n  Системные политики разрешают выборочный трафик с брандмауэра ISA и на него.

n  Запрещен весь трафик через брандмауэр ISA, потому что есть только одно запрещающее правило.

n  Между сетями VPN/VPN-Q и внутренней сетью установлены отношения типа «маршрут».

n  Между внутренней сетью и внешней сетью по умолчанию задано отношение трансляции адресов NAT.

n  Только администраторы могут менять политику брандмауэра ISA.

Теперь нам необходимо разрешить доступ пользователей локальной сети к ресурсам Интернет. Многие системные администраторы открывают доступ из внутренней сети в Интернет по всем портам, мотивируя это тем, что не хотят заниматься «тонкой настройкой», открывая конкретные порты конкретным пользователям. Однако это пагубная практика во всех отношениях.

Во-первых, вредоносное программное обеспечение, в частности, «троянские кони» используют для соединения с «хозяином» нестандартные порты. Поэтому межсетевой экран может стать преградой для несанкционированного проникновения в сеть, в случае если антивирусы не смогли определить вредоносный код.

Во-вторых, наличие доступа по всем портам позволит пользователям сети беспрепятственно применять клиентов различных пиринговых сетей, что не слишком благоприятно сказывается на использовании корпоративного канала доступа в Интернет, а также на производительности труда сотрудников.

И в-третьих, хорошим тоном является наличие корпоративной политики безопасности, построенной по принципу: все, что не разрешено, то запрещено. Закрытие портов является неотъемлемой частью такой политики.

Итак, будем открывать доступ пользователей только к определенным портам. Как правило, протоколы, с помощью которых допускается взаимодействие с внешней сетью, ограничиваются следующими: SMTP, HTTP, HTTPS, DNS, FTP, ICQ, ICMP, SSH, Telnet (последние два протокола нужны, как правило, только администраторам). Для того чтобы создать правило доступа, выберите в консоли администрирования ISA раздел «Firewall policy», затем в меню «Action» выбираем «New > Access Rule». В появившемся окне указываем наименование правила, далее определяем, какое это правило, запрещающее или разрешающее, в нашем случае выбираем «Allow», в следующем окне необходимо указать протоколы, к которым будет применяться данное правило. Соответственно выбираем, например HTTP, затем указываем источники, в нашем случае это будет сеть Internal (LAN), а в качестве точки назначения External (WAN).