Windows - Az ISA szerver funkciói

ISA szerver 1. rész

Az ISA szerver egy teljes Internet kapcsolat-megoldást kínál, amely egyrészről tartalmaz egy fejlett tűzfal funkciót, másfelől pedig egy teljes Web cache megoldást. A két funkció külön-külön és együtt is használható. Mostani cikksorozatunkban igyekszünk az ISA szervert minél teljesebb mértékben bemutatni. Első, bevezető cikkünkben általános leírást nyújtunk az ISA funkcióiról.
Az ISA szerver biztonságossá teszi hálózatunkat, lehetővé teszi, hogy számos szabályt alkossunk, amelyek megadják, hogy mely oldalak, protokollok és tartalmak legyenek az ISA gépen átvihetők. Az ISA figyeli a forgalmat a kliens és az Internet között, és felügyeli, hogy ki férhet hozzá a vállalat rendszerének gépeihez. Mindemellett befolyása van arra is, hogy melyik Interneten található gép érhető el egy belső hálózati számítógépről.
Tűzfal és biztonsági áttekintés
Az ISA szerver egy dedikált tűzfalként telepíthető, amely egy titkos átjáróként üzemel az Internethez. Az ISA szerver alapvető konfigurációja az, hogy két hálózati interfésze van. Az egyik a belső hálózatra, a másik az Internetre kapcsolódik.
Az ISA-t használhatjuk arra, hogy beállítsuk a tűzfalat, konfiguráljuk a házirendet, létrehozzunk szabályokat, amellyel a vállalati irányelveket megvalósíthatjuk. A biztonsági elérés házirendjének beállításával meggátolhatjuk az idegenek hozzáférését, és a rosszindulatú tartalom beérkezését a hálózatba. Szintén korlátozhatjuk, hogy a forgalom engedélyezett legyen felhasználóknak, csoportoknak, alkalmazásoknak, tartalomtípusoknak és ütemezéseknek.
Az ISA az alábbi tűzfal és biztonsági tulajdonságokat tartalmazza:
  • Kimeneti elérés házirendje: Az ISA szerverrel tartalom és protokoll szabályokat képezhetünk, amelyek felügyelik a belső kliensek Internet elérését. Az oldal- és tartalomszabályok meghatározzák, hogy mely oldalak és tartalmak érhetők el. A protokollszabályok azt határozzák meg, hogy mely protokollok használhatók kimeneti, bemeneti forgalomban.
  • Betörés észlelése: Az integrált betörésészlelő mechanizmus képes értesítést küldeni, amikor észleli, hogy támadás érte a rendszert.
  • Alkalmazásszűrők: Az ISA felügyelni tudja az alkalmazás-specifikus forgalmat adatfelismerő szűrőkkel. Az ISA szűrőket használ annak meghatározására, ha egy csomag elfogadott, elutasított, átirányított, vagy továbbküldött.
  • Hitelesítés: Az ISA a következő hitelesítéseket támogatja: Integrált Windows hitelesítés, kliens tanúsítvány, digest és basic.
Cache áttekintés
Az ISA szerverben lehetőség van a gyakran kért objektumok gyorsító tárazására, amely növeli a hálózati teljesítményt. Beállíthatjuk a gyorsító tárat, hogy a leggyakrabban használt adattartalmat tárolja szervezetünk adataiból vagy az Internetről. A cache lehet előre vagy visszafelé tárazó, azaz egyaránt tárolhatja az Internetes felhasználók számára a gyakran kért vállalati tartalmat, és a belső user-ek számára a gyakran kért Internet tartalmat.
Az ISA gyorsító tár szolgáltatása tartalmaz:
  • Elosztott gyorsító tárat: Amikor több ISA szerverből egy csoportot állítunk össze, akkor élvezhetjük az előnyét az elosztott gyorsító tárnak. Az ISA szerver használja a Cache Array Routing Protocol-t (CARP), hogy lehetővé tegye több ISA gépnek, hogy közös logikai tárként működjön.
  • Hierarchikus tárazás: Az ISA lehetővé teszi, hogy a tárakból láncolatot képezve, a hozzánk legközelebb eső szervertől kérjünk tartalmat.
  • Ütemezett tárazás: Használjuk az ütemezett gyorsító-tártartalom letöltő szolgáltatást, hogy beállítsuk, mikor töltse le az ISA az általánosan kért adatokat.
  • Fordított tárazás: Az ISA tárolni tudja saját szervereink publikációit, így növelve teljesítményüket és elérhetőségüket.
Hálózati nézet
Amint már említettük, az ISA szerver tipikus telepítése úgy néz ki, hogy két hálózati csatolót használunk, amelyből az egyik a vállalati, a másik a nyilvános hálózatra, vagyis az Internetre csatlakozik. A csatolók bármely típusúak lehetnek, amelyek engedélyezik a protokoll-összeköttetéseket. Egy LAN-on például Ethernet, token gyűrű, vagy ARCNet általánosan TCP/IP-vel, vagy NetBEUI-vel van összeköttetésben. Egy Internet kapcsolat használhat modemet, ISDN-t, vagy egy hálózati csatolót, amely egy útválasztón keresztül az Internetre csatlakozik.
Az ISA szerver központjában a felügyeletet ellátó gép helyezkedik el. Ebből a számítógépből tudjuk kezelni az ISA minden tulajdonságát, az Active Directory-t, és az ISA COM objektumot. Egy rendszergazda szintén kezelni tudja a klienseket egy távoli helyről, az ISA kezelőt vagy script-eket használva.
Az Enterprise kiadású szervercsoport az AD-t használja. Egy egyedülálló Enterprise szerver vagy egy Standard kiadású szerver registry-alapú lehet.
A rendszergazda szerepe
A rendszergazda feladata beállítani az ISA szerver-szerepeket és -házirendeket, valamint konfigurálni a cache-t. Az ISA szerver-szabályok meghatározzák, hogy hogyan kommunikáljanak az ISA kliensek az Interneten. Azt is definiálják, hogy a saját szervereink miként kommunikáljanak az Internet felhasználókkal.
Egy házirend működhet csoport- vagy vállalati szinten. A vállalati szint minden ISA csoportot magában foglal – ha egyáltalán létezik több csoport. A vállalati házirend vonatkozhat részcsoportokra, vagy minden csoportra is. Emellett egy csoport-házirend is kiterjeszthető más csoportra.
A hálózat négy eleme:
  • A távoli számítógép, amelyről egy rendszergazda felügyelheti az ISA szervert.
  • Az ISA szervercsoport, amely legalább egy gépet tartalmaz. Az ISA szervercsoport a szerver nézet ábrán látható.
  • A különálló gépen elhelyezett Active Directory. Az Active Directory információt tárol minden objektumról a hálózatban, valamint kiterjesztett és tartomány csoport házirendet, regisztrációs információkat az ISA-ról és a kiterjesztéseiről. Az Active Directory elosztja ezeket az információkat a hálózaton. A registry az ISA gépen képes ezeket a funkciókat ellátni, ahol AD nincs használatban.
  • A kliensek és kiszolgálók, amelyek az ISA tűzfal és tár szolgáltatását használják.
Programozottan kezdeményezhetünk, automatizálhatunk ISA adminisztrációs feladatokat az ISA COM objektumok elérésével.
Szerver nézet
Az ISA változó kommunikációs rétegekkel dolgozik, hogy megvédje a céges hálózatot. Csomag szinten az ISA csomagszűrést végez. Amikor a csomagszűrés be van kapcsolva, az ISA szerver képes statikusan kontrollálni az adatot a külső csatolón, megbecsülve a bejövő forgalmat, mielőtt esély lenne arra, hogy elérjünk bármely erőforrást. Ha az adat átkerül a csomagszűrő rétegbe, akkor az továbbítja a tűzfalnak, és a Web proxy szolgáltatásnak, ahol az ISA szerver szabályok feldolgozzák, és megállapítják, hogy a kérés kiszolgálható-e.
Az alábbi magyarázat egy egyedüli ISA szerver architektúrára fókuszál. A szerver ezeket a komponenseket tartalmazza:
  • IP csomagszűrő. Amint látható, az ISA szerver, mint egész, az IP csomagszűrő funkcióra támaszkodik.
  • SecureNAT. Egy funkciója az ISA szervernek, amely hálózati címfordítást (NAT) valósít meg a Windows 2000 NAT funkciója helyett.
  • A tűzfal, amely tartalmazza a Web proxy szolgáltatást, tűzfalszolgáltatást, és alkalmazásszűrőket:
  • Web proxy szolgáltatás. A Web (ISAPI) szűrőket és a cache-t tartalmazza.
  • Tűzfalszolgáltatás. A tűzfalszolgáltatás és a SecureNAT kliensek kapcsolat-igényeit kezeli. A HTTP kérések eltérítődnek a Web proxy szolgáltatásnak a HTTP átirányító szűrővel.
  • Alkalmazásszűrők. Ezek a HTTP átirányító szűrőt és egyéb protokollszűrőket tartalmaznak, amelyeket az ISA szerver nyújt. További szűrők fejleszthetők az ISA tűzfalhoz, az alkalmazásszűrő interfészek segítségével.
Az ISA szerver használja még a Windows 2000 sávszélesség szabályozási szolgáltatását, amely a Quality of Service (QOS). A QOS egy olyan komponensgyűjtemény, amely egy hálózat sávszélesség-használatát kezeli.
Az ISA szerver háromféle klienst véd:
  • Az ISA tűzfal-kliensek azok a gépek, amelyeknek van telepített ISA tűzfal-kliens szoftverük. Az ISA tűzfal kliensek kérései az ISA tűzfalszolgáltatás felé irányítódnak, amely szolgáltatás az ISA szerverben található meg. Következésképpen a kérések szűrhetők alkalmazásszűrőkkel és egyéb kiegészítésekkel. Ha az ISA tűzfal-kliens kér egy HTTP objektumot, akkor a HTTP továbbító szűrő továbbítja a kérést a Web proxy szolgáltatásnak. A Web proxy szolgáltatás szintén gyorsítótárazhatja a kért objektumot, vagy kiszolgálja a kérést az ISA tárból.
  • A SecureNAT kliensek azok a gépek, amelyeknek nincs telepített ISA tűzfal kliensük. A SecureNAT klienskérések elsőször a NAT meghajtóhoz továbbítódnak, az behelyettesít egy globális IP címet, amely valós az Interneten, a SecureNAT kliens belső IP címén. A kliens kérése továbbítódik az ISA tűzfalszolgáltatásnak, amely meghatározza, hogy az elérés engedélyezett-e. Végül a kérés szűrhető alkalmazásszűrőkkel, és egyéb kiegészítésekkel. Ha a SecureNAT klienskérés egy HTTP objektum, akkor a HTTP továbbító szűrő átirányítja a kéréseket a Web proxy szolgáltatásnak. A Web proxy szolgáltatás szintén tárazhatja a kért objektumot, vagy kiszolgálhatja azt az ISA szerver-tárból.
  • Web proxy kliens lehet bármely böngésző, amely kompatibilis a CERN standard-del. Az ISA átirányítja a kéréseket a Web proxy klienstől a Web proxy szolgáltatásnak az ISA szerver gépen, mellyel meghatározza, hogy az elérés engedélyezett-e. A Web proxy szolgáltatás szintén tárazza a kért objektumot, vagy az ISA szerver-tár szolgálja ki a kérést.

ISA szerver cikksorozat