только не контентный а http filter
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
JekaRus
Цитата:
И не поможет! Читаем внимательно help. В URL или DNS set должна быть только одна *.
Цитата:
Добавление в запрет http://*chat* не помогает
И не поможет! Читаем внимательно help. В URL или DNS set должна быть только одна *.
Посоветуйте с выбором "редакции" Forefront TMG, т.е. что использовать в следующей ситуации Standart или Enterprice?
Имеем три филиала, один гавный, в нем домен, ISA 2006 Std, почта и т.д. В двух других доменов нет, выход в инет тоже через ISA 2006 Std. Решили два филиала прикрутить к сети головного следующим образом: поднять между филиалами VPN, в каждом филиале поставпить по "резервному контроллеру только для чтения (фича 2008-го сервера)", т.к. нет необходимости выводить филиалы в отдельные домены, обеспечить репликацию, при этом перейти с ISA на TMG...
Вопрос - стоит-ли ставить TMG Enterprice или поставить в каждом филиале TMG Standart? Какие супер-приимущества даст TMG Enterprice в данной ситуации?
И еще не менее важный вопрос: при использовании TMG Enterprice его надо ставить в каждом офисе или только в главном? Если в каждом, то надо покупать TMG Enterprice отдельно на каждый филиал (юридическое лицо одно на все филиалы) или один? Т.е. все как-бы в экономику упирается... Стоит-ли значительно переплацивать за централизованное управление интернет-шлюзами, или есть еще что-то кроме этого что дает Enterprice редакция?
Имеем три филиала, один гавный, в нем домен, ISA 2006 Std, почта и т.д. В двух других доменов нет, выход в инет тоже через ISA 2006 Std. Решили два филиала прикрутить к сети головного следующим образом: поднять между филиалами VPN, в каждом филиале поставпить по "резервному контроллеру только для чтения (фича 2008-го сервера)", т.к. нет необходимости выводить филиалы в отдельные домены, обеспечить репликацию, при этом перейти с ISA на TMG...
Вопрос - стоит-ли ставить TMG Enterprice или поставить в каждом филиале TMG Standart? Какие супер-приимущества даст TMG Enterprice в данной ситуации?
И еще не менее важный вопрос: при использовании TMG Enterprice его надо ставить в каждом офисе или только в главном? Если в каждом, то надо покупать TMG Enterprice отдельно на каждый филиал (юридическое лицо одно на все филиалы) или один? Т.е. все как-бы в экономику упирается... Стоит-ли значительно переплацивать за централизованное управление интернет-шлюзами, или есть еще что-то кроме этого что дает Enterprice редакция?
davinchi9
Цитата:
"А вот это правильный вопрос..."
В данном конкретном случае преимуществ будет немного, балансировки нагрузки не будет, отказоустойчивости тоже (т.к. придётся БД TMG по настройкам предприятия, хранить где то в одном месте, а при пропадании связи политики доступны не будут), да и стоит он немерено по сравнению со Standart. Единственное преимущество это наличие единых политик уровня предприятия и всё...
Цитата:
В каждом.
Цитата:
Фирма должна купить три лицензии и всё.
Цитата:
Экономически это не целесообразно (опять же только в данной ситуации).
Цитата:
Какие супер-приимущества даст TMG Enterprice в данной ситуации?
"А вот это правильный вопрос..."
В данном конкретном случае преимуществ будет немного, балансировки нагрузки не будет, отказоустойчивости тоже (т.к. придётся БД TMG по настройкам предприятия, хранить где то в одном месте, а при пропадании связи политики доступны не будут), да и стоит он немерено по сравнению со Standart. Единственное преимущество это наличие единых политик уровня предприятия и всё...
Цитата:
И еще не менее важный вопрос: при использовании TMG Enterprice его надо ставить в каждом офисе или только в главном?
В каждом.
Цитата:
Если в каждом, то надо покупать TMG Enterprice отдельно на каждый филиал (юридическое лицо одно на все филиалы) или один?
Фирма должна купить три лицензии и всё.
Цитата:
Стоит-ли значительно переплацивать за централизованное управление интернет-шлюзами, или есть еще что-то кроме этого что дает Enterprice редакция?
Экономически это не целесообразно (опять же только в данной ситуации).
anton04
Цитата:
будут недоступны политики предприятия или вообще все и службы остановятся при отстутствии связи с хранилищем конфигурации? а как же локальный конфиг, вроде при отсутствии связи с хранилищем будет ругаться и при восстановлении связи должна произойти синхронизация с хранилищем конфига...
Цитата:
Цитата:
т.е. три немерено дорогих лицензии?
Решение Entrprice больше ориентировано на сценарий когда в сети не менее 1000 компов, десятки интернет-шлюзов, каждый из которых подключен к своему провайдеру и с разной шириной канала, когда необходимо динамически распределять тысччи клиентских компов через эти десятки шлюзов и все они в одном месте?
Цитата:
отказоустойчивости тоже (т.к. придётся БД TMG по настройкам предприятия, хранить где то в одном месте, а при пропадании связи политики доступны не будут)
будут недоступны политики предприятия или вообще все и службы остановятся при отстутствии связи с хранилищем конфигурации? а как же локальный конфиг, вроде при отсутствии связи с хранилищем будет ругаться и при восстановлении связи должна произойти синхронизация с хранилищем конфига...
Цитата:
да и стоит он немерено по сравнению со Standart
Цитата:
Фирма должна купить три лицензии и всё.
т.е. три немерено дорогих лицензии?
Решение Entrprice больше ориентировано на сценарий когда в сети не менее 1000 компов, десятки интернет-шлюзов, каждый из которых подключен к своему провайдеру и с разной шириной канала, когда необходимо динамически распределять тысччи клиентских компов через эти десятки шлюзов и все они в одном месте?
Добрый день подскажите не идет пинг на машину с Forefront Threat Management Gateway,
ОС Win2008. Windows фаервол отключен. Думаю что держить TMG? как следствие не могу подключиться TMG клиентом.
ОС Win2008. Windows фаервол отключен. Думаю что держить TMG? как следствие не могу подключиться TMG клиентом.
s800
проверяй правила TMG, смотри логи с фильтром по хосту откуда пытаешься зацепиться
проверяй правила TMG, смотри логи с фильтром по хосту откуда пытаешься зацепиться
Нужна документация по Forefront Threat Management Gateway, а то встроенный HELP слишком поверхностный. Кинте ссылку плз. Пока нашел только Как использовать сетевые шаблоны TMG
Добавлено:
Цитата:
c клиентом разобрался?, подключение есть но пинг по прежнему не идет, (засада нет и интернета).
сейчась, TMG раздает инет посредством добавления имени машины, он может фильтровать трафик по IP адресам?
Добавлено:
Цитата:
проверяй правила TMG, смотри логи с фильтром по хосту откуда пытаешься зацепиться
c клиентом разобрался?, подключение есть но пинг по прежнему не идет, (засада нет и интернета).
сейчась, TMG раздает инет посредством добавления имени машины, он может фильтровать трафик по IP адресам?
davinchi9
бери стандард и не парься, ентерпрайс тебе ничего не даст: его главное преимущество - возможность работать в массиве с балансировкой и отказоустойчивостью + хранение настроек в одной базе. в твоем случае о балансировке речь не идет (так как иса в каждом офисе одна) и хранить настройки в однйо базе тоже смысла нет.
если в будущем какой нить офис, например главный, дорастет до массива то тогда можно в головной взять два ентерпрайса - одинаковые редакции в филиалах при этом необязательны
Добавлено:
s800
Цитата:
да у исы и тмг вроде бы очень простой и понятный интерфейс, вся документация есть на технете
бери стандард и не парься, ентерпрайс тебе ничего не даст: его главное преимущество - возможность работать в массиве с балансировкой и отказоустойчивостью + хранение настроек в одной базе. в твоем случае о балансировке речь не идет (так как иса в каждом офисе одна) и хранить настройки в однйо базе тоже смысла нет.
если в будущем какой нить офис, например главный, дорастет до массива то тогда можно в головной взять два ентерпрайса - одинаковые редакции в филиалах при этом необязательны
Добавлено:
s800
Цитата:
Нужна документация по Forefront Threat Management Gateway, а то встроенный HELP слишком поверхностный
да у исы и тмг вроде бы очень простой и понятный интерфейс, вся документация есть на технете
Народ, кто-нить уже делел SSTP тунели на 2008-ом сервере в сценарии site-to-site, мож у кого ссылка на статейку есть?
P.S. есть у кого информация об обязательстве ФСБ РФ в получении лецензии на организацию vpn крналов аппаратными средствами (cisco)?
P.S. есть у кого информация об обязательстве ФСБ РФ в получении лецензии на организацию vpn крналов аппаратными средствами (cisco)?
davinchi9
sstp нельзя юзать как сайт-ту-сайт
ps по цискам в другой форум, а лучше обратиться к самой циско. тут все таки технические специалисты и правовые вопросы не их проблема
насколько я знаю, если компания использует средства шифрования(любые, циска тут не причем) для себя и обслуживает их сама то ей ничего не надо, за исключением передачи и обработки информации входящей в перечень государственной, конфиденциальной или персональных данных. лицензия на деятельность нужна компаниям предоставляющим услуги по шифрованию инфы (например банки предоставляют доступ к банкклиентам по шифрованным каналам своим партенрам и клиентам), по продаже, ввозу, распространению и настройке средств шифрования. на ввоз еще нужно разрешение на каждый заказ или партию.
sstp нельзя юзать как сайт-ту-сайт
ps по цискам в другой форум, а лучше обратиться к самой циско. тут все таки технические специалисты и правовые вопросы не их проблема
насколько я знаю, если компания использует средства шифрования(любые, циска тут не причем) для себя и обслуживает их сама то ей ничего не надо, за исключением передачи и обработки информации входящей в перечень государственной, конфиденциальной или персональных данных. лицензия на деятельность нужна компаниям предоставляющим услуги по шифрованию инфы (например банки предоставляют доступ к банкклиентам по шифрованным каналам своим партенрам и клиентам), по продаже, ввозу, распространению и настройке средств шифрования. на ввоз еще нужно разрешение на каждый заказ или партию.Добрый день всем!
Сегодня в журнале заметил сообшение, непосредственно перед тем как ISA 2006 EE очередной раз умерла:
>> ISA Server отключил не TCP-соединение от 81.XX.XXX.XX, поскольку превышен лимит подключений для данного IP-адреса. Следует установить больший лимит подключений для IP-адресов последовательно соединенных прокси-серверов и сдвоенных компьютеров с сервером ISA Server с отношением преобразования адресов (NAT).
А это наш внешний адрес, подключаемся через коммутируемое соединение. Получается, ISA сама себя забанила?
Сегодня в журнале заметил сообшение, непосредственно перед тем как ISA 2006 EE очередной раз умерла:
>> ISA Server отключил не TCP-соединение от 81.XX.XXX.XX, поскольку превышен лимит подключений для данного IP-адреса. Следует установить больший лимит подключений для IP-адресов последовательно соединенных прокси-серверов и сдвоенных компьютеров с сервером ISA Server с отношением преобразования адресов (NAT).
А это наш внешний адрес, подключаемся через коммутируемое соединение. Получается, ISA сама себя забанила?
Камрады поможите кто чем может!
Стоит сервак ISA 2006 SE.
На нем две карточки. Одна lan1 воткнута в циску, корпоративная сеть с инетом.
В другую воткнут кабель провайдера (надо создавать соединение WAN Miniport (PPPOE))
Так вот когда запускаешь lan2 вернее соединение на нем PPPOE, то падает корп сетка! Совсем пропадает.
Я так понимаю карточка lan2 стает дефолтным гетовейем, если убрать галочку в соединении Use default gateway on remote network то появляется корп сеть lan1 но пропадает инет.
Кто лечил такую болезнь?
Стоит сервак ISA 2006 SE.
На нем две карточки. Одна lan1 воткнута в циску, корпоративная сеть с инетом.
В другую воткнут кабель провайдера (надо создавать соединение WAN Miniport (PPPOE))
Так вот когда запускаешь lan2 вернее соединение на нем PPPOE, то падает корп сетка! Совсем пропадает.
Я так понимаю карточка lan2 стает дефолтным гетовейем, если убрать галочку в соединении Use default gateway on remote network то появляется корп сеть lan1 но пропадает инет.
Кто лечил такую болезнь?
SeT
Не знаю насколько это правильно, у нас на локальной карточке шлюза нет, а все маршруты прописаны руками через
route -p ADD...
А вот pppoe как раз стоит основным шлюзом.
Не знаю насколько это правильно, у нас на локальной карточке шлюза нет, а все маршруты прописаны руками через
route -p ADD...
А вот pppoe как раз стоит основным шлюзом.
спам
Rx1600
так и должно быть! Только у меня почему то не идет! Мозг уже сломал.
так и должно быть! Только у меня почему то не идет! Мозг уже сломал.
сделайте пожалуйста "крутой" скрин с ISA 2006 ? 
делаю презентацию по теме безопасность на основе ISA 2006, но не имею скрин с рабочими правилами.
делаю презентацию по теме безопасность на основе ISA 2006, но не имею скрин с рабочими правилами. SeT
это не болезнь, во всяком случае не исы
шлюз должен быть один и точка.
contrafack
открой какую нить статью по исе
это не болезнь, во всяком случае не исы
шлюз должен быть один и точка.
contrafack
открой какую нить статью по исе
hardhearted
да не, хочется более правдоподобный скрин, а не тестовый
да не, хочется более правдоподобный скрин, а не тестовый
contrafack
кто-ж тебе выложит скрин со своими реальными правилами...
кто-ж тебе выложит скрин со своими реальными правилами...
hardhearted
Цитата:
у меня на сервере тоже две сетевые, на каждой белый IP и соответственно два шлюза, только метрики разные.
Одна сетевая сразу смотрин в инет, вторая через корп сеть и дальше gw на юниксе.
И все прекрасно работает.
SeT
думаю что это все таки не глюк от ИСЫ (хотя у меня инет для самой корп сети идет через уст. на сервере прокси TI, а прокся сама выбирает куда трафик посылать)
Цитата:
шлюз должен быть один и точка.
у меня на сервере тоже две сетевые, на каждой белый IP и соответственно два шлюза, только метрики разные.
Одна сетевая сразу смотрин в инет, вторая через корп сеть и дальше gw на юниксе.
И все прекрасно работает.
SeT
думаю что это все таки не глюк от ИСЫ (хотя у меня инет для самой корп сети идет через уст. на сервере прокси TI, а прокся сама выбирает куда трафик посылать)
contrafack
форумы погляди, люди ищущие решение своих проблем часто выкладывают скрин правил
форумы погляди, люди ищущие решение своих проблем часто выкладывают скрин правил
Доброго времени суток,
Есть такая задача:
Есть подсеть с доменом (192.168.2.0) там же стоит прокси сервер MS ISA, внешний интерфейс (192.168.1.2) подключен к роутеру к этому же роутеру подключен другой сервак (192.168.1.3) он не в домене, нужно чтобы из подсети 2.0 у некоторых компов был выход на на расшаренный каталог сервака (192.168.1.3). На Исе создал правило где во from указал компы которые будут ходить на этот сервак а в to указал этот сервак и указал весь исходящий траффик, в юзерах если указываю все, то пускает если выбираю конкретных то никого не пускает. И еще как сделать чтобы для получения доступа к каталогу он просил авторизации?
Есть такая задача:
Есть подсеть с доменом (192.168.2.0) там же стоит прокси сервер MS ISA, внешний интерфейс (192.168.1.2) подключен к роутеру к этому же роутеру подключен другой сервак (192.168.1.3) он не в домене, нужно чтобы из подсети 2.0 у некоторых компов был выход на на расшаренный каталог сервака (192.168.1.3). На Исе создал правило где во from указал компы которые будут ходить на этот сервак а в to указал этот сервак и указал весь исходящий траффик, в юзерах если указываю все, то пускает если выбираю конкретных то никого не пускает. И еще как сделать чтобы для получения доступа к каталогу он просил авторизации?
про остальное не скажу, а вот про:
Цитата:
это надо чтоб на серваке (1.3) были созданы пользователи и на них выданы права к папке и они же указаны в правах для шары.
Но учти, если логины и пароли совпадут с доменными - то запрос авторизации будет пропущен.
Если папка разшарена для гостя - то все могут открывать (при учете что и гостевой акк тоже разблочен) эту папку.
Цитата:
как сделать чтобы для получения доступа к каталогу он просил авторизации?
это надо чтоб на серваке (1.3) были созданы пользователи и на них выданы права к папке и они же указаны в правах для шары.
Но учти, если логины и пароли совпадут с доменными - то запрос авторизации будет пропущен.
Если папка разшарена для гостя - то все могут открывать (при учете что и гостевой акк тоже разблочен) эту папку.
Ребята прошу помощи
все выходные просидел
Есть адсл модем где поднят рррое с адресом 192.168.1.1
есть сервер где кроме исы ничего нет, лан1 смотрит в роутер с адресом 192.168.1.100
и лан2 смотрит в сеть с адресом 192.168.0.1
есть правило Allow -all outboand traffic- internal, localhost- external, all networks (local host)
так вот клиенты пингуют сайты, а броузерах не выходят, и там всякие аськи, агенты, скайпы тоже пашут
в чем причина немогу уже
иса 2006 интерпразес
сервер 2003
подскажите
все выходные просидел
Есть адсл модем где поднят рррое с адресом 192.168.1.1
есть сервер где кроме исы ничего нет, лан1 смотрит в роутер с адресом 192.168.1.100
и лан2 смотрит в сеть с адресом 192.168.0.1
есть правило Allow -all outboand traffic- internal, localhost- external, all networks (local host)
так вот клиенты пингуют сайты, а броузерах не выходят, и там всякие аськи, агенты, скайпы тоже пашут
в чем причина немогу уже
иса 2006 интерпразес
сервер 2003
подскажите
Jankas
а в настройках браузера у клиентов никаких настроек про прокси нет?
попробуй поснимать все галочки про авто-настройки прокси.
и проверь как работает команда
telnet http://<site> 80
а в настройках браузера у клиентов никаких настроек про прокси нет?
попробуй поснимать все галочки про авто-настройки прокси.
и проверь как работает команда
telnet http://<site> 80
простите, опечататался, команда должна выглядеть вот так
telnet <adress_site> 80 (пример: telnet mail.ru 80)
telnet <adress_site> 80 (пример: telnet mail.ru 80)
laycman
ну если не пускает конкретных то проблема в аутенфикации, ты fwc на компы ставил?
ну если не пускает конкретных то проблема в аутенфикации, ты fwc на компы ставил?
Цитата:
у меня на сервере тоже две сетевые, на каждой белый IP и соответственно два шлюза, только метрики разные.
Одна сетевая сразу смотрин в инет, вторая через корп сеть и дальше gw на юниксе.
И все прекрасно работает.
очень сомневаюсь, ни виндовс ни юникс не перебирают шлюзы с разными метриками пока не найдут путь для своего пакета в нужную сеть - они используют шлюз с меньшей метрикой до тех пор пока он не умрет и только после этого переходят на следующий. Поэтому без статических маршрутов будет недоступна либо корпоративная сеть либо инет
Цитата:
очень сомневаюсь, ни виндовс ни юникс не перебирают шлюзы с разными метриками пока не найдут путь для своего пакета в нужную сеть - они используют шлюз с меньшей метрикой до тех пор пока он не умрет и только после этого переходят на следующий
вот только перепроверил трасировку на локальный IP (с неосновным шлюзом и выше метрикой) с внешнего мира - пакеты бегают как я и планировал.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.