» MS ISA Server (часть 1)
DP_TM
Данные правила применяются не к пользователям, а к интерфейсам.
Пример через server publishing rules
(предварительно создав в protocol definitions правило для входящего
траффика на порт 2170, назовем его,скажем, testp):
1. Публикуем pop3 для внутреннего интерфейса ISA-сервера на IP1.
2.Публикуем testp для внутреннего интерфейса ISA-сервера yf IP2.
Все.
ЗЫ: Это все, конечно, если тебе нужен доступ извне к севрисам расположенным на ISA-сервере.
Если нужен доступ извне к сервисам, расположенным на других компьютерах
локалки - прописывашь их IP вместо внутреннего интерфейса ISA.
Данные правила применяются не к пользователям, а к интерфейсам.
Пример через server publishing rules
(предварительно создав в protocol definitions правило для входящего
траффика на порт 2170, назовем его,скажем, testp):
1. Публикуем pop3 для внутреннего интерфейса ISA-сервера на IP1.
2.Публикуем testp для внутреннего интерфейса ISA-сервера yf IP2.
Все.
ЗЫ: Это все, конечно, если тебе нужен доступ извне к севрисам расположенным на ISA-сервере.
Если нужен доступ извне к сервисам, расположенным на других компьютерах
локалки - прописывашь их IP вместо внутреннего интерфейса ISA.
Для фильтрации трафика использовал и использую SurfControl Web Filter 4.5 SP1.
Достали глюки, что можно посмотреть еще с похожей функциональностью?
Достали глюки, что можно посмотреть еще с похожей функциональностью?
DarthVader
Посмотри в направлении:
BtISAFilter,
TrafficFilter,
Total Traffic Control.
Можно еще использовать логи в mssql+скрипты.
Посмотри в направлении:
BtISAFilter,
TrafficFilter,
Total Traffic Control.
Можно еще использовать логи в mssql+скрипты.
Народ, не подскажите что за бадяга....Пытаюсь восстановаить бэкап, а мне выдается такое вот сообщение об ошибке....
--------------------
The array configuration cannot be restored since there is a mismatch between the current array configuration and the restored array configuration
--------------------
--------------------
The array configuration cannot be restored since there is a mismatch between the current array configuration and the restored array configuration
--------------------
Klisha
или http://citrix.pp.ru/faqs/faq13.html
to ALL
Есть такая задача -
опубликовать несколько серверов, использующих один и тот же порт, на одном ISA-сервере с одним внешним IP, т.е. трансляция должна выглядеть примерно так:
Direction Protocol From Address From Port To Address To Port
Inbound TCP 208.1.1.1 4001 10.1.1.1 1234
Inbound TCP 208.1.1.1 4002 10.1.1.2 1234
Inbound TCP 208.1.1.1 4003 10.1.1.3 1234
Как этого добиться?
или http://citrix.pp.ru/faqs/faq13.html
to ALL
Есть такая задача -
опубликовать несколько серверов, использующих один и тот же порт, на одном ISA-сервере с одним внешним IP, т.е. трансляция должна выглядеть примерно так:
Direction Protocol From Address From Port To Address To Port
Inbound TCP 208.1.1.1 4001 10.1.1.1 1234
Inbound TCP 208.1.1.1 4002 10.1.1.2 1234
Inbound TCP 208.1.1.1 4003 10.1.1.3 1234
Как этого добиться?
Dymond
IP Packet Filters
IP Packet Filters
JcVai
Я, наверное, непонятно объяснил....
Цитата:
Что-то не припоминаю в фильтрах пакетов возможности указать определенный внутренний IP.
Я, наверное, непонятно объяснил....
Цитата:
опубликовать несколько серверов, использующих один и тот же порт
Что-то не припоминаю в фильтрах пакетов возможности указать определенный внутренний IP.
Антивирусы для ISA, в связи с акутальностью вирусных эпидемий.
Основные игроки представлены здесь: _http://www.isaserver.org/software/ISA/Anti_Virus/
Можно выделить основные протоколы, которые контролируются: HTTP, FTP, FTP over HTTP, SMTP
Интересует именно комплексная защита, то есть поддержка всех перечисленных протоколов. SMTP поддерживают Symantec AntiVirus for ISA Server и Panda ISA Secure Antivirus. Вопрос проверяется ли в них почтовый тарфик по POP и IMAP протоколам?
GFI DownloadSecurity for ISA Server, _http://www.gfi.com/dsec/
по отзывам все в основном хвалят как быстрый и простой способ проверять трафик, есть награды, работает под 2003 Server, тестируется под ISA 2004, поддержка массивов, но вроде как нет поддержки SMTP, сам не проверял
AVP for ISA, _www.avp.ru/buyonline.html?info=144640373
довелось опробовать в период тестирования, недостатки которые были выявлены (может уже их исправили - не проверял):
1. при обновлении баз через саму же ISA НЕ была реализована Digests авторизация, только BASIC, по этому возникали проблемы с обновлениями.
2. НЕ поддерживается 2003 Server, работа с массивами серверов, нет информации о ISA 2004.
3. по заявлением разработчиков поддержка SMTP планируется в будущем (только непонятно когда, так как у них есть продукт под SMTP шлюзы, чтобы не конкурировать)
Вообще теставая эксплуатация показала достаточную стабильность и высокую степень защиты, неокторые проблемы при установке (если вы используете дополнительный софт в ISA, типа SurfControl), возможен заказ триального ключа для тестрования
Symantec AntiVirus for ISA, _enterprisesecurity.symantec.com/products/products.cfm?ProductID=167&EID=0
самый навороченный и продвинутый продукт - HTTP, FTP over HTTP, SMTP, можно получить демо лицензию. Около года назад пробовал поэксперементировать, scan engine может быть установлена на отдельную машину (я ставил на одну с ISA), KAV работал намного стабильней, SAV тормозил сервак, периодически полностью парализую работу сервера - нужно опробовать новую версию, хотя судя по комментариям пользователей в корне ничего не изменилось.
Panda ISASecure Antivirus, _www.pandasoftware.com/products/isa/
не тестировал, HTTP и SMTP
TrendMicro InterScan WebProtect for ISA, _www.trendmicro.com/en/products/gateway/iswp-isa/evaluate/overview.htm
не тестировал, HTTP
В среднем ценовая политика примерно одинаковая.
Интересует реальный опыт эксплуатации (продукт, преимущества и недостатки).
Основные игроки представлены здесь: _http://www.isaserver.org/software/ISA/Anti_Virus/
Можно выделить основные протоколы, которые контролируются: HTTP, FTP, FTP over HTTP, SMTP
Интересует именно комплексная защита, то есть поддержка всех перечисленных протоколов. SMTP поддерживают Symantec AntiVirus for ISA Server и Panda ISA Secure Antivirus. Вопрос проверяется ли в них почтовый тарфик по POP и IMAP протоколам?
GFI DownloadSecurity for ISA Server, _http://www.gfi.com/dsec/
по отзывам все в основном хвалят как быстрый и простой способ проверять трафик, есть награды, работает под 2003 Server, тестируется под ISA 2004, поддержка массивов, но вроде как нет поддержки SMTP, сам не проверял
AVP for ISA, _www.avp.ru/buyonline.html?info=144640373
довелось опробовать в период тестирования, недостатки которые были выявлены (может уже их исправили - не проверял):
1. при обновлении баз через саму же ISA НЕ была реализована Digests авторизация, только BASIC, по этому возникали проблемы с обновлениями.
2. НЕ поддерживается 2003 Server, работа с массивами серверов, нет информации о ISA 2004.
3. по заявлением разработчиков поддержка SMTP планируется в будущем (только непонятно когда, так как у них есть продукт под SMTP шлюзы, чтобы не конкурировать)
Вообще теставая эксплуатация показала достаточную стабильность и высокую степень защиты, неокторые проблемы при установке (если вы используете дополнительный софт в ISA, типа SurfControl), возможен заказ триального ключа для тестрования
Symantec AntiVirus for ISA, _enterprisesecurity.symantec.com/products/products.cfm?ProductID=167&EID=0
самый навороченный и продвинутый продукт - HTTP, FTP over HTTP, SMTP, можно получить демо лицензию. Около года назад пробовал поэксперементировать, scan engine может быть установлена на отдельную машину (я ставил на одну с ISA), KAV работал намного стабильней, SAV тормозил сервак, периодически полностью парализую работу сервера - нужно опробовать новую версию, хотя судя по комментариям пользователей в корне ничего не изменилось.
Panda ISASecure Antivirus, _www.pandasoftware.com/products/isa/
не тестировал, HTTP и SMTP
TrendMicro InterScan WebProtect for ISA, _www.trendmicro.com/en/products/gateway/iswp-isa/evaluate/overview.htm
не тестировал, HTTP
В среднем ценовая политика примерно одинаковая.
Интересует реальный опыт эксплуатации (продукт, преимущества и недостатки).
ИМХО, ставить антивирус на ISA не рационально. Целесообразнее установить антивирусную защиту на рабочих станциях. Антивирус на ISA не спасет от вируса на дискетке или из распакованного архива и лишь добавит ненужные тормоза в трафик. При локальном варианте перехватка вирусов будет осуществляться не хуже, начиная с темпорари файлов. Остается только следить за обновлениями вирусных баз. Если не прав - поправьте, с интересом выслушаю.
Как на меня антивирусная защита малых и средних компаний должна выглядеть следующим образом:
1. Устанавливается антивирус-апдейтер - (ни в коем случае не полный антивирус с мониторингом и т.д.) который апдейтит базы раз в час в случае с АВП и раз в три часа в случае с нортоном и др.вебом (с другими дела не имел, и ничего не могу сказать о обновлении баз), папка в которую апдейт скаладывается - делается корнем ФТП-ника.
2. Далее с этого фтп-ника апдейтятся локальные компы, тоже по расписанию, на полчаса позже чем основной, это позволяет поддердивать свежие базы на локальных компах. Антивируснкии и будут отлавливать вирусы в файлах пользователей.
3. Антифирус на сервере - это крайность тормоза и вообще не нужно. Проведите експеримент - на сервере запустите дефрагментацию - и проверьте на сколько упала скорость при отрпавке почты локальным клиентом. Конечно дефрагментация это жестко, но зато мы приблизительно моделируем условия и нагрузку при проверке файлов антивирусом на сервере.
4. Схема Апдейт сервера--апдейт клиентов, мониторинг только локальных компов - работает уже несолько лет моего опыта админства. Везде.
в мою сеть прорвалось меньше 5 вирусов за 1,5 года. Из-за запустивших вирусы пользователей, когда базы ещещ не имели подписи на этот вирус.
1. Устанавливается антивирус-апдейтер - (ни в коем случае не полный антивирус с мониторингом и т.д.) который апдейтит базы раз в час в случае с АВП и раз в три часа в случае с нортоном и др.вебом (с другими дела не имел, и ничего не могу сказать о обновлении баз), папка в которую апдейт скаладывается - делается корнем ФТП-ника.
2. Далее с этого фтп-ника апдейтятся локальные компы, тоже по расписанию, на полчаса позже чем основной, это позволяет поддердивать свежие базы на локальных компах. Антивируснкии и будут отлавливать вирусы в файлах пользователей.
3. Антифирус на сервере - это крайность тормоза и вообще не нужно. Проведите експеримент - на сервере запустите дефрагментацию - и проверьте на сколько упала скорость при отрпавке почты локальным клиентом. Конечно дефрагментация это жестко, но зато мы приблизительно моделируем условия и нагрузку при проверке файлов антивирусом на сервере.
4. Схема Апдейт сервера--апдейт клиентов, мониторинг только локальных компов - работает уже несолько лет моего опыта админства. Везде.
в мою сеть прорвалось меньше 5 вирусов за 1,5 года. Из-за запустивших вирусы пользователей, когда базы ещещ не имели подписи на этот вирус. Современная Антивирсуная защита - это комплекс средств по предотвращению заражением всякой заразы. Источники могуть быть получены как локально (CD, дискеты), так и по сети (локальные сети, глобальные - веб, мыло).
Так специалисты антивирусных компаний выделяют следующие уровни защиты (для зарабатывания денег):
Layered protection strategy for corporate environments
Panda ISASecure Antivirus provides perimeter protection for Internet use
1st. defense line: Panda Antivirus GateDefender
Perimeter antivirus layer for the CVP-firewall
Perimeter antivirus layer for Internet proxies
Perimeter antivirus layer for SMTP gateways
Antivirus layer for messaging servers/groupware
Antivirus layer for file servers
Antivirus & anti-malware layer for workstations
По-моему мнению, лучше оградить ПК от лишней угрозы еще не прокси, ибо локальный ативирус может: быть выключен, не обновляться, работать со сбоем, выгружен вирусами и т.д.
Стоят AVP для Server и не особо тормозят, AVP так же развернут на локальных ПК.
Так специалисты антивирусных компаний выделяют следующие уровни защиты (для зарабатывания денег):
Layered protection strategy for corporate environments
Panda ISASecure Antivirus provides perimeter protection for Internet use
1st. defense line: Panda Antivirus GateDefender
Perimeter antivirus layer for the CVP-firewall
Perimeter antivirus layer for Internet proxies
Perimeter antivirus layer for SMTP gateways
Antivirus layer for messaging servers/groupware
Antivirus layer for file servers
Antivirus & anti-malware layer for workstations
По-моему мнению, лучше оградить ПК от лишней угрозы еще не прокси, ибо локальный ативирус может: быть выключен, не обновляться, работать со сбоем, выгружен вирусами и т.д.
Стоят AVP для Server и не особо тормозят, AVP так же развернут на локальных ПК.
abzac - у меня тысячи пользователей и вопрос защиты сети довольно актуален. После нескольких пров я раз и навсегда перестал пробовать ставить антивирус на исе2000. Возможно когда будет переход на 2004 я попробую еще раз. Сейчас нет.
Корпоративный нортон на всех клиентах. Апдейт дважды в день с локального сервера. Почтовый сервер защищен отдельно.
Корпоративный нортон на всех клиентах. Апдейт дважды в день с локального сервера. Почтовый сервер защищен отдельно.
Так, что получается никто серьезно этим не занимается? Или продукты достаточно новые и реально никто их не поиспользовать не успел?
Если используете или когда то был такой опыт - черканите название продукта и ваши впечатления - всем будет интересно.
Если используете или когда то был такой опыт - черканите название продукта и ваши впечатления - всем будет интересно.
abzac
По своему опыту могу сказать, что наименее вероятно заражение из-за отсутствия антивируса на исе. GFI - редкостная дрянь, все остальное (пробовал symantec и trendmicro) мне также не понравилось. SAV сервер/клиент + антивирусник на почтовике + для особо подозрительных какая-то IDS (у меня blackice) - imho полне хватит. В общем, полностью солидарен с kibkalo
По своему опыту могу сказать, что наименее вероятно заражение из-за отсутствия антивируса на исе. GFI - редкостная дрянь, все остальное (пробовал symantec и trendmicro) мне также не понравилось. SAV сервер/клиент + антивирусник на почтовике + для особо подозрительных какая-то IDS (у меня blackice) - imho полне хватит. В общем, полностью солидарен с kibkalo
Dymond
Смотри внимательней: в свойствах конкретного правила вкладку local computer.
abzac
Я использовал TrendMicro: качество отлова вирусов превосходное - рубил даже подозрительные JS-скрипты, но когда в инет начинает ломиться толпа народа - сервер
может не справляться, в результате чего заметно возрастает время отклика.
Т.о. сейчас на ISA-сервера антивирус ставлю только обычный серверный,
а трафик на вирусы проверяется уже на конечных рабочих станциях/серверах.
Так что основной упор - на количество пользователей: если у тебя "слабый" сервер и держит более 100 одновременных подключений, то комфортную работу получить со включенным антивирусом довольно проблематично.
PS: На "особо одаренные" клиентские станции можно поставить GeCAD Antivirus -
красиво проверяет файлы еще на этапе закачки, но это уже оффтоп...
Смотри внимательней: в свойствах конкретного правила вкладку local computer.
abzac
Я использовал TrendMicro: качество отлова вирусов превосходное - рубил даже подозрительные JS-скрипты, но когда в инет начинает ломиться толпа народа - сервер
может не справляться, в результате чего заметно возрастает время отклика.
Т.о. сейчас на ISA-сервера антивирус ставлю только обычный серверный,
а трафик на вирусы проверяется уже на конечных рабочих станциях/серверах.
Так что основной упор - на количество пользователей: если у тебя "слабый" сервер и держит более 100 одновременных подключений, то комфортную работу получить со включенным антивирусом довольно проблематично.
PS: На "особо одаренные" клиентские станции можно поставить GeCAD Antivirus -
красиво проверяет файлы еще на этапе закачки, но это уже оффтоп...
В настройках исы, создал destination "city", в него поместил список сетей куда можно ходить пользователям.
Осталась задача такая:
Мне нужно чтобы пользователи так же могли пользоваться icq и mirc.
Понятно, что нужно открыть порты (по умолчанию открыты), создать ещё один destination.... но вот как раз в этом и проблема... я не знаю список сетей какой включить в этот дестэнэйшен. Может что знает для этих двух служб список этот?
Осталась задача такая:
Мне нужно чтобы пользователи так же могли пользоваться icq и mirc.
Понятно, что нужно открыть порты (по умолчанию открыты), создать ещё один destination.... но вот как раз в этом и проблема... я не знаю список сетей какой включить в этот дестэнэйшен. Может что знает для этих двух служб список этот?
Cuba - для ICQ и MSN нужно открыть диапазоны 205.188.1.1 - 205.188.255.255 + 64.12.1.1 - 64.12.255.255 + 64.4.0.0 - 64.4.63.255
Для mIRC ты такого не сделаешь - каждой сети нужен свой диапазон.
Для mIRC ты такого не сделаешь - каждой сети нужен свой диапазон.
kibkalo
Цитата:
Спасибо, большое спасибо.
З.Ы. как узнать диапазон нужной мне сети mirc ?
Цитата:
Cuba - для ICQ и MSN нужно открыть диапазоны 205.188.1.1 - 205.188.255.255 + 64.12.1.1 - 64.12.255.255 + 64.4.0.0 - 64.4.63.255
Для mIRC ты такого не сделаешь - каждой сети нужен свой диапазон.
Спасибо, большое спасибо.
З.Ы. как узнать диапазон нужной мне сети mirc ?
Вопрос по логам ISA Server'а:
Почему в логах периодически появляются записи от пользователя anonymous?
И почему ему всё-таки предоставляется доступ, если я правилами четко указал группу пользователей, имеющих доступ.
Почему в логах периодически появляются записи от пользователя anonymous?
И почему ему всё-таки предоставляется доступ, если я правилами четко указал группу пользователей, имеющих доступ.
Cuba - у каждой ирк сети есть вебсайт. там обычно есть список (не диапазон) IP
Ну или лезь в мирк, смотри списки и ping тебе в помощь
DarthVader - это нормально. Допустим, юзер DarthVader авторизовался на каком-то ПК домена, открыл ИЕ, получил доступ к каким-то сайтам. Через некоторое время твой TGT экспайерится, иса в логах пишет что ты анонимус, но если ты не закрывал окно браузера, то доступ имеешь. Большинство анализаторов логов (www.internetaccessmonitor.ru) знают это и вместо анонимного подставляют имя того пользователя, кто последним с этого IP имел доступ. (в рамках разумного конечно)
Ну или лезь в мирк, смотри списки и ping тебе в помощь
DarthVader - это нормально. Допустим, юзер DarthVader авторизовался на каком-то ПК домена, открыл ИЕ, получил доступ к каким-то сайтам. Через некоторое время твой TGT экспайерится, иса в логах пишет что ты анонимус, но если ты не закрывал окно браузера, то доступ имеешь. Большинство анализаторов логов (www.internetaccessmonitor.ru) знают это и вместо анонимного подставляют имя того пользователя, кто последним с этого IP имел доступ. (в рамках разумного конечно
) kibkalo
Цитата:
Спасибо, понял.
Цитата:
Cuba - у каждой ирк сети есть вебсайт. там обычно есть список (не диапазон) IP
Ну или лезь в мирк, смотри списки и ping тебе в помощь
Спасибо, понял.
kibkalo
Не вводи человека в заблуждение, никакие TGT (че эта?) не экспайерится, бред сивой кобылы, под анонимусом дальше исы никто не пройдет! В подтверждение этому сравни трафик провайдера и свой предоставляемый ISA за вычетом анонимусов - они будут приблизительно равны. Так что не парьтесь с анонимусами, на них можно забить.
Не вводи человека в заблуждение, никакие TGT (че эта?) не экспайерится, бред сивой кобылы, под анонимусом дальше исы никто не пройдет! В подтверждение этому сравни трафик провайдера и свой предоставляемый ISA за вычетом анонимусов - они будут приблизительно равны. Так что не парьтесь с анонимусами, на них можно забить.
Цитата:
Не вводи человека в заблуждение
В итого: как убрать из логов anonymous?
DarthVader
Смотря где у тебя логи. Если в базе Access или SQL или вроде того, то элементарным запросом на удаление. Если в тексте то прогу надо писать. А вообще повремени с удалением пару деньков, может народ еще что скажет по анонимусам. Может статься что у тебя все же разрешен анонимный доступ.
Смотря где у тебя логи. Если в базе Access или SQL или вроде того, то элементарным запросом на удаление. Если в тексте то прогу надо писать. А вообще повремени с удалением пару деньков, может народ еще что скажет по анонимусам. Может статься что у тебя все же разрешен анонимный доступ.
Pantalone
Логи простым текстом
Логи простым текстом
Internet Access Monitor работает с анонимами по нескольким схемам
Вопрос - есть ли возможность в ISA ограничить размер скачиваемых файлов?
Вопрос - есть ли возможность в ISA ограничить размер скачиваемых файлов?
abzac
Средствами самой ISA - нет...
Но, вроде как, GFI DownloadSecurity это умеет.
Средствами самой ISA - нет...
Но, вроде как, GFI DownloadSecurity это умеет.
JcVai
Цитата:
Т.е. можно указать для конкретного destination'a что качать более 1 метра файл нельзя?
Или ты не знаешь? Так-то вопрос актуален.... хм...
Цитата:
Но, вроде как, GFI DownloadSecurity это умеет.
Т.е. можно указать для конкретного destination'a что качать более 1 метра файл нельзя?
Или ты не знаешь? Так-то вопрос актуален.... хм...
JcVai
это MS специально так сделала что ли? А в ISA 2004 как с этим дела?
это MS специально так сделала что ли? А в ISA 2004 как с этим дела?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: Всё о DNS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.