Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Microsoft ISA Server 2006/2004/2000 (Часть II)

Автор: emx
Дата сообщения: 28.02.2006 15:31
<<< Предыдущая часть этой темы

Microsoft Internet Security & Acceleration Server - сайт производителя

- необходимо посетить, начиная работу с ISA Server

IsaServer.Ru - форумы, статьи, решения

ISA на iXBT - Хобот, наш конкурент

Коллекция ссылок на статьи


[more=продолжение шапки..]

FAQ по ISA - форум на WinFAQ.com.ru

Proxy Server 2.0 и ISA 2000 - самый первый русский FAQ. Решает часть проблем.



Всякие приблуды для ISA Server:

http://www.isatools.org - Jim Harrison's ISA Server Tools Repository
http://www.toolzz.com - Tools & Scripts
http://www.kehm.cx/ts/ - MSN Messenger, DirectPlay, eDonkey configurations for ISA Server

WrSpy для ISA - бесплатный анализатор логов


Статьи на русском (автоперевод, в основном, от Red Line Software):

Первое знакомство с ISA-сервером (v1.01)
Почему Вам необходима новая версия брандмауэра 2004 ISA
Открываем MSN через сервер ISA
Конфигурирование DHCP и DNS для автоматического открытия ISA
Надёжный контроль исходящего доступа с использованием ISA Firewall (2004)
Сеть за сетью (2004)
Настройка удаленного доступа к VPN серверам в каскадном режиме брандмауэра ISA
Использование Outlook 2003 с клиентом брандмауэра
Использование идентификации RADIUS с VPN сервером брандмауэра ISA (2004)
Преимущества клиента ISA 2004 Firewall
ISA/SBS: Контроль за доступом в Internet: Запрещение доступа к определенным веб-сайтам в рабочее время
Как реализовать тестовое окружение для брандмауэра ISA с помощью Virtual PC 2004
Настройка прямого доступа к сайтам: Часть 1 - Настройка прямого доступа для клиентов прокси-серверов для веб-страниц
Настройка прямого доступа к сайтам: Часть 2 - Настройка прямого доступа для клиентов брандмауэра и сценарии публикации
Конфигурирование брандмауэра ISA в качестве фильтрующего SMTP релея
Конфигурирование брандмауэра ISA в качестве выходного фильтрующего SMTP релея (Outbound Filtering SMTP Relay)
Настройка двусторонней поддержки служб межсетевой балансировки для брандмауэров ISA версии Standard Edition 2004
Системная политика и конфигурация, определяемая по умолчанию после установки брандмауэра ISA
Сравнение брандмауэра ISA с другими решениями
Настройка страницы входа в систему в ISA Server 2004 от Ладислава Солка
Экспорт SSL сертификата из IIS 6.0 и импорт в ISA Server 2004
Как сделать брандмауэр ISA таким же бестолковым, как и традиционный структурно проверяющий пакеты
Метод блокирования пользователей через MAC адрес, используя брандмауэр Sygate Personal Firewall чтобы дополнить возможности обеспечения безопасности брандмауэра ISA
Обеспечение Клиентам Outlook полного доступа повсюду, используя Secure Exchange RPC Filter (Фильтр Безопасного Обмена RPC) брандмауэра ISA
Понимание и Реализация ISA 2004 как Брандмауэра Приложений с RPC Stateful Inspection Filter
Разрешение Защищенного SSL OWA Доступа через брандмауэр ISA: Часть 1: Изучение Основ "мостовой" передачи HTTP в HTTP
Разрешение ISA 2004 Server использовать Windows Update Services (Службы Обновления Windows) от Стива Моффейта (Steve Moffat)
Понимание Connectivity Verifiers (Верификаторов Подключаемости) ISA 2004
Понимание Сетей ISA Firewall (брандмауэра ISA) (v1.1)
ISA Server 2004 Игнорирует мое Правило Web Публикации от Сантоша Симарайана (Santhosh Sivarajan)
Редактирование Системной Политики ISA Server 2004 (Часть 2)
Понимание Обработки Права Доступа ISA 2004
Реализация IPSec Site-to-Site VPN для Брандмауэров Checkpoint NG R55 и Microsoft ISA 2004 от Идана Плотника
Конфигурирование Ненадежных Беспроводных DMZ в брандмауэре ISA: Часть 1: Определение Инфраструктуры и Установка Раздельной DNS
Конфигурирование Ненадежных Беспроводных DMZ в брандмауэре ISA: Часть 2: Установка и Конфигурирование ISA Firewall
Создание Списка Запрещенных URL и Доменов, используя ISA Server 2004 от Грега Мулхолланда
Разрешение Доступа в Интернет для VPN Клиентов, подключенных к брандмауэру ISA
Как пропускать IPSec трафик через ISA сервер
Удаленный доступ VPN и Опасный Поворот Раздельного Туннелирования
Проблемы с доступом к POP3 в ISA 2000
Разрешение DHCP Ретранслятора для VPN Клиентов
Конфигурирование Брандмауэра ISA на PIX DMZ для Безопасного Удаленного Доступа к OWA и другим Службам Exchange
Удалённый доступ может быть заблокирован, и Outlook может не запускаться под Windows Server 2003 с Service Pack 1
Как записать URL и информацию о пользователе в журналах и отчетах брандмауэра ISA 2004
Безопасное размещение данных на FTP серверах за пределами брандмауэров
Конфигурирование ISA Firewall для поддержки динамических сервисов TZO DNS
Решение проблем со сценариями туннельного режима IPSec (IPSec Tunnel Mode)
Поддержка защиты сети с помощью ISA Server при использовании недопустимых имен доменов верхнего уровня: Надо разделить DNS!
Возможности использования DHCP Relay в сетях DMZ
Лучшие методы, подсказки и хитрости ISA Firewall (Часть 1)
Использование ISA-сервера для контроля сложного доступа клиентов виртуальной частной сети (VPN) (Часть 1)
Использование ISA-сервера для контроля сложного доступа клиентов виртуальной частной сети (VPN) (Часть 2)
Понимание процесса автоматической настройки Web Proxy и клиента брандмауэра в ISA Server 2004
Использование мастера настройки безопасности Windows Server 2003 для укрепления безопасности ISA Firewall
Защита Microsoft Exchange с помощью брандмауэра ISA Server 2004
Конфигурирование ISA-сервера для переадресации пользователей Outlook Web Access (OWA) на правильные папки и протоколы (Часть 1)
Конфигурирование ISA-сервера для переадресации пользователей Outlook Web Access (OWA) на правильные папки и протоколы (Часть 2)

Научитесь блокировать трафик червя Blaster при помощи Вашего ISA Server


Конструктивное предложение от Borgia:

Цитата:
Народ кстати может сделать этакии маленькии фак. по исе. По настроике основных вещеи. Т.к как Почта.фтп.мsn messener. icq, и тд. Может каждый напишет кратко свои рули и фильтры. Допустим сеть такая-то то-то установено. Задача доступ по фтп с клиентов на внешние фтп сервера. Создаем руль прописываем то -то и то-то. Сколько не искал на разных форумах везде как то расплывчато или чересчур коротко.

что, наверное, должно выглядеть примерно так (кстати, ещё одна полезная ссылка).


Для тех, кто ищет больше, возможно интересны будут разделы ISA и Traffic ... но это уже другая тема

Ещё одна тема по ISA вcплыла, но давайте не будем разбегаться
А здесь находится утонувший топик, не имевший успеха в том году

ПРОСЬБА

НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ, ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ ЖЕЛАЕЛЬНО РАЗВЕРНУТО И С ОБЬЯСНЕНИЯМИ Т.К. В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. [/more]
Автор: greenfox
Дата сообщения: 28.02.2006 16:05
invip

Цитата:
Хотелось бы что бы вместо ИП юзеров в локальной сети были их хосты
нету такого вроде...
Цитата:
соответственно вместо ИП сайтов были их хосты
если вместо имени сайта стоит ip - значит разоешение имени шло не через ISA сервер (т.е. было на стороне клиента) - см. в книге щиндлера как правильно её настроить + есть например софтина - IAM - там можно эту проблему решить указав преобразование ip в имя сайта (im - тоже строит отчёты по логам)
Автор: hardhearted
Дата сообщения: 28.02.2006 17:25

Цитата:
IAM - там можно эту проблему решить указав преобразование ip в имя сайта (im - тоже строит отчёты по логам)


ну если пошла такая пьянка то можно написать скриптик (или тригерочек в базу) который в логах находит ип резолвит (если смогет) и пишет вместо ип хост )
Автор: greenfox
Дата сообщения: 28.02.2006 17:38
hardhearted

Цитата:
ну если пошла такая пьянка то можно написать скриптик (или тригерочек в базу) который в логах находит ип резолвит (если смогет) и пишет вместо ип хост
зачем изобретать велосипед!? Уже есть готовая программа - IAM - строит графики\отчёты и т.д. + может резольвить ip в имена....
Автор: abzac
Дата сообщения: 01.03.2006 04:52
вопрос на счет шифрования, клиент ISA Server 2004 якобы поддерживает шифрование трафика.

конфигурация:
* сервер ISA 2004 Standart для внутренней сети разрешен доступ только через Firewall клиент (в настройка все галки сняты [Automatically detect settings, user automatic configuration script, Use a Web proxy server])
и галка Allow non-encrypted Firewall client connections снята (пробовал и так и эдак)
* рабочая машина, стоит FireWall клиент 2004, в браузере в LAN Settings всё отключено
* тестовая машина со снифером (Ethereal 0.10), клиента и настроек прокси нет
рабочая и тестовая подключаются через общий хаб в свитч с исой

на рабочей машины проверяю: открываю почту, icq, вэб
на тестовой смотрю пакеты: вся почта (протокол и пароли), icq, вэб запросы и страницы - всё открытым текстом....

почему не работает? как включить шифрование?
Автор: Asker80
Дата сообщения: 01.03.2006 05:34
По-моему шифруется только служебный трафик ISA-FWC, что и управляется галкой Allow non-encrypted Firewall client connections
Автор: abzac
Дата сообщения: 01.03.2006 05:53
Asker80
а служебный это какой?
мне надо зашифровать весь интернет трафик, что ходит внутри сети с ISA и обратно.
может IPSec даст что то?

если не ставить галку "Allow non-encrypted Firewall client connections", то на машинах ниже Win2k, FC не работает, т.е. он пытается установить соединение, но ISA его отвергает, если поставить галку то все работает, напрашивается аналогия IPSec тоже поддерживается с Win2k только
Автор: Asker80
Дата сообщения: 01.03.2006 06:08
Нет, нет, нет. По порядку - 2004 FW клиент использует шифрованный трафик для связи с сервером, но только для себя. В смысле, спрашивает у сервера кому что можно, а кому нет - и шифруется только этот обмен данными. Обычный трафик идет обычным порядком, если его надо шифровать, то это наверно только настроить SSL прокси, как - не уверен, не делал. Это по первому вопросу.
По второму, более старые FWC шифрованный трафик не поддерживают, для них и ставится эта галка. От ОС это ИМХО не зависит, проверь, не стоят ли у тебя на старых машинах старые клиенты (от ISA 2000).
Насчет IPSec ничего не скажу, вроде все должно быть просто, но сам не делал, не знаю.
Автор: abzac
Дата сообщения: 01.03.2006 06:34
1. я настроил конфигурацию (описано выше) таким образом чтобы весь трафик шел ТОЛЬКО через FC (т.е. нет webproxy), что понимать под обычным трафиком, хотелось чтобы он шифровался, а оказывается что нет?
2. SSL прокси? а icq, pop, smtp? и т.д. ..
3. на счет старых машинин понятно, что не поддерживается, как раз от ос и определяется старость, поддерживаются только W2k и выше. На Win98 поставил нового клиента и протестировал, при галке требовать шифрование - не работает, без - работает, как и задумано.
4. IPSec тоже не практиковал, может кто подскажет как настроить сервер и клиента, но опять же старые ос win 9x, не поддерживают шифрование IPSec

Еще один вариант есть - это пускать в интернет всех через VPN, но это не так прозрачно для пользователя.

Добавлено:
все верно FC шифрует (может и не шифровать) Firewall Control Channel, т.е. управляющий канал, данные идут открытыми.

выходит два решения: VPN и IPSec

что лучше и прозрачней для пользователя?
Автор: hardhearted
Дата сообщения: 01.03.2006 10:02
greenfox

Цитата:
зачем изобретать велосипед!? Уже есть готовая программа - IAM - строит графики\отчёты и т.д. + может резольвить ip в имена....

а если мне эти графики и отчеты и нафиг не нужны, а нужно чтобы в логах все было ок, я к тому же не пользуюсь анализаторами, все что надо у меня небольшая asp делает. к тому же у меня база нестандартная, я ее сильно порезал для экономии места, некоторые поля заведомо уменьшил а некоторые явно пустые или ненужные выкинул. так что левые анализаторы обломаются.
Автор: Keugh
Дата сообщения: 01.03.2006 12:34
СкулСервер - отъедание памяти.

Стоял 2003енг, без сп1.
Стояла на нём ИСА2004сп2.
В среденм отъедало памяти порядка 250-300МБ.
АД+ИСА+ФайлСервер+ЛигаДатабейсСервер.

Щас стоит 2003рус-СП1+иса2004сп2
Щас - 500МБ отъедает, сматрю что по процесам скулсервер жрёт порядка 100МБ памяти, раньше ел порядка 20-30. Почему такое происходит?
И на кой он вообще нужен?
Автор: abzac
Дата сообщения: 01.03.2006 13:11
ISA же может в SQL логи писать, а может не писать
Автор: Keugh
Дата сообщения: 01.03.2006 13:19
abzac

уху... Ещё вопрос, каким образом майкрасофт файр-волл работает с ИСОЙ и МСскулом?


скул сервер - явно течёт, после рестарта сервиса - всего 18метров есть - и расёт.
Рестарт был за 1 минуту до написания этого поста. За это время он вырос до 50мб...
Автор: abzac
Дата сообщения: 01.03.2006 14:20
Keugh

1. останови логи в sql, останови сам sql, если ненужны логи в sql от него можно вообще отказаться
2. а файр-вол (тот что встроенный?) он разве может работать с ISA? и причем здесь sql?
Автор: Keugh
Дата сообщения: 01.03.2006 14:38
abzac

Стоит логгинг в МСДЕ датабейс.

Остановить сирвис скула - не получается.
Т.е. начинаешь стопить его - пишет, что от него зависит сервис "Microsoft Firewall".
Этот-же сервис, видно в ИСА в разделе "Мониторинг" - "Сервисес".

Вот меня и интеерсует, это ИСА свой файрволл так обозвала, или это родной его файрволл. И нужен ли он в рабочем состоянии.
Автор: vkostic
Дата сообщения: 01.03.2006 15:17
SP2 на 2004EE ставили?
Нормально встает?
Без проблем?
Автор: angelweb
Дата сообщения: 01.03.2006 16:25
vkostic

Win2003SP1+ISAEE - ставил SP2 всё нормально.
Автор: hardhearted
Дата сообщения: 01.03.2006 16:26
Keugh
ms sql жрет стока скока ему дадут, у меня на 2 гб памяти жрет 1750 мег и нормально. он так всегда работает, если память есть свободная то он ее заберет, чтобы с базой работать быстрее.
Насчет нужности, это кому как, я так считаю что работать с текстовыми файлами если за месяц будет пару десятков миллионов строк не супер удобно, а запросы писать по текстовикам это вообще маразм. а sql явно быстрее и удобнее. к тмоу же 2005 стал явно шустрее с запросами работать.
и не путай windows firewall и microsoft firewall, это две большие разницы. первый родной виндовый, второй это иса.
vkostic
встает без проблем (у меня через wsus накатился). правда спустя неделю иса стала падать (microsoft firewall 14057). из-за sp2 или нет пока не знаю. я писал об этом пару страниц назад.
Автор: Keugh
Дата сообщения: 01.03.2006 17:15
hardhearted

ms sql жрет стока скока ему дадут, у меня на 2 гб памяти жрет 1750 мег и нормально. он так всегда работает, если память есть свободная то он ее заберет, чтобы с базой работать быстрее.

А отдавать назад, в случае нужды памяти более важному процессу он забывает? =))

Автор: abzac
Дата сообщения: 02.03.2006 00:52
Keugh
а как он одаст, если ему чем больше памяти тем лучше?
ты реши для себя, нужни ли тебе логи в sql или нет, наверняка можно писать и во внешний sql...
Автор: Asker80
Дата сообщения: 02.03.2006 01:00

Цитата:
наверняка можно писать и во внешний sql...

Конечно, можно! Одно но, для этого придется Firewall сервису login credential доменные дать, а не LocalSystem.
Автор: kolt
Дата сообщения: 02.03.2006 08:17
помогите please! стоит ИСА 2000 на 2003 сервере и ещё сервак AD с 1С-кой. В модеме и на карте прописаны два ip. тариф "Зоновый + интернет" по зоновому необходимо чтобы клиенты сдругого города смогли пройти по VPN каналу до сервака AD работать в терминалке с 1С, и также через нас без препядственно выйти в инет!
Автор: hardhearted
Дата сообщения: 02.03.2006 11:04
Asker80

Цитата:
Конечно, можно! Одно но, для этого придется Firewall сервису login credential доменные дать, а не LocalSystem.

гон чистой воды. sql всегда лучше ставить на другой сервак, а firewall сервис легко может работать под своим системом. просто в sql надо дать нужные права юзеру <имя_иса_сервера>$. в хелпах исы все это есть.
Автор: Asker80
Дата сообщения: 02.03.2006 11:13
hardhearted
Может и гон, хелп не читал. А! Вспомнил, это про SQL сервер сам же, если репликацию делать или базы копировать с другого сервака. Сорри за дезу.

Цитата:
sql всегда лучше ставить на другой сервак

А с этим 100% согласен, если есть хоть какая-то возможность, скулу луше давать выделенный сервак.
Автор: KocmonpaB
Дата сообщения: 02.03.2006 11:21
to Kolt: Сам вопрос где?
Автор: wea
Дата сообщения: 02.03.2006 15:57
ALL, нужен ваш совет...
Сейчас у меня работает ISA с одним внешним каналом, но завтра придут и сделают мне еще ADSL(трафик значительно дешевле входящий), соответственно хочеться его прикрутить вторым каналом к ИСЕ таким образом, чтобы Входящий трафик шел через АДСЛ, а исходяший по выделенке... не подскажете как это реализовать ?
или может где статейка пробегала на эту тему...
Автор: hardhearted
Дата сообщения: 02.03.2006 18:38
wea
во первых сначала надо определится что такое входящий и исходящий трафик.
собственно трафик ты так разделить не сможешь, иначе получится что в пределах одной например tcp сессии ты в одну сторону пакеты через один маршрут гнать будешь а в другую через другой. это фантастика. если ты хочешь чтобы входящие соединения шли через один канал а исходящие через другой то опять же ничего не выйдет. маршрут по умолчанию у исы может быть только один поэтому любая попытка сделать на исе два канала в инет обломается в зародыше.
Автор: emx
Дата сообщения: 02.03.2006 20:02
Забыл шапку поднять - поднята. Редактируйте если надо.
Автор: wea
Дата сообщения: 02.03.2006 20:15
hardhearted
мдяя... действительно толком не подумал я, а сбило меня с толку то что спутниковый инет так организовывают, входяший со спутника, исходящий по земле... вот я и решил, что это возможно реализовать на исе ...
сенкс за разъяснение
Автор: WarlockNT
Дата сообщения: 03.03.2006 07:40
у меня стоит ISA 2004
какое то время все работало нормально, а потом упал WebProxy и пытался его починить, пересоздал кэш, все равно не работает
подскажите куда копать ?

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667

Предыдущая тема: Запрет использования интернет через GPO


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.