ISA - Изучаем ISA Server | icuwa, web сервер, proxy сервер

Таблица маршрутизации на компьютере брандмауэра ISA должна быть настроена до установки программного обеспечения брандмауэра ISA. Таблица маршрутизации должна включать маршруты ко всем сетям, которые не являются локальными для сетевых интерфейсов брандмауэра ISA. Эти записи в таблице маршрутизации необходимы, потому что у брандмауэра ISA может быть только один основной шлюз. Обычно основной шлюз настроен на сетевом интерфейсе, используемом для инешней сети. Поэтому, если имеется внутренняя сеть или другая сеть, содержащая несколько дочерних сетей, нужно настроить записи в таблице маршрутизации так, чтобы брандмауэр ISA мог взаимодействовать с компьютерами и другими устройствами в соответствующих дочерних сетях. Сетевой интерфейс с основным шлюзом используется для соединения с Интернетом напрямую или с помощью вышестоящих маршрутизаторов. Записи в таблице маршрутизации являются критически важными для поддержки конфигураций брандмауэра ISA «сеть-в-Сети», которые представляют собой идентификатор сети, расположенной «за» сетевой интерфейсной картой брандмауэра ISA, т. е. не в локальной сети. Например, на рис. 6.1 представлен образец простой конфигурации «сеть-в-Сети». В этой схеме IP-адресов небольшой организации используется два идентификатора сети: 192.168.1.0/24 и 192.168.2.0/24. Сеть, локальная по отношению к внутреннему интерфейсу брандмауэра ISA, имеет идентификатор сети 192.168.1.0/24. Сеть, удаленная от внутреннего интерфейса брандмауэра ISA, — 192.168.2.0/24. Маршрутизатор корпоративной сети разделяет сеть и маршрутизирует пакеты между этими двумя идентификаторами сети. Сетевая модель брандмауэра ISA включает обе эти сети как часть одной Сети («Сеть» с заглавной буквы означает сеть, определенную на брандмауэре ISA). Можно предположить, что 192.168.1.0/24 является Сетью, определенной на брандмауэре ISA, потому что она включает в себя весь идентификатор сети, но также можно предположить, что идентификатор сети 192.168.2.0/24 определяется как вторая Сеть, определенная на брандмауэре ISA. Однако это неверно, потому что сетевая модель брандмауэра ISA включает все сети (все IP-адреса), доступные с конкретного интерфейса брандмауэра ISA, как часть одной и той же сети. Это объясняется тем, что хосты в одной определенной на брандмауэре ISA Сети не используют брандмауэр ISA для взаимодействия между собой. Брандмауэр ISA не выступает в качестве посредника при взаимодействии между хостами с идентификаторами сети 192.168.1.0/24 и 192.168.2.0/24, потому что в этом случае хосты будут использовать брандмауэр для получения доступа к хостам, с которыми они могут взаимодействовать напрямую. В этом примере должна быть запись в таблице маршрутизации на брандмауэре ISA, указывающая, что для получения доступа к идентификатору сети 192.168.2.0/24, соединение должно быть перенаправлено на IP-адрес 192.168.2.1 на корпоративном маршрутизаторе. Можно использовать консоль RRAS (Routing and Remote Access Service, служба маршрутизации и удаленного доступа) или команды ROUTE и netsh в командной строке для добавления записи в таблицу маршрутизации. Брандмауэр ISA должен знать маршрут к каждому внутреннему идентификатору сети. Если окажется, что соединения направляются через брандмауэр ISA к хостам в корпоративной сети неправильно, нужно проверить записи в таблице маршрутизации на брандмауэре ISA: они должны указывать правильный шлюз для каждого из этих идентификаторов сети. СОВЕТ Можно существенно упростить определения сетей и таблицу маршрутизации брандмауэра ISA, создав корректную инфраструктуру IP-адресации с дочерними сетями, что позволит суммировать маршруты.