Microsoft ISA server 2006

Transkript

Příručka pro zavedení serveru do školního prostředí
Obsah
Microsoft ISA server 2006 ................................................................................................... 1
Úvod...................................................................................................................................... 5
Microsoft ISA server 2006 .................................................................................................. 6
ISA server jako Firewall .................................................................................................. 7
ISA server a bezpečný přístup k internetu ...................................................................... 7
ISA server a zveřejnění interních služeb ........................................................................ 8
ISA server jako brána VPN ............................................................................................. 9
Historie ISA serveru ..........................................................................................................10
Microsoft Proxy Server ..................................................................................................10
Microsoft ISA server 2000 .............................................................................................10
Základní koncepce práce ISA serveru...............................................................................12
Síťová pravidla – Network Rules ...................................................................................13
Pravidla firewallu ...........................................................................................................15
Umístění ISA serveru v síti ............................................................................................16
Instalace ISA serveru ...........................................................................................................19
Příprava instalace .............................................................................................................19
Infrastruktura sítě ..........................................................................................................19
Příprava ISA serveru.........................................................................................................22
Hardwarové a softwarové požadavky ISA serveru 2006 ................................................22
Před instalací ................................................................................................................23
Instalační proces ...........................................................................................................27
Kontrola po instalaci ......................................................................................................31
Výchozí stav po instalaci ISA serveru ............................................................................32
Konzola pro správu ISA serveru ...........................................................................................34
Klienti ISA serveru ................................................................................................................38
Firewall klient ....................................................................................................................38
SecureNAT klient ..............................................................................................................39
Web-Proxy klient...............................................................................................................39
Microsft ISA Server 2006 – příručka pro školy
Page 2
Kombinace více klientů .....................................................................................................40
Konfigurace klientů ...........................................................................................................40
SecureNAT klient ..........................................................................................................40
Web-Proxy klient ...........................................................................................................42
Firewall klientská aplikace (Firewall klient) ....................................................................50
Konfigurace firewallu ............................................................................................................58
Počáteční konfigurace šablonou .......................................................................................58
Pravidla firewallu ...............................................................................................................61
Objekty pro tvorbu pravidel ............................................................................................63
Přístupová pravidla – Access rules ................................................................................67
Systémová politika ............................................................................................................73
Aplikační filtry....................................................................................................................74
HTTP aplikační filtr ........................................................................................................76
FTP aplikační filtr...........................................................................................................79
Publikování interních serverů na internet ..........................................................................80
Zveřejnění newebových služeb .....................................................................................80
Publikace webového serveru .........................................................................................82
Publikace poštovního serveru........................................................................................85
VPN klientský přístup ........................................................................................................88
Nastavení VPN serveru .................................................................................................88
Připojení klienta .............................................................................................................90
Cache ...............................................................................................................................91
Aktivace cache ..............................................................................................................92
Pravidla cache ...............................................................................................................92
Content download jobs ..................................................................................................94
Správa a monitorování ISA ...................................................................................................96
Administrativní role ...........................................................................................................96
Monitorování .....................................................................................................................97
Výstrahy (Alerts) ............................................................................................................98
Spojení (Sessions) ........................................................................................................99
Služby (Services) ........................................................................................................100
Reporty (Reports) ........................................................................................................100
Verifikátory konektivity (Connectivity verifiers) .............................................................103
Logování (Logging) .....................................................................................................103
Page 3
Internet Blocking Tool (InetBlocker) ................................................................................104
Instalace aplikace ........................................................................................................105
Nastavení ISA serveru.................................................................................................107
InetBlockerAdmin ........................................................................................................108
InetBlocker ..................................................................................................................111
Shrnutí ........................................................................................................................112
Dodatky ..............................................................................................................................113
Odkazy ...........................................................................................................................113
FAQ ................................................................................................................................113
Page 4
Úvod
V dnešní době, kdy je téměř každá počítačová síť připojena k internetu, je jedním
z nejdůležitějších úkolů pro správce sítě zajistit bezpečné připojení k internetu. Na tuto
bezpečnost se lze dívat ze dvou stran. Jedním úhlem pohledu je zabezpečit síť tak, aby
neznámí útočníci z internetu nebyli schopni proniknout do vnitřní sítě a napáchat škody,
zničit data či zcizit citlivé interní informace. Druhým úhlem pohledu je třeba zajistit, aby
uživatelé vnitřní sítě měli zajištěn rychlý a stabilní přístup k internetovým službám, které
potřebují a maximálně jim omezit možnost zneužívat internetového připojení k činnostem,
jenž nesouvisení s jejich prací, nebo dokonce nejsou v mezích zákona.
Počítače nebo jiná zařízení, která slouží k tomuto účelu, se nazývají Firewall. Tyto firewally
lze rozdělit do dvou základních kategorií. První kategorií jsou hardwarové firewally. Jsou to
specializovaná zařízení, vybavená většinou systémem výrobce. Jsou zapojeny z jedné
strany k přípojce internetu a z druhé strany k vnitřní počítačové síti. Veškerá komunikace
s internetem tedy prochází přes toto zařízení. Firewall tak může kontrolovat komunikaci a
v případě podezření na útok, nebo porušení definovaných pravidel provozu komunikaci
zastavit. Konfigurace hardwarových firewallů bývá složitá a náročná na vědomosti a
zkušenosti správce.
Druhou kategorií jsou firewally softwarové. Prakticky jde o počítače, vybavené více síťovími
adaptéry (kartami). Jsou umístěny ve stejném místě, jako hardwarové firewally. Jedním
adaptérem jsou připojeny k vnitřní síti a druhým adaptérem k internetové přípojce (k síti
poskytovatele internetu). Na počítači musí být nainstalován nějaký operační systém a
spuštěna služba, která umožní komunikaci mezi internetem a vnitřní sítí. Dále tam může být
nainstalován software, který umožňuje komunikaci sledovat, zaznamenávat, vyhodnocovat a
případně filtrovat nežádoucí komunikaci. Jedním ze softwarových firewallů je Microsoft ISA
server, aktuálně ve verzi 2006. Grafické uživatelské rozhraní Vám usnadní správu firewallu.
Předdefinované šablony typického nastavení lze použít k prvotnímu nastavení a řada
průvodců umožní snadno nastavit některé služby a pravidla. Obrovskou výhodou ISA
serveru je jeho podpora pro sítě založené na serverových systémech Microsoft Windows.
Integrovaná podpora služby Active Directory umožňuje nastavovat komunikaci na základě
existujících uživatelských účtů nebo objektů uložených v Active Directory. Vestavěná
podpora pro služby VPN umožňuje bezpečné připojení do vnitřní sítě ze vzdáleného
počítače v internetu.
Tato příručka je určená zejména správcům sítí základních a středních škol, kteří nemají
zkušenosti se správou firewallu. Umožní jim pochopit základní principy funkce firewallu a
nainstalovat, nastavit a spravovat Microsoft ISA server. Zvýší tak bezpečnost školní sítě,
sníží možnosti zneužívání internetu studenty a sníží finanční náklady na toto zabezpečení.
Page 5
Microsoft ISA server 2006 je software, který slouží k vytvoření bezpečné internetové brány
z počítače s operačním systémem Microsoft Windows Server 2003.




V první řadě ISA server chrání vnitřní síť před nežádoucí komunikací nebo před
cílenými útoky a řídí přístup uživatelů z vnitřní sítě k internetu. Různým skupinám
uživatelů lze tedy povolit nebo zakázat využití různých internetových služeb (web,
pošta) na internetu, nebo některých vybraných internetových serverech.
Druhou funkcí ISA serveru je zpřístupnění, neboli zveřejnění některých služeb
vnitřní sítě uživatelům na internetu. Pokud tedy má škola nebo jiná organizace
vlastní webový server nebo poštovní server, ISA umí tyto služby zveřejnit na
internet tak, aby si každý mohl prohlížet webovou prezentaci školy, uživatelé
z vnitřní sítě (studenti a učitelé) mohli přijímat emailové zprávy z internetu, nebo
přistupovat ke svým emailovým schránkám z domova.
Třetí možností jak využít ISA server je služba WebCache (mezipaměti). ISA
server může být konfigurován tak, aby přístupy na internetové stránky z vnitřní
sítě po jistou dobu uchoval ve své paměti. Pokud během zmíněné doby dojde
k přístupu na stejnou webovou stránku, třeba i z jiného počítače, ISA server může
uživateli poslat webovou stránku, kterou má dočasně uloženou v paměti. Šetří tak
kapacitu internetové linky a uživateli zpříjemní práci rychlejší prácí s internetem.
Poslední důležitou částí ISA serveru je jeho integrovaná VPN brána. Ta umožňuje
snadné nastavení pro bezpečná vzdálená připojení k vnitřní síti. Tato mohou být
ověřovaná na základě uživatelských účtů nebo skupin v Active Directory a bývají
šifrovaná. Takže vzdálený uživatel může mít například přístup k serveru, na
kterém má uloženy dokumenty pro výuku atd. VPN brána také umožňuje
transparentní propojení více sítí (poboček, škol), ale to je již nad rámec této
příručky a běžné školní sítě.
Vnitřní síť
ISA server
Internet
Obrázek 1: Umístění ISA serveru
Microsoft ISA server 2006 je dostupný ve dvou edicích. Standard edice slouží těm, kdo chtějí
zabezpečit svoji síť typicky jedním firewallem. Pro velké organizace je určena Enterprise
edice, kde je možno centrálně spravovat více skupin (polí) firewallů, kde každé pole je
umístěno v jiném místě sítě (složité, vysoce zabezpečené síťové infrastruktury) a v každém
poli může pracovat více firewallů se shodnou funkcionalitou (rozkládání síťové zátěže na
více strojů). Tato příručka je zaměřena čistě na ISA Server edice Standard, která je pro malé
sítě dostačující.
Page 6
ISA server jako Firewall
Firewall je zařízení, které je umístěno mezi několika segmenty sítě jako komunikační brána.
V této příručce budeme uvažovat dvě sítě, jako je to na obrázku 1. Firewall je nastaven
pomocí pravidel filtrace komunikace tak, aby umožňoval pouze povolenou komunikaci mezi
dvěma segmenty sítě.
ISA server 2006 funguje jako firewall. Po instalaci je ve výchozím stavu takovém, který
nepovoluje žádnou komunikaci mezi sítěmi. Pokud by byl umístěn podle obrázku 1,
znamenalo by to, že nikdo z vnitřní sítě by neměl přístup k internetu a nikdo z internetu by
neměl přístup do vnitřní sítě. Komunikace, která bude pouze v rámci interní sítě, nebude
nijak narušena. ISA server pracuje jako firewall s paketovým, stavovým a aplikačním
filtrováním.



Paketové filtrování (Packet filtering) pracuje s informacemi v hlavičce
komunikačních paketů. Při příchodu paketu na síťové rozhraní ISA server paket
otevře a vyhledá v něm IP adresu a číslo portu odesilatele a příjemce. Tyto informace
porovná s definovanými pravidly. Pokud existuje pravidlo, které komunikaci umožní,
ISA server paket odešle pomocí síťového rozhraní směrem k cílovému počítači.
Pokud neexistuje pravidlo, které by komunikaci umožnilo, ISA server paket zahodí
(zlikviduje).
Stavové filtrování (Stateful filtering) je důkladnější proces kontroly síťové
komunikace. U stavového filtrování ISA server kontroluje správný postup komunikace
při navazování nového spojení pomocí protokolu TCP. TCP protokol má několik stavů
(navazování spojení, komunikace, ukončení spojení). Různé typy TCP paketů mohou
být součástí komunikace v různých fázích (stavech) spojení. Správné navazování a
ukončování spojení tedy ISA server kontroluje a v případě nesprávné komunikace
(možný pokus o útok) daný paket zahodí.
Aplikační filtrování (Application-Layer filtering) kontroluje a filtruje komunikaci na
základě aplikačních protokolů. Paketovým ani stavovým filtrováním nelze zabránit
útokům na aplikační úrovni. Aplikační filtr z přijatého paketu kontroluje datovou část
paketu, což je některý aplikační protokol (např. HTTP, POP3, SMTP). Záměrnou
nekorektní zprávou HTTP lze například napadnout a omezit funkčnost webového
serveru. HTTP aplikační filtr lze například použít k vyhledávání a blokaci webové
komunikace, která obsahuje definovaná klíčová slova nebo přenáší soubory se
zakázanými příponami.
ISA server a bezpečný přístup k internetu
ISA server 2006 lze použít k zabezpečení komunikace mezi počítači uživatelů vnitřní sítě a
internetem. K tomu je třeba, aby veškerá komunikace z klientů, která směřuje do internetu,
procházela přes ISA server. ISA server pak pracuje jako zprostředkovatel (proxy server)
mezi interním klientem a internetovým serverem.
Pokud budou klienti posílat všechny své internetové požadavky ISA serveru, ISA server
bude tyto požadavky posílat do internetu a přijímat odpovědi, které bude zpět přeposílat
klientovy na vnitřní síť. Nemusí tedy být přímé spojení mezi klientem z vnitřní sítě a serverem
na internetu. Informace o síťové konfiguraci klienta, nebo vnitřní sítě tedy není z internetu
Page 7
viditelná. Dále pak ISA server může požadavky a odpovědi filtrovat a blokovat na základě
uživatelského jména, IP adresy klienta, aplikačního protokolu, obsahu nebo časového plánu.
Na základě pravidel definovaných administrátorem ISA serveru tedy lze jednotlivým
uživatelům nebo skupinám zpřístupnit vybrané služby (web, pošta) na vybraných
internetových serverech.
ISA server 2006 může také pracovat jako Caching server. Cache je dočasné úložiště pro
často používané objekty a URL získané zejména z webových serverů. Cache může zvyšovat
výkonnost tak, že klientům na webové požadavky vrací informace uložené v cache namísto
kontaktování webového serveru v internetu. Například když klient požaduje data z nějakého
webového serveru, pošle požadavek ISA serveru. Když ISA server pro daný požadavek
nemá ve své cache platnou stránku, kontaktuje internetový webový server. Odpověď
přepošle klientovy, který o ni žádal a uloží si ji do své cache (do operační paměti nebo na
pevný disk). Další požadavky na stejnou stránku pak bude ISA server vybavovat přímo ze
své cache, dokud stránka v cache nezestárne. Zkrátí se tak doba pro zobrazení webové
stránky uživateli a ušetří se komunikace do internetu.
ISA server a zveřejnění interních služeb
Často je nutné umožnit neznámým nebo známým uživatelům internetu přístup k zdrojům na
vnitřní síti. Nejběžnějším případem je přístup na webovou prezentaci organizace, která je na
www serveru vnitřní sítě. Dalším příkladem může být emailový server organizace, který musí
být přístupný z internetu alespoň z důvodu příjmu emailových zpráv z cizích domén.
K tomuto účelu slouží speciální pravidla firewallu.
Jedním typem pravidla pro publikování je pravidlo publikování webového serveru. ISA server
pak na svém internetovém rozhraní očekává požadavky HTTP protokolu od klientů
v internetu. Tyto požadavky, pokud jsou pravidlem povolené, přeposílá internímu webovému
serveru. Odpověď od webového serveru pak ISA vrátí žadateli v internetu.
ISA server pomocí pravidla publikování webového serveru tak zpřístupní internetovým
uživatelům pouze konkrétní webový server v interní síti a nic víc. Tato pravidla mohou být
také použita ke skrytí interní struktury webových serverů, kdy více webových serverů nebo
více webových prezentací se může internetovým uživatelům jevit jako jediná prezentace na
jediném serveru. Publikační pravidla webového serveru jsou také schopny zveřejnit více
prezentací od více serverů na jedinou externí IP adresu s použitím standardního portu 80
webového serveru.
Samozřejmostí je také použití HTTP aplikačního filtru ke sledování komunikace na aplikační
úrovni, nebo zajištění komunikace mezi klientem v internetu a ISA serverem, mezi ISA
serverem a interním webovým serverem nebo mezi oběma pomocí šifrovaného spojení
protokolem HTTPS. Při zveřejnění například interního webového serveru s informačním
systémem organizace, který má být přístupný pouze interním uživatelům, lze ISA server
nastavit tak, aby vyžadoval při přístupu autentizaci uživatele – zadání uživatelského jména a
hesla. Identita takového uživatele je pak často ověřována pomocí služby Active Directory a
ISA server může přihlášení delegovat na cílový server s informačním systémem, aniž by se
uživatel musel opětovně přihlásit k cílovému webovému serveru.
Page 8
ISA server nabízí i řadu průvodců k publikování běžně používaných služeb. Například
průvodce publikováním přístupu k poštovnímu serveru umí jednoduše zpřístupnit webové
rozhraní poštovního serveru Microsoft Exchange – OWA (Outlook Web Access) – tak, že
vytvoří konkrétní pravidlo publikování webového serveru (OWA) tak, aby umožnilo práci
s Exchange serverem z internetu. Další průvodci umožní jednoduše vytvořit pravidla firewallu
tak, aby poštovní server mohl přijímat emailové zprávy odeslané z internetu nebo umožnil
majitelům poštovních schránek přístup z domova pomocí poštovních klientů a protokolů jako
IMAP nebo POP3.
Pro publikování ostatních služeb, které nejsou na bázi webového serveru, slouží pravidla
publikování serveru, která jsou oproti komplexním pravidlům publikace webových služeb
jednodušší. Neumožňují autentizaci, nebo zveřejnění více serverů na stejném portu. Pro
příklad zveřejnění protokolu vzdálené plochy RDP interního serveru pro vzdálenou správu se
na internetovém rozhraní ISA serveru zpřístupní port 3389, který používá služba vzdálené
plochy. Když se klient z internetu připojí klientem vzdálené plochy k ISA serveru, je
komunikace přeposílána na zveřejněný server z vnitřní sítě. Pokud by bylo potřeba pomocí
stejného protokolu RDP zveřejnit další server nebo počítač, musel by být na ISA serveru
zveřejněn na nestandardním portu. Tato pravidla publikace serveru také nepodporují
autentizaci a řízení přístupu na základě uživatelského jména. Autentizaci může provádět až
aplikační protokol. V případě RDP by autentizace probíhala až zadáním jména a hesla do
přihlašovací obrazovky po připojení klientem vzdálené plochy, tedy až po povolení
komunikace ISA serverem a navázáním spojení s cílovou službou.
ISA server jako brána VPN
Publikování vnitřních zdrojů sítě na internet někdy nemusí být dostatečné. Některé
organizace chtějí, aby ověření uživatelé měli přístup z internetu ke všem síťovým zdrojům.
VPN je bezpečné síťové spojení mezi klientem na internetu a interní sítí. K tomuto spojení je
využita veřejná síť internetu. Zabezpečení je realizováno autentizací uživatele VPN serveru a
šifrováním komunikace přenášené přes veřejnou síť internetu. I když by byl komunikační
paket VPN spojení na cestě zachycen a analyzován, jeho obsah zůstane pro útočníka
nečitelný. Toto spojení je typu klient-server.
Druhou možností VPN brány je spojení více sítí jako třeba dvou poboček organizace. Toto
spojení může být navazováno při požadavku na komunikaci z jedné pobočky do druhé, nebo
může být aktivní trvale. Opět spojení dvou sítí přes VPN tunel je s ohledem na bezpečnost
šifrované a autentizované. Typ tohoto spojení je server-server.
ISA server umožňuje použít obě varianty VPN spojení. Jak připojení vzdáleného klienta, tak
spojení více sítí - poboček organizace. Pravidla, která pak umožňují komunikaci mezi
vzdálenými klienty VPN a vnitřní sítí nejsou tak restriktivní oproti pravidlům komunikace
s internetem, případně neomezují komunikaci VPN klienta na internetu s vnitřní sítí vůbec.
Page 9
Historie ISA serveru
Microsoft Proxy Server
Na počátku linie produktů ISA serveru stál Microsoft Proxy Server, který byl uveden na trh
koncem roku 1996. Jednalo se o server, který umožňoval přístup k internetu klientům na
vnitřní síti. Fungoval i jako cache server a pomocí Winsock proxy umožnil přístup k internetu
i jiným aplikacím než webovému prohlížeči.
V roce 1999 byl na trh uveden vylepšený Microsoft Proxy Server 2.0. Podporoval již
spolupráci více serverů v poli. Požadavky klientů z vnitřní sítě na internet tedy mohly být
rozdělovány na jednotlivé servery v poli. Zlepšila se tak dostupnost internetu. Pokud některý
server přestal pracovat, ostatní byli schopni dále vyřizovat požadavky. Vylepšení se dostalo
také samotné Cache, kdy každý server v poli měl uložené jiné webové stránky a objekty.
Cache tedy byla distribuovaná na všech serverech v poli a dohromady tvořila jednu logickou
cache. Možnosti cache ještě byly rozšířeny z protokolu HTTP i na protokol FTP a zavedla se
podpora pro reverzní cachování – cachování požadavků klientů z internetu na webové
servery vnitřní sítě.
S vydáním další verze produktu došlo též ke změně jména. ISA server 2000 obsahoval
nespočet nových a vylepšených funkcí, které sahaly daleko za definici obyčejného proxy
serveru. ISA 2000 (Internet Security and Acceleration) byl kromě proxy a cache serveru
obohacen o kvalitní firewallové řešení.
Kromě víceúrovňového filtrování na síťové, transportní a aplikační vrstvě ISO/OSI modelu
(paketový, stavový a aplikační filtr) přišel ISA server 2000 s dalšími možnostmi. Mezi ty
významnější patří:






Integrace s AD – ISA server umí spolupracovat s databází Active Directory a
administrátor může definovat pravidla firewallu na základě uživatelů a skupin
spravovaných v Active Directory.
Integrace s VPN – ISA server může sloužit jako server pro vzdálené VPN klienty,
nebo jako VPN brána do jiné vzdálené sítě (pobočky).
Detekce útoků – Tato funkce sleduje pokusy o komunikaci a informuje o možných
pokusech útoku. Například zaznamenáním výstrahy o skenování portů ISA serveru
z internetu.
Podpora pro secureNAT klienty – umožní využití služeb ISA serveru počítačům,
které nemají instalovanou aplikaci firewall klienta. Například pro počítače s jiným
operačním systémem než Microsoft.
Monitorování a Reporting – ISA server umožňuje sledování výkonnosti a
generování grafických zpráv (reportů) o využití ISA serveru.
Email screening – sledování a filtrování komunikace mezi internetem a emailovým
serverem v interní síti. Od tohoto sledování se ale postupem času upouštělo a ISA
server 2006 již tuto funkci nepodporuje.
Page 10
ISA server 2004 přinesl nové uživatelské rozhraní, které je přehlednější. Významná
vylepšení oproti ISA serveru 2000 jsou:











Podpora více sítí – správce ISA serveru může definovat více sítí, které představují
počítače ve více interních sítích. Mezi těmito sítěmi pak nastaví pravidla povolené
komunikace.
Route a NAT vztah mezi sítěmi – překlad síťových adres (NAT) při komunikaci mezi
dvěma sítěmi umožňuje komunikaci iniciovanou z jedné sítě do druhé sítě. Zároveň
dochází ke skrytí identity zdrojové sítě ISA serverem. Routování mezi sítěmi používá
standardní předávání paketů (jako na routeru). Umožňuje iniciovat komunikaci z obou
sítí a je transparentní – nelze skrýt identitu některé sítě. Oproti ISA serveru 2000 je
komunikace prováděná routováním plně kontrolována a filtrována ISA serverem.
Síť VPN klientů – klienti připojení k ISA serveru přes VPN kanál nejsou přímou
součástí interní sítě, ale ve speciální síti VPN klientů. Při komunikaci s interní sítí se
tak jedná o mezisíťovou komunikaci, kterou ISA server plně kontroluje a filtruje.
Různým uživatelům připojeným přes VPN klienta tak lze povolit komunikaci
k vybraným zdrojům interní sítě.
VPN karanténa – slouží k ochraně interní sítě před nebezpečnými VPN klienty.
Klientem může být jakýkoliv počítač. Proto je možné připojené klienty nejprve umístit
do karantény a zkontrolovat. Kontrola může zahrnovat zjištění instalovaného
antivirového softwaru, jeho verzi, kontrolu osobní brány firewall (součást Windows XP
SP2, nebo od jiných výrobců) nebo čehokoliv jiného. Klienti, kteří neprojdou VPN
karanténou, pak nemusejí mít plný přístup k interní síti.
HTTP aplikační filtrování na základě pravidel – nastavení HTTP filtru není jen na
globální úrovni ISA serveru, ale lze je konfigurovat i pro jednotlivá pravidla. Tím tedy
lze používat jiný HTTP filtr například pro různé uživatele, nebo různé cílové webové
servery.
Blokace spustitelných souborů HTTP filtrem – HTTP filtr lze nastavit tak, aby
blokoval přenos spustitelných souborů přenášených HTTP protokolem nezávisle na
jejich příponě.
Verifikace konektivity – ISA server může ověřovat běh některých počítačů,
případně činnost služeb jako Active Directory, DNS, webový server. V případě
problému může kontaktovat administrátora například emailovou zprávou.
Publikování reportů – automaticky generované reporty o funkci ISA serveru lze
ukládat do sdílené složky na některém serveru.
Logování do MSDE databáze – je jako výchozí formát logovacího souboru.
Logované informace pak lze jednoduše pomocí databázového dotazu sestaveného
v konzole ISA serveru zobrazit.
Administrativní role – ISA server 2004 umožňuje vybraným uživatelům přidělit
některou roli správce ISA serveru. Uživatelé tak mohou například získat přístup ke
sledování funkce ISA serveru, aniž by měli přístup ke změně jeho konfigurace.
Form-Based autentizace pro OWA – je bezpečným způsobem, jak získávat citlivé
přihlašovací údaje uživatelů z Active Directory a použít je k přihlášení na webové
rozhraní poštovního serveru Exchange s prostředí veřejného internetu.
Page 11

Import a export nastavení – Jakékoliv části nastavení ISA serveru, nebo kompletní
nastavení lze uložit nebo načíst ze souboru XML. Lze tak zálohovat konfiguraci, nebo
ji přenést na jiný server.
ISA server 2006 je v tuto chvíli nejnovějším reprezentantem produktové řady Microsoft ISA
serverů. Některé nové funkce nebo vylepšení oproti předchozí verzi ISA serveru 2004 jsou:






Web-Farm rozdělování zátěže – ISA server 2006 umí zveřejnit farmu webových
serverů (serverů se stejným obsahem). Požadavky klientů z internetu pak
rovnoměrně rozděluje na jednotlivé interní webové servery.
Form-Based autentizace pro webové servery – použití bezpečné autentizace
Form-Based již není vázáno jen na službu OWA (Outlook Web Exchange), ale lze ji
použít pro autentizaci přístupu k libovolnému webovému serveru. Dále byl tento typ
autentizace rozšířen o možnost změny hesla uživatele a ISA server byl rozšířen o
více možností delegace autentizace.
Vylepšení průvodci publikace – umožní publikovat novější typy služeb, jako
například Exchange 2007 nebo Share Point services.
Single Sign-on – umožní přístup k různým webovým serverům, které vyžadují
autentizaci tak, aby se uživatel nemusel autentizovat každému serveru.
Vylepšená detekce zahlcení – umožní lepší ochranu ISA serveru před pokusem o
jeho zahlcení velkým počtem falešných spojení.
LDAP autentizace – umožňuje ISA serveru ověřovat uživatelské účty v Active
Directory i v případě, že ISA server není členem domény.
Základní koncepce práce ISA serveru
ISA server rozděluje všechny počítače do několika sítí. Vnitřní síť definuje administrátor jako
rozsah IP adres použitích ke konfiguraci počítačů vnitřní sítě. Často tedy bude vnitřní sít
používat některý z rozsahů IP protokolu určeného k lokálnímu použití:
Třída Počáteční adresa Koncová adresa
Výchozí maska
sítě
Zkrácený zápis výchozí
masky
A
10.0.0.0
10.255.255.255
255.0.0.0
IP_adresa/8
B
172.16.0.0
172.31.255.255
255.255.0.0
IP_adresa/16
C
192.168.0.0
192.168.255.255
255.255.255.0
IP_adresa/24
Tabulka 1: Privátní rozsahy IP adres
Page 12
Interní síť
192.168.0.0/24
192.168.0.1
83.112.221.3
Externí síť
(internet)
ISA server
Síť localhost
VPN klienti
192.168.1.0/24
VPN karanténa
192.168.1.0/24
Obrázek 2: výchozí sítě ISA serveru
ISA server obsahuje několik předdefinovaných sítí. Jejich význam je shrnut v tabulce 2.
Lokální síť
Lokální síť reprezentuje samotný ISA server.
Localhost
Interní síť
Internal network
Externí síť
External network
VPN klienti
VPN clients network
VPN karanténa
VPN quarantined clients
Interní síť zahrnuje počítače s adresami definovanými
administrátorem během instalace ISA serveru. Je to
důvěryhodná síť, kterou ISA server chrání před útoky
z internetu. ISA server je zároveň k této síti připojen jedním
síťovým rozhraním, které má definovanou IP adresu
z rozsahu této privátní sítě.
Externí síť není definována žádným rozsahem IP adres, ale
zahrnuje vše, co není nijak definováno. ISA server bývá
jedním rozhraním připojen k externí síti (internetu, síti
poskytovatele internetu). IP adresa externího rozhraní ISA
serveru bývá nastavena podle dohody s poskytovatelem
internetu.
Síť VPN klientů zahrnuje všechny počítače, které se připojily
pomocí VPN spojení k ISA serveru. Rozsah IP adres sítě
VPN klientů se nesmí krýt s rozsahem adres interní sítě, nebo
jiné sítě vytvořené administrátorem.
Síť VPN karantény zahrnuje VPN klienty, kteří neprošli
karanténní kontrolou, pokud je kontrola vyžadována.
Tabulka 2: Výchozí sítě ISA serveru
Síťová pravidla – Network Rules
Komunikace v rámci jedné sítě, například v rámci interní sítě, probíhá autonomně, bez
vědomí ISA serveru. Ke komunikaci mezi dvěma sítěmi je již nutné komunikovat přes ISA
Page 13
server. Aby ISA server povolil komunikaci z některé sítě do jiné sítě, musí existovat pravidlo,
jak má komunikace probíhat.
Příkladem takové komunikace může být komunikace z interní sítě do externí sítě (přístup
k webovému serveru na internetu), nebo komunikace z interní sítě do sítě localhost (např.
vzdálená správa ISA serveru z administrátorovy pracovní stanice).
Síťové pravidlo NAT
Prvním typem síťového pravidla může být síťové pravidlo NAT. Je to pravidlo jednosměrné,
což znamená, že komunikace může být iniciována pouze z jedné sítě do druhé. ISA server
provádí překlad adres (network address translation) čímž skrývá identitu sítě, odkud byla
komunikace iniciovaná.
Na obrázku 3 je postup takové komunikace znázorněn pro případ pravidla NAT z interní sítě
do externí sítě. Počítače z interní sítě tedy odešle požadavek například na webový server
v internetu. Protože jako brána do internetu funguje ISA server, počítač tento požadavek
pošle ISA serveru. ISA server v paketu provede překlad síťové adresy, což znamená, že
změní pole odesilatele v IP paketu na svoji IP adresu externího adaptéru, která je dostupná
z internetu a požadavek pošle do internetu směrem k webovému serveru. Webový server
obdrží žádost o nějaké informace, sestaví odpověď a odešle ji zpět odesilateli. Adresátem
odpovědi je ISA server, protože webový server obdržel požadavek od ISA serveru. Po
příchodu odpovědi na ISA server, služba firewallu musí vyhledat záznam o tom, kdo byl
původním iniciátorem této komunikace. V případě na obrázku to byl počítač s názvem Pc1,
kterému ISA server doručí odpověď. Webový prohlížeč pak na počítači Pc1 zobrazí
obdrženou stránku.
zdroj
192.168.0.100:8823
cíl
www.msn.com:80
požadavek
Interní síť
192.168.0.0/24
1
192.168.0.1
Pc1
192.168.0.100
zdroj
www.msn.com:80
cíl
192.168.0.100:8823
2
zdroj
83.112.221.3:5569
cíl
www.msn.com:80
83.112.221.3
4
Externí síť
(internet)
www.msn.com
ISA server
Síť localhost
odpověď
požadavek
3
zdroj
www.msn.com:80
cíl
83.112.221.3:5569
odpověď
Obrázek 3: komunikace NAT
Tento typ pravidel se nejčastěji využívá mezi interní sítí a internetem. Jednak proto, že
chrání identitu vnitřní sítě a jednak proto, že technologie překladu síťových adres (NAT)
dokáže zpřístupnit internet klientům s privátními IP adresami, používanými v rámci interní
sítě organizace. Privátní IP adresy nejsou na internetu použitelné, protože by žádný server
nedokázal doručit odpověď na neveřejnou IP adresu počítače Pc1 z interní sítě.
Page 14
Síťové pravidlo Route
Druhým typem síťového pravidla je pravidlo Route. Jde o pravidlo, které umožní komunikaci
mezi sítěmi, která může být iniciovaná z obou sítí. Nedochází k překladu adres a pole
odesilatele paketu se přes celou cestu k cíli nemění.
Komunikace, která je znázorněná na obrázku 4 vyžaduje, aby odesilatel Pc1 z interní sítě
měl veřejnou IP adresu, která je v celém internetu unikátní. Organizace však většinou
dostatečně velký blok IP adres na konfiguraci celé interní sítě nemají, protože je jich
celosvětově nedostatek. Tento problém vyústil v masivní použití překladu adres NAT a
vytvoření nové generace protokolu IP verze 6.
zdroj
82.100.5.100:3325
cíl
www.msn.com:80
požadavek
1
82.100.5.1
Interní síť
82.100.5.0/24
Pc1
82.100.5.100
zdroj
www.msn.com:80
cíl
82.100.5.100:3325
2
zdroj
82.100.5.100:3325
cíl
www.msn.com:80
83.112.221.3
4
Externí síť
(internet)
www.msn.com
ISA server
Síť localhost
odpověď
požadavek
3
zdroj
www.msn.com:80
cíl
82.100.5.100:3325
odpověď
Obrázek 4: komunikace Route
Typickým příkladem pro pravidlo Route tedy nebývá směrování komunikace mezi interní sítí
a internetem. Pravidlo Route se nejčastěji používá při nastavování komunikace mezi různými
segmenty počítačové sítě organizace. Jako příklad může sloužit komunikace pomocí
pravidla Route mezi interní sítí a sítí VPN klientů. Tyto sítě mají mezi sebou většinou pravidlo
typu Route. Při použití v rámci organizace lze používat routování i na sítích, které nejsou
veřejné – nejsou konfigurovány veřejnými IP adresami.
Síťová pravidla nejsou vše
Samotná existence síťových pravidel mezi dvěma sítěmi ještě neznamená, že počítače spolu
mohou začít komunikovat. Existence síťového pravidla je jednou, nikoliv jedinou podmínkou
komunikace. Síťové pravidlo stanovuje, jaký přístup se při komunikaci použije. Zda
routování, nebo překlad adres. Při použití překladu adres lze komunikaci zahájit jen jedním
směrem a ISA server musí udržovat informace o tom, na který počítač vracet odpovědi.
K povolení komunikace je třeba ještě definovat přístupová pravidla firewallu (Access rules).
Pravidla firewallu
K povolení komunikace mezi počítači v různých sítích slouží pravidla firewallu. Pokud ISA
server obdrží na některém rozhraní paket, otevře jej a zjistí z něj informace o odesilateli,
příjemci, použitém protokolu atd. Tyto informace pak porovnává postupně s pravidly firewallu
Page 15
tak, jak jsou pravidla uspořádána. První pravidlo, které vyhovuje dané komunikaci, se použije
k povolení nebo zamezení komunikace.
Jedno každé pravidlo firewallu může vypadat následovně:
1. Akce – povolit nebo zakázat komunikaci
2. Protokol – komunikace pomocí zvoleného aplikačního protokolu (HTTP, DNS,
POP3, RDP)
3. Odesilatel – síť, IP adresa nebo jiná položka schopná identifikovat odesilatele
4. Příjemce – síť, IP adresa nebo jiná položka identifikující příjemce zprávy
5. Časový plán – určuje, zda je pravidlo v daný časový okamžik použitelné nebo ne
6. Uživatel – uživatel nebo skupina uživatelů, pro které pravidlo platí
Pokud se tedy najde pravidlo, které odpovídá komunikaci podle bodů 2 až 6 předešlého
výčtu, použije se akce v bodě 1, která komunikaci povolí nebo zakáže. Pokud se žádné
takové pravidlo nenalezne, komunikace je automaticky zakázána.
Umístění ISA serveru v síti
Existuje více možností, jak začlenit ISA server do sítě organizace. Tyto možnosti se pak liší
možnou úrovní ochrany vnitřní sítě, složitostí konfigurace, nároky na zkušenosti
administrátora a finanční náročnosti na zavedení a údržbu.
Pro jednoduché školní sítě, postačuje řešení s jedním firewallem na rozhraní vnitřní sítě a
internetu. Toto řešení je obecně nazýváno jako Edge Firewall (firewall na hraně). Stejný
název je použit i pro šablonu nastavení v administrační konzole ISA serveru.
Edge firewall tedy stojí jako jediný firewall v síti organizace na hraně mezi interní sítí a
internetem. Pokud již síť organizace má připojení k internetu, většinou je na tomto místě
nějaký směrovač (router), který je schopen například pomocí překladu síťových adres zajistit
připojení k internetu pro počítače vnitřní sítě. Náhradou tohoto směrovače ISA serverem
2006 také umožníte přístup k internetu a navíc máte možnost lepší a bezpečnější
konfigurace.
AD
www
Vzdálení
uživatelé
Interní síť
ISA server
Internet
Obrázek 5: Edge firewall (firewall na hraně)
Na obrázku 5 je znázorněno umístění firewallu na hraně. Pro toto uspořádání je třeba, aby
ISA server měl alespoň dva síťové adaptéry. ISA server pracuje jako směrovač a firewall.
Tímto uspořádáním se budeme v této příručce zabývat.
Page 16
Příkladem komplexnějšího řešení ochrany je na obrázku 6, kde ISA server má tři síťové
adaptéry. Jeden pro připojení k internetu, druhý pro připojení k interní síti a třetí k připojení
do sítě demilitarizované zóny, kam se umisťují zejména servery, které musejí být přístupné
z internetu. Toto řešení pak má definována pravidla tak, aby internetoví uživatelé směli
komunikovat se servery v demilitarizované zóně a neměli žádný přístup k serverům nebo
počítačům ve vnitřní sít.
Demilitarizovaná
zóna (DMZ)
www
Internet
ISA server
Interní síť
AD
Obrázek 6: 3-leg firewall
Dalším možným řešením demilitarizované zóny je na obrázku 7. Jako Back-end firewall se
použije ISA server a pro Front-end firewall se může použít ISA server nebo nějaký
hardwarový firewall. Demilitarizovaná zóna je opět částečně přístupná z internetu a interní síť
je chráněna dvěma firewally.
AD
Demilitarizovaná
zóna (DMZ)
Interní síť
Back-end ISA
Front-end fw
(ISA/hw)
Internet
www
Obrázek 7: Back-end a Front-end firewall
Zařazení ISA serveru k doméně
ISA server může pracovat jako členský server domény Active Directory, nebo jako
samostatný server v pracovní skupině.
Klienti ISA serveru
Závěrem této kapitoly se ještě zmíníme, jakými způsoby je možné nastavit klienty v interní
síti, aby k přístupu na internet používali ISA server.
Page 17



Web-Proxy klient – počítač, jehož prohlížeč internetu (např. Internet Explorer) je
nastaven tak, aby používal proxy server. Tento proxy server je nastaven na adresu
ISA serveru.
SecureNAT klient – tento klient má nastavenu IP konfiguraci tak, že jeho výchozí
brána je ISA server. Veškeré komunikace mimo lokální síť jsou pak posílány ISA
serveru.
Firewall klient – je počítač, na němž běží speciální klientská aplikace. Tato aplikace
zajišťuje bezpečnou komunikaci s ISA serverem.
Každý typ klienta má své výhody a nevýhody. Zároveň také je možné, aby na jednom
počítači fungovalo více typů klientů současně. Tato konfigurace, stejně jako jejich výhody a
nevýhody, bude popsána v některé další kapitole věnované klientům ISA serveru.
Page 18
Instalace ISA serveru
Příprava instalace
Před samotnou instalací ISA serveru je třeba provést několik kroků pro porozumění stávající
síťové architektury, naplánování nového řešení s ISA serverem a ujasnit si, jak budou
internetové služby dostupné uživatelům interní sítě. Nejedná se jen o stanovení pravidel
komunikace pro různé skupiny uživatelů, ale zejména o nastavení infrastruktury tak, aby
uživatelé měli povolené služby dostupné. Je třeba, aby počítače v interní síti měli korektní
konfiguraci TCP/IP rozhraní a měli přístup k překladu DNS jmen na IP adresy.
1. Zmapování stávající sítě – je prvním krokem, který Vám umožní pochopit
stávající architekturu sítě a poskytne nezbytné informace. Je třeba mít přehled,
jaké IP adresy se používají v interní síti a informace o významných serverech
v interní síti. Podívejte se, jak jsou pracovní stanice konfigurovány (DHCP server)
a jakým způsobem probíhá překlad DNS jmen na IP adresy (DNS server).
2. Nutné změny v síti – pro instalaci ISA serveru a jeho zprovoznění bude zřejmě
nutné provést některé změny. Například bude třeba všechny počítače interní sítě
překonfigurovat tak, aby pro komunikaci s internetem využívaly ISA server. Dále
může být potřeba zajistit počítačům z interní sítě přístup k překladu jmen na IP
adresy a zajistit, aby uživatelé z internetu měli pomocí DNS jména organizace
přístup k zveřejněným serverům na interní síti.
3. Přístup k internetu – sestavte rámcová pravidla, podle kterých později vytvoříte
přístupová pravidla firewallu. Tyto pravidla by měly zahrnovat, které skupiny
uživatelů z vnitřní sítě budou mít přístup k internetu a jaké služby a na jakých
serverech budou moci používat.
4. Konfigurace klientů – podle již shromážděných údajů bude třeba učinit
rozhodnutí, jaký typ přístupu klientů k ISA serveru použijete. Každý typ klienta má
své klady a zápory a nejsou navzájem zaměnitelné. Proto je třeba rozumět
jednotlivým typům klientů a vědět, kdy je lze použít.
Infrastruktura sítě
Pro správnou funkci celé sítě, je nutné, aby některé další síťové služby podporovali ISA
server. Následující služby by měli být správně konfigurovány:



DNS
DHCP
Active Directory
Page 19
DNS služba
Pro připojení klientů k internetovým zdrojům je nezbytné, aby klienti měli možnost získat IP
adresu z doménového jména, které zadá uživatel například do prohlížeče internetu. Pokud
se rozhodnete zveřejnit některé své služby interní sítě na internet, musejí mít zase uživatelé
na internetu možnost získat korektní IP adresu, pomocí které se mohou připojit k některému
zveřejněnému serveru.
Použití interního DNS serveru
Mnoho organizací má již vlastní DNS server v interní síti,
který může být zkonfigurován tak, aby mohl překládat i internetová doménová jména. Pokud
má organizace instalovanou službu Active Directory, pak na doménovém řadiči služba DNS
většinou běží. Tato služba má na starosti překlad jmen pro zónu domény. Spravuje-li tedy
doménový řadič například doménu skola.cz, pak na doménovém řadiči běží DNS server,
který má na starosti překlad jmen pro zónu skola.cz.
Tento DNS server lze zkonfigurovat tak, aby kromě jmen vlastní domény mohl překládat i
ostatní jména v internetu. Nastaví se tedy na interním DNS serveru přeposílání požadavků
na překlad internetových jmen na jiný DNS server, typicky DNS server poskytovatele
internetu. Překlad jmen pro interní doménu zůstane zachován na stávajícím serveru. Ke
konfiguraci DNS serveru pro přeposílání požadavků (forwarding) postupujte následovně:
1. Na řadiči domény, nebo jiném serveru, kde běží služba DNS spusťte konzolu DNS
z Nástrojů pro správu.
2. Pravým tlačítkem klikněte na název serveru v levé části konzole a zvolte Vlastnosti.
3. Vyberte panel Servery pro předávání, do pole pro IP adresu vepište IP adresu DNS
serveru a klikněte na tlačítko Přidat. IP adresu DNS serveru zjistíte od svého
poskytovatele internetu.
Page 20
Obrázek 8: Nastavení DNS forwardingu
4. Klikněte na tlačítko OK a zavřete konzolu DNS serveru.
Použití externího DNS serveru
Druhou možností pro překlad doménových jmen je
přímé použití DNS serveru na internetu. Například pokud organizace nemá vlastní DNS
server. Při použití Web-Proxy klienta nebo Firewall klienta může ISA server fungovat jako
DNS proxy server. To znamená, že ISA server může mít nastaveno v IP konfiguraci na
externím adaptéru, aby používal DNS server poskytovatele internetu pro překlad
internetových DNS jmen. ISA server tedy bude schopen překladu jmen Web-Proxy a Firewall
klienti mohou nechat překlad jmen na starosti ISA serveru.
Při použití SecureNAT klientů není možné využít podpory DNS proxy na ISA serveru, proto
SecureNAT klienti musejí mít nastaven DNS server v IP konfiguraci na adresu DNS serveru
v internetu (DNS serveru poskytovatele internetu).
V obou případech použití DNS – nastavení přeposílání z interního DNS serveru, nebo využití
externího DNS serveru interními klienty je nutné nastavit přístupové pravidlo firewallu, které
umožní DNS komunikaci z interní sítě na DNS server poskytovatele internetu. Toto pravidlo
je i součástí šablony nastavení, kterou lze použít pro prvotní konfiguraci ISA serveru.
Pokud se spokojíme jen se službami DNS proxy ISA serveru (možné jen při použití WebProxy nebo Firewall klienta) pak přístupové pravidlo pro DNS komunikaci není potřeba
vytvořit, protože o DNS překlad internetových jmen se stará jen ISA server, který má ve
výchozím stavu přístup k jakémukoliv DNS serveru.
Page 21
Active Directory
Pokud chcete omezovat přístup k internetu z interní sítě na základě uživatelských jmen nebo
skupin uživatelů, nebo chcete omezit přístup ke zveřejněným serverům jen pro
autentizované uživatele, pak je vhodné využít integrace ISA serveru s doménou Active
Directory. Pokud je tedy ISA server členem domény, může bez jakékoliv další konfigurace
ověřovat doménové uživatele.
ISA server však také nabízí možnosti jak autentizovat doménové uživatele v případě, že ISA
server není členem domény. K tomuto účelu lze použít ověřování protokolem LDAP
(Lightweight Directory Access Protocol) nebo RADIUS standard (Remote Authentication
Dial-In User Service), který je implementován ve službě IAS (Internet Authentication service)
serveru Windows 2003:
Pokud budete chtít používat služeb Active Directory pro ISA server, musí být na interním
adaptéru ISA serveru nastavena IP konfigurace DNS severu na DNS server se zónou interní
domény (typicky na IP adresu doménového řadiče).
DHCP služba
DHCP služba není nezbytná pro zavedení ISA serveru, ale je doporučena pro zjednodušení
síťové konfigurace klientů interní sítě. Výhodou použití DHCP serveru je snadná konfigurace
klientů, která se děje automaticky. Snadno tedy nastavíte klienty tak, aby mohli pracovat
s ISA serverem nebo internetem. Při změně IP adresy internetového DNS serveru, nebo
změně adresy výchozí brány se jednoduše změní nastavení DHCP serveru a nejpozději po
restartu klientských počítačů dojde ke změně jejich IP konfigurace tak, aby vyhovovala
novým požadavkům.
DHCP server lze také využít pro konfiguraci klientů připojených přes VPN kanál z internetu.
Pokud na ISA serveru povolíte připojení VPN klientů, tak ISA server požádá DHCP server o
blok IP adres, které pak přiděluje VPN klientům.
Příprava ISA serveru
Hardwarové a softwarové požadavky ISA serveru 2006
Doporučení pro server, na který bude instalován ISA server 2006, jsou v následující tabulce.
Operační systém
Windows server 2003 SP1 a vyšší
je podporována pouze 32bitová verze operačního systému
Procesor
733MHz Pentium III nebo rychlejší
Paměť
512MB nebo více
Pevný disk
150MB volného prostoru
NTFS souborový systém
další místo pro logy a cache
Další zařízení
Jeden síťový adaptér podporovaný operačním systémem pro
připojení k interní síti, další síťové adaptéry pro připojení k dalším
Page 22
sítím (internet, případně více interních sítí)
CD-ROM nebo DVD-ROM jednotka
VGA nebo lepší obrazovka
Klávesnice, myš
Tabulka 3: předpoklady instalace
Před instalací
Pro instalaci ISA serveru budete potřebovat počítač s operačním systémem Windows server
2003. Počítač by měl odpovídat tabulce 3. Před instalací je vhodné plně aktualizovat
operační systém dostupnými záplatami a Service Packy.
1. Aktualizace operačního systému serveru – před instalací ISA serveru aktualizujte
systém, pokud máte možnost.
2. Nastavení síťového rozhraní pro interní síť – síťové rozhraní interní sítě musí být
konfigurováno IP adresou a maskou interní sítě. Pokud bude ISA server členem
domény, zkonfigurujte i položku DNS serveru interního rozhraní na adresu DNS
serveru interní sítě (řadiče domény). Pokud používáte na interní síti DHCP server,
ujistěte se, že IP adresa zvolené pro interní rozhraní ISA serveru bude vyňata
z přidělovaných IP adres DHCP serverem. Nesmí se stát, aby DHCP server
přiděloval IP adresu ISA serveru jinému počítači.
a. Otevřete Síťová připojení z Ovládacích panelů.
b. Vyberte adaptér, který bude použit pro interní síť. Pro lepší přehlednost
můžete změnit název připojení, například na Interní síť, nebo LAN.
c. Otevřete vlastnosti připojení, vyberte položku Protokol sítě internet (TCP/IP) a
klikněte na tlačítko Vlastnosti. Zadejte IP adresu a masku sítě pro interní
adaptér. Pole Výchozí brána nechte prázdné. Pokud budete chtít komunikovat
s řadičem domény, zadejte do pole Upřednostňovaný server DNS IP adresu
řadiče domény (DNS serveru).
Obrázek 9: Nastavení interního rozhraní ISA serveru
d. Uložte nastavení a zavřete Ovládací panely.
3. Připojení k doméně – pokud budete chtít připojit ISA server k doméně, můžete tak
učinit nyní. Jedinou podmínkou je správná konfigurace interního adaptéru podle bodu
2 a dostupnost doménového řadiče přes interní síť.
Page 23
4. Nastavení síťového rozhraní pro externí síť – konfiguraci síťového rozhraní
připojeného k internetu je třeba věnovat zvláštní pozornost. Z hlediska bezpečnosti je
vhodné jej konfigurovat manuálně a nevyužívat možného DHCP serveru
poskytovatele internetu. Dále je doporučeno omezit veškeré síťové služby na tomto
adaptéru pouze na protokol TCP/IP, vypnout podporu NetBIOSu a zakázat DNS
registraci.
a. Otevřete Síťová připojení z Ovládacích panelů.
b. Vyberte adaptér, který bude použit pro externí síť. Pro lepší přehlednost
můžete změnit název připojení, například na Internet.
c. Otevřete vlastnosti připojení. Odkřížkujte všechny služby a protokoly, které
nemusejí být na externím adaptéru spuštěny. Zejména pak Klient sítě
Microsoft a Sdílení souborů a tiskáren v sítích Microsoft. Protokol sítě internet
(TCP/IP) nechte zvolen.
Obrázek 10: omezení služeb na externím adaptéru
Page 24
d. vyberte položku Protokol sítě internet (TCP/IP) a klikněte na tlačítko
Vlastnosti. Zadejte IP adresu, masku sítě a výchozí bránu pro externí adaptér.
Dále můžete nastavit adresy DNS serverů. Tyto informace získáte od svého
poskytovatele internetu. Pokud se rozhodnete nechat položky konfigurovat
automaticky z DHCP serveru vašeho poskytovatele internetu, musíte po
instalaci ISA serveru změnit Systémovou politiku.
Obrázek 11: příklad IP konfigurace externího adaptéru
e. Dále ve vlastnostech protokolu TCP/IP klikněte na tlačítko Upřesnit.
f. V panelu DNS odstraňte možnost Zaregistrovat adresy DNS tohoto připojení
v systému DNS.
Page 25
Obrázek 12: vypnutí DNS registrace na externím adaptéru ISA serveru
g. V panelu WINS zakažte možnost Povolit hledání v souboru LMHOSTS a
vyberte volbu Zakázat rozhraní NetBIOS nad protokolem TCP/IP.
Page 26
Obrázek 13: vypnutí služby NetBIOS na externím adaptéru ISA serveru
h. Uložte provedená nastavení a zavřete Ovládací panely.
Pokud se přesto rozhodnete o automatickou konfiguraci pomocí DHCP klienta, po
instalaci ISA serveru bude tato konfigurace blokovaná. Budete muset změnit
Systémovou politiku ISA serveru.
Obrázek 14: přejmenování síťových připojení ISA serveru
Instalační proces
Po konfiguraci síťových adaptérů a zabezpečení adaptéru externí sítě můžete přistoupit
k instalaci samotného ISA serveru 2006. Postupujte podle následujícího postupu:
1. Přihlaste se k serveru, na který budete instalovat ISA server 2006 administrátorským
uživatelským účtem.
2. Vložte instalační médium ISA serveru. Po načtení instalačního CD a spuštění
automatické nabídky zvolte možnost Install ISA server 2006.
Page 27
Obrázek 15: Instalační CD ISA serveru 2006
Pokud nedojde k automatickému spuštění CD, nebo budete instalovat ISA server
například ze síťového disku, spusťte soubor fpc\setup.exe z kořenové složky
instalačních souborů ISA serveru.
3. Na uvítací obrazovce stiskněte tlačítko Next. Dále potvrďte licenční ujednání a
stiskněte tlačítko Next.
4. Na další obrazovce vyplňte vaše jméno a název organizace. Do pole pro licenční klíč
vložte platný licenční klíč produktu Microsoft ISA server 2006. Pokračujte tlačítkem
Next.
5. Zvolte typickou instalaci a pokračujte tlačítkem Next. Tato možnost nainstaluje
všechny komponenty ISA serveru 2006.
6. Na další obrazovce musíte definovat rozsah IP adres pro interní síť. Stiskněte tlačítko
Add, otevře se okno Addresses. V okně Addresses můžete zadat rozsah IP adres
interní sítě.
Page 28
Obrázek 16: definice IP adres interní sítě
7. Pomocí tlačítka Add Adapter můžete vložit celý rozsah IP adres, který je odvozen z IP
konfigurace interního adaptéru ISA serveru. Pomocí Add Private můžete vložit známé
privátní rozsahy IP adres nebo pomocí Add Range můžete zvolit vlastní rozsah IP
adres.
Obrázek 17: Add adapter, Add private, Add range
Zvolený rozsah IP adres musí obsahovat IP adresu interního adaptéru ISA serveru.
Po dokončení editace pokračujte tlačítkem Next. Změnu nastavení rozsahů IP adres
interní sítě můžete provést i po instalaci ISA serveru.
Page 29
8. Na další obrazovce máte možnost povolit nešifrované spojení s klienty typu firewall
klientské aplikace. Pokud je tento klient instalován na starším operačním systému
(Windows NT4.0, Windows 98SE, Windows Me) není možné komunikaci mezi
klientem a ISA serverem šifrovat. Pokud tedy budete chtít firewall klienta použít na
těchto systémech, musíte povolit nešifrovaná spojení. Jinak nechte položku ve
výchozím stavu – zakázaná nešifrovaná komunikace.
9. Na další obrazovce dostanete informaci o tom, které služby operačního systému
bude třeba zastavit a zakázat a které služby bude během instalace restartovat.
Obrázek 18: služby dotčené instalací ISA serveru 2006
10. Stiskněte tlačítko Next a na další obrazovce Install. Bude zahájena instalace ISA
serveru. Během několika málo minut bude instalace dokončena a automaticky se
spustí služby ISA serveru. Restart serveru po instalaci není nutný.
Obrázek 19: instalace
Instalace administrační konzole na pracovní stanici
Ke správě ISA serveru není nutné mít fyzický přístup k samotnému serveru. Lze na
administrátorovu pracovní stanici nainstalovat pouze administrační konzole, která se po
spuštění může přijit k libovolnému ISA serveru. ISA server zpravidla nebývá dostupný na
běžně přístupném místě, proto je vhodné jeho správu provádět vzdáleně z pohodlí
administrátorovi kanceláře.
1. Vložte instalační CD ISA serveru 2006 do pracovní stanice administrátora.
2. Spusťte instalačního průvodce a postupujte podle něj.
3. Na obrazovce volby instalace můžete zvolit typickou instalaci, pokud instalujete na
pracovní stanici (Windows XP, Windows 2000 Professional). Pokud budete chtít
Page 30
instalovat jen konzolu pro správu na jiný Windows server 2003, zvolte vlastní instalaci
(Custom) a z dostupných komponent vyberte položku ISA server management.
Obrázek 20: instalace jen konzole ISA serveru
4. Pokračujte dál dole pokynů.
5. Po instalaci máte konzolu dostupnou z nabídky Start, Programy, Microsoft ISA server.
Pro připojení konzole ke vzdálenému ISA serveru je třeba ISA server nastavit tak, aby
akceptoval vzdálená připojení z administrátorovy pracovní stanice. Postup této konfigurace
bude uveden v kapitole o Konzole ISA serveru.
Kontrola po instalaci
Po dokončení instalace ISA serveru byste se měli ujistit, že instalace byla úspěšně
provedena a jsou instalovány všechny potřebné komponenty. Kontrolu můžete provést na
více místech:
1. V konzole Služby z Nástrojů pro správu ověřte přítomnost následujících služeb, které
by měly běžet a spouštět se automaticky.
 Microsoft firewall
 Microsoft ISA Server Control
 Microsoft ISA Server Job Scheduler
 Microsoft ISA Server Storage
2. V konzoly Služby z Nástrojů pro správu ověřte přítomnost a správnou konfiguraci
služeb MSDE (Microsoft Data Engine), které slouží pro logování funkce ISA serveru
 MSSQL$MSFW – stav - spuštěna, typ spuštění - automaticky
 MSSQLServerADHelper - stav - nespuštěna, typ spuštění – manuální
Page 31
Obrázek 21: Služby ISA serveru 2006
3. Záznamy (logy) o průběhu instalace – jsou umístěny do adresáře %windir%\temp
(C:\windows\temp).
 ISAFWSV _NNN.log – podrobné záznamy o instalaci služby firewallu
 ISAMSDE_NNN.log – podrobné záznamy o instalaci MSDE služeb
 ISAFWUI_NNN.log – záznamy instalátoru
 ISAWRAP_NNN.log – krátké shrnutí průběhu instalace všech komponent
4. V Prohlížeči událostí z Nástrojů pro správu máte k dispozici v záznamech aplikací
informace o spuštění služeb firewallu, případně chybách, které spuštění znemožňují.
Výchozí stav po instalaci ISA serveru
Jakmile je nainstalován ISA server 2006 na zvolený server, jsou služby firewallu automaticky
spuštěny. Konfigurace ISA serveru je v definovaném výchozím stavu.


Dostupné sítě – Networks
Jméno
popis
External
Externí sít – internet
Internal
Interní síť – definována rozsahem IP adres během
instalace ISA serveru
Localhost
Reprezentuje samotný ISA server
Quarantined VPN clients
Síť pro VPN klienty, kteří nesplňují podmínky karantény
(pokud je karanténa zapnuta)
VPN clients
Síť pro VPN klienty
Síťová pravidla – Network rules
Zdrojové umístění
Cílové umístění
Internal
Síťové pravidlo
NAT
External
(platí pro přístup směrem
do Externí sítě)
Internal
Route
All networks
Route
VPN clients
VPN clients
Localhost
Page 32






Pravidla firewallu
o System policy – pravidla, která umožňují komunikaci ISA serveru s okolními
sítěmi
o Firewall policy – jediné pravidlo zakazující veškerou komunikaci mezi dvěma
sítěma. Toto pravidlo nejde nijak editovat či odstranit. Pouze přidáváním
dalších pravidel můžete umožnit průchod komunikace přes ISA server.
Cache – cachování vypnuto
VPN přístup – VPN přístup vypnut
Web-Proxy klienti – povoleno použití Web-proxy klientů na interní síti
Firewall klienti – povoleno použití Firewall klientů na interní síti
SecureNAT klienti – není třeba zvláštní podpory ze strany ISA serveru, jejich funkce
je zajištěna vždy.
Po instalaci a spuštění ISA serveru je tedy veškerá komunikace, která by procházela přes
ISA server blokovaná. Není možné žádným způsobem komunikovat z počítače v jedné síti
s počítačem v jiné síti. Systémová politika ISA serveru však umožňuje běžnou komunikaci
ISA serveru s okolními počítači, jako například používání DNS serveru, komunikace s Active
Directory. Systémová politika bude popsána podrobně později.
Page 33
Konzola pro správu ISA serveru
Konzola pro správu ISA serveru je součástí typické instalace ISA serveru 2006. Pokud jste
při instalaci ISA serveru tuto součást neodebrali, máte jí k dispozici v nabídce Start mezi
programy pod názvem ISA Server Management.
Obrázek 22: spuštění konzole ISA serveru
Pokut tuto konzolu spustíte, automaticky se připojí ke službě ISA serveru, běžící na lokálním
počítači – serveru. Konzole je rozdělena do třech částí. V levém panelu je navigační strom,
kterým se můžete rychle přepínat mezi různými částmi konfigurace. Aktuální nastavení
zvolené položky navigačního stromu je pak zobrazena v největší (prostřední) části konzole.
Odtam se provádí změna konfigurace ISA serveru. V pravé části je ještě sloupeček, který
obsahuje odkazy na často používané funkce v aktuálním umístění konzole a odkazy
k nápovědě.
Obrázek 23: konzola ISA serveru 2006
Page 34
Pokud spustíte konzolu ISA serveru z pracovní stanice, máte možnost připojení ke
zvolenému vzdálenému ISA serveru.
1. V konzole klikněte pravým tlačítkem myši na Microsoft Internet Security and
Acceleration 2006, a zvolte možnost Connect to.
2. Zadejte název ISA serveru, nebo jej vyhledejte tlačítkem Browse. Pro připojení k ISA
serveru lze použít váš účet, kterým jste přihlášeni k pracovní stanici, nebo vybrat jiný
účet.
3. Tlačítkem OK připojíte konzolu ke vzdálenému ISA serveru.
Obrázek 24: připojení ke vzdálenému ISA serveru z pracovní stanice
Před vzdáleným připojením k ISA serveru je nejprve nutné povolit vzdálený přistup k ISA
serveru z administrátorovy pracovní stanice. Pokud se bude správce přihlašovat jiným
(neadministrátorským) účtem, je také třeba přidělit danému účtu příslušnou administrativní
roli ke správě ISA serveru.
Jakékoliv změny konfigurace ISA serveru se nedějí hned, jakmile je administrátor učiní.
Změny konfigurace se kumulují v paměti konzole. Lze tedy změnit konfiguraci více položek a
změny aplikovat najednou. Pro aplikaci provedených změn klikněte v konzole na tlačítko
Apply (obrázek 25) vedle velké ikony žlutého vykřičníku. Pokud provedené změny nechcete
aplikovat (uložit na ISA server), klikněte tlačítko Discard.
Page 35
Obrázek 25: Potvrzení nebo zahození změn konfigurace
Povolení vzdálené správy
Aby mohl být ISA server spravován vzdáleně, obsahuje systémová politika firewallu ve
výchozím stavu několik pravidel, která jsou definována pro vzdálenou správu ISA serveru ze
skupiny Remote Management Computers. Do této skupiny lze přidat jakýkoliv počítač, který
budete chtít použít ke vzdálené správě.
Přihlaste se k ISA serveru administrátorským účtem.
Spusťte administrační konzolu ISA serveru
Ze stromové nabídky v levé části konzole zvolte Firewall policy.
V pravé části konzole zvolte Toolbox, Network objects a Computer Sets.
Dvojklikem otevřete skupiny Remote Management Computers.
Tlačítkem Add a následně volbou Computer otevřete okno pro definici počítače.
Zadejte název počítače, například administrátorova pracovní stanice a zadejte IP
adresu zvolené pracovní stanice.
8. Zavřete editaci skupiny Remote Management Computers a aplikujte nastavení na
ISA server.
9. Nyní můžete ze zvoleného počítače vzdáleně spravovat ISA server. Pro přihlášení
k ISA serveru přes konzolu použijte účet administrátora (obrázek 24).
1.
2.
3.
4.
5.
6.
7.
Page 36
Obrázek 26: povolení vzdálené správy z počítače 10.0.7.3
Page 37
Klienti ISA serveru
Pro komunikaci mezi počítači z interní sítě a ISA serverem je nutné počítače na interní síti
nastavit jako klienty ISA serveru. Tito klienti pak budou při pokusech o komunikaci mimo
interní síť (např. do internetu) komunikovat přes ISA server. Existují tři typy klientů. Každý typ
má své specifické vlastnosti. Proto je třeba se správně rozhodnout, který typ klienta použít.
Firewall klient
Počítače s Firewall klientem používají Firewall klientskou aplikaci pro komunikaci s ISA
serverem. Tato aplikace musí být nainstalována a spuštěna pro přístup do internetu (nebo
jiné sítě).
Aplikace Firewall klienta mění chování při přístupu k síti na klientském počítači. Jakmile se
nějaká aplikace (webový prohlížeč, emailový klient, messenger) pokusí o přístup k síti,
aplikace Firewall klienta přístup k síti přeruší a zkontroluje cíl komunikace. Pokud Firewall
aplikace zjistí, že cílem komunikace je některý počítač na lokální síti, komunikaci nechá
proběhnout.
Pokud Firewall aplikace ale zjistí, že komunikace směřuje na internet, tuto komunikaci
přesměruje na ISA server. ISA server přijme požadavek na komunikaci a autentizuje
uživatele (autentizace je transparentní – použije se uživatelský účet přihlášeného uživatele).
Dále ISA server zkontroluje, zda je daný typ komunikace povolen – zda existuje přístupové
pravidlo pro tuto komunikaci. Pokud je tato komunikace povolena, ISA server vyřídí
požadavek na cílovém serveru a pošle klientovi odpověď.
Firewall klient poskytuje nejvyšší úroveň zabezpečení a funkcionality ze všech možných
klientů ISA serveru.
Výhody Firewall klienta:





Řízení přístupu k internetu a logování komunikace na základě uživatelských účtů a
skupin
Automatická, transparentní autentizace klienta vůči ISA serveru
Firewall klient může konfigurovat proxy nastavení Internet Exploreru
Firewall klient podporuje všechny síťové aplikace.
Není třeba konfigurovat výchozí bránu na klientovi a klient nemusí mít přístup
k překladu internetových jmen na IP adresy. Komunikace, která není určena pro
lokální síť je předávána ISA serveru a překlad DNS jmen většinou provádí ISA server.
Nevýhody Firewall klienta:

Firewall klient je aplikace, kterou je třeba nainstalovat na počítače. Pro větší počet
počítačů může být ruční instalace na všechny počítače časově náročná. Jelikož je
Page 38

klient ve formě instalačního balíčku MSI, lze jej nechat nainstalovat automaticky na
doménové pracovní stanice pomocí doménových zásad skupin.
Aplikace Firewall klienta je dostupná pouze pro operační systémy Microsoft.
SecureNAT klient
Počítače, které nemají nainstalovanou aplikaci Firewall klienta mohou pracovat jako
SecureNAT klienti. Tito klienti, aby mohli komunikovat s internetem, musejí mít nastavenu
výchozí bránu TCP/IP protokolu tak, aby jejich komunikace byla směrována do internetu.
Typicky (v jednoduchých sítích) bude výchozí brána nastavena na interní IP adresu ISA
serveru. Dále je třeba, aby klienti měli přístup k překladu internetových DNS jmen.
Výhody SecureNAT klienta:



Podpora většiny aplikací (protokolů). Pro běžné protokoly, které mají problémy
s překladem síťových adres (např. FTP), má ISA server vestavěny aplikační filtry,
které tyto problémy potlačí.
Podpora jakéhokoliv operačního systému, který umí pracovat s protokoly TIC/IP.
Snadná konfigurace klientů z DHCP serveru
Nevýhody SecureNAT klienta:


SecureNAT klient nepodporuje autentizaci. ISA server tedy není schopen logovat
komunikaci na základě uživatele nebo skupiny. Stejně tak pokud budou přístupová
pravidla firewallu vyžadovat autentizaci, SecureNAT klient nebude mít možnost
přístupu.
Klientský počítač musí mít konfigurován DNS server, který bude provádět překlad
internetových jmen na IP adresy.
Web-Proxy klient
Web-Proxy klient je počítač, na kterém je použit prohlížeč internetu kompatibilní s HTTP1.1 a
tento prohlížeč je nastaven tak, aby používal proxy server. Všechny běžně používané
prohlížeče internetu toto umožňují, takže jakýkoliv počítač může pracovat jako Web-Proxy
klient (včetně počítačů, které jsou konfigurovány Firewall klientem nebo SecureNAT
klientem).
Pokud se z internetového prohlížeče pokusíte o přístup na internet, je tento požadavek
poslán proxy serveru – ISA serveru. Existuje-li na ISA serveru pravidlo pro danou
komunikaci, ISA server vyřídí požadavek na internetovém serveru a vrátí Web-Proxy
klientovi odpověď. Web-Proxy klient je také na žádost ISA serveru se schopen autentizovat.
Autentizace může být opět transparentní – použije se účet přihlášeného uživatele, pokud je
počítač členem domény Active Directory. Pokud počítač není členem domény, nebo se jedná
o počítač s ne-Microsoft operačním systémem, lze použít tzv. Basic autentizace, která je
vestavěná v protokolu HTTP.
Konfigurace webových prohlížečů tak, aby pracovaly s ISA serverem je možná hromadně,
bez nutnosti konfigurovat jednotlivé prohlížeče. Použití Firewall aplikace na počítači ve
Page 39
výchozím nastavení zkonfiguruje webový prohlížeč Internet Explorer tak, aby používal ISA
server pro proxy službu.
Výhody Web-Proxy klienta:


Podpora od všech moderních internetových prohlížečů, nezávisle na použitém
operačním systému
Podpora autentizace – možno vytvářet pravidla komunikace na základě uživatelů a
skupin
Nevýhodou Web-proxy klienta je podpora pouze webových protokolů. Počítač, který je
konfigurován jako Web-proxy klient může využívat pouze protokoly HTTP, HTTPS a FTP.
Kombinace více klientů
Jedena pracovní stanice interní sítě může pracovat současně jako více typů klienta ISA
serveru. Stanice může být konfigurována jako Web-proxy klient, Firewall klient i SecureNAT
klient současně. Je to tedy stanice, která má kompletní TCP/IP konfiguraci včetně výchozí
brány a DNS serveru pro překlad internetových jmen, nainstalovanou aplikaci Firewall klienta
a zkonfigurovaný webový prohlížeč pro použití proxy serveru.
Při jakékoliv komunikaci z internetového prohlížeče se počítač chová jako Web-Proxy klient.
Při použití jiného protokolu, například při připojení ke vzdálené ploše, zareaguje Firewall
aplikace, která tuto komunikaci vyřídí přes ISA server. Firewall aplikace však může mít
konfigurovány některé výjimky, kdy nemá pracovat. Například pro aplikaci Outlook je
standardně Firewall aplikace nastavena tak, že nebude komunikaci z aplikace Outlook nijak
ovlivňovat. Aplikace Outlook tedy použije DNS překlad dostupný na počítači a bude
komunikovat prostřednictvím výchozí brány protokolu TCP/IP – SecureNAT klientem.
Pokud zkonfigurujete například některý počítač s operačním systémem Linux jako WebProxy a SecureNAT klienta, webovou komunikaci (HTTP, HTTPS a FTP) budete moci
filtrovat (povolovat) na základě jmen uživatelů. Jakákoliv jiná komunikace bude možná
pomocí SecureNAT klienta, nebuje ji však možné řídit na základě uživatelů a skupin.
Konfigurace klientů
SecureNAT klient
SecureNAT klient je nejjednodušším typem klienta, protože k jeho konfiguraci postačuje
správné nastavení protokolu TCP/IP na klientském počítači. Hlavním cílem konfigurace je
zajistit, aby klient mohl posílat požadavky do internetu a měl přístup k DNS překladům
internetových jmen.
Nastavení výchozí brány Pro jednoduché sítě nastavte výchozí bránu TCP/IP protokolu
pracovních stanic interní sítě na IP adresu interního adaptéru ISA serveru. Pokud používáte
ke konfiguraci klientů DHCP server, upravte nastavení DHCP serveru.
Nastavení překladu jmen Pokud máte v interní síti řadič domény, máte i DNS server.
Nastavte tento DNS server tak, aby mohl překládat i internetová jména pro klienty interní
Page 40
sítě. Návod na nastavení DNS serveru je v kapitole Instalace ISA serveru. Kromě nastavení
DNS serveru je ještě nutné povolit pravidlem firewallu komunikaci mezi interním DNS
serverem a DNS servery na internetu. Toto pravidlo může být součástí některé šablony
nastavení, kterou lze ISA server prvotně zkonfigurovat, nebo můžete postupovat podle
tohoto návodu:
1. Spusťte konzolu ISA serveru. Pokud pracujete vzdáleně, připojte konzolu k ISA
serveru.
2. V levé části konzole klepněte pravým tlačítkem na Firewall policy a zvolte Nový objekt
a Access Rule (přístupové pravidlo). Spustí se průvodce vytvořením pravidla.
3. Zadejte jméno pro pravidlo, například „DNS komunikace“.
4. Na obrazovce Rule action zvolte Allow – pravidlo pro povolení komunikace.
5. Na obrazovce Protocols vyberte z rozbalovací nabídky platnost tohoto pravidla pouze
pro zvolené protokoly – Selected protocols. Tlačítkem Add otevřete nabídku
dostupných protokolů. Vyhledejte protokol DNS a přidejte jej. Pokračujte na další
obrazovku průvodce.
Obrázek 27: pravidlo pro protokol DNS
6. Na obrazovce Access Rule sources vložte umístění, odkud bude DNS komunikace
iniciovaná. Tlačítkem Add otevřete seznam dostupných umístění. Můžete zvolit síť
Internal.
Page 41
Obrázek 28: definice zdroje komunikace na interní síť
7. Na obrazovce Access Rule Destination zvolte cíl DNS komunikace, kterou chcete
povolit. Stejným způsobem jako v bodě 6 přidejte síť External.
8. Další obrazovku - User Sets – nechte beze změn. Pravidlo bude platit pro všechny
uživatele.
9. Dokončete průvodce a aplikujte nastavení na ISA server. Tímto postupem jste
vytvořili pravidlo, které umožní komunikovat počítačům z interní sítě pomocí DNS
protokolu s DNS servery na externí síti.
Web-Proxy klient
Web-proxy klientem je počítač, jehož internetový prohlížeč je nastaven tak, aby používal jako
proxy server ISA server. Není třeba zvláštní konfigurace TCP/IP protokolu (postačuje IP
adresa a maska sítě) nebo instalovat aplikaci Firewall klienta. Nicméně je třeba nastavit
webový prohlížeč. Tato konfigurace může být provedena ručně na všech počítačích, nebo ji
lze automatizovat.
Prvním krokem v konfiguraci Web-Proxy klientů je nutné se ujistit, že Web-Proxy služba je na
ISA serveru dostupná. Po instalaci je ve výchozím stavu tato služba na ISA serveru zapnuta.
Ověření služby Web-Proxy na ISA serveru
1. Spusťte konzolu ISA serveru a v levé části vyhledejte položku Networks. Ve střední
části konzole vyberte panel Networks a otevřete vlastnosti sítě Internal.
Page 42
Obrázek 29: vlastnosti interní sítě
2. V okně vlastností interní sítě vyberte panel Web Proxy.
3. Přesvědčte se, že je zatržena volba Enable Web Proxy client connections for this
network a je povolena komunikace protokolem HTTP. Ve výchozím nastavení
očekává ISA server na interním adaptéru spojení od Web-Proxy klientů na portu
8080.
Obrázek 30: Web-Proxy služba
Page 43
Manuální konfigurace klientů
Nastavte Web-Proxy klienty na všech počítačích ručně. Každá aplikace, která umí používat
proxy server (webový prohlížeč, FTP klient atd.) má své samostatné nastavení. Pro
konfiguraci Web-Proxy klienta v Internet Exploreru postupujte následovně:
1. Otevřete Ovládací panely a spusťte Možnosti internetu.
2. Vyberte panel Připojení a klikněte na tlačítko Nastavení místní sítě.
3. Zvolte možnost Použít pro síť LAN proxy server a zadejte jeho adresu a port služby.
Můžete použít DNS jméno ISA serveru. Zvolte port 8080, na kterém služba proxy ve
výchozím nastavení běží.
Obrázek 31: ruční konfigurace Web-Proxy klienta
4. Pokud ještě zvolíte Nepoužívat server proxy pro adresy vnitřní sítě, budou požadavky
na interní webové servery směrovány přímo na daný server bez komunikace přes ISA
server.
5. Tlačítkem Upřesnit můžete nastavit další položky. Například pro každý typ
komunikačního protokolu jinou adresu a port proxy serveru, nebo výjimky adres, pro
které se proxy server nebude používat.
Page 44
Obrázek 32: výjimky proxy klienta
Automatická konfigurace Web-Proxy klientů
Pokud je klient nastaven na automatickou konfiguraci, pak je při každém spuštění Internet
Exploreru stažen aktuální konfigurační skript, který prohlížeč nastaví podle potřeby.
Nastavení použití automatické konfigurace umožní, aby při změně konfigurace ISA serveru
nebylo třeba měnit ručně konfiguraci na všech počítačích.
1. Otevřete Ovládací panely a Možnosti internetu. V panelu Připojení klikněte na tlačítko
Nastavení místní sítě.
2. Zvolte možnost Používat skript pro automatickou konfiguraci a do pole Adresa
vepište umístění konfiguračního skriptu. Doménové jméno ISA serveru nahraďte
podle vlastní potřeby, nebo použijte IP adresu ISA serveru.
http://isa1.skola.local:8080/Array.dll?Get.Routing.Script
http://10.0.0.10:8080/Array.dll?Get.Routing.Script
3. Uložte nastavení a restartujte Internet Explorer.
Nastavení podle následujícího obrázku se skládá ze tří samostatných částí. V první fázi se
prohlížeč pokusí vyhledat dostupný ISA server, který je nastaven tak, aby byl detekovatelný.
Pokud toto selže, pokusí se prohlížeč stáhnout konfigurační skript z pevně zvoleného ISA
serveru. Ve třetí fázi, pokud obě předchozí selhaly, se prohlížeč nastaví tak, jak je uvedeno
v rámečku Server proxy.
Page 45
Obrázek 33: Automatická konfigurace
Jelikož nastavení konfigurace prohlížeče internetu je většinou závislé na uživatelském účtu,
bylo by třeba, aby si každý uživatel nastavil proxy konfiguraci prohlížeče alespoň na
automatické zjišťování konfigurace, aby se prohlížeč zkonfiguroval z ISA serveru a pracoval
jako Web-Proxy klient. Pokud jsou počítače a uživatelé členy domény Active Directory, může
pomocí zásad skupin (Group policy) administrátor centrálně nastavit všem uživatelům proxy
konfiguraci prohlížeče Internet Explorer. Druhou možností je nechat všem klientům nastavit
Web-Proxy klienta pomocí aplikace Firewall-klienta.
Konfigurační skript pro automatické nastavení
Pokud budete používat konfigurační skript namísto ručního nastavení, můžete v konzole ISA
serveru obsah tohoto skriptu ovlivnit.
1. Spusťte konzolu ISA serveru. V levé části vyberte Networks a v prostřední části
konzole panel Networks. Otevřete vlastnosti sítě Internal.
2. Přejděte k panelu Web Browser.
a. Nastavením Bypass proxy for Web servers in this network povolíte klientům
kontaktovat web servery na lokální síti přímo, bez spolupráce s ISA serverem.
b. Nastavením Directly access computers specified in the Domains tab se týká
Firewall klientů. Touto možností povolíte Firewall klientům přímé spojení
k doménám, které jsou vyjmenovány v panelu Domains, namísto komunikace
přes proxy server.
c. Nastavením Directly access computers specified in the Address tab povolíte
přímé spojení s počítači, jejichž IP adresy jsou definovány v panelu
Addresses, namísto spojení přes proxy server.
d. Nastavením Directly access theese servers or domains můžete přidat další
názvy serverů nebo domén, pro které bude Web-Proxy klient komunikovat
přímo, bez proxy serveru.
e. Využitím volby Direct Access můžete umožnit Web-Proxy klientům přímé
spojení se servery, pokud proxy server (ISA server) bude nedostupný.
3. Aplikujte nastavení na ISA server.
Page 46
Obrázek 34: nastavení pro automatickou konfiguraci
Pokud máte instalovánu aplikaci Firewall klienta, lze tuto aplikaci použít k automatickému
nastavení klientů Web-Proxy. Aplikace Firewall klienta uživateli může nastavit Internet
Explorer pro použití služeb proxy serveru.
1. Spusťte konzolu ISA serveru, vyhledejte nastavení sítí a otevřete vlastnosti sítě
Internal.
2. Přejděte k panelu Firewall Client. V tomto panelu, v sekci Web browser configuration
on the firewall client computer můžete zvolit, jak má Firewall aplikace nastavit WebProxy klienta. Podle následujícího obrázku jej nastaví všemi třemi možnostmi:
a. Web-Proxy klient bude hledat ISA server, který je konfigurován jako
detekovatelný.
b. Pokud bod a selže, pokusí se Web-Proxy klient stáhnout konfigurační skript
ze serveru ISA1.
c. Pokud selže i bod b, bude prohlížeč používat proxy server ISA1.
Page 47
Obrázek 35: konfigurace Web-Proxy klienta Firewall klientem
Spuštění podpory pro automatickou detekci ISA serveru
K automatické konfiguraci Web-Proxy klienta, můžete nastavit síťové prostředí tak, aby WebProxy klient dokázal sám nalézt ISA server. Toto automatické vyhledávání je použitelné i pro
Firewall klienta, který se ve výchozím nastavení pokouší vyhledat zveřejněný ISA server.
Tomuto vyhledávání se v dokumentaci (nápovědě) nazývá Automatic Discovery.
Web-Proxy klient vyhledává ISA server pomocí protokolu WPAD – Web Proxy Automatic
Discovery. Aplikace Firewall klienta používá protokol WSPAD – Winsock Proxy AutoDetect.
Ke spuštění automatického vyhledávání je nutné vložit do zóny DNS serveru záznam typu
alias s hodnotou WPAD, který bude nasměrován na DNS jméno ISA serveru. Klienti, kteří
jsou například v doméně s názvem skola.local vyhledávají při automatické detekci server se
jménem WPAD.skola.local. Toto jméno by mělo směřovat k IP adrese ISA serveru.
Konfigurace ISA serveru
Na ISA serveru je třeba zapnout podporu pro automatickou detekci.
1. Spusťte konzolu ISA serveru, vyhledejte síť Internal a otevřete její vlastnosti.
2. Přejděte k panelu Auto Discovery. Zvolte možnost Publish automatic discovery
information for this network a nechte číslo portu na hodnotě 80.
Page 48
Obrázek 36: podpora AutoDiscovery
Vložení WPAD záznamu do DNS
1. Přihlaste se k řadiči domény. Z Nástrojů pro správu spusťte konzolu DNS:
2. Rozbalte položku s názvem serveru (DC1), Zóny dopředného vyhledávání a položku
s názvem vaší domény (skola.local).
3. Klikněte pravým tlačítkem na název domény (skola.local) a zvolte Nový alias
(CNAME).
Obrázek 37: Vložení záznamu do DNS
Page 49
4. Do pole Název aliasu vepište WPAD. Do pole Úplný název cílového hostitele vepište
plné DNS jméno ISA serveru.
Obrázek 38: Vložení záznamu pro WPAD
5. Klepněte na tlačítko OK a zavřete konzolu DNS serveru.
Nyní již mohou Web-Proxy klienti a Firewall klientské aplikace vyhledávat ISA server
automaticky. Namísto automatického vyhledávání s podporou DNS serveru lze tuto funkci
zajistit i s podporou DHCP serveru. Klienti se tedy při automatické detekci mohou na identitu
ISA serveru dotazovat služby DNS, nebo tuto možnost mohou mít zkonfigurovánu DHCP
serverem. Pro více informací o automatické detekci s DHCP serverem použijte nápovědu
ISA serveru.
Firewall klientská aplikace (Firewall klient)
Firewall klient poskytuje ze všech tří klientů nejvyšší úroveň funkcionality a zabezpečení.
Podporuje autentizaci pro filtrování komunikace a umí pracovat se všemi typy komunikačních
protokolů. Jedinou nevýhodou je nutnost tuto aplikaci nainstalovat.
Klientská aplikace firewallu je k dispozici na instalačním CD ISA serveru v adresáři Client,
nebo aktuální aplikaci stáhnout z webu Microsoftu.
Ruční instalace aplikace
Ruční instalaci lze provést na klientské počítače pomocí instalačního průvodce, nebo použít
částečně automatizovaného postupu například spuštěním instalace ze sdílené síťové složky
s použitím konfiguračních parametrů.
Postup instalace:
Page 50
1. Přihlaste se k pracovní stanici interní sítě pomocí účtu administrátora.
2. Spusťte soubor Client\setup.exe, který se nachází v instalační sadě ISA serveru (na
CD ISA serveru, nebo ve vámi vytvořené sdílené síťové složce s instalační sadou).
3. Na uvítací obrazovce instalace klepněte na tlačítko Next. Potvrďte licenční ujednání a
na další obrazovce můžete ovlivnit, do jakého umístění bude aplikace instalována.
Výchozí cesta bývá C:\Program Files\Microsoft Firewall Client 2004.
4. Na další obrazovce nastavte, jaký ISA server bude aplikace používat. Máte dvě
možnosti.
a. Nastavit jméno nebo IP adresu ISA serveru ručně
b. Nastavit automatickou detekci ISA serveru. Tato detekce vyžaduje spuštěnou
podporu pro detekci na ISA serveru a příslušný záznam v DNS serveru. Tato
nastavení jsou popsána v předchozí části o konfiguraci Web-Proxy klienta.
Obrázek 39: nastavení obsluhujícího ISA serveru
5. Dokončete průvodce a tlačítkem Install zahajte instalaci.
6. Aplikace se po instalaci spustí a pokusí připojit k ISA serveru. Spuštěná aplikace
umístí svou ikonku
do systémové lišty vedle hodin.
7. Klepnutím pravým tlačítkem myši na ikonu klienta v systémové liště můžete otevřít
konfiguraci klienta.
8. V panelu General můžete ikonu klienta odebrat ze systémové lišty. Na panelu
Settings můžete nastavit adresu ISA serveru ručně, nebo zvolit automatickou detekci.
Tlačítkem Detect Now provedete detekci. Tlačítkem Test Server můžete otestovat
funkci ručně zadaného ISA serveru. Tlačítkem Apply Default Settings Now uložíte
toto nastavení do výchozího profilu pro nové uživatele na tomto počítači. Uložení
informací do profilu pro nové uživatele může provést pouze administrátor.
9. Na panelu Web Settings můžete povolit nebo zakázat konfiguraci webového
prohlížeče pomocí Firewall klienta.
Page 51
Obrázek 40: konfigurace Firewall klienta
Instalace bez průvodce:
Instalaci můžete též spustit z příkazové řádky a nastavit počáteční konfiguraci klienta.
Path\Setup.exe /v"[SERVER_NAME_OR_IP=ISA_Server_Name]
[ENABLE_AUTO_DETECT={1|0}] [REFRESH_WEB_PROXY={1|0}] /qn"



SERVER_NAME_OR_IP jméno nebo IP adresa ISA serveru pro připojení
ENABLE_AUTO_DETECT hodnota 1 povolí automatickou detekci ISA serveru
REFRESH_WEB_PROXY hodnota 1 umožní Firewall aplikaci zkonfigurovat webový
prohlížeč na Web-Proxy klienta.
Hromadná instalace Firewall klientů zásadami skupin (Group Policy)
Pro Instalaci Firewall klientů na více počítačů lze použít zásady skupin k automatické
instalaci ze síťové složky. Z instalačního CD ISA serveru z adresáře Client nejprve zkopírujte
soubor ms_fwc.msi do nějaké síťové složky. Následující postup ukáže, jak sdělit počítačům,
aby si tuto aplikaci ze síťové složky nainstalovali. K jejímu provedení je vhodné mít na
doménovém řadiči (nebo administrátorské pracovní stanici) nainstalovanou konzolu Group
Policy Management Console, která je zdarma dostupná z webu Microsoftu jako instalační
balíček gpmc.msi.
1. Umístěte soubor ms_fwc.msi do sdílené síťové složky.
2. Přihlaste se k doménovému řadiči a spusťte konzolu Group Policy z Nástrojů pro
správu. Případně tuto konzolu spusťte z pracovní stanice a připojte ji k doménovému
řadiči.
Page 52
3. Rozbalte stromovou strukturu domény až k organizační jednotce, která zahrnuje
počítače, na něž chcete aplikaci nainstalovat. Klepněte na tuto organizační jednotku
pravým tlačítkem myši a zvolte Create and Link GPU Here.
Obrázek 41: Vytvořit politiku
4. Vhodně pojmenujte nově tvořenou politiku, například Instalace FW aplikace.
5. Klepněte na politiku pravým tlačítkem myši a zvolte Edit.
Obrázek 42: editace politiky
Ve stromové struktuře editoru politiky otevřete Konfigurace počítače, Nastavení
softwaru a na položce Instalace softwaru vyberte možnost Nový objekt a Balíček.
Otevře se dialog pro vyhledání instalačního balíčku MSI. Vyhledejte jej pomocí
síťového přístupu – doména, server, sdílená složka.
7. Zvolte metodu zavedení Přiřazené a potvrďte tlačítkem OK.
6.
Page 53
Obrázek 43: vložení balíčku MSI
Obrázek 44: automatická instalace klienta během startu počítače
Všem počítačům pod organizační jednotkou Active Directory, na níž je definována tato
politika instalace, budou nejpozději do druhého restartu instalována Firewall aplikace.
Výchozí nastavení Firewall aplikace je automaticky detekovat ISA server. Bude-li tedy na síti
(v ISA serveru a DNS) zapnuta podpora pro automatickou detekci nastavení, pak budou
automaticky instalováni klienti schopni komunikovat přímo s ISA serverem, bez nutnosti
dalšího nastavení.
Konfigurace Firewall klienta z ISA serveru
Konfiguraci Firewall klientů lze nastavit v konzole ISA serveru. Tato konfigurace zahrnuje
způsob, jak Firewall klient bude nastavovat Web-Proxy klienta a jaká doménová jména bude
Firewall klient považovat za počítače na lokální síti. Další možností konfigurace je definování
různých výjimek práce Firewall klienta, jako například pro které aplikace se namísto Firewall
klienta použije SecureNAT klient, nebo ovlivnění čísel portů, kterými bude pro danou aplikaci
komunikovat Firewall klient s ISA serverem a ISA server s cílovým serverem na internetu.
Ověření podpory pro Firewall klienta a konfigurace lokální domény:
1. Spusťte konzolu pro správu ISA serveru.
2. V navigačním stromu vyhledejte položku Networks. V prostřední části okna vyperte
panel Networks a otevřete vlastnosti sítě Internal.
3. Ve vlastnostech interní sítě zvolte panel Firewall Client. V tomto panelu musí být
zvolena možnost Enable Firewall client support for this network, aby na této síti bylo
Page 54
možno použít Firewall klienty. Tato volba je ve výchozím stavu na interní síti
povolena. Ve spodní části panelu lze ovlivnit, jak Firewall klient nastaví uživateli
prohlížeč internetu. Toto nastavení bylo popsáno v části o konfiguraci Web-Proxy
klienta.
Obrázek 45: Panel Firewall Client vlastností sítě
4.
V panelu Domains zadejte název použitý pro interní doménu. Firewall klient pak při
komunikaci s počítači jejichž IP adresa nebo doménové jméno vyhovuje nastavení na
panelech Addresses a Domains nebude komunikovat přes ISA server, ale použije
přímé spojení s lokálním počítačem (serverem).
Obrázek 46: nastavení lokální domény
Page 55
Pokročilá nastavení Firewall klienta
Chování Firewall klienta lze nastavit tak, aby se různě choval k různým aplikacím. Pro
některé aplikace použití Firewall klienta zakázat, pro některé aplikace nepřekládat DNS
jména na ISA serveru ale přímo klientem nebo pro některé aplikace používat předdefinované
komunikační porty. Tuto konfiguraci lze provést z konzole ISA serveru a jednotliví klienti si ji
při spuštění, nebo po uplynutí určité doby, obnoví.
1. Otevřete konzolu ISA serveru. Ve stromové nabídce zvolte Configuration a General.
V prostředním panelu klikněte na Define firewall settings.
2. V okně nastavení Firewall klienta můžete na panelu Connection povolit nešifrovaná
spojení mezi Firewall klientem a ISA serverem. Nešifrovaná spojení povolte jen
pokud bude třeba, aby Firewall klient fungoval na starším operačním systému
(Windows 98, Me, NT4.0).
3. Na Panelu Application settings lze nastavit, jak se bude Firewall klient chovat
k jednotlivým aplikacím.
Obrázek 47: nastavení aplikací pro Firewall klienta
Na obrázku je výchozí nastavení pro práce s aplikacemi pro Firewall klienta.
Například pro aplikaci Outlook nebo exchng32 je zakázáno používat Firewall klienta –
použije se SecureNAT klient pro komunikaci s internetem, pokud je nastavena
výchozí brána TCP/IP protokolu. Pro aplikaci realplay je například definováno, jaké
komunikační porty se mají použít pro protokol TCP a UDP.
Kromě globálního nastavení Firewall klientů na ISA serveru může mít každý klient
v konfiguračních souborech uživatelova profilu, nebo v souborech profilu All users tuto
konfiguraci ještě doplněnu nebo pozměněnu. Tato nastavení však není třeba obvykle měnit,
Page 56
proto je zde ani nebudeme podrobně rozebírat. Více informací lze nalézt v dokumentaci,
nebo na http://www.microsoft.com/technet/isa/2006/clients.mspx.
Page 57
Konfigurace firewallu
Konfigurace firewallu ISA serveru se skládá z několika částí. Hlavním těžištěm jsou pravidla
firewallu, která umožňují komunikaci mezi počítači v různých sítích pomocí zvolených
protokolů. Dalšími prvky ochrany pak jsou detekce známých typů útoků a ochrana před
zahlcením serveru velkým počtem útočných spojení.
Počáteční konfigurace šablonou
Po instalaci ISA serveru je veškerá komunikace, která by měla procházet přes ISA server
blokovaná. K povolení komunikace mezi počítači dvou různých sítí jsou nutné dvě podmínky.
1. Mezi sítěmi musí existovat síťové pravidlo – Network rule. Základní kostra síťových
pravidel je automaticky vytvořena po instalaci ISA serveru.
2. Musí existovat pravidlo firewallu, které daný typ komunikace umožní. Po instalaci ISA
serveru existuje pouze jediné pravidlo, které veškerou komunikaci zakazuje.
ISA server nabízí několik šablon, které v sobě nesou typická nastavení síťových pravidel a
pravidel firewallu pro daný typ řešení ochrany sítě. Pro jednoduché sítě s jedním ISA
serverem lze použít šablonu Edge firewall. Tato šablona je automaticky po instalaci ISA
serveru aplikována, nicméně se použije jen k nastavení pravidel sítě. Firewall pravidla, která
umožní základní přístup k internetu se z této šablony neaplikují. Pokud tedy chcete nastavit
první pravidla firewallu tak, aby fungoval základní přístup k internetu přes protokol HTTP,
můžete zkusit touto šablonou nastavit ISA server a použít její předdefinovaná pravidla
firewallu. Pro počáteční nastavení šablonou postupujte následovně:
1. Přihlaste se k ISA serveru a spusťte konzolu pro správu ISA serveru. V navigačním
stromě v levé části konzole vyberte Configuration a Networks. Dostanete se k panelu,
kde můžete konfigurovat sítě firewallu a pravidla mezi nimi. V pravé části konzole
vyberte záložku Templates – šablony.
Page 58
Obrázek 48: šablony nastavení
2. Klikněte na šablonu Edge Firewall. Spustí se průvodce nastavením. Na úvodní
obrazovce průvodce stiskněte tlačítko Další. Následuje obrazovka, kde můžete
exportovat současné nastavené ISA serveru. Aplikací šablony ztratíte současné
nastavení, proto věnujte možnosti exportu pozornost.
3. V další části průvodce aplikací šablony máte možnost změnit rozsah IP adres,
kterými bude definovaná interní síť. Tato obrazovka má stejnou funkcionalitu jako
obdobná obrazovka průvodce instalací ISA serveru.
Obrázek 49: nastavení interní sítě
4. Tlačítkem Další pokračujte na další obrazovku průvodce aplikací šablony. Následuje
obrazovka Select a Firewall Policy. Zde můžete zvolit, jaká pravidla firewallu (Firewall
policy) budou touto šablonou definovány. Máte na výběr z řady možností.
Page 59
Obrázek 50: pravidla firewallu v šabloně
a. Block all – blokovat veškerou komunikaci. Tato možnost je použita po instalaci
ISA serveru.
b. Block internet access, allow access to ISP network services – tato možnost
povolí přístup k síťovým službám poskytovatele internetu (ISP), konkrétně
umožní klientům interní sítě a VPN klientům přístup k externímu DNS serveru.
c. Allow limited Web access – tato možnost nastaví pravidla firewallu tak, že
umožní klientům interní sítě a VPN klientům přístup k internetu pomocí HTTP,
HTTPS a FTP protokolu a klientům VPN sítě umožní veškerou komunikaci
s interní sítí.
d. Allow limited Web access and access to ISP network services – tato možnost
rozšiřuje bod c tohoto seznamu o přístup z interní sítě k externímu DNS
serveru.
e. Allow unrestricted access – tato možnost dovolí neomezenou komunikaci
z interní sítě do internetu pomocí jakéhokoliv protokolu. Zároveň umožní
neomezenou komunikaci ze sítě VPN klientů do interní sítě a na internet.
5. Vyberte předdefinovaný typ komunikace, který chcete nastavit a dokončete průvodce.
Poté aplikujte nastavení na ISA server.
6. Zkontrolujte vytvořená pravidla firewallu v konzole ISA serveru. V navigačním stromu
konzole zvolte Firewall policy.
Na obrázku jsou vidět pravidla, která obsahuje šablona Edge firewall pro limitovaný přístup
k webu a přístup ke službám poskytovatele internetu. Pravidlo 1 povoluje HTTP, HTTPS a
FTP komunikace všem uživatelům z interní a VPN sítě do internetu, pravidlo 2 povoluje
přístup k DNS serveru na internetu a pravidlo 3 povoluje veškerou komunikaci mezi VPN
klienty a interní sítí.
Page 60
Obrázek 51: síťová pravidla a politika firewallu pro šablonu Edge firewall a Allow limited Web access and
access to ISP network services
Pravidla firewallu
Pravidla firewallu stanovují, který typ komunikace bude firewallem umožněn. Pravidlo se
skládá z několika položek, které jsou znázorněny na následujícím obrázku. Ke každé
položce je doplněno, jak je možné jí nastavit.
Akce
Komunikace
Zdroj
Cíl
Další podmínky
Povolit
Všechna odchozí
Vybrané protokoly
Všechna odchozí, kromě
vybraných protokolů
Síť
Podsíť
IP adresa
Uživatel
Aktuální čas
Blokovat
Síť
Podsíť
IP adresa
Rozsah IP
adres
Rozsah IP
adres
Skupina sítí
Skupina sítí
Skupina
počítačů
Skupina
počítačů
DNS jména
URL adresy
Obrázek 52: pravidlo firewallu
Při pokusu o komunikaci ISA server postupuje následovně:
Page 61
1. Z přijatého požadavku na komunikaci ISA server zjistí zdrojový počítač, cílový počítač
(server) a způsob komunikace – použitý protokol. U zdrojového a cílového počítače
zkoumá, v jaké síti tyto počítače jsou. Pokut mezi těmito sítěmi existuje síťové
pravidlo (Network rule) pokračuje ISA server vyhodnocováním pravidel firewallu
(Firewall policy). V opačném případě požadavek na komunikaci ignoruje.
2. ISA server vyhodnocuje postupně pravidla firewallu od začátku a hledá pravidlo, které
lze pro tuto komunikaci použít. Pravidlo se musí shodovat s požadavkem komunikace
v těchto položkách:
a. Komunikační protokol (např. DNS, HTTP, FTP)
b. Zdroj komunikace (např. sít, IP adresa ...)
c. Cíl komunikace (např. sít, IP adresa ...)
d. Další podmínky jako uživatelská skupina, časový plán
3. Pokud lze aktuálně vyhodnocované pravidlo pro požadovanou komunikaci použít
(podle bodu 2) ISA server toto pravidlo použije k akci zadané v aktuálním pravidlu a
ukončí vyhodnocování. Danou komunikaci tedy buď povolí, nebo zablokuje.
Pokud aktuálně vyhodnocované pravidlo neodpovídá typu komunikace, ISA server
přejde k dalšímu pravidlu v pořadí a podle bodu 2 jej vyhodnotí. Toto opakuje ISA
server tak dlouho, dokud nenalezne aplikovatelné pravidlo, kterým komunikaci povolí
nebo zakáže.
4. Pokud ISA server aplikovatelné pravidlo nenalezne, vyhodnocování skončí na
posledním pravidle (Default rule), které nelze změnit nebo odstranit. Toto pravidlo
platí pro veškerou komunikaci a tuto komunikaci zakáže.
ISA server tedy používá přístupu „co není povoleno, je zakázáno“.
Autentizace přístupu
Pokud ISA server při vyhodnocování pravidel zjistí, že aktuálně vyhodnocované pravidlo je
definováno pro vybrané uživatele (to znamená, že pravidlo není pro All Users), pak ISA
server vyžaduje na klientovi, aby se autentizoval – přihlásil. Toto přihlášení v případě
Firewall klienta proběhne transparentně účtem aktuálního uživatele. V případě Web-Proxy
klienta toto přehlášení též ve výchozím nastavení proběhne transparentně pomocí
integrované autentizace Windows. Pokud by počítač Web-Proxy klienta nebyl členem
domény Active Directory, lze použít i jiný způsob ověření – na základě Basic autentizace
vestavěné do protokolu HTTP.
Po ověření identity uživatele se rozhodne, zda aktuálně vyhodnocované pravidlo je pro
uživatele platné. Pokud ano, provede se akce definovaná pravidlem a další vyhodnocování
končí. Pokud ne, pokračuje se vyhodnocováním dalších pravidel ISA serveru.
Zde nastává problém při použití čistého SecureNAT klienta. Jak již bylo zmíněno, identitu
uživatele SecureNAT klienta není možné zjistit. Najde-li tedy ISA server při vyhodnocování
pravidel takové pravidlo, které vyhovuje pro danou komunikaci a vyžaduje ověření uživatele,
SecureNAT klient se není chopen autentizovat. Proto ISA server skončí s dalším
vyhodnocováním pravidel a zablokuje SecureNAT klientovi přístup k požadovanému cíli.
Page 62
Objekty pro tvorbu pravidel
ISA server pro tvorbu pravidel používá různé objekty, které reprezentují komunikační
protokol, počítače, uživatele atd. Výchozí sada těchto objektů je po instalaci ISA serveru
k dispozici. Jsou to zejména definice všech běžně používaných protokolů, uživatelské
skupiny reprezentující všechny uživatele nebo všechny přihlášené uživatele, typy obsahu pro
HTTP komunikaci, časové plány pro pracovní hodiny a víkend a síťové objekty pro definici
zdrojového a cílového počítače.
Administrátor ISA serveru pak může dále definovat vlastní objekty pro svou potřebu
vytváření pravidel. Často se vytvářejí vlastní objekty uživatelů a síťových umístění. Tyto
objekty lze většinou vytvářet nebo editovat současně s pravidlem firewallu, nebo jsou
přístupné z tzv. Toolboxu.
Prohlídka toolboxu
1. Otevřete konzolu ISA serveru a v navigačním stromě vyberte Firewall policy.
2. V pravé části konzole vyberte panel Toolbox.
3. Prohlédněte si předdefinované objekty. Dvojklikem myši na zvolený objekt si můžete
prohlédnout jeho definici. Všechny uživatelsky definované objekty a některé
předdefinované objekty můžete tímto způsobem měnit.
Obrázek 53: Toolbox a definice skupiny sítí All Protected Networks
Users
Objekty uživatelů v Toolboxu (Users) slouží k definici uživatelů, pro něž bude dané
přístupové pravidlo platit.
Předdefinovanými uživateli jsou:
Page 63



All Authenticated Users – všichni autentizovaní (přihlášení) uživatelé
All Users – všichni uživatelé včetně anonymních uživatelů
System and Network service – speciální uživatelská skupina, která zahrnuje
uživatelské účty, pod nimiž běží operační systém a síťové služby
Vytvoření nového objektu Users:
1. V Toolboxu vyberte položku Users a klikněte na tlačítko New.
2. Na první obrazovce zadejte jméno pro tuto skupinu (např. skupina ucitelu). Klepněte
na tlačítko další.
3. Na další obrazovce přidejte do tvořeného objektu uživatele nebo skupiny uživatelů.
Pro vložení uživatelů z domény Active Directory klikněte na tlačítko Add a zvolte
možnost Windows Users and Groups. Otevře se okno pro vyhledávání objektů
v Active Directory. Tlačítkem Umístění vyberte doménu, ze které budou uživatelé
nebo skupiny hledány. Do textového pole zadejte název uživatele nebo skupiny a
tlačítkem Kontrola názvů můžete ověřit správnost vložených údajů. Tlačítkem OK
přidáte zvolené uživatele nebo skupiny do tvořeného objektu Users ISA serveru.
Obrázek 54: vložení skupiny z domény
4. Do tvořeného objektu Users můžete vložit více uživatelských účtů nebo skupin. Po
skončení editace dokončete průvodce a aplikujte nastavení na ISA server.
Schedules
Objekty Schedules v Toolboxu slouží k definici časového plánu. Těmito časovými plány pak
lze omezit platnost pravidla firewallu na určité dny nebo části dnů.
Page 64
Předdefinované časové plány jsou


Weekends – víkendy
Work hours – pracovní doba
Předdefinované plány lze upravit podle vlastní potřeby, nebo vytvořit nové. Obrázek 55
ukazuje, jak se definuje časový plán. Pracovní pole obsahuje tabulku se sedmi řádky a
dvaceti-čtyřmi sloupci. Modrá pole pak vyznačují časové úseky, pro které je tento plán
aktivní.
Editace časového plánu Work Hours:
1. V Toolboxu vyberte položku Schedules.
2. Vyberte plán Work Hours a klikněte na tlačítko Edit.
3. Na záložce General můžete upravit jméno a popisek plánu. Na záložce Settings
můžete upravit tento plán. Myší vyberte v tabulce nějakou část a ovládacími prvky
pod tabulkou vyberte možnost Active nebo Inactive.
Obrázek 55: plán Work hours
Network Objects
Síťové objekty Toolboxu jsou určeny pro definici zdroje a síle komunikace. Tyto objekty jsou
rozděleny do několika skupin:


Networks – zahrnují sítě definované na ISA serveru. Kromě výchozích sítí mohou
obsahovat uživatelsky definované sítě.
Network sets – skupiny sítí slouží ke zjednodušení práce se sítěmi (podobně jako
skupiny uživatelů pro uživatelské účty). Předdefinované sítě jsou All Networks, což
Page 65








jsou všechny sítě ISA serveru a All Protected Networks což jsou všechny sítě ISA
serveru kromě sítě External.
Computers – představuje objekty pro definici jednotlivých počítačů. Počítač je
definován IP adresou.
Address Ranges – je definice síťového objektu na základě rozsahu IP adres pomocí
počáteční IP adresy a koncové IP adresy.
Subnets – objekty pro definici na základě podsítě.
Computer sets – jsou objekty, které definují skupinu více počítačů na základě jejich
IP adresy. ISA server obsahuje významnou skupinu počítačů Remote Management
Computers, která definuje IP adresy počítačů s možností vzdáleného monitorování a
správy ISA serveru.
URL sets – definují síťová místa na základě URL adres (např.
http://www.microsoft.com/*).
Domain Name sets – jsou objekty definované pomocí doménových jmen DNS.
Obsahují předdefinované objekty pro komunikaci se servery Microsoftu za účelem
aktualizací a oznamování chyb systému.
Web Listeners – jsou objekty, které slouží ke zveřejňování webových služeb interní
sítě do internetu.
Server Farms – slouží k definici serverové farmy na interní síti. Farma webových
serverů je skupina počítačů, na kterých běží shodná webová prezentace a slouží
k rozkladu komunikační zátěže mezi tyto servery.
Většinu těchto objektů lze přizpůsobit k vlastní potřebě, nebo nadefinovat vlastní objekty.
Například pro zpřístupnění jen vybraných serverů studentům lze vytvořit skupinu
doménových jmen nebo URL, která potom bude použita při tvorbě přístupového pravidla
firewallu jako cíl komunikace. Na obrázku je ukázána skupina doménových jmen System
Policy Allowed Sites, která definuje, s jakými servery v internetu může komunikovat sám ISA
server protokolem HTTP. Z webového prohlížeče na ISA serveru se tedy ve výchozím
nastavení nedostanete jinam, než na servery firmy Microsoft.
Obrázek 56: příklad definovaného objektu Domain Name Sets
Page 66
Protocols
Objekty protokolů v Toolboxu slouží k identifikaci komunikačního protokolu. Všechny běžně
používané protokoly jsou předdefinovány, proto je většinou nebude třeba doplňovat.
Protokoly jsou definovány na základě identifikačních údajů typických pro danou komunikaci.
Například HTTP protokol je definován jako spojení TCP protokolem na cílový port 80, což je
standardní port, ne kterém běží webové servery. Poštovní protokol POP3 je definován jako
spojení TCP protokolem na cílový port 110.
Důležité však je, že některé protokoly jsou definovány dvojím způsobem. Například protokol
POP3 a protokol POP3 server. Protokoly bez přívlastku server typicky slouží k tvorbě
přístupových pravidel klientů interní sítě na server pomocí daného protokolu. Protokoly
s přívlastkem server slouží ke zveřejnění interních síťových služeb na internet.
Protokoly jsou v Toolboxu rozděleny do různých kategorií, podle typu jejich použití. Na
obrázku je ukázána definic protokolu DNS. Jde o odchozí komunikaci TCP protokolem na
port 53, nebo o odeslání a příjem UDP paketu na port 53.
Obrázek 57: kategorie protokolů v Toolboxu a definice protokolu DNS
Přístupová pravidla – Access rules
Přístupová pravidla firewallu (Access Rules) slouží zejména pro povolení komunikace
z interní sítě do internetu.
Pro vytvoření pravidla k HTTP komunikaci z interní sítě do externí sítě postupujte
následovně:
1. Otevřete konzolu ISA serveru a v navigačním stromě vyberte Firewall Policy.
Page 67
2. Pravým tlačítkem myši na Firewall Policy položce stromu vyberte Nový Objekt a
Access Rule. Nebo v pravé části konzole vyberte panel Tasks a klikněte na položku
Create Access Rule.
3. Na první obrazovce vepište jméno pravidla, např. Přístup k webu a pokračujte
tlačítkem Další.
4. Na další obrazovce zvolte akci pravidla. Akce Deny zablokuje komunikaci
definovanou tímto pravidlem, akce Allow povolí komunikaci tímto pravidlem. Zvolte
akci Allow a přejděte na další obrazovku průvodce.
5. Na další obrazovce vyberte komunikační protokoly tohoto pravidla. Tlačítkem Add
otevřete seznam protokolů. Nalezněte protokoly HTTP a HTTPS a přidejte je.
V rozbalovacím menu This rule applies to se přesvědčte, že je zvolena možnost
Selected protocols. Toto pravidlo tedy bude platné pro zvolené protokoly.
Obrázek 58: přístupové pravidlo – protokoly
6. Na další obrazovce průvodce přidejte síťový objekt, identifikující zdroj komunikace.
Tlačítkem Add přidejte síť Internal. Pokračujte průvodcem k další obrazovce, kde
zvolte cíl komunikace. Přidejte síť External.
Page 68
Obrázek 59: přístupové pravidlo - zdroj a cíl komunikace
7. Na další obrazovce průvodce můžete definovat, pro jakou skupinu uživatelů bude
pravidlo platné. Nechte předdefinovanou hodnotu All Users a dokončete průvodce.
9. Pravým tlačítkem myši na vytvořeném pravidle vyberte možnost Properties –
vlastnosti. Prohlédněte si vlastnosti pravidla a možnosti jeho úpravy.
Obrázek 60: přístupové pravidlo
10. Ve vlastnostech pravidla je řada panelů. Na panelu General můžete změnit název
pravidla a jeho popis. V panelu Action můžete změnit akci pravidla na povolení nebo
blokování komunikace. V panelu Protocols můžete měnit komunikační protokoly pro
toto pravidlo. Na panelech From a To můžete měnit zdroj a cíl komunikace. Všimněte
si, že jsou dostupná dvě pole. V jednom poli nastavujete zdroj nebo cíl komunikace a
ve druhém poli můžete nastavit nějakou výjimku. Například pravidlo může platit pro
veškerou komunikaci ze sítě Internal, kromě některé skupiny počítačů. Obdobně na
panelu Users můžete nastavit uživatele, pro které toto pravidlo platí, včetně
definování výjimek. V Panelu Schedule můžete nastavit nebo vytvořit časový plán
platnosti tohoto pravidla a v panelu Content Types můžete zamezit přenosu určitých
tymů obsahu pomocí HTTP protokolu (například obrázky, hudbu, videa atd.).
Page 69
Obrázek 61: vlastnosti (editace) pravidla
Ikonou
v konzole můžete zvolené pravidlo dočasně deaktivovat – vyřadit z procesu
vyhodnocování při pokusu o komunikaci. Ikonou
zase deaktivované pravidlo aktivujete.
Při deaktivaci a aktivaci je vždy nutné tuto změnu na ISA serveru aplikovat. Vyhodnocování
pravidel probíhá v pořadí, v jakém jsou uvedeny (pole Order v okně Firewall Policy). Pomocí
ikon a
můžete měnit pořadí pravidel (zvyšovat nebo snižovat prioritu pravidel). Tyto
operace s pravidly lze také vykonat přes kontextovou nabídku (pravé tlačítko myši)
jednotlivých pravidel, nebo v panelu Tasks v pravé části konzole.
Omezení přístupu k webu
Na základě předchozího postupu vzniklo pravidlo, které umožní všem uživatelům komunikaci
HTTP a HTTPS protokolem s externí síti. Nyní budeme uvažovat případ, že například
studentům budeme chtít povolit komunikaci s vybranými servery.
1. V Toolboxu vytvořte uživatelskou skupinu Studenti a vložte do ní skupinu
reprezentující všechny studenty z Active Directory.
2. V Toolboxu vytvořte síťový objekt URL sets se jménem Povolené URL studentu a
vložte do něj URL adresy zdrojů, které budou mít studenti dostupné.
Page 70
Obrázek 62: nový objekt URL set
3. Podle postupu vytvoření přístupového pravidla vytvořte nové přístupové pravidlo,
které bude blokovat komunikaci HTTP a HTTPS z interní sítě do externí sítě pro
uživatelskou skupinu studenti.
4. Po dokončení průvodce otevřete vlastnosti pravidla a na panelu To definujte výjimku
z cíle komunikace. Jako cíl komunikace je zvolena síť External. Do spodní tabulky
přidejte jako výjimku síťový objekt Povolené URL studentu.
Page 71
Obrázek 63: vlastnosti přístupového pravidla - výjimka z cíle komunikace
5. Zavřete vlastnosti pravidla a posuňte toto pravidlo na pozici před pravidlo povolující
HTTP komunikaci všem.
Po provedení těchto dvou postupů bude konfigurace pravidel firewallu vypadat podle
následujícího obrázku.
Obrázek 64: příklad konfigurace přístupu k webu
Tato konfigurace pravidel bude blokovat webový přístup studentům, kromě povolených URL.
Pro studenty, kteří chtějí přistupovat k zakázanému obsahu, se použije první pravidlo, které
jim tuto komunikaci zakáže. Pokud student bude chtít přistupovat k povolenému cíli
(povolene URL studentu), první pravidlo pro tuto komunikaci nelze použít, protože
neodpovídá cílem komunikace. ISA server tedy přejde ke druhému pravidlu. Toto pravidlo
z hlediska zdroje, cíle a protokolu odpovídá, ISA server tedy povolí studentovi přístup
k webu. Druhé pravidlo bude sice povolovat přístup k webu studentům, avšak tento přístup
bude jen na povolené cíle (povolené URL), protože nepovolené přístupy jsou odfiltrovány
prvním pravidlem.
Page 72
Pokud bude k webu přistupovat jiný uživatel, který není studentem, tak pro něj první pravidlo
nelze použít. Nesplňuje podmínku, že je ve skupině studenti. ISA server tedy přejde ke
druhému pravidlu, které povolí přístup k webu.
Systémová politika
Systémová politika ISA serveru je speciální sada přístupových pravidel firewallu (Access
rules). Tato pravidla mají vyšší prioritu než pravidla definovaná administrátorem a platí vždy
jen pro komunikaci mezi sítí Localhost a některou jinou sítí. Jsou to tedy pravidla, která
umožňují síťovou komunikaci samotnému ISA serveru. Tato pravidla jsou po instalaci ISA
serveru automaticky definována do výchozího stavu.
Obrázek 65: systémová politika
Jméno
Popis
Výchozí hodnota
DHCP
Určuje, ze kterých zdrojů je možné přijímat
konfiguraci DHCP protokolem.
Internal
DNS
Umožňuje komunikaci ISA serveru s DNS
servery v různých sítích
All Networks
Active Directory
Umožňuje komunikaci s řadičem domény
Internal
Microsoft
Management
Console (MMC)
Umožňuje vzdálenou správu ISA serveru
pomocí MMC konzole (včetně konzole pro
správu ISA serveru)
Remote
Management
Computers
Terminal Servet
Umožňuje připojení k ISA serveru pomocí
vzdálené plochy
Remote
Management
Page 73
Computers
ICMP (ping)
Umožňuje odesílat odpovědi na ICPM Echo
Request (pokus o pingnutí ISA serveru)
z počítačů
Remote
Management
Computers
ICMP
Použití příkazu ping z ISA serveru
All Networks
Windows
Networking
Umožní ISA serveru použít protokol NetBIOS
Internal
SMTP
Umožní ISA serveru pomocí protokolu SMTP
odeslat informace nebo varování
Internal
Scheduled
Download Job
Umožní ISA serveru stahovat naplánované
webové stránky do Cache
Vypnuto
Allowed Sites
Umožní ISA serveru přístup na webové servery
HTTP protokolem
System Policy
Allowed Sites
Tabulka 4: některé vlastnosti systémové politiky
V tabulce není uveden kompletní obsah systémové politiky, ale jen některé její podstatné
části. Každou komponentu politiky (přístupové pravidlo) lze povolit nebo zakázat a
předefinovat zdroj nebo cíl komunikace. Pokud potřebujete například konfigurovat externí
adaptér ISA serveru DHCP serverem poskytovatele internetu, přidejte v systémové politice
DHCP k síti Internal ještě síť External nebo síťový objekt Computer, který bude
reprezentovat IP adresou DHCP serveru poskytovatele internetu.
Dále si všimněte, že diagnostické a administrační části politiky jsou zpřístupněné pro skupinu
Remote Management Computers. Tato skupina počítačů (IP adres) určuje počítače, ze
kterých lze vzdáleně spravovat ISA server pomocí konzole nebo vzdálené plochy, a nebo
počítače, ze kterých lze ISA server pingnout (ověřit jeho běh). Počítače, ze kterých budete
chtít ISA server vzdáleně spravovat, přidejte do Remote Management Computers. Tuto
skupinu počítačů můžete editovat například v Toolboxu konzole ISA serveru.
Aplikační filtry
Přístupová pravidla firewallu jsme dosud uvažovali jako pravidla, která definují paketové a
stavové filtrování. Pravidla pracovala na síťové a transportní vrstvě ISO/OSI modelu. ISA
server však obsahuje podporu i pro filtrování na nejvyšší úrovni – aplikační vrstvě. Paketové
a stavové filtrování umožnilo vytvoření spojení mezi klientem a serverem na různých
počítačích. Toto spojení je pak využito k přenosu dat aplikačním protokolem. Aplikační filtry
tedy již kontrolují komunikaci vytvořeným kanálem a mohou zabraňovat útokům na konkrétní
aplikace (služby) klientů nebo serverů.
ISA server obsahuje několik vestavěných aplikačních filtrů. Primárním účelem některých filtrů
je umožnění komunikace daným protokolem přes nestandardní prostření firewallu, protože
daný protokol nebyl navržen tak, aby dokázal přes firewall pracovat. Příkladem takových filtrů
může být FTP access filter nebo PPTP filter. Další kategorií filtrů jsou takové, které slouží
Page 74
primárně k znemožnění útoku pomocí daného protokolu. Příkladem těchto filtrů může být
DNS filter, SMTP filter nebo HTTP filtry.
Obrázek 66: aplikační filtry ISA serveru
Aplikační filtry jsou dostupné z konzole ISA serveru. V navigačním stromu konzole vyberte
Configuration a následně Add-ins (doplňky). Z hlediska konfigurace je zajímavý v podstatě
jen SMTP filtr. Jeho editací lze upravit seznam použitelných příkazů protokolu SMTP.
Tyto aplikační filtry jsou většinou konfigurovány pro objekty serverových protokolů
v Toolboxu k ochraně interních serverů zveřejněných na internet nebo k protokolům, které
vyžadují zvláštní přístup práce při provozu přes firewall.
Page 75
Obrázek 67: DNS server protokol s aplikačním filtrem
HTTP aplikační filtr
Aplikační filtr protokolu HTTP poskytuje široké možnosti k ochraně interních webových
serverů nebo filtrování nežádoucí dokumentů. Konfigurace vlastního HTTP filtru je k dispozici
ve vlastnostech přístupového pravidla, které povoluje komunikaci protokolem HTTP nebo
z kontextové nabídky tohoto pravidla.
Obrázek 68: konfigurace HTTP filtru
HTTP aplikační filtr může:




Omezit maximální velikost hlavičky a dat HTTP protokolu
Omezit maximální povolenou délku URL
Omezit přenos spustitelných souborů přes HTTP
Omezit metody HTTP protokolu (např. GET, POST atd.)
Page 76


Omezit přenášené typy souborů na základě přípony
Omezit přenos dokumentů, které mají v hlavičce nebo těle (datech) definované
textové řetězce
Konfigurace webového filtru HTTP probíhá na každém pravidle, které umožňuje HTTP
komunikaci, odděleně. Pro nastavení HTTP filtru postupujte následovně:
1. V konzole ISA serveru zvolte Firewall Policy. Klepněte pravým tlačítkem na vybrané
pravidlo a zvolte Configure HTTP. Dané pravidlo musí povolovat komunikaci HTTP
protokolem.
Obrázek 69: HTTP aplikační filtr
2. Na panelu General může v sekci Request Headers a Request Payload změnit
maximální velikost hlavičky a těla HTTP požadavku. V sekci Executables můžete
zakřížkováním zablokovat přenos spustitelných souborů přes protokol HTTP. V sekci
URL protection lze omezit maximální délku URL adresy a volbami Verify
normalization a Block high bit characters kontrolovat korektnost URL.
3. Na panelu Methods můžete zablokovat vybrané metody HTTP protokolu, nebo
zablokovat všechny metody kromě vybraných. Typické metody GET a POST slouží
k předávání parametrů z klienta na webový server.
4. Na panelu Extensions můžete zablokovat přenos souborů se zvolenými příponami,
nebo povolit přenos pouze souborů s vyjmenovanými příponami.
Page 77
Obrázek 70: blokování přenosu komprimovaných souborů
5. Na panelu Headers lze blokovat různé hlavičky v HTTP dotazech nebo odpovědích.
Programy, které používají ke komunikaci HTTP protokol, často vkládají určité hlavičky
do HTTP protokolu.
6. Na panelu Signatures lze blokovat HTTP komunikaci, která obsahuje v hlavičkách
nebo těle určité textové řetězce. Některé textové řetězce a informace sem vkládají
různé aplikace, které komunikují přes protokol HTTP. Tyto řetězce lze hledat mezi
hlavičkami nebo v těle HTTP požadavků i odpovědí a v URL požadavku. Informace o
tom, jak blokovat konkrétní aplikaci, je třeba zjistit analýzou komunikace dané
aplikace. Tuto analýzu lze provést pomocí nástrojů pro monitorování komunikace,
nebo lze najít typické signatury pro dané běžné aplikace na internetu http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx.
Pokud se hledá signatura v těle požadavku nebo v těle odpovědi (Request body,
Response body), je nutné brát v úvahu, jak daleko od začátku dokumentu se bude
tato signatura hledat – pole Byte Range.
Page 78
Obrázek 71: blokování aplikace přenášející data HTTP protokolem
7. Po editaci HTTP filtru aplikujte nastavení na ISA server.
FTP aplikační filtr
Na protokolu FTP v Toolboxu, který slouží pro pravidla, která povolují komunikaci zejména
klientům vnitřní sítě s FTP servery na internetu, je definován FTP aplikační filtr. U pravidel,
která obsahují komunikaci FTP protokolem lze definovat, zda komunikace se serverem bude
pouze pro čtení nebo i pro zápis. Výchozí stav je, že FTP komunikace umožňuje pouze číst.
Page 79
Obrázek 72: FTP filtr
Publikování interních serverů na internet
Pro zveřejnění interních serverů uživatelům externí sítě slouží speciální pravidla firewallu –
tzv. publikační pravidla. Tyto publikační pravidla lze rozdělit na dvě kategorie:


Pravidla pro zveřejnění webových služeb – Web site publishing rules – pro zveřejnění
webových serverů, včetně webového rozhraní Exchange serveru a SharePiont
Services. Tyto pravidla jsou velice komplexní, umožňují autentizaci příchozích
požadavků a lze na ně aplikovat HTTP aplikační filtr.
Pravidla pro zveřejnění ostatních služeb – Non-Web server protocol publishing rules
– jde o pravidla, která zveřejňují ostatní (newebové) služby jako SMTP, POP3, IMAP,
FTP server nebo terminálový server (vzdálenou plochu). Tyto pravidla nepodporují
autentizaci. Autentizaci lze provést případně až aplikačním protokolem po vytvoření
spojení.
Kromě možnosti vytvoření těchto dvou typů pravidel konzola ISA serveru nabízí průvodce,
který umožní zveřejnit například poštovní služby. Tento průvodce pak vygeneruje několik
pravidel různých typů pro různé přístupy k poště.
Zveřejnění newebových služeb
Servery, které neslouží jako webové servery, lze zveřejnit pomocí Non-Web server protocol
publishing pravidel. Typickým příkladem takového protokolu může být protokol FTP. Toto
pravidlo, podle zvoleného protokolu, zpřístupní na externím rozhraní komunikační port pro
danou komunikaci. Pro případ protokolu FTP to bude TCP port 21. Jakoukoliv příchozí
komunikaci, která přijde na externí adaptér ISA serveru na daný port, bude ISA server
přeposílat na interní server definovaný IP adresou.
Zveřejnění FTP serveru
1. V konzole ISA serveru vyberte Firewall Policy.
Page 80
2. V pravé části konzole v panelu Tasks vyberte možnost Publish Non-Web server
protocol, spustí se průvodce.
3. Na první obrazovce vepište jméno pravidla, například zverejneni FTP.
4. Na další obrazovce vepište IP adresu interního FTP serveru.
5. Na další obrazovce vyberte z nabídky protokolů protokol FTP server. Tlačítkem Ports
můžete předefinovat některé výchozí vlastnosti FTP. ISA server bude na portu 21
čekat příchozí spojení a bude je přeposílat FTP serveru opět na port 21. V případě,
že by ISA server měl čekat na příchozí spojení na jiném portu, nebo je přeposílat na
jiný port FTP serveru, lze toto zde předefinovat.
Obrázek 73: zveřejnění FTP serveru
6. Na další stránce průvodce vyberte, pro které sítě bude FTP server zveřejněn. Pro
zveřejnění internetovým uživatelům zvolte sít External.
7. Dokončete průvodce. Zkontrolujte nastavení FTP aplikačního filtru na tomto pravidle,
zda je nastaven tak, jak je třeba (konfigurační položka Read-Only).
Po vytvoření pravidla lze v jeho vlastnostech doplnit některé další položky. Například přesně
dodefinovat zdroj komunikace nebo časový plán pro toto pravidlo. Dále je třeba zajistit
korektní překlad DNS jmen pro internetové uživatele. Pokud budete například chtít, aby FTP
server byl přístupný pod jménem ftp.domena.cz, je třeba do DNS služby, která překládá
Page 81
názvy dané domény klientům na internetu, vložit záznam s příslušným jménem a nastavit
jeho IP adresu na IP adresu externího adaptéru ISA serveru.
Obrázek 74: publikační pravidlo pro FTP server
Shodným způsobem by bylo možno zveřejnit například terminálový server – vzdálenou
plochu – protokolem RDP server. Pro zveřejnění dalšího FTP serveru by však bylo nutné jej
zveřejnit na nestandardní port, protože port 21 externího adaptéru ISA serveru je již použit
pro první FTP server.
Publikace webového serveru
Pro zveřejnění webových serverů a služeb slouží pravidla Web Site publishing. Tato pravidla
používají tzv. Web Listener, což je síťový objekt, který čeká na příchozí HTTP požadavky. Na
základě požadované URL je schopen předávat požadavky na různé interní webové servery
(web, Exchange), požadovat autentizaci uživatele nebo provádět filtrování aplikačním HTTP
filtrem. Web Listener se spustí na zvoleném adaptéru ISA serveru (typicky na síti External)
na obvyklém portu 80 webového serveru a bude čekat na příchozí požadavky od webových
klientů.
Vytvoření Web Listeneru
1. Spusťte konzolu ISA serveru a přejděte k Firewall Policy. Vyberte panel Toolbox.
2. V Toolboxu vyberte Network Objects a Web Listeners. Tlačítkem New spusťte
průvodce.
3. Zadejte název pro Web Listener.
4. Na další obrazovce vyberte Do not require SSL secured connections a pokračujte
dál. SSL spojení by vyžadovala instalaci SSL certifikátů, což přesahuje rozsah této
publikace.
Page 82
Obrázek 75: typ spojení mezi ISA serverem a klientem v internetu
5. Na další obrazovce zvolte, pro které sítě bude Web Listener pracovat. Nechte
zvolenu síť External.
6. Na další obrazovce vyberte typ autentizace, kterou v případě potřeby bude Web
Listener provádět. Zvolte HTML form autentizaci a jako poskytovatele autentizace
nechte Active Directory.
Obrázek 76: nastavení autentizace Web Listeneru
7. Na další obrazovce odkřížkujte možnost SSO autentizace a dokončete průvodce.
Vytvoření pravidla
1. V konzole ISA serveru vyberte Firewall Policy. V pravém panelu Tasks zvolte Publish
Web Sites.
2. Zadejte jméno pravidla a na další obrazovce průvodce zadejte akci pravidla, která
povolí nebo zakáže komunikaci.
3. Na další obrazovce zvolte Publish a single Web site or load balancer a pokračujte.
4. Na další obrazovce zvolte Use non-secured connection to the published Web server.
5. Na další obrazovce zadejte interní jméno serveru, případně jeho interní IP adresu.
Page 83
Obrázek 77: interní jméno web serveru
6. Další obrazovku s volitelnou položkou Path nechte beze změn.
7. Na obrazovce Public Name Details zadejte externí (internetové) jméno webového
serveru a položku Accept requests for nechte na hodnotě This domain name.
Obrázek 78: externí jméno web serveru
8. Na další obrazovce zvolte vytvořený Web Listener.
9. Na obrazovce User Sets odstraňte skupinu All Authenticated users a vložte skupinu
All users. Webový server bude přístupný i anonymním uživatelům.
Page 84
Obrázek 79: uživatelé zveřejněného webového serveru
Interní webový server (www.skola.local) bude dostupný z internetu pod jménem
www.domena.cz. Je tedy nutné, aby internetový DNS server pro doménu školy přeložil
internetové jméno webového serveru na IP adresu externího adaptéru ISA serveru.
Publikace poštovního serveru
Outlook Web Access - OWA
Zveřejněním webového rozhraní poštovního serveru Exchange na internet umožníte
uživatelům z internetu přístup ke schránkám na interním serveru Exchange pomocí
webového prohlížeče. Ke zveřejnění webového rozhraní pro práci s poštou postupujte podle
následujícího návodu:
Exchange Web Client Access.
2. Vepište jméno pro pravidlo.
3. Na další obrazovce nechte zatrženu možnost Outlook Web Access a z nabídky
vyberte verzi publikovaného Exchange serveru.
4. Na další obrazovce průvodce zvolte Publish a single Web site or load balancer.
5. Na další obrazovce nechte volbu Publish non-secured connections.
6. Na další obrazovce zadejte interní jméno poštovního serveru, případně jeho IP
adresu.
Page 85
Obrázek 80: jméno serveru
7. Na další obrazovce průvodce nechte volbu This domain name a zadejte
internetový název poštovního serveru. Internetový název (např. mail.domena.cz)
bude muset být přeložitelný na IP adresu externího adaptéru ISA serveru.
Obrázek 81: externí jméno zveřejněného serveru
8. Na další obrazovce vyberte síťový objekt Web Listener, který bude použit pro příchozí
spojení. Pokud žádný Web Listener neexistuje, vytvořte jej podobně, jako v postupu
zveřejnění webového serveru. Pro zveřejnění OWA je vhodné použít web listener
s autentizaci HTML form authentication.
9. Na další obrazovce vyberte NTLM authentication a dokončete průvodce.
Vznikne webové publikační pravidlo, které je předdefinováno pro publikaci webového
rozhraní poštovního serveru Exchange. Toto webové rozhraní bude dostupné z internetu
uživatelům pod jménem definovaným veřejným jménem (mail.domena.cz). Pokud uživatelé
z internetu zadají do prohlížeče mail.domena.cz/Exchange, zobrazí se přihlašovací formulář
ISA serveru. ISA server ověří identitu uživatele, přihlásí jej k Exchange serveru a poskytne
mu webové rozhraní práce s poštou.
Page 86
Obrázek 82: přihlašovací formulář Form-Based autentizace
SMTP server
Aby poštovní server na interní síti mohl přijímat poštu z internetu, je třeba zveřejnit SMTP
server. Pro doručování pošty mezi poštovním serverem odesilatele a poštovním serverem
příjemce se používá protokol SMTP. Pro zveřejnění SMTP serveru postupujte následovně:
Mail Servers.
2. Vepište jméno pro pravidlo.
3. Na další obrazovce zvolte Server to Server communication.
Obrázek 83: publikace SMTP serveru pro příjem emailů
4. Na další obrazovce zatrhněte protokol SMTP.
5. Na další obrazovce zadejte interní IP adresu poštovního serveru a pokračujte
v průvodci.
6. Vyberte síť, které chcete SMTP server zveřejnit. Zvolte síť External.
7. Dokončete průvodce a aplikujte nastavení na ISA server. Vytvořené pravidlo bude
vypadat jako na obrázku níže.
Page 87
Internetový DNS server, který má na starosti překlad internetových jmen vaší domény, je
třeba nastavit tak, aby DNS záznam emailového serveru byl nasměrován na externí adaptér
ISA serveru. Odesilatelé pošty uživatelům interního poštovního serveru potom budou
odesílat poštu ISA serveru, který bude tuto SMTP komunikaci směrovat na zveřejněný
Exchange (SMTP) server.
VPN klientský přístup
VPN klienti se používají k bezpečnému připojení k síťovým zdrojům interní sítě přes
nechráněný veřejný internet. Spojení je realizováno šifrovaným kanálem, takže není snadné
je monitorovat nebo falšovat.
Klienti, kteří se připojí k interní síti pomocí VPN připojení, jsou automaticky zařazeni do sítě
VPN clients. Pomocí přístupových pravidel firewallu můžete definovat, jaká komunikace bude
VPN klientům umožněna. Ve výchozím nastavení je VPN klientům umožněna veškerá
komunikace s interní sítí pomocí síťového pravidla routování.
Nastavení VPN serveru
Pro zprovoznění VPN brány na ISA serveru postupujte podle tohoto návodu:
1. V konzole ISA serveru v navigačním stromě vyberte Virtual Private Networks (VPN).
V prostřední části konzole se zobrazí seznam pěti kroků k zprovoznění VPN serveru.
Obrázek 84 konfigurace VPN serveru
Page 88
2. V první části klikněte na odkaz Configure Address Assignment Method v prvním
bodě. Otevře se okno s možnostmi, jak budou VPN klientům konfigurován protokol
TCP/IP. Pokud máte na interní síti DHCP server, vyberte možnost Dynamic Host
Configuration Protocol (DHCP) a vyberte síť Internal, na níž se bude DHCP server
kontaktovat. Pokud na interní síti není konfigurován DHCP server, lze zvolit možnost
Static address Pool a tlačítkem Add přidat rozsah IP adres, který bude použit pro
konfiguraci VNP klientů. Tento rozsah se nesmí krýt s rozsahem definovaných sítí,
zejména se sítí Internal. Pokud k tomu dojde, ve vlastnostech sítě Internal zmenšete
její IP rozsah a nevyužitý prostor přidělte do statického rozsahu pro VPN server.
Obrázek 85: přidělování IP adres VPN klientům
3. Pokračujte prvním bodem. Klikněte na odkaz Enable VPN Client Access. Zatrhněte
volbu Enable VPN client access a zvolte maximální počet VPN klientů. Pokud
používáte ke konfiguraci klientů interní DHCP server, VPN server si z DHCP serveru
alokuje IP adresy.
Obrázek 86: spuštění VPN serveru
Page 89
4. Aplikujte nastavení na ISA server a pokračujte druhým krokem – definicí uživatelů,
kterým je povoleno se přes VPN připojit k interní sítí. Klikněte na odkaz Specify
Windows Users. Tlačítkem Add přidejte skupiny uživatelů z domény Active Directory.
Jako Umístění zvolte vaši doménu a vepište název skupiny. Tlačítkem Kontrola názvu
můžete zkontrolovat správnost napsané skupiny. Tlačítkem OK skupinu přidáte
k povoleným skupinám pro VPN připojení. Zavřete dialog definice skupin.
Obrázek 87: povolení uživatelé VPN
5. Ve třetím kroku se pomocí odkazu Verify VPN properties přesvědčte, že je zvolen
PPTP protokol a odkazem Remote Access Configuration, zda budou VPN spojení
přijímána ze sítě External.
6. Ve čtvrtém a pátém kroku zkontrolujte, zda mezi sítí VPN Clients a sítí Internal
(případně dalšími sítěmi) existují síťová pravidla a přístupová pravidla firewallu.
7. Aplikujte veškeré nastavení na ISA server.
Připojení klienta
Klientské počítače na internetu bude třeba zkonfigurovat tak, aby se připojovali k VPN
serveru jako klienti. Pro počítače s operačním systémem Windows XP postupujte
následovně:
1. Přihlaste se k počítači. Z nabídky Start vyberte Ovládací panely a zvolte panel Síťová
připojení.
2. Spusťte Průvodce vytvořením připojení. Tlačítkem Další přejděte k obrazovce Typ
připojení.
3. Zvolte Připojit k firemní síti a na další obrazovce Připojení k virtuální privátní síti.
4. Zadejte název pro toto připojení, např. Připojení VPN do školy.
5. Na další obrazovce zadejte IP adresu nebo název cílového VPN serveru. Tato
adresa, nebo DNS jméno musí směřovat na IP adresu externího adaptéru ISA
serveru.
6. Dokončete průvodce.
Page 90
7. Z nabídky Start vyberte Připojit a klikněte na vytvořené připojení.
8. Zadejte jméno a heslo pro účet, který má právo připojit se pomocí VPN k interní síti a
připojte se.
V konzole ISA serveru, v panelu Tasks pro Virtual Private Networks je možnost Monitor VPN
clients, která otevře monitorování spojení a odfiltruje vše, kromě VPN klientů. Lze tam tedy
sledovat, kdo je aktuálně připojen přes VPN připojení k interní síti.
Obrázek 88: VPN klient
Obrázek 89: aktuálně připojení VPN klienti
Cache
Cache ISA serveru slouží k dočasnému uložení požadavků HTTP a FTP protokolu. Při
komunikaci, kterou je možné cachovat, si ISA server uloží obdržené odpovědi. Při dalším
průstupu k danému objektu ISA server může vracet odpovědi ze své cache, aniž by musel
znovu komunikovat s cílovým serverem.
Ve výchozím stavu po instalaci ISA serveru je cache vypnutá. Zapnutí cachování se provede
jednoduše vyhrazením zvoleného množství diskového prostoru na některém lokálním disku
se souborovým systémem NTFS.
Page 91
Aktivace cache
1. Otevřete konzolu ISA serveru a v navigačním stromě vyberte položku Configuration a
následně položku Cache.
2. V pravé části konzole na panelu Tasks, klikněte na položku Define cache drives.
3. Vyberte některý z dostupných pevných disků. Do pole Maximum cache size vepište
velikost diskového prostoru v MB, který chcete na zvoleném disku rezervovat.
Obrázek 90: povolení cache
4. Potvrďte tlačítkem Set.
5. Aplikujte nastavení na ISA server. Ke spuštění cache je nutné restartovat službu
firewallu. Na dotaz konzole tuto službu restartujte.
Pravidla cache
Podobně jako existují pravidla firewallu, existují pravidla cache. Tato pravidla obsahují
definici požadovaného obsahu (URL adresu) a způsob, jakým bude s danými objekty URL
adresy zacházeno.
Vyhodnocování pravidel probíhá stejně jako u firewallu postupně od prvního. Hledá se
pravidlo, které vyhovuje dané komunikaci.
Ve výchozím stavu je definováno jedno pravidlo, které umožňuje cachovat komunikaci se
servery Microsoft Update a poslední výchozí pravidlo, které cachuje veškerou komunikaci.
Pravidla cache zobrazíte výběrem panelu Cache Rules v prostřední části konzole ISA
serveru v konfiguraci Cache.
Obrázek 91: výchozí pravidla cache
Page 92
Pravidlo cache definuje pro daný obsah (URL) několik položek:


Jestli lze daný obsah uložit do cache – pro dané umístění lze zablokovat cachování,
nebo je umožnit.
Jak je vracen daný obsah klientovi
o Pokud je obsah v cache platný, vrátit z cache, jinak vrátit ze serveru (a
aktualizovat v cache)
o Pokud je obsah v cache (i neplatný), vrátit z cache, jinak vrátit ze serveru (a
aktualizovat v cache)
o Pokud je obsah v cache (i neplatný), vrátit z cache, jinak ignorovat požadavek
Definice vlastního pravidla cache:
1.
2.
3.
4.
5.
V konzole ISA serveru vyberte Configuration a Cache.
V kontextové nabídce položky Cache zvolte Nový Objekt a Cache Rule.
Napište jméno pravidla a pokračujte na další obrazovku průvodce.
Vyberte síťový objekt, reprezentující zdroje informací (servery).
Na další obrazovce zvolte způsob vybavování požadavků z cache ISA serveru. První
možnost vrací platné stránky z cache, druhá možnost vrací z cache, pokud tam
existuje jakákoliv verze daného objektu. Při neúspěch se kontaktuje cílový server pro
získání nového obsahu. Třetí možnost vrací požadavky výhradně z cache. Pokud
požadované objekty v cache nejsou, klient je neobdrží.
Obrázek 92: způsob práce s cache
6. Na další obrazovce je možné volbou Never, no content will be cached zamezit
ukládání obsahu daného zdroje do cache ISA serveru. Druhá varianta – If source
request headers indicate to cache – umožní ISA serveru uložit obsah do cache,
pokud to není v hlavičkách HTTP protokolu výslovně zakázáno. Dalšími možnostmi je
ukládat do cache i dynamický obsah (Dynamic content), offline obsah a obsah
vyžadující autentizaci uživatele.
Page 93
Obrázek 93: ukládání do cache
7. Na další obrazovce je možné omezit maximální velikost cachovaných objektů.
Následuje obrazovka s nastavením HTTP cachování. Platnost objektů v cache (TTL)
je nastavena na 20% stáří daného objektu. Ne však méně než 15 minut a více než 1
den.
Obrázek 94: HTTP cachování
8. Na další obrazovce je povoleno cachovat FTP objekty (soubory). Výchozí doba
platnosti TTL je u FTP objektů nastavena na 1 den.
9. Dokončete průvodce a aplikujte nastavení na ISA server.
Content download jobs
Úlohy pro automatické stahování obsahu slouží k pravidelnému ukládání zvolené webové
prezentace do cache.
1. V panelu Cache konzole ISA serveru vyberte Content Download Jobs.
2. V pravé části konzole na panelu Tasks klikněte na Schedule a Content Download
Job. Zobrazí se varování, že bude třeba povolit Scheduled Download Job položku
v systémové politice ISA serveru. Potvrďte změnu politiky a aplikujte nastavení na
ISA server.
Page 94
3.
4.
5.
6.
Klikněte znovu na položku Schedule a Content Download Job v panelu Tasks.
Zadejte název úlohy.
Zvolte, jak často se daný obsah bude stahovat a na další obrazovce toto upřesněte.
Na další obrazovce zadejte URL, která se bude stahovat do cache. Můžete dále
upřesnit, zda sledovat odkazy na jiné URL jména a do jaké hloubky odkazů
prezentaci stahovat.
Obrázek 95: automatické stahování obsahu
7. Na další obrazovce průvodce je možné upřesnit, jaký obsah ukládat do cache a s
jakou dobou platnosti.
Obrázek 96: automatické stahování obsahu
8. Dokončete průvodce a aplikujte nastavení na ISA server. Úloha stahování obsahu
bude spuštěna podle plánu, nebo lze její okamžité spuštění vynutit z kontextové
nabídky.
Page 95
Správa a monitorování ISA
Administrativní role
Pro přidělení oprávnění administrace a monitorování ISA serveru slouží administrativní role
ISA serveru. Pro ISA server 2006 Standard edice existují tři role uživatelů:



ISA server Full Administrator – uživatel s plným oprávněním k ISA serveru.
ISA server Auditor – uživatel s oprávněním k prohlížení konfigurace firewallu a
nastavení/sledování monitorovacích úloh
ISA server Monitoring Auditor – uživatel, který má oprávnění jen ke sledování
monitorovacích úkolů.
Výchozí nastavení administrativních rolí na ISA serveru jsou na následujícím obrázku.
Obrázek 97: výchozí role pro ISA server
Lokální účet administrátora ISA serveru a skupina BUILTIN\Administrators, která
reprezentuje i doménové administrátory, mají plný přístup k ISA serveru – roli ISA server Full
Administrator.
Přidělení administrativní role uživateli
1. Otevřete konzolu ISA serveru a v levé části navigačního stromu vyberte Configuration
a General.
2. Ve středním panelu klikněte myší na volbu Assign Administrative Role.
3. Tlačítkem Add přidejte uživatele nebo skupinu, které chcete přiřadit administrativní
roli. Tlačítkem Browse vyberte některý účet uživatele nebo skupiny z domény Active
Directory. Ve spodní části okna zvolte administrativní roli pro zvoleného uživatele
nebo skupinu.
Page 96
Obrázek 98: definice administrativní role
Uživatel s definovanou rolí ISA serveru se může k ISA serveru přihlásit a z konzole ISA
serveru provádět povolené akce – monitorování, nastavení monitorování, konfigurace
firewallu. Nebo může využít své pracovní stanice, která je ve skupině Remote Management
Computers, a spravovat ISA server z konzole vzdáleně.
Monitorování
Monitorování ISA serveru hraje podstatnou roli při sledování komunikace, ověření správné
funkcionality přístupových a publikačních pravidel firewallu nebo při řešení problémů, kdy
někteří klienti nemají očekávaný přístup k internetu.
Monitorování ISA serveru je možné provádět z administrační konzole ISA Serveru v části
Monitoring. Komplexní pohled na dostupné části monitorování ISA serveru nabízí tzv.
Dashboard. Tento panel, dostupný z Monitoring části konzole ISA serveru shrnuje aktuální
stav ISA serveru a výrazným způsobem informuje správce o potencionálních problémech.
Panel Dashboard obsahuje informace o verifikátorech konektivity, službách ISA serveru,
aktuálním počtu klientů nebo upozornění (Alerty) na různé události.
Page 97
Obrázek 99: Dashboard (palubní deska) ISA serveru
Výstrahy (Alerts)
Alerty jsou konfigurační položky, které stanovují, jak se má ISA server chovat pokud nastane
jistá situace. ISA server obsahuje po instalaci bohatou sadu alertů, které lze upravit nebo
doplnit o nové.
Význam alertu je rozdělen do tří kategorií – Informace, Výstraha a Chyba. Každý alert
obsahuje informaci o tom, jaká událost jej vyvolá, případně kolik daných událostí v určitém
časovém intervalu alert vyvolá. Vyvolaný alert pak provádí předdefinovanou akci kromě toho,
že se zaznamená do konzole ISA severu. Touto akcí může být odeslání emailu, spuštění
nějakého uživatelského programu (skriptu), zápis události do systémového logu (Event log)
nebo dokonce může zastavit služby ISA serveru.
Vyvolané alerty jsou viditelné z panelu Dashboard nebo z panelu Alerts v konzole ISA
serveru.
Obrázek 100: Potvrdit nebo resetovat alert
Page 98
Zaznamenané alerty lze z kontextové nabídky daného alertu potvrdit nebo resetovat.
Potvrzením (Acknowledge) alertu řeknete, že jste jej vzali na vědomí a daný (potvrzený) alert
nebude zobrazen v panelu Dashboard. Resetem alertu daný alert odstraníte z obou panelů –
Dashboard i Alerts.
Obrázek 101: některé alerty ISA serveru
Spojení (Sessions)
Na panelu Sessions lze sledovat spojení klientů s ISA serverem.
Obrázek 102: aktuální spojení s ISA serverem
Vzhledem k faktu, že ISA server zaznamenává komunikaci do databázového souboru, lze
efektivně v tomto logu vyhledávat. Pro vlastní pohled na komunikaci klikněte na odkaz Edit
Filter a nastavte filtr, který zobrazí požadované informace.
Vlastní filtr, na obrázku níže, po spuštění tlačítkem Start Query zobrazí na panelu Sessions
konzole ISA serveru všechny spojení Web-Proxy klientů za posledních 24 hodin.
Page 99
Obrázek 103: vlastní filtr
Služby (Services)
Panel Services zahrnuje několik položek, kde každá položka reprezentuje jednu službu ISA
serveru. Tyto služby lze odsud restartovat, nebo kontrolovat jejich funkci.
Obrázek 104: panel služeb
Reporty (Reports)
Reportovací možnosti ISA serveru slouží k přehlednému, grafickému vyhodnocení práce ISA
serveru a komunikace přes něj. Po každém dni a na konci každého měsíce ISA server
vytvoří krátké vyhodnocení práce za konkrétní den nebo měsíc. Tyto údaje jsou pak
využívány pro generování reportů. Tyto reporty jsou ve formě HTML dokumentu s obrázky a
grafy. Report lze vygenerovat jednorázově, nebo jej generovat automaticky například každý
týden. Tyto reporty je pak možné dále nechat automaticky uložit do sdílené složky na síti
nebo na interní webový server.
Report může obsahovat několik částí:




Summary – základní přehled nejčastěji použitých protokolů, webových serverů,
funkce cache nebo toku dat přes ISA server.
Web usage – detailnější informace o přístupu klientů k webu
Application usage – detailnější informace o aplikacích, které přistupují k internetu.
Traffic and Utilization – detailnější informace o toku dat a vytížení ISA serveru
Page 100

Security – informace o zablokovaných spojeních nebo chybných autentizacích
Obrázek 105: ukázka části reportu
Vytvoření měsíčního plánu reportování
1. V konzole ISA serveru zvolte Monitoring a panel Reports.
2. V pravém panelu Tasks vyberte Create and Configure Report Job, otevře se okno
s definovanými plány reportování.
3. Tlačítkem Add spusťte průvodce vytvořením reportu.
4. Zadejte název reportu, například Mesicni report.
5. Na další obrazovce vyberte, které údaje vás zajímají.
Page 101
Obrázek 106: obsah reportu
6. Na další obrazovce zvolte, jak často bude report generován.
Obrázek 107: plán automatického generování reportu
7. Na další obrazovce můžete zveřejnit report do sdílené složky na některém serveru.
Můžete též definovat uživatelský účet, kterým se provede přístup k této složce. Daný
uživatelský účet musí mít oprávnění modifikace na souborovém systému a sdílené
složky cílového umístění reportu.
Obrázek 108: zveřejnění reportu
8. Na další obrazovce můžete odeslat informaci o novém reportu na zvolenou
emailovou adresu.
9. Dokončete průvodce a aplikujte nastavení na ISA server.
Obdobným způsobem lze vygenerovat jednorázový report. Pro toto generování použijte
možnost Generate a New Report z panelu Tasks. Vygenerované reporty jsou dostupné na
Page 102
panelu Reports ISA serveru. Volbou Publish z kontextové nabídky reportu je možné tento
report uložit do zvoleného umístění (např. do dokumentů nebo na plochu).
Obrázek 109: vygenerované reporty
V panelu Tasks je dále část Customize Reports. Ta obsahuje několik odkazů, kterými lze
přizpůsobit jednotlivé části reportů.
Verifikátory konektivity (Connectivity verifiers)
Verifikátory spojení slouží k testování dostupnosti služeb a serverů. Verifikátory lze použít
k ověřování běhu počítače pomocí ICMP protokolu (ping) nebo k ověření dostupnosti služby
na daném počítači – navázáni TCP spojení se služnou. U webových serverů lze testovat
server pomocí odeslání požadavku HTTP GET pro získání webového obsahu.
Obrázek 110: verifikátory konektivity
Logování (Logging)
Obdobně jako v panelu Sessions, tak i v panelu logování lze získávat informace ze souboru
logu ISA serveru. Informace dostupné v této části konzole se týkají přímo komunikace.
Výchozí filtr, který je definován, ukazuje všechny aktivní spojení. U těchto spojení lze
sledovat zdroj a cíl komunikace, použitý protokol, uživatelské jméno, nebo jaké pravidlo tuto
komunikaci ovládá (blokuje nebo povoluje).
Pokud je tedy nutné řešit problémy, že někteří uživatelé nemají přístup k povoleným síťovým
zdrojům, lze odsud dohledat, jaké pravidlo tuto komunikaci blokuje.
Page 103
Obrázek 111: logování komunikace
Výchozí filtr pro zobrazení logování je na obrázku výše. Odkazem Start Query lze tento filtr
aplikovat a zobrazit tak aktuální spojení Firewall nebo Web-Proxy klientů. Logování
v reálném čase (zobrazování aktuální komunikace) může být výkonově náročné a může
degradovat výkonnost ISA serveru. Proto logování on-line používejte k ladění a odstraňování
potíží, jinak nechte zobrazování aktuální komunikace z logu vypnuté.
Obrázek 112: příklad dotazu z logu
Internet Blocking Tool (InetBlocker)
Aplikace Internet Blocking Tool byla vyvinuta pro snadné ovládání ISA serveru nezkušenými
uživateli. Umožňuje rychle zablokovat nebo odblokovat připojení k internetu pro definované
skupiny počítačů. Pověřené osoby (např. učitelé) pak mohou z prostředí jednoduché
aplikace ovládat připojení učebny k internetu.
Page 104
Obrázek 113: aplikace Internet Blocking Tool
Instalace aplikace
Aplikace Internet Blocking Tool (IBT) je určena pro rychlé blokování nebo zpřístupnění
internetu v průběhu výuky. Proto bude typicky nainstalována na pracovních stanicích,
například na lektorských počítačích v učebnách. Tato aplikace využívá komponent
dostupných v rámci administrační konzole ISA serveru, proto je nutné, aby na pracovních
stanicích, kde bude aplikace používána, byla nainstalovaná konzola pro správu ISA serveru.
Dále je nutné mít na pracovní stanici nainstalovanou komponentu .NET framework 2. Pokud
.NET framework není nainstalován, lze jej dodatečně stáhnout z webu Microsoftu, nebo
automaticky stáhnout a nainstalovat v rámci Automatických aktualizací (Windows Update).
Postup instalace:
1. Přihlaste se k pracovní stanici administrátorským účtem
2. Zkontrolujte, zda je na pracovní stanici nainstalována konzole pro správu ISA
serveru. Tato konzole bývá umístěná v nabídce Start, Programy, Microsoft ISA
server. Jestliže tato konzole na stanici chybí, doinstalujte ji z instalačního média ISA
serveru.
3. Pokud nemáte nainstalován .NET framework 2, nainstalujte jej. Instalátor aplikace
Internet Blocking Tool testuje přítomnost této komponenty. Pokud není k dispozici,
nasměruje Vás na web, odkud si ji můžete stáhnout.
4. Z adresáře s instalačními soubory aplikace spusťte program Setup.exe.
5. Na úvodní straně instalačního průvodce klikněte na tlačítko Next.
6. Na další obrazovce průvodce můžete vybrat cílovou složku instalace a zvolit, jestli
aplikace bude nainstalována aktuálnímu uživateli, nebo všem uživatelům tohoto
počítače. Nainstalujte tuto aplikaci pro všechny uživatele – všichni uživatelé budou
mít v nabídce Start zástupce této aplikace.
Page 105
Obrázek 114: instalace IBT
7. Dokončete průvodce instalací.
Po nainstalování aplikace vznikne v nabídce Start položka InetBlocker. V ní jsou k dispozici 2
verze aplikace.


InetBlocker – umožňuje rychle zablokovat nebo odblokovat připojení k internetu
definovaným skupinám počítačů
InetBlockerAdmin – kromě funkcí jako předchozí aplikace navíc umožňuje nastavit
IP adresu spravovaného ISA serveru a definovat skupiny počítačů, které tyto aplikace
budou blokovat.
Obrázek 115: Zástupci InetBlocker
Page 106
Nastavení ISA serveru
Aby uživatelé aplikace Internet Blocking Tool měli možnost ovládat připojení k internetu pro
skupiny počítačů, je třeba, aby pracovní stanice těchto uživatelů měly možnost vzdálené
správy ISA serveru. IP adresy všech počítačů, ze kterých bude třeba ovládat ISA server, je
nutné zařadit do skupiny Remote Management Computers v konzole ISA serveru.
1. Přihlaste se k ISA serveru a spusťte konzolu pro správu ISA serveru.
2. Z navigačního stromu vyberte Firewall Policy. V pravém panelu konzole zvolte
Toolbox, Network Objects a dvojklikem na Remote Management Computers otevřete
editaci této skupiny.
3. Tlačítkem Add přidejte počítače, ze kterých bude možné ISA server vzdáleně
spravovat. Lze definovat IP adresu počítače, rozsah IP adres nebo podsíť.
4. Uložte změny skupiny Remote Management Computers a aplikujte nastavení na ISA
server.
Obrázek 116: editace Remote Management Computers
Pokud budou moci blokovat přístup k internetu jiní uživatelé než administrátoři, například
učitelé, je třeba těmto uživatelům nebo skupinám přidělit administrativní roli ISA serveru.
Jelikož se jedná o změny konfigurace ISA serveru, musejí mít tito uživatelé roli ISA server
Full Administrator.
1.
2.
3.
4.
5.
Přihlaste se k ISA serveru a spusťte konzolu pro správu.
V navigačním panelu vyberte Configuration a položku General.
Ve středním panelu klikněte na odkaz Assign Administrative Roles.
Tlačítkem Add můžete přidělit administrativní roli uživatelům.
Vepište jméno uživatele nebo skupiny ve tvaru domena\jmeno nebo tlačítkem Browse
tuto skupinu nebo uživatele vyhledejte v Active Directory.
Page 107
6. Zvolte administrativní roli ISA server Full Administrator.
7. Uložte nastavení a aplikujte změny na ISA server.
Nyní mají vybraní uživatelé (učitelé) možnost z vybraných počítačů ovlivňovat nastavení ISA
serveru.
Obrázek 117: přidělení rolí
InetBlockerAdmin
Po instalaci nástroje Internet Blocking Tool spusťte pod administrátorským účtem z nabídky
Start aplikaci InetBlockerAdmin a vložte do ní IP adresu ISA serveru.
Přihlaste se k pracovní stanici účtem administrátora
Z nabídky Start spusťte InetBlockerAdmin.
Po spuštění aplikace klepněte na tlačítko Nastavení.
V okně nastavení vepište interní IP adresu spravovaného ISA serveru. Déle můžete
aplikaci nastavit tak, aby automaticky po startu zjistila aktuální nastavení ISA serveru,
nebo aby se k ISA serveru přihlašovala jiným uživatelským jménem.
5. Pokud nastavíte aplikaci tak, aby se přihlašovala jiným uživatelským jménem, musí
mít toto jméno možnost plné správy ISA serveru (role Full Administrator). Když toto
nevyplníte, aplikace se bude k ISA serveru přihlašovat účtem aktuálně přihlášeného
uživatele.
6. Tlačítkem OK potvrďte nastavení.
1.
2.
3.
4.
Page 108
Obrázek 118: nastavení IBT
Jakmile nastavíte IP adresu ISA serveru, lze tlačítkem Načíst pravidla stáhnout z ISA serveru
pravidla blokující internet pro dané počítače. Tato pravidla jsou zvláštní přístupová pravidla,
která tato aplikace na ISA serveru vytváří. Při prvním použití tedy žádná pravidla této
aplikace neexistují, a tudíž se nezobrazí.
Vytvoření skupiny
Aplikací InetBlockerAdmin je možné vytvářet skupiny počítačů, kterým bude řízen přístup
k internetu touto aplikací.
1. Tlačítkem Přidat skupinu vytvořte skupinu a pojmenujte ji.
Obrázek 119: vytvoření skupiny
Page 109
2. Poté v seznamu vyberte vytvořenou skupinu a klikněte na tlačítko Změnit skupinu.
Otevře se editační okno, kde můžete do skupiny vkládat počítače.
Obrázek 120: editace skupiny
3. Tlačítkem Přidat můžete do této skupiny přidat počítače. Můžete je definovat na
základě IP adres nebo rozsahu IP adres. Položkou Počítače z domény zobrazíte
seznam počítačů, které byly k doméně připojeny během posledních 14-ti dnů a
můžete vybrat, které počítače do této skupiny přiřadit.
4. Tlačítkem OK ukončíte editaci skupiny.
5. Jakmile dokončíte vytváření a editaci skupin, můžete tlačítkem Uložit změny
promítnout toto nastavení na ISA server.
Obrázek 121: uložení nastavení
Page 110
Výsledkem práce této aplikace je vytvoření definovaných skupin v Toolboxu ISA serveru a
vytvoření přístupového pravidla firewallu na prvním místě (nejvyšší priorita), které blokuje
veškerou komunikaci na internet z definovaných skupin počítačů.
Obrázek 122: přístupové pravidlo firewallu
InetBlocker
Druhá aplikace InetBlocker je zjednodušenou variantou InetBlockerAdmin. InetBlocker
využívá definovaných skupin počítačů a nastavení. Neumožňuje změnu IP adresy
spravovaného ISA serveru, ani vytváření a editaci skupin počítačů. InetBlocker může pouze
blokovat nebo odblokovat přístup k internetu pro definované skupiny počítačů. Je to tedy
aplikace, kterou budou používat neznalí uživatelé (učitelé), kteří tak několika kliknutími
mohou ovlivnit přístup k internetu pro zvolenou skupinu počítačů (učebnu).
Obrázek 123: zjednodušený InetBlocker¨
Po spuštění aplikace tlačítkem Načíst pravidla aplikace stáhne z ISA serveru aktuální
nastavení pro definované skupiny. Uživatel pak může křížkem vedle jména skupiny
zablokovat internet a tlačítkem Uložit nastavení toto nastavení aplikovat na ISA server.
Tato aplikace se přihlašuje k ISA serveru jako aktuálně přihlášený uživatel systému, nebo
účtem uživatele, který byl definován v nastavení InetBlockerAdmin. Pokud tento uživatel
nebude mít dostatečná oprávnění ke komunikaci nebo správě ISA serveru, bude problém se
stažením aktuální konfigurace nebo s uložením nové konfigurace na ISA server.
Page 111
Obrázek 124: uživatel nemá přidělenu správnou roli ISA serveru
Stažení InetBlocker
Aplikace je k dispozici zdarma ke stažení na webu http://www.codeplex.com/inetblocker ,
respektive na http://www.codeplex.com/inetblocker/Release/ProjectReleases.aspx
Shrnutí
Aplikace InetBlocker a InetBlockerAdmin nabízí zjednodušené rozhraní k rychlé konfiguraci
ISA serveru. Pro jejich správnou funkci je třeba:



Pracovní stanice s těmito nástroji musí mít také nainstalovanou konzolu pro správu
ISA serveru.
Pracovní stanice musejí být členy skupiny Remote Management Computers
v Toolboxu konzole ISA serveru.
Uživatelé, kteří budou aplikace používat, musejí mít přidělenu administrativní roli ISA
serveru, nebo se tyto aplikace musejí spouštět s použitím uživatelského účtu, který
má možnost ISA server konfigurovat.
Page 112
Dodatky
Odkazy
www.microsoft.com/isaserver
domovská stránka Microsoft ISA serveru
http://www.microsoft.com/technet/isa
ISA server TechCenter
http://www.microsoft.com/technet/isa/2006/Upgrade_Guide_SE.mspx
příručka pro upgrade ISA serveru z předchozí verze
http://www.microsoft.com/technet/isa/2006/clients.mspx
podrobné informace o typech klientů ISA serveru
http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx
typická nastavení HTTP aplikačního filtru pro blokování známých služeb
http://www.isaserver.org
nezávislý server zaměřený na produkty ISA server
FAQ
Kde získat aplikaci pro jednoduché blokování internetu - Internet Blocking Tool?
Lze jej zdarma stahnout z http://www.codeplex.com/inetblocker, nebo z portáu
Moderní Správce - http://www.modernivyuka.cz/spravce
Page 113
Page 114

Microsoft ISA server 2006

Transkript

Podobné dokumenty

Jak na bezdrátovou síť

PRAHA 10 – OUTSOURCING IT

UŽIVATELSKÁ PŘÍRUČKA

Urychlení spuštění systému

Administrace a bezpečnost ArcGIS Serveru