URL: http://www.olympos.org/article/articleprint/123/-1/12
|
MS ISA Server [Microsoft Internet Security And Acceleration Server] kurulumu
|
|
Ana sayfa
Kütüphane
Ürün dokümanları
I Giriş;
ISA Server, 2 şekilde çalışır.
1.Firewall
2.Proxy
ISA Server orta ölçekli kuruluşların networklerinde hem proxy hemde firewall u tek bir Application da barındırdığı için avantajlı gözükebilir.
ISA server 2 ölçekte karşımıza çıkmıştır.
1.Standart Edition
2.Enterprice Edition
Standart edition’ın, küçük ve orta ölçekli firmalar tarafından kullanılması önerilmektedir,Enterprice Edition ise büyük ölçekli firmalara tavsiye edilir.
ISA Server 3 modda kurulur.
+ Cache Mod [Sadece Proxy görevi görür]
+ Firewall Mod [Sadece Firewall görevi görür]
+ Integrated Mod [Hem proxy hem firewall]
Cache mod:
ör: Mesela networkdeki bir kullanıcınız www.yahoo.com adresine gidiyor, birkac dakika sonra baska bir kullanıcı aynı adrese gidiyor.Eger cache yapılıyorsa, 2. kullanıcının internete çıkmak ve yahoo.com dan istenen bilgiyi getirmesi için harcanıcak bant genişliği kullanılmamış dolayısıylada trafik yaratılmamış olur.Ama cache in bazı kuralları var,
Cache Rules
1.Transfer edilecek dosyanın boyutu degismemis ise,
2.Cache de bulunan sayfa zaman aşımına uğramadıysa [expired]
bu ve bunun gibi kurallar dahilinde cache kullanılmasında fayda vardır.
ISA Server 3 değişik chaching metodu kullanır.
1.Forward Caching
2.Reverse Caching
3.Distributed Caching [Her networkde karşılaşılabilecek chache metodu değildir.]
1 Forward Caching: Demin verdiğim örneğin bir benzeri burada da geçerlidir.Mesela kullanıcılarınız sürekli yahoo.com/index.htm e gidiyor ise o sayfa , localde [isa server üzerinde] tutularak direk localden gosterilmesi saglanır.
2 Reverse Caching: Internetteki herhangi bir client in localdeki web server’a güvenli bir şekilde erişmesini sağlar.
3 Distributed Caching: Birden fazla ISA server üzerinde yük paylaşımı yapılabilir.
Cache den bukadar bahsettikden sonra firewall a gecelim.
Firewall;
Firewall software yada hardware olarak karşımıza çıkabilir.
Yaptığı iş kısaca: Networkünüze gelen paketleri inceliyerek sizin belirttiğiniz yada default gelen ayarlara göre işleme tabi tutarlar.ISA server’ın bu manada yaptığı iş paketleri filtrelemek ve kuralları uygulamaktır.
ISA Server Firewall olarak aşağıda belirtilen özelliklere sahiptir.
+ Networkünüzü dışardan gelebilecek saldırılara karşı korur
+ Bilgilerinizin dışarıya sızdırılmasını engeller.
+ Internet kullanımını sizin belirlediğiniz kurallar çerçevesinde yönetir.
+ Internet trafigini izlemenizi sağlar.
+ Networkünüzü application layer seviyesinde korur
+ 2 ISA Server arasında VPN yapabilirsiniz. [Internette farklı uç noktalarda..]
+ IDS gibi çalışabilir [Intrusion Dedection System]
II Kurulum
Microsoft ISA Server için minimum sistem gereksinimleri,
300 Mhz Pentium ve üzeri
Windows 2000 Server / Advanced Server / Datacenter Server
256 MB Ram
20 mb Hard Disk
ve NTFS Partition öneriyor.
Bence,
Windows 2000 Server + SP2
Minimum 1 Ghz CPU
Raid Controller
512 MB Ram
3 Gb minimum Disk space
Eger Caching kullanacaksanız.
Microsoft’un önerisi
|
Kullanıcı Sayısı
|
Gerekli Bilgisayar
|
Ram
|
Disk Alanı
|
|
500 ve üzeri
|
PII bir bilgisayar
|
256
|
2-4 GB
|
|
500 - 1000
|
2 PIII- 550 CPU
|
256
|
10 Gb
|
|
1000 ve üzeri
|
2 Bilgisayar PIII 500 ve üzeri
|
256 ve üzeri
|
10 GB ve üzeri
|
|
Belirttiğim gibi ISA Server ı 3 modda kurabiliyorduk,
Caching, Firewall, Integrated.
Aşağıdaki tabloda Kuruluş aşamasında seçilen yapıya göre kullanılan özellikler belirtilmiştir.
|
Feature
|
Firewall Mode
|
Cache Mode
|
|
Erişim kuralları
|
Var
|
Var (HTTP ve HTTPS protokoller için)
|
|
Uygulama Filtreleri
|
Var
|
Yok
|
|
Cache Konfigürasyonu
|
Yok
|
Var
|
|
Enterprise policy
|
Var
|
Var
|
|
Firewall ve SecureNAT client desteği
|
Var
|
Yok
|
|
Paket Filtreleme
|
Var
|
Yok
|
|
Eş zamanlı görüntüleme
|
Var
|
Var
|
|
Raporlama
|
Var
|
Var
|
|
Server publishing
|
Var
|
Yok
|
|
VPN
|
Var
|
Yok
|
|
Web filters
|
Var
|
Var
|
|
Web yayımlama
|
Var
|
Var
|
|
Web Proxy client desteği
|
Var
|
Var
|
|
Integrated Modda kurarsanız bütün bu özellikleri kullanma şansınız var.
ISA Server aşağıdaki Client türlerini desteklemektedir.
Web Proxy clients: Bir Web Proxy client isteğini doğrudan ISA Server'a gönderir. Ancak Internet erişimi tarayıcıyla sınırlıdır. Web tarayıcısının Web Proxy olarak yapılandırılması gerekir.
SecureNAT clients: Secure Network Address Translation (SecureNAT) clientları ise güvenlik ve caching sağlarlar, ancak kullanıcı düzeyli authentication işlemine izin vermezler. Bir SecureNAT clientini yapılandırmak için client bilgisayarda ISA Server'ın IP adresi default gateway olarak girilmelidir.
Firewall clients: Firewall clientları ise kullanıcı bazında bağlantıya sahiptirler.Yapılandırmak için Firewall client programının client üzerine kurulması gerekir. ISA Server Firewall client programı yalnızca Microsoft Windows ME, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0 veya Windows 2000 olması gerekir.
ISA Server'ın yüklenmesi
A] CD yi taktıkdan ilerledikten sonra lisans anlaşması onaylanarak kuruluş şekli seçilir.
1.Typical Installation
2.Full Installation
3.Custon Installation
*ISA Server ı Cache veya Integrated Modda kuracaksanız, NTFS Partition a ihtiyacınız var demektir.
Default cache buyuklugu 100 MB, minimum cache buyuklugu 5 MB dir.
Default seçenekler için Typical Installation seçilir,
Bu ekranda Custon Installation ı seçersenız,
ISA Services
Add-in Services
Administration Tool seçeneklerinden bazilarini ekleyebilirsiniz.
B] Lat ( Local Adress Table ) yapılandırılması;
LAT adından da anlaşılacağı gibi localde kullandığınız IP adreslerinin tutulduğu tavle dır.
Kurulum sırasında LAT ı yapılandırmak için,
1."Add address ranges based on the Windows 2000 Routing Table" check box'ı ve ardından da
2.local network için Network Adapter i seçin.
3.Internal IP ranges kutusunda, IP adres aralıklarının listesini gözden geçiri gerekiyorsa düzeltmeleri yapın.
C] Firewall Clientının kurulması
Daha önce belirttiğim gibi Web Proxy Client, SecureNAT Client ve Firewall Client olarak kurabiliyorduk.
Şimdi hangisini kuracağımıza nasıl karar vereceğiz.
Burda tamamen kullanış amacınıza göre belirlenecek bir seçim söz konusu.
Sadece Caching yapılacaksa Web Proxy Client kurulmalıdır.Benim önerim Firewall client installation yapılmasıdır.
2 Avantajı vardır, Hem user bazında policy verebilirsiniz hem sadece authanticated userlar internete erişebilir.
Client programını kurmak için, client tarafından, serverda bulunan MSPINT folder ı altındaki setup ı çalıştırın.
*ISA Server ms proxy 2.0 dan upgrade i desteklemektedir, yani proxy 2.0 da tanımlanmış kurallar ISA'da sürdürülebilir.
Bir sonraki yazıda MS ISA Server'ın yönetilmesinden bahsedicem.
Melih
Xtranet