Érvek az ISA2004 mellett V.
2004/11/27 19:33
459 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
ISA 2000 szerverünk van és elégedetlenek vagyunk? Éppen a frissítést fontolgatjuk? Ideje megismerni az új változatot? Ebből a cikksorozatból választ kaphatunk néhány kérdésre.

Az e cikkben felsorolt újdonságok

  1. RADIUS hitelesítés a Web Proxy ügyfeleknek
  2. Valósidejű, szűrhető forgalom monitorozás
  3. "Igazi" mentés és visszaállítás
  4. Jelentések automatikus mentése HTML formátumban

1. RADIUS hitelesítés a Web Proxy ügyfeleknek

Sokszor szükség van arra, hogy a kimenő kéréseket naplózzuk, mégpedig úgy, hogy a napló tartalmazza a felhasználók neveit is. Ha így van, könnyű áttekinteni, hogy melyik felhasználó mely oldalakat kereste fel, amennyiben valamilyen alapos okból szükséges ezt megvizsgálnunk. Ebben az esetben a forgalmi statisztikák készítése is egyszerűbbé és testreszabhatóvá válik. A probléma az, hogy eddig a kötelező autentikációt - ISA 2000 esetén - csak az Active Directory névterében lévő felhasználók esetén tehettük meg, ráadásul csak akkor ha a ISA számítógép a tartomány tagja volt (de nem feltétlenül tartományvezérlő, elég ha tagkiszolgáló). Bizonyos esetekben még a tartományi tagság is nehezen vállalható egy tűzfal esetén, ezért ez is hátráltatta a kivánságunk teljesítését. Amennyiben viszont az ISA 2004-et használjuk, megoldhat mindkét problémánk, ugyanis a kimenő/bejövő web proxy kapcsolatokra használhatjuk a RADIUS hitelesítést, azaz ISA képes fogadni (és a naplóba bejegyezni) a felhasználói bejelentkezésket más névterekből is, valamint képes elküldeni a hitelesítési információkat egy RADIUS szervernek is, kiküszöbölve az AD elérés hiányát. Persze jópár előkészítő lépést meg kell tennünk ehhez (pl. egy web listener-t beállítani a RADIUS-hoz, egy IAS szervert felhúzni és az IAS policy-t beállítani egy tartományvezérlőn), de működik.

2. Valósidejű, szűrhető forgalom monitorozás

Már az ISA 2000-ben is részletes naplózást kaphattunk a tűzfal és a web proxy forgalomról, de nagy forgalom esetén lehangolóan áttekinthetetlen volt, pl. utólag. Egy másik fontos dolog, a valósidejű forgalom monitorozás viszont csak külső gyártók alkalmazásaival vált elérhetővé, amelyekhez a legtöbbször csak komoly összegek fejében juthattunk hozzá (szerencsére van kivétel is, pl. a GFI WebMonitor for ISA Server, ami ingyenes.) Az új ISA viszont megoldja ezeket a problémákat is. Képes naplózni hagyományos módon szövegállományokba, illetve SQL szerverbe, vagy az új (és ingyenes) MSDE-be (Microsoft SQL Server Desktop Engine), amely telepítését kérhetjük is az ISA telepítésekor. Ahhoz, hogy használhassuk az ún "Advanced Logging" opciót, át kell kapcsolnunk a Wep Proxy illetve a Firewall naplóállományok beállításainal az alapértelmezett szövegállományba mentést. A Web Proxy napló beállításai Ezután viszont a valósidejű naplózás rögtön elérhetővé válik, és egy nagyon jól szűrhető, nagyon látványos, nagyon hasznos eszközt kapunk, amellyel számtalan hibajelenséget egyszerűen kiküszöbölhetunk. A korábbi forgalomban való keresést illetve az áttekintést mivel a régebbi naplóállományokat közvetlenül az ISA konzolban lehetséges megtekinteni és szűrni a feltételeink alapján.

3. "Igazi" mentés és visszaállítás

A mentés kritikus terület, ezért az üzemeltetőknek különösen fontos, hogy a megfelelő eszközök álljanak ehhez rendelkezésre. Az ISA 2000-ben is volt már lehetőség mentésre, ám enyhén szólva sem volt tökéletesnek mondható. Csak ugyanaz a gép volt visszaállítható, és csak az adott elmentett állapotra, azaz ha egy operációs rendszer újratelepítést hajtottunk végre, a visszaállítás megoldhatatlannak bizonyult. Ezzel szemben az ISA 2004 hordozható mentést képes készíteni, azaz más gépeken is használhatjuk a visszaállítást. Teszt célokra ez óriási lehetőség, hiszen akár egy virtuális gépre (pl. VMWare, VPC) is ráhúzhatjuk a jelenlegi konfigurációt. Ezenkívül egy új telepésnél is gond nélkül visszállítható az XML fomátumú mentésből az ISA. Ami még egy további komoly pozitívum, az az hogy részleges mentésre is van lehetőségünk, például egy (vagy akár az összes) tűzfal szabály is elmenthető és visszaállítható egy másik ISA 2004 alá könnyedén. Nagyon hasznos opció ez, hiszen ha az ISA 2000 szerverünk beállításait akartuk eddig többszörözni, akkor maximum az Enterpise változatban, az Enterprise házirend segítségével oldhattuk meg, egyébként maradt a papír és a ceruza. De ennek vége.

4. Jelentések automatikus mentése HTML formátumban

A jelentésekkel már az ISA 2000-nél sem volt sok gond, részletes, sok információt tartalmazó riportokat tudtunk összeállítani. Maradt viszont egy probléma (amelyet maximum külső programmal oldhattunk meg, pl. Loggerythm, amely formátuma egyébként elképesztően hasonlít az ISA jelentéseihez, a jelentések automatikus közzététele HTML formátumban. Nem gond ugyanez az ISA 2004-gyel! Kérhetjük a jelentések automatikus mentését az ISA gép háttértárolójára, vagy mehet a webszerverünk alá, sőt azt is kérhetjük, hogy küldjön az ISA 2004 egy e-mailt nekünk a jelentés elkészültekor, és még a jelentés linkjét is belehelyezi ebbe a levélbe. Ezt a sorozatot ezzel a résszel lezárjuk, de remélem, hogy - annak ellenére, hogy az ISA Server 2004 jelentős számú új vagy megváltozott szolgáltatását még öt részben sem tudtunk érinteni -, az érdeklődést sikerült felkelteni.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
All you need is code Minden a kódolás tanulásához
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek