Устанавливаем межсетевой экран MS ISA Server 2004

Андрей Бирюков

Вам предстоит внедрить в вашей компании Microsoft ISA Server 2004. Какова архитектура этого распространенного межсетевого экрана, на что обратить внимание при его установке и как настроить основные службы?

Приступая к работе

Быстрота передачи данных по электронной почте, возможность мгновенно находить нужную информацию с помощью поисковых систем – все это сделало Интернет удобным инструментом, необходимым для работы. Однако помимо тех удобств, которые предоставляют ресурсы глобальной сети, они могут стать и источником массы угроз: атаки хакеров, вредоносные приложения, утечка информации, нежелательная почта. Все эти факторы представляют угрозу как для частных пользователей, так и крупных корпораций, и могут привести к значительным убыткам. Для борьбы с угрозами существует множество как аппаратных, так и программных решений. Если у вас сеть под управлением MS Windows, то вам наверняка знаком такой продукт, как Microsoft ISA Server 2004.

Разберемся с топологией сети

Хотелось бы обратить ваше внимание на такую важную вещь, как имеющаяся на момент внедрения ISA топология сети. В сети организации имеются ресурсы, которые должны быть доступны как из глобальной сети, так и из локальной (например, почтовый сервер, веб-сервер, FTP-сервер и т. д.). Возможны два варианта подключения.

В одном случае и рабочие станции, и серверы находятся в од­ном сегменте сети. Такой вариант встречается в небольших организациях, где количество рабочих станций не превосходит 20 машин, а серверов зачастую не больше двух.

В другом случае сеть организации содержит подсети, и соответственно серверы, доступ к которым необходим как снаружи, так и изнутри, находятся в одной подсети (которая также именуется DMZ, демилитаризованной зоной), а пользователи и локальные ресурсы находятся в других подсетях. При такой топологии серверы, находящиеся в DMZ, должны быть отделены одним межсетевым экраном от Интернета и другим – от локальной сети. При этом на внешнем межсетевом экране должен быть реализован доступ «снаружи» к нужным ресурсам, используя терминологию ISA Server, эти ресурсы должны быть опубликованы. По-хорошему, эти два межсетевых экрана должны находиться на разных серверах и использовать различное программное обеспечение (например, Windows и ISA и Linux и iptables).

Однако далеко не все, особенно небольшие компании, могут позволить себе использовать два сервера для защиты сети. Поэтому зачастую прибегают к более дешевому варианту: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй – в DMZ и третий – в локальную сеть.