Настройка сетевых интерфейсов Microsoft ISA Server
Введение
Согласно моему опыту, большинство ИТ-специалистов, так или иначе взаимодействующих с Microsoft Internet Security and Acceleration Server (ISA Server), фокусируется исключительно на конфигурации служб брандмауэра посредством ISA Server Management Console, забывая о том простом факте, что ISA Server защищён ровно настолько, насколько защищена его операционная система.
Суть в том, что настройке самого продукта Microsoft ISA Server должна предшествовать всесторонняя конфигурация компонентов операционной системы. К примеру, при конфигурировании объектов сетей в ISA Server выбору адресного пространства сети вручную следует предпочесть предварительную настройку конфигурации сетевых интерфейсов сервера. При такой последовательности действий ISA Server сможет использовать информацию из таблицы маршрутизации операционной системы при создании сети. Помимо этого интерфейс настройки сетевых подключений предоставляет довольно обширный диапазон настроек, выходящих за рамки объекта сети в терминологии ISA Server.
В этой статье я постараюсь детально описать процесс настройки сетевых интерфейсов сервера с установленным Microsoft ISA Server. Итак, приступим.
Описание сетевых подключений
В подавляющем большинстве случаев компьютер, предназначенный для исполнения роли брандмауэра ISA Server, оборудован как минимум двумя сетевыми интерфейсами. Один из них используется для подключения к внешней сети, а второй – для подключения к внутренней.
Возможен вариант использования Microsoft ISA Server в качестве только кэширующего прокси-сервера с единственным сетевым интерфейсом. Но, осмелюсь заявить, что подобный сценарий использования встречается настолько редко, что не заслуживает упоминания.
Если помимо указанных двух сетей ISA Server подключен к периметральной сети, также именуемой демилитаризованной зоной (DMZ), количество сетевых интерфейсов увеличиться до трёх. В случае использования Microsoft ISA Server Enterprise Edition и принятия решения о создании отдельной сети для коммуникаций внутри массива, для подключения к этой сети будет использоваться четвертый сетевой интерфейс.
Стоить отметить, что сетей в ISA Server может быть гораздо больше, но рассмотренные четыре сети представляют собой общий случай, который с легкостью можно распространить на все остальные частные сценарии.
На рисунке представлено окно настройки сетевых подключений (Control Panel – Network Connections).
В данном примере имена всех сетевых подключений однозначно определяют сети, к которым подключен компьютер Microsoft ISA Server. Использование понятных имен сетевых подключений вместо множества подключений типа «Local Area Connection N» позволяет ускорить процесс идентификации сетей во время поиска и устранения неполадок.
Подключение «Internal Network» представляет внутреннюю сеть, «External Network» – внешнюю сеть, «DMZ» – периметральную сеть, а «IntraArray Network» – сеть для коммуникаций между членами внутри массива ISA Server.
Настройка сетевых служб
Далее нам необходимо определить порядок опроса сетевых интерфейсов. Главным образом этот список используется службой DNS для разрешения имён. Для настройки порядка опроса сетевых подключений необходимо в окне Network Connections в меню Advanced выбрать Advanced Settings.
В этом окне на вкладке Adapters and Bindings в списке Connections посредством стрелок «вверх» и «вниз», расположенных справа, необходимо определить следующий порядок следования сетевых подключений:
1. Internal Network;
2. IntraArray Network;
3. DMZ (Perimeter Network);
4. {все остальные сетевые подключения}
5. External Network.
Затем нам необходимо отключить ненужные сетевые службы, соответствующие определённому сетевому подключению, для повышения уровня защищённости сервера Microsoft ISA Server. Эти процедуры являются частью стратегии фортификации хоста (fortified host). Также в литературе для определения данной стратегии иногда используется несколько забавное слово «бастионизация» хоста. Сделать это можно в том же окне Adapters and Bindings в списке Bindings for … Network. Для внутренней сети (Internal Network) настройки должны быть следующими:
- Служба File and Print Sharing for Microsoft Networks должна быть выключена (выключение данной службы сделает невозможным создание общих папок и принтеров на компьютере с ISA Server);
- Служба Client for Microsoft Networks должна быть включена.
Для cети коммуникаций между членами массива (IntraArray Network) настройки должны быть следующими:
- Служба File and Print Sharing for Microsoft Networks должна быть включена;
- Служба Client for Microsoft Networks должна быть включена.
Для периметральной сети (DMZ) настройки должны быть следующими:
- Служба File and Print Sharing for Microsoft Networks должна быть выключена;
- Служба Client for Microsoft Networks должна быть выключена.
Для внешней сети (External Network) настройки должны быть следующими:
- Служба File and Print Sharing for Microsoft Networks должна быть выключена;
- Служба Client for Microsoft Networks должна быть выключена.
Настройка параметров TCP/IP
Теперь пора перейти к настройке параметров стэка протоколов TCP/IP сетевых подключений. Для этого необходимо окрыть окно Internet protocol (TCP/IP) Properties (Control Panel – Network Connections – … Network – Properties):
В данном окне необходимо выставить значения параметров в соответствии со следующими положениями. Для внутренней сети (Internal Network):
- Параметр Default Gateway не должен быть указан;
- Параметр DNS Servers должен быть указан (1);
- Параметр DNS – Register this connection’s address in DNS должен быть включен;
- Параметр WINS – Enable LMHOSTS lookup должен быть выключен (2);
- Параметр WINS – NetBIOS over TCP/IP должен быть включен.
(1) Полное описание всех рекомендуемых вариантов топологии службы DNS приведено цикле статей Томаса Шиндера «The Definitive Guide to ISA Firewall Outbound DNS Scenarios». Надо отметить, что DNS-серверы указываются в свойствах единственного сетевого подключения, относящегося к внутренней сети. В свойствах всех остальных подключений указывать DNS-серверы не рекомендуется.
(2) Параметр Enable LMHOSTS lookup является глобальным, то есть он применяется ко всем подключениям в системе. Соответственно, если его выключить в свойствах сетевого подключения «Internal Network», этот параметр автоматически выключится в свойствах всех остальных подключений.
Для сети коммуникаций между членами внутри массива (IntraArray Network):
• Параметр Default Gateway не должен быть указан;
• Параметр DNS Servers не должен быть указан;
• Параметр DNS – Register this connection’s address in DNS должен быть выключен;
• Параметр WINS – Enable LMHOSTS lookup должен быть выключен;
• Параметр WINS – NetBIOS over TCP/IP должен быть включен.
Для периметральной сети (DMZ):
• Параметр Default Gateway не должен быть указан;
• Параметр DNS Servers не должен быть указан;
• Параметр DNS – Register this connection’s address in DNS должен быть выключен;
• Параметр WINS – Enable LMHOSTS lookup должен быть выключен;
• Параметр WINS – NetBIOS over TCP/IP должен быть выключен.
Для внешней сети (External Network):
• Параметр Default Gateway должен быть указан;
• Параметр DNS Servers не должен быть указан;
• Параметр DNS – Register this connection’s address in DNS должен быть выключен;
• Параметр WINS – Enable LMHOSTS lookup должен быть выключен;
• Параметр WINS – NetBIOS over TCP/IP должен быть выключен.
Советую помимо установки вышеперечисленных параметров в свойствах каждого сетевого подключение отметить пункты “Show icon in notification area when connected” и “Notify me when this connection is limited or no connectivity”.
Никакой функциональной выгоды эта операция не принесёт, но можно будет гораздо удобнее и быстрее получать доступ к свойствам любого сетевого подключения. Для этого необходимо в контекстном меню пиктограммы любого подключения, выбрав пункт “Open Network Connections”.
Заключение
В данной статье мы рассмотрели процесс настройки сетевых интерфейсов сервера, выполняющего роль брандмауэра Microsoft ISA Server. Были описаны параметры свойств сетевых подключений, сетевых служб, настройки TCP/IP, а также приведены рекомендуемые значения соотвествующих параметров.
В заключение, хочу ещё раз обратить Ваше внимание на тот факт, что время, потраченное на предварительную конфигурации компонентов операционной системы, перед установкой и настройкой Microsoft ISA Server, в дальнейшем сильно сократит время поиска и устанения неисправностей, а также предотвратит возникновение множества потенциально возможных проблем.
Познавательно. Подпишусь на РСС. А сколько по времени писали пост?
Если Вы имеете в виду именно написание статьи, компоновку, подготовку скриншотов, по времени это заняло часа 2. А вот время, необходимое для получения практического опыта, облаченного впоследствии в эту статью, оценить затрудняюсь :)
Артем, а поясните зачем вы упоминаете NB over TCP\IP – enabled, да еще в значении должен?
Рекомендую его выключить везде.
Артём, а для чего NetBIOS требуется интерфейсу массива? Чтоб члены массива могли друг-друга найти? Проблем с Multihome в таком случае не возникает?
P. S. Тема с LMHOSTS lookup не раскрыта ;) .
2 Yury Tugarev – MSFT:
Поддержка NetBT включается только в настройках сетевых интерфейсов Intra Array Network и Internal Network.
Во-первых, в системной политике ISA Server есть правило под номером 2 — “Allow remote management from selecting computers using MMC”, в настройках которого указаны протоколы NetBIOS. Соотвественно, в настройках сети, через которую планируются подключения с удаленной консоли, должна быть включена поддержка NetBT.
Во-вторых, не зря в этом правиле системной политики указан Computer Set, содержащий всех членов массива.
Более того, на своем практическом опыте внедрения массива ISA Server 2006 Enterprise Edition однажды я столкнулся с ошибкой получения информации одним членом массива от другого. Помимо этого периодически “падала” mmc-консоль. Все эти проблемы решились включением поддержки NetBIOS для сети Intra Array.
Конечно же, можно отключить NetBIOS везде, и, если проблем не возникнет, будет просто замечательно. Но рекомендовать такое решение я бы не стал, так как на своем опыте убедился, что проблемы возникают, пусть и в самых частных случаях.
2 Stanky:
Частично на этот вопрос я ответил в предыдущем комментарии.
В идеале члены массива должны находить друг друга по записям в файлах hosts, так как разворачивать отдельный DNS-сервер только для массива ISA Server более чем расточительно.
Проблемы с multihomed-серверами возникают в случае исполнения такими серверами роли Master Browser, WINS или PDC (PDC Emulator). В случае с ISA Server, он не должен быть ни первым, ни вторым, ни третьим. Так что проблема исключается.
Вообще, я рекомендую на компьютерах с ISA Server выключать службу Computer Browser. Таким образом, ISA Server никогда не выиграет в выборах Master Browser и, соответственно, никогда не возникнет проблемы с multihomed.