ISA Server 2004. В подлиннике

Импорт сертификатов Web-сайтов в хранилище сертификатов на компьютере брандмауэра ISA......Page 0
Безопасность: какое отношение к ней имеет корпорация Microsoft?......Page 38
Инициатива по созданию надежной вычислительной техники......Page 39
Роль ISA Server 2004 в инициативе Microsoft по обеспечению безопасности......Page 41
Стандарты и спецификации безопасности......Page 42
Анализ факторов риска......Page 43
Оценка угроз и уровней угроз......Page 45
Анализ слабых мест в системе защиты организации и сети......Page 47
Анализ организационных факторов......Page 48
Анализ юридических факторов......Page 49
Когда безопасность является обязательной......Page 50
Аппаратные решения......Page 51
Программные решения......Page 52
Важность многоуровневой безопасности......Page 53
Несколько линий обороны......Page 54
План конфигурирования сети с ISA S в концепции Тома и Деб Шиндеров......Page 280
ISA Server 2004: возможности при работе с несколькими сетями......Page 301
Сеть VPN-клиентов......Page 316
Создание новых сетей......Page 317
Контроль маршрутизации с помощью сетевых правил......Page 320
Сетевые объекты брандмауэра ISA 2004......Page 323
Сетевые шаблоны брандмауэра ISA......Page 337
Шаблон внутреннего брандмауэра......Page 350
Шаблон с одним сетевым адаптером или шаблон сети с одним сетевым интерфейсом......Page 354
Динамическое присваивание адреса на внешнем интерфейсе брандмауэра ISA......Page 356
Сетевой сценарий «сеть в Сети» (расширенная настройка брандмауэра ISA)......Page 363
Создание цепочек Web-прокси как форма сетевой маршрутизации......Page 371
Создание цепочек брандмауэров как форма сетевой маршрутизации......Page 379
Настройка брандмауэра ISA в качестве DHCP-сервера......Page 380
Типы клиентов ISA Server 2004 и автоматизация настройки клиентов......Page 388
Типы клиентов ISA Server 2004......Page 389
Клиент SecureNAT ISA Server 2004......Page 391
Ограниченность клиента SecureNAT......Page 394
Преимущества клиента SecureNAT......Page 397
Разрешение имен для клиентов SecureNAT......Page 399
Разрешение имен и «обратное замыкание» через брандмауэр ISA Server 2004......Page 400
Выполнение строгой пользовательской/групповой проверки подлинности для всех приложений Winsock, использующих протоколы TCP и UDP......Page 404
DNS-поддержка компьютеров клиента брандмауэра......Page 406
Принцип работы клиента брандмауэра......Page 409
Установка общего ресурса клиента брандмауэра......Page 411
Установка клиента брандмауэра......Page 414
Конфигурирование клиента брандмауэра......Page 416
Настройка клиента брандмауэра на стороне клиента......Page 421
Файлы конфигурации клиента брандмауэра......Page 423
Расширенные настройки клиента брандмауэра......Page 425
Настройка клиента брандмауэра на брандмауэре ISA Server 2004......Page 427
Способность использования сценария автоматического конфигурирования, чтобы обходить сайты с помощью прямого доступа......Page 430
Возможность осуществления пользовательского/группового контроля доступа для Web-доступа......Page 432
Возможность ограничения количества исходящих соединений клиента Web-прокси......Page 439
Конфигурирование ISA Server 2004 с клиентами разных типов......Page 440
Выбор типа клиента ISA Server 2004......Page 442
Автоматизация инициализации клиента ISA Server 2004......Page 444
Настройка DHCP-серверов для поддержки автоматического обнаружения клиента Web-прокси и клиента брандмауэра......Page 445
Настройка клиентского браузера для использования DHCP для автоматического обнаружения......Page 452
Настройка брандмауэра ISA Server 2004 на публикацию информации об автоматическом обнаружении......Page 453
Конфигурирование DNS-серверов для поддержки автоматического обнаружения клиента Web-прокси и клиента брандмауэра......Page 455
Создание WPAD-записи в DNS......Page 456
Конфигурирование клиента на использование полного псевдонима WPAD......Page 458
Настройка браузера клиента на использование автоматического обнаружения......Page 461
Установка соединения с использованием DNS для автоматического обнаружения......Page 462
Автоматизация установки клиента брандмауэра......Page 463
Конфигурирование клиента брандмауэра и клиента Web-прокси в консоли управления ISA......Page 464
Установка программного обеспечения с помощью групповой политики......Page 470
Сценарий установки без вмешательства пользователя......Page 472
SMS-сервер......Page 473
Задачи и анализ действий перед установкой брандмауэра ISA......Page 482
Настройка таблицы маршрутизации......Page 485
Размещение DNS-сервера......Page 486
Конфигурирование сетевых интерфейсов брандмауэра ISA......Page 488
Автоматизированная установка......Page 493
Установка брандмауэра ISA «с нуля» на компьютере с несколькими сетевыми адаптерами......Page 495
Стандартная конфигурация брандмауэра ISA после установки......Page 502
Настройка системной политики после установки брандмауэра ISA......Page 503
Установка обновления брандмауэра ISA......Page 511
Установка брандмауэра ISA на компьютере с одним сетевым адаптером......Page 512
Конфигурирование брандмауэра ISA для быстрого старта......Page 516
Назначение IP-адресов и DNS-сервера......Page 517
Конфигурирование внутреннего сетевого интерфейса......Page 518
Порядок сетевых интерфейсов......Page 519
Конфигурирование службы DNS на брандмауэре ISA......Page 521
Конфигурирование службы DNS в Windows Server 2003......Page 522
Установка и конфигурирование DHCP-сервера на брандмауэре ISA......Page 527
Установка и конфигурирование программного обеспечения ISA Server 2004......Page 530
Конфигурирование брандмауэра ISA......Page 533
Зависимость брандмауэра ISA от служб......Page 544
Требования к службам для выполнения распространенных задач на брандмауэре ISA......Page 547
Роли клиента для брандмауэра ISA......Page 549
Административные роли и полномочия брандмауэра ISA......Page 551
Функциональность брандмауэра в режиме блокировки......Page 553
Ограничения соединений......Page 554
Предотвращение атак имитации соединения на DHCP......Page 556
Создание и применение политики доступа в брандмауэре ISA Server 2004......Page 564
Протоколы......Page 569
Наборы пользователей......Page 570
Типы содержимого......Page 571
Часы работы или расписание......Page 577
Конфигурирование правил доступа для исходящих соединений через брандмауэр ISA......Page 578
Свойства правила доступа......Page 584
Команды контекстного меню правила доступа......Page 592
Настройка RPC-политики......Page 594
Расстановка и упорядочивание правил доступа......Page 595
Как препятствовать регистрации в журнале соединений для выбранных протоколов......Page 597
Запрет автоматических соединений Web-прокси для клиентов SecureNAT......Page 598
Использование сценариев для заполнения наборов имен доменов......Page 600
Использование сценариев импорта......Page 603
Расширение диапазона портов туннелирования SSL-соединения для Web-доступа к дополнительным SSL-портам......Page 608
Исключение петель через брандмауэр ISA для соединения с внутренними ресурсами......Page 611
Появление анонимных запросов в журнале регистрации соединений, даже при обязательной аутентификации, заданной для Web-доступа (HTTP-соединений)......Page 612
Блокирование протокола MSN Messenger с помощью правила доступа......Page 613
Разрешение исходящего доступа по протоколу MSN Messenger через Web-прокси......Page 616
Изменения политики брандмауэра ISA влияют только на новые соединения......Page 617
Создание и конфигурирование трехадаптерной сети DMZ с общедоступными адресами......Page 618
Настройка таблицы маршрутизации на предшествующем брандмауэру маршрутизаторе......Page 625
Конфигурирование сетевых адаптеров......Page 626
Установка и настройка сервисов IIS WWW и SMTP на DMZ-сервере......Page 627
Создание сети DMZ......Page 629
Создание сетевых правил для связи между DMZ и внешней сетью и DMZ и внутренней сетью......Page 631
Создание правила публикации сервера, разрешающего использование DNS в соединениях сегмента DMZ с внутренней сетью......Page 632
Создание правила доступа, разрешающего использование DNS в соединениях внутренней сети с внешней сетью......Page 634
Создание правила доступа, разрешающего HTTP-подключение из внешней сети к сети DMZ......Page 635
Создание правила доступа, разрешающего SMTP-подключение из внешней сети к сети DMZ......Page 637
Тестирование правил доступа для соединения внешней сети с сетью DMZ......Page 639
Блокирование фильтра Web-прокси, изменяющее правило доступа, разрешающее соединение внешней сети с сетью DMZ......Page 641
Разрешение внутридоменных соединений через брандмауэр ISA......Page 643
Глава 8......Page 660
Правила публикации Web-сервера......Page 661
Обеспечение доступа через прокси к Web-сайтам, защищенным брандмауэром ISA......Page 662
Серьезный контроль прикладного уровня над соединениями, устанавливаемыми с опубликованными Web-сайтами......Page 663
Предварительная аутентификация соединений, устанавливаемых с опубликованными Web-сайтами......Page 664
Обратное кэширование опубликованных Web-сайтов......Page 665
Возможность с помощью Link Translator брандмауэра ISA перезаписывать URL-адреса, возвращаемые опубликованным Web-сайтом......Page 666
Поддержка передачи на Web-сайт как IP-адреса брандмауэра ISA, так и исходного IP-адреса клиента......Page 667
Переадресация портов и протоколов......Page 668
Правила публикации сервера......Page 669
Правила публикации сервера не поддерживают аутентификацию......Page 670
Фильтрация прикладного уровня может применяться к определенному подмножеству протоколов опубликованного сервера......Page 671
Можно использовать IP-адрес для управления доступом к опубликованным ресурсам......Page 672
Страница Select Rule Action......Page 673
Страница Define Website to Publish......Page 674
Страница Public Name Details......Page 677
Страница Select Web Listener и создание Web-приемника для протокола HTTP......Page 678
Диалоговое окно Properties правила публикации Web-сервера......Page 688
Вкладка General......Page 689
Вкладка From......Page 690
Вкладка То......Page 691
Вкладка Traffic......Page 693
Вкладка Listener......Page 694
Вкладка Public Name......Page 695
Вкладка Paths......Page 696
Вкладка Bridging......Page 700
Вкладка Users......Page 701
Вкладка Schedule......Page 703
Вкладка Link Translation......Page 704
Создание и настройка правил публикации Web-сервера по протоколу SSL......Page 705
Сопряжение протокола SSL......Page 706
А что же сопряжение SSL-c-HTTP?......Page 707
Центры сертификации предприятия и автономные центры сертификации......Page 708
Сопряжение SSL-c-SSL и конфигурация Web-сайта сертификатов......Page 710
Запрос сертификата пользователя для представления его брандмауэром ISA защищенным Web-сайтам......Page 713
Создание правила публикации Web-сервера по протоколу SSL......Page 717
Страница Select Rule Action......Page 718
Страница Bridging Mode......Page 719
Страница Define Website to Publish......Page 721
Страница Public Name Details......Page 723
Страница Select Web Listener......Page 724
Диалоговое окно Properties правила публикации Web-сервера по протоколу SSL......Page 728
Создание правил публикации сервера......Page 729
Диалоговое окно Properties правила публикации сервера......Page 734
Публикация HTTP-сайтов с помощью правил публикации сервера......Page 740
Создание правил публикации почтового сервера......Page 742
Вариант Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync......Page 743
Вариант Client Access: RPC, IMAP, P0P3, SMTP Option......Page 746
VPN-соединения удаленного доступа и конфигурации «узел-в-узел» в брандмауэре ISA Server 2004......Page 754
Обзор использования VPN брандмауэром ISA......Page 755
Политика брандмауэра, применяемая к соединениям VPN-клиентов......Page 757
Политика брандмауэра, применяемая к VPN-соединениям конфигурации узел-в-узел......Page 759
VPN-карантин......Page 760
Отображение пользователей для VPN-клиентов......Page 761
Поддержка клиентов SecureNAT для VPN-соединений......Page 762
VPN конфигурации узел-в-узел с применением туннельного режима протокола IPSec......Page 764
Поддержка аутентификации секретным ключом в VPN-соединениях по протоколу IPSec......Page 765
Мониторинг соединений VPN-клиентов......Page 767
Создание VPN-сервера удаленного доступа по протоколу РРТР......Page 768
Включение VPN-сервера......Page 769
Создание правила доступа, предоставляющего VPN-клиентам доступ к разрешенным ресурсам......Page 779
Разрешение удаленного доступа по телефонной линии......Page 781
Тестирование VPN-соединения по протоколу РРТР......Page 785
Обеспечение сертификатами брандмауэра ISA 2004 и VPN-клиентов......Page 786
Тестирование VPN-соединения по протоколу L2TP/IPSec......Page 793
Мониторинг VPN-клиентов......Page 795
Использование секретного ключа в соединениях VPN-клиентов удаленного доступа......Page 796
Создание VPN-соединения «узел-в-узел» по протоколу РРТР......Page 798
Создание удаленной сети в центральном офисе......Page 801
Создание сетевого правила в центральном офисе......Page 804
Создание правил доступа в центральном офисе......Page 806
Создание в центральном офисе учетной записи VPN-шлюза для удаленного доступа по телефонной линии......Page 809
Создание сети удаленного сайта в филиале......Page 811
Создание сетевого правила в филиале......Page 812
Создание правил доступа в филиале......Page 814
Создание в филиале учетной записи VPN-шлюза для удаленного доступа по телефонной линии......Page 816
Активизация каналов конфигурации узел-в-узел......Page 817
Создание VPN-соединения «узел-в-узел» по протоколу L2TP/IPSec......Page 818
Разблокирование правила системной политики на брандмауэре центрального офиса для доступа к ЦС предприятия......Page 819
Запрос и установка сертификата Web-сайта для брандмауэра центрального офиса......Page 821
Разблокирование правила системной политики брандмауэра филиала для доступа к ЦС предприятия......Page 825
Запрос и установка сертификата Web-сайта для брандмауэра филиала......Page 826
Установка VPN-соединения конфигурации узел-в-узел по протоколу L2TP/IPSec......Page 829
Туннельный режим протокола IPSec в VPN конфигурации «узел-в-узел» с VPN-шлюзами......Page 831
Использование системы RADIUS для VPN-аутентификации и политики удаленного доступа......Page 832
Конфигурирование сервера сервисов интернет-аутентификации (RADIUS)......Page 833
Создание политики удаленного доступа VPN-клиентов......Page 835
Разрешения удаленного доступа и функциональный уровень домена......Page 838
Изменение разрешений в учетной записи пользователя для соединения по телефонной линии......Page 840
Изменение функционального уровня домена......Page 841
Управление доступом с помощью политики удаленного доступа......Page 843
Включение VPN-сервера на брандмауэре ISA и конфигурирование поддержки RADIUS......Page 844
Создание правила доступа, разрешающего доступ VPN-клиентов к санкционированным ресурсам......Page 847
Создание подключения VPN-клиента по протоколу РРТР......Page 849
Настройка программного обеспечения брандмауэра ISA для поддержки ЕАР-аутентификации......Page 851
Включение отображения пользователей для пользователей, подтверждающих подлинность с помощью протокола ЕАР......Page 853
Выдача сертификата пользователя компьютеру VPN-клиента удаленного доступа......Page 855
Поддержка исходящих VPN-соединений через брандмауэр ISA......Page 858
Установка и конфигурирование DHCP-сервера и агента ретрансляции DHCP на брандмауэре ISA......Page 862
Создание VPN конфигурации «узел-в-узел» между ISA Server 2000 и брандмауэром ISA......Page 864
Выполнение Local VPN Wizard на ISA Server 2000......Page 867
Изменение пароля в учетной записи для удаленного VPN-пользователя......Page 869
Изменение верительных данных, используемых брандмауэром ISA Server 2000 для соединения с центральным офисом по телефонной линии......Page 870
Изменение параметров простоя интерфейса по требованию VPN-шлюза ISA Server 2000......Page 871
Выполнение Remote Site Wizard на брандмауэре ISA в центральном офисе......Page 872
Создание сетевого правила, определяющего маршрутную связь между центральным офисом и филиалом......Page 874
Создание правил доступа, разрешающих трафик из центрального офиса в филиал......Page 875
Создание учетной записи пользователя для удаленного VPN-маршрутизатора......Page 877
Заметки о VPN-карантине......Page 878
Динамическая фильтрация и фильтрация на уровне приложений в брандмауэре ISA Server 2004......Page 888
Введение......Page 889
Установка SMTP Message Screener на выделенном SMTP-ретрансляторе......Page 891
Установка SMTP Message Screener на SMTP-ретрансляторе......Page 892
Настройка SMTP Message Screener......Page 895
Конфигурирование регистрационного журнала SMTP Message Screener......Page 901
Фильтр DNS......Page 905
Фильтр SOCKS V4......Page 906
Фильтр FTP-доступа......Page 908
Фильтр Н.323......Page 909
Фильтр РРТР......Page 910
Web-фильтры......Page 911
HTTP-фильтр......Page 912
Обзор установочных параметров НТТР-фильтра защиты......Page 913
Экспортирование и импортирование установочных параметров HTTPS-фильтра......Page 925
Экспортирование HTTP-политики из правила публикации Web-сервера......Page 926
Исследование HTTP-заголовков для поиска потенциально опасных приложений......Page 927
Примеры политик HTTPS-фильтра......Page 932
Обычно блокируемые заголовки и сигнатуры приложений......Page 934
Опасности SSL-туннелирования......Page 936
Транслятор ссылок ISA Server......Page 939
Определение собственных элементов словаря......Page 942
Конфигурирование собственных элементов словаря трансляции ссылок......Page 943
Фильтр SecurlD......Page 945
OWA-фильтр аутентификации, основанной на формах......Page 946
Фильтр RADIUS-аутентификации......Page 947
Обнаружение и предотвращение типовых атак......Page 948
Распределенная атака отказа от обслуживания......Page 949
SYN-aTaKa/LAND-атака......Page 950
Teardrop......Page 952
Smurf-атака......Page 953
UDP-бомба, или UDP-шторм......Page 954
Атака Mall Bomb......Page 955
Сканирование и подмена адреса подтверждения......Page 956
Обнаружение и предотвращение DNS-атак......Page 957
Фильтрация IP-параметров и IP-фрагментов......Page 958
Атака маршрутизации от источника......Page 960
Повышение скорости доступа в Интернет с помощью функции кэширования ISA Server 2004......Page 963
Прямое кэширование......Page 965
Обратное кэширование......Page 966
Структуры Web-кэширования......Page 968
Основные возможности Web-кэширования ISA Server 2004......Page 970
Применение функции кэширования......Page 972
Использование правил кэширования для задания типов содержимого, которое может кэшироваться......Page 973
Применение правил кэширования для задания способа извлечения и обслуживания объектов из кэша......Page 974
Описание функции загрузки содержимого......Page 975
Как Web-мастера управляют кэшированием с помощью HTTP-заголовков......Page 976
Конфигурирование ISA Server 2004 как сервера кэширования......Page 977
Выбор содержимого для кэширования......Page 980
Настройка максимального размера объектов в кэше......Page 981
Настройка способа обработки объектов с истекшим жизненным сроком......Page 982
Создание и настройка правил кэширования......Page 983
Как блокировать или удалить правило кэширования......Page 989
Как копировать правило кэширования......Page 990
Как экспортировать и импортировать правила кэширования......Page 991
Конфигурирование загрузок содержимого из Интернета......Page 993
Как убедиться в том, что задание на загрузку из Интернета может быть выполнено......Page 994
Настройка сети локального хоста......Page 995
Включение правил системной политики......Page 996
Запуск сервиса Job Scheduler......Page 997
Как создать и конфигурировать задания на загрузку содержимого из Интернета по расписанию......Page 999
Блокирование или удаление задания на загрузку содержимого из Интернета......Page 1002
Экспорт и импорт конфигурации задания на загрузку содержимого из Интернета......Page 1003
Немедленное выполнение задания на загрузку содержимого из Интернета......Page 1004
Применение ISA Server 2004 для наблюдения, ведения журналов и создания отчетов......Page 1010
Инструментальная панель ISA Server 2004......Page 1012
Настройка и конфигурирование инструментальной панели......Page 1020
События, вызывающие оповещения......Page 1021
Просмотр предопределенных оповещений......Page 1023
Создание нового оповещения......Page 1024
Просмотр инициированных оповещений......Page 1030
Наблюдение за связями, сеансами и службами в ISA Server 2004......Page 1033
Наблюдение за связями......Page 1038
Просмотр, остановка и приостановка наблюдения за сеансами......Page 1040
Наблюдение за выбранными сеансами с помощью фильтра......Page 1042
Наблюдение за службами......Page 1045
Способы организации журналов......Page 1046
Сохранение журнала в файле......Page 1047
Конфигурирование журнала......Page 1048
Конфигурирование записи журнала в MSDE......Page 1049
Настройка SQL Server для хранения журналов ISA Server......Page 1051
Использование средств просмотра журнала......Page 1052
Фильтрование данных в журнале......Page 1053
Невозможно удалить критерий по умолчанию......Page 1054
Создание одноразового отчета......Page 1057
Автоматизация создания отчета......Page 1060
Другие задачи отчетов......Page 1063
Просмотр отчетов......Page 1064
Использование монитора производительности в ISA Server 2004......Page 1065