konfiguriše da objavljuje (publish)Web Servere na Internet. U ovom slučaju, napredni aplikativni filteri na ISA Serveru mogu da se iskoriste za proveru svog mrežnog saobraćaja koji se šalje Web Serveru koji se nalazi u Privatnoj internoj mreži kompanije.
  • ISA Server 2004 može da se koristi kao Web Proxy Server & Caching Server u ovom scenariju. U ovom slučaju, svi klijentski zahtevi za resursima na Internetu ili za resursima u perimetar mreži prolaze kroz ISA Server 2004. ISA Server 2004 primenjuje polise organizacije da bi obezbedili siguran pristup Internetu.

 

Kako ISA Server 2004 radi kao Branch Office firewall?

Kao treći scenario koji možemo da izgradimo za ISA Server je Branch Office Firewall. U ovom scenariju, ISA Server 2004 može da se iskoristi da zaštitimo Branch Office mrežu od spoljnih opasnosti. Takođe uz pomoć ISA Server 2004 možemo da povežemo mrežu Branch kancelarije sa Main Office (glavnom centralom) koristeći Site-to-Site VPN konekciju.
Za organizacije koje imaju po nekoliko lokacija, ISA Server može da funkcioniše kao Branch office firewall, u konjukciji sa dodatnim ISA Serverima koji se nalaze na drugim lokacijama. Ako Branch kancelarija ima direktnu konekciju na Internet, ISA Server 2004 može da se konfiguriše kao Internet Edge Firewall za Branch kancelariju, da stiti Branch Office mrežu i takođe možemo da objavimo (publish) Servere i servise na Internetu. Ako Branch kancelarija poseduje samo dodeljenu WAN konekciju (dedicated wan connection) ka drugim kancelarijama i centralama, ISA Server 2004 može da se iskoristi da se objavi server kao što je SharePoint Portal ili lokalni Exchange Server.
Jedna od prednosti korišćenja ISA Servera 2004 kao Branch Office Firewall je da ISA Server može da radi kao VPN kapija (Gateway) koja povezuje Branch Office mreže sa glavnom Main Office mrežom koristeći Site-to-site VPN konekciju. Site-to-site VPN daje ne toliko skup ali veoma efektan metod da se povežu Branch kancelarije sa ostalim kancelarijama i centralama u organizaciji.

 

U ovom scenariju ISA Server 2004:

  • ISA Server može da se iskoristi za kreiranje VPN-a od Branch kancelarije ka drugim lokacijama koristeći IPSec tunnel mode. VPN kapija (Gateway) u drugim sajtovima može biti ili druga ISA 2004 ili VPN kapija nekog drugog proizvođača.
  • ISA Server može da odradi potpunu inspekciju (statefull inspection) i filterisanje aplikativnog sloja (application layer filtering) VPN saobraćaja između lokacija u organizaciji. Ovo može da se iskoristi kad želimo da ograničimo pristup određenim mrežama, da ograničimo određenim udaljenim mrežeama pristup lokalnoj mreži i da osiguramo da samo omogućen mrežni saobraćaj može pristupiti lokalnoj internoj mreži.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Planiranje perimetar mreže 1
  • Planiranje perimetar mreže 2
  • Planiranje perimetar mreže 3