47386 (608247), страница 6
Текст из файла (страница 6)
Для изменения LAT необходимо в свойствах любой из служб прокси нажать кнопку Local Address Table… При этом откроется окно следующего вида:
В поле Edit задаются начальный и конечный IP-адреса диапазона внутренних IP-адресов. В правой части собственно и показана LAT.
Нажатие кнопки Construct Table открывает окно, в котором можно задать параметры для автоматической конфигурации LAT. Делать это рекомендуется только в том случае, когда точно неизвестны IP-адреса, принадлежащие внутренней сети.
Для нашей типовой сети рекомендуется диапазон 192.168.0.0 – 192.168.0.255, – адреса, выделенные для сетей, которые не подключаются к Интернет напрямую.
Настройка разрешений пользователям и группам
В соответствии с политикой безопасности организации отдельным пользователям может быть разрешен полный доступ в Интернет, отдельным – доступ только к FTP ресурсам, или, например, электронной почте. MS Proxy Server 2.0 тесно интегрирован с системой безопасности Windows NT и может использовать список пользователей и групп для разрешения им доступа в Интернет по различным протоколам.
Рекомендуется завести отдельные локальные группы для пользователей различных протоколов, например – «Users of FTP Proxy», «Users of WWW Proxy» и т.п. Далее, в настройках Permissions службы Web Proxy или WinSock Proxy нужно дать каждой группе право пользования соответствующим протоколом. Теперь, чтобы дать конкретному пользователю право работать по данному протоколу, достаточно просто включить его в соответствующую группу. И наоборот, чтобы запретить использование протокола – удалить его из группы.
Чтобы включить контроль доступа, необходимо на вкладке Permissions соответствующей службы Proxy (Web Proxy или WinSock Proxy) поставить галочку в поле Enable access control. Кнопка Edit позволяет редактировать список пользователей, которым разрешен доступ к данному протоколу.
Для аутентификации пользователя могут применяться протоколы Basic и Windows NT Challenge / Response. Задать использование протокола можно в свойствах службы WWW.
Протокол аутентификации Basic плох тем, что пароль в нем по сети передается в открытом, т.е. не зашифрованном, виде. В отличие от Basic, протокол Windows NT Challenge / Response всегда передает пароль только в зашифрованном виде. Его преимуществом также является то, что пользователю при доступе не нужно вводить имя / пароль – используются значения, указанные им при входе в сеть. Но этот протокол поддерживается только Microsoft Internet Explorer 2.0 и выше. Т.о., если во внутренней сети функционируют приложения, не поддерживающие Windows NT Challenge / Response, и необходимо ограничить отдельным пользователям доступ в Интернет, единственным выходом остается использование протокола Basic.
В случае, если разрешен анонимный доступ, то пользователи, не указывающие имя / пароль, олицетворяются аккаунтом, указанном в поле Anonymous Logon. Этот тип доступа включать не рекомендуется.
Служба Socks Proxy не поддерживает аутентификацию на уровне пользователей. Для этой службы можно задать фильтр, в котором присутствуют адрес источника, приемника и номер порта.
В поле Action выбирается deny (запретить) или permit (разрешить). В качестве параметров для фильтра указываются:
-
в поле Source (отправитель) и Destination (получатель): ALL – все компьютеры; Domain / Zone – домен или зона, указываемая в форме полного доменного имени (например, mycompany.com); IP Address – конкретный IP-адрес с маской подсети;
-
в поле Port: операция над номером порта (EQ – равно, NEQ – не равно, GT – больше, LT – меньше, GE – больше или равно, LE – меньше или равно). В поле Port number or service name – номер порта или название службы TCP/IP, с которым происходит сравнение при выполнении указанной операции.
-
Порт и получатель учитываются только, если поставить соответствующие галочки.
Т.о., для протокола Socks можно запретить доступ к определенным службам отдельным компьютерам. Вообще, если в сети все клиенты работают под управлением MS Windows, то применять протокол Socks не рекомендуется, – его вполне заменяет WinSock.
Для нашей типовой сети рекомендуется следующая политика разграничения доступа:
-
служба Socks Proxy отключена;
-
включена аутентификация с помощью протокола Windows NT Challenge / Response, аутентификация с помощью протокола Basic отключена, анонимный доступ также отключен;
-
для служб Web Proxy и WinSock Proxy включен контроль доступа;
-
созданы глобальные группы “Users of Proxy – unlimited”, “Users of WWW Proxy”, “Users of FTP Proxy”, “Users of Gopher Proxy”, “Users of SSL Proxy”, “Users of Email”, “Users of News” и т.п.;
-
для Web Proxy разрешен доступ соответствующим группам по четырем поддерживаемым службой протоколам;
-
для WinSock Proxy соответствующим группам разрешен доступ к соответствующим протоколам;
-
группе “Users of Proxy – unlimited” разрешен доступ ко всем протоколам Web Proxy и Unlimited Access для WinSock Proxy. В эту группу рекомендуется включать только администраторов и руководителей;
-
в службе WinSock Proxy доступ к протоколу DNS разрешен группе “Everyone”.
Настройка фильтрации пакетов
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Packet Filters.
Как принято во всех брандмауэрах, прохождение всех пакетов данных по умолчанию запрещено. Чтобы разрешить прохождение определенных пакетов, надо явно задать для него правило в списке исключений.
Фильтрация пакетов включается установкой галочки в поле Enable packet filtering for external interface.
Поле Enable dynamic packet filtering of Microsoft Proxy Server packets позволяет включить создание динамических фильтров для соединений, открываемых одной из служб прокси. Если отключить эту возможность, то нужно очень тщательно создавать фильтры вручную.
Поле Enable filtering of IP fragments позволяет включить контроль над фрагментами датаграмм и пакетов данных.
В поле Exceptions собственно и находится список фильтров.
В Microsoft Proxy Server имеется большое количество встроенных фильтров, которые можно добавить кнопкой Add… Также можно создавать пользовательские фильтры.
Параметры фильтра включают в себя протокол (ICMP, TCP, UDP), направление (In, Out, Both), номер локального порта, номер удаленного порта, IP-адрес локального хоста, IP-адрес удаленного хоста. Таким образом, IP-пакет пропускается только в том случае, если его параметры удовлетворяют указанному в одном из фильтров.
Рекомендуется установить следующие настройки:
-
включить динамическое создание фильтров;
-
отключить фильтрацию IP-фрагментов (так как это увеличивает нагрузку на прокси-сервер);
-
в дополнение к фильтрам по умолчанию установить фильтры из таблицы 1, которые разрешают доступ к внутренним Web и Mail серверам.
Таблица 1. Настройка доступа к отдельным узлам и доменам Интернета
| Dir | Protocol | Local port | Remote port | Local address | Remote address |
| Both | TCP | Dynamic | Any | Default | Any |
| In | TCP | 21 | Any | Default | Any |
| In | TCP | HTTP Server (port 80) | Any | Default | Any |
| In | TCP | POP3 | Any | Default | Any |
| In | TCP | SMTP | Any | Default | Any |
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Domain Filters.
Здесь можно ограничить доступ к конкретным узлам и доменам Интернета в соответствии с политикой организации.
Настройка генерации предупреждений
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Alerting.
На этой вкладке можно настроить генерацию предупреждений (Alerts) на три типа событий: Rejected Packets (отброшенные пакеты), Protocol violations (выявление в отброшенных пакетах потенциально опасных), Disk full (диск заполнен).
Основанием для генерации предупреждения становится появление события не реже заданного количества раз в секунду.
Рекомендуется оставить настройки по умолчанию. Системному администратору рекомендуется не реже одного раза в сутки просматривать журнал событий Windows NT компьютера, выполняющего функции прокси-сервера.
Настройка ведения лог-файлов
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Logging.
Лог можно в обычном (Regular) и подробном (Verbose) формате.
Рекомендуется оставить настройки по умолчанию. Системному администратору рекомендуется раз в сутки просматривать сгенерированный за прошедшие сутки лог-файл.
Безопасность Microsoft Exchange Server 5.5
Общая информация
Microsoft Exchange Server предоставляет решения для организаций в области обмена сообщениями и совместного использования информации. Серверная часть Microsoft Exchange включает службу каталога, хранилище информации, агента передачи сообщений, коннекторы. Все эти компоненты запускаются как Microsoft Windows NT сервисы и работают совместно, обеспечивая следующие возможности:
-
управление службой каталога Microsoft Exchange Server;
-
управление доступом к информации;
-
предоставление структурированного архива документов и электронных сообщений;
-
передачу и маршрутизацию сообщений - внутри и за пределы организации;
-
контроль за состоянием серверов и соединений;
-
синхронизацию каталогов на всех серверах во всех отделениях;
-
управление репликацией и разрешение конфликтов репликации.
Административная программа
Программа Microsoft Exchange Administrator позволяет администраторам с одного места конфигурировать и управлять всей корпоративной системой - почтовыми ящиками пользователей, шлюзами и серверами, находящимися в любом филиале корпорации. Эта программа дает графическое представление всех компонентов системы в виде иерархической структуры, упрощая выполнение основных операций над группой ресурсов на каждом уровне структуры.
Каталог
Каталог, или адресная книга, Microsoft Exchange Server хранит всю доступную информацию о пользователях и ресурсах организации, включая почтовые ящики, списки рассылки, общие папки, серверы и т.д. Каталог автоматически распространяется на все серверы внутри отделения (Site) и может быть специально настроен для автоматической синхронизации с почтовыми отделениями на других серверах.
Каталог Microsoft Exchange гораздо больше, чем просто адресная книга. В нем может храниться полная информация о пользователях - адрес, телефон, должность и т.д., то есть каталог может использоваться как, например, телефонный справочник организации.
Хранилище информации
Хранилище информации Microsoft Exchange представляет собой структурированный архив для хранения информации, созданной пользователями. Это нереляционная база данных, разработанная для хранения разнородной информации (такой, как электронная почта, файлы вложений, графика, звук, видео), которая предоставляет быстрый доступ к этим данным. Администраторы имеют возможность:
-
устанавливать ограничения на размер хранимых общих и личных папок;
-
устанавливать временной лимит и автоматически удалять из хранилища устаревшую информацию;
-
определять права доступа к общим папкам;
-
тиражировать общие папки по заданному расписанию.
Хранилище информации состоит из двух баз данных: одна используется для хранения личных папок пользователя, другая - для общих папок. Механизм репликаций позволяет автоматически распространять информацию, хранимую в общих папках, на любые серверы Microsoft Exchange.
Личные папки хранят информацию, принадлежащую отдельным пользователям. Только владельцы этих папок могут делегировать права доступа к информации, хранимой в этих папках. Личные папки хранятся в компьютере, на котором установлен Microsoft Exchange Server, и управляются владельцем этой папки.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
