Помогите настройкой ISA2000 внутри домена
Модератор: Модераторы
Сообщений: 7
• Страница 1 из 1
Slim » 13 мар 2005, 13:38
Здраствуйте.
Помогите пожалуйста в настройке ISA2000.
Опишу ситуацию: есть сайт mycorp.org (10.0.0.0 - 10.255.255.255), один из 10 доменов в нём домен domain.mycorp.org (10.1.0.0 - 10.1.255.255), на последнем надо поставить ISA2000 для ограничения доступа по HTTP и FTP на сайты поднятые в остальных доменах mycorp.ru (в связи с узким каналом, а юзвери фильмаки тоннами оттуда тянут), ограничение на интернет-сайты я сделал без поблем, но на "внутренние" ip, т.е которые в доменах mycorp.ru не работают. ISA настроена как WebProxy, я считаю что надо подымать ису как FireWall+WebProxy, но отсюда возникнут проблемы (встретились при поднятии ISA2004). В домене работает Exchange, SQL, и много других сетевых программ разработанных программерами предприятия, а их пропустить уйдёт уйма времени, которого нет. Требуется только запретить http и ftp внутри домена. Кто нибудь может помочь?
Помогите пожалуйста в настройке ISA2000.
Опишу ситуацию: есть сайт mycorp.org (10.0.0.0 - 10.255.255.255), один из 10 доменов в нём домен domain.mycorp.org (10.1.0.0 - 10.1.255.255), на последнем надо поставить ISA2000 для ограничения доступа по HTTP и FTP на сайты поднятые в остальных доменах mycorp.ru (в связи с узким каналом, а юзвери фильмаки тоннами оттуда тянут), ограничение на интернет-сайты я сделал без поблем, но на "внутренние" ip, т.е которые в доменах mycorp.ru не работают. ISA настроена как WebProxy, я считаю что надо подымать ису как FireWall+WebProxy, но отсюда возникнут проблемы (встретились при поднятии ISA2004). В домене работает Exchange, SQL, и много других сетевых программ разработанных программерами предприятия, а их пропустить уйдёт уйма времени, которого нет. Требуется только запретить http и ftp внутри домена. Кто нибудь может помочь?
GifteD » 14 мар 2005, 14:45
По умолчанию, все что не разрешено- запрещено. Соответственно убрать из правил FTP и HTTP и трафика не будет. Т.е. в чем проблема сделать именно это? Причем правила можно настраивать как по пользователям так и по IP.
| Цитата |
| В домене работает Exchange, SQL, и много других сетевых программ разработанных программерами предприятия, а их пропустить уйдёт уйма времени, которого нет
[/quote] Времени никогда нет, но порты знать нужно. Exchange & SQL стандартные, а порты какие используют самописные проги в принципе тоже легко определить. netstat -an
Сорри что не уточнил, что http должен разрешатся только на 1 корпративный сайт внутри mycorp.org. Остальные должны банится по правилу в который можно добавлять ip внутренних сайтов.
Можно так... Site & Content, Deny для каждого сайта и редирект по денни на корпаративный сайт.
Теперь раскидаю свою идею и что есть сейчас:
Юзвери в инет ходят без проблем, ISA отсылает на апстрим проксю в домене, правила на инетовские сайты срабаотывают, запрещая развлекательные и порно ресурсы. Таким же методом делаю правила которые банят сайты внутри корпоративной сетки, но они не работают. Куда рыть? Повторюсь, можно ли это организовать если ИСА работает как WebProxy, или без установки как FireWall неполучится? 
Slim
Есть мнение, что они у тебя внутри без прокси ходят. Видимо в твоем случае нужно весь трафик гнать через проксю. В Политиках поправить настройки IE. Как вариант расмотреть возможность администрять непосредственно сервера, запрещая доступ к ним.
1) Апстрим прокся не пускает на корпоративный сайт если у юзверей в IE не будет прописано 10.*.*.*, редиректит на спец страничку для юзверей с описаловом как это сделать. Как это можно обойти?
2) B ИСА2004 сетку можно поделить на Экстернал(инет), Периметр(сайт), Интернал(домен) как это организовать в ISA2000?
Сообщений: 7
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy) Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 24 |