ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
HTTP Redirector
Webauthentifizierung
Cacheregeln
Proxyeinstellungen per GPO
Socket Pooling W2k
Socket Pooling W2k3
Alarmkonfiguration
SQL Logging
Protokollierung
Paketfilterung
SMTP Anwendungsfilter

 

IP-Paketfilterung


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000

 

Wenn auf dem ISA Server die Paketfilterung aktiviert wird, werden alle Pakete auf der externen Schnittstelle verworfen, sofern sie nicht ausdrücklich zugelassen werden. Dies erfolgt entweder statisch, durch IP-Paketfilter, oder dynamisch, durch Zugriffsrichtlinien oder Veröffentlichungsregeln.

Das entgegengesetzte Szenario wird konfiguriert, wenn auf einem ISA Server Routing aktiviert wird, ohne dabei die Paketfilterung zu aktivieren. In diesem Falle leitet der ISA Server den gesamten Datenverkehr einfach zwischen Internet und Firmennetzwerk durch. Mit anderen Worten: ISA Server fungiert als Router, d. h. als ein Gerät, das zusammenhanglose Netzwerke verbindet, indem Pakete zwischen ihnen übertragen werden. Dieses Szenario wird jedoch für ISA Server nicht empfohlen.

Durch Aktivieren von Paketfilterung und Routing werden die Vorteile einer strikten Richtliniendurchsetzung auf Paketfilterebene sowie Routingmöglichkeiten für sekundäre Verbindungen genutzt. Es wird empfohlen, Filterung und Routing auf ISA Server zu aktivieren, da dadurch die Sicherheit der Paketfilterung mit der Leistungssteigerung von Routing kombiniert wird.

IP-Paketfiltereigenschaften können nicht konfiguriert werden, wenn der ISA Server im Cachemodus installiert wurde.

Über die ISA Management Console -> Zugriffsrichtline gelangt man zu den IP-Paketfiltern. Die Eigenschaften wiederum sind über das Kontextmenü auffindbar:

In den Eigenschaften von IP-Paketfilter befinden sich vier Registerkarten mit verschiedenen Optionen.

Die Erklärung für "Paketfilterung aktivieren" und "IP-Routing aktivieren" sind bereits zu Beginn des Artikels dargelegt worden.

Der "Erkennung von Eindringversuchen" wurde bereits ein eigener Artikel gewidmet, deshalb wird in diesem Artikel hier nicht näher darauf eingegangen.

Filterung von IP-Fragmenten: Filtert der ISA Server Paketfragmente, werden alle fragmentierten IP-Pakete verworfen. Bei einem bekannten Angriff werden fragmentierte Pakete gesendet und anschließend wieder so zusammengesetzt, dass das System beschädigt werden kann. Es wird empfohlen, die Filterung von IP-Fragmenten nicht zu aktivieren, wenn Videoströme oder qualitativ hochwertige Audioströme durch den ISA Server gelassen werden sollen.

Filterung von IP-Optionen: Der ISA Server kann so konfiguriert werden, dass alle Pakete mit den Wörtern "IP Options" im Header abgelehnt werden.

Der "Erkennung von Eindringversuchen" wurde bereits ein eigener Artikel gewidmet, deshalb wird in diesem Artikel hier nicht näher darauf eingegangen.

"PPTP durch ISA-Firewall" wurde im Artikel VPN PPTP ausgehend eingehend beschrieben.



Stand: Friday, 28. August 2009/DR.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher