MS ISA Server - что это за зверь и с чем его едят
- Font size: Larger Smaller
- Hits: 8706
- 0 Comments
- Subscribe to this entry
- Bookmark
MS ISA Server - что это за зверь и с чем его едят.
В процесе администрирования сервера Windows 2000, мне пришлось решать проблему разрешения доступа в интернет нескольким пользователям через один модемный канал. Сначала я остановил свой выбор на простом: дал доступ пользователям к подключению, и вроде бы все решилось. Но со временем, мне понадобилась подробная информация о тех пользователях, кто выходил в сеть, нужно было запретить выход в интернет в опредиленное время, да и скорость связи желала лучшего. И поэтому я остановил свой выбор на MS ISA Server - MS Internet Security and Acceleration Server. Поскольку раньше я в глаза не видел этой штуки, то прошло около двух недель, прежде чем система заработала стабильно. Сразу выскажу благодарность сайтам http://www.winfaq.com.ru/, http://www.isaserver.org/ и особенно форуму, где мне здорово помогли. Здесь мне хотелось бы рассказать о том, какие подводные камни бывают при настройке ISA.
1. Download & Install.
Стянул я ISA, как ни странно, на сайте Microsoft, заполнив какую-то анкетку о месте жительства, роде занятий и т.д. всякой чепухой.Размер файла составил 12 с копейками мегабайт. Это оказался архив, в котором находилась сама программа установки. После розархивирования, появляется такой себе помощник установки, где нам предлагают прочитать всякую гадость, зарегистрировать и. наконец-то, установить.Вот здесь появилась первая заморочечка. Поскольку у меня сервер работает в режиме приложения, с терминальными клиентами, то он наотказ не запускает программу установки из помощника, а хочет запуска из "Установка/Удаление программ". Это решается просто - заходим в панель управления- установка/удаление программ-установить с CD или диска, ищем "C:\ISA Server Standard CD\isa\setup.exe'. Вроде бы все нормально. Но тут программа установки вдруг предлагает ввести 10-ти значный ключ компакт-диска (странно, с осмотра на то, что программа стянуту с нета, с сата MS). Странно, но проходит практически любая комбинация цифр (5000000000 - у меня точно прошло, и еще несколько).После этого программа установки предлагает три вида установки компонентов: типичный, выбраный пользователем и полный. Я выбрал полный. Теперь немного отойдем от практики и рассмотрим теорию.
ISA предлагает выбор трех типов работы:
- FireWall
- Cashe
- FireWall+Cashe
FireWall - предполагает администрирование (запреты/разрешения доступа к тем или иным сайтам, доступ выбраным клиентам и пр.)
Cashe - служба кеширования интернет страниц. Выделяем место на сервере, где будут хранится страницы, которые посещались пользователями, что намного ускоряет работу с уже просмотренными сайтами.
Поскольку я работаю через Dial-Up и у провайдера есть свой прокси, то ставить еще один не совсем резонно. Поэтому я выбрал только FireWall.
Возвратимся к установке. В конце инсталяции, ISA запрашивает заполнения таблицы LAT (Local Address Table). В эту таблицу входят IP адреса компьютеров, входящих локальную сеть. Рассмотрим подробности.
На сервере установлены два сетевых адаптера. IP адрес первого 191.191.191.2 (маска 255.255.255.0), второго - 191.191.192.1 (маска 255.255.255.0). В соответственно, имеем две подсетки с диапазоном адресов 191.191.191.0 - 191.191.191.255 и 191.191.192.0 - 191.191.192.255. Именно два этих диапазона вводим в таблицу LAT. После этого установка заваршена.
2. Общие настройка сервера.
Найти ISA можна несколькими методами: через пуск-программы или Пуск-Программы-Администрирование-Управление или Мой Компьютер-Управление. В первом случае сразу попадаем в консоль управления ISA, в остальных ищем ветку Службы и приложения, а там Internet Security and Acceleration Server. Щелкаем правой кномкой и выбираем свойства.
В закладках Incoming Web Requests и Outgoing Web Requests устанавливаем выбираем параметры как на рис. 1 (они одинаковые для этих двух закладок). Так же, желательно изменить значения TCP port на 80 (по умолчанию 8080) и SSL port на 443 ( по умолчанию 8443) и включить Enable SSL listeners. Переключатель, выделеный на рис.1. под номером 1 отвечает за аутенфикацию пользователей при входе в интернет. IP-адрес, выделеный 2 - являтся внутренним адресом сервера.
| Для нормального функционирования ISA server желательно отключить IP фильрацию, поскольку Firewall client (см. ниже) использует порт 1745 |
3. Настройки клиентов.
Перед тем, как рассматривать настройки сети клинтов, обратим внимание на еще один сервис ISA, а именно на FireWall Client (в дальнейшем - FWC). Его задача - при связи с ISA сервером посылать данные о клиенте, а также об используемых протоколах. Установить его нужно для того, что бы разрешить работу протоколов POP3, SMTP, NNTP, UDP, работу таких приложений как ICQ, IRC, QIP и т.п. Установить сам клиент можно с папки, в которую установлен ISA Server, подкаталог Clients.
Рис. 2.
После установки FWC могут возникнуть проблемы с автоматическим опредитением ISA Server. В этом случае, уберите галочку Automatically detect ISA server и нажмите кнопку Update Now. Если и это не помогло - напишите вместо имени сервера его внутрений IP адрес (в моем случае - 191.191.191.2). Теперь, что касается настройки TCP/IP протокола клиента. Она показана на рис.3.
Рис. 3
| Самое интересное состоит в том, что для клиентов с Windows 2000 шлюз можно не указывать. Для клиентов 9х - шлюз обязателен, но можно не указывать DNS провайдера. |
Теперь рассмотрим настройку прокси для браузера (на примере IE).
Рис. 4
В качестве прокси-сервера указываем IP адрес ISA сервера, порт 80.
На этом конфигурирование клиенов завершено.
4. Настройка фильтров
ISA Server работает по принципу - что не разрешено - то запрещено. Поэтому необходимо устанавливать нак называемые фильтры, которые разрешают использавать те или иные протоколы и порты. Рассмотрим на примере фильтра для HTTP.
Фильтры создаются в ветке Access Poliсy-IP Packet Filters.
Рис 5.1
В закладке General задается имя фильтра и признак дествительности (включен/выключен)
Рис 5.2
Закладка Filter Type предназначена для определения конкретного протокола, порта и т.д.
| Custom | Признак ручного описание фильтра |
| IP protocol | Указываем конкретный протокол |
| Protocol number | Номер протокола. Доступен в случае, если IP protocol other |
| Direction | Указывает на тип связи (входящий запрос, исходящий запро, двунаправленый запрос) |
| Local port | Тип клиентского порта (все порты, динамический порт, фиксированый порт) |
| Local port number | Номер клиентского порта - активный только в случае, если Local port - Fixed port |
| Remote port | Тип порта на удаленной машине (все порты, динамический порт, фиксированый порт) |
| Remote port number | Номер порта на удаленной машине |
Для HTTP мы выбираем протокол TCP, Direction - Both (поскольку запросы поступают как от локальной машины, так и от удаленной), Local port - Dynamic (при исходящих запросах порт может меняться), Remote port - Fixed port (все HTTP ответы передаются по фиксированому порту), emote port number - 80 (номер этого фиксированого порта).
Рис. 5.3.
Закладка Local Computer позволяет выбрать, на что именно будет применен этот фильтр(для локальных компьютеров) : На любые локальные адреса, талько на указаный адрес, на указаный компьютер из локальной сети, на диапазон компьютеров локальной сети.
Рис 5.4.
Закладка Remote Computers определяет, с какими внешними компьютерами будет работать фильтр: Все удаленные компьютеры, определенный, или из диапазона.
Ниже, приведена таблица, иллюстрирующая настройку для других протоколов:
| Custom | Выбрано |
| IP protocol | TCP |
| Protocol number | 6 |
| Direction | Both |
| Local port | Dynamic |
| Local port number | Недоступно |
| Remote port | Fixed port |
| Remote port number | 110 |
| Custom | Выбрано |
| IP protocol | TCP |
| Protocol number | 6 |
| Direction | Both |
| Local port | All Ports |
| Local port number | Недоступно |
| Remote port | Fixed port |
| Remote port number | 25 |
| Custom | Выбрано |
| IP protocol | TCP |
| Protocol number | 6 |
| Direction | Outbound |
| Local port | Fixed port |
| Local port number | 21 |
| Remote port | All ports |
| Remote port number | Недоступно |
5. Конфигурирование пользователей на сервере.
В ISA Server есть возможность прописать пользователей и клиентские компьютеры, которым будет разрешен выход в интернет. Для этого, зайдите в ветку Policy Elements-Client Address Sets. Правой кнопкой выберите Создать-Set. Задайте имя ползователя и диапазон IP. Если вы хотите задать пользователю только один адрес (к примеру 191.191.191.255), тогда диапазон вводите 191.191.191.255-191.191.191.255.
6. Планировщик.
ISA Server предусматривает возможность выполнения правил в определенные дни и часы. Для настройки планировщика зайдите в ветку Policy Elements-Schedules. По умолчанию имеются два расписания: Выходные (суббота, воскресенье) и Рабочие часы (будни, с 9 до 16). Кроме этого, существует расписание Allways (всегда), не показаное в планировщике.
7. Конфигурирование сайтов
Для определения имен определенных сайтов, которые запрещено/разрешено посещать откройте ветку Policy Elements-Destination Set.На Рис.6 показаны свойства определения баннерных сайтов:
Рис. 6
8. Правила.
Для разрешения или запрещения доступа существуют правила. Откройте ветку Access Poliсy-Protocol Rules. По умолчанию, ISA устанавливает правило, разрешающее всем вход в сеть. Я сделал два правила. Одно из них позволяет некоторым пользователям входить в интернет постоянно (поскольку авторизация у меня отключена, то это правило привязано до IP адресов), а некоторым - только по рабочим дням в обеденное время.
Не хочу останавливаться на этом очень подробно, так как не вижу никаких сложностей в настройке правил.
9. Настройка доступа к выбраным сайтам.
Я бы сказал, что это очень полезная вещь. К примеру, если запретить доступ к баннерным сайтам, освобождается около 20% траффика, что не так уж и мало для Dial-Up. Для создания нового правила зайдите в ветку Site and Content Rules.
Рис. 7
На рис. 7 показано, каким образом можна выбрать ограничивающие правило, из заданого раньше списка файлов в Policy Elements-Destination Set.
Рис. 8.
Рис.8 иллюстрирует запрет на выбраные сайты. Кроме этого, если выделить If HTTP request, redirect request to this URL (если запрашивается адрес со списка, переадресовать на указаный), что весьма полезно, при запрещении доступа, примером, к порно ресурсам.
Рис. 9. показывает, что существует возможность запретить для скачивания отдельные фрагменты (к примеру, исполняемые файлы, видео, музыку).
