6. Annexes
6.1. Les différents modèles de configuration ISA Server 2004
ISA Server propose cinq modèles différents. Ces modèles représentent
les topologies courantes de réseaux.
Il est important de bien choisir le modèle qui convient à
votre réseau, afin de garantir sa sécurité. Définissez clairement vos besoins
avant de prendre votre décision. La lecture les différentes stratégies peut
être un avantage dans le choix de votre modèle.
6.1.1. Pare-feu de périmètre
Le modèle « Pare-feu de périmètre » est le
modèle le plus basique et, certainement, le plus courant au sein des PME/PMI.
En effet, ce modèle s’adapte bien sur les réseaux, qui n’ont pas de services
à publier, via le réseau externe (Internet).
Cette configuration offre un pare-feu à votre réseau. Celui-ci
permet aux utilisateurs du réseau interne de pouvoir avoir accès au réseau externe
(Internet) en fonction de la stratégie qui sera appliquée en parallèle. Le pare-feu
permet, également, de bloquer le trafic entrant dans le réseau interne. Cette
solution permet de sécuriser, de manière efficace, le réseau de votre entreprise.
Le tableau ci-dessous vous présente les stratégies disponibles
pour ce modèle :
| Nom de la stratégie |
Description |
Règles créées |
| Tout bloquer. |
Bloque tout accès au réseau
via Microsoft ISA Server. Cette option ne crée pas d'autres règles d'accès
que celle par défaut qui bloque tout accès. Utilisez-la pour définir
votre propre stratégie de pare-feu. |
Aucune. |
| Bloquer l'accès à Internet,
autoriser l'accès aux services de réseau des ISP. |
Bloque tout accès au réseau
via Microsoft ISA Server, à l'exception de l'accès aux services de réseau
externe comme DNS. Cette option est utile lorsque les services sont
mis à disposition par votre fournisseur de services Internet. Utilisez-la
pour définir votre propre stratégie de pare-feu. |
Autoriser le trafic DNS depuis
le réseau interne et les clients VPN vers le réseau externe (Internet).
|
| Autoriser un accès limité au
Web. |
Autorise un accès limité au
Web en n'utilisant que les protocoles HTTP, HTTPS et FTP. Tous les autres
accès au réseau sont bloqués. |
Autoriser HTTP, HTTPS et FTP
depuis le réseau interne vers le réseau externe.
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Autoriser un accès limité au
Web, autoriser l'accès aux services de réseau des ISP. |
Autorise un accès limité au
Web en n'utilisant que les protocoles HTTP, HTTPS et FTP et l'accès
aux services de réseau du fournisseur de services Internet. Tous les
autres accès au réseau sont bloqués. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau interne et les clients VPN vers le réseau externe
(Internet).
Autoriser le trafic DNS depuis le réseau interne et les clients VPN
vers le réseau externe (Internet).
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Autoriser tous les protocoles. |
Autorise l'accès illimité à
Internet via Microsoft ISA Server. Microsoft ISA Server empêche l'accès
aux réseaux protégés depuis Internet. |
Autoriser tous les protocoles
depuis le réseau interne et les clients VPN vers le réseau externe (Internet).
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
*Ce tableau provient de l’aide Microsoft au sein d’ISA Server
2004
6.1.2. Périmètre en trois parties
Ce modèle suppose que la machine, sur laquelle est installé
ISA, possède trois interfaces. Une sera affectée au réseau interne, une autre
sera reliée au réseau externe (Internet) et la troisième sera reliée à un réseau
tiers. Ce troisième réseau peut vous permettre de créer une DMZ (zone démilitarisée)
ou de rattacher tout type de réseau.
De cette manière, vous pouvez fragmenter votre réseau tout
en le sécurisant.
La fragmentation d’un réseau accroît sa performance en terme
de latence. De plus, il permet, également, d’implémenter une sécurité accrue.
Par exemple, si vous administrez un réseau comprenant un étage
classé « secret défense », vous aurez la possibilité d’isoler cet
étage en lui affectant une stratégie adaptée. Et donc, seul, cet étage sera
concerné par cette stratégie. Ceci vous permet de répondre aux besoins de tous
les utilisateurs de votre réseau.
Le tableau ci-dessous vous présente les stratégies disponibles
pour ce modèle:
| Nom de la stratégie |
Description |
Règles créées |
| Tout bloquer. |
Bloque tout accès au réseau
via Microsoft ISA Server. Cette option ne crée pas d'autres règles d'accès
que celle par défaut qui bloque tout accès. Utilisez-la pour définir
vous-même une stratégie de pare-feu. |
Aucune. |
| Bloquer l'accès à Internet,
autoriser l'accès aux services de réseau sur le réseau de périmètre. |
Bloque tout accès au réseau
via Microsoft ISA Server, à l'exception de l'accès aux services de réseau
(DNS) du réseau de périmètre. Utilisez cette option pour définir vous-même
une stratégie de pare-feu. |
Autoriser le trafic DNS depuis
le réseau interne et les clients VPN vers le réseau de périmètre. |
| Bloquer l'accès à Internet,
autoriser l'accès aux services de réseau des ISP. |
Bloque tout accès au réseau
via Microsoft ISA Server, à l'exception de l'accès aux services de réseau
externe comme DNS. Cette option est utile lorsque les services de réseau
sont fournis par votre fournisseur de services Internet. Utilisez-la
pour définir vous-même une stratégie de pare-feu. |
Autoriser le trafic DNS depuis
le réseau interne, les clients VPN et le réseau de périmètre vers le
réseau externe (Internet). |
| Autoriser un accès limité au
Web. |
Autorise un accès limité au
Web en n'utilisant que les protocoles HTTP, HTTPS et FTP. Cette stratégie
bloque tous les autres accès au réseau. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau interne et les clients VPN vers le réseau de
périmètre et le réseau externe (Internet).
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Autoriser un accès limité au
Web, autoriser l'accès aux services de réseau sur le réseau de périmètre. |
Autorise un accès limité au
Web en n'utilisant que les protocoles HTTP, HTTPS et FTP et l'accès
aux services du réseau sur le réseau de périmètre. Tous les autres accès
au réseau sont bloqués.
Cette option est utile lorsque des services d'infrastructure de réseau
sont disponibles sur le réseau de périmètre. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau interne et les clients VPN vers le réseau de
périmètre et le réseau externe (Internet).
Autoriser le trafic DNS depuis le réseau interne et les clients VPN
vers le réseau de périmètre.
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Autoriser un accès limité au
Web, autoriser l'accès aux services de réseau des ISP. |
Autorise un accès limité à
Internet et l'accès aux services de réseau, par exemple DNS, fournis
par votre fournisseur de services Internet. Tous les autres accès au
réseau sont bloqués. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau interne et les clients VPN vers le réseau de
périmètre et le réseau externe (Internet).
Autoriser le trafic DNS depuis le réseau interne, les clients VPN
et le réseau de périmètre vers le réseau externe (Internet).
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Autoriser tous les protocoles. |
Autorise l'accès illimité à
Internet via Microsoft ISA Server. Microsoft ISA Server interdit l'accès
à des réseaux protégés à partir d'Internet.
Vous pouvez modifier les règles d'accès ultérieurement afin de bloquer
des types d'accès spécifiques. |
Autoriser tous les protocoles
depuis le réseau interne et les clients VPN vers le réseau externe (Internet)
et le réseau de périmètre.
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
*Ce tableau provient de l’aide Microsoft au sein d’ISA Server
2004
6.1.3. Topologie « dos à dos »
La topologie « dos à dos » implique
la présence d’au moins deux pare-feu ISA Server.
Le principe de cette topologie est de séparer le réseau interne
du réseau externe (Internet) par une DMZ (zone démilitarisée).
Cela nous donne trois réseaux distincts. Le réseau de périmètre
(DMZ) entre les deux pare-feu ISA Server permet de publier des serveurs, tels
qu’Exchange ou IIS, aux deux autres réseaux sans que ces derniers n’aient à
communiquer. C’est une sorte de tampon. De ce fait, il est strictement impossible
de franchir simultanément les deux pare-feu de l’extérieur pour accéder à une
ressource qui se trouvera dans le réseau interne.
6.1.3.1. Pare-feu avant
Quant le serveur est mis en position pare-feu avant, il est
directement connecté à Internet et au réseau de périmètre.
Le tableau ci-dessous vous présente les stratégies disponibles
pour ce modèle :
| Nom de la stratégie |
Description |
Règles créées |
| Tout bloquer. |
Bloque tout accès au réseau
via Microsoft ISA Server. Cette option ne crée pas d'autres règles d'accès
que celle par défaut qui bloque tout accès. Utilisez-la pour définir
votre propre stratégie de pare-feu. |
Aucune. |
| Bloquer l'accès à Internet,
autoriser l'accès aux services de réseau des ISP. |
Bloque tout accès au réseau
via Microsoft ISA Server, à l'exception de l'accès aux services de réseau
externe comme DNS. Cette option est utile lorsque les services de réseau
sont fournis par votre fournisseur de services Internet. Utilisez-la
pour définir votre propre stratégie de pare-feu. |
Autoriser DNS depuis le réseau
de clients VPN et le réseau de périmètre vers le réseau externe (Internet).
|
| Bloquer l'accès à Internet,
autoriser l'accès aux services de réseau sur le réseau de périmètre. |
Bloque tout accès au réseau
via Microsoft ISA Server, à l'exception de l'accès aux services de réseau
(DNS) du réseau de périmètre. Utilisez cette option pour définir vous-même
une stratégie de pare-feu. |
Autoriser le trafic DNS depuis
le réseau interne et les clients VPN vers le réseau de périmètre. |
| Autoriser un accès limité au
Web, autoriser l'accès aux services de réseau sur le réseau de périmètre. |
Autorise un accès limité au
Web. Tous les autres accès au réseau sont bloqués. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau de périmètre et les clients VPN vers le réseau
externe (Internet).
Autoriser tous les protocoles depuis les clients VPN vers le réseau
de périmètre. |
| Autoriser un accès limité au
Web, autoriser l'accès aux services de réseau des ISP. |
Autorise un accès limité au
Web et l'accès aux services de réseau, par exemple DNS, fournis par
votre fournisseur de services Internet. Tous les autres accès au réseau
sont bloqués. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau de périmètre et les clients VPN vers le réseau
externe (Internet).
Autoriser le trafic DNS depuis le réseau interne, les clients VPN
et le réseau de périmètre vers le réseau externe (Internet)
Autoriser tous les protocoles depuis les clients VPN vers le réseau
de périmètre. |
| Autoriser l'accès illimité.
|
Autorise l'accès illimité à
Internet via Microsoft ISA Server. Microsoft ISA Server empêche l'accès
aux réseaux protégés depuis Internet.
Vous pouvez modifier les règles d'accès ultérieurement afin de bloquer
certains types d'accès au réseau. |
Autoriser tous les protocoles
depuis le réseau de périmètre et les clients VPN vers le réseau externe
(Internet).
Autoriser tous les protocoles depuis les clients VPN vers le réseau
de périmètre. |
*Ce tableau provient de l’aide Microsoft au sein d’ISA Server
2004
6.1.3.2. Pare-feu arrière
ISA Server est connecté au réseau interne et au réseau périphérique
quand il est en situation de pare-feu arrière. Ce pare-feu laisse les utilisateurs
du réseau se connecter au réseau périmètre par lequel ils pourront rejoindre
le réseau Internet mais il bloque tout accès dans leur sens.
Le tableau ci-dessous vous présente les stratégies disponibles
pour ce modèle :
| Nom de la stratégie |
Description |
Règles créées |
| Aucun accès : Tout bloquer. |
Bloque tout accès au réseau
via Microsoft ISA Server. Cette option ne crée pas d'autres règles d'accès
que celle par défaut qui bloque tout accès. Utilisez-la pour définir
vous-même une stratégie de pare-feu. |
Aucune. |
| Aucun accès : Bloquer l'accès
à Internet, autoriser l'accès aux services de réseau sur le réseau de
périmètre. |
Bloque tout accès au réseau
via Microsoft ISA Server, à l'exception de l'accès aux services de réseau
(DNS) du réseau de périmètre.
Utilisez cette option pour définir vous-même une stratégie de pare-feu.
|
Autoriser le trafic DNS depuis
le réseau interne et les clients VPN vers le réseau de périmètre. |
| Aucun accès : Bloquer l'accès
à Internet, autoriser l'accès aux services de réseau des ISP. |
Bloque tout accès au réseau
via Microsoft ISA Server, à l'exception de l'accès aux services de réseau
externe comme DNS. Cette option est utile lorsque les services de réseau
sont fournis par votre fournisseur de services Internet.
Utilisez-la pour définir vous-même les règles d'accès de la stratégie
de pare-feu. |
Autoriser le trafic DNS depuis
le réseau interne et les clients VPN vers le réseau externe (Internet),
à l'exception de la plage d'adresses du périmètre. |
| Accès limité : Autoriser un
accès limité au Web. |
Autorise un accès limité au
Web. Tous les autres accès au réseau sont bloqués. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau interne et les clients VPN vers le réseau externe
(Internet).
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Accès limité : Autoriser un
accès limité au Web, autoriser l'accès aux services de réseau sur le
réseau de périmètre. |
Autorise un accès limité au
Web et l'accès aux services de réseau sur le réseau de périmètre. Tous
les autres accès au réseau sont bloqués. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau interne et les clients VPN vers le réseau de
périmètre et le réseau externe (Internet).
Autoriser le trafic DNS depuis le réseau interne et les clients VPN
vers le réseau de périmètre.
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Accès limité : Autoriser un
accès limité au Web, autoriser l'accès aux services de réseau des ISP. |
Autorise un accès limité au
Web et l'accès aux services de réseau, par exemple DNS, fournis par
votre fournisseur de services Internet. Tous les autres accès au réseau
sont bloqués. |
Autoriser le trafic HTTP, HTTPS
et FTP depuis le réseau interne et les clients VPN vers le réseau externe
(Internet).
Autoriser le trafic DNS depuis le réseau interne et les clients VPN
vers le réseau externe (Internet), à l'exception de la plage d'adresses
du périmètre.
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
| Accès illimité à Internet :
Autoriser tous les protocoles. |
Autorise l'accès illimité à
Internet via Microsoft ISA Server. Microsoft ISA Server empêche l'accès
aux réseaux protégés depuis Internet. Vous pouvez modifier les règles
d'accès ultérieurement afin de bloquer certains types d'accès au réseau.
|
Autoriser tous les protocoles
depuis le réseau interne et les clients VPN vers le réseau externe (Internet)
et le réseau de périmètre.
Autoriser tous les protocoles depuis les clients VPN vers le réseau
interne. |
*Ce tableau provient de l’aide Microsoft au sein d’ISA Server
2004
6.1.4. Carte réseau unique
Nous ne traiterons pas le réseau « Carte réseau unique »
car il ne s’intègre pas dans le sujet de cet article. Ce réseau permet la mise
en place de la fonction cachée du serveur ISA Server 2004.
 Sommaire
1. Exchange Server : Accès clients
1.1. Les différents types de clients de messageries
1.2. Rappel sur les ports TCP utilisés par les clients de messagerie
2. Infrastructure ISA : Introduction
2.1. Microsoft ISA Server en deux mots
2.2. Différents positionnement (DMZ, deux ISA, …)
2.3. Modèle conseillé pour la publication d’un serveur Exchange Server
2.4. Les assistants de publication du serveur de messageries Microsoft Exchange Server
3. Accès client WEB
3.1. Pourquoi utiliser Microsoft ISA Server pour publier Outlook Web Access ?
3.2. Les assistants publication du serveur Outlook Web Access
3.3. Utilisation de certificats SSL (HTTPS)
3.4. L’authentification par formulaires pour augmenter la sécurité de Microsoft Outlook® Web Access (OWA)
4. Accès Client
4.1. Différences entre POP3/SMTP et POP3S/SMTPS
4.2. L’assistant de publication sécurisée sur serveur SMTP/POP3/IMAP4 (POP3S,IMAP4S)
4.3. La publication RPC sécurisée pour octroyer aux employés distants un accès client complet à Outlook
4.4. La réduction de courriers électroniques non sollicités à l’aide du filtre de messages SMTP
4.5. Les filtres SMTP et POP3 pour se protéger contre les attaques de serveur de courrier
5. Communication de serveur à serveur
5.1 Publication des ports de communication nécessaire pour la communication serveur à serveur sur ISA Server 2004
5.2. Création d'une règle de sortie du protocole SMTP
6. Annexes
6.1. Les différents modèles de configuration ISA Server 2004
7. Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Protegez Exchange Server 2003 avec ISA Server 2004
