A böngésző a tűzfal ISA tűzfal (2018)
Az egyik legnépszerűbb kérdések Láttam a ISAServer.org táblák és levelezőlista - a következő: „Hogyan használja a böngésző én ISA tűzfal.” Fáj, hogy hallja ezt a kérdést. Ideális esetben tűzfal biztonsági környezetben, akkor ne használja a böngésző a tűzfalon.
Az ISA tűzfal nem szabad használni, mint egy munkaállomás, fájlszerver, a Web-szerver vagy szerver bármely más típusú. Ez - a tűzfal és az ISA tűzfal ma az egyik legjobb és legbiztonságosabb tűzfal a piacon. A böngésző használata nem a legjobb módon nem befolyásolja a biztonságot a tűzfal.
Azonban a valóságban a hálózati számítástechnika, a dolgok nem mindig úgy működik, ahogy akartam, hogy a biztonságot. Amikor elhagyjuk a „tiszta szoba” környezet, amelyben él a legtöbb biztonsági szakértők, azt látjuk, hogy a tűzfal adminisztrátorok szeretné használni a böngészőt az ISA tűzfal több okból is. Ez lehet egy látogatás a Windows Update webhelyen, töltse le a szkripteket az ISA tűzfal és sok más okból.
Soha ne használjon olyan böngészőt vagy más kliens alkalmazás az ISA tűzfal. Egy kliens alkalmazás az ISA tűzfal-lényegesen csökkenti a teljes tűzfal biztonsági és potenciális kockázatot jelenthetnek nemcsak a tűzfal, hanem a teljes hálózati infrastruktúrát.
Látni fogja, hogy a rendszer politikai szabályok vannak felsorolva előtt a tűzfalszabályzat. Ez azt jelenti, hogy ezeket a szabályokat alkalmazzák tűzfalszabályokhoz hogy Ön hoz létre. Kétféle szabályok Rendszer politika, amely lehetővé teszi az ISA tűzfal csatlakozni az internethez:
- A HTTP / HTTPS kéréseket ISASystem Policy Szabály # 17) a szerver
- A HTTP / HTTPS kéréseket ISAMicrosoft szerver hibaüzenetet (System Policy Rule # 23)
A System Policy Szabály # 17 ISA tűzfal webhelyekhez való csatlakozást System Policy megengedett. Alapértelmezésben az Engedélyezett webhelyek tartalmazza:
Ez a szabály lehetővé teszi, hogy az ISA tűzfal kapcsolatot erőforrások bárhol elhelyezhető a Microsoft webhelyén, beleértve a Windows Update. Ez a szabály hasznos, ha a böngésző nem használják, mint egy mechanizmust az automatikus frissítések, amelyek szerepelnek az alap operációs rendszert, használja ezt a rendszert fenntartó szabály letölthető a Microsoft weboldaláról a frissítéseket.
A System Policy Szabály # 23 lehetővé teszi, hogy az ISA tűzfal küldeni hibainformációkat a felsorolt területek Microsoft hibajelentés oldalak listáját. Alapértelmezésben ez a lista tartalmazza:
Amikor az alkalmazás „esik”, vagy van-e egyéb hiba az ISA tűzfal, a tűzfal is használhatja ezt a szabályt, hogy csatlakozzon a helyszínek listáján szereplő küldeni a hiba részleteit. Ön is használja a böngésző a hozzáférést ezeken az oldalakon.
A kapcsolódási kísérlet utasítani, amikor megpróbál csatlakozni a webhelyeket, amelyek nem oldhatók meg a két szabályt rendszer politikát. Ha azt szeretnénk, hogy látogasson el bármely más helyszínen, meg kell adni ezt a webhelyet a lista az engedélyezett oldalak Rendszer biztonsági szabályokat, vagy a tűzfal politika, amely hozzáférést biztosít a webhelyeket, a meglátogatni kívánt.
A legegyszerűbb módja ennek - az, hogy hozzon létre hozzáférési szabályokat, amelyek lehetővé teszik a HTTP és HTTPS-hozzáférés a LAN a WAN. Kevésbé világos, de biztonságosabb módszer - Proxy csatlakozni egy helyi hálózaton, hozzon létre egy hozzáférési szabályt, amely lehetővé teszi, hogy a helyi hálózaton HTTP és HTTPS protokollon keresztül csatlakozik az internethez, és állítsa be a böngészőjében működik, mint egy kliens proxy.
Nézzük először megnézzük egy egyszerű módja, majd lépni a kevésbé egyszerű, de sokkal biztonságosabb módon.
1. módszer: Menee biztonságos
Minden, amire szükség van ennek a módszernek -, hogy hozzon létre egy hozzáférési szabály, amely a külső hozzáférést a HTTP / HTTPS a LAN az internethez. Ez a módszer nem veszélyezteti a csatlakozási kérelmet a Proxy szűrők, amíg a szűrő benne Proxy. Sok ISA tűzfal adminisztrátorok nem végez Proxy szűrő kötődés HTTP protokoll, megkönnyítve ezáltal a folyamat közvetlen hozzáférést. Rendszeresen ezt a tűzfal, bár ez nem feltétlenül szükséges, és mindenképpen ajánlott, amíg nem jelenik meg konkrét oka.
Azért csinálom, mert azt követelik, hogy a Windows ügyfelek konfigurálásához és Proxy ügyfelek és a tűzfalügyfelek. Ha egy cég szeretne egy tűzfalat, akar a biztonság, és ez így lesz kihasználni a biztonsági technológiák, amely lehetővé teszi az ISA tűzfal. És ha ő azt reméli, hogy szerencsés, akkor a PIX porzsák vagy Sonicwall NAT szerver, nem a tűzfal ISA.
Azonban, még ha a szűrő Proxy kapcsolódó HTTP protokoll, a felhasználó, aki megkezdte a munkát, nem lesz képes küldeni kapcsolódási kérelmeket a tűzfalat. Ennek az az oka, hogy ez az eszköz nem támogatja Proxy klienskonfiguráció (meg kell csatlakozni a webfigyelő hálózat támogatja a Web Proxy kliens úgy van kialakítva, hogy a böngésző az ISA tűzfal), és nem tudja telepíteni a tűzfal kliens a tűzfalon is. Ezzel a módszerrel, akkor lehetővé kell tennie névtelen kapcsolatok egy böngésző a tűzfal az Internet.
kövesse az alábbi lépéseket, hogy megteremtse a hozzáférési szabály:
2. módszer: biztonságos módszer
A biztonságosabb módja lehetővé teszi a külső hozzáférést az ISA tűzfal az Internet böngésző használatával -, hogy hitelesítést igényel. A művelet megkezdése előtt a felhasználónak kell hitelesíteni, hogy használja az internetet. Úgy vélem, hogy névtelen hozzáférést a belső vagy külső, mint potenciális veszélyt. És ez akkor is igaz, abban az esetben ha az információáramlást az ISA tűzfal is. Ezért az ISA tűzfal egy kritikus hálózati erőforrás: az összes információ egy felhasználói nevet és alkalmazása. Nincs más tűzfal jelenleg nem nyújtanak biztonságot TCP és UDP protokollok és átlátszóvá.
Annak érdekében, hogy ellenőrizzék a felhasználói hozzáférést egy böngésző segítségével a tűzfal, akkor csatlakozhat a hálózathoz a Proxy, majd állítsa be a böngésző dolgozni, mint egy kliens proxy. Proxy lehetővé kimenő kéréseket a böngésző beállítva proxy ügyfelek.
Kapcsolódni a webfigyelő hálózathoz, kövesse az alábbi lépéseket:
- Alkalmaz gombra kattintva mentse a változtatásokat, és frissíti a tűzfalat politikát.
- Kattintson az OK gombra az Alkalmazás New Configuration párbeszédablak.
Kövesse ezeket a lépéseket a böngésző, mint a kliens proxy:
- Kattintson a jobb gombbal az Internet Explorer ikonra az asztalon, és válassza ki a Tulajdonságok menüpontot.
- Az Internet tulajdonságai párbeszédpanelt. válassza a Kapcsolatok fülre.
- A Kapcsolatok fülön. kattintson a LAN-beállítások gombra.
- A párbeszédablakban Local Area Network (LAN) beállításai. távolítsa el az összes pipát a beállítások beállítások automatikus észlelése és Automatikus konfigurációs parancsfájl használata jelölőnégyzetet. Ellenőrizze a négyzetet, használja a proxy szerver a LAN. A szövegben cím mezőbe. localhost. A szövegben a Port mezőben. adja 8080. Kattintson az OK gombra a párbeszédablakban, Local Area Network (LAN) beállításai.
- Kattintson az OK gombra az Internet tulajdonságai párbeszédpanel.
Az utolsó lépés, hogy hozzon létre egy hozzáférési szabályt, amely lehetővé teszi a külső hozzáférést az internethez HTTP és HTTPS protokollt. Mi is létrehozhatunk egy új hozzáférési szabályt sablonból, vagy mi lehet módosítani a szabályt hoztunk létre korábban. Nézzük módosítsa a meglévő szabályok:
- Kattintson az Alkalmaz gombra a módosítások mentéséhez és frissíti a tűzfalat politikát.
- Kattintson az OK gombra az Alkalmazás New Configuration párbeszédablak.
- A hozzáférési szabályt kell kinéznie az alábbi képre.
Ebben a cikkben, megbeszéltük a kockázatokat a böngésző segítségével az ISA tűzfal. Ugyanakkor azt is megtudta, hogy nem minden rendszergazda használhatja a maximális biztonságot az ISA tűzfal, de valahogy nem akarják használni a böngésző a tűzfal. Megbeszéltük a két módszer, hogy lehet használni, hogy a böngésző számára az internet eléréséhez, miközben dolgozik a tűzfal: a módszer hitelesítési (biztonságos), és az eljárás alkalmazása nélkül hitelesítés (bizonytalan).