IT2web

Системному администратору Windows Server

Главная --> ISA / TMG --> Создание сетей на базе ISA 2004 (Часть 2)

Создание сетей на базе ISA 2004 (Часть 2)

Индекс материала
Создание сетей на базе ISA 2004 (Часть 2)
Контроль доступа
VPN в качестве сети
Локальный узел считается сетью
Определение сетевых элементов внутри сети
Резюме
Все страницы
В первой части статьи мы рассмотрели вопросы создания сетей и сетевых отношений. Во второй части мы остановимся на проблемах дополнительных настроек сети и работы сети с сервером ISA 2004.

Если вы пропустили первую часть статьи, прочтите ее.

В первой части мы уже установили, что ISA-сервер используется для разделения сетей, что сети можно определять, и что к каждой сети применяются политики в форме правил для каждой сети.

Не смотря на убеждения некоторых любителей сенсаций, DMZ и подобные ей сети все еще живы и широко применяются при построении сетей. На самом деле, те, кто говорит, что DMZ мертвы, просто боятся публикации серверов, находящихся во внутренней сети, и поэтому предпочитают создавать чрезмерно защищенные сети с помощью двух брандмауэров для обеспечения доступа высокой безопасности. Но это, само по себе, просто расширенный вариант DMZ.

По умолчанию после установки ISA-сервера никакой трафик не может проходить из одной сети в другую. По мере добавления правил на ISA-сервере, сети могут обмениваться трафиком. Это позволяет установить на всех интерфейсах ISA-сервера функцию фильтрования пакетов. Для этого я в первой части рекомендовал определять сети по интерфейсу, если это возможно, поскольку такой подход дает возможность использования сложного контроля всех протоколов и сетевых элементов. Это, помимо всего прочего, позволяет применять к любой топологии подход, при котором ISA-сервер может соединяться с любым количеством сетей любой конфигурации с несколькими политиками на каждом интерфейсе. Давайте детально рассмотрим, как это работает.