|
Целесообразность использования ISA.
|
|
|
|
Gvan |
Понедельник, 04 Августа 2003, 14:19
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
Здравствуйте, Уважаемые. Есть некоторые вопросы по организации безопасности сети и хотелось бы услышать ответы на них, исходя из практики эксплуатации isa server. При ответах, желательно было бы узнать, как это реализовать (я начал знакомиться с isa сервер только неделю назад). 1. В сети нашей конторы имеется несколько серверов, имеющих непосредственный выход в интернет - vpn-сервер, mail-сервер, proxy-сервер. Возможно ли организовать выход этих серверов в интернет только через isa server (сервера используют реальные адреса интернет)? 2. Можно ли на isa сервере задать по каким портам можно обращаться к вышеперечисленным серверам извне? 3. Можно ли для каждого из внешних серверов задать фиксированную "толщину" канала? 4. Будет ли считаться весь трафик, проходящий через isa server? 5. Ведёт ли isa сервер логи по всем обращениям в интернет или из интернета, а так же по попыткам использования запрещённых (не разрешённых явно) портов (адресов) - кто, откуда, куда и т.д.? 6. Правильно ли будет использовать для решения всех вышеперечисленных задач isa server, или можно использовать что-нибудь ещё (что конкретно)?
Сообщение отредактировал Gvan - Понедельник, 04 Августа 2003, 14:28
|
|
|
|
|
lingod |
Понедельник, 04 Августа 2003, 15:38
|
Участник
Профиль
Группа: Участник
Сообщений: 282
Регистрация: 29.04.2003
Из: Украина, Киев
Пользователь №: 5147
Конфигурация
Корпус: Midi Tower 300W Материнская плата: ASUSP4P800 Deluxe Оперативная память: 2*512 DRR 400 Видеокарта: GE force 4 MX 440 Жесткий диск (винчестер): WD 80 Gb 7200 rpm Дисковод: 3.5" CD/DVD: LG DVD/CDRW Модем: -- Сетевой адаптер: 3Com Gigabit Lom Звуковая плата: Creative sb128 Монитор: 15" LG L1510M Операционная система: Windows XP Professional Прочее: --
|
1. Возможно. VPN настраивается с помощью мастеров ISA. ISA и есть прокси сервер, работа с почтой через ISA настраивается достаточно просто либо публикацией своего сервера либо открытием нужных портов. 2.ТОчно не к почтовому и веб серверу точно можно по всем остальным не пробовал но по идее можно. 3.Нет. 4.Да только надо настраивать. 5.Какие то можно заставить его вести но по информативности они близки у нулю. 6. Тут трудно сказать однозначно, по своему опыту скажу что VPN и proxy я бы на один сервер не вешал.
--------------------
Знал бы прикуп... жил бы в Сочи...
|
|
|
|
|
Gvan |
Понедельник, 04 Августа 2003, 17:44
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
1. Дело в том, что vpn и mail сервера это физически две разные машины, у которых имеются реальные ip. Было бы интересно узнать каким образом их можно занести за isa? Как работает иса в режиме прокси, я вроде разобрался, хотя тоже есть вопросы... 2. Возможно я не корректно сформулировал вопрос... Меня интересует, может ли иса, если занести за неё mail и vpn сервера, "обрубать" все запросы, допустим ICMP, к этим серверам кроме служебного - по портам 25 и 110 для mail сервера, и 1723 - для vpn? И как настраивать сами эти сервера (какой прописывать шлюз на сетевом интрефейсе, надо ли ставить клиента isa)? 3. В исе я нашёл ветку Bandwidth Rules, где в свойствах можно задать, как я понял, скорость канала. А затем надо создавать правила для указания приоретизации трафика. Кто нибудь это настраивал? 4. Настраивать надо в Monitoring Configuration -> Report Jobs, а смотреть в Monitoring -> Reports. Так? 5. Я видел для анализа логов ISA Server есть программка "InternetAccessMonitor for MS ISA Server"... Надо посмотреть насколько полно она отображает то, что действительно интересно (потому что isa server может и своими силами показывать общую статистику, см. п.4) 6. У меня почти все внешние сервисы находятся на разных машинах. Меня интересует - использовал ли кто-нибудь для решения подобних задач софт сторонних производителей (например, Symantec Enterprise Firewall или CheckPoint Firewall)? Как выбрать оптимальное решение?
|
|
|
|
|
lingod |
Вторник, 05 Августа 2003, 10:36
|
Участник
Профиль
Группа: Участник
Сообщений: 282
Регистрация: 29.04.2003
Из: Украина, Киев
Пользователь №: 5147
Конфигурация
Корпус: Midi Tower 300W Материнская плата: ASUSP4P800 Deluxe Оперативная память: 2*512 DRR 400 Видеокарта: GE force 4 MX 440 Жесткий диск (винчестер): WD 80 Gb 7200 rpm Дисковод: 3.5" CD/DVD: LG DVD/CDRW Модем: -- Сетевой адаптер: 3Com Gigabit Lom Звуковая плата: Creative sb128 Монитор: 15" LG L1510M Операционная система: Windows XP Professional Прочее: --
|
1 Про vpn сервер за ISA ничего не скажу не пробовал, почта (Exchange) у меня через ISA отлично работает. 2. Может, шлюз соответсятвенно ISA сервер, насчет клиента это зависит от того как ты настроиш ISA, у меня например клиенты не стоят ни на одной машине и никто не страдает. 3. Это не скорость канала а скорее приоритет его использования, т.е. разным пользователям можно назначить разные приоритеты для того чтобы при большой загрузке канала пользователи с более высоким приоритетом могли с нормальной скоросью выходить в инет. Однако большой пользы от этого я не заметил. 4. Да хотя смотреть не обязательно в Monitoring -> Reports, можно настороить так чтобы она их писала в базу данных, например SQL сервера или Access. 5 Не юзал потому ничего сказать не могу. 6. Тоже промолчу т.к. окромя ISA ничего юзать не пробовал.
--------------------
Знал бы прикуп... жил бы в Сочи...
|
|
|
|
|
Gvan |
Вторник, 05 Августа 2003, 16:25
|
Участник
Профиль
Группа: Участник
Сообщений: 300
Регистрация: 29.01.2002
Пользователь №: 1199
Конфигурация
Корпус: NoName, 300Вт Процессор: Celeron Материнская плата: Asus TUSL2-C Оперативная память: 512 Mb Видеокарта: nVidia Жесткий диск (винчестер): IBM 60 Gb Дисковод: 3.5" CD/DVD: CD-ROM LG Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: LCD 17" Neovo Операционная система: Win2k server Прочее: --
|
1. А на конкретном примере можно? На сетевых интерфейсах ISA сервера у меня прописано: - в локальную сеть: ip: 192.168.20.115 mask: 255.255.255.0 - в интернет: ip: 214.114.12.72 mask: 255.255.255.192 gw: 214.114.12.65
На сетевом интерфейсе mail сервера: ip: 214.114.12.68 mask: 255.255.255.192 gw: 214.114.12.65
Что мне нужно прописать на isa сервере и в каком месте, чтобы занести почтовый сервер за ису? В качестве шлюза на почтовике прописать адрес 214.114.12.72, так?
|
|
|
|
|
lingod |
Среда, 06 Августа 2003, 10:09
|
Участник
Профиль
Группа: Участник
Сообщений: 282
Регистрация: 29.04.2003
Из: Украина, Киев
Пользователь №: 5147
Конфигурация
Корпус: Midi Tower 300W Материнская плата: ASUSP4P800 Deluxe Оперативная память: 2*512 DRR 400 Видеокарта: GE force 4 MX 440 Жесткий диск (винчестер): WD 80 Gb 7200 rpm Дисковод: 3.5" CD/DVD: LG DVD/CDRW Модем: -- Сетевой адаптер: 3Com Gigabit Lom Звуковая плата: Creative sb128 Монитор: 15" LG L1510M Операционная система: Windows XP Professional Прочее: --
|
Если ты хочеш спрятать почтовик за ISA то 1.Даеш ему локальный адрес т.е. ip: 192.168.20.*/24 gw:192.168.20.115
2.Адрес который висел на почтовике цепляеш на внешний интерфейс ISA сервера, т.е. теперь у тебя на внешнем интерфейсе будет два адреса с маской 255.255.255.192
3.Открываеш ISA magagment идеш во вкладку Publishing->Server Publishing rules клацаеш по ней правой кпопкой мыши и выбираеш либо Secure mail server(мастер), либо руками публикуеш этот сервер в качестве внешнего ip почтовика в мастере указываеш 214.114.12.68 т.е. тот адрес на который будет валится почта.
вроде все.
--------------------
Знал бы прикуп... жил бы в Сочи...
|
|
|
|
|
bug |
Четверг, 04 Сентября 2003, 13:59
|
Злобный БАНщик
Профиль
Группа: WinCity Team
Сообщений: 2396
Регистрация: 27.09.2001
Из: --Москва--Moscow--Moskau--
Пользователь №: 378
Конфигурация
Корпус: Asus 6AR1 Tt 450W Процессор: Sempron (socket A) Материнская плата: MSI K7N2 Delta-ILSR Оперативная память: 2x512mb Kingston PC-3200 Видеокарта: NVIDIA GeForce FX 5900 XT Overclocked Жесткий диск (винчестер): IDE 120gb IBM IC35L120AVV207 Дисковод: 3.5" CD/DVD: DVD Asus E-616, CD-RW Plextor PX-W4824TA Модем: Internal, 3Com Sporster 2976 PCI Hardware Сетевой адаптер: onboard Звуковая плата: onboard Монитор: Samsung SM 757NF Операционная система: Windows XP Pro SP2 Rus VLS Прочее: AVER STUDIO 305, Canon Lide 50
|
Настройка ISA обсуждается в соседнкм топике...чего по 2-му разу одно и тоже перемалывать...
--------------------
Используешь Windows XP? Поделись своим мнением о нем. Суббота & воскресенье у меня deadline, поэтому соблюдайте чистоту и порядок... Мы ждем тебя здесь. Присоединяйся, вместе мы сильнее... -------- Даже в обществе двух человек я непременно найду, чему у них поучится. Достоинствам их я постараюсь подражать, а на их недостатках сам буду учиться. © Конфуций
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|