ISA Server 2006 является следующей версией в линейке продуктов ISA Server. Раньше рассматривались функции брандмауэра ISA-сервера и установку ISA-сервера в различных модификациях, таких как пограничный брандмауэр, внутренний брандмауэр, брандмауэр сегмента сетевых служб и брандмауэр беспроводной LAN. Мы рассматривали концепции внедрения ISA-сервера на протяжении почти шесть лет, и будем продолжать это делать и впредь.

Однако, с выходом ISA Server 2006 мы изменим наш подход. Причина в том, что в ISA Server 2006 включены новые функции, которые в основном относятся к компонентам фильтра web-прокси, поддерживающем правила web-публикации. Эти компоненты включают в себя:

• Улучшенную поддержку публикации OWA, OMA, ActiveSync и RPC/HTTP
• Улучшенную поддержку SharePoint Portal Server
• Улучшенную поддержку служб Windows SharePoint
• Поддержку публикации Web-групп
• Поддержку привязки нескольких сертификатов к одному web-приемнику
• Поддержку групповых сертификатов, привязанных к опубликованному web-серверу
• Поддержку нескольких новых сценариев делегирования аутентификации
• Поддержку аутентификации LDAP для правил web-публикации
• И еще много всего!

Я не буду описывать все, что обновлено и улучшено в ISA. Об этом я напишу другую статью и опубликую ее на ISAserver.org в самое ближайшее время. А сегодня я хочу объяснить, что основное улучшение нового ISA – это безопасные сценарии web-публикации.

Предпосылки для использования Unihomed ISA-сервера

Одним из преимуществ сценариев web-публикации в том, что вы можете расположить ISA-сервер практически в любом месте сети. Один из наиболее популярных способов расположения при web-публикации это установка unihomed ISA-сервера в режиме web-прокси в существующем сегменте DMZ. Брандмауэр может быть как multihomed ISA-сервером, так и любым другим сетевым брандмауэром.

В данной статье я продемонстрирую, как установить ISA Server 2006 на сервер корпоративной сети с одним сетевым адаптером. А в следующей статье я опишу, как установить ISA Server 2006 Enterprise Edition на несколько серверов, каждый из которых имеет по одному сетевому адаптеру.

В этой статье также представлено главное отклонение от того, как я обычно настраиваю ISA-сервер: unihomed ISA не будет членом домена Active Directory. Хотя членство в домене значительно увеличивает общую защиту, предоставляемую ISA в режиме полного брандмауэра, это не важно в случае, когда ISA-сервер установлен как unihomed web-прокси сервер, предназначенный для web-публикаций. Это как раз и относится к ISA Server 2006, учитывая, что у нас уже есть встроенная поддержка LDAP-аутентификации.

Установка ISA Server 2006 Enterprise Edition на компьютер c одним сетевым адаптером

Перед началом установки ISA Server 2006 Enterprise Edition на новый компьютер убедитесь в следующем:

• На компьютер установлена система Windows Server 2003, пакет обновлений Windows Server 2003 SP1 и все текущие обновления
• Компьютер не введен в домен
• Сетевому адаптеру присвоен статический IP-адрес
• Адрес DNS-сервера на сетевом адаптере настроен на разрешение unihomed ISA-сервером собственного имени и имен опубликованных серверов. Для того, чтобы компьютер мог разрешать свое имя, устройство должно быть настроено на использование суффикса имени домена, которое совпадает с вашим доменом Active Directory.
• Если на ваших DNS-серверах не разрешена динамическая регистрация DNS, введите в DNS запись имени хоста (запись типа А) для unihomed ISA-сервера вручную.
• Адрес шлюза на сетевом адаптере unihomed ISA-сервера настроен на разрешение доступа в Интернет и к опубликованным серверам
• Скачайте пробную бета-версию ISA Server 2006 Enterprise Edition с http://www.microsoft.com/isaserver/2006/beta.mspx

Если вы сделали все это, вы готовы установить ISA Server 2006 Enterprise Edition на компьютер с одним сетевым интерфейсом.

Для установки ISA Server 2006 Enterprise Edition выполните следующее:

1. Скопируйте установочные файлы ISA Server 2006 Enterprise Edition на компьютер. Дважды щелкните по файлу isaautorun.exe. Появится диалоговое окно.
2. В диалоговом окне Microsoft ISA Server 2006 beta нажмите Install ISA Server 2006 (Установить ISA Server 2006).
3. На странице Welcome to the Installation Wizard for Microsoft ISA Server 2006 Beta (Запуск мастера установки Microsoft ISA Server 2006 Beta) нажмите Next (Далее).
4. На странице License Agreement (Лицензионное соглашение) выберите пункт I accept the terms in the license agreement (Я согласен принимаю лицензионное соглашение) и нажмите Next (Далее).
5. На странице Customer Information (Информация о покупателе) введите User Name (Имя пользователя), Organization (Организация) и Product Serial Number (Серийный номер продукта) и нажмите Next (Далее).
6. На странице Setup Scenarios (Сценарии установки) выберите Install both ISA Server services and Configuration Storage server (Установить службы ISA-сервера и сервер хранения настроек). Обратите внимание, что данный пункт предполагает, что вы устанавливайте службы ISA-сервера и сервер хранения настроек одновременно, а дополнительные члены массива будут установлены позже после данной установки. Это не так. Используйте эту опцию только в том случае, если вы устанавливайте один член массива серверов ISA Server 2006 Enterprise Edition. Если вы собираетесь добавлять еще члены в массив, не выбирайте этот пункт. Поскольку в данной статье мы рассматриваем установку одного сервера ISA Server 2006 Enterprise Edition, мы используем данный вариант. Нажмите Next (Далее).

   

   Рисунок 1

7. На станице Component Selection (Выбор компонентов) примите установки по умолчанию. Обратите внимание, что вы не можете выбрать установку клиента брандмауэра. Я не знаю, что произойдет в будущем, поскольку такого выбора нет и на начальной странице установки. Скорее всего, все будет реализовано в следующих релизах продукта. Обратите внимание, что опция Advanced Logging (Ведение дополнительных журналов) – это выбор ведения журналов MSDE. Если вы предпочитаете ведение журналов на основе SQL или в текстовом виде, не выбирайте это пункт. Нажмите Next (Далее).

   

   Рисунок 2

8. На странице Enterprise Installation Options (Варианты установки организации) выберите пункт Create a new ISA Server enterprise (Создать новую организацию ISA-сервера). Поскольку данный компьютер будет единственным в массиве, нам необходимо создать новую организацию ISA-сервера. Обратите внимание, что вариант Create a replica of the enterprise configuration (Создать копию организации) не доступен для рабочих групп. Следует запомнить это на будущее, если вы захотите создать резервный сервер хранения настроек для массива. Но для нас это не проблема, поскольку наш массив состоит из одного сервера. Нажмите Next (Далее).

   

   Рисунок 3
9. На странице New Enterprise Warning (Предупреждение о создании новой организации) нажмите Next (Далее).

   

   Рисунок 4
10. На странице Internal Network (Внутренняя сеть) нажмите Add (Добавить).
11. В диалоговом окне Addresses (Адреса) нажмите кнопку Add Adapter (Добавить адаптер). В диалоговом окне Select Network Adapters (Выбор сетевых адаптеров) отметьте единственный интерфейс, установленный на компьютере. Обратите внимание, что при обычной установке этот адаптер будет определять внутреннюю сеть по умолчанию. При unihomed ISA-сервере в функции web-прокси это не проблема, поскольку все адреса считаются внутренними. Нажмите OK.

    

    Рисунок 5

12. В диалоговом окне Addresses (Адреса) нажмите OK. Обратите внимание, что адреса в окне не имеют значения при схеме с unihomed ISA-сервером. В обычной установке при наличии на ISA-сервере нескольких интерфейсов, эти адреса определяют внутреннюю сеть ISA-сервера по умолчанию. Однако, как я уже говорил, при unihomed ISA-сервере в функции web-прокси все адреса считаются частью внутренней сети ISA-сервера.

    

    Рисунок 6
13. На странице Internal Network (Внутренняя сеть) нажмите Next (Далее). Еще раз заметьте, что указанные IP-адреса не являются адресами внутренней сети по умолчанию для unihomed ISA-сервера, что мы увидим при применении шаблонов сетевых адаптеров ISA-сервера.

    

    Рисунок 7
14. На странице Firewall Client Connections (Соединения клиента брандмауэра) нажмите Next (Далее). Нам не стоит беспокоиться по поводу соединений клиента брандмауэра, поскольку и клиент брандмауэра, и клиент SecureNAT не поддерживаются unihomed ISA-сервером в режиме web-прокси. Поддерживаются только клиенты web-прокси.
15. На странице Services Warning (Предупреждение служб) нажмите Next (Далее).
16. Для начала установки нажмите Install (Установить).
17. На странице Installation Wizard Completed (Завершение работы мастера установки) отметьте пункт Invoke ISA Server Management when the wizard closes (Запустить панель управления ISA-сервера по завершению работы мастера) и нажмите Finish (Завершить).
18. Закройте окно Protect the ISA Server Computer (Защитите свой ISA-сервер).

После установки

Первое, что вы заметите при открытии консоли, это ссылку Click here to learn about the Customer Experience Improvement Program (Нажмите для ознакомления с программой улучшения работы потребителей). Нажмите на нее.

Рисунок 8

Перед вами откроется окно Customer Feedback (Обратная связь). Я настоятельно рекомендую принять участие в этой программе. Никакая персональная информация не посылается в Microsoft. Результатом вашего участия в программе будет улучшение гибкости и повышение уровня безопасности ISA-сервера. Для участия в программе выберите Yes (Да).

Рисунок 9

После нажатия OK ссылка пропадет.

Раскройте узлы в левой части консоли ISA-сервера. Для просмотра определений внутренней сети ISA-сервера по умолчанию выполните следующее:

1. В левой части консоли выберите узел Networks (Сети) в узле Configuration (Настройка).

   

   Рисунок 10

2. В узле Networks (Сети) выберите вкладку Networks (Сети) в средней панели консоли ISA-сервера. Дважды щелкните по пункту Internal (Внутренняя).
3. В диалоговом окне Internal Properties (Свойства внутренней сети) выберите вкладку Addresses (Адреса). Здесь вы видите адреса, определяющие внутреннюю сеть ISA-сервера по умолчанию в настоящий момент. Однако, эти значения изменятся после того, как мы настроим ISA-сервер на работу в режиме web-прокси. Для закрытия диалогового окна нажмите Cancel (Отменить).

   

   Рисунок 11

Теперь нам нужно применить шаблон unihomed ISA-сервера для настройки этого компьютера на работу в режиме unihomed ISA-сервера в функции web-прокси. Для этого выполните следующее:

1. В панели задач выберите вкладку Templates (Шаблоны). Выберите из списка шаблон Single Network Adapter (Один сетевой адаптер).

   

   Рисунок 12
2. На странице Welcome to the Network Template Wizard (Начало работы мастера шаблонов сети) нажмите Next (Далее).
3. На странице Export the ISA Server Configuration (Экспорт настроек ISA-сервера) нажмите Next (Далее). Обратите внимание, что у вас есть возможность экспортировать текущие настройки, но мы не будем использовать этот вариант, поскольку мы почти не меняли установки по умолчанию.

   

   Рисунок 13

4. На странице Internal Network IP Addresses (IP-адреса внутренней сети) вы увидите адреса, которые будут определять внутреннюю сеть ISA-сервера. Заметьте, что все адреса, кроме локального диапазона сети узла, считаются частью внутренней сети по умолчанию. Из-за этого клиенты SecureNAT и брандмауэра не поддерживаются unihomed ISA-сервером в функции web-прокси. На этой странице ничего изменять не нужно. Нажмите Next (Далее).

   

   Рисунок 14

5. На странице Select a Firewall Policy (Выбор политики брандмауэра) вам предлагается выбор из одной политики. Щелкните по Apply default Web proxying and caching configuration (Применить настройки по умолчанию для web-прокси и кэширования). Это действие применит запрещающее правило по умолчанию для политики брандмауэра для массива. Сетевые правила не создаются, поскольку web-прокси всегда заменяет собственным IP-адресом IP-адрес клиента web-прокси, соединяющегося с Интернетом через unihomed ISA-сервер в функции web-прокси. Нажмите Next (Далее).

   

   Рисунок 15

6. На странице Completing the Network Template Wizard (Завершение работы мастера шаблонов сети) нажмите Finish (Завершить).
7. Для сохранения изменений и обновления политики брандмауэра нажмите Apply (Применить).
8. В диалоговом окне Apply New Configuration (Применить новые установки) нажмите OK.

Теперь вы готовы начать настраивать политику брандмауэра и переделывать установку.

Резюме

В данной статье мы рассмотрели принципы внедрения и установки unihomed ISA-сервера в режиме web-прокси. Мы разобрали пошаговую инструкцию по установке unihomed ISA-сервера. По завершению процесса ISA-сервер был готов для конфигурирования и настройки. В следующей статье я объясню, что я считаю ключевым моментом настройки, и что вы должны сделать до начала изменения политики ISA-сервера.

www.isaserver.org

Popularity: 12% [?]