Microsoft Internet Security and Acceleration (ISA) Server 2004
advertisement
Microsoft Internet Security and Acceleration (ISA) Server 2004 Wingate 6.1 Kerio WinRoute Firewall 6.1 UserGate 2.8.0.43/3.0.10 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. DHCP для раздачи IP Ограничения по группам Логи -> пользователям VPN Стабильность 3.x, Правильность 2.x Passive FTP, FTP over HTTP Авторизация по MAC (в 3.x) Java-авторизация (2.x, 3.x) Авторизация по AD (2.x) Блокирование трафика сервисов (ICQ, AOL,…) Firewall TrafficInspector 1.1 Proxy сервер - это промежуточный компьютер, который является посредником ("proxy" посредник) между Вашим компьютером и интернетом. Через него проходят все Ваши обращения в Internet. Proxy их обрабатывает, и результаты (скаченные из Internet файлы) передает Вам. КЛАССИФИКАЦИЯ PROXY HTTP proxy Это наиболее распространенный тип proxy серверов и говоря просто "proxy", имеют в виду именно его. Раньше с помощью этого типа proxy можно было только просматривать web страницы и картинки, скачивать файлы. Теперь же новые версии программ (ICQ и т.п.) умеют работать через HTTP proxy. С этим типом proxy умеют работать и браузеры любых версий. Socks proxy Эти proxy сервера умеют работать практически с любым типом информации в Internet (протокол TCP/IP), однако для их использования в программах должно быть явно указана возможность работы с socks proxy. Для использования socks proxy в браузере нужны дополнительные программы (браузеры не умеют сами работать через socks proxy). Однако любые версии ICQ (и многих других популярных программ) отлично могут работать через socks proxy. При работе с socks proxy нужно указывать его версию: socks 4 или socks 5. CGI proxy (анонимайзеры) С этим типом proxy серверов можно работать только через браузер. В других программах их использование затруднено (да и не нужно - есть HTTP proxy). Однако поскольку этот тип proxy изначально рассчитан на работу через браузер, использовать их исключительно просто. FTP proxy Этот тип proxy серверов отдельно от корпоративных сетей встречается довольно редко. Обычно его использование связано с тем, что в организации имеется Firewall (система защиты компьютеров от вторжения извне), препятствующий прямому доступу в Internet.. Этот тип proxy является узко специализированным и предназначен для работы только с FTP серверами. ЧТО МОЖЕТ И ЧЕГО НЕ МОЖЕТ ПРОКСИ СЕРВЕР Прокси сервер - это компьютерная программа, которая активизируется при подключении к определенному порту компьютера (еще говорят, что она "висит" на определенном порту или "привязана" к определенному порту). И как любая компьютерная программа, прокси сервер имеет массу возможностей по настройке: ЧТО МОЖЕТ ДЕЛАТЬ ПРОКСИ 1. В случае использования методов GET/POST (обычное перемещение по web сайтам): - запрещать доступ к определенным сайтам (скажем www.icq.com); - запрещать доступ к сайтам, содержащим на страницах запрещенные ключевые слова (скажем "xxx") - вырезать определенные фрагменты страниц (баннеры); - запрещать прием файлов с определенным расширением и/или определенного размера (как в Kb, так и размера по габаритам, например баннеров - 468:60), например *.MP3, .ZIP, .EXE, .RAR и т.д.; - протоколировать все перемещения по web страницам и выдавать системному администратору отчет о посещаемых страницах; - запрещать использование любых протоколов (скажем запрещать доступ к ftp:// сайтам); - запрещать доступ с любых компьютеров к этому прокси. То есть вполне возможна ситуация, что у двух рядом стоящих компьютеров один может работать через прокси, а другой - нет; 2. В случае использования метода CONNECT (подключение к https:// сайтам, построение прокси в цепочку, port mapping через прокси и т.д.), либо в случае использования SOCKS proxy: - полностью запретить использование метода CONNECT (или отключения SOCKS proxy), тогда не будет работать ICQ и нельзя будет подключаться к любым https:// сайтам; - запретить подключение через прокси к определенным портам, например: на 25-й порт (SMTP), на 6667 порт (IRC), на порт 5190 (ICQ); - запретить подключение через прокси к любым портам кроме указанных, например: кроме 443 (тогда это будет HTTPS proxy). ЧЕГО НЕ МОЖЕТ ДЕЛАТЬ ПРОКСИ - Использовать эвристический анализатор - то есть производить семантический анализ содержимого страниц и запрещать все сайты, содержащие статьи на - определенную тему, независимо от ключевых слов. - При использовании метода CONNECT (или в SOCKS proxy) - фильтровать передаваемую информацию (скажем блокировать страницы по определенным ключевым словам). - Пропускать обратные соединения из интернета (SOCKS 5 это может делать, но это тоже нетривиальная задача). - и многое другое :) Резюме: прокси сервер - это компьютерная программа и как любой программе, ему присущи как достоинства, так и недостатки. Если администратор настроил прокси и забыл о нем, то прокси сервер всегда можно "обойти". В противном случае Ваши попытки обхода прокси - это борьба с сисадмином, и любые Ваши решения в этой области будут временными - пока сисадмин не обнаружит очередную "дыру" и не "заткнет" ее. NAT (Network Address Translator-преобразование сетевых адресов) - трансляция IP адресов, использующихся в одной сети в адреса, используемые в другой (NAT по сути не является протоколом или стандартом. Документ RFC 1631, посвященный NAT, называет его не иначе как технология или design, описывая только общие идеологические моменты) NAT дает немедленное, но временное решение проблемы дефицита адресов IPv4, которая рано или поздно отпадет сама собой с появлением протокола IPv6. Сейчас эта проблема особенно актуальна в Азии и некоторых других регионах; вскоре она заявит о себе и в Северной Америке. Поэтому понятен интерес к использованию IPv6 в качестве более долговременного решения проблемы дефицита адресов. 2 проблемы для глобальной сети Интернет: - ограниченность адресного пространства протокола IP - масштабирование маршрутизации. Применяется: - При необходимости подключения к Интернет, когда количество внутренних узлов сети превышает выданное поставщиком услуг Интернет количество реальных адресов IP - При необходимости организации простого разделения трафика на основе портов TCP. Функции NAT предоставляют возможность установления соответствия (mapping) множества локальных адресов одному внешнему адресу, используя функции распределения нагрузки TCP Дабы расширить количество одновременных сеансов, эта техника использует информацию о номере TCP порта. Таким образом, количество одновременных сеансов ограничено только количеством свободных (из числа выделенных под NAT портов). Чаще всего под это дело выделяются порты, малоприменимые в других сферах. Linux использует диапазон 60000-64096. -FTP Команды PORT и ответ на PASV посылают IP адрес и номер порта в теле сообщения в десятичном представлении. При прохождении через NAT возникает необходимость, корректировать эту информацию в теле FTP-сообщения. Поскольку каждая цифра в представленном в десятичном ASCII виде IP адресе это лишний байт нашего пактеа, при изменении адреса в сторону увеличения или уменьшения количества цифр в октетах, размер всего пакета соответствующим образом изменится. Таким образом перед NATом стоит дополнительная задача - внести изменения в TCP sequence number, пересчитать контрольные суммы и размеры пакетов как IP так и TCP. Так что если у вас "нерадивый" NAT, не утруждающий себя хотя бы одним из вышеперечисленных занятий с FTP могут случиться проблемы. Все вышесказанное, кстати, справедливо и применительно к другим протоколам, в которых изменения IP адреса влечет за собой изменение размера пакета. -ICMP Некоторые типы ICMP сообщений включают в себя часть заголовка исходного IP пакета. Если исходный пакет был транслирован, заголовок будет содержать адрес NAT интерфейса вместо локального - это может создавать проблему Кроме приведенных выше "клинических случаев", теоретически проблемы могут возникнуть также с DNS, Real Audio, H.323, SMTP -NAT Большинство современных прокси-серверов включают возможность кэширования веб и ftp, что используется для ускорения загрузки часто используемых ресурсов. Что касается вопросов безопасности... Прокси и NAT по сути дела являются файерволлами, или, выражаясь точнее, входя в состав различных аппаратных и программных файерволлов, обеспечивают невидимость хостов внутренней сети извне. Однако вопросы безопасности не ограничиваются ограждением сети от попыток проникновения извне. Многих администраторов не менее волнует, чем именно и в каком объеме занимаются его пользователи в Интернет. Вопрос политики безопасности каждой компании - дело сугубо интимное, но одно можно сказать определенно - большинство современных реализаций ПРОКСИ дают администратору больше возможностей по ущемлению прав пользователей, чем NAT - за счет фильтрации на уровне ресурсов протоколов верхних уровней (как, например, http). 192.168.0.13 NAT ruslan.ru:210 192.168.0.13:80 ruslan.ru ruslan.ru:210 217.106.164.122:60000 80 ßà60000 192.168.0.13:80 ruslan.ru:210 217.106.164.122:60000 ruslan.ru:210
