За пределами сети существует бесчисленное множество угроз, которые, если предоставить им такую возможность, попытаются получить несанкционированный доступ к вашей сети и злоупотребить ее внутренними ресурсами. Основным охранником сетей являются брандмауэры, ограничивающие нежелательный трафик и предотвращающие несанкционированный доступ. Многие организации для решения связанных с этим проблем используют ISA Server 2006.
Помимо угроз есть и другие проблемы. Сотрудники могут тратить много времени на посещение не связанных с работой веб-сайтов и ставить безопасность сети под угрозу, посещая вредоносные сайты.
Политика многих организаций запрещает подобную деятельность в Интернете для тех, кто пользуется компьютерными ресурсами компании. Сетевым администраторам нужно уметь контролировать доступ к таким ресурсам, а также уметь блокировать доступ к нежелательным сайтам.
Наборы доменных имен в ISA Server 2006
Есть много способов достичь вышеуказанной цели, однако в данный статье мы сконцентрируемся на использовании наборов доменных имен (Domain Name Sets) и наборов URL (URL Sets) для блокирования доступа к опасным или нежелательным сайтам. Все типы клиентов ISA Server могут использовать наборы доменных имен для блокирования доступа. Но только клиенты Web Proxy и Firewall могут обеспечивать контролируемость на групповом или пользовательском уровне.
Наборы доменных имен позволяют вам блокировать доступ к целому сайту, например, espn.com. Если вы создадите набор с помощью такой записи: *.espn.com, вы заблокируете возможность пользователям посещать любой сайт в домене espn.com, после чего вам не будет нужно беспокоиться о пользователях, просматривающих целыми днями спортивную статистику. Аналогично создается набор записью *.playboy.com, и пользователи больше не могут посещать сайты в домене playboy.com, не будут просматривать ненадлежащие материалы, могущие привести к сексуальным домогательствам или иным проблемам с персоналом.
Вы также можете использовать наборы доменных имен для более подробного блокирования доступа, указывая конкретный сервер домена. Например, вы можете создать запись www3.espn.com, и тогда сервер www3.espn.com будет заблокирован, при этом остальные серверы домена espn.com останутся доступны.
Наборы доменных имен применяются ко всем протоколам и типам клиентов. То есть, когда создается запись в наборах доменных имен, весь доменный трафик блокируется вне зависимости от типа клиента ISA Server 2006. Если же вас интересуют только веб-соединения, а не все сетевые протоколы, вы можете блокировать доступ с помощью наборов URL.
Наборы URL в ISA Server 2006
Наборы URL аналогичны наборам доменных имен за исключением того, что наборы URL блокируют только доступ для веб-соединений. Чтобы наборы URL были эффективны, соединения должны идти через протокол HTTP или HTTPS (FTP-серверы, настроенные как клиенты Web Proxy, также можно блокировать) и управляться через фильтр Web Proxy.
Например, вы можете создать набор URL с помощью записи hotmail.com, и создать правило для блокирования доступа к hotmail.com при использовании любого протокола. Попытки получить доступ к hotmail.com с помощью веб-браузера будут блокированы, но пользователи с настроенными клиентами POP3 или SMTP все равно смогут получать почту с hotmail.com, так как набор URL применяется только к сессиям HTTP, HTTPS и FTP через Web Proxy (HTTP-туннелирование).
Важно помнить о разнице между наборами доменных имен и наборами URL. Наборы URL позволяют вам четче ограничивать доступ, блокировать трафик к определенным URL через протоколы HTTP и HTTPS, если клиент устанавливает соединения через фильтр Web Proxy. Напротив, наборы доменных имен работают более поверхностно, блокируя доступ к доменам вне зависимости от протокола и типа клиента.
Создание правил доступа
Для того, чтобы наборы доменных имен и наборы URL заработали, необходимо создать правила доступа. Набор URL или набор доменных имен можно создать как функцию в мастере Access Rule Wizard. Чтобы создать правила доступа для нужного набора доменных имен или URL проделайте следующее:
Откройте консоль управления ISA Server 2006 management console
Разверните имя сервера и выберите Firewall Policy
Щелкните на вкладку Tasks в панели Task
Выберите Create a New Access Rule
Введите имя для правила доступа. В данном случае введите Block ESPN и щелкните Next
Выберите Deny на странице Rule Action и щелкните Next
Выбор на странице Protocols будет зависеть от того, хотите ли вы создать набор доменных имен или набор URL - В случае набора доменных имен выберите All Outbound Traffic - Для набора URL выберите Selected Protocols и отметьте HTTP и HTTPS (и, возможно, FTP, если вам это требуется)
Щелкните Next
Щелкните Add на странице Access Rule Sources
Щелкните на Networks и выберите Internal, после чего щелкните Close
Щелкните Next
Выберите Add на странице Access Rule Destinations
На странице Add Network Entities выберите требуемое - Domain Name Set или URL Set
Введите название для набора доменных имен или набора URL в диалоговом окне
Щелкните New и добавьте домен, к которому вы хотите ограничить доступ – в данном случае это *.espn.com
Щелкните OK
Не забывайте, что правила доступа обрабатываются последовательно. Убедитесь, что новые правила и все остальные ограничивающие правила перемещены в начало списка. Смысл в том, чтобы запрещающие правила обрабатывались до разрешающих.
Определение того, что нужно блокировать
Возможность блокировать нежелательные и потенциально опасные сайты – хорошо, но существует множество – тысячи, возможно, десятки тысяч сайтов, которые можно было бы заблокировать. Пытаться заблокировать абсолютно все такие сайты бессмысленно.
Возможным вариантом тут будет мониторинг использования Интернета, определение, на какие опасные сайты заходят пользователи, после чего блокирование только этих сайтов. Однако такой подход достаточно скучен и занимает довольно много времени. Может потребоваться отдельный сотрудник просто для отслеживания журнальных данных и создания правил, блокирующих доступ к нежелательным доменам.
Есть возможность импортировать списки известных нежелательных или вредоносных доменов с помощью TXT-файлов или XML-файлов. Этот метод довольно эффективен, он позволяет легко и быстро заблокировать множество нежелательных сайтов. Однако такие списки не всеобъемлющи. В них вполне могут отсутствовать сайты, регулярно посещаемые вашими пользователями, что возвращает к необходимости мониторинга, хотя бы от случая к случаю.