Лабораторная работа Исследование системы анализа рисков и проверки политики информационной безопасности предприятия

308 

На вкладке Tasks (Задачи) щелкните кнопкой мыши ссылку Configure VPN 
Client Access (Настроить доступ VPN-клиентов). 

На вкладке General (Общие) в диалоговом окне VPN Clients Properties 
(Свойства: VPN-клиенты) измените значение параметра Maximum number 
of VPN clients allowed (Максимальное разрешенное количество VPN-
клиентов) с 5 на 10. Версия Standard Edition брандмауэра ISA 
поддерживает до 1000 параллельных VPN-соединений. Это жестко 
заданный предел, и он не меняется независимо от количества VPN-
соединений, поддерживаемых операционной системой Windows, в 
которой установлен брандмауэр ISA. У версии Enterprise edition бранд-
мауэра ISA нет жестко заданного лимита и количество поддерживаемых 
VPN-соединений определяется базовой операционной системой. Точно 
число неизвестно, но если брандмауэр ISA установлен в ОС Windows 
Server 2003 версии Enterprise, вы можете создать к брандмауэру ISA 16 000 
VPN-подключений по протоколу РРТР и 30 000 – по протоколу 
L2TP/IPSec. 
Рис.11. Вкладка «Общие (General)» 

309 
Убедитесь, что имеется количество IP-адресов для VPN-клиентов, по 
меньшей мере, равное числу, указанному в текстовом поле Maximum number of 
VPN clients allowed (Максимальное разрешенное количество VPN-клиентов). 
Определите количество VPN-клиентов, которые необходимо соединить с 
брандмауэром ISA, а затем добавьте единицу для самого брандмауэра ISA. Это и 
будет число, которое нужно ввести в данное текстовое поле. 

Щелкните кнопкой мыши вкладку Groups (Группы). На этой вкладке 
щелкните мышью кнопку Add (Добавить). 

В диалоговом окне Select Groups (Выбор: «Группы») щелкните 
мышью кнопку Locations (Размещение). В диалоговом окне Locations 
(Размещение) щелкните кнопкой мыши адрес USER-9E55B268E1, а 
затем кнопку ОК.

В диалоговом окне Select Groups (Выбор: «Группы») в текстовое 
поле Enter the object names to select (Введите имена выбираемых 
объектов) введите VPN-клиенты. Щелкните мышью кнопку Check 
Names (Проверить имена). Как только имя группы будет найдено в 
базе данных Active Directory, оно будет подчеркнуто. Щелкните 
мышью кнопку ОК. 

Щелкните кнопкой мыши вкладку Protocols (Протоколы). На этой 
вкладке установите флажок Enable PPTP (Разрешить протокол PPTP) 
(рис. 12) 

310 
Рис. 12. Вкладка «Протоколы (Protocols)» 

Щелкните кнопкой мыши вкладку User Mapping (Сопоставление 
пользователей) (рис. 5.2.1.3). Установите флажок Enable User 
Mapping (Включить сопоставление пользователей) и флажок When 
username does not contain a domain, use this domain (Если в имени 
пользователя не содержится домен, использовать данный домен). 
Введите имя USER-9E55B268E1 в текстовое поле Domain Name 
(Доменное имя). Имейте в виду, что эти установки будут 
применяться при использовании аутентификации RADIUS/EAR Они 
игнорируются, когда используется аутентификация Windows 
(например, когда машина с брандмауэром ISA 2004 принадлежит 
домену и пользователь явно вводит верительные данные домена).

311 
Рис. 13. Вкладка «Сопоставление пользователей (User Mapping)» 

Щелкните мышью кнопки Apply (Применить) и ОК. Вы увидите 
диалоговое окно Microsoft Internet Security and Acceleration Server 
2006 (Сервер защищенного быстрого доступа к сети Интернет 2006), 
информирующее вас о том, что необходимо перезапустить 
компьютер для ввода в действие установленных параметров. Если 
так, щелкните мышью кнопку ОК в диалоговом окне. 

На вкладке Tasks (Задачи) щелкните кнопкой мыши строку Select 
Access Networks (Выбрать сети доступа). 

В диалоговом окне Virtual Private Networks (VPN) Properties 
(Свойства: Виртуальные частные сети) (рис. 5.2.1.4) щелкните 
кнопкой мыши вкладку Access Networks (Сети доступа). Обратите 
внимание на то, что установлен флажок External (Внешняя). Это 
означает, что внешний интерфейс ожидает входящие соединения от 
VPN-клиентов. Если вы хотите внутренних пользователей под-
ключить к брандмауэру ISA, выберите флажок Internal (Внутренняя) 

312 
Есть также варианты, разрешающие VPN-подключения из All 
Networks (and Local Host Network) (Все сети, и локальный 
компьютер) и All Protected Networks (Все защищенные сети). 
Рис. 14. Выбор сетей доступа 
Возможность выбора VPN-соединений из разных сетей может быть 
полезна, если у вас есть небезопасные сети, расположенные за брандмауэром 
ISA. Предположим, что у вас есть трехадаптерный брандмауэр ISA, имеющий 
внешний интерфейс, внутренний интерфейс и интерфейс WLAN (Wireless Local 
Area Network, беспроводная локальная сеть). Интерфейс WLAN применяется 
для пользователей портативных компьютеров (laptop), которые не управляются 
вашей организацией. Вы можете потребовать также и от пользователей 
управляемых компьютеров использовать сегмент WLAN, когда они приносят 
портативные компьютеры, которые перемещаются между корпоративной сетью 
и сетями, не заслуживающими доверия. 
Вы настраиваете правила доступа на брандмауэре ISA, запрещающие 
соединения из сегмента WLAN. Но вы формируете правила доступа, 

313 
разрешающие VPN-соединения с интерфейсом WLAN для подключения к 
ресурсам корпоративной внутренней сети. В этом случае никто из 
пользователей, соединяющихся с сегментом WLAN, не способен получить 
доступ к ресурсам в корпоративной внутренней сети, за исключением тех 
корпоративных пользователей, кто может установить VPN-соединение с 
интерфейсом WLAN на брандмауэре ISA и предоставить соответствующие 
верительные данные для завершения VPN-соединения. Другой сценарий, в 
котором вы можете разрешить VPN-соединение с брандмауэром ISA, – 
функционирование брандмауэра ISA как внешнего (front-end) брандмауэра. В 
этом случае вы, возможно, не захотите разрешать прямые соединения по 
протоколу RDP (Remote Desktop Protocol, протокол удаленного рабочего стола) 
или удаленные соединения ММС с брандмауэром ISA. У вас есть возможность 
разрешить RDP-соединения только от VPN-клиентов и затем разрешить VPN-
клиентам доступ по протоколу RDP к сети локального хоста (Local Host 
Network). В этом случае пользователь должен установить защищенное VPN-
соединение с внешним брандмауэром ISA, прежде чем может быть установлено 
RDP-соединение. Хостам, соединяющимся с помощью любых других средств, 
запрещается доступ к RDP-протоколам. 

Щелкните кнопкой мыши вкладку Address Assignment (Назначение 
адресов) (рис. 5.2.1.5). Выберите в раскрывающемся списке Use the 
following network to obtain DHCP, DNS and WINS services 
(Использовать следующую сеть для получения доступа к службам 
DHCP, DNS и WINS) элемент Internal (Внутренняя). Это важная 
установка, поскольку она определяет сеть, в которой осуществляется 
доступ к сервису DHCP. 

314 
Рис. 15. Вкладка «Назначение адресов (Address Assignment)» 
Заметьте, что это не единственно возможный выбор. Можно выбрать 
любой из адаптеров брандмауэра ISA в списке Use the following network to obtain 
DHCP, DNS and WINS services (Использовать следующую сеть для получения 
сервисов DHCP, DNS и WINS). Ключевой вывод заключается в том, что вы 
выбираете адаптер, на котором есть корректная информация сервера имен и 
наиболее вероятный кандидат – внутренний интерфейс брандмауэра ISA. У вас 
также есть возможность использовать Static address pool (Пул статических 
адресов) для назначения адресов VPN-клиентам. Проблема применения пула 
статических адресов заключается в том, что при назначении адресов из подсети 
(адреса в сети с тем же сетевым идентификатором (ID), что и один из ин-
терфейсов брандмауэра ISA) необходимо удалять эти адреса из сети, к которой 
подсоединен брандмауэр ISA. 
Предположим, что у брандмауэра ISA есть два сетевых интерфейса: 
внешний и внутренний. Внутренний интерфейс соединен с вашей внутренней 
сетью по умолчанию и ее сетевой идентификатор – 192.168.1.0/24. Если вы 
хотите назначить адреса VPN-клиентам из диапазона адресов внутренней сети, 

315 
используя пул статических адресов, например 192.168.1.200/211 (всего 10 
адресов), вам нужно будет вручную удалить эти адреса из определения 
внутренней сети, прежде чем вы сможете создать из них пул статических 
адресов. Если вы попытаетесь создать пул статических адресов с сохранением 
этих адресов в подсети (on subnet), то увидите сообщение об ошибке. 

Щелкните кнопкой мыши вкладку Authentication (Проверка 
подлинности). Отметьте, что установлен только флажок Microsoft 
encrypted authentication version 2 (MS-CHAPv2) (Шифрованная 
аутентификация версии 2, Протокол проверки подлинности запроса-
подтверждения Microsoft версии 2). 
Рис.16. Вкладка «Проверка подлинности (Authentication)» 

Щелкните кнопкой мыши вкладку Протокол RADIUS (Remote 
Authentication Dial-In User Service, служба аутентификации 
удаленного дозванивающегося (коммутируемого) пользователя). На 
этой вкладке можно настроить VPN-сервер брандмауэра ISA 2006 
для применения аутентификации VPN-пользователей с помощью 
сервиса RADIUS. Преимущество подтверждения подлинности 

316 
средствами RADIUS заключается в том, что можно привлечь базу 
данных пользователей службы Active Directory (или других 
каталогов) для аутентификации пользователей без обязательного 
членства в домене брандмауэра ISA.

В диалоговом окне Virtual Private Networks (VPN) Properties 
(Свойства: Виртуальные частные сети) щелкните мышью кнопку 
Apply (Применить) и затем кнопку ОК. 

Щелкните мышью кнопку Apply (Применить) для сохранения 
изменений и обновления политики брандмауэра 

Щелкните мышью кнопку ОК в диалоговом окне Apply New 
Configuration (Применить новую конфигурацию).

Перезапустите машину с брандмауэром ISA. 

жүктеу/скачать 7,35 Mb.

Достарыңызбен бөлісу: