译自Thomas W Shinder,“Why the ISA Firewall Client Rocks: Lessons on the ISA Stateful Application Layer Inspection Firewall”
ISA防火墙和目前广泛使用的其他防火墙有许多不同,但是最根本的区别是ISA防火墙结合了状态过滤(包过滤)和应用层状态识别,再加上ISA防火墙提供了VPN服务和Web代理/缓存服务,其他防火墙和ISA防火墙相比显得那么的低能。
ISA防火墙的另外一个关键组成就是它可以对通过它的任何连接进行身份验证。和传统的状态过滤防火墙相比,ISA防火墙可以对任何通过它的TCP或UDP连接进行透明的身份验证。所以,你不仅可以在外部(Internet)访问你的内部网络时加以保护,你也可以在内部用户访问外部网络时进行基于用户/用户组的控制。
传统的防火墙管理员一般只是理解“开放端口”,而通过ISA防火墙提供的用户/用户组控制,ISA防火墙管理员可以监控到访问外部网络的用户和应用程序。这样,在你需要对网络活动进行控制和分析报告时,你可以很容易的做到这一点。
在你规划对访问外部网络进行控制时,一个关键的地方是ISA防火墙的防火墙客户端应用程序。在这篇文章中,我们探讨防火墙客户端(FWC)的一些特性,在你了解它之后,你会为为什么不早点安装FWC而感到后悔。
理解ISA防火墙客户端
防火墙客户端是安装ISA防火墙时的一个可选组件,它可以安装在任何支持的Windows操作系统上,提供增强的安全性和可访问性。防火墙客户端为Windows客户提供以下的增强:
- 允许对使用TCP/UDP的Winsock应用程序实现用户/用户组身份验证;
- 允许在ISA防火墙日志文件中记录用户和应用程序信息;
- 为网络应用程序提供增强的支持, 包含需要辅助连接的复杂协议;
- 为防火墙客户提供代理DNS支持;
- 允许你发布需要复杂协议的服务而不需要应用程序过滤器的支持(虽然在新ISA防火墙中不是很有效的支持);
- 让网络路由结构对防火墙客户透明;
允许对使用TCP/UDP的Winsock应用程序实现基于用户/用户组身份验证
防火墙客户端软件透明的发送用户信息到ISA防火墙,允许你基于用户/用户组来建立访问规则。这样,当你需要对于不同用户设置不同的访问权限时,访问控制是非常容易实现的。
注意:只允许用户访问部分协议、站点和内容是基于最小特权原则来的。最小特权原则对进站和出站的访问都有效。对于进站访问,服务器和Web发布规则允许外部主机在ISA防火墙的高度控制和监控下访问被保护的网络资源,对于出站访问也一样。然而,在传统的防火墙环境中,进站访问可能被严格的控制,但是出站的访问却没有进行严格的限制,内部网络的用户可以访问他们想访问的内容。出站访问控制的弱点给企业的网络带来了安全风险,病毒也可以利用没有严格限制的出站访问来自由的出入。
防火墙客户端自动发送用户信息给ISA防火墙。对于限制了用户/用户组访问外部的情况,用户必须先登录到Windows,然后通过Windows活动目录、NT域或者ISA防火墙上的镜象用户来通过ISA防火墙的身份验证。例如,如果你有活动目录域,用户可以登录到域,然后ISA防火墙作为域的成员,此时,ISA防火墙就可以通过域用户/域用户组来控制用户的访问。
如果你没有Windows域,你同样可以通过FWC来控制用户/用户组的访问。在这样环境中,你只需要在ISA防火墙上的本地安全管理器(SAM)中对登录到他们各自工作站上的用户账户做一个镜象账户。例如,一个小型企业的网络可能不会部署活动目录,用户登录到本地计算机上,但是他们也想使用基于用户/用户组的访问控制。你可以在ISA防火墙上建立同样的用户名和密码,这样ISA防火墙就可以认证登录到本地计算机的用户/用户组信息。
如果安装了活动目录客户端软件,Windows 9x客户可以配置为转发域用户信息。你可以从http://support.microsoft.com/default.aspx?kbid=288358获得此软件及相关信息。
允许在ISA防火墙日志文件中记录用户和应用程序信息
使用防火墙客户端的另一个好处是当用户/用户组信息发送到ISA防火墙时,用户名会包含在ISA防火墙的日志文件中。这允许你从日志文件中轻松的获得用户访问外部网络的精确的活动信息。
防火墙客户端并不只是通过允许你基于用户/用户组来进行访问控制来提供高度的安全性,同时也提供高度的责任感。用户应该知道他们的账户会被记录下来,同时,他们也应该对他们账户对应的网络访问活动行为负责。
为网络应用程序提供增强的支持, 包含需要辅助连接的复杂协议
和SNAT客户需要一个应用层过滤器来支持需要辅助连接的复杂协议不同,防火墙客户端支持任何使用TCP/UDP协议的Winsock应用程序,而不管它们使用多少主要端口或者辅助端口,也不需要任何应用程序过滤器。
在ISA 2004防火墙中,建立具有多个主要连接或辅助连接端口的协议定义非常容易,然后你可以基于这些协议定义来建立访问规则。对于减少总拥有成本(TCO)来说,这是一个显著的优点:你不需要购买任何Socks代理程序,也不需要再在自定义应用程序过滤器上花费时间和金钱。
为防火墙客户提供代理DNS支持
和SNAT客户相比,防火墙客户不需要配置DNS服务器地址,ISA防火墙可以提供防火墙客户的DNS代理功能。
例如,当一个防火墙客户发送一个通往 ftp://ftp.microsoft.com 的连接请求,这个请求直接发送到ISA防火墙,ISA防火墙通过ISA防火墙网络适配器上的DNS服务器设置来为防火墙客户解析此名字。
ISA防火墙将解析出的IP返回给防火墙客户,然后防火墙客户发送ftp连接请求给ftp.microsoft.com的IP地址上的FTP站点。ISA防火墙同样会为缓存此DNS解析结果,以便其他防火墙客户端使用,这样加快了随后其他防火墙客户端对相同的站点的访问。和ISA Server 2000默认缓存周期是6个小时不一样,ISA防火墙通过DNS服务器返回的TTL值来决定缓存的周期。下图显示了防火墙客户的名字解析过程:
1、防火墙客户端为ftp.microsoft.com发送一个请求;
2、ISA防火墙向一个内部DNS服务器发送一个DNS查询请求;
3、DNS解析出ftp.microsoft.com的IP地址,然后返回结果给ISA防火墙;
4、ISA防火墙返回ftp.microsoft.com的IP地址给发起请求的防火墙客户;
5、防火墙客户向ftp.microsoft.com的IP地址发送一个连接请求,然后连接完成;
6、Internet上的FTP服务器通过防火墙客户到ISA防火墙的连接,返回请求的信息。
让网络路由结构对防火墙客户透明
防火墙客户端的另外一个主要的优点是路由结构对防火墙客户端是透明的。和SNAT需要默认网关设置和设置企业网络中路由器的默认网关(gateway of last resort)不同,防火墙客户端只需要知道通往ISA防火墙本地网络接口的路由即可。
注意:注意在连接ISA防火墙时,我说的是“本地网络接口”。和ISA Server 2000有一个或多个内部接口不同,ISA防火墙支持多个内部、外部和DMZ接口。注意,ISA防火墙拥有一个默认的内部网络,这个默认的内部网络是在安装ISA防火墙时定义,和ISA Server 2000中使用的内部网络概念没有任何关系。本地网络接口是防火墙客户发起的请求到达ISA防火墙的网络接口。
防火墙客户将通往远程网络的请求直接发送给ISA防火墙中定义的这个客户属于的网络的接口的IP地址,而不管中间是否还会经过路由器。下图描述了客户直接将请求发送给ISA防火墙而不顾路由器的情况,
防火墙客户端是如何工作的?
防火墙客户端软件是如何工作的细节信息在微软文献中也没有完全的文档来说明。事实上,如果你使用Microsoft Network Monitor来做网络数据包的跟踪,你将会看到Network Monitor不能对防火墙客户端的通信进行解密。不过,Ethereal有个可以使用的基本的防火墙解码器(www.ethereal.com),它可以对ISA Server 2000防火墙客户端的通信进行解码。但是,它对新ISA防火墙的通信无能为力,因为ISA Server 2004防火墙客户端可以对控制数据的通信加密。
ISA防火墙的防火墙客户端和以前版本不一样,只使用TCP 1745端口进行控制数据的通信。通过这个控制通道,防火墙客户端直接和ISA防火墙服务进行通信,来执行名字解析和网络应用程序的命令(例如使用FTP和Telnet)。防火墙服务使用从控制通道获得的数据来代理防火墙客户端和目的服务器之间的连接。
注意:防火墙客户端只在连接非本地子网的网络服务时才会建立控制通道。
在ISA Server 2000中,内部网络通过本地地址表(LAT)来定义。因为拥有增强的多网络核心,新的ISA防火墙不使用LAT。不过,防火墙客户端必须使用一些方法来决定通信是否发送给ISA防火墙或者直接发送给本地子网的目的主机。
防火墙客户端通过本地子网的地址定义来解决这个问题。对于任何指定的防火墙客户,本地子网代表所有可以直接从网络接口访问的IP地址。
这种情况在多网络接口的ISA防火墙上是很有趣的。一般情况下,在相同ISA防火墙网络接口后的主机位于一个相同的网络,在这些主机之间的通信将忽略防火墙客户端,直接发送给目的主机。
安全警告:你可能在相同的ISA防火墙上具有多个网络接口,但是,只有一个网络才能命名为“内部”。新的ISA防火墙的“内部”网络由一组在相互之间拥有隐式信任关系的主机组成(至少拥有不需要一个网络防火墙来控制它们之间通信的信任关系)。你可以拥有多个内部网络,但是内部网络的地址不能与其他任何网络重复。
这样意味着在连接到ISA防火墙不同网络接口的网络之间进行访问时,你不能使用为这些网络使用集中配置的网络地址范围来忽略防火墙客户端。但是,防火墙客户端的集中配置可以基于网络来进行设置,所以你可以基于网络来控制防火墙客户端的设置。这对于你控制每个网络的防火墙客户端配置是非常有意义的。但是,这对网络中包含其他网络的情况(在相同ISA防火墙网络接口后的多个网络ID)是没有帮助的。
还有个有意义的改进是在全新的ISA防火墙的防火墙客户端中你可以选择是否在防火墙客户端和ISA Server 2004防火墙之间使用加密通道。
在防火墙客户端和ISA防火墙之间进行通信时,加密是非常有必要的,因为防火墙客户端透明的发送用户身份信息。防火墙客户端加密数据通道,这样可以避免被Sniffer窃听。注意你可以配置ISA防火墙允许安全加密的和未加密的控制通道通信。因为对ISA Server 2000客户端的支持,你可能想暂时的允许未加密的通信。
如果你还想对ISA Server 2000的防火墙客户端应用程序具有更全面的了解,你可以看看Stefaan Pouseele的文章“Understanding the Firewall Client Control Channel”,这是一篇极好的文章,讲述了ISA Server 2000防火墙客户端的细节,其中的大部分仍然保留。 【转自世纪安全网 http://www.21safe.com】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)