Май - Xakep Online

ХАКЕР.PRO
Настройки топологии сети Создание правила доступа
запросами, расширенное делегирование аутентификации,
режим однократной регистрации
(SSO — single sign-on), или, в терминологии
ISA Server, единый вход, одноразовые пароли
RADIUS (OTP — One-Time passwords), средства
VPN типа «сеть-сеть» с фильтрацией на уровне
приложения, HTTP-компрессия и многое
другое. Администратор получил большие
возможности по управлению и защите сети.
Единственное, что убрано, — это служба сортировщика
сообщений SMTP (SMTP Message
Screener). На смену ему пришел Antigen (www.
microsoft.com/antigen), который не встроен в
ISA Server и поставляется отдельно.
В настоящее время доступны две версии
продукта: Standart и Enterprise. Версия Standart
ориентирована на небольшие сети с количеством
пользователей до 500; межсетевой
экран можно разворачивать только на одном
компьютере; политики устанавливаются
локально и хранятся в реестре; нет поддержки
балансировки.
Версия Enterprise спроектирована для средних
и крупных компаний, использующих несколько
межсетевых экранов, которые могут находиться
в дочерних офисах, расположенных по всему
миру и обслуживающих огромное количество
пользователей. Здесь уже реализовано централизованное
управление; все настройки хранятся
в специальном хранилище (их может быть
два: основное и дополнительное); осуществлен
контроль за нагрузкой и кэшированием.
Сгруппировав компьютеры с установленным
ISA Server 2006 Enterprise в массивы, можно
централизованно управлять сетевой политикой
предприятия. При необходимости все
административные задачи могут выполняться
с одного компьютера, конфигурация будет
действительна для всех серверов (они могут
использовать одну политику доступа).
Более подробное сравнение версий можно найти
на www.microsoft.com/isaserver/prodinfo/
standard-enterprise-comparison.mspx. Чтобы
не упрощать задачу, будем устанавливать
xàêåð 05 /101/ 07
/
Enterprise, о которой в интернете информации
на порядок меньше. Однако практически все
сказанное будет актуально и для Standart.
Устанавливаем ISA 2006
Прежде чем бросаться в бой, следует проанализировать:
организацию сети, членство в
домене, наличие другого межсетевого экрана,
используемые протоколы, сервисы, которые
должны быть доступны из интернета (DMZ),
характер сети (рабочая группа или Active
Directory; поддерживаются оба варианта,
но есть некоторые особенности). Чтобы в
работе ISA Server не возникло проблем, следует
убедиться в правильной настройке маршрутизации
и проверить корректность разрешения
имен DNS-сервером.
Для установки понадобится компьютер с процессором
Pentium III 733 МГц, 512 Мб ОЗУ (или
выше) и Windows Server 2003 SP1. Жесткий
диск должен иметь не менее 150 Мб свободного
места и плюс место для кэшируемых страниц;
файловая система должна быть NTFS. ISA
Server 2006 можно установить и на компьютерах
с одной сетевой платой. Такой вариант
выбирают, когда планируется использование
ISA в качестве кэширующего или прокси вебсервера.
Всю информацию и ссылку для закачки
можно получить на странице www.microsoft.
com/isaserver.
Запускаем исполняемый файл. Будет предложено
распаковать архив в каталог на диске C. Если
по каким-либо причинам установка прервется,
то ее можно запустить повторно, вызвав файл
isaautorun.exe. Итак, выбираем в меню «Установить
ISA 2006», появится мастер установки
ISA Server 2006. В большинстве окон мастера
достаточно нажимать на кнопку «Далее» и
соглашаться со всеми вариантами. Единственное
окно, где может возникнуть затруднение,
— «Сценарии установки». Здесь предстоит
выбрать один из четырех вариантов:
1. «Установить службы ISA Server» — инсталлируется
только служба ISA, которая будет
использовать внешнее хранилище, установленное
на другом компьютере.
2. «Установить сервер хранилищ настроек»
— устанавливается только сервер хранилищ
настроек, без межсетевого экрана ISA.
3. «Установить компоненты «Службы ISA
Server» и «Cервер хранилищ настроек» — самый
полный и самодостаточный вариант, будут
установлены все компоненты, в том числе и
указанный в пункте 4.
4. «Установить диспетчер ISA Server» — инсталлируется
только диспетчер, позволяющий
удаленно управлять настройками.
Так как наш ISA-сервер первый, выбираем
пункт 3, и на следующем шаге нам снова
будет предложено указать компоненты для
установки. Выбираем все и в окне «Параметры
установки предприятия» отмечаем «Создать
новую корпоративную конфигурацию ISA
Server». Пункт «Создать реплику корпоративной
конфигурации» следует указывать только в
том случае, когда уже есть готовый ISA-сервер и
необходимо скопировать имеющиеся настройки
на новый сервер настроек.
После ввода учетной записи, под которой мы будем
администрировать сервер хранения настроек
(пользователь должен быть создан в системе
и входить в группу администраторов домена),
переходим к этапу определения диапазона
внутренних адресов. Нажимаем «Добавить», и
в появившемся окне нам предложат несколько
вариантов. Выбрав «Добавить плату», просто
указываем сетевую карту или в списке «Добавить
частный» выбираем диапазон адресов, принадлежащих
к частной сети. Ввести значение
вручную можно в «Добавить диапазон».
После всех настроек следует обязательно
проверить результирующую информацию. При
неправильной маршрутизации мастер может
ошибиться. На следующем шаге разрешаем
или запрещаем подключение клиентов по
незашифрованному каналу. Далее выводится
предупреждение об остановке или перезапуске
некоторых служб.
147