Windows - Szolgáltatások az ISA szerverben

ISA szerver 6. rész

Cikkünk jelenlegi részében az ISA szervert alkotó szolgáltatásokkal foglalkozunk. (ISA Control Service, Scheduled Content Download Service, Web proxy Service, Firewall Service). Részletesen tárgyaljuk őket, ismertetjük, hogy miként lehet leállítani, újraindítani valamennyit. Bemutatjuk működésüket is
Az ISA szerver átjáróként szerepel az Interneten, a biztonságot három rétegben valósítva meg: IP csomagszűrés, alkalmazási réteg, adatkapcsolati réteg. Az ISA többrétegű előnye, hogy lehetővé teszi szolgáltatások használatát az ISA szerverben:
  • ISA Control service
  • Ütemezett gyorsítótár tartalomletöltő szolgáltatás
  • Web proxy szolgáltatás
  • Tűzfalszolgáltatás
Valamennyi szolgáltatás dinamikus IP csomagszűréssel dolgozik, hogy teljes biztonsági modellt nyújtson.
Az ISA Control szolgáltatás
Az ISA Control szolgáltatás a következő ISA funkciókat vezérli:
  • IP csomagszűrők, bekapcsoló szűrők, statikus nyitott szűrők, és naplózó szűrők.
  • Újraindít egyéb ISA szolgáltatásokat, ha szükséges.
  • Értesítéseket hoz létre, és beavatkozásokat eszközöl.
  • Szinkronizál minden szervert a kiszolgáló tömbben. Az ISA Control Service frissíti a kliens-konfigurációs állományokat (msplat.txt és mspclnt.ini) és törli a nem használt naplófájlokat.
  • Újraindít egyéb ISA szolgáltatásokat, ha bármilyen változás történik az ISA kezelőben, miként az ISA dokumentációban is szerepel.
Az ISA kezelő nem használható az ISA Control szolgáltatás leállítására vagy indítására. Ahhoz, hogy leállítsuk, írjuk be a következőt a parancssorba:
net stop isactrl
Ha leállítjuk ezt a szolgáltatást, akkor minden egyéb ISA szerverszolgáltatás szintén leáll.
Az ütemezett gyorsítótár tartalomletöltő szolgáltatás
Az ISA szerver további kiterjesztett tárazó teljesítményének elérése érdekében képes testre szabható módon ütemezetten tartalmat letölteni. Az ISA szerver ütemezett tartalomletöltő tulajdonsága lehetővé teszi a HTTP tartalom közvetlen letöltését az ISA szerver gyorsítótárába, kérésre, vagy ütemezett beállítás szerint. Ez lehetővé teszi, hogy frissítsük az ISA szerver gyorsítótárát megelőzve a felhasználó lekérdezéseit.
Beállíthatjuk, hogy mely tartalmat tárazza be előre az ISA szerver és ütemezhetjük, hogy mikor történjen a letöltés, lehetővé téve, hogy a felhasználó az ISA szerver gyorsítótárából töltsön le az Internet helyett. Az Internet-elérés megfigyelésével és ellenőrzésével meghatározhatjuk, hogy mely Internetes objektumok lesznek szükségesek és mikor. Ezután használhatjuk az ütemezett letöltést, hogy megvalósítsuk a feladatot a beállításnak megfelelően.
Letölthetünk egyedi URL címeket, több URL-t, vagy egy egész weboldalt a beállítástól függően.
Popup ablakokat tartalmazó oldalak, amelyek megbízást kérnek, vagy nyelvi csomagok, amelyek telepítést kínálnak fel, nem tölthetők le az ütemezett tartalomletöltővel. Azok a weboldalak, amelyek cookie-kat kérnek lekérdezéskor, szintén nem előtölthetők.
Tűzfalszolgáltatás
A tűzfalszolgáltatás egy általános adatkapcsolati rétegben megvalósított proxy a Winsock alkalmazások számára. Az ISA tűzfalszolgáltatás a Telnet, e-mail, news, MS NetShow, Realaudio, IRC és egyéb Winsock kompatibilis alkalmazásokra vonatkozik, amelyek közvetlenül az Internetre kapcsolódnak. A kliensalkalmazás a Winsock API hívásokkal kommunikál egy másik alkalmazással, amely az Internetes kiszolgálón működik. Az ISA tűzfalszolgáltatás átirányítja a szükséges függvényeket az ISA szervergéphez, így biztosítva a kommunikáció útját két Internetes alkalmazás között az ISA szerveren keresztül.
Ez az átirányítás kiküszöböli a speciális átjáró használatát valamennyi protokollhoz, mint az NNTP, SMTP, FTP protokollok. Az ISA tűzfalszolgáltatás lehetővé teszi az alkalmazásoknak, amelyek nem rendelkeznek belső proxy támogatással, hogy elérjenek egy proxy szolgáltatást a protokollok használata nélkül.
A tűzfalszolgáltatás egyedülálló szolgáltatásként fut a Windows 2000-ben. Ez átjáró kapcsolatokat valósít meg a kliens Winsock alkalmazások és az Internet host között. A helyi hálózat biztonságos marad, mivel a kommunikáció az ISA szerveren keresztül zajlik.
A tűzfalszolgáltatás növelhető alkalmazásszűrőkkel.
  • Hogyan működik a tűzfalszolgáltatás?
A tűzfal-kliens elfog egy API hívást és átirányítja a tűzfalszolgáltatásnak, amely az aktuális hívást intézi, azaz jelenleg két kapcsolat van: egyik a privát hálózaton a klienstől az ISA szerverig és egy az Interneten az Internet host-tól az ISA szerverig.
A tűzfalszolgáltatás két részből áll: egy dll fut a tűzfal-kliensen, és egy szolgáltatás fut az ISA szervergépen.
Amikor az ISA tűzfal-kliensszoftver települ a gépre, feltelepít két .dll állományt. Az állományok feltartóztatják az alkalmazás Winsock API hívásait a kliensen és továbbítják az ISA szervergépnek, egy kontrolláló csatornát használva.
A vezérlő csatorna kezeli a távoli Winsock üzeneteket, és a következő működésre tervezték:
  • Szállítja a Local Address Table-t (LAT) a kliensre. A LAT meghatározza, hogy egy célpont a helyi hálózaton van-e.
  • TCP kapcsolatokat épít ki a klienstől az ISA szerverhez. Ezt a csatornát használja arra, hogy virtuális kapcsolatot építsen ki, amíg megpróbál kapcsolódni egy távoli alkalmazással.
  • UDP kommunikációt szolgáltat az ISA kliens és szerver között.
Az ISA tűzfal-kliens .dll akkor inicializálódik, amikor az első Winsock kapcsolat kísérlet kezdődik. Majd egy vezérlőcsatorna jön létre az ISA tűzfalszolgáltatással, és ezután aktívként lesz jelölve a csatornán át. Végül a LAT átmásolódik a szerverről, hogy eldönthessük, mely hálózat van az Interneten és melyik a helyi.
  • Alkalmazásszűrők
Az alkalmazásszűrők a tűzfalszolgáltatás kiterjesztései. Ezek a szűrők regisztrálnak és feldolgozzák a tűzfalszolgáltatás eseményeit. A COM interfészeket mutatva a fejlesztőknek, az ISA szerver lehetővé teszi számukra, hogy kiterjesszék a biztonságot és a funkcionalitást. A fejlesztők képesek használni ezeket az interfészeket, hogy kiterjesszék a biztonságot és az elérés vezérlését a tűzfalszolgáltatásra, és hogy létrehozzanak protokoll-specifikus alkalmazásszűrőket. Ezek képesek megosztani az architektúrát, hozzáférés felügyeletet, és a tűzfalszolgáltatás adminisztrációját. Az interfészek kifejezetten lehetővé teszik a szűrést:
  • Speciális eseményértesítéseket fogadnak; például amikor egy felhasználó kapcsolódik egy bizonyos távoli port-ra.
  • Lehetővé teszik vagy gátolják a felhasználói hozzáférést számos művelet esetén; például valamely port-ra való kötést.
  • Felülvizsgálja és esetleg módosítja az adatot, amely a tűzfalon keresztülhalad; például vírusellenőrzést végez.
  • Hálózati műveleteket kezdeményez (aktív gyorsítótárazás) dinamikus IP csomagszűrésen keresztül.
  • Tökéletes ISA kezelő integráció.
Web proxy szolgáltatás
A Web proxy szolgáltatás (W3proxy) egy Windows 2000 szolgáltatás, amely bármely böngésző kérését támogatja, amely megfelel a CERN standardnak. A Web proxy szolgáltatás szinte minden kliens operációsrendszeren elérhető.
A Web proxy szolgáltatás az alkalmazás szintjén működik, a HTTP kliens nevében kérdez le Internet objektumokat a Web proxy szolgáltatás által támogatott protokollok segítségével: FTP, HTTP, HTTPS, és Gopher. A Web proxy megvédi valamennyi Web-böngésző hozzáférést. A Web proxy szolgáltatás a Web proxy kliens segítségével dolgozik, amely bármely kliensgép lehet, amely CERN-kompatibilis alkalmazásokat használ, és úgy van beállítva, hogy az ISA szerver Web proxy szolgáltatását használja.
A Microsoft Proxy Server 2.0-tól eltérően, amely a szolgáltatást a helyi IIS-be betöltődő webes ISAPI szűrővel valósította meg, a Web proxy most Windows 2000 folyamatként fut (W3proxy.exe). A folyamat elindítható a Web proxy szolgáltatás indításával. Az IIS szerver telepíthető az ISA szervergépre, habár nem szükséges.
Az ISA biztonságos Web publikációs tulajdonságát az IIS, vagy más Web-szerverrel együttműködésben használhatjuk, hogy az Interneten publikáljunk anélkül, hogy kompromisszumot kellene kötnünk a belső hálózat biztonságával kapcsolatban. Az ISA a biztonságos Web publikálást és a fordított kiszolgálást használja arra, hogy kéréseket küldjön a Web-publikáló szervereknek az ISA proxy gép mögül. A W3proxy támogatja az SSL-t és az ISAPI szűrőket.
  • Web (ISAPI) proxy kliensek
A Web proxy klienseket (tipikusan a böngészőket) úgy kell konfigurálni, hogy az ISA szervert használják. Amikor egy felhasználó egy weboldalt kér, a böngésző elemzi az URL-t. Ha a név tartalmaz pontokat, mint egy FQDN teljes tartománynév, akkor a böngésző megállapítja, hogy a cél távoli és elküldi a HTTP kérést az ISA szervernek feldolgozásra.
  • Web (ISAPI) szűrők
Web ISAPI szűrők észlelik és feldolgozzák a HTTP eseményeket, és képesek kiterjeszteni a Web proxy szolgáltatás funkcionalitását. Használva az Internet kiszolgáló API-t, az ISA támogatja a Web szűrő kiterjesztő modellt, amely harmadik személy számára elérhetővé és megváltoztathatóvá teszi a HTTP kérést és válaszfolyamot. Az ISA nem támogatja az ISAPI kiterjesztéseket.
  • IIS különválasztás
A bejövő és a kimenő Web kérés tulajdonságok különböző TCP port-okon futhatnak. Például alapértelmezésben az ISA figyel a kimenő Web kérésekre a TCP 8080 port-on, amíg a bejövő Web kérésekre a TCP 80-as port-on. Ebben az esetben az ISA biztosítja, hogy a kimenő és bejövő kérések nem ütköznek a publikus 80-as port-on.
Ha IIS van telepítve az ISA szervergépen, akkor úgy kell konfigurálni, hogy ne használja azt a port-ot, amelyet az ISA szerver használ a kimenő Web kérésekre (alapértelmezésben 8080) és bejövő kérésekre (80). Például változtathatunk az IIS szerveren, hogy a 81-es port-on figyeljen. Ez után be kell állítanunk, hogy az ISA átirányítsa a bejövő Web kéréseket a belső IIS 81-es port-jára.
Ha konfliktus keletkezik az IIS és az ISA által használt port-ok között, a setup program leállítja az IIS publikáló szolgáltatást. Ez után átállíthatjuk az IIS szervert, hogy más port-on figyeljen, és újraindíthatjuk az IIS publikáló szolgáltatást.

ISA szerver cikksorozat