К счастью, линейка продуктов Forefront Edge как раз великолепно справляется с фильтрацией и защитой веб-трафика и предлагает множество параметров настройки, которые позволяют администраторам управлять трафиком и защитой веб-сервера.
Защита зашифрованного (SSL) веб-трафика
По мере взросления всемирной сети организации начали понимать, что шифрование HTTP-пакетов, передаваемых между веб-сайтом и клиентом, делает их практически нечитаемыми для всех, кто в принципе может перехватить эти пакеты. Это привело к распространению SSL-шифрования НТТР-трафика.
Конечно, зашифрованные пакеты представляют некоторую проблему с точки зрения их анализа, т.к. теперь невозможно определить, что они собираются сделать. А ведь многие современные HTTP-проникновения можно передать и по каналам, защищенным SSL-шифрованием. Это создает опасную ситуацию для организаций, которым приходится за-
Насть III
щищать трафик от перехвата, но одновременно еше и просматривать трафик и защищать веб-серверы от атак
В этом смысле линейка Forefront Edge уникальна: она предназначена как раз для решения этой проблемы, т.к. содержит возможность выполнения сквозного SSL-переноса. После инсталляции сертификата от внешнего вебсервере SharePoint на сервере Forefront TJAG или Forefront TMG (вместе с копией приватного ключа) сервер может дешифровывать трафик, проверять его на наличие вредоносного кода, а затем повторно шифровать перед отправкой на сервер SharePoint. На рынке пока нет продуктов с подобным сквозным шифрованием пакетов и таким уровнем защиты — только продукты линейки Forefront Edge. Однако прежде чем Forefront UAG или Forefront TMG начнет защищать SSL^гpaфик SharePoint, на сервере SharePoint необходимо разместить сертификат SSL.
Защита трафика SharePoint с помощью SSL-шифрования
По умолчанию SharePoint настроен на использование интегрированной аутентификации Windows. Эта форма аутентификации работает хорошо, если доступ к серверу выполняется по доверяемой внутренней сети, но она неприменима для доступа через интернет.
Из-за этого ограничения следует использовать такую разновидность аутентификации, какую можно пересылать через интернет. Это ограничивает возможные варианты одним — базовой аутентификацией, которая поддерживается большинством веб-браузеров и устройств. Однако у базовой аутентификации также есть проблема: имя пользователя и пароль пересылаются, по сути, открытым текстом, и их можно перехватить на пути следования. Кроме того, открытым текстом пересылаются документы и другая конфиденциальная информация, что представляет собой огромную проблему безопасности.
Решением этой проблемы является применение SSL-шифрования трафика (Secure Sockets Layer — уровень защищенных сокетов). SSL-шифрование выполняется с помощью сертификатов PKJ (Public Key Infrastructure — инфраструктура открытых ключей), то есть по принципу шифрования открытым ключом. В настоящее время сертификаты PKI SSL широко распространены в интернете; их использует любой веб-сайт, адрес которого начинается на https: //, и все сообщество торговли в интернете зависит от безопасности этой системы.
В случае с SharePoint сертификат нужно установить на сервере, чтобы трафик между устройством и сервером был защищен от чужих глаз. Это можно сделать двумя способами:
• Использование стороннего центра сертификации. Многие организации просто приобретают сертификат для SharePoint у стороннего доверяемого центра сертификации (certificate authority — СА) наподобие Verisign или Thawte. Этим СА уже доверяют многие устройства, поэтому не требуется их специальная настройка. Недостатком этого варианта является то, что сертификаты необходимо покупать, а у организации мало возможностей по изменению параметров сертификата.
• Установка и использование собственного СА. Еще один распространенный подход — установка и настройка службы сертификации Windows Server 2008 R2 Active Directory Certificate Services (AD CS), которая позволяет создать в организации собственный СА. После этого можно создавать новые сертификаты, отзывать существующие и не платить за это. Недостатком этого варианта является то, что ни один браузер по умолчанию не доверяет такому сертификату, и устройства будут выдавать сообщения об ошибках, если только такой сертификат не будет вручную объявлен доверяемым или распространен по клиентам-членам доменов с помощью объектов групповых политик Active Directory.
защита сайтов SharePoint с помощью Forefront тмс 201 о
Сайты SharePoint представляют собой один из наиболее распространенных видов контента, который можно защитить с помощью линейки Forefront Edge. Это следует из необходимости налаживания дистанционного управления документами с одновременной защитой доступа. Хотя для создания обратного прокси в среде SharePoint рекомендуется Forefront UAG, продукт Forefront TMG также достаточно мощен для выполнения функций обратного прокси-сервера. В данной главе рассматриваются оба эти продукта, но в этом разделе будет описано создание правила публикации Forefront TMG для сайта SharePoint — для клиентов, которые вложили средства в Forefront TMG, но без среды Forefront UAG.
Читать дальше