|
|
MS ISA Server [Microsoft Internet Security And Acceleration Server] kurulumu
|
|
|
Ana sayfa
Kütüphane
Ürün dokümanları
I Giriş;
ISA Server, 2 şekilde çalışır.
1.Firewall
2.Proxy
ISA Server orta ölçekli kuruluşların networklerinde hem proxy hemde firewall u tek bir Application da barındırdığı için avantajlı gözükebilir.
ISA server 2 ölçekte karşımıza çıkmıştır.
1.Standart Edition
2.Enterprice Edition
Standart edition’ın, küçük ve orta ölçekli firmalar tarafından kullanılması önerilmektedir,Enterprice Edition ise büyük ölçekli firmalara tavsiye edilir.
ISA Server 3 modda kurulur.
+ Cache Mod [Sadece Proxy görevi görür]
+ Firewall Mod [Sadece Firewall görevi görür]
+ Integrated Mod [Hem proxy hem firewall]
Cache mod:
ör: Mesela networkdeki bir kullanıcınız www.yahoo.com adresine gidiyor, birkac dakika sonra baska bir kullanıcı aynı adrese gidiyor.Eger cache yapılıyorsa, 2. kullanıcının internete çıkmak ve yahoo.com dan istenen bilgiyi getirmesi için harcanıcak bant genişliği kullanılmamış dolayısıylada trafik yaratılmamış olur.Ama cache in bazı kuralları var,
Cache Rules
1.Transfer edilecek dosyanın boyutu degismemis ise,
2.Cache de bulunan sayfa zaman aşımına uğramadıysa [expired]
bu ve bunun gibi kurallar dahilinde cache kullanılmasında fayda vardır.
ISA Server 3 değişik chaching metodu kullanır.
1.Forward Caching
2.Reverse Caching
3.Distributed Caching [Her networkde karşılaşılabilecek chache metodu değildir.]
1 Forward Caching: Demin verdiğim örneğin bir benzeri burada da geçerlidir.Mesela kullanıcılarınız sürekli yahoo.com/index.htm e gidiyor ise o sayfa , localde [isa server üzerinde] tutularak direk localden gosterilmesi saglanır.
2 Reverse Caching: Internetteki herhangi bir client in localdeki web server’a güvenli bir şekilde erişmesini sağlar.
3 Distributed Caching: Birden fazla ISA server üzerinde yük paylaşımı yapılabilir.
Cache den bukadar bahsettikden sonra firewall a gecelim.
Firewall;
Firewall software yada hardware olarak karşımıza çıkabilir.
Yaptığı iş kısaca: Networkünüze gelen paketleri inceliyerek sizin belirttiğiniz yada default gelen ayarlara göre işleme tabi tutarlar.ISA server’ın bu manada yaptığı iş paketleri filtrelemek ve kuralları uygulamaktır.
ISA Server Firewall olarak aşağıda belirtilen özelliklere sahiptir.
+ Networkünüzü dışardan gelebilecek saldırılara karşı korur
+ Bilgilerinizin dışarıya sızdırılmasını engeller.
+ Internet kullanımını sizin belirlediğiniz kurallar çerçevesinde yönetir.
+ Internet trafigini izlemenizi sağlar.
+ Networkünüzü application layer seviyesinde korur
+ 2 ISA Server arasında VPN yapabilirsiniz. [Internette farklı uç noktalarda..]
+ IDS gibi çalışabilir [Intrusion Dedection System]
II Kurulum
Microsoft ISA Server için minimum sistem gereksinimleri,
300 Mhz Pentium ve üzeri
Windows 2000 Server / Advanced Server / Datacenter Server
256 MB Ram
20 mb Hard Disk
ve NTFS Partition öneriyor.
Bence,
Windows 2000 Server + SP2
Minimum 1 Ghz CPU
Raid Controller
512 MB Ram
3 Gb minimum Disk space
Eger Caching kullanacaksanız.
Microsoft’un önerisi
|
Kullanıcı Sayısı
|
Gerekli Bilgisayar
|
Ram
|
Disk Alanı
|
|
500 ve üzeri
|
PII bir bilgisayar
|
256
|
2-4 GB
|
|
500 - 1000
|
2 PIII- 550 CPU
|
256
|
10 Gb
|
|
1000 ve üzeri
|
2 Bilgisayar PIII 500 ve üzeri
|
256 ve üzeri
|
10 GB ve üzeri
|
|
Belirttiğim gibi ISA Server ı 3 modda kurabiliyorduk,
Caching, Firewall, Integrated.
Aşağıdaki tabloda Kuruluş aşamasında seçilen yapıya göre kullanılan özellikler belirtilmiştir.
|
Feature
|
Firewall Mode
|
Cache Mode
|
|
Erişim kuralları
|
Var
|
Var (HTTP ve HTTPS protokoller için)
|
|
Uygulama Filtreleri
|
Var
|
Yok
|
|
Cache Konfigürasyonu
|
Yok
|
Var
|
|
Enterprise policy
|
Var
|
Var
|
|
Firewall ve SecureNAT client desteği
|
Var
|
Yok
|
|
Paket Filtreleme
|
Var
|
Yok
|
|
Eş zamanlı görüntüleme
|
Var
|
Var
|
|
Raporlama
|
Var
|
Var
|
|
Server publishing
|
Var
|
Yok
|
|
VPN
|
Var
|
Yok
|
|
Web filters
|
Var
|
Var
|
|
Web yayımlama
|
Var
|
Var
|
|
Web Proxy client desteği
|
Var
|
Var
|
|
Integrated Modda kurarsanız bütün bu özellikleri kullanma şansınız var.
ISA Server aşağıdaki Client türlerini desteklemektedir.
Web Proxy clients: Bir Web Proxy client isteğini doğrudan ISA Server'a gönderir. Ancak Internet erişimi tarayıcıyla sınırlıdır. Web tarayıcısının Web Proxy olarak yapılandırılması gerekir.
SecureNAT clients: Secure Network Address Translation (SecureNAT) clientları ise güvenlik ve caching sağlarlar, ancak kullanıcı düzeyli authentication işlemine izin vermezler. Bir SecureNAT clientini yapılandırmak için client bilgisayarda ISA Server'ın IP adresi default gateway olarak girilmelidir.
Firewall clients: Firewall clientları ise kullanıcı bazında bağlantıya sahiptirler.Yapılandırmak için Firewall client programının client üzerine kurulması gerekir. ISA Server Firewall client programı yalnızca Microsoft Windows ME, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0 veya Windows 2000 olması gerekir.
ISA Server'ın yüklenmesi
A] CD yi taktıkdan ilerledikten sonra lisans anlaşması onaylanarak kuruluş şekli seçilir.
1.Typical Installation
2.Full Installation
3.Custon Installation
*ISA Server ı Cache veya Integrated Modda kuracaksanız, NTFS Partition a ihtiyacınız var demektir.
Default cache buyuklugu 100 MB, minimum cache buyuklugu 5 MB dir.
Default seçenekler için Typical Installation seçilir,
Bu ekranda Custon Installation ı seçersenız,
ISA Services
Add-in Services
Administration Tool seçeneklerinden bazilarini ekleyebilirsiniz.
B] Lat ( Local Adress Table ) yapılandırılması;
LAT adından da anlaşılacağı gibi localde kullandığınız IP adreslerinin tutulduğu tavle dır.
Kurulum sırasında LAT ı yapılandırmak için,
1."Add address ranges based on the Windows 2000 Routing Table" check box'ı ve ardından da
2.local network için Network Adapter i seçin.
3.Internal IP ranges kutusunda, IP adres aralıklarının listesini gözden geçiri gerekiyorsa düzeltmeleri yapın.
C] Firewall Clientının kurulması
Daha önce belirttiğim gibi Web Proxy Client, SecureNAT Client ve Firewall Client olarak kurabiliyorduk.
Şimdi hangisini kuracağımıza nasıl karar vereceğiz.
Burda tamamen kullanış amacınıza göre belirlenecek bir seçim söz konusu.
Sadece Caching yapılacaksa Web Proxy Client kurulmalıdır.Benim önerim Firewall client installation yapılmasıdır.
2 Avantajı vardır, Hem user bazında policy verebilirsiniz hem sadece authanticated userlar internete erişebilir.
Client programını kurmak için, client tarafından, serverda bulunan MSPINT folder ı altındaki setup ı çalıştırın.
*ISA Server ms proxy 2.0 dan upgrade i desteklemektedir, yani proxy 2.0 da tanımlanmış kurallar ISA'da sürdürülebilir.
Bir sonraki yazıda MS ISA Server'ın yönetilmesinden bahsedicem.
Melih
Xtranet
|
| Yazıcı-uyumlu sayfa
| Bu makaleyi arkadaşına gönder |
©2007 Olympos Security Güvenlik Portalı - Bilgi Güvenliği Rehberiniz
Yorum listesi
| Konu: |
Yazar: |
Zaman: |
|
|
BORA KAYHAN
|
27.10.2004 15:39
|
|
Çalıştığım işyerinde yaklaşık 3 hafta önce çöken eski server yerine yeni ISA server kurarak sorunu çözmeye çalıştık. Buraya kadar herşey normal ancak eskiden statik olan IP ler yerine otomatik Ip alacak şekilde yapılandırmaya gittik. (Teknik servis açısından kolaylıklar olacağını düşünerek) . Bu arada client lerin tamamı winxp Pro Service Pack 2 ler yüklü . Makinaların açılış sırasında Logon olma problemleri yok.
Şimdi ;
Sorun 1 : Clientlerin hemen hemen % 75'i internete çıkamıyor. artı mesela bugün internete çıkamayan makina ertesi gün internete çıkabiliyor ama onun yerine bir gün önce bağlantı problemi yaşamayan makina bağlanamıyor. Kullanıcının grubunu (ISA üzerinden) değiştirdiğimde de sorun düzelmiyor.
Sorun 2 : Satik Ip den otomatik Ip ye geçtikten sonra tüm XP lerin kullanıcı masaüstleri ve kullanıcı bilgileri kayboldu . Tüm makinaları tek tek tekrar ayarlamak zorunda kaldık .
Sorunlar hakkında geniş bilgi almak ve sorunu çözmak için yardımcı olacak arkadaşların maillerini bekliyorum .Borakayhan@yahoo.com
|
|
|
önder önder
|
01.10.2004 13:40
|
|
ISA SERVER da kullanıcıların internette girerken kaç kb lık veri alış veişi yaptığını görebilirmiyiz.
(Problemimiz : internet hattımızda zaman zaman yavaşlama var bunun sebebi kullanıcıların intçıkarken her hangi bir dosyayı download ettiğini düşünüyoruz. Bu yüzden isa server da bu işlemi yaparmı? yaparsa nasıl?.. bilgilendirirseniz sevinirim
|
|
|
Nevzat Arslanyilmaz
|
26.12.2005 20:15
|
|
>
> ISA SERVER da kullanıcıların internette girerken kaç kb lık
> veri alış veişi yaptığını görebilirmiyiz.
>
> (Problemimiz : internet hattımızda zaman zaman yavaşlama
> var bunun sebebi kullanıcıların intçıkarken her hangi bir
> dosyayı download ettiğini düşünüyoruz. Bu yüzden isa server
> da bu işlemi yaparmı? yaparsa nasıl?.. bilgilendirirseniz
> sevinirim
|
|
|
SENER KOLEMEN
|
13.09.2004 11:44
|
|
IYI GUNLER.
WINDOWS 2000 SERVER UMDA ISA MANAGEMENT KULLANIYORUM.
BAZI SAYFALARI YASAKLAMAK ISTIYORUM FAKAT YASAKLAMAK ISTEDIGIM SAYFANIN TAT ADINI DEGIL BAZI HARFLERINI YAZINCA YASAKLANMASINI ISTIYORUM.
ORNEGIN *.PLAYBOY.COM YAZINCA BU ADRES YASAKLANIYOR AMA BENIM ISTEDIGIM *.*BOY.COM YAZIP YASAKLAMA YAPABILMEK.
SIMDIDEN YARDIMLARINIZ ICIN TESEKKURLER
|
|
|
bora bas
|
01.11.2004 12:46
|
|
>
> IYI GUNLER.
> WINDOWS 2000 SERVER UMDA ISA MANAGEMENT KULLANIYORUM.
> BAZI SAYFALARI YASAKLAMAK ISTIYORUM FAKAT YASAKLAMAK
> ISTEDIGIM SAYFANIN TAT ADINI DEGIL BAZI HARFLERINI YAZINCA
> YASAKLANMASINI ISTIYORUM.
> ORNEGIN *.PLAYBOY.COM YAZINCA BU ADRES YASAKLANIYOR
> AMA BENIM ISTEDIGIM *.*BOY.COM YAZIP YASAKLAMA YAPABILMEK.
>
> SIMDIDEN YARDIMLARINIZ ICIN TESEKKURLER
>
|
|
|
TARIK FEVZI KARATAY
|
21.06.2006 17:34
|
|
> >
> > IYI GUNLER.
> > WINDOWS 2000 SERVER UMDA ISA MANAGEMENT
> KULLANIYORUM.
> > BAZI SAYFALARI YASAKLAMAK ISTIYORUM FAKAT YASAKLAMAK
> > ISTEDIGIM SAYFANIN TAT ADINI DEGIL BAZI HARFLERINI
> YAZINCA
> > YASAKLANMASINI ISTIYORUM.
> > ORNEGIN *.PLAYBOY.COM YAZINCA BU ADRES
> YASAKLANIYOR
> > AMA BENIM ISTEDIGIM *.*BOY.COM YAZIP YASAKLAMA
> YAPABILMEK.
> >
> > SIMDIDEN YARDIMLARINIZ ICIN TESEKKURLER
> >
>
|
|
|
Serkan Konak
|
13.03.2004 12:49
|
|
SERVER:2000 SERVER
CLIENTLER:2000 PRO
INTERNET MAKINE:XP PRO
SERVER'DAN XP'YE YOL:SERVER->SWİTCH->HUB->XP+APACHE ADSL MODEM.
yorumdan cok yardım istegim olacak.ISA deticated olarak tanımlı.firewall client ler kurulu configiration lar gerektiği gibi yapılı.Ancak baglantıyı bir türlü dagıtamıyorum.Policy ler tam yetki tum trafige acık.192.168.0.0 server ın subnetmask ı .192.168.1.0 apache modemin.Modem uzerinde de dhcp yi hem acıkken hem kapalıyken denemeler yaptım baglantı var goruldugu halde gerceklesmiyor.yardımcı olursanız sevinirim.
|
|
|
|
