Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Présentation technique de Microsoft Internet Security and Acceleration Server (ISA Server) 2000 (3)

Sommaire

Une plate-forme supérieure pour l’extension et la personnalisation

En plus de son interface utilisateur de base, ISA Server inclut un modèle d’extensibilité. Les objets COM d’administration ISA Server peuvent étendre l’intégralité de l’interface utilisateur. Les objets peuvent être étendus en utilisant le système de développement Microsoft Visual Basic® ou des langages de script tels que VBScript ou JScript®.

Vous pouvez également utiliser les objets COM d’administration ISA Server pour configurer des paramètres qui sont définis en utilisant l’utilitaire ISA Server Administration. De plus, ISA Server implémente des fonctions qui permettent aux développeurs d’applications d’étendre la fonctionnalité centrale de ISA Server dans les secteurs suivants :

  • Outils d’administration

  • Filtres d’applications

  • Filtres Web

  • Extensions d’interface utilisateur

  • Extensions de mise en cache

  • éditeurs NAT

  • Déclenchement d’alarmes

  • Analyse de journal

L’écriture d’un script peut être utile dans de nombreux scénarios. Par exemple, si vous souhaitez interdire l’accès à une liste de sites, vous pouvez écrire un script qui crée un ensemble de destinations avec les sites, puis crée une règle de site et de contenu qui interdit l’accès à l’ensemble de destinations. Lorsque le script est exécuté, une nouvelle règle de site et de contenu est ajoutée à la stratégie de groupe.

ISA Server comprend des exemples de scripts qui peuvent être utilisés sans avoir à les développer entièrement. Vous pouvez à la place modifier l’exemple de script en spécifiant les protocoles, règles ou sites souhaités que le script utilisera pour ses actions.

Administration extensible

Le modèle d’objet COM d’administration ISA Server permet d’automatiser tout ce qui est accompli par le biais de ISA Management et donne aux développeurs un mécanisme pour étendre la fonctionnalité d’ISA. L’écriture de script vous permet d’utiliser les objets COM d’administration ISA Server pour accéder et contrôler toute groupe ISA dans une organisation. Les objets d’administration permettent d’automatiser tout ce qui est accompli par le biais de ISA Management. Cette fonctionnalité permet aux administrateurs de créer des scripts pour automatiser les tâches répétitives nécessitant l’utilisation d’ISA Management ; ces scripts peuvent ensuite être inclus dans des fichiers de commandes par lots. En programmant avec les mêmes objets d’administration utilisés par ISA Server, les développeurs peuvent établir un stockage des données continu et configurable pour leurs programmes, et charger ISA Server de notifier les programmes à tout changement des données de configuration.

L’écriture de script d’administration ISA présente de nombreux avantages et permet notamment de gagner du temps au niveau des tâches qui doivent être répétées ou déployées sur plusieurs serveurs ou groupes. L’écriture de script présente aussi les avantages énumérés ci-dessous.

  • Simplification des modifications de configuration. L’interface COM d’administration ISA offre une interface unifiée et facile à utiliser pour accéder à la configuration, qu’elle soit stockée dans le Registre du système ou dans le service Active Directory. En d’autres termes, avec ISA vous n’avez pas besoin d’écrire du code qui accède au Registre ou au service Microsoft Active Directory car les méthodes d’enregistrement et d’actualisation des objets COM sauvegardent les modifications de configuration. Les objets offrent de ce fait un accès simple et complet à la configuration ISA. Si Active Directory dans Windows 2000 est disponible, les objets l’utilisent également tout en masquant les détails de l’implémentation du stockage au développeur.

  • Maintien de la cohérence. Les méthodes d’objets ISA qui définissent les valeurs de propriétés multiples liées avec un appel de méthode vérifient si les combinaisons des paramètres de propriétés sont valides et renvoient des erreurs si les propriétés ne sont pas définies correctement. La cohérence est maintenue car vos scripts n’assignent pas de paramètres de propriétés conflictuels.

  • Modifications apportées aux services garanties. La plupart des objets d’administration ISA ont une méthode d’enregistrement qui stocke les modifications. Les services s’inscrivent pour détecter et utiliser les nouveaux paramètres. Cette configuration dynamique permet aux services d’être notifiés des modifications sans nécessiter l’arrêt et le redémarrage du serveur. Certaines modifications ne prennent pas effet immédiatement. Par exemple, si un utilisateur est dans une session FTP, la révocation des privilèges FTP de cet utilisateur n’annule pas la session en cours. Cependant, cet utilisateur ne peut pas invoquer une autre session FTP.

  • Autorisation de la ligne de commande et de scripts Windows. Microsoft WSH (Windows Script Host) est un hôte de script indépendant du langage pour les moteurs de script Microsoft ActiveX®. Il vous permet d’exécuter les scripts d’administration ISA Server soit à partir du bureau de Windows, soit à partir de l’invite de commande.

  • Administration en temps réel. Vous pouvez créer des scripts qui vous permettent d’interroger et de contrôler l’état en temps réel de vos groupes ISA Server.

  • Planification des tâches. En utilisant des scripts, vous pouvez planifier l’exécution automatique des tâches qui doivent être effectuées régulièrement. Par exemple, vous pouvez créer un script qui sauvegarde automatiquement les informations de configuration.

  • Interfaces de script. Les scripts peuvent être facilement incorporés dans des pages HTML. En incorporant des scripts dans une page HTML, vous pouvez créer une interface de script pour faciliter les tâches administratives.

Filtres d’applications

Vous pouvez développer des filtres d’applications qui interceptent, analysent ou modifient tout flux de données. Les filtres d’applications sont des extensions du service de pare-feu qui interceptent et traitent les données, qui analysent et traitent le trafic par protocole, et qui sont étroitement liés à la stratégie pare-feu. Les filtres d’applications peuvent accéder le flux de données ou les datagrammes associés à une session au sein du service de pare-feu. Les filtres sont inscrits auprès du service de pare-feu et agissent conformément aux événements détectés par le service. Un filtre d’application peut effectuer des tâches par protocole ou par système, telles que l’authentification et la vérification de virus.

Le kit de développement logiciel ISA Server inclut des exemples de filtres, y compris un filtre de messagerie électronique SMTP et SOCKS 4.3, avec un code source complet et des instructions pas à pas. Ces informations sont particulièrement utiles pour les fournisseurs de protocoles d’applications et pour les développeurs d’analyse de contenu et d’outils d’analyse anti-virus.

Filtres Web

Vous pouvez créer des filtres Web, basés sur l’interface ISAPI, pour afficher, analyser, bloquer, rediriger ou modifier le trafic HTTP et FTP. Les filtres Web détectent et traitent les événements HTTP. ISA Server implémente une version modifiée de l’interface Microsoft ISAPI (Internet Server Application Programming Interface) auparavant uniquement disponible avec IIS.

Les filtres Web (ISAPI) peuvent intervenir dans le traitement des requêtes HTTP. Les filtres Web sont des bibliothèques de liens dynamiques (DLL, Dynamic-Link Libraries) qui sont chargées lorsque le service proxy Web de ISA Server est démarré et qui restent en mémoire jusqu’à l’arrêt du système. Vous pouvez configurer les filtres Web pour recevoir des notifications d’événements spéciaux qui se produisent avec chaque requête HTTP reçue par le service proxy Web d’ISA et avec chaque réponse retournée par le biais du proxy Web par un serveur Web externe.

Interface utilisateur extensible

Vous pouvez étendre l’interface de ISA Server avec des composants logiciels enfichables MMC, offrant une intégration transparente avec l’interface utilisateur de base. ISA Server 2000 Management est extensible grâce aux composants logiciels enfichables MMC. Tout nœud ISA Server peut être étendu avec un composant logiciel enfichable.

Les composants logiciels enfichables d’extension peuvent étendre les éléments suivants :

  • l’espace de noms (en ajoutant des nœuds enfants de panneau d’étendue) ;

  • les menus contextuels ;

  • les barres d’outils et les boutons des barres d’outils ;

  • les pages de propriétés ;

  • et les blocs de tâches.

Alarmes extensibles

Vous pouvez définir de nouveaux événements et de nouveaux scripts qui sont automatiquement exécutés suite à des événements. Vous pouvez configurer le service d’alarme de ISA Server pour déclencher une alarme lorsqu’un événement, qui devrait être porté à l’attention de l’administrateur, se produit, tel que la saturation de l’espace disque. Le programmeur peut définir un nouvel événement qui est signalé par le composant. Il peut ensuite créer des alarmes prédéfinies, et l’administrateur peut créer des alarmes supplémentaires. L’administrateur peut ensuite définir les actions à exécuter pour ces alarmes.

Stockage extensible

Vous pouvez inscrire des informations supplémentaires pour stockage avec la configuration de ISA Server, centralisant ainsi la gestion des filtres complémentaires et des outils. Les composants tiers peuvent partager et étendre le stockage de ISA Server 2000 en créant de nouveaux objets ou en associant des informations supplémentaires avec des objets définis par le système. Cela peut être utile pour incorporer des données dans le stockage de ISA Server, telles que des définitions, des règles et des informations de configuration. Les avantages de cette intégration sont répertoriés ci-après.

  • Abstraction du mécanisme de stockage spécifique : ainsi, il n’est pas nécessaire que le composant du fournisseur sache si l’ordinateur ISA Server fonctionne comme un serveur autonome ou comme faisant partie d’un groupe. Il est aussi possible d’implémenter le stockage de manière séparée pour le stockage local (Registre) et les groupes Active Directory. Cela permet de prendre en charge la promotion d’un serveur autonome vers un groupe sans aucune perte des données du fournisseur et sans avoir à reconfigurer le composant d’extension.

  • Parage des données du fournisseur, ainsi que toutes les informations de configuration de ISA Server, parmi les membres du groupe et propagation au fur et à mesure que de nouveaux serveurs sont ajoutés à un groupe existant.

  • Sauvegarde et restauration des données du fournisseur, y compris toutes les informations de configuration de ISA Server.

Prise en charge étendue des fournisseurs

Vous pouvez étendre et améliorer ISA Server avec des fonctionnalités tierces de sécurité de contenu, de gestion, de blocage de sites, de création de rapports, etc. Des dizaines d’outils de fournisseurs tiers sont disponibles pour ISA Server. Microsoft travaille en collaboration étroite avec des fournisseurs de systèmes de sécurité de contenu tels que des systèmes de détection de virus, de blocage de code mobile, d’analyse de contenu et de détection d’intrusions. Les systèmes de contrôle d’accès offrent des bases de données complètes de sites et de catégories, mises à jour régulièrement, pour améliorer le contrôle d’accès. Les outils de création de rapports analysent les journaux de ISA Server et produisent des rapports graphiques détaillés, augmentant les options de création de rapports intégrées de ISA Server. Les outils de surveillance et d’administration réseau permettent une gestion à distance, le suivi en temps réel et l’intégration dans des consoles de gestion à l’échelle de l’entreprise. Vous pouvez trouver une liste de ces produits Aller sur le site américain.

Kit de développement logiciel complet

Vous pouvez développer vos propres filtres Web, filtres d’applications, scripts et outils d’administration, et autres extensions en utilisant le kit de développement logiciel complet, contenant une documentation de l’API et des exemples détaillés. La documentation et les exemples de codes fournis avec ISA Server permettent aux développeurs tiers d’étendre le produit en créant des composants qui fonctionnent avec ISA Server ou qui sont construits sur ISA Server. Il peut s’agir de filtres d’applications, de filtres Web, d’outils de gestion, d’extensions de l’interface utilisateur, etc.

La liste ci-dessous regroupe les mécanismes d’extensibilité et des ensembles d’interfaces API que vous pouvez utiliser pour étendre ISA Server ou construire des technologies compatibles et complémentaires.

  • Objet COM d’administration. Vous pouvez les utiliser pour accéder par programmation au moteur de règles et à toutes les options administratives. Vous pouvez lire ou modifier des stratégies, créer des règles, assigner des priorités de bande passante et accomplir toutes les autres tâches pouvant être effectuées par un administrateur ISA par le biais de l’interface de l’utilisateur.

  • Filtres d’applications. Vous pouvez créer des filtres pour le service de pare-feu et SecureNAT qui peuvent intercepter, bloquer, analyser, modifier ou encore manipuler tout flux de données sur n’importe quel port/protocole. Un exemple complet et détaillé d’un filtre SMTP, avec l’intégralité du code source, est fourni dans la documentation du kit de développement logiciel.

  • Filtres Web. ISA Server peut utiliser des filtres Web, basés sur l’interface ISAPI, pour contrôler ou inspecter tout trafic HTTP et FTP au niveau de la passerelle.

  • Interface utilisateur de la console MMC. Votre produit peut s’intégrer en toute transparence avec ISA Server Administrator et apparaître comme faisant partie intégrante de l’interface utilisateur et de l’espace de noms de ISA Server.

  • Stockage. En utilisant FPCVendorParametersSets, vous pouvez ajouter vos données persistantes aux informations de configuration de ISA Server pour qu’elles soient propagées dans un groupe, sauvegardées et partagées avec ISA Server.

  • Mise en cache. Vous pouvez utiliser les méthodes FetchURL pour précharger par programmation le cache ou en modifier le contenu.

  • Alarmes. Vous pouvez ajouter vos propres événements et alarmes pour créer une interface utilisateur et un mécanisme d’alarmes cohérents pour l’administrateur de ISA Server.

  • Création de rapports. Le format de fichier étendu W3C est pris en charge et vous pouvez bénéficier d’un journal bien documenté.

Scénarios de déploiement

ISA Server peut être déployé dans des topologies réseau variées. Cette section décrit quelques configurations réseau typiques. Bien que la configuration actuelle de votre réseau puisse différer de l’exemple présenté ici, les concepts de base et la logique de configuration pourront certainement vous être utiles. Les scénarios de déploiement sont les suivants :

  • scénario de pare-feu dans un petit réseau ;

  • connexion de clients distants ;

  • scénario de stratégie d’entreprise avec VPN et routage ;

  • scénarios de publication Web ;

  • scénarios de publication serveur sécurisée ;

  • scénarios de réseaux périphériques.

Pare-feu et mise en cache dans un petit réseau

ISA Server peut être déployé dans un petit réseau, offrant aux clients internes une connectivité sécurisée au réseau. De par ses nombreuses fonctionnalités, ISA Server peut aussi agir comme serveur de mise en cache pour les clients internes. Le scénario décrit dans cette section présente une installation et une configuration typiques pour une petite entreprise avec des clients demandant l’accès à Internet.

Caractéristiques et exigences

L’entreprise présentée dans ce scénario est de petite taille, avec moins de 500 utilisateurs demandant l’accès à Internet. La plupart des utilisateurs ne requièrent que l’accès au Web (HTTP ou FTP), bien qu’un département spécifique requière également l’accès aux serveurs Windows Streaming Media. L’entreprise a besoin d’une méthode fiable pour fournir aux utilisateurs l’accès à Internet avec les exigences suivantes :

  • l’ordinateur ISA Server est la seule connexion de l’entreprise à Internet ;

  • l’entreprise utilise des connexions par numérotation à la demande pour se connecter à Internet ;

  • l’entreprise ne souhaite pas déployer des logiciels clients vers tous les utilisateurs ;

  • les utilisateurs doivent pouvoir accéder au réseau en se connectant depuis leur domicile ou lors de déplacements.

Dans ce scénario, l’entreprise inclut trois départements : Ventes, Recherche-Développement et Ressources humaines. Les besoins de l’entreprise stipulent que les départements Ventes et Recherche-Développement doivent disposer d’un accès HTTP illimité, mais seulement auprès d’une liste spécifique de sites Web. Le département Ressources humaines peut disposer d’un accès HTTP après les heures ouvrables. De plus, tous les employés peuvent accéder aux applications Windows Media après les heures ouvrables mais avec une bande passante réduite.

Configuration réseau

Dans ce scénario, ISA Server est configuré sur le réseau de l’entreprise pour servir de connexion entre le réseau local et Internet. Les utilisateurs peuvent être configurés comme des clients pare-feu, proxy Web ou SecureNAT. Une stratégie d’accès, configurée sur l’ordinateur ISA Server, spécifie les utilisateurs qui sont autorisés à accéder à Internet.

Configuration de l’ordinateur ISA Server

ISA Server est installé en mode intégré comme serveur autonome. Une connexion d’accès à distance réseau est configurée pour se connecter au FAI. L’ordinateur ISA Server possède également une carte réseau connectée au réseau interne.

Configuration de l’ordinateur ISA Server

L’ordinateur ISA Server possède un modem.

Aucun autre service (tel qu’un navigateur Web, Outlook ou Terminal Server) n’est exécuté sur l’ordinateur ISA Server.

Configuration des clients

Les utilisateurs ne requièrent pour la plupart qu’un accès au Web. Pour cette raison, la plupart des clients sont configurés en tant que clients proxy Web. Pour les clients proxy Web, les navigateurs Web sont configurés de sorte que le serveur proxy est l’ordinateur ISA Server. Le port du serveur proxy du navigateur Web devrait être réglé sur 8080, en supposant que les paramètres des requêtes Web sortantes de l’ordinateur ISA Server sont aussi réglés pour être à l’écoute sur le port 8080. Dans ce scénario, certains utilisateurs utilisent les protocoles Windows Streaming Media ; les ordinateurs de ces utilisateurs sont aussi configurés comme clients SecureNAT.

Si l’entreprise ne souhaite pas déployer de logiciels clients vers tous ses utilisateurs, les utilisateurs peuvent être configurés comme clients SecureNAT. Les clients SecureNAT ne requièrent pas d’installation logicielle spéciale sur l’ordinateur. La passerelle par défaut est configurée sur l’adresse IP de l’ordinateur ISA Server ou sur un routeur qui route les requêtes vers l’ordinateur ISA Server. De cette manière, toutes les requêtes vers Internet sont transférées à l’ordinateur ISA Server qui les traite conformément à la stratégie de groupe ou d’entreprise.

Configuration de la stratégie ISA Server

Après avoir configuré l’ordinateur ISA Server, l’administrateur utilise ISA Management pour implémenter la stratégie d’accès.

Avant de créer des règles de stratégie, l’administrateur associe les directives professionnelles de l’entreprise aux éléments de stratégie de ISA Server. Dans ce scénario, l’administrateur crée les éléments de stratégie mentionnés ci-après.

  1. Les départements possédant différentes autorisations d’accès à Internet, trois ensembles d’adresses de clients sont requis (un par département). Chaque ensemble d’adresses des clients inclut les adresses IP des ordinateurs des trois départements : Ventes, Recherche-Développement et Ressources humaines.

    Remarque

    Si le logiciel client pare-feu est installé sur les ordinateurs clients, vous pouvez créer des groupes (d’utilisateurs) Windows 2000 au lieu d’ensembles d’adresses de clients.

  2. Les directives de l’entreprise stipulent que certains sites Internet spécifiques ne peuvent pas être consultés. Par conséquent, l’administrateur crée un ensemble de destinations, appelé Sites après les heures ouvrables, contenant ces sites. De cette manière, les règles peuvent être appliquées à un ensemble unique de destinations.

  3. Les directives de l’entreprise permettent à tous les employés d’accéder à Internet après les heures ouvrables. Par conséquent, l’administrateur crée un calendrier appelé Après les heures ouvrables, qui peut être utilisé lors de la création de règles qui autorisent l’accès à Internet après les heures ouvrables.

  4. Une connexion d’accès à distance étant utilisée pour accéder à Internet, une entrée d’accès à distance appelée Appeler_FAI est créée. L’entrée d’accès à distance est utilisée dès que l’ordinateur ISA Server doit accéder à un objet sur Internet.

  5. Les protocoles de diffusion multimédia par flux peuvent être utilisés, mais des bandes passantes inférieures sont allouées pour ce type de communication. Par conséquent, l’administrateur crée une priorité de bande passante appelée Bande passante multimédia Windows, avec la bande passante sortante et la bande passante entrante réglées sur 10.

Pour implémenter une stratégie d’accès, l’administrateur exécute les étapes ci-dessous.

  1. Création d’une règle qui route les requêtes Web vers le serveur de destination sur Internet.

    Création d’une règle de routage et routage de toutes les requêtes des clients vers Internet. La règle de routage est configurée de sorte que l’ordinateur ISA Server récupère les requêtes pour les objets pour toutes les destinations directement à partir de la destination spécifiée (sur Internet), à moins qu’une version valide de l’objet requis soit dans le cache de l’ordinateur ISA Server. La règle de routage est configurée pour utiliser l’entrée d’accès à distance Appeler_FAI lorsqu’une requête est routée vers Internet.

  2. Configuration de l’accès à distance dans la feuille de propriétés de chaînage du pare-feu pour que toutes les requêtes pour des objets qui ne sont pas situés sur le Web soient routées vers le serveur de destination sur Internet.

    De cette manière, lorsqu’un client requiert un objet à partir d’un serveur sur Internet en utilisant un protocole non Web, ISA Server se connecte à Internet en utilisant l’entrée d’accès à distance Appeler_FAI.

  3. Vérification de la présence d’une règle de site et de contenu par défaut, autorisant à tout utilisateur d’accéder à toutes les destinations.

    Cette règle fut créée lors de l’installation de ISA Server. Cependant, les utilisateurs auront uniquement accès après la création d’une règle de protocole.

    Création des règles mentionnées ci-dessous pour limiter l’accès à Internet pour les utilisateurs des départements Ventes et Recherche-Développement :

    • une règle de protocole, qui permet aux ensembles des adresses des clients des départements Ventes et Recherche-Développement de toujours utiliser le protocole HTTP ;

    • une règle de site et de contenu, qui permet aux ensembles des adresses des clients des départements Ventes et Recherche-Développement d’accéder à toutes les destinations sauf celles dans l’ensemble de destination Sites après les heures ouvrables ;

    • une règle de site et de contenu, qui permet aux ensembles des adresses des clients des départements Ventes et Recherche-Développement d’accéder à toutes les destinations conformément au calendrier Après les heures ouvrables.

    Pour permettre aux utilisateurs du département Ressources humaines d’utiliser le protocole HTTP après les heures ouvrables, l’administrateur crée les règles suivantes :

    • une règle de protocole, qui permet à l’ensemble des adresses des clients du département Ressources humaines d’utiliser le protocole HTTP conformément au calendrier Après les heures ouvrables ;

    • une règle de site et de contenu, qui permet à l’ensemble des adresses des clients du département Ressources humaines d’accéder à toutes les destinations conformément au calendrier Après les heures ouvrables.


  4. Pour permettre à tous les employés d’accéder au contenu multimédia diffusé par flux en utilisant une bande passante limitée, l’administrateur crée les règles suivantes :
  • une règle de protocole, qui permet à tous les utilisateurs d’utiliser le protocole client MMS/Windows Media conformément au calendrier Après les heures ouvrables ;

  • une règle de site et de contenu, qui permet à tous les utilisateurs d’accéder à toutes les destinations conformément au calendrier Après les heures ouvrables ;.

  • une règle de bande passante, qui permet à tous les utilisateurs d’utiliser le protocole client MMS/Windows Media pour accéder à toutes les destinations avec une priorité de bande passante Windows Media.

De plus en plus d’employés travaillent à domicile et doivent se connecter depuis leur ordinateur personnel au réseau d’entreprise. Par ailleurs, il est de plus en plus courant pour les employés d’établir des connexions VPN, et ce afin de réduire les frais téléphoniques. Dans ce scénario, l’utilisateur se connecte au FAI local. De l’autre côté, un serveur sur le réseau d’entreprise se connecte au FAI et un tunnel est établit entre les deux.

Caractéristiques et exigences

Dans ce scénario, les clients distants doivent avoir la possibilité de se connecter depuis leur domicile, par le biais de leur FAI privé, au réseau d’entreprise. De l’autre côté, le réseau d’entreprise doit pouvoir limiter l’accès à des clients spécifiques.

Configuration réseau

L’ordinateur ISA Server est configuré en tant que serveur VPN pour autoriser la communication de clients distants spécifiques à des ressources réseau.

ISA Server est installé en mode intégré comme serveur autonome. Une connexion d’accès à distance réseau est configurée sur l’ordinateur ISA Server pour se connecter au fournisseur d’accès Internet. L’ordinateur ISA Server possède également une carte réseau connectée au réseau interne.

La session VPN devrait permettre au client d’accéder aux ressources du réseau d’entreprise, telles que DNS et WINS.

Les ordinateurs clients distants doivent posséder une connexion d’accès à distance configurée pour se connecter au fournisseur d’accès local.

Configuration de ISA Server

Après avoir configuré ISA Server sur l’ordinateur, l’administrateur utilise ISA Management pour configurer l’ordinateur comme un VPN ISA Server. L’administrateur procède comme cela est indiqué ci-dessous.

    Utilisation de l’Assistant Client-serveur VPN pour que l’ordinateur ISA Server accepte les connexions des clients. L’assistant accomplit les tâches ci-dessous.

    • Configuration de RRAS comme un serveur VPN.

    • Mise en œuvre des méthodes d’authentification et de cryptage.

    • Ouverture de filtres de paquets statiques pour autoriser les protocoles PPTP et IPSEC.

    Création d’une connexion d’accès à distance sur l’ordinateur client, configurée ainsi :

    • type de connexion réseau : VPN (sélectionnez Connexion à un réseau privé par le biais de Internet) ;

    • adresse de destination : il s’agit de l’adresse IP du VPN ISA Server.

Remarque : si ISA Server protège l’accès du réseau d’entreprise vers Internet, le client distant doit être configuré pour pouvoir utiliser l’ordinateur ISA Server (ou le groupe).

Scénario de stratégie d’entreprise

ISA Server Enterprise Edition, peut être déployé sur un réseau important et dispersé sur le plan géographique, avec des groupes d’ordinateurs au siège social et dans les filiales, en fonction des besoins des utilisateurs. Cela permet aux administrateurs du réseau d’entreprise de centraliser la stratégie de sécurité et de mise en cache pour l’entreprise toute entière, mais aussi d’alléger les soucis de performance au niveau du siège social puisqu’un ordinateur ISA Server peut répondre à des requêtes d’utilisateur portant sur des objets Internet à partir du cache local.

Caractéristiques et exigences

L’entreprise présentée dans ce scénario est une entreprise de taille importante, basée aux états-Unis et possédant deux filiales, l’une au Canada et l’autre au Royaume-Uni. L’entreprise dans son ensemble requiert un accès à Internet sécurisé dans un environnement comportant les exigences mentionnées ci-dessous.

  • Les directives d’accès à Internet, établies au siège social, doivent être appliquées de manière cohérente dans toute l’entreprise. Dans ce scénario, tous les employés peuvent accéder à tous les sites en utilisant les protocoles Web communs : HTTP, S-HTTP et FTP.

  • Sécurité pare-feu supplémentaire à la filiale au Royaume-Uni.

  • Faibles coûts de connexion entre la filiale au Royaume-Uni et le siège social aux états-Unis.

  • Les ordinateurs ISA Server de la filiale au Royaume-Uni peuvent mettre en cache le contenu local (en provenance des serveurs Web situés au Royaume-Uni).

  • Le serveur cache de la filiale au Canada doit permettre de rapprocher le contenu des employés et de réduire le trafic Internet.

Configuration réseau

En raison de la stratégie d’entreprise d’ensemble pour toutes les filiales, les ordinateurs ISA Server Enterprise Edition, doivent être installés comme membres de groupes dans toutes les filiales, bien qu’il n’y ait qu’un ordinateur à chaque filiale.

Groupe ISA Server au siège social

Chaque membre du groupe est configuré avec deux interfaces réseau : une carte réseau pour se connecter au réseau interne et une autre pour se connecter à Internet. Dans ce scénario, vous pouvez supposer une connectivité directe vers le fournisseur d’accès Internet par le biais d’un routeur et d’une ligne T1/E1 avec repli vers une ligne d’accès à distance secondaire.

Groupe d’ordinateurs ISA Server à la filiale au Canada

Les ordinateurs ISA Server de la filiale au Canada sont utilisés pour réduire le trafic en procédant à la mise en cache du contenu Web. La mise en cache est utilisée pour stocker une copie locale des adresses URL Internet les plus fréquemment demandées dans des volumes d’unités de disques dédiés, avec une mise en cache active prenant place au niveau du groupe des ordinateurs ISA Server au siège social. Cela permet d’équilibrer la charge en déchargeant une partie du travail effectué par les ordinateurs ISA Server au siège social. L’ordinateur ISA Server de la filiale au Canada est installé en mode cache et est chaîné à l’ordinateur ISA Server au siège social. L’ordinateur ISA Server possède deux cartes réseau : l’une est connectée à un routeur local et l’autre à un routeur au siège social.

Groupe d’ordinateurs ISA Server à la filiale au Royaume-Uni

Les ordinateurs ISA Server à la filiale au Royaume-Uni sont configurés avec deux interfaces réseau internes : une carte réseau pour se connecter au réseau local de la filiale et un modem ou une carte ISDN pour se connecter à Internet. Les utilisateurs requérant un accès au contenu local (en provenance des serveurs Web situés au Royaume-Uni) sont directement routés vers un fournisseur d’accès Internet. Toutes les autres requêtes sont routées vers le siège social.

Le groupe d’ordinateurs ISA Server au Royaume-Uni est configuré en mode intégré et agit comme pare-feu et serveur cache de la filiale. L’ordinateur ISA Server est connecté par le biais d’un VPN au groupe du siège social.

Configuration au niveau de l’entreprise

La figure ci-dessous illustre la configuration du réseau.

Configuration au niveau de l’entreprise

Configuration de la stratégie ISA Server au siège social

Après avoir configuré les ordinateurs ISA Server au siège social, l’administrateur utilise ISA Management pour implémenter la stratégie d’accès. La stratégie d’entreprise est configurée au siège social et est appliquée à toutes les groupes dans l’entreprise (filiale au Canada, au Royaume-Uni et siège social). De plus, les employés au siège social peuvent accéder au contenu Windows Media diffusé par flux.

L’administrateur de l’entreprise procède aux étapes ci-dessous.

    Création de l’élément de la stratégie d’entreprise suivant :

    • l’ensemble des adresses des clients, appelé Employés du siège social, contenant les adresses IP pour tous les ordinateurs des employés au siège social.

    Création d’une stratégie d’entreprise, appelée Stratégie d’entreprise, avec les règles suivantes :

    • une règle de site et de contenu autorisant tous les utilisateurs à toujours accéder à tous les sites ;

    • une règle de protocole autorisant tous les utilisateurs à utiliser les protocoles suivants : FTP, FTP en lecture seule, HTTP et HTTPS ;

    • une règle de protocole, qui autorise l’ensemble des adresses des clients Employés du siège social à utiliser le protocole MMS Windows Media (client).

    Configuration des paramètres de la stratégie d’entreprise, comme suit :

    • la stratégie d’entreprise Stratégie d’entreprise est appliquée à toutes les groupes ;

    • la stratégie de groupe est autorisée : les administrateurs peuvent ainsi créer des règles qui restreignent l’accès plus en détail ;

    La filiale au Royaume-Uni se connecte à un groupe d’ordinateurs ISA Server au siège social par le biais d’un VPN. Au moins un des ordinateurs ISA Server aux états-Unis doit être configuré comme serveur VPN. L’administrateur exécute les étapes suivantes :

    • configuration de la table des adresses locales (TAL) sur l’ordinateur ISA Server aux états-Unis, ajoutant les plages d’adresses du réseau au Royaume-Uni ;

    • utilisation de l’Assistant Serveur VPN ISA local pour configurer ISA Server pour les connexions VPN. Cet assistant démarre RRAS et crée les interfaces de connexion à la demande requises pour recevoir des connexions à partir de serveurs VPN distants.

    L’assistant crée des filtres de paquets IP en fonction du protocole que vous sélectionnez : L2TP ou PPTP. Il définit également les routes statiques pour transférer le trafic du réseau local aux hôtes sur le réseau distant par le biais du tunnel.

    L’assistant crée aussi un fichier .vpc dont se sert le serveur VPN distant (au Royaume-Uni) lors de la configuration de l’ordinateur ISA Server :

    • activation de l’accès PPTP.

    • activation du routage IP.

Remarque

Les règles de stratégie d’accès au niveau de l’entreprise sont aussi appliquées aux clients de la filiale au Royaume-Uni.

Configuration de la stratégie ISA Server de la filiale au Canada

L’ordinateur ISA Server de la filiale au Canada se trouvant sur le réseau du siège social, une seule carte réseau est nécessaire pour le connecter à l’ordinateur du siège social.

La stratégie de l’entreprise est appliquée à l’ordinateur ISA Server de la filiale au Canada de telle sorte qu’aucune règle de stratégie d’accès spécifique n’ait besoin d’être configurée. L’administrateur configure uniquement la stratégie de mise en cache.

Vous pouvez configurer les travaux de téléchargement de contenu planifiés pour un contenu spécifique pré-cache au niveau des filiales. Cela accroît la performance du réseau perçue.

L’administrateur de l’entreprise procède aux étapes ci-dessous.

  1. Configuration d’une règle de routage qui redirige les requêtes en provenance des clients proxy Web vers l’ordinateur ISA Server en amont au siège social.

    Alternativement, l’administrateur peut définir l’ordinateur ISA Server en amont comme la branche de la passerelle par défaut ISA Server. La règle de routage est configurée de sorte que les requêtes sont récupérées directement à partir de la destination spécifiée.

  2. Création de travaux de téléchargement de contenu planifiés pour télécharger les objets fréquemment consultés dans le cache local. Si les objets sont déjà dans le cache au siège social, ils sont téléchargés à partir de cet emplacement. Sinon, les ordinateurs ISA Server au siège social transfèrent les requêtes vers Internet.

Configuration de la stratégie ISA Server de la filiale au Royaume-Uni

La filiale au Royaume-Uni est connectée par Internet, par le biais d’un VPN, au siège social.

L’administrateur effectue les tâches ci-dessous pour configurer la filiale au Royaume-Uni comme un serveur VPN.

  1. Configuration d’un serveur DNS sur le réseau distant secondaire aux domaines de réseau de l’entreprise généralement utilisés. Le serveur DNS doit utiliser un serveur DNS sur Internet comme un paramètre de transfert pour aider à résoudre toutes les autres interrogations de noms.

  2. Configuration de la table des adresses locales sur l’ordinateur ISA Server distant (à la filiale au Royaume-Uni) en ajoutant la plage d’adresses au réseau d’entreprise (aux états-Unis). Toutes les adresses IP externes (Internet) doivent être exclues.

  3. Utilisation de l’Assistant Serveur VPN ISA distant pour configurer l’ordinateur ISA Server du réseau distant pour les connexions VPN, en utilisant le fichier .vpc créé par l’administrateur de l’entreprise au siège social.

L’Assistant Serveur VPN ISA distant configure un serveur VPN ISA distant qui peut initier des connexions vers un serveur VPN ISA local. L’assistant utilise le fichier .vpc créé par l’Assistant Serveur VPN ISA local pour créer les interfaces de connexion à la demande requises pour initier des connexions vers un serveur VPN local spécifique. Il configure également les filtres de paquets IP requis pour protéger la connexion et définir les routes statiques pour transférer le trafic du réseau local aux hôtes sur le réseau distant par le biais du tunnel.

L’administrateur crée des règles de routage pour spécifier les requêtes qui doivent être routées vers le groupe au siège social et celles qui doivent être routées directement vers un FAI au Royaume-Uni.

  1. Création d’une règle de routage qui route toutes les requêtes portant sur des objets Internet au Royaume-Uni (suffixe .uk dans le nom de domaine) directement vers Internet.

  2. Création d’une règle de routage qui route toutes les requêtes portant sur des objets Internet situés sur des serveurs hors du Royaume-Uni (suffixe .uk dans le nom de domaine) vers le groupe d’ordinateurs ISA Server en amont au siège social.

Scénarios de publication Web

Les fonctions de publication Web de ISA Server peuvent être utiles aux organisations qui souhaitent publier un contenu Web en toute sécurité à partir de leur intranet protégé. ISA Server peut protéger le serveur Web d’une organisation qui héberge une entreprise Web commerciale ou qui offre accès à des partenaires commerciaux. ISA Server se fait passer pour un serveur Web à l’extérieur tandis que le serveur Web maintient l’accès aux services du réseau interne.

Le serveur Web que vous publiez peut être situé sur le même ordinateur qu’ISA Server ou sur un ordinateur différent, bien que nous recommandions généralement d’utiliser un serveur séparé.

Les sections suivantes présentent en détail les configurations réseau pour des scénarios de publication Web.

Configuration de l’ordinateur ISA Server

Peu importe la manière dont vous configurez le scénario de publication Web, ISA Server doit être configuré pour être à l’écoute de requêtes Web entrantes. Les propriétés des requêtes Web entrantes spécifient les adresses IP et les ports sur l’ordinateur ISA Server qui sont à l’écoute de requêtes Web entrantes. Les propriétés des requêtes Web entrantes déterminent également l’authentification nécessaire requise lors de l’accès de serveurs internes.

Configuration du serveur DNS

Lorsque vous publiez des serveurs Web, il est possible que les clients externes aient besoin de résoudre leurs noms en utilisant le serveur DNS. Le serveur DNS interne est en soi un serveur de publication. Si un serveur DNS est un client SecureNAT, aucune configuration n’est requise. Après avoir installé ISA Server, créez une règle de publication serveur sur l’ordinateur ISA Server qui publie le serveur DNS.

Scénario d’un serveur Web sur un réseau local

Dans un scénario de publication Web typique, ISA Server sécurise le contenu sur les serveurs Web internes situés sur des ordinateurs au sein du réseau local. L’entreprise décrite ici publie deux sites Web : http://example.Microsoft.com/Marketing et http://example.Microsoft.com/Development. Le contenu des sites se trouve sur deux serveurs Web internes séparés : Mktg et Dev. Lorsqu’un utilisateur Internet requiert un objet sur example.microsoft.com\Marketing ou sur example.microsoft.com\Development, la requête est actuellement envoyée vers l’ordinateur ISA Server qui route la requête vers le serveur Web approprié.

Scénario d’un serveur Web sur un réseau local

Notez que les adresses IP des serveurs Web ne sont jamais exposées. Au contraire, les utilisateurs Internet accèdent aux serveurs Web en spécifiant l’adresse IP de l’ordinateur ISA Server.

Pour publier les serveurs Web internes, l’administrateur exécute les étapes ci-dessous.

  1. vérification du mappage par le serveur DNS du nom de domaine entièrement qualifié vers l’adresse IP de l’ordinateur ISA Server. Configuration des propriétés des requêtes Web entrantes de l’ordinateur ISA Server. L’adresse IP doit inclure l’adresse IP de l’interface externe.

    Création des éléments de stratégie suivants :

    • un ensemble de destinations, appelé Marketing, devant inclure l’ordinateur example.microsoft.com et le chemin d’accès \Marketing\* ;

    • un ensemble de destinations, appelé Development, devant inclure l’ordinateur example.microsoft.com et le chemin d’accès \Development\*.

    Configuration des règles suivantes :

    • une règle de publication Web, avec les paramètres suivants, qui publie l’ordinateur Mktg, réglant l’ensemble de destinations sur Marketing ;

    • une règle de publication Web, avec les paramètres suivants, qui publie l’ordinateur Dev, réglant l’ensemble de destinations sur Development.

Scénario d’un serveur Web sur un ordinateur ISA Server

Certaines organisations peuvent choisir d’installer le serveur Web et ISA Server sur le même ordinateur (physique).

L’entreprise présentée dans ce scénario (voir l’illustration ci-dessous) publie un site Web http://widgets.microsoft.com.

Scénario d’un serveur Web sur un ordinateur ISA Server

Dans ce scénario, l’administrateur peut configurer ISA Server pour publier le contenu Web de l’une des façons suivantes :

  • en créant des règles de publication Web ;

  • en créant des filtres de paquets IP.

Les sections suivantes décrivent la manière de configurer ISA Server à l’aide de ces méthodes.

Utilisation de règles de publication Web pour publier un serveur Web sur un ordinateur ISA Server

Dans ce scénario, l’administrateur configure l’ordinateur ISA Server pour être à l’écoute de requêtes entrantes sur le port 80 de la carte d’interface externe. Par défaut, le serveur Web est également à l’écoute de requêtes entrantes sur le port 80.

Pour éviter ce conflit, l’administrateur doit suivre l’une des méthodes ci-dessous.

  • Configuration du serveur Web de sorte qu’il écoute sur un port autre que le port 80 ou sur une carte d’interface différente, puis création d’une règle de publication Web sur l’ordinateur ISA Server qui transfère les requêtes vers le port approprié sur le serveur Web.

  • Configuration du serveur Web pour être à l’écoute sur une adresse IP différente. Par exemple, le serveur Web peut être à l’écoute sur l’adresse 127.0.0.1. De cette manière, le serveur Web est uniquement à l’écoute de requêtes provenant de l’ordinateur local (c’est-à-dire ISA Server).

Utilisation de filtres de paquets pour publier un serveur Web sur un ordinateur ISA Server

Vous pouvez également publier un serveur Web situé sur un ordinateur ISA Server en configurant des filtres de paquets IP. Le filtre de paquets IP passe tous les paquets arrivant sur le port 80 au serveur Web (situé sur l’ordinateur ISA Server). En fait, le filtre de paquets permet au serveur Web d’être à l’écoute de requêtes Web entrantes sur le port 80.

Notez que, dans ce cas, il n’y a pas de conflit pour les requêtes Web sortantes puisque l’ordinateur ISA Server écoute sur le port 8080. Le serveur Web est quant à lui à l’écoute de requêtes provenant de clients internes sur le port 80. Cependant, la fonctionnalité de découverte automatique de ISA Server ne doit pas être configurée pour écouter sur le port 80.

Pour publier un serveur Web situé sur l’ordinateur ISA Server, l’administrateur exécute les étapes ci-dessous.

  1. Activation du filtrage de paquets.

  2. Création d’un filtre de paquets IP qui autorise tous les paquets TCP entrants arrivant au port 80 sur l’adresse IP externe de l’ordinateur ISA Server.

  3. Désactivation de la fonctionnalité de découverte automatique.

Remarque

Le port 80 étant utilisé par IIS, ne créez pas de règles de publication Web lorsque vous utilisez la méthode décrite ici pour publier le serveur Web co-résident. Vous pouvez utiliser la fonctionnalité de découverte automatique sur le port 8080. Vous pouvez également l’utiliser lorsque vous configurez un serveur DHCP.

Publication serveur sécurisée

Le commerce électronique inter-entreprises étant de plus en plus répandu, un nombre croissant d’organisations souhaitent protéger leurs serveurs internes tout en les mettant à disposition d’utilisateurs externes spécifiques. La fonctionnalité de publication inversée dans ISA Server facilite la sécurisation de l’accès des serveurs internes par des clients externes.

Un scénario courant de ISA Server implique la sécurisation de la communication SMTP de serveurs de messagerie. Par exemple, ISA Server peut protéger un ordinateur Microsoft Exchange Server. L’Assistant Installation de Microsoft Exchange Server configure la stratégie nécessaire pour permettre la communication entre un ordinateur Exchange Server et Internet. L’assistant ajoute un ensemble de règles de publication serveur qui redirigent la communication des utilisateurs Internet sur un port particulier à une adresse IP interne spécifiée. L’assistant crée également des règles de protocole qui ouvrent de manière dynamique les ports pour les communications sortantes.

Le serveur Exchange que vous publiez peut co-résider sur l’ordinateur ISA Server ou sur le réseau local. Les sections suivantes présentent quelques scénarios de publication Exchange Server.

Serveur Exchange sur un réseau local

Dans ce scénario, l’ordinateur Microsoft Exchange Server est situé sur le réseau local, protégé par l’ordinateur ISA Server comme l’illustre la figure suivante.

Serveur Exchange sur un réseau local

Vous pouvez utiliser l’Assistant Sécurité du serveur de messagerie ISA Server pour mettre l’ordinateur Exchange Server à disposition des clients externes, en utilisant un ou plusieurs des protocoles suivants :

  • MAPI (Messaging Application Programming Interface)

  • POP3 (Post Office Protocol 3)

  • IMAP4 (Internet Message Access Protocol 4)

L’assistant crée une ou plusieurs règles de publication serveur correspondant à chaque service de messagerie protégé par ISA Server. Les règles de publication serveur créées par l’assistant possèdent les paramètres suivants :

  • l'adresse IP interne du serveur de messagerie ;

  • l’adresse externe exposée par l’ordinateur ISA Server ;

  • le protocole pour le service de messagerie sélectionné.

Les nouvelles règles créées par l’assistant sont toutes nommées avec le préfixe de la règle de l’assistant Messagerie.

L’Assistant Sécurité du serveur de messagerie crée également des règles de protocole qui autorisent le trafic de messagerie sortant. Les règles de protocoles possèdent les paramètres suivants :

  • le protocole est SMTP (client) ;

  • l’ensemble de clients inclut l’adresse IP interne de l’ordinateur Exchange Server.

Résolution de noms pour les clients

Les clients POP3, IMAP4 et HTTP pouvant accéder à l’ordinateur exécutant Exchange Server soit par nom DNS, soit par adresse IP, il est recommandé de mapper le nom DNS utilisé par les clients de messagerie aux adresses IP externes de l’ordinateur ISA Server.

Pour les clients MAPI, un serveur DNS sur Internet doit résoudre le nom de l’ordinateur exécutant ISA Server et le faire correspondre à une adresse IP sur la carte d’interface réseau externe de l’ordinateur ISA Server. Dans ce cas, notez que le serveur DNS doit mapper le nom interne de l’ordinateur Exchange Server à l’adresse IP externe de l’ordinateur ISA Server. Par conséquent, le type de serveur doit être réglé sur serveur et non sur serveur de messagerie.

Exchange Server sur un ordinateur ISA Server

Dans ce scénario, ISA Server et Exchange Server sont sur le même ordinateur, comme l’illustre la figure suivante.

Exchange Server sur un ordinateur ISA Server

Vous pouvez utiliser l’Assistant Sécurité du serveur de messagerie pour publier l’ordinateur Exchange Server situé sur l’ordinateur ISA Server. Dans ce scénario, l’Assistant Sécurité du serveur de messagerie crée un filtre de paquets IP. Les filtres de paquets IP sont créés pour chaque service de messagerie que vous sélectionnez. Par exemple, supposez que vous exécutez l’Assistant Sécurité du serveur de messagerie et que vous spécifiez une messagerie SMTP sortante et des requêtes client POP3. Dans ce cas, les filtres de paquets IP ci-dessous sont créés.

  • Un filtre de paquets IP autorisant les connexions TCP entrantes sur le port local 25 en provenance de n’importe quel port distant (pour autoriser les paquets SMTP entrants).

  • Un filtre de paquets IP autorisant les connexions TCP sortantes sur tous les ports locaux en provenance du port 25 distant (pour autoriser les paquets SMTP sortants).

  • Un filtre de paquets IP autorisant les connexions TCP entrantes sur le port local 110 en provenance de n’importe quel port distant (pour autoriser les paquets POP3 entrants).

  • Un filtre de paquets IP autorisant les connexions TCP sortantes sur tous les ports locaux en provenance du port 110 distant (pour autoriser les paquets POP3 sortants).

Remarque

Dans ce scénario, les clients Outlook ne peuvent pas accéder au serveur Exchange à l’extérieur du réseau local.

Scénarios de réseaux périphériques

Un réseau périphérique (également appelé DMZ, ou zone démilitarisée, et sous-réseau filtré) est un petit réseau qui est configuré indépendamment du réseau privé d’une organisation et d’Internet. Le réseau périphérique permet aux utilisateurs externes d’accéder aux serveurs spécifiques situés sur le réseau périphérique tout en empêchant l’accès au réseau interne de l’entreprise. Une organisation peut également limiter l’accès des ordinateurs des réseaux périphériques aux ordinateurs du réseau interne.

Un réseau périphérique est généralement utilisé pour déployer les serveurs de messagerie électronique et Web de l’entreprise. Vous pouvez configurer le réseau périphérique de l’une des manières mentionnées ci-après.

  • Configuration de réseau périphérique dos à dos avec deux ordinateurs Microsoft ISA Server de chaque côté du réseau périphérique.

  • ISA Server tri-résident avec le réseau périphérique et le réseau local protégés par le même ordinateur ISA Server.

Configuration de réseau périphérique dos à dos

Dans une configuration de réseau périphérique dos à dos, deux ordinateurs ISA Server sont situés de chaque côté du réseau périphérique (également appelé DMZ, ou zone démilitarisée, et sous-réseau filtré). La figure suivante illustre une configuration de réseau périphérique dos à dos.

Configuration de réseau périphérique dos à dos

Dans cette configuration, deux ordinateurs ISA Server sont reliés entre eux, l’un étant connecté à Internet et l’autre au réseau local. Le réseau périphérique réside entre les deux serveurs. Les deux ordinateurs ISA Server sont configurés en mode intégré ou pare-feu, essentiellement pour réduire le risque de compromis puisqu’une attaque pirate devrait pénétrer les deux systèmes pour atteindre le réseau interne.

Pour mettre les serveurs du réseau périphérique à disposition des clients externes (Internet), l’administrateur exécute les étapes ci-dessous.

  1. Configuration de la table des adresses locales sur l’ordinateur ISA Server connecté au réseau d’entreprise (marqué ISA Server 2) pour inclure les adresses IP des ordinateurs du réseau d’entreprise.

  2. Configuration de la table des adresses locales sur l’ordinateur ISA Server connecté à Internet pour inclure les adresses IP de l’ordinateur ISA Server connecté au réseau d’entreprise et les adresses IP de tous les serveurs de publication du réseau périphérique.

  3. Création d’une règle de publication Web sur l’ordinateur ISA Server connecté à Internet pour publier le serveur IIS.

  4. Création d’une règle de publication serveur sur l’ordinateur ISA Server connecté à Internet pour publier le serveur FTP, configurant la règle de publication serveur pour être appliquée au serveur FTP.

  5. Création d’une règle de publication Web pour publier le serveur IIS, configurant la règle pour rediriger les requêtes vers le site hébergé.

Configuration de réseau périphérique tri-résident

Dans un réseau périphérique tri-résident (également appelé DMZ, ou zone démilitarisée, et sous-réseau filtré), un ordinateur ISA Server unique (ou un groupe d’ordinateurs ISA Server) est configuré avec trois cartes réseau.

  • La première carte est connectée aux clients internes du réseau de l’entreprise.

  • La seconde est connectée aux serveurs du réseau de l’entreprise situés sur le réseau périphérique. Les adresses IP du réseau périphérique ne doivent pas être dans la table des adresses locales.

  • La troisième est connectée à Internet.

La figure suivante illustre la configuration du réseau périphérique.

Configuration de réseau périphérique tri-résident

Pour configurer un réseau périphérique avec un ordinateur ISA Server tri-résident, l’administrateur exécute les étapes ci-après.

  1. Configuration de la table des adresses locales pour inclure toutes les adresses sur le réseau d’entreprise. La table des adresses locales ne doit pas inclure les adresses sur le réseau périphérique.

  2. Activation du filtrage de paquets et du routage IP.

  3. Création de filtres de paquets IP pour chacun des serveurs sur le réseau périphérique. Pour chaque filtre de paquets IP, l’ordinateur local doit être spécifié comme l’adresse IP du serveur sur le réseau périphérique.

Résumé

ISA Server offre deux fonctionnalités essentielles aux réseaux : la sécurité et une performance accrue. Les services de pare-feu et de mise en cache Web, séparés mais étroitement intégrés, peuvent être déployés séparément sur des serveurs dédiés ou installés sur un même ordinateur. Dans les deux cas, vous bénéficiez de leur intégration étroite, de la possibilité de mettre en œuvre des stratégies de manière cohérente et d’une intégration étroite avec le système d’exploitation Windows 2000.

Le pare-feu ISA Server est un pare-feu d’entreprise extensible multicouche qui route les requêtes et les réponses entre Internet et les ordinateurs clients après avoir déterminé si une telle communication est autorisée. ISA Server contrôle également les ordinateurs sur Internet auxquels peuvent accéder des clients internes. ISA Server sécurise un réseau, permettant l’implémentation d’une stratégie de sécurité d’entreprise en configurant un ensemble étendu de règles spécifiant les sites, les protocoles et le contenu qui peuvent traverser ISA Server.

ISA Server offre des options de sécurité telles que le filtrage de paquets, le déclenchement d’alarmes suite à des événements et la consignation d’événements dans des journaux. Les administrateurs peuvent restreindre l’accès à des sites Web distants par nom de domaine, adresse IP et masque de sous-réseau. ISA Server peut être utilisé pour créer des stratégies d’accès et de publication qui gèrent la sécurité au niveau des utilisateurs, les adresses IP des clients, les utilisateurs, les groupes d’utilisateurs, le contrôle de la bande passante et le contrôle de l’accès à certaines heures de la journée. ISA Server offre aussi des services de publication Web au moyen de règles de publication Web qui vous aident à définir une stratégie de publication, protégeant les serveurs de publication internes et les rendant accessibles en toute sécurité auprès des clients Internet.

Le service de cache pour le Web de ISA Server stocke les sites Internet fréquemment requis dans le cache, de sorte que les clients peuvent directement accéder aux objets à partir de ISA Server et non à partir d’Internet. Le cache peut être configuré pour garantir d’une part qu’il contient les données les plus pertinentes et fréquemment utilisées par l’organisation et, d’autre part, que les clients Internet peuvent y accéder.

La mise en cache Web de ISA Server peut être distribuée sur plusieurs ordinateurs ISA Server Enterprise Edition, en groupes ou en chaînes de groupes, économisant ainsi les coûts de connexion Internet. Le modèle d’extensibilité de ISA Server permet à d’autres développeurs d’offrir des outils supplémentaires qui améliorent la sécurité et la performance.

ISA Server offre une solution intégrée pour adresser les deux problèmes majeurs auxquels sont confrontés aujourd’hui les administrateurs réseau : fournir un accès Internet sécurisé avec une technologie de pare-feu et maximiser la performance au moyen de la mise en cache.

Qu’il soit déployé comme service de pare-feu ou de cache Web dédié ou en mode intégré, ISA Server vous permet de tirer profit d’une gestion unifiée et de contrôler les stratégies. Le pare-feu et la mise en cache sont tous deux déployés à la périphérie du réseau, soit entre un réseau d’entreprise et Internet, soit au sein d’une entreprise, entre des filiales ou des sites distants par exemple. Synergie et intégration sont donc nécessaires pour garantir que les aspects de sécurité et de performance de la connectivité réseau sont considérés, planifiés et gérés en tandem.

Le déploiement de services de cache et de pare-feu séparés sans la possibilité de gérer les deux de manière cohérente peut entraîner une administration dupliquée ou incomplète et des coûts de formation et d’opération plus élevés. ISA Server permet une gestion unifiée (y compris la consignation d’événements dans des journaux, la mise en place d’alarmes, l’analyse et la création de rapports), offrant une représentation complète et précise des besoins d’une organisation en termes d’utilisation Internet et de connectivité.

Les informations contenues dans ce document représentent l’opinion actuelle de Microsoft sur les points cités à la date de publication. Microsoft s’adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute information présentée après la date de publication.
Ce livre blanc est fourni pour information uniquement. MICROSOFT N’OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT.
Microsoft, Active Directory, ActiveX, le logo BackOffice, JScript, Visual Basic, Windows, Windows Media et Windows NT sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux états-Unis d’Amérique et/ou dans d’autres pays. Les noms de sociétés et de produits mentionnés sont les marques déposées de leurs propriétaires respectifs.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • états-Unis

Dernière mise à jour le mercredi 21 mars 2001

 
<< 1 2 3 >>

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.