Здравствуйте, Уважаемые.
Есть некоторые вопросы по организации безопасности сети и хотелось бы услышать ответы на них, исходя из практики эксплуатации isa server. При ответах, желательно было бы узнать, как это реализовать (я начал знакомиться с isa сервер только неделю назад).
1. В сети нашей конторы имеется несколько серверов, имеющих непосредственный выход в интернет - vpn-сервер, mail-сервер, proxy-сервер. Возможно ли организовать выход этих серверов в интернет только через isa server (сервера используют реальные адреса интернет)?
2. Можно ли на isa сервере задать по каким портам можно обращаться к вышеперечисленным серверам извне?
3. Можно ли для каждого из внешних серверов задать фиксированную "толщину" канала?
4. Будет ли считаться весь трафик, проходящий через isa server?
5. Ведёт ли isa сервер логи по всем обращениям в интернет или из интернета, а так же по попыткам использования запрещённых (не разрешённых явно) портов (адресов) - кто, откуда, куда и т.д.?
6. Правильно ли будет использовать для решения всех вышеперечисленных задач isa server, или можно использовать что-нибудь ещё (что конкретно)?
1. Возможно. VPN настраивается с помощью мастеров ISA. ISA и есть прокси сервер, работа с почтой через ISA настраивается достаточно просто либо публикацией своего сервера либо открытием нужных портов.
2.ТОчно не к почтовому и веб серверу точно можно по всем остальным не пробовал но по идее можно.
3.Нет.
4.Да только надо настраивать.
5.Какие то можно заставить его вести но по информативности они близки у нулю.
6. Тут трудно сказать однозначно, по своему опыту скажу что VPN и proxy я бы на один сервер не вешал.
1. Дело в том, что vpn и mail сервера это физически две разные машины, у которых имеются реальные ip. Было бы интересно узнать каким образом их можно занести за isa? Как работает иса в режиме прокси, я вроде разобрался, хотя тоже есть вопросы...
2. Возможно я не корректно сформулировал вопрос... Меня интересует, может ли иса, если занести за неё mail и vpn сервера, "обрубать" все запросы, допустим ICMP, к этим серверам кроме служебного - по портам 25 и 110 для mail сервера, и 1723 - для vpn? И как настраивать сами эти сервера (какой прописывать шлюз на сетевом интрефейсе, надо ли ставить клиента isa)?
3. В исе я нашёл ветку Bandwidth Rules, где в свойствах можно задать, как я понял, скорость канала. А затем надо создавать правила для указания приоретизации трафика. Кто нибудь это настраивал?
4. Настраивать надо в Monitoring Configuration -> Report Jobs, а смотреть в Monitoring -> Reports. Так?
5. Я видел для анализа логов ISA Server есть программка "InternetAccessMonitor for MS ISA Server"... Надо посмотреть насколько полно она отображает то, что действительно интересно (потому что isa server может и своими силами показывать общую статистику, см. п.4)
6. У меня почти все внешние сервисы находятся на разных машинах. Меня интересует - использовал ли кто-нибудь для решения подобних задач софт сторонних производителей (например, Symantec Enterprise Firewall или CheckPoint Firewall)? Как выбрать оптимальное решение?
1 Про vpn сервер за ISA ничего не скажу не пробовал, почта (Exchange) у меня через ISA отлично работает.
2. Может, шлюз соответсятвенно ISA сервер, насчет клиента это зависит от того как ты настроиш ISA, у меня например клиенты не стоят ни на одной машине и никто не страдает.
3. Это не скорость канала а скорее приоритет его использования, т.е. разным пользователям можно назначить разные приоритеты для того чтобы при большой загрузке канала пользователи с более высоким приоритетом могли с нормальной скоросью выходить в инет. Однако большой пользы от этого я не заметил.
4. Да хотя смотреть не обязательно в Monitoring -> Reports, можно настороить так чтобы она их писала в базу данных, например SQL сервера или Access.
5 Не юзал потому ничего сказать не могу.
6. Тоже промолчу т.к. окромя ISA ничего юзать не пробовал.
1. А на конкретном примере можно?
На сетевых интерфейсах ISA сервера у меня прописано:
- в локальную сеть:
ip: 192.168.20.115
mask: 255.255.255.0
- в интернет:
ip: 214.114.12.72
mask: 255.255.255.192
gw: 214.114.12.65
На сетевом интерфейсе mail сервера:
ip: 214.114.12.68
mask: 255.255.255.192
gw: 214.114.12.65
Что мне нужно прописать на isa сервере и в каком месте, чтобы занести почтовый сервер за ису?
В качестве шлюза на почтовике прописать адрес 214.114.12.72, так?
Если ты хочеш спрятать почтовик за ISA то
1.Даеш ему локальный адрес
т.е.
ip: 192.168.20.*/24
gw:192.168.20.115
2.Адрес который висел на почтовике цепляеш на внешний интерфейс ISA сервера, т.е. теперь у тебя на внешнем интерфейсе будет два адреса с маской 255.255.255.192
3.Открываеш ISA magagment идеш во вкладку Publishing->Server Publishing rules клацаеш по ней правой кпопкой мыши и выбираеш либо Secure mail server(мастер), либо руками публикуеш этот сервер в качестве внешнего ip почтовика в мастере указываеш 214.114.12.68 т.е. тот адрес на который будет валится почта.
вроде все.
Настройка ISA обсуждается в соседнкм топике...чего по 2-му разу одно и тоже перемалывать...
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)