» MS ISA Server (часть 1)

Microsoft Internet Security & Acceleration Server Home - сайт производителя

- необходимо посетить начиная работу с ISA Server

IsaServer.Ru - форумы, статьи, решения

ISA на iXBT - Хобот, наш конкурент

Коллекция ссылок на статьи


[more]Продолжение шапки:

FAQ по ISA - форум на WinFAQ.com.ru

Proxy Server 2.0 и ISA 2000 - самый первый русский FAQ. Решает часть проблем.

---

Всякие приблуды для ISA Server:

http://www.isatools.org - Jim Harrison's ISA Server Tools Repository
http://www.toolzz.com/ISAToolzz.htm - Tools & Scripts
http://www.kehm.cx/ts/ - MSN Messenger, DirectPlay, eDonkey configurations for ISA Server

WrSpy для ISA - бесплатный анализатор логов

---

Статьи на русском (автоперевод, в основном, от Red Line Software):

Первое знакомство с ISA-сервером (v1.01)
Почему Вам необходима новая версия брандмауэра 2004 ISA
Открываем MSN через сервер ISA
Конфигурирование DHCP и DNS для автоматического открытия ISA
Надёжный контроль исходящего доступа с использованием ISA Firewall (2004)
Сеть за сетью (2004)
Настройка удаленного доступа к VPN серверам в каскадном режиме брандмауэра ISA
Использование Outlook 2003 с клиентом брандмауэра
Использование идентификации RADIUS с VPN сервером брандмауэра ISA (2004)
Преимущества клиента ISA 2004 Firewall
ISA/SBS: Контроль за доступом в Internet: Запрещение доступа к определенным веб-сайтам в рабочее время
Как реализовать тестовое окружение для брандмауэра ISA с помощью Virtual PC 2004
Настройка прямого доступа к сайтам: Часть 1 - Настройка прямого доступа для клиентов прокси-серверов для веб-страниц
Настройка прямого доступа к сайтам: Часть 2 - Настройка прямого доступа для клиентов брандмауэра и сценарии публикации
Конфигурирование брандмауэра ISA в качестве фильтрующего SMTP релея
Конфигурирование брандмауэра ISA в качестве выходного фильтрующего SMTP релея (Outbound Filtering SMTP Relay)
Настройка двусторонней поддержки служб межсетевой балансировки для брандмауэров ISA версии Standard Edition 2004
Системная политика и конфигурация, определяемая по умолчанию после установки брандмауэра ISA
Сравнение брандмауэра ISA с другими решениями
Настройка страницы входа в систему в ISA Server 2004 от Ладислава Солка
Экспорт SSL сертификата из IIS 6.0 и импорт в ISA Server 2004
Как сделать брандмауэр ISA таким же бестолковым, как и традиционный структурно проверяющий пакеты
Метод блокирования пользователей через MAC адрес, используя брандмауэр Sygate Personal Firewall чтобы дополнить возможности обеспечения безопасности брандмауэра ISA
Обеспечение Клиентам Outlook полного доступа повсюду, используя Secure Exchange RPC Filter (Фильтр Безопасного Обмена RPC) брандмауэра ISA
Понимание и Реализация ISA 2004 как Брандмауэра Приложений с RPC Stateful Inspection Filter
Разрешение Защищенного SSL OWA Доступа через брандмауэр ISA: Часть 1: Изучение Основ "мостовой" передачи HTTP в HTTP
Разрешение ISA 2004 Server использовать Windows Update Services (Службы Обновления Windows) от Стива Моффейта (Steve Moffat)
Понимание Connectivity Verifiers (Верификаторов Подключаемости) ISA 2004
Понимание Сетей ISA Firewall (брандмауэра ISA) (v1.1)
ISA Server 2004 Игнорирует мое Правило Web Публикации от Сантоша Симарайана (Santhosh Sivarajan)
Редактирование Системной Политики ISA Server 2004 (Часть 2)
Понимание Обработки Права Доступа ISA 2004
Реализация IPSec Site-to-Site VPN для Брандмауэров Checkpoint NG R55 и Microsoft ISA 2004 от Идана Плотника
Конфигурирование Ненадежных Беспроводных DMZ в брандмауэре ISA: Часть 1: Определение Инфраструктуры и Установка Раздельной DNS
Конфигурирование Ненадежных Беспроводных DMZ в брандмауэре ISA: Часть 2: Установка и Конфигурирование ISA Firewall
Создание Списка Запрещенных URL и Доменов, используя ISA Server 2004 от Грега Мулхолланда
Разрешение Доступа в Интернет для VPN Клиентов, подключенных к брандмауэру ISA
Как пропускать IPSec трафик через ISA сервер
Удаленный доступ VPN и Опасный Поворот Раздельного Туннелирования
Проблемы с доступом к POP3 в ISA 2000
Разрешение DHCP Ретранслятора для VPN Клиентов
Конфигурирование Брандмауэра ISA на PIX DMZ для Безопасного Удаленного Доступа к OWA и другим Службам Exchange
Удалённый доступ может быть заблокирован, и Outlook может не запускаться под Windows Server 2003 с Service Pack 1
Как записать URL и информацию о пользователе в журналах и отчетах брандмауэра ISA 2004
Безопасное размещение данных на FTP серверах за пределами брандмауэров
Конфигурирование ISA Firewall для поддержки динамических сервисов TZO DNS
Решение проблем со сценариями туннельного режима IPSec (IPSec Tunnel Mode)
Поддержка защиты сети с помощью ISA Server при использовании недопустимых имен доменов верхнего уровня: Надо разделить DNS!
Возможности использования DHCP Relay в сетях DMZ
Лучшие методы, подсказки и хитрости ISA Firewall (Часть 1)
Использование ISA-сервера для контроля сложного доступа клиентов виртуальной частной сети (VPN) (Часть 1)
Использование ISA-сервера для контроля сложного доступа клиентов виртуальной частной сети (VPN) (Часть 2)
Понимание процесса автоматической настройки Web Proxy и клиента брандмауэра в ISA Server 2004
Использование мастера настройки безопасности Windows Server 2003 для укрепления безопасности ISA Firewall
Защита Microsoft Exchange с помощью брандмауэра ISA Server 2004
Конфигурирование ISA-сервера для переадресации пользователей Outlook Web Access (OWA) на правильные папки и протоколы (Часть 1)
Конфигурирование ISA-сервера для переадресации пользователей Outlook Web Access (OWA) на правильные папки и протоколы (Часть 2)

Научитесь блокировать трафик червя Blaster при помощи Вашего ISA Server

---

Конструктивное предложение от Borgia:

Цитата:

Народ кстати может сделать этакии маленькии фак. по исе. По настроике основных вещеи. Т.к как Почта.фтп.мsn messener. icq, и тд. Может каждый напишет кратко свои рули и фильтры. Допустим сеть такая-то то-то установено. Задача доступ по фтп с клиентов на внешние фтп сервера. Создаем руль прописываем то -то и то-то. Сколько не искал на разных форумах везде как то расплывчато или чересчур коротко.

что, наверное, должно выглядеть примерно так (кстати, ещё одна полезная ссылка).

---

Для тех, кто ищет больше, возможно интересны будут разделы ISA и Traffic ... но это уже другая тема

---

Ещё одна тема по ISA вcплыла, но давайте не будем разбегаться
А здесь находится утонувший топик, не имевший успеха в том году

ПРОСЬБА

НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ, ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ ЖЕЛАЕЛЬНО РАЗВЕРНУТО И С ОБЬЯСНЕНИЯМИ Т.К. В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. [/more]

vamp

Советую этот ресурс (): http://www.winfaq.com.ru:8101/ubb/Forum9/HTML/000001.html

Стоит MS ISA + SuperScout.
Создаю новый rule: All destination; Always; Allowed; Any request; All content groups. Все остальные отключены для чистоты эксперимента.
Проверяем: открываю forum.ru-board.com -- ok
открываю www.sex.ru -- ok
На другом компьютере: На любой странице, под любым пользователем -- Access Denied!

В чем может быть дело?

vamp
Есть книга - по-моему единственная приличная - Configuring ISA Server, Шиндера, около 7 мб, англ. Могу прислать, коли надо.

За книгу буду очень благодарен.
Но мне кажется дело в SuperScout. В логах Firewallа всё чисто, а в мониторинге пользователей один и тот же рулиз мне дает доступ, а другим блокирует. Хотя, как уже говорил, стоит Allowed Any request.

Куда слать?DimKu

dimku@mail.ru

7 мегов на mail.ru???
Скинь мне плз postmaster@biz-people.ru.

Crazyman, ты прав... От жары глючу.
Лучше сюда: ved@tnnh.nkama.ru

Всем
Обмен книгами или в варезнике, или по ПМ.

Пипл подскажите никто не сталкивался с такой проблемой? при попытке подключить сервер с ИСА к консоли управления ИСА на удаленном компьютере выдает следующую ошибку:
you do not have the necessary permissions to perform this action. Failed to connect! На сервере пользователь прописан как Администратор. не подскажете что подкрутить что-бы подключить всет-ки консоль?

up

Добавлено
up

Добавлено
Пипл подскажите никто не сталкивался с такой проблемой? при попытке подключить сервер с ИСА к консоли управления ИСА на удаленном компьютере выдает следующую ошибку:
you do not have the necessary permissions to perform this action. Failed to connect! На сервере пользователь прописан как Администратор. не подскажете что подкрутить что-бы подключить всет-ки консоль?

Giperion
посмотри топик про Winroute

Добавлено
засилие крокодилов, Гы

Здесь вообще есть кто нить кто работает с MS ISA server?
постучитесь в асю 120323505, у меня фильтр для клиентского сета не работает....

DimKu
Перерестартани сервис Web proxy.

Еще вопросик:
Подскажите, как в отчетах вместо IP адресов получать имена машин (в идеале конечно юзверей, но и имена машин тоже кой-чего)?

vvas
Рестарт не помогает.
Но выяснилась еще одна особенность! Оперу SuperScout пускает, а IE не пущает. А если SuperScout отключить, то и OPERA, и IE ходят нормально.

Я так понимаю специалистов по ИСА здесь нету?

Giperion
А чем должен заниматься СуперСкаут ?

глюками он занимаитца. болие кривова сафта - паискать. если нада вести палитики доступана исе юзайте штонть типа gfi.

A_Crow

Цитата:

вместо IP адресов получать имена машин

А ты обзови каждый айпи адрес именем, если они ессесно реальные, а не динамо!

Veter
Хотя адреса и динамо, но всеравно интересно где можна обозвать IP именем.

A_Crow
Может тогда по МАК - адресу?

Veter
Хоть к чему, вопрос повторяю: КАК?

а вот вопросик: ИСА одной карточкой в инете через роутер, вторая соотв. внутренняя. Через какое-то время ( 5мин- 5дней) отказывается пускать в инет ( сам тоже не входит). Другой ПИСИ входит- значит проблема не в роутере ).
После того, как выключаю-включаю внутреннюю карточкув 80% срабатывает, только надл с самого ИСА выйти в инет, пока карточка внутренняя отключена. Иногда перезагрузка помогает. Иногда не помогает ничего, только с Ай-Пишками поиграться на карточках минут 15, и опять работает. Чтобы это значило?

Проверь следующее:
Открой Сеть и Удаленный доступ, в Меню -> Дополнительно -> Дополниетельные параметры -> Закладка Адаптеры и Привязки -> Подключения: должно быть на первом месте Локальная сеть на втором Интернет.
Посмотри таблицу маршрутизации, всё ли в порядке.
Порепетируй с метрикой интерфейсов
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{********-****-****-****-************} InterfaceMetric. Локальному поставь 2, внешнему 1.

Есть проблема такого плана.
Есть сервер с ISA. Смотрит в 2 стороны: локалка и внешний мир. На этой же машине стоит web сервер (Apache). Изнутри сети веб работает, снаружи - нет.
Дока перечитана, кажется, вся. Сделано следующее:
Incoming web request - 80 порт.
IP packet filters - 80-й порт открыт.
Web publishing rules настроил. Запрос перенаправляется на, допустим, 81 порт, там его ловит апач. Изнутри сети на 81 и на 80 порту ловит веб запросы и нормально отвечает на внешнем и на внутреннем интерфейсах.
В protocol definitions прописан 80-й порт как inbound/outbound по TCP/IP.
Весь прикол в том, что SMTP на этом сервере работает нормально - он ещё и почтовый.
Где копать?

Да, и ещё. Тому, кто ломится снаружи, выдаётся ошибка 113 (No route to host). Что-то не пойму я его, почему нет роута...

Еще вопросик! Можно ли заставить работать с исой Opera, она ругается на неизвестный метод аутентификации прокси-сервера

Теперь я про свою проблему, есть Cisco PIX, который одной карточкой смотрит в инет, другой в локалку, соответственно нужна прокся, решил поставить ИСА на машинку с 2-мя карточками, смотрящими в локалку, все хорошо, что связано с http, теперь про проблему, почему если клиента файервол ИСА ставить, то пакеты по любым портам (кроме хттп) идут от ИП адреса ИСА, а если не ставить клиента, то ИП адрес тачки, которая ломится в инет. Что надо подкрутить или вообще зря завязался на ИСА? Причем чувствую, что весь гимор из-за того, что 2 карточки в одну сеть, может быть и неправ убедите, где что подкрутить надо.

Вопрос номер раз: зачем тебе прокси если есть циско? Вопрос номер два: зачем тебе циско если нужен прокси?