Publicando Regras
Servidores WEB e No-Web no ISA Server 2006
Michel Max Alves da Silva
Michel Max Pagina 1 de 20
Viso Geral da Publicao de Servidores Web e Servidores No-Web
As regras de publicao de Servidores permitem controlar o acesso do servio de quaisquer redes que necessite, incluindo os servios de SMTP, NNTP, POP3, WEB, OWA, NNTP, Terminal Services, conforme sua escolha.
As regras de publicao de servidores web e servidores no-web possuem caractersticas muito diferentes umas das outras e so usadas para finalidades muito diferentes. As regras de Servidores WEB devem ser usadas somente para servios de WEB, j servidores no-web devem ser usadas somente para servios no-web (VNC, VoIP, etc).
Regras de Publicao Web.
Quando voc publica um Servidor Web o filtro de proxy web intercepta a requisio e repassa-a para a regra de publicao do servidor.
As regras de Publicao ostentam as seguintes caractersticas: Protege o acesso a Sites atravs do FireWall do Isa Server. Inspeciona camada de aplicativos que acessam o Site. Redirecionamento. Pr-autenticao de servidores web(Autenticao Bsica). Controle de cache de sites. Publicar vrios sites com um nico endereo IP. Transcrio de endereos protegidos pelo FireWall do Isa Server. Suporte a autenticao SecurID. Suporte a autenticao Radius. Programar quantas e quando as conexes ao servidor permitido. Redirecionamento de porta e protocolos.
Fornecendo acesso as Sites da Web protegidos pelo FireWall do Isa Server
As Regras de Publicao da Web provendo acesso aos sites da Web considera toda conectada a placa de rede externa uma rede protegida pelo FireWall do Isa Server.
O filtro de Proxy da Web do FireWall do Isa Server mantem segura quaisquer requisies feitas a web atravs das Regras de Publicao Web.
Mesmo quando voc desabilita o Filtro de Proxy da Web ela sempre estar ativa para publicaes da Web, esta foi uma medida implementada pela equipe de desenvolvedores do Isa Server, Sendo assim quando alguma requisio externa chega passa sempre pelo filtro protegendo assim toda sua rede interna.
Executando uma inspeo profunda das camadas de conexes feitas a Web Sites Publicados
Uma das vantagens principais de usar Regras de Publicao da Web a habilidade do FireWall do Isa Server fazer uma inspeo profunda das camadas em todas as conexes feitas aos Sites Publicados. Esta inspeo impede que os atacantes emitam comandos maliciosos no Site Publicado.
O inspeo das camadas de responsabilidade do Filtro de HTTP do FireWall do Isa Server, ele pode ser manipulado manualmente, exemplos:
Ajustar o carregamento mximo. Bloqueando Caracteres High-bit. Verificando Normalizao. Respostas de bloqueio de contedos executveis das janelas. Ajustando o mtodo adequado do HTTP voc pode restringir o acesso ao Site
Michel Max Pagina 2 de 20
Publicado ao mnimo e bloquear todo os outros. Permitir uma lista especfica de arquivos. Permitir uma lista especfica de Cabealhos. Pode Restringir o acesso ao Site Publicado atravs da Assinatura, Cabealho,
Corpo, Rodap, ou corpo da resposta.
Redirecionamento de Pasta
As Regras de Publicao da Web permitem que voc redirecione o usurio conforme o trajeto de sua requisio. Por Exemplo, um usurio faz uma requisio a www.site.com.br/coisas. e voc quer que a requisio seja enviada para o Servidor Server002 para o diretrio www.site.com.br/desenvolvimento_coisas. Voc pode configurar a regra de Publicao da Web para redirecionar o pedido (Coisas) para o outro servidor ou pasta (desenvolvimento_coisas). Isto tambm funcionara para redirecionamento para outros sites.
Pr-Autenticao do Acesso Feito a Sites Publicados
As Regras de Publicao de Sites podem pr-autenticar os usurio no FireWall do Isa Server impedindo assim acessos com usurios annimos. Caso o usurio no consiga autenticar-se corretamente ser exibida uma mensagem de tempo esgotado.
A Pr-autenticao permite determinar se o usurio poder acessar o site mesmo que consiga autenticar-se.
Armazenamento de Sites Publicados em Cache no Isa Server
Uma vez que um usurio faz uma requisio de contedo ao Isa Server ele requisita a informao ao servidor Web e em seguida carrega a informao em cache diminuindo assim o trfego na rede e agilizando requisies.
Habilidade de publicao de vrios sites com um nico endereo IP
O Isa Server permite publicar vrios sites com um nico endereo IP pelo fato da sua inspeo de camadas, basta criar duas regras de publicao de sites cada um deles apontado para o servidor web correspondente na sua rede interna. O Isa Server faz o gerenciamento de informao e responde ao usurio requisitante a informao correspondente ao site requisitado.
Habilidade de reescrever URLs do Web Site publicado usando Link Translator do FireWall do Isa Server
O Isa Server pode rescrever a URL gerada do site acessado, suponhamos que voc tenha um site publicado no endereo http://Servidor003/pasta o Isa Server pode reescrever o mesmo como http://site_tal/pasta, impedindo assim que os usurios saibam o nome da maquina na sua rede interna.
Redirecionamento de Portas e Protocolos
O Isa Server permite que voc redirecione as requisies para uma outra porta no Sendo necessariamente a padro, ou mesmo que substitua o protocolo padra~por outro por exemplo HTTP por FTP.
Regras de Publicao de Servidores
Michel Max Pagina 3 de 20
As Regras de Publicao de Servidores so: Um mapeamento de portas(Reverso do NAT). Quase todos os protocolos TCP/UDP podem ser utilizados. As Regras de Publicao de Servidores no suportam Autenticao. O Filtro de Camadas pode ser aplicado as regras aumentando a proteo de sua rede. Voc pode configurar quais portas os usurios podem se conectar. Voc pode configurar quais IP remotos podem acessar o servidor externamente. Voc pode aplicar regras de tempo limite de quanto e quando o usurio pode ficar
conectado ao servidor. Voc pode configurar o redirecionamento de portas assim o servidor recebe a requisio
em uma porta e comea a trata-la em outra.
Resumindo as Regras de Publicao de Servidores so rotas que fazem a inverso do NAT entre Usurios e Servidores/Host.
As Regras de Publicao de Servidores WEB permitem transferncia de dados sobre HTTP, HTTPS ou FTP, j as regras de Publicao de Servidores No-WEB permitem todo tipo de transmisso TCP/UDP.
As Regras de Publicao dos Servidores No-WEB no permitem pr-autenticao no FireWall do Isa Server, ao contrrio das Regras de Publicao de Servidores WEB.
Para Publicao de Servidores No-WEB voc pode definir seus prprios protocolos Sendo utilizados os protocolos UDP/TCP, e ainda aplicar filtros nos mesmos. So Eles:
DNS (Filtro de Segurana) FTP Access Filter H.323 Filter PNM Filter POP Intrusion Detection Filter (Filtro de Segurana) PPTP Filter RPC Filter (Filtro de Segurana) RTSP Filter SMTP Filter (Filtro de Segurana) SOCKS v4 Filter Web Proxy Filter (Filtro de Segurana)
Configurando Portas e Otimizando Espera de Dados e Redirecionamento de Portas
Dentro de cadas Regra de Publicao de Servidores existe a habilidade de controlar a escuta (espera de dados), tanto para a porta das requisies como para a porta de respostas, podendo at redirecionar o usurio para outra porta.
Controle de Usurios em Servidores No-WEB
Embora o Servidor No-WEB publicado no possa ser Pr-Autenticado podemos definir que IP's podem acessar o Servidor.
Michel Max Pagina 4 de 20
Criando Regras de Publicao WEB No-SSL
Na primeira parte da publicao de Servidores WEB voc deve inserir o nome da regra.
Na segunda parte voc deve definir se deseja Permitir (Allow) ou negar (Deny) o acesso ao servidor.
Michel Max Pagina 5 de 20
Na prxima tela voc deve especificar se: Publicar um nico Servidor WEB(recomendado). Publicar um balanceamento de mirrors entre sites. Publicar Vrios Servidores WEB.
Na prxima tela voc deve definir as seguintes opes:
Nome ou Endereo IP do Servidor. Enviar o Cabealho padro do Host ou do Isa Server. Pasta Site
Michel Max Pagina 6 de 20
O IP a ser descrito deve ser o IP usado na sua rede interna e no o IP externo (Erro comum dos Administradores do Isa Server), se voc decidir utilizar o nome certifique-se de que o Isa Server conseguir resolver o nome do site que voc colocou no Internal site Name.
importante ressaltar e o cabealho do protocolo a ser enviado deve ser substitudo pelo o do servidor Isa Server caso esteja publicando vrios servidores atravs de um nico endereo IP, pois o Isa Server alterar o relatrio para que o usurio recebe as informaes corretamente e ao requisitar novas informaes o Isa Server atravs do cabealho faa a definio se a requisio dever ser repassada para o servidor X ou servidor Y.
Na prxima opo voc determina os detalhes de nomes, com a seguintes opes:
Accept requests for Public Name Path
Na opo Accept requests for voc configura se vai aplicar esta regra para todos os sites do publicados atravez do servidor Isa Server ou um site em especfico.
Na opo Public Name voc configura o nome site especfico caso tenha escolhido a opo This domain name.
Na opo Path serve para restringir o acesso a determinada pasta dentro do servidor Sendo assim se deseja que os usurios acessem para todo site coloque /*.
Na prxima opo voc determina os Web Listener (Servio de Escuta).
O Web Listener um servio de escuta uma srie ou um Endereo IP, que procura escutar o nome de seu Servidor(Domnio).
Michel Max Pagina 7 de 20
Selecione o Web Listener ou crie um novo.Para criao de um novo Web Listener Coloque o nome do mesmoo.Selecione qual ser o tipo de Pu
