40 érv - ami számít
2006/08/02 23:39
1339 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
ISA Server 2004 előnyök felsorolása 40 pontban, több részben

Kicsit másképp

Ebben a sorozatban arra az összetett feladatra vállalkoztam hogy összegyűjtöm az ISA Server 2004 Standard változatának jó pár kulcsfontosságú jellemzőjét, előnyös vonását, kiegészítem mindezt a saját tapasztalataimmal, és a (második) cikk végén egy szintén szubjektív szolgáltatás hiánylistával is. E felsorolás valószínűleg segít a kezdő ISA 2004 üzemeltető kollégáknak a tervezés illetve bevezetés fárasztó óráiban, napjaiban, de remélhetőleg azoknak is kellemes olvasmány lesz, akik még nem tértek át az ISA 2000-ről, de szeretnének. Kellemes szemezgetést!

1. Több hálózat támogatása

Szemben az ISA 2000-el, az ISA 2004 tetszőleges számú hálózat kezelését ajánlja fel. A "hálózat" szó értelmezésénél kicsit tekintsünk el a hagyományos definíciótól, abszolút nem fizikai hálózatról van szó (bár persze így is lehet), hanem logikai alapon tervezhetjük meg a konfigurációt. Ennek fényes példája az előredefiniált ún. "Local Host" hálózat, amely maga az ISA 2004 Server gép. Ez a megoldás jelentősen egyszerűsíti az életünket, gyakorlatilag teljesen ugyanolyan feltételekkel (tűzfal szabályok, web proxy, kivételek, stb.) kezelhetjük ezt a "hálózatot" mint a belsőt, vagy a külsőt. De milyen belsőt? Ha akár 1000 hálózatunk is lehet, akkor miért is nem lehet több belső, azaz minek egy 1 dedikált belső (Internal)? A kérdés jogos, és így is van, többé nem kell foglalkoznunk pl. a LAT-tal, annyi logikai/fizikai alapú "belső" hálózatot kreálunk amennyire csak szükség van. Egy tűzfal szabály létrehozása közben válogatunk a hálózatok vagy a hálózatcsoportok közül

Egy tűzfal szabály létrehozása közben válogatunk a hálózatok vagy a hálózatcsoportok közül. Kényelmes dolog az is, hogy ezeket a hálózatokat tetszőlegesen, igényeink szerint rakosgathatjuk ilyen-olyan csoportokba (és itt is vannak "gyáriak" is), amely lehetőség például a tűzfal szabályok legyártásánál kifejezetten jól jön. Az ISA konzolon a faszerkezetben a Configuration > Networks pont alatt a "Local Host" hálózat mellett előredefiniálva találhatunk még 4 hálózatot:

  • Internal: a telepítés alatt megadható azért egy belsőnek szánt tartomány, amely azért általában szükséges is
  • External: minden olyan hely, ami nincs megadva IP tartománnyal, azaz a külső hálózat, tipikusan az Internet
  • VPN Clients: az ISA-ra beérkező VPN kliensek hálózata
  • Quarantined VPN Clients: működő VPN karantén esetén, az első lépcsőfok ez a hálózat a VPN kliensek számára

2. Hálózatszintű házirend

De miért jó a logikai szeparáláson kívül a több hálózat? Rengeteg okból, ezek közül az egyik az adott hálózatra testreszabható tűzfal szabályok alkalmazása. Nyilván a legtöbb helyen szükséges egy DMZ (Perimeter) hálózat a kívülről is elérhető web/mail/stb. szerverek biztonságos publikálása céljából. Ez egy külön hálózat lesz az ISA-ban is, amelyet viszonylag egyszerűen képesek is leszünk létrehozni, majd aztán a többi hálózattól eltérő tűzfal szabályokkal (pl. publikálás, web/ftp/stb. hozzáférés, belső hálózatból hozzáférés) üzemeltetni. Nem kell kínlódni különböző, az ISA 2000-ben megszokott ilyen-olyan irányú packet filterekkel, ugyanazokat a szabályteremtő mechanizmust használjuk mint minden más hálózatnál, de a szabály hatóköre testreszabható vált.

3. Hálózatok kapcsolata

A tömeges hálózat teremtési lehetőségből adódik az is, hogy ezen hálózatok közötti kapcsolatokat is szabályozni kell, az eddigi bedrótozottnál hatékonyabban. Az ISA 2004-ben bármely két hálózat között a kapcsolat célirányosságától függően "Route" illetve "NAT" típusú lehet a forgalom. Az utóbbit tipikusan a belső hálózat vagy a VPN kliensek és az External hálózat (Internet) közötti kapcsolatban alkalmazzuk, mivel a címfordítás itt szükséges igény. A szimpla "Route" pedig pl. a több belső hálózat vagy például a VPN kliensek és a belső hálózat közötti kapcsolat beállítása lehet,. Fontos tudni, hogy ennek a lehetőségnek a beállítása még kevés ahhoz, hogy működjön a kapcsolat az adott hálózatok között, ugyanis az engedélyező tűzfal szabályok nélkül ez is csak előjáték.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten