Ãœðù - Xakep Online
Ãœðù - Xakep Online
Ãœðù - Xakep Online
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ХАКЕР.PRO<br />
Настройки топологии сети Создание правила доступа<br />
запросами, расширенное делегирование аутентификации,<br />
режим однократной регистрации<br />
(SSO — single sign-on), или, в терминологии<br />
ISA Server, единый вход, одноразовые пароли<br />
RADIUS (OTP — One-Time passwords), средства<br />
VPN типа «сеть-сеть» с фильтрацией на уровне<br />
приложения, HTTP-компрессия и многое<br />
другое. Администратор получил большие<br />
возможности по управлению и защите сети.<br />
Единственное, что убрано, — это служба сортировщика<br />
сообщений SMTP (SMTP Message<br />
Screener). На смену ему пришел Antigen (www.<br />
microsoft.com/antigen), который не встроен в<br />
ISA Server и поставляется отдельно.<br />
В настоящее время доступны две версии<br />
продукта: Standart и Enterprise. Версия Standart<br />
ориентирована на небольшие сети с количеством<br />
пользователей до 500; межсетевой<br />
экран можно разворачивать только на одном<br />
компьютере; политики устанавливаются<br />
локально и хранятся в реестре; нет поддержки<br />
балансировки.<br />
Версия Enterprise спроектирована для средних<br />
и крупных компаний, использующих несколько<br />
межсетевых экранов, которые могут находиться<br />
в дочерних офисах, расположенных по всему<br />
миру и обслуживающих огромное количество<br />
пользователей. Здесь уже реализовано централизованное<br />
управление; все настройки хранятся<br />
в специальном хранилище (их может быть<br />
два: основное и дополнительное); осуществлен<br />
контроль за нагрузкой и кэшированием.<br />
Сгруппировав компьютеры с установленным<br />
ISA Server 2006 Enterprise в массивы, можно<br />
централизованно управлять сетевой политикой<br />
предприятия. При необходимости все<br />
административные задачи могут выполняться<br />
с одного компьютера, конфигурация будет<br />
действительна для всех серверов (они могут<br />
использовать одну политику доступа).<br />
Более подробное сравнение версий можно найти<br />
на www.microsoft.com/isaserver/prodinfo/<br />
standard-enterprise-comparison.mspx. Чтобы<br />
не упрощать задачу, будем устанавливать<br />
xàêåð 05 /101/ 07<br />
/<br />
Enterprise, о которой в интернете информации<br />
на порядок меньше. Однако практически все<br />
сказанное будет актуально и для Standart.<br />
Устанавливаем ISA 2006<br />
Прежде чем бросаться в бой, следует проанализировать:<br />
организацию сети, членство в<br />
домене, наличие другого межсетевого экрана,<br />
используемые протоколы, сервисы, которые<br />
должны быть доступны из интернета (DMZ),<br />
характер сети (рабочая группа или Active<br />
Directory; поддерживаются оба варианта,<br />
но есть некоторые особенности). Чтобы в<br />
работе ISA Server не возникло проблем, следует<br />
убедиться в правильной настройке маршрутизации<br />
и проверить корректность разрешения<br />
имен DNS-сервером.<br />
Для установки понадобится компьютер с процессором<br />
Pentium III 733 МГц, 512 Мб ОЗУ (или<br />
выше) и Windows Server 2003 SP1. Жесткий<br />
диск должен иметь не менее 150 Мб свободного<br />
места и плюс место для кэшируемых страниц;<br />
файловая система должна быть NTFS. ISA<br />
Server 2006 можно установить и на компьютерах<br />
с одной сетевой платой. Такой вариант<br />
выбирают, когда планируется использование<br />
ISA в качестве кэширующего или прокси вебсервера.<br />
Всю информацию и ссылку для закачки<br />
можно получить на странице www.microsoft.<br />
com/isaserver.<br />
Запускаем исполняемый файл. Будет предложено<br />
распаковать архив в каталог на диске C. Если<br />
по каким-либо причинам установка прервется,<br />
то ее можно запустить повторно, вызвав файл<br />
isaautorun.exe. Итак, выбираем в меню «Установить<br />
ISA 2006», появится мастер установки<br />
ISA Server 2006. В большинстве окон мастера<br />
достаточно нажимать на кнопку «Далее» и<br />
соглашаться со всеми вариантами. Единственное<br />
окно, где может возникнуть затруднение,<br />
— «Сценарии установки». Здесь предстоит<br />
выбрать один из четырех вариантов:<br />
1. «Установить службы ISA Server» — инсталлируется<br />
только служба ISA, которая будет<br />
использовать внешнее хранилище, установленное<br />
на другом компьютере.<br />
2. «Установить сервер хранилищ настроек»<br />
— устанавливается только сервер хранилищ<br />
настроек, без межсетевого экрана ISA.<br />
3. «Установить компоненты «Службы ISA<br />
Server» и «Cервер хранилищ настроек» — самый<br />
полный и самодостаточный вариант, будут<br />
установлены все компоненты, в том числе и<br />
указанный в пункте 4.<br />
4. «Установить диспетчер ISA Server» — инсталлируется<br />
только диспетчер, позволяющий<br />
удаленно управлять настройками.<br />
Так как наш ISA-сервер первый, выбираем<br />
пункт 3, и на следующем шаге нам снова<br />
будет предложено указать компоненты для<br />
установки. Выбираем все и в окне «Параметры<br />
установки предприятия» отмечаем «Создать<br />
новую корпоративную конфигурацию ISA<br />
Server». Пункт «Создать реплику корпоративной<br />
конфигурации» следует указывать только в<br />
том случае, когда уже есть готовый ISA-сервер и<br />
необходимо скопировать имеющиеся настройки<br />
на новый сервер настроек.<br />
После ввода учетной записи, под которой мы будем<br />
администрировать сервер хранения настроек<br />
(пользователь должен быть создан в системе<br />
и входить в группу администраторов домена),<br />
переходим к этапу определения диапазона<br />
внутренних адресов. Нажимаем «Добавить», и<br />
в появившемся окне нам предложат несколько<br />
вариантов. Выбрав «Добавить плату», просто<br />
указываем сетевую карту или в списке «Добавить<br />
частный» выбираем диапазон адресов, принадлежащих<br />
к частной сети. Ввести значение<br />
вручную можно в «Добавить диапазон».<br />
После всех настроек следует обязательно<br />
проверить результирующую информацию. При<br />
неправильной маршрутизации мастер может<br />
ошибиться. На следующем шаге разрешаем<br />
или запрещаем подключение клиентов по<br />
незашифрованному каналу. Далее выводится<br />
предупреждение об остановке или перезапуске<br />
некоторых служб.<br />
147