we are developers

iMaster Developers

iMaster DevelopersPowered by:

DevSecOps

3 mar, 2010

ISA Server 2006 – Modelos de Rede

Fabiano Santana

Tem 25 artigos publicados com 62500 visualizações desde 2011

Fabiano Santana
Publicidade

O ISA Server 2006 possui alguns
modelos de redes pré-configurados, com o objetivo de facilitar a
configuração de redes no ISA Server. Através do Assistente de Modelo de
Rede, podemos rapidamente e facilmente aplicar os modelos existentes, que farão as configurações necessárias para que o ISA Server trabalhe
corretamente com as redes.

Uma das tarefas iniciais que
devemos realizar logo após a instalação do ISA Server 2006 e
configuração dos clientes é a definição de redes e políticas associadas
com as redes. Isso fará com que o ISA Server saiba tratar o tráfego de
rede corretamente e que as regras possam ser criadas corretamente
também. Por exemplo, imagine um servidor ISA com 3 placas de rede, cada
uma conectada com uma rede diferente. Você precisa dizer para o ISA que
cada uma dessas redes possui um range de IP e está conectada em uma
determinada placa de rede. Com isso, o ISA saberá o que fazer com o
tráfego de rede e o encaminhará para a rede correta.

As configurações de rede do ISA
Server podem ser feitas através do nó Redes. Aqui nós podemos configurar
o tipo de rede utilizada pelo ISA Server, as regras de rede e utilizar
alguns assistentes. O ISA Server por padrão oferece cinco modelos de
redes pré-configurados, os quais veremos mais adiante.

Devemos ter em mente que o conceito
de redes para o ISA Server é um pouco diferente do conceito de
sub-rede, ou, subnets. Para o ISA, uma rede é um grupo de subnets
físicas que forma uma topologia, a qual está conectada com uma placa da
rede do servidor ISA. Isso significa que uma rede para o ISA pode ser
formada por mais de uma subnet física.

Os modelos disponíveis são os
seguintes:

  • Firewall do Borda:
    também conhecido com Edge Firewall, esse modelo deve ser utilizado por
    servidores ISA que possuem dois adaptadores de rede, sendo um conectado
    na rede interna e outro conectado na Internet. É um modelo muito
    utilizado em pequenas empresas. E é esse modelo de rede que utilizaremos
    em nosso ISA Server.
  • Perímetro de 3 segmentos:
    também conhecido como 3-Leg Perimeter, esse modelo deve ser utilizado
    por servidores que possuem três adaptadores de rede, sendo um conectado
    na rede interna, outro conectado na Internet e outro conectado em uma
    rede de perímetro, ou DMZ, onde estão localizados alguns servidores que
    precisam ser acessados a partir da Internet.
  • Firewall Externo:
    também conhecido como Front Firewall, esse modelo deve ser utilizado por
    servidores que possuem dois adaptadores de rede. Além disso, o cenário
    de rede deve possuir outro firewall
    interno. Ou seja, deve ser utilizado em redes que possuem dois ISA
    Servers conectados.
  • Firewall Interno:
    também conhecido com Back Firewall, esse é o modelo de que deve ser
    aplicado no servidor ISA configurado como firewall interno, em cenários
    onde temos 2 ISA Servers conectados.
  • Adaptador de Rede
    Exclusivo:     também conhecido como Single Network Adapter, esse
    modelo deve ser aplicado em servidores ISA que possuem apenas um
    adaptador de redes. Geralmente, esse tipo de servidor é utilizado para
    oferecer apenas o serviço de cache ou o serviço de proxy-reverso.

Para maiores informações sobre as
redes no ISA Server 2006 visite o site abaixo:

Outro conceito importante que devo
apresentar são as regras de rede. As regras de rede definem o
relacionamento entre as diferentes redes existentes no ISA Server, ou
seja, a forma com que o ISA Server transmitirá ou não o tráfego de rede
entre as diferentes redes. As regras de rede definem também se o
relacionamento entre as redes será do tipo NAT ou Roteamento.

Os relacionamentos do tipo
Roteamento, basicamente definem que os usuários de uma determinada rede
poderão acessar recursos de outras redes, utilizando seus IPs reais,
onde o ISA Server atuará como um roteador.

Já o relacionamento do tipo NAT, ou
Network Address Translation, permite que os usuários internos acessem
outras redes, ou a Internet, sem que seu IP seja divulgado. Nesse caso,
será utilizado o IP do próprio ISA Server. Com isso, você não precisa
possuir IPs válidos na Internet configurados em todas as estações de
trabalho de uma rede. Basta ter apenas um servidor ISA, com apenas 1 IP
válido e com o recurso de NAT habilitado, para que todos os clientes
internos possam acessar a Internet.

Aqui é importante salientar que as
regras de rede não definem que os usuários de uma rede poderão acessar
recursos de outras redes. Ela apenas define o tipo de relacionamento
entre as redes, ou seja, NAT ou Roteamento. Para definir o que os
usuários de cada uma das redes poderão acessar devemos utilizar as
Diretivas de Firewall.

Vamos agora aplicar o modelo de
rede Firewall de Borda ao nosso ISA Server. Para isso, utilizaremos o
Assistente de Modelo de Rede:

  • Efetue logon no ISA Server 2006 com
    a conta de usuário Administrador.
  • Clique em Iniciar -> Todos os
    Programas -> Microsoft ISA Server -> Gerenciamento do ISA Server. Clique duas vezes sobre o nome do servidor ISA
    para que as opções sejam expandidas.
  • Expanda a opção Configuração ->
    Redes.
  • No painel de tarefas, clique sobre a
    aba Modelos e clique sobre o primeiro modelo que é exibido, que é o
    Firewall de Borda.
  • Será aberto o Assistente de Modelo
    de Rede. Clique em Avançar.

  • Na próxima
    tela você poderá exportar as configurações atuais do ISA Server, ou
    seja, gerar um backup. Como estamos configurando um novo servidor ISA, e
    nenhuma configuração importante foi realizada, não precisamos exportar
    as configurações atuais. Caso você precise exportar as configurações
    atuais, clique no botão Exportar. Siga os passos do assistente que será
    aberto. Na tela que é exibida abaixo, clique em Avançar.

 

  • Agora você deve definir o endereçamento IP que
    será utilizada pela rede Interno. Para nosso exemplo vamos clicar em
    Adicionar Adaptador, selecionar o adaptador de rede que está conectado
    com a rede local e clicar em OK. Perceba que o endereçamento IP da rede
    será adicionada na tela abaixo. Clique em Avançar.

  • Agora
    devemos selecionar a diretiva de firewall que será aplicada. Temos as
    seguintes opções:

  • Bloquear tudo: essa regra bloqueia todo o
    acesso à rede pelo ISA Server. Esta opção não cria regras de acesso além
    da regra padrão, que bloqueia todos os acessos. Em outras palavras, o
    administrador de redes deverá criar as regras manualmente.
  • Bloquear acesso à Internet, permitir acesso a
    serviços de rede do provedor de serviços de Internet: essa regra
    bloqueia o acesso à rede pelo ISA Server, exceto o acesso a serviços de
    rede, como DNS. Essa opção é útil quando esses serviços são fornecidos
    pelo seu Provedor de Serviços de Internet (ISP). A seguinte regra de
    acesso será criada: 1-) Permitir DNS da Rede Interna e da Rede de
    Clientes VPN para a Rede Externa (Internet).
  • Permitir acesso limitado à Web: essa regra
    libera o acesso à Internet para os seguintes protocolos: HTTP, HTTPS e
    FTP. Os demais acessos serão bloqueados. As seguintes regras de acesso
    serão criadas: 1-) Permitir HTTP, HTTPS e FTP da Rede Interna para a
    Rede Externa e 2-) Permitir todos os protocolos da Rede de Clientes VPN
    para a Rede Interna.
  • Permitir acesso limitado à Web e a serviços de
    rede do provedor: essa regra libera o acesso à Internet para os
    seguintes protocolos: HTTP, HTTPS e FTP. Além disso, permite também o
    acesso a serviços de rede do provedor de serviços de Internet, como DNS.
    Os demais acessos serão bloqueados. As seguintes regras de acesso serão
    criadas: 1-) Permitir HTTP, HTTPS, FTP da Rede Interna e da Rede de
    Clientes VPN para a Rede Externa (Internet), 2-) Permitir DNS da Rede
    Interna e da Rede de Clientes VPN para a Rede Externa (Internet) e 3-)
    Permitir todos os protocolos da Rede de Clientes VPN para a Rede
    Interna.
  • Permitir acesso irrestrito: essa regra libera o acesso total à
    Internet pelo ISA Server, somente dos clientes internos. As seguintes
    regras de acesso serão criadas: 1-) Permitir todos os protocolos da Rede
    Interna e da Rede de Clientes VPN para a Rede Externa (Internet) e 2-)
    Permitir todos os protocolos da Rede de Clientes VPN para a Rede
    Interna. Não é recomendado selecionar essa opção.
  • Selecione a diretiva Bloquear Tudo, para que nenhum acesso seja
    liberado, e clique em Avançar.
  • Na última tela clique em Concluir. Observe que
    no painel de detalhes foram exibidos dois botões: Aplicar e Descartar. O
    botão Aplicar implementa as configurações realizadas anteriormente e o
    botão Descartar desfaz as configurações realizadas anteriormente. Clique
    sobre Aplicar e em OK.

É isso pessoal, espero que este artigo seja
útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou
para enviar sugestões sobre novos assuntos que você gostaria de ver
publicado, deixe seu comentário!

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Fabiano Santana
Saiba mais

Fabiano Santana

edit25 Artigo(s)

Cofundador e CEO do Portal E-VOLV.ME (www.e-volv.me) Santana é formado em Análise de Sistemas, Pós Graduado em Segurança da Informação, possui as certificações PMP, ITIL, Cobit, Scrum Master, entre outras. Mais de 18 anos de experiência atuando em cargos de gestão, liderança e consultoria executiva em grandes empresas nacionais e multinacionais. Autor de 3 livros, centenas de artigos, atuações como professor convidado em cursos de Pós Graduação e dezenas de palestras executadas pelo Brasil afora.