Kicsit másképp
Ebben a sorozatban arra az összetett feladatra vállalkoztam hogy összegyűjtöm az ISA Server 2004 Standard változatának jó pár kulcsfontosságú jellemzőjét, előnyös vonását, kiegészítem mindezt a saját tapasztalataimmal, és a (második) cikk végén egy szintén szubjektív szolgáltatás hiánylistával is. E felsorolás valószínűleg segít a kezdő ISA 2004 üzemeltető kollégáknak a tervezés illetve bevezetés fárasztó óráiban, napjaiban, de remélhetőleg azoknak is kellemes olvasmány lesz, akik még nem tértek át az ISA 2000-ről, de szeretnének. Kellemes szemezgetést!
1. Több hálózat támogatása
Szemben az ISA 2000-el, az ISA 2004 tetszőleges számú hálózat kezelését ajánlja fel. A "hálózat" szó értelmezésénél kicsit tekintsünk el a hagyományos definíciótól, abszolút nem fizikai hálózatról van szó (bár persze így is lehet), hanem logikai alapon tervezhetjük meg a konfigurációt. Ennek fényes példája az előredefiniált ún. "Local Host" hálózat, amely maga az ISA 2004 Server gép. Ez a megoldás jelentősen egyszerűsíti az életünket, gyakorlatilag teljesen ugyanolyan feltételekkel (tűzfal szabályok, web proxy, kivételek, stb.) kezelhetjük ezt a "hálózatot" mint a belsőt, vagy a külsőt. De milyen belsőt? Ha akár 1000 hálózatunk is lehet, akkor miért is nem lehet több belső, azaz minek egy 1 dedikált belső (Internal)? A kérdés jogos, és így is van, többé nem kell foglalkoznunk pl. a LAT-tal, annyi logikai/fizikai alapú "belső" hálózatot kreálunk amennyire csak szükség van.
Egy tűzfal szabály létrehozása közben válogatunk a hálózatok vagy a hálózatcsoportok közül. Kényelmes dolog az is, hogy ezeket a hálózatokat tetszőlegesen, igényeink szerint rakosgathatjuk ilyen-olyan csoportokba (és itt is vannak "gyáriak" is), amely lehetőség például a tűzfal szabályok legyártásánál kifejezetten jól jön. Az ISA konzolon a faszerkezetben a Configuration > Networks pont alatt a "Local Host" hálózat mellett előredefiniálva találhatunk még 4 hálózatot:
- Internal: a telepítés alatt megadható azért egy belsőnek szánt tartomány, amely azért általában szükséges is
- External: minden olyan hely, ami nincs megadva IP tartománnyal, azaz a külső hálózat, tipikusan az Internet
- VPN Clients: az ISA-ra beérkező VPN kliensek hálózata
- Quarantined VPN Clients: működő VPN karantén esetén, az első lépcsőfok ez a hálózat a VPN kliensek számára
2. Hálózatszintű házirend
De miért jó a logikai szeparáláson kívül a több hálózat? Rengeteg okból, ezek közül az egyik az adott hálózatra testreszabható tűzfal szabályok alkalmazása. Nyilván a legtöbb helyen szükséges egy DMZ (Perimeter) hálózat a kívülről is elérhető web/mail/stb. szerverek biztonságos publikálása céljából. Ez egy külön hálózat lesz az ISA-ban is, amelyet viszonylag egyszerűen képesek is leszünk létrehozni, majd aztán a többi hálózattól eltérő tűzfal szabályokkal (pl. publikálás, web/ftp/stb. hozzáférés, belső hálózatból hozzáférés) üzemeltetni. Nem kell kínlódni különböző, az ISA 2000-ben megszokott ilyen-olyan irányú packet filterekkel, ugyanazokat a szabályteremtő mechanizmust használjuk mint minden más hálózatnál, de a szabály hatóköre testreszabható vált.
3. Hálózatok kapcsolata
A tömeges hálózat teremtési lehetőségből adódik az is, hogy ezen hálózatok közötti kapcsolatokat is szabályozni kell, az eddigi bedrótozottnál hatékonyabban. Az ISA 2004-ben bármely két hálózat között a kapcsolat célirányosságától függően "Route" illetve "NAT" típusú lehet a forgalom. Az utóbbit tipikusan a belső hálózat vagy a VPN kliensek és az External hálózat (Internet) közötti kapcsolatban alkalmazzuk, mivel a címfordítás itt szükséges igény. A szimpla "Route" pedig pl. a több belső hálózat vagy például a VPN kliensek és a belső hálózat közötti kapcsolat beállítása lehet,. Fontos tudni, hogy ennek a lehetőségnek a beállítása még kevés ahhoz, hogy működjön a kapcsolat az adott hálózatok között, ugyanis az engedélyező tűzfal szabályok nélkül ez is csak előjáték.