Bevezetés
Ez a cikksorozat azért készül, hogy megpróbálja (alapszinten) elmagyarázni milyen újdonságok illetve megújult megoldások kerültek a Microsoft Internet Security and Acceleration Server 2004 nevű tűzfal/web proxy/cache szerverébe. A Tisztaszoftver csomagban minden középiskola megkapta az ISA 2000 komplett Standard változatát és nem hivatalos információk szerint van remény arra is, hogy ugyanígy lesz ezzel a termékkel is. Az ISA 2000 Server nevével ellentétben 2001 elején jött ki, és a Microsoft első igazi megoldása ezen a területen, hiszen az előd a Proxy Server 2.0 mindennek volt nevezhető, csak igazi tűzfalnak nem. Mint ahogy megszokhattuk már, sok első terméknél nagy a bizonytalanság, nem volt ez másképp az ISA2000-nél sem. A konkurrens tűzfalgyártók és a konzervatív tűzfal adminok :D szerint nem sokat ér ez a termék, de ezt magyarázható azzal, hogy az ISA 2000 teljesen új fiú volt a területen. Viszont többéves tapasztalatom alapján, véleményem szerint az ISA 2000 kifejezetten jól megállja a helyét, jól használható azokra a feladatokra amelyekre készült, emellett ha "belefeccölünk" egy kis időt a logikája megértésébe, dolgozni is kellemes lesz vele.
A termék stabilitását és megbízhatóságát talán az is bizonyítja, hogy 3,5 év alatt szokatlanul kevés patch/hotfix készült hozzá, és ugyan az idén megjelent már az SP2 is, ám ezek a szervizcsomagok Microsoft környezetben szokatlanul kisméretűek voltak (3-5MB), ami azt is jelent(het)i, hogy kevés baj van az ISA 2000-el. Ám tegyük azt is hozzá ehhez, hogy az elérhető funkciókkal, a szolgáltatásokkal kapcsolatban kifogások (és főképp hiányosságok) azért léteznek/léteztek szép számban. Szerencsére ezek egy jelentős részét orvosolja az idén nyáron kiadott új termék, az ISA 2004 Server, amelyben számtalan eddig használt megoldást, szolgáltatást újragondoltak és kibővítettek. A kezelésben, a használhatóságban, a felületben is mélyreható változások történtek, ami nehézséget jelenthet az átállóknak, igaz szerintem csak rövidtávon, mert a praktikusságuk könnyedén megszokható. A most még nem említett, ám február óta (a publikus Beta2 verzió megjelenése) folyamatosan szerzett rengeteg tapasztalatból kiderülő nagyszámú változás alapján akár azt is mondhatnám, hogy szinte egy teljesen új termék van megint előttünk. Épp ezért marad a kérdés: miért is álljunk át egy jól működő rendszerről, főleg ha már megértettük és kiismertük? A döntés befolyásolása miatt szeretnénk segíteni egy hosszabb, több részes áttekintéssel az ISA 2004-ről.
A sorozatban említett újdonságok felsorolása
- Több hálózat kezelése (NAT/Route)
- Korrekt DMZ megoldás
- Önálló VPN kiszolgáló megoldás
- IPSec tunnel használata a "site to site" VPN-nél
- PPTP VPN Server publikálás
- Sorrend kialakítása a szabályoknál
- AD-től független csoportok (firewall groups) készítése
- Korrekt HTTP szűrés (akár szabályonként ki/bekapcsolható)
- Port átirányítás a web- és szerver publikáló szabályoknál egyaránt
- A forrás IP-k megőrzése a web publikálásnál
- Forms-based hitelesítés generálása az Exchange-től függetlenül
- RADIUS hitelesítés a Web Proxy ügyfeleknek
- Valósidejű, szűrhető forgalom monitorozás
- "Igazi" mentés és visszaállítás
- Jelentések automatikus mentése HTML formátumban
1. Több hálózat kezelése (NAT/Route)
Az ISA 2000 Server összesen két, jól elkülönülő hálózatot volt képes megkülönböztetni: az External (külső) és az Internal (belső) hálózatot. Ráadásul egyszerúen megoldotta a besorolást, mert amely IP szerepelt a LAT-ban (Local Address Table), az a belső hálózathoz tartozott és fordítva is igaz a tétel. A belső és a külső hálózat között minden forgalom NAT-olt (címfordítás) forgalom volt, a belső hálózathoz tartozók (és a külső hálózathoz tartozóknál is persze, lásd DMZ) között pedig minden Route-olt (tradicionális útválasztás). Ennek a rendszernek vége, nincs több kiemelt "belső" hálózat, nincs többé LAT, hanem akármennyi hálózatunk lehet és tetszőlegesen választhatunk, hogy ezek között a NAT-ot, vagy a Route-ot alkalmazzuk. Alapból van is minimum 5 hálózat, név szerint:
- Internal: amely akár lehet a régi Internal (a frissítő telepítés esetén ez az alapértelmezett)
- External: az az IP tartomány tartozik ide, amelyik nem kerül be sehova (a frissítésnél a régi External lesz)
- Local Host: maga az ISA (azaz ez a gép is kliens immár, nem kell többé dedikált packet filtereket gyártani)
- VPN Clients: a VPN ügyfelek számára kialakított hálózat
- Quarantined VPN Clients: a karanténba kényszerített VPN ügyfelek hálózata
Természetesen a többszörös hálózat támogatás azt is jelenti, hogy egyenként adhatunk meg tűzfal szabályokat a hálózatokra, és például a firewall és web proxy kliensek beállításait (és egyáltalán a létezásük lehetőségét), is külön-külön szabhatjuk meg.
2. Korrekt DMZ megoldás
Eddig a DMZ (DeMilitarizált Zóna: az a hálózat, amely az internet felől védett, de elkülönül a belső hálózattól, azaz egy újabb alhálózatot jelöl) kicsit mostoha gyerek volt az ISA 2000-ben. Nem lehetett dinamikus csomagszűrőket alkalmazni, kötött volt a többi hálózattal történő kommunikáció fajtája (lásd előző pont) és az ISA által nyújtott más előnyőket sem lehetett rá alkalmazni. A többszörös hálózatok alkalmazásával az összes korlát megszűnt, akár több DMZ-t is kialakíthatunk teljes funkcionalitással.