Mit jelent ez a többlet?
Példának remek, ám megélni izzasztó, hogy a telepítés után az ISA (egy jólnevelt tűzfal alkalmazástól elvárhatóan), azonnal lezár mindent, azaz azt vehetjük észre, hogy az eddig korrektül működő internet megosztásnak, szoftveres átjárónak, upgrade esetén a Proxy 2 által biztosított internet elérésnek vége, a felhasználók a kliens gépekről (de még a rendszergazda se, a szerverről meg különösen nem!) nem tudják elérni az internetet semmilyen módon, a web/ftp szerverünk kívülről szintén elérhetetlenné válik, az e-mailek se ki, se be nem mennek, a VPN kiakad és így tovább. Ez azon a platformon, ahol eddig a "minden alapból engedélyezve van, a rendszergazda majd letiltja ami nem kell" elv érvényesült megrázó élmény. De muszáj.
Az informatika e szegmense (is) megkívánja a paranoiát, tehát a "mindent tiltunk, és csak azt engedjük ami biztosan kell" elv alkalmazását. Jópár más platformnál ez alaptulajdonság évtizedek óta, sajnos a Windows világban ez csak körülbelül az ISA kiadásától kezdett elmozdulni a helyes irányba. Örvendetes viszont, hogy azóta is gőzerővel tart ez az átalakulási folyamat és a Trustworthy Computing elgondolás keretében egyre jobban ki is kristályosodik. Ékes bizonyíték erre a szigorú biztonsági elvek alapján működő Windows Server 2003, az összes komponensével együtt, például az IIS 6-os változata (Internet Information Server = web/ftp/smtp/nntp kiszolgáló), amely szintén csak alapos biztonsági konfigurálás után válik csak elérhetővé a külvilág számára).
Persze ennek a szemléletnek az alkalmazása újabb dilemmákat okozhat, hiszen így a biztonság oltárán fel kell áldozzuk a kényelmet. Véleményem szerint ez még mindig sokkal jobban elviselhető, mint 15 perc működés után open proxy-vá válni, vagy beszedni egy Nimdát vagy más trójai programot a hatalmas, rosszindulatú nethasználók számára könnyedén hozzáférhető kollekcióból. Vagy éppen szenvedő alanya lenni bármi olyan atrocitásnak, amelyet a netet automatikusan pásztázó és támadó/behatoló "hekker" alkalmazások okozhatnak egy publikusan elérhető számítógép esetén. Viszont a kényelem feladása vagy a szükséges ismeretek hiánya miatt sokan ódzkodnak vagy visszarettennek ettől a terméktől (is), és beérik valami mással, vagy legrosszabb esetben semmilyen megoldással.
Nem célom hatalmas vitát gerjeszteni, de Windows platformon per pillanat nincs másik korrekten működő szoftver erre a célre. A shareware/freeware vagy fizetős personal firewall-okat (azaz személyi tűzfalakat, úgymint: Zone Alarm, Norton Internet Security, BlackIce stb.), nem erre találták ki, nem is működnek megfelelően (sőt pl. a ZA még "haza is beszél", volt is botrány belőle annak idején), meg hát ki az aki rá meri bízni az a hálózata biztonságát mondjuk egy 30 nap múlva lebénuló shareware szoftverre??? A Microsoft Proxy Server 2.0 pedig teljesen mára teljesen elavult, nem a 21. századi nyilvános hálózatok viszonyaira felkészített alkalmazás és nincsenek is már hozzá javítások, frissítések.
Egy szó mint száz, felelős rendszergazdaként célszerű megtanulni használni és kihasználni az ISA-t. Mi most ebben szeretnénk segíteni egy többrészes kirándulással az ISA körüli témakörökben.
Mire is való pontosan?
Az Internet Security and Acceleration Server 2000 egy bővíthető, nagyteljesítményű tűzfal és web gyorsítótár kiszolgáló, mely kihasználja a Windows 2000 Server más szolgáltatásait (pl. RRAS, VPN) biztonsági beállításait, menedzselhető képességeit és a címtárat, azért hogy megvalósulhasson az internet elérés házirendalapú szabályozása, gyorsítása és menedzselése. Csökkenti, vagy szinte teljesen megszünteti (teljesen megszüntetni persze lehetetlen, mint tudjuk :D), az internettel kapcsolatos biztonsági vagy teljesítménnyel összefüggő problémákat, segít megvédeni a hálózat erőforrásait az illetéktelen felhasználóktól, alkalmazásoktól.
Csekély sávszélességű internet hozzáférés esetén (pl. iskolai környezetben a 64K/128K) rendkívül hasznos szolgáltatása, hogy web gyorsítótára gyorsabb webelérést biztosít a felhasználóknak oly módon, hogy a kérések egy részét a leterhelt internet vonal helyett a helyi gyorsítótárból szolgálja ki. Akár összetevőnként, akár összefűzve integrált tűzfal- és gyorsítótár kiszolgálóként helyezzük üzembe, az ISA egységes grafikus konzolt biztosít, mely egyszerűbbé teszi a rendszergazda munkáját. Nézzük egyelőre csak kategóriánként és a felsorolás szintjén, hogy mi mindenre használható:
Internet tűzfal
- Többrétegű tartalomfigyelés (csomag-, kapcsolat-, és alkalmazásszintű szűrők)
- Intelligens adatfelismerő alkalmazás szűrők
- Beépített behatolásészlelés
- Beépített virtuális magánhálózat (VPN) lehetőségek
Biztonságos kiszolgáló-közzététel
- Könnyen használható "Kiszolgáló közzététele" varázslók
- SecureNAT az ügyfelek számára észrevétlen kapcsolatokhoz és kiszolgáló közzétételhez
- A közzétehető szolgáltatások között megtalálható a HTTP, HTTPS, FTP, SMTP, POP3, H.323 (NetMeeting), folyamatos átviteli szolgáltatások (media streaming), stb.
Belső ügyfeleket kiszolgáló gyorsítótár
- A gyorsítótár egy része a RAM-ban helyezkedik el
- Időzített letöltések a gyorsítótárba (Scheduled Content Download)
- Elosztott és hierarchikus gyorsítótár láncok létrehozásának támogatása
- A népszerű webhelyek tartalmának előzetes (pl. éjszakai) automatikus letöltése (Active Caching)
Külső ügyfeleket kiszolgáló gyorsítótár
- Web közzététel varázslók
- A gyorsítótár egy része szintén a RAM-ban helyezkedik el
- A külső ügyfélek számára láthatatlan
- Elosztott gyorsítótár kialakítása a Caching Array Routing Protocol (CARP) segítségével
Integrált tűzfal és web gyorsítótár kiszolgáló
- Aprólékos, házirendalapú hozzáférési szabályok
- Sávszélesség-szabályozás
- Vállalati és tömbszintű házirendek
- Naplózás és jelentések készítése
- Active Directory integráció (nem alapkövetelmény)
- Központosított Microsoft Management Console (MMC)