Настройка шлюза служб терминалов: сценарий с участием сервера ISA Server
Для дополнительной защиты сервера шлюза служб терминалов можно привлечь сервер Microsoft Internet Security and Acceleration (ISA) Server 2004 или ISA Server 2006, настроив его в роли моста протокола SSL. При наличии моста SSL сервер ISA может завершать и повторно открывать сеансы по протоколу SSL, а также проводить проверку пакетов. ISA Server повышает уровень защиты, благодаря расшифровке входящего трафика SSL, проверке этого трафика на предмет наличия вредоносного кода с запоминанием состояния и блокированию соединений, содержащих подозрительные пакеты или пакеты с известными уязвимостями. Кроме того, сервер ISA выполняет фильтрацию данных, передаваемых по протоколу HTTP, с запоминанием состояния, чем обеспечивает возможность детального анализа пакетов приложений, передаваемых по этому протоколу.
Ниже рассматриваются три сценария совместного применения сервера ISA и сервера шлюза служб терминалов с целью повышения уровня безопасности удаленных подключений к ресурсам внутренней сети.
Сервер ISA в роли моста SSL (прокси-сервер интернета). В рамках данного сценария сервер ISA размещается в демилитаризованной зоне и исполняет роль моста SSL между клиентом служб терминалов и сервером шлюза служб терминалов. При этом последний размещается в корпоративной или частной сети.
Иллюстрацией к этому сценарию является схема 3, приведенная в следующем разделе.
Сервер ISA Server в ролях брандмауэра и моста SSL. Данный сценарий предусматривает исполнение сервером ISA роли брандмауэра, осуществляющего функции фильтрации портов и пакетов, а также моста SSL. Сервер шлюза служб терминалов может быть размещен, с одной стороны, в корпоративной или частной сети, а, с другой, — в демилитаризованной зоне, в зависимости от того, является ли сервер ISA внешним или внутренним брандмауэром.
Сервер ISA Server в роли брандмауэра, осуществляющего фильтрацию портов (публикацию сервера). По условиям данного сценария, сервер ISA исполняет роль брандмауэра с фильтрацией внешних пактов и пропускает трафик только через порт 443. Сервер шлюза служб терминалов находится в демилитаризованной зоне.
 Примечание
В настоящем руководстве представлены подробные инструкции по настройке первого сценария (в котором сервер ISA исполняет роль прокси-сервера интернета). Два других сценария приводятся в качестве примеров альтернативных схем защиты удаленных соединений с ресурсами внутренней сети, предусматривающих совместное применение сервера ISA и сервера шлюза служб терминалов.
Конфигурации, прошедшие тестирование в рамках сценария совместной реализации шлюза служб терминалов и сервера ISA
Сценарий совместной реализации шлюза служб терминалов и сервера ISA был протестирован специалистами корпорации Майкрософт с применением следующих конфигураций.
Компьютер
|
Необходимая конфигурация
|
Сервер шлюза служб терминалов (TSGSERVER)
|
Версия RC0 ОС Windows Server 2008. Допускается установка соответствующего обновления после установки ОС Windows Server® 2003 с пакетом обновления 1 (SP1) или бета-версии 3 ОС Windows Server 2008. Дополнительные сведения см. в разделе «Supported upgrade paths» (Варианты обновления) в документе «Установка начальной версии ОС Windows Server 2008» (на английском языке, http://go.microsoft.com/fwlink/?LinkId=104824).
|
Сервер ISA (ISASERVER)
|
ОС Windows Server 2003 и ISA Server 2004 с пакетом обновления 3 (SP3)
или
ОС Windows Server 2003 и ISA Server 2006.
|
Клиент служб терминалов (TSCLIENT)
|
Бета-версия пакета обновления 1 (SP1) для ОС Windows Vista или пакет обновления 3 (SP3) для ОС Windows XP.
Примечание
Бета-версии пакета обновления 1 (SP1) для ОС Windows Vista и пакета обновления 3 (SP3) для ОС Windows XP доступны участникам соответствующих программ Microsoft® Connect Beta на веб-ресурсе MS Connect http://go.microsoft.com/fwlink/?LinkID=102024.
Окончательная первоначальная версия (RTM) ОС Windows Vista. Допускается установка соответствующего обновления после установки ОС Windows XP с пакетом обновления 2 (SP2).
ОС Windows XP с пакетом обновления 2 (SP2), клиент служб терминалов и клиент подключения к удаленному рабочему столу (RDC) 6.0. Инструкции по загрузке клиента RDC 6.0 см. в статье 925876 базы знаний корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=79373).
Версия RC0 ОС Windows Server 2008. Допускается установка новой версии путем обновления существующей.
ОС Windows Server 2003 с пакетом обновления 1 (SP1) или 2 (SP2), а также клиент RDC 6.0.
|
Ресурс внутренней сети (CORPORATERESOURCE)
|
Бета-версия пакета обновления 1 (SP1) для ОС Windows Vista или пакет обновления 3 (SP3) для ОС Windows XP.
Окончательная первоначальная версия (RTM) ОС Windows Vista. Допускается установка соответствующего обновления после установки ОС Windows XP с пакетом обновления 2 (SP2).
ОС Windows XP с пакетом обновления 2 (SP2).
Версия RC0 ОС Windows Server 2008. Допускается установка новой версии путем обновления существующей.
ОС Windows Server 2003 с пакетом обновления 1 (SP1) или 2 (SP2).
|
Настройка соединений между сервером ISA и сервером шлюза служб терминалов
Связь между сервером ISA и сервером шлюза служб терминалов можно настроить одним из следующих двух способов.
Организация моста HTTPS-HTTPS. В данной конфигурации клиент шлюза служб терминалов отправляет запрос SSL (HTTPS) мосту SSL. Для обеспечения максимальной безопасности мост SSL инициирует отправку запроса HTTPS серверу шлюза служб терминалов.
Организация моста HTTPS-HTTP. В данной конфигурации клиент шлюза служб терминалов отправляет запрос SSL (HTTPS) мосту SSL. Мост SSL инициирует отправку запроса HTTP серверу шлюза служб терминалов.
Схема совместной реализации шлюза служб терминалов и сервера ISA
На следующей схеме изображена совместная реализация шлюза служб терминалов и сервера ISA, в которой сервер ISA исполняет роль моста SSL.
Внешний брандмауэр (открыт порт 443)
Домашний переносной компьютер
RDP через SSL
Интернет
Демилитаризованная зона
Корпоративная или частная сеть
Внутренний брандмауэр – необязательный компонент (открыты порты 443 и 80)
RDP через SSL
или
RDP через HTTP
Сервер ISA Server как граница каналов SSL
Доменные службы Active Directory
Компьютеры с разрешенным протоколом удаленного рабочего стола
или
Серверы терминалов
Шлюз служб терминалов
Сценарий с участием сервера ISA Server – подключение сотрудника, работающего на дому, к компьютерам корпоративной сети через шлюз служб терминалов в условиях, когда ISA Server исполняет роль границы каналов SSL
Примечание
В настоящем разделе приводятся инструкции по настройке удаленного доступа с клиента служб терминалов через сервер шлюза служб терминалов с участием сервера ISA, который получает трафик от клиента и выполняет функцию моста SSL. Руководство не содержит инструкций по установке ОС ISA Server 2004 и ISA Server 2006, настройке брандмауэров, серверов терминалов, исполняющих удаленные программы RemoteApp (которые, в свою очередь, обеспечивают доступ к бизнес-приложениям), демилитаризованной зоны и инфраструктуры Active Directory, несмотря на то, что все эти компоненты обозначены на схеме сценария.. Данная схема изображает один из возможных способов реализации сценария в рабочей среде.
|
