Легенды и мифы ISA Server/TMG – Режим работы с единственным сетевым адаптером
“Think” (c) Thomas J. Watson, IBM
Добро пожаловать в ИТ-бестиарий, коллеги. Сегодня мы с Вами познакомимся с таким мифичеcким существом, как Hork Mode. Полагаю, большинство администраторов ISA Server никогда не слышали этого имени. Немногие слышали, но никак не соотносили странное словосочетание с миром межсетевых экранов вообще и ISA Server в частности. Более опытные коллеги же вздрагивали при первых звуках – “hooooooorkkk” :) Но, как известно, у страха глаза, как у героев аниме-сериалов. На самом деле Hork Mode – это название режима работы ISA Server с единственным сетевым адаптером! И поверьте мне, это реально страшно О_О
Давайте подробно разберём имеет ли данный сценарий внедрения ISA Server/TMG право на существование, его преимущества…прошу прощения, их не будет…и недостатки, недостатки, недостатки…Итак ключ на старт, педаль управления дроссельной заслонкой в пол, лязг колёс, первая звуковая…
Начнем с того, что установка и работа семейства межсетевых экранов ISA Server 2004/2006, Forefront TMG MBE, Forefront TMG в системе с единственным сетевым адаптером официально поддерживаются компанией Майкрософт. НО, здесь начинается самое интересное. Данный режим имеет ряд серьезных функциональных (и не только) ограничений.
PRO
Работа ISA Server/Forefront TMG в системе с единственным сетевым адаптером поддерживается в следующих сценариях использования:
- Secure Web Gateway. Прямой веб-прокси сервер, поддерживающий работу по протоколам HTTP, HTTPS, FTP-over-HTTP (только входящие загрузки) с возможностью кэширования контента.
- Web Applications Publishing. Обратный веб-прокси сервер, поддерживающий работу по протоколам HTTP, HTTPS, FTP-over-HTTP с возможностью кэширования контента. К примеру, данный режим позволяет Вам публиковать почтовые сервисы Exchange Server – Outlook Web Access (OWA), Outlook Anywhere (RPC-over-HTTP) и Exchange ActiveSync (EAS).
- Application layer inspection. Расширенный анализ и контроль сетевого трафика протоколов HTTP, HTTPS. FTP-over-HTTP на уровне приложений.
- Web Proxy Clients. Поддерживаются только клиенты веб-прокси.
- ISP Redundancy. Да-да, как ни странно, в режиме hork mode поддерживается функция Forefront TMG для работы с двумя интернет-каналами одновременно! Честно говоря, у меня не получается представить, как это реализовывается. Но Томас Шиндер утверждает, что так оно и есть. А у меня нет повода ему не доверять :)
CONTRA
Работа ISA Server/Forefront TMG в системе с единственным сетевым адаптером не поддерживается в следующих сценариях использования:
- Network-based Firewall. В данном сценарии ISA Server/TMG распознает только две сети – внутреннюю сеть (Internal) и саму локальную систему (Local Host). Соотвественно, ISA Server/TMG не сможет контролировать трафик между сетями и становится, по сути, брандмауэров уровня хоста, защищающим только локальную систему.
- Application layer inspection. Анализ и фильтрация трафика на уровне приложений не поддерживается (за исключением веб-протоколов HTTP, HTTPS и FTP-over-HTTP).
- Server publishing. Не поддерживается публикация серверов и преобразование сетевых адресов NAT (Network Address Translation).
- Virtual private networking. В данном режиме ISA Server/TMG не может выступать в роли конечной точки Site-to-Site VPN-туннелей, а, соответственно, объединять удаленные офисы за счет построения виртуальных частных сетей Вы не сможете. Обращаю Ваше внимание, что в этом режиме не будет работать и обычный VPN-сервер, позволяющих сотрудникам подключаться удаленно.
- Firewall clients. Клиенты межсетевого экрана не поддерживаются, так как в этом режиме не доступен Firewall Service.
- SecureNAT clients. Работа SecureNAT-клиентов также не поддерживается, по причине недоступности Firewall Service.
За более подробной информацией Вы можете обратиться к следующим статьям:
Configuring ISA Server 2004 on a Computer with a Single Network Adapter
POST SCRIPTUM
В заключении, я хотел бы отметить, что реализация ISA Server/TMG в режиме hork mode хоть и является поддерживаемой, но ни в коем случае не является рекомендуемой.Скорее этот режим является нерекомендуемым!
Использование данного режима лишает Ваш межсетевой экран самых главных механизмов обеспечения безопасности и превращает брадмауэр уровня предприятия в обычный прокси-сервер с возможностью кэширования веб-контента, защищённый персональным файрволлом.
В конце концов, использование данного режима может оказаться невыгодным и с финансовой стороны вопроса. Вряд ли кому-то понравиться приобрести годовую подписку на 100 цифровых развлекательных телеканалов, но при этом иметь возможность просматривать только 8 эфирных. Не стоит говорить, что отличное качество картинки в этом случае будет только в момент показа передачи “Криминальная Россия” :)
Выбор всегда за Вами, но призываю Вас делать его обдуманно. Думайте, господа…
Related Posts
- Виртуализация ISA Server/Forefront TMG и работа сетевой подсистемы
- Найдена уязвимость в Microsoft ISA Server и Forefront TMG
- Доклад “Forefront TMG 2010 – полноправный наследник ISA Server”
- Microsoft ISA Server 2006 Service Pack 1 увидел свет
- Практический пример миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-V
Я не разделяю твоего пафоса насчёт полного и абсолютного отсутствия преимуществ описываемой конфигурации. Их есть у меня.
Главное преимущество (если использовать твою аналогию): тебе остаются АЖ ВОСЕМЬ эфирных каналов — но в качестве HD! Применительно к предмету статьи это звучит так: ТЫ ВСЁ-ТАКИ МОЖЕШЬ использовать TMG!
Это актуально, например, если заказчик «не считает TMG за брандмауэр»© и принципиально не позволяет ему стоять на границе каких-либо сетей. Но при этом тебе зачем-то требуется использовать прямой и/или обратный прокси.
Ну и ещё быват всякие другие сценарии. Я думаю, это вполне нормальная ситуация. «Да, ужас. Но не ужас-ужас-ужас».
ISP Redundancy — хммм… Если на единственном интерфейсе ты пропишешь несколько внешних адресов из разных подсетей? Или если адрес будет один, но ты пропишешь статические маршруты через разные шлюзы?
@pronichkin
Спасибо, Тём. Я очень люблю, когда мою точку зрения не разделяют :) Нет, ну серьезно.
Ты абсолютно прав, что сам факт возможности работы и поддержки данного сценария вендором позволяет использовать ISA Server/Forefront TMG там, где, казалось, его использовать нельзя. И действительно “8 каналов в режиме HD” – это гораздо лучше, чем ничего. НО! Лично меня всегда интересовала цена вопроса, потому как (особенно в нашей стране) финансовая составляющая общей стоимости решения зачастую превалирует над технологическими преимуществами.
Соглашусь, что существуют сценарии, когда развертывание в режиме Hork Mode позволит Вам использовать ISA Server/TMG в содружестве с другими продуктами. Один из самых (печально) известных подобных сценариев – это, так называемый, сэндвич. Сэндвичем именуется режим, когда ISA Server/TMG (возможно и в режиме Hork Mode) размещается в периметральной сети, образованной двумя аппаратными брандмауэрами (читай cisco pix), которые в свою очередь призваны защитить “дырявую” ИСУ :)
К чему я это веду? К тому что подобные сценарии существуют только из-за невозможности убедить узколобое начальство и фанатичных сетевых администраторов, не аргументирующих свою позицию ничем, кроме “да она же на виндах…фууууу”. Если Вы попали именно в такую ситуацию, Вас действительно спасёт Hork Mode. Вы получите полноценный кэширующий cern-прокси с анализом и контролем трафика на уровне приложений и полноценный механизм безопасной публикации веб-ресурсов, а это действительно не мало! Но не стоит забывать, сколько дензнаков Вы при этом положите в карманы sales-менеджеров, совершенно нагло и неинтеллектуально “втирающих” про “дырявые форточки” и “волшебные железные коробочки”!
Think…
P.S. Ещё раз спасибо, Тём ;)
@pronichkin
Что касается ISP-R.
1. Ты не сможешь прописать такие адреса. процитирую статью TechNet, ссылка на которую дана выше: “You cannot configure a network adapter to use two IP addresses, or a second network adapter that is disabled, as a way to use multi-network features on a computer with a single network adapter.”
2. ISP-R требует указания двух различных статических адресов с соответствующими шлюзами по умолчанию, принадлежащими разным подсетям.
Повторюсь, я сам не представляю, как можно реализовать ISP-R в TMG в режиме Hork Mode. Но пруфлинк я предоставил, так что будем искать…
1. По поводу sales-менедеров и дырявые форточки. Я, конечно, с тобой согласен, что использовать 8% функционала продукта — не самое выгодное вложение денег, которое можно себе вообразить. Но тут есть два контр-аргумента:
а) иногда эти 8% оказываются вполне достаточными. Т.е. выручка покрывает затраты.
б) иногда нет, но это никого не ебёт. Я имею в виду, что если «твердолобое начальство и фанатичные сетевые администраторы» позволяют sales-менеджерам рассказывать себе сказки про «дырявые форточки» — это, скорее всего, означает, что денег в этой конторе никто не считает. А следовательно — для оценки решения надо оперировать другими критериями.
2. По поводу прописывания адресов. Я подозреваю, что в статье на технете ошибка. Т.е. вместо «cannot» следует читать «should not» (т.е. не поддерживается). Не побожусь за конфигурацию с одним адаптером. Но в конфигурации с двумя адаптерами я успешно пробовал привязывать ко внешнему адаптеру два адреса из разных подсетей и даже работал с этими подсетями как с разными сетевыми объектами на уровне ISA Server (т.е. использовал разные правила для разных сетей).
Да, при этом ISA очень переживала за неподдерживаемую конфигурацию, весь журнал исходила на говно по этому поводу, но с чисто функциональной точки зрения это работало отлично в течение полугода. Да, это была ещё ISA, поэтому ISP-R я в такой конфигурации не тестировал. Да и не больно хочется.
1. Тём, полностью согласен с тобой насчет того, что повышение интеллектуального уровня упёртого начальства – не наша с тобой задача. Я также согласен, что приведенный тобой сценарий имеет право на существование. Если уж нельзя использовать ISA Server/TMG на полную, можно задействовать хотя бы часть его функционала. Данное решение, опять же, не должно страдать от финансовой ограниченности бюджета на проект.
2. Я писал именно про требования ISP-R с точки зрения сетевой подсистемы. Ты не сможешь на одно сетевое подключение привязать 2 адреса с 2мя шлюзами по умолчанию.
Да, ты можешь выделять различные сети по диапазонам адресов внешнего сетевого адаптера. Но это будут отдельные сети, никак не относящиеся к сети External. Переопределить саму сеть External нельзя, так как она есть множество “все, что не входит в описанные сети”.
Зря ты недооцениваешь функцию ISP-R :) Она поможет SMB-сектору с легкостью отказаться от cisco-роутера перед TMG и сэкономить общую стоимостью владения таким решением в разы. Полагаю о “необходимости” железной коробочки перед TMG для его “защиты” спорить не будем ;)