При поддержке компании Mobatime Systems: лидера в разработке, производстве и продаже приборов и систем времени. Подробнее...
Сайт · Форум · Инструменты WindowsFAQ.ru - Сайт о Windows, компьютерах, системном администрировании, локальных сетях

Поиск

Друзья

Клуб любителей ASPLinux
Kerio Winroute Firewall инструкции настройки

Шаблоны

New_WindowsFAQ
Главная arrow Статьи arrow Администрирование arrow Internet Security and Acceleration Server 2004 (ISA): возможности, установка, конфигурирование
Internet Security and Acceleration Server 2004 (ISA): возможности, установка, конфигурирование Версия для печати
Рейтинг: / 22
ХужеЛучше 
Автор Дмитрий Мухин   

ISA – это программный многоуровневый брандмауэр (или Firewall), предназначенный для защиты локальной (внутренней) сети от несанкционированного доступа «снаружи», а также выхода клиентов локальной сети во внешние сети ( в том числе Интернет).

Фильтрация трафика производится на трех уровнях модели OSI – пакетов, канала, приложения.

Системные требования, рекомендованные Майкрософт:

ПроцессорPentium III с тактовой частотой 550 МГц или более мощный процессор (ISA Server 2004 Standard Edition поддерживает до четырех процессоров на одном сервере).
Операционная системаОперационная система Microsoft Windows 2000 Server или Windows 2000 Advanced Server с пакетом обновления 4 (SP4) или более поздней версии; Windows 2000 Datacenter Server; Windows Server 2003 Standard Edition или Windows Server 2003 Enterprise Edition.
ПамятьРекомендуется не менее 256 МБ оперативной памяти.
Жесткий диск150 МБ свободного пространства на локальном диске с файловой системой NTFS; для содержимого веб-кэша требуется дополнительное пространство.

Процесс установки ISA на компьютер должен производиться локально (с консоли – клавиатура, мышь, монитор, непосредственно подключенные к компьютеру, на который производится установка), т.к. после установки ISA блокирует весь сетевой трафик (основное правило по умолчанию). Правда, можно устанавливать и через терминальную сессию. В таком случае, ISA при установке вносит компьютер, с которого производится установка, в группу Remote Management Computers. Этой группе в системных правилах разрешен доступ к ISA даже при блокировании остального трафика.

На машине, предназначенной для установки ISA, должно быть не менее двух сетевых карт – одна, смотрящая во внутреннюю сеть, другая – во внешнюю. Конечно, сетевых карт, и, соответственно, подключенных к ISA сетей может быть больше. При наличии одной сетевой карты ISA сможет работать только в качестве кэширующего сервера (если верить Томасу Шиндеру - автору книг по ISA).

ISA позволяет организовывать VPN подключения по протоколам PPTP и L2TP/IPSec «снаружи» - разовые клиентские, либо постоянные Site-to-Site.

ISA позволяет публиковать серверы внутренней сети (почтовый, WEB, терминал – сервер) для доступа извне.

ISA с установленным сервис-паком 3 позволяет делать, при необходимости, очень подробные отчеты работы брандмауэра и прокси-сервера. События регистрируются либо в простых текстовых файлах с расширением w3c, либо в формате MSDE (Microsoft Data Engine), либо в базу SQL сервера.

ISA может работать в режиме NAT-сервера, прокси–сервера с возможностью кэширования запросов с целью сокращения трафика или без кэширования.

Система правил позволяет разработать любые политики доступа из локальной сети наружу с целью разрешить необходимый трафик для определенных клиентов, компьютеров, либо групп клиентов и машин, ограничивать доступ к нежелательным ресурсам (запрет баннеров, внешних почтовых серверов, порносайтов и так далее по доменным именам, по IP-адресам, по контенту, заголовкам сайтов, типам приложений и т.п.), запрет или разрешение любых протоколов для определенных групп и много другое.

Встроенная система мониторинга позволяет в режиме реального времени отслеживать сессии клиентов ISA – сервера, как внутренних, так и внешних, осуществлять наблюдение за конкретным пользователем, компьютером или протоколом. В Service Pack 3 добавлена удобная возможность: в он-лайн мониторинге красным шрифтом выделяются запрещенные правилами соединения, что позволяет быстрее найти неполадки при проблемах доступа или соединения.

ISA интегрируется с AD, но может работать и с недоменными клиентами (для авторизации такие клиенты создаются локально на сервере с установленным ISA, если требуется авторизация, либо разрешение дается анонимным пользователям по IP компьютера).

Установка ISA

Запускаем файл isaautorun.exe или MS_FPC_Server.msi из каталога FPC, выбираем выборочную (Custom) установку, указываем общую папку с Firewall клиентом, чтобы можно было позже, при необходимости, в командной строке у пользователя набрать \\isaserver\mspclt и установить клиента.

ISA сервер
щелкните чтобы увеличить

Указываем диапазон(ы) адресов, используемых во внутренней сети.

ISA сервер

ISA сервер

Если в сети уже были установлены Firewall клиенты для ISA 2000, например, то в следующем окне ставим галку «Allow...», дабы клиенты старых версий могли работать до смены клиентского ПО на новое.

ПО «клиент брандмауэра» или Firewall client публикуется в расшаренной папке на сервере ISA. Устанавливать его можно вручную, через setup.exe, или установить с помощью Групповой Политики: в каталоге есть файл MS_FWC.msi

ISA сервер

На этом, собственно, этап установки заканчивается. После него сразу установите Сервис-пак 3 (13 Мб).

Приступаем к конфигурированию сервера

В разделе Firewall Policy пока существует единственное правило – запрет всего исходящего и входящего трафика. Кстати, есть набор системных правил, установленных по умолчанию. Их можно увидеть, нажав крайнюю правую пиктограмму в верхней панели консоли управления ISA. Эти правила имеют приоритет перед пользовательскими, но их тоже можно запрещать, разрешать и изменять.

В качестве простейшего решения можно разрешить весь трафик между ISA и внутренней сетью (для удаленного управления сервером, разрешения DNS – запросов, аутентификации пользователей через контроллеры домена и т.п.)

Все вновь создаваемые правила следует создавать «ниже», т.е. с большими порядковыми номерами. Правила в ISA обрабатываются по порядку – сверху вниз. Последним всегда будет Last Default Rule (запрещение всего трафика, кроме явно разрешенного).

ISA сервер
щелкните чтобы увеличить

Справа в «Панели задач» раздела Firewall Policy закладка Toolbox содержит элементы, участвующие в правилах:

  1. Сети, сетевые пулы, компьютеры, группы компьютеров, пулы доменных имен (в разделе Network Objects – Сетевые объекты);
  2. Протоколы – как общеизвестные, так и задаваемые администратором (например, для банк-клиентов);
  3. Пользователи и группы пользователей;
  4. Контент (Content Types) – типы содержимого, распределенного по типам – изображения, музыка, видео и тому подобное, определяемое расширением файла (.pdf, .jpg, .wmw, .zip), списки типов которых также можно дополнять и изменять;
  5. Schedules (задания) – можно управлять временем доступа через ISA.
ISA сервер
щелкните чтобы увеличить

Раздел Monitoring на странице Dashboard содержит краткий вид происходящих в ISA событий – предупреждения (alerts), текущие сессии – их тип (Firewall Client, Web Proxy, Secure NAT).

Firewall Client (TCP и UDP протоколы) - устанавливается на клиентский компьютер для приложений типа ICQ. Web Proxy – клиенты, у которых в браузере указывается подключение через прокси-сервер. S-NAT – у клиента в свойствах сетевой карты должен быть указан в качестве шлюза внутренний интерфейс ISA.

Services – показывает состояние собственно служб Microsoft Firewall (fwsrv), Routing & Remote Access (маршрутизация и удаленный доступ), MSDE.

Reports – возможность создавать отчеты и публиковать их для общего доступа по сети.

Connectivity – состояние связи с Active Directory, DHCP, DNS серверами.

Logging – On-line просмотр событий по заданным критериям (IP или login клиента, протокол, сеть назначения и т.д.)

ISA сервер
щелните чтобы увеличить

В разделе Virtual Private Networks (VPN) настраивается доступ к внутренней сети извне через защищенный канал, как разовые подключения клиента, так и постоянные соединения Site-to-Site.

Раздел Configuration:

Networks – определяет внешние и внутренние сети, термин Localhost (все сетевые карты, имеющиеся на машине с установленным ISA), VPN клиентов. В свойствах внутренней (Internal) сети устанавливаются параметры Web Proxy: на каком порту ISA «слушает» клиентов, автоматический поиск прокси-сервера (можно раздавать через DHCP), имена внутренних доменов, адреса сетей, которым разрешен доступ к прокси-серверу, параметры аутентификации и так далее.

Cache – определяет, будет ли прокси–сервер «прозрачным», то есть не будет хранить запросы клиентов, либо кэширующим, т.е. за счет обращений к одинаковым ресурсам трафик будет экономиться, так как клиентам запрошенные Web-страницы будут выдаваться из кэша ISA. Параметры срока хранения запросов, а также исключения из кэширования каких-либо сайтов (например, новостных) можно задавать в свойствах кэша.

Add-Ins – Web-фильтры и фильтры приложений.

General – делегирование управления ISA, конфигурирование «каскадирования» прокси–серверов, настройки модемных соединений, сертификаты, определение атак на сервер, лимит количества сессий и так далее.

ISA сервер
щелкните чтобы увеличить

Пример создания правила в Firewall Policy

Создаем правила для доступа по ICQ протоколу для клиентов внутренней сети. У клиентов должен быть установлено программное обеспечение Firewall Client.

Сначала создадим группу ICQ Users: Firewall Policy – Toolbox – Users – New – через мастер создания User Set – даем название (оно может совпадать с названием правила в Firewall Policy) – на следующей странице выбираем группу из домена, которой создаваемая группа будет соответствовать. Естественно, в AD такая группа уже должна быть создана.

ISA сервер
щелкните чтобы увеличить

ISA сервер
щелкните чтобы увеличить

На следующем шаге получаем готовую группу.

ISA сервер
щелкните чтобы увеличить

Не забываем нажать Apply, чтобы можно было перейти к созданию правила.

При создании правила используется мастер (Wizard). Запускаем его из раздела Firewall policy – закладка Tasks – Create New Access Rule.

  1. Даем название (наиболее понятное, чтобы можно было при наличии большого количества правил быстро в них ориентироваться) – ICQ users
  2. Rule Action – Allow
  3. Protocols – из выпадающего списка выбираем Selected Protocols – Add – Instant Messaging – ICQ 2000
  4. Access Rule Sources – Internal Network (либо группа компьютеров, определенная заранее)
  5. Access Rule Destinations – External (либо заранее определенная группа ICQ серверов)
  6. User Sets – выбираем опять же заранее созданную группу пользователей ISA (у меня, например, коррелируется с созданной группой ICQ Users в AD)
  7. Finish.

Получаем следующее правило:

ISA сервер
щелкните чтобы увеличить

При необходимости, с помощью команд в панели Tasks перемещаем это правило ниже ISA Control с помощью команды Move Selected Rules...

Так же, с помощью Мастера, производится публикация серверов, находящихся в локальной сети, для доступа извне.

Пример публикации находящегося в локальной сети почтового сервера MS Exchange или любого другого, работающего по протоколу SMTP.

Firewall Policy – Tasks – Publish a Mail Server

ISA сервер
щелкните чтобы увеличить

На следующей странице Мастера выбираем тип публикуемого сервера. Стандартный вариант – Сервер_Сервер по протоколу SMTP.

ISA сервер
щелкните чтобы увеличить

На следующей странице отмечаем нужный протокол.

ISA сервер
щелкните чтобы увеличить

Далее через Browse или вручную выбираем внутренний IP адрес почтового сервера.

ISA сервер
щелкните чтобы увеличить

На следующей странице выбираем сеть, которую будет «слушать» наш почтовик. В стандартном варианте – внешняя (External), так как в MS Exchange обмен в локальной сети идет по протоколу Х.400.

ISA сервер
щелкните чтобы увеличить

В итоге получаем правило, публикующее наш почтовый сервер «наружу».

ISA сервер
щелкните чтобы увеличить

Вообще-то, конечно, ISA – продукт очень объемный. Книга Томаса Шиндера по этому продукту в русской редакции занимает 1061 страницу. В этой статье – лишь попытка помочь сделать первые шаги в установке Microsoft Internet Security and Acceleration Server. За дополнительной информацией о настройке ISA можно обратиться на следующие ресурсы: www.isaserver.org, www.isaserver.ru, www.isadocs.ru

Гость
создано: 26-11-2007 14:26
Как настроить правило для FTP?создал правило как было написано в примере с (isq)
При подключении и чтении данных с FTP Рвется связь и выдается ошибка
500 Invalid Port Command(Я понимаю что то с настройками ФТП)
Servini
создано: 27-11-2007 09:12

Цитата (автор "Gunny"):
на 2004 эксплойты есть на 2006 отсутствуют пока

Вот "пока" - самое правильное слово изо всей фразы. :) Безопасных программ такой сложности не существует.
Servini
создано: 27-11-2007 09:22
Неплохо. Молодец, Димка.
Гость
создано: 24-02-2008 17:18
Как мне добавить оболочку в windows media
Гость
создано: 25-07-2008 08:16
Как настроить правило для FTP?создал правило как было написано в примере с (isq)
При подключении и чтении данных с FTP Рвется связь и выдается ошибка
500 Invalid Port Command(Я понимаю что то с настройками ФТП

Поставь прогу MIFClient. ФТП клиент для исы 2004. Все заработает, еще мож пассивный режим не включен
Гость
создано: 22-10-2008 08:30
Подскажите как в ISA настроить динамический NAT?
Servini
создано: 22-10-2008 09:50
Гость
Задайте вопрос здесь:
http://forum.windowsfaq.ru/forumdisplay.php?f=23
Если не хотите регистрироваться, то здесь:
http://forum.windowsfaq.ru/forumdisplay.php?f=27
Никнейм:


BB-коды, смайлы
Тема на форуме
Опции
 
 
< Примеры использования технологии IPSec   Инструменты Windows Automated Installation Kit >

Сервер NTP


Доступ к серверу NTP первого стратума
Подробнее

На форуме

Лента RSS

Mobatime - Автору - Рекламодателю - Веб-мастеру - Контакт - История - Наверх
© Владислав Семёнов aka SavageNoName 2003-2016
При любом использовании материалов ссылка на WindowsFAQ.ru обязательна
Сайту 12 лет, 3 месяца и 1 день. Форуму 15 лет, 7 месяцев и 14 дней.