ISA Server 2006 – Modelos de Rede

O ISA Server 2006 possui alguns modelos de redes pré-configurados, com o objetivo de facilitar a configuração de redes no ISA Server. Através do Assistente de Modelo de Rede, podemos rapidamente e facilmente aplicar os modelos existentes, que farão as configurações necessárias para que o ISA Server trabalhe corretamente com as redes.

Uma das tarefas iniciais que devemos realizar logo após a instalação do ISA Server 2006 e configuração dos clientes é a definição de redes e políticas associadas com as redes. Isso fará com que o ISA Server saiba tratar o tráfego de rede corretamente e que as regras possam ser criadas corretamente também. Por exemplo, imagine um servidor ISA com 3 placas de rede, cada uma conectada com uma rede diferente. Você precisa dizer para o ISA que cada uma dessas redes possui um range de IP e está conectada em uma determinada placa de rede. Com isso, o ISA saberá o que fazer com o tráfego de rede e o encaminhará para a rede correta.

As configurações de rede do ISA Server podem ser feitas através do nó Redes. Aqui nós podemos configurar o tipo de rede utilizada pelo ISA Server, as regras de rede e utilizar alguns assistentes. O ISA Server por padrão oferece cinco modelos de redes pré-configurados, os quais veremos mais adiante.

Devemos ter em mente que o conceito de redes para o ISA Server é um pouco diferente do conceito de sub-rede, ou, subnets. Para o ISA, uma rede é um grupo de subnets físicas que forma uma topologia, a qual está conectada com uma placa da rede do servidor ISA. Isso significa que uma rede para o ISA pode ser formada por mais de uma subnet física.

Os modelos disponíveis são os seguintes:

  • Firewall do Borda: também conhecido com Edge Firewall, esse modelo deve ser utilizado por servidores ISA que possuem dois adaptadores de rede, sendo um conectado na rede interna e outro conectado na Internet. É um modelo muito utilizado em pequenas empresas. E é esse modelo de rede que utilizaremos em nosso ISA Server.
  • Perímetro de 3 segmentos: também conhecido como 3-Leg Perimeter, esse modelo deve ser utilizado por servidores que possuem três adaptadores de rede, sendo um conectado na rede interna, outro conectado na Internet e outro conectado em uma rede de perímetro, ou DMZ, onde estão localizados alguns servidores que precisam ser acessados a partir da Internet.
  • Firewall Externo: também conhecido como Front Firewall, esse modelo deve ser utilizado por servidores que possuem dois adaptadores de rede. Além disso, o cenário de rede deve possuir outro firewall interno. Ou seja, deve ser utilizado em redes que possuem dois ISA Servers conectados.
  • Firewall Interno: também conhecido com Back Firewall, esse é o modelo de que deve ser aplicado no servidor ISA configurado como firewall interno, em cenários onde temos 2 ISA Servers conectados.
  • Adaptador de Rede Exclusivo: também conhecido como Single Network Adapter, esse modelo deve ser aplicado em servidores ISA que possuem apenas um adaptador de redes. Geralmente, esse tipo de servidor é utilizado para oferecer apenas o serviço de cache ou o serviço de proxy-reverso.

Para maiores informações sobre as redes no ISA Server 2006 visite o site abaixo:

Outro conceito importante que devo apresentar são as regras de rede. As regras de rede definem o relacionamento entre as diferentes redes existentes no ISA Server, ou seja, a forma com que o ISA Server transmitirá ou não o tráfego de rede entre as diferentes redes. As regras de rede definem também se o relacionamento entre as redes será do tipo NAT ou Roteamento.

Os relacionamentos do tipo Roteamento, basicamente definem que os usuários de uma determinada rede poderão acessar recursos de outras redes, utilizando seus IPs reais, onde o ISA Server atuará como um roteador.

Já o relacionamento do tipo NAT, ou Network Address Translation, permite que os usuários internos acessem outras redes, ou a Internet, sem que seu IP seja divulgado. Nesse caso, será utilizado o IP do próprio ISA Server. Com isso, você não precisa possuir IPs válidos na Internet configurados em todas as estações de trabalho de uma rede. Basta ter apenas um servidor ISA, com apenas 1 IP válido e com o recurso de NAT habilitado, para que todos os clientes internos possam acessar a Internet.

Aqui é importante salientar que as regras de rede não definem que os usuários de uma rede poderão acessar recursos de outras redes. Ela apenas define o tipo de relacionamento entre as redes, ou seja, NAT ou Roteamento. Para definir o que os usuários de cada uma das redes poderão acessar devemos utilizar as Diretivas de Firewall.

Vamos agora aplicar o modelo de rede Firewall de Borda ao nosso ISA Server. Para isso, utilizaremos o Assistente de Modelo de Rede:

1 – Efetue logon no ISA Server 2006 com a conta de usuário Administrador.

2 – Clique em Iniciar -> Todos os Programas -> Microsoft ISA Server -> Gerenciamento do ISA Server. Clique duas vezes sobre o nome do servidor ISA para que as opções sejam expandidas.

3 – Expanda a opção Configuração -> Redes.

4 – No painel de tarefas, clique sobre a aba Modelos e clique sobre o primeiro modelo que é exibido, que é o Firewall de Borda.

5 – Será aberto o Assistente de Modelo de Rede. Clique em Avançar.

6 – Na próxima tela você poderá exportar as configurações atuais do ISA Server, ou seja, gerar um backup. Como estamos configurando um novo servidor ISA, e nenhuma configuração importante foi realizada, não precisamos exportar as configurações atuais. Caso você precise exportar as configurações atuais, clique no botão Exportar. Siga os passos do assistente que será aberto. Na tela que é exibida abaixo, clique em Avançar.

7 – Agora você deve definir o endereçamento IP que será utilizada pela rede Interno. Para nosso exemplo vamos clicar em Adicionar Adaptador, selecionar o adaptador de rede que está conectado com a rede local e clicar em OK. Perceba que o endereçamento IP da rede será adicionada na tela abaixo. Clique em Avançar.

8 – Agora devemos selecionar a diretiva de firewall que será aplicada. Temos as seguintes opções:

9 – Bloquear tudo: essa regra bloqueia todo o acesso à rede pelo ISA Server. Esta opção não cria regras de acesso além da regra padrão, que bloqueia todos os acessos. Em outras palavras, o administrador de redes deverá criar as regras manualmente.

10 – Bloquear acesso à Internet, permitir acesso a serviços de rede do provedor de serviços de Internet: essa regra bloqueia o acesso à rede pelo ISA Server, exceto o acesso a serviços de rede, como DNS. Essa opção é útil quando esses serviços são fornecidos pelo seu Provedor de Serviços de Internet (ISP). A seguinte regra de acesso será criada:

  • Permitir DNS da Rede Interna e da Rede de Clientes VPN para a Rede Externa (Internet).

11 – Permitir acesso limitado à Web: essa regra libera o acesso à Internet para os seguintes protocolos: HTTP, HTTPS e FTP. Os demais acessos serão bloqueados. As seguintes regras de acesso serão criadas:

  • Permitir HTTP, HTTPS e FTP da Rede Interna para a Rede Externa
  • Permitir todos os protocolos da Rede de Clientes VPN para a Rede Interna.

12 – Permitir acesso limitado à Web e a serviços de rede do provedor: essa regra libera o acesso à Internet para os seguintes protocolos: HTTP, HTTPS e FTP. Além disso, permite também o acesso a serviços de rede do provedor de serviços de Internet, como DNS. Os demais acessos serão bloqueados. As seguintes regras de acesso serão criadas:

  • Permitir HTTP, HTTPS, FTP da Rede Interna e da Rede de Clientes VPN para a Rede Externa (Internet)
  • Permitir DNS da Rede Interna e da Rede de Clientes VPN para a Rede Externa (Internet)
  • Permitir todos os protocolos da Rede de Clientes VPN para a Rede Interna.

13 – Permitir acesso irrestrito: essa regra libera o acesso total à Internet pelo ISA Server, somente dos clientes internos. As seguintes regras de acesso serão criadas:

  • Permitir todos os protocolos da Rede Interna e da Rede de Clientes VPN para a Rede Externa (Internet)
  • Permitir todos os protocolos da Rede de Clientes VPN para a Rede Interna. Não é recomendado selecionar essa opção.

14 – Selecione a diretiva Bloquear Tudo, para que nenhum acesso seja liberado, e clique em Avançar.

15 – Na última tela clique em Concluir. Observe que no painel de detalhes foram exibidos dois botões: Aplicar e Descartar. O botão Aplicar implementa as configurações realizadas anteriormente e o botão Descartar desfaz as configurações realizadas anteriormente. Clique sobre Aplicar e em OK.

Fonte: Fabiano de Santana

Tags:, ,

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: