Erweiterte Firewall in einem Umgebungsnetzwerk
Letztes Änderungsdatum des Themas: 2005-05-24
In der folgenden Abbildung wird ein erweitertes Firewallszenario dargestellt, in dem eine erweiterte Firewall innerhalb eines Umgebungsnetzwerk zwischen die Internetfirewall und die interne Firewall platziert wurde. Front-End- und Back-End-Server befinden sich in demselben Netzwerk hinter der internen Firewall. Aus folgenden Gründen handelt es sich hierbei um die empfohlene Topologie:
- Mehr Sicherheit, da Eindringlinge vom Rest des Netzwerk isoliert werden.
- Filtern von Anwendungsprotokollen.
- Zusätzliche Überprüfung von Anfragen, bevor diese über Proxy an das interne Netzwerk weitergeleitet werden.
.gif "note") Anmerkung: |
|---|
| Alternativ zur Platzierung des erweiterten Firewallservers innerhalb eines Umgebungsnetzwerks hinter einer separaten Firewall kann der erweiterte Firewallserver selbst als Internetfirewall eingesetzt werden. |
.gif "ISA Server im Umkreisnetzwerk")
Szenario
Ein Unternehmen platziert eine erweiterte Firewall, wie z. B. ISA Server, zwischen zwei separate Firewalls. Die Entscheidung des Unternehmens, diese erweiterte Firewalltopologie einzurichten, basiert auf den folgenden Vorteilen:
- Erweiterte Firewall bieten zusätzliche Netzwerksicherheit durch den Schutz vor unerlaubtem Zugriff und die Überprüfung des Datenverkehrs. Weiterhin wird der Netzwerkadministrator vor Angriffen gewarnt.
- Erweiterte Firewalls ermöglichen die Verwendung der Anschlussfilterung sowie der IP-Filterung, um den Datenverkehr zu steuern.
- Mit erweiterten Firewalls können Sie den Zugriff nach Benutzern, Gruppen, Anwendungstyp, Tageszeit, Inhalt sowie Zielen beschränken.
Setupanweisungen
Ausführliche Setupanweisungen finden Sie unter Einrichten einer Front-End- und Back-End-Topologie mit einer erweiterten Firewall in einem Umgebungsnetzwerk. Weitere Informationen zu ISA Server mit Produktinformationen und Angaben zu technischen Ressourcen finden Sie auf der ISA Server-Website.
Diskussion
ISA Server beinhaltet zwei Regeltypen:
- Serververöffentlichungsregeln Diese Regeln, die für alle Protokolle gelten, überprüfen eingehende Anfragen am Eingangsanschluss. Wenn eine eingehende Anfrage zugelassen ist, wird sie von der Protokollregel vom Eingangsanschluss zu einer internen IP-Adresse weitergeleitet.
- Webveröffentlichungsregeln Diese Regeln gelten nur für HTTP- oder HTTPS (80/443)-Anfragen. Sie können Webveröffentlichungsregeln zum Filtern von eingehenden Anfragen basierend auf dem Diensttyp, Anschluss und dem Namen des Quell- und Zielcomputers verwenden. Sie können ebenfalls nur bestimmte Server zulassen bzw. Server mit hohem Risiko verweigern.
Wenn Sie HTTP-Clients unterstützen, erstellen Sie eine Webveröffentlichungsregel für HTTP- oder HTTPS-Datenverkehr. Wenn Sie POP- oder IMAP-Clients unterstützen, erstellen Sie Serververöffentlichungsregeln, um diese Protokolle zu verarbeiten.
Im Gegensatz zum Umgebungsnetzwerkszenario muss der ISA-Server im Umgebungsnetzwerk kein Mitgliedsserver sein, es sei denn, Sie konfigurieren ISA Server für die Authentifizierung von Anfragen. Grundsätzlich gilt, dass Sie ISA Server zur Authentifizierung von Benutzern nicht konfigurieren müssen, wenn die Authentifizierung auf dem Front-End-Server konfiguriert ist. Wenn Sie jedoch eingehende Anfragen auf bestimmte Benutzer beschränken möchten, müssen Sie eine Webveröffentlichungsregel erstellen, die die Benutzer angibt und Authentifizierung auf dem ISA Server ermöglicht. In diesem Fall muss der ISA-Server Mitglied der Windows-Domäne sein. ISA Server leitet die Anmeldeinformationen des Benutzers nicht an die Back-End-Server weiter. Benutzer können daher nicht für Outlook Web Access vorauthentifiziert werden, obwohl ISA Server Benutzer authentifizieren und den Zugriff auf das Netzwerk beschränken kann.
Aspekte
Im erweiterten Firewallszenario ist der RPC-Zugriff auf das interne Netzwerk nicht erforderlich. Dies wird häufig als Vorteil betrachtet, da auf der internen Firewall weniger Anschlüsse geöffnet werden müssen. Unabhängig von der Anzahl der geöffneten Anschlüsse besteht jedoch ein Sicherheitsrisiko. Um dieses Sicherheitsrisiko zu vermeiden, stellen Sie sicher, dass die richtigen Filter für die geöffneten Anschlüsse festgelegt sind.
Im erweiterten Firewallszenario haben Sie zwei Möglichkeiten zur Konfiguration von SSL:
- Nur zwischen dem Client und dem ISA-Server.
- Zwischen dem Client und dem ISA-Server und zwischen dem ISA-Server und dem Front-End-Server.
Die zweite Option wird normalerweise verwendet, wenn eine Kundenrichtlinie die Verschlüsselung von E-Mail-Vekehr innerhalb des Umgebungsnetzwerks vorschreibt. Wenn der ISA-Server die SSL-Anfrage vom Client empfängt, beendet er die Sitzung und eröffnet eine neue SSL-Sitzung mit einem neuen Zertifikat, um den Front-End-Server zu kontaktieren. Der Name der einzelnen Zertifikate ist sehr wichtig. Der Zertifikatsname der eingehenden Anfrage muss mit dem Namen übereinstimmen, die der Benutzer im URL eingegeben hat. Weiterhin muss der Zertifikatsname der Anfrage an den Front-End-Server mit dem Namen oder der IP-Adresse des Front-End-Servers übereinstimmen.
Verwenden Sie zum Konfigurieren von SSL in ISA Server die Registerkarte Bridging in der Webveröffentlichungs-Serverregel, um den SSL-Datenverkehr zu lenken. Wenn Sie mehrere Domänen hosten und SSL verwenden möchten, müssen Sie einen Listener und verschiedene IP-Adressen für jede einzelne Domäne einrichten. Die Zertifikate müssen so benannt werden, dass sie den Zielnamen oder IP-Adressen entsprechen.