Jedan od primarnih scenarija izgradnje Microsoft Internet Security and Acceleration ISA Server 2004 je obezbeđivanje internim korisnicima siguran pristup internet resursima. ISA Server 2004 pruža komplentne solucije za omogućavanje i konfiguraciju sigurnog pristupa.

 

Jedan od primarnih scenarija izgradnje ISA Servera 2004 predstavlja Proxy Server koji omogućava siguran pristup internet resursima. Ova lekcija daje pregled mogućnosti Proxy Servera i objašnjava kako ISA Server radi kao Proxy server.

 

Kako ISA Server omogućava siguran pristup internet resursima

U mnogim organizacijama ISA server je izgrađen i implementiran da pruži siguran internet pristup za interne klijente. ISA Server daje nekoliko različitih opcija za omogućavanje sigurnog internet pristupa.

ISA Server ima sledeće funkcionalnosti koje omogućavaju sigurni pristup:

  • Korišćenje ISA Servera kao Firewall-a - ISA Server daje kompletnu Firewall soluciju koja omogućava višeslojno filterisanje. Kao firewall, ISA Server osigurava Internet pristup tako što sprečava da neautorizovani saobraćaj uđe u internu mrežu.
  • Korišćenje ISA Servera kao Proxy Server - Kada se Firewall i Web Proxy klijenti konektuju na ISA Server kompjuter da bi pristupili Internet resursima, ISA Server se ponaša kao Proxy server. ISA Server prihvata klijentske zahteve za sadržaj sa interneta, i nakon toga kreira novi zahtev koji šalje serveru na Internetu. ISA server skriva detalje koji se odnose na Internu mrežu od interneta koji je javna i nesigurna mreža. Samo externa IP adresa je vidljiva na interentu. ISA Server takođe skriva sve mrežne informacije o SecureNAT klijentima koristeći NAT koji prevodi interne IP adrese u externu IP adresu ISA Servera.
  • Korišćenje ISA servera za implementaciju organizacionih Usage Policy - ISA Server može da se iskoristi za implementaciju skoro svih internet restrikcija uključujući:
    • Resrikcije na osnovu Usera i grupa
    • Resrtikcije na osnovu kompjutera
    • Restrikcije na osnovu protokola
    • Restrikcije na osnovu internet destinacija
    • Restrikcije na osnovu sadržaja koji se download-uje sa interneta

 

Zašto koristimo Proxy Server

Proxy Server je server koji je posrednik između klijentske aplikacije, kao što je Web Browser, i servera na koji se klijent konektuje. Svi klijentski zahtevi i svi serverski odgovori prolaze kroz Proxy Server. Proxy Server može da pruži povećanu sigurnost i bolju performansu za internet konekcije.

Jedan od najbitnijih razloga korišćenja Proxy Servera je podizanje nivoa sigurnosti za korisničke konekcije na internet. Proxy server štiti internet konekcije na sledeće načine:

  • User Authentification - Kada korisnik zatraži da se poveže na neki resurs na internetu, Proxy server može da traži od korisnika da se autentifikuje (provara identiteta), bilo zahtevanjem od korisnika unošenja korisničkog imena i šifre ili korišćenjem keširanih identifikacionih podataka koji se nalaze na klijentskim kompjuterima. Proxy server nakon provere identiteta korisnika dozvoljava ili zabranjuje pristup internet resursima.
  • Filtering Client Requests - Proxy Server može da koristi nekoliko kriterijuma da isfiltrira klijentske zahteve. Kao dodatak filterisanju zahteva na osnovu toga ko zahteva pristup, Proxy Server može da filteriše zahteve na osnovu IP Adresa, protokola ili aplikacije koja se koristi za pristup internetu, vremenskom intervalu, i na osnovu web sajta ili URL adrese koju korisnik želi da poseti.
  • Content inspection - Proxy Serveri mogu da vrše inspekciju svog saobraćaja i  odrede da li postaji saobraćaj koji treba da bude zabranjen. Ovo može da uključuje proveravanje sadržaja saobraćaja i pronalaženje: neadekvatnih reči, skeniranje u potrazi za virusima, i skeniranje u potrazi za određenim extenzijama. Na osnovu kriterijuma koje smo konfigurisali na Proxy Serveru, sav saobraćaj može biti proveren i filtriran.
  • Logging User Access - Iz razloga što sav saobraćaj prolazi kroz Proxy Server, server može da zapisuje u logove sve sto korisnici urade. Za HTTP zahteve, ovo može da uključi logovanje svake URL adrese koju je korisnik posetio. Proxy server može da se konfiguriše da detaljno izveštava o aktivnosti korisnika.
  • Hiding the internal Network details - Iz razloga što svi zahtevi za internet resursima dolaze sa Proxy servera, detalji o internoj mreži su skriveni od interneta. U skoro svim slučajevima, nijedna informacija o klijentskom kompjuteru, tipa, IP adresa ili ime kompjutera nije poslata ka internet resursu.

 

Poboljšanje performanse internet pristupa

Još jedna prednost korišćenja Proxy Servera je poboljšanje performansi internet pristupa. Web Proxy Server poboljšava performanse keširanjem posećenih internet stranica na hard disku Web Proxy servera. Kada drugi korisnik zatraži od Proxy Servera istu informaciju, Proxy server daje traženu stranicu iz svog keša i ne mora da je traži od servera na internetu.

 

Kako radi Forward Web Proxy Server?

Forward Web Proxy Servers je obično lociran između web aplikacije koja radi na klijentskom kompjuteru na internoj mreži i web servera koji se nalazi na internetu.
Administrator mora da konfiguriše Web aplikaciju na klijentskom kompjuteru da bi koristio Web Proxy server za pristup internetu. Web Proxy servis radi u tački konekcije između interneta i interne mreže i klijentski kompjuteri ne bi trebali da imaju drugu fizičku konekciju na internet već samo kroz Proxy Server.

U sledećim koracima je opisano kako radi Forward proxy Server:

  1. Klijentska aplikacija kao što je Web Browser šalje zahtev za objekat koji se nalazi na Web serveru. Klijentska aplikacija proverava Web Proxy konfiguraciju da odredi da li je zahtevana destinacija na lokalnoj ili eksternoj mreži.
  2. Ako se zahtevani Web Server ne nalazi na lokalnoj mreži, zahtev se šalje Proxy serveru.
  3. Proxy server vrši proveru zahteva, proverava da li postoji polisa koja blokira pristup traženom sadržaju.
  4. Proxy Server takođe proverava da li traženi objekat već postoji u njegovom lokalnom kešu. Ako je objekat smešten u lokalnom kešu Proxy servera, Proxy server šalje objekat klijentu iz lokalnog keša. Ako se stranica ne nalazi u lokalnom kešu Proxy servera, proxy server šalje zahtev odgovarajućem serveru na internetu.
  5. Web server na internetu šalje odgovor Proxy serveru, Proxy server filteriše odgovor na osnovu filter pravila konfigurisanih na serveru.
  6. Ako sadržaj koji je Proxy server dobio od servera na internetu nije blokiran nakon filterisanja, ISA server čuva kopiju sadržaja u svom kešu i šalje objekat klijentskoj aplikaciji koja je napravila zahtev.

 

Šta je Reverse Web Proxy Server?

Revers Web Proxy Server radi na isti način kao i Forward Web Proxy Server. Ali umesto omogućavanja internet resursa pristupačnim za interne klijente, Reverse Proxy čini interne resurse pristupačnim eksternim korisnicima.

U sledećim koracima je opisano kako radi Reverse proxy Server:

  1. Korisnik koji se nalazi na internetu šalje zahtev za objekat koji se nalazi na lokalnom Web Serveru koji je lociran na internoj mreži i zaštićen Reverse Proxy serverom. Klijentski kompjuter pokušava da odradi DNS lookup koristeći FQDN (fully qualified Domain name) host servera, u našem slučaju internog web servera. DNS ime će biti razrešeno u IP adresu eksternog mrežnog interfejsa na Proxy serveru.
  2. Klijentska aplikacija šalje zahtev za objekat eksternoj adresi Proxy servera.
  3. Proxy server proverava zahtev i provarava da li je URL adresa validna i proverava da   li postoji polisa koja blokira pristup traženom sadržaju.
  4. Proxy server proverava da li se traženi objetak nalazi u lokalnom kešu. Ako je objekat smešten u lokalni keš, Proxy server šalje objekat klijentu iz svog lokalnog keša. Ako se tražena stranica ne nalazi u lokalnom kešu na Proxy Serveru, Proxy server šalje zahtev odgovarajućem serveru na internoj mreži.
  5. Web Server odgovara slanjem sadržaja proxy serveru.
  6. Na kraju, objekat se šalje klijentskoj aplikaciji (Web browser-u) koja je poslala zahtev.

 

Konfiguracija ISA Servera kao Proxy servera

 

Administrator može da izgradi ISA Server 2004 kao Web Proxy Server and Winsock Proxy server. Čim omogućimo internet klijentima pristup internet resursima, ISA Server počinje da radi kao Web Proxy Server. Ipak, postoji nekoliko Web Proxy server postavki koje možemo da modifikujemo na ISA Serveru.

Svi HTTP zahtevi prolaze kroz Web Proxy komponent na ISA Serveru. Kada ISA Server primi zahtev od klijenta koristeći ovaj protokol, klijentska konekcija se tretira kao da dolazi sa Web Proxy klijenta.

 

DNS konfiguracija za pristup internetu

Da bi se uspešno konektovali na internet, klijentski kompjuteri moraju da razreše DNS imena servera na Internetu u IP adrese. DNS infrastruktura mora biti izgrađena i funkcionalna da bi mogla da odrađuje proces razrešavanja DNS imena u IP adrese (Name resolution).

 

Konfiguracija DNS resolucije

Mnoge kompanije implementiraju DNS servere na internoj mreži koji mogu da razreše i interna i eksterna imena. U okruženju sa aktivnim direktorijumom, svi klijentski kompjuteri Windows 2000 i noviji moraju da budu u stanju da razreše DNS imena domenskih kontrolera. Često, ovi DNS serveri su konfigurisani da razrešavaju i internet DNS imena, bilo prosleđivanjem zahteva ka DNS serverima na internetu ili konfigurisanjem DNS servera koji koriste internet root hints. U ovakvom scenariju možemo da konfigurišemo ISA Server klijentske kompjutere da koriste DNS server na internoj mreži.

Neke organizacije nisu izgradile interne DNS servere. U ovim organizacijama, klijenti moraju da budu konfigurisani da koriste DNS servere na internetu za razrešavanje imena. U ovakvom scenariju, administrator mora da kreira pravila pristupa koja omogućavaju kompjuterima pristup internetu koristeći DNS protokol. Takođe, treba znati da sa ovakvom konfiguracijom, korisnici i kompjuteri ne mogu da razrešavaju DNS imena u IP adrese za interne mrežne resurse.

 

DNS razrešavanje imena i ISA Server klijenti

Ako koristimo Web Proxy i Firewall klijente, ISA Server kompjuter može da funkcioniše kao DNS Proxy server i može da razrešava internet DNS zahteve u korist klijenata. Kada se Web Proxy i Firewall klijenti konetuju na ISA server kompjuter, ISA Server informiše klijente koje IP adrese spadaju u lokalne IP adrese. Kada klijent zatraži bilo koju IP adresu koja nije lokalna, ISA Server kompjuter će pokušati da razreši IP adresu koristeći DNS servere na internetu. Da bi ovo omogućili, moramo da konfigurišemo na ISA Server kompjuteru IP adrese DNS servera koji mogu da razrešavaju internet DNS imena u IP adrese i obratno.

SecureNAT klijenti ne mogu da koriste ISA Server za razrešavanje DNS imena. Na SecureNAT klijentima mora da se konfiguriše IP adresa DNS servera koji razrešava i interna i ekstrerna DNS imena.

 

DNS Cache

Ako koristimo ISA Server za razrešavanje DNS imena za Web Proxy i Firewall klijentske kompjutere, ISA Server koristi svoj DNS Cache komponent koji je izgrađen na vrhu Windows DNS resolver-a. Svaki put kad je DNS ime razrešeno za DNS klijenta koji se nalazi na internoj mreži, ISA server kešira taj rezultat. Svrha DNS Cache-a je smanjenje broja DNS upita koji prolaze Firewall granicu. DNS Cache se sastoji od tri razdvojena cache-a:

  • Cache u koji se smeštaju razrešeni upiti DNS imena u IP adrese
  • Cache u koji se smeštaju razrešeni upiti IP adrese u DNS imena (reverse Cache)
  • Cache u koji se smeštaju greške u razrešavanju DNS upita IP adresa u DNS imena. Ovaj Cache se takođe naziva i „negativni cache"

 

Konfiguracija Web Chainig-a (olančavanje)

ISA Server 2004 podržava grupisanje (olančavanje) nekoliko servera na kojima je instaliran ISA Server 2004 da bi zajedno pružali fleksibilniji Proxy servis. Ovi serveri mogu da se olančaju u hijerarhiju tako da jedan ISA server rutira internet zahteve drugom ISA Serveru umesto da zahtev šalje direktno na internet.

Administratori mogu da koriste Web olančavanje kada organizacija poseduje nekoliko office lokacija, ali se svi internet zahtevi rutiraju kroz internet konekciju glavne centrale (head office). U ovakvom scenariju, administrator može da instalira ISA Server na svakoj lokaciji i nakon toga konfiguriše ISA Server na tim lokacijama da rutiraju sve internet zahteve ka ISA serveru u glavnoj centrali (Head office).

Možemo da konfigurišemo fleksibilna pravila (rules) za uslovno rutiranje internet zahteva, u zavisnosti od odredišta servera. Na primer, ako jedna od manjih kancelarija poseduje direktnu internet konekciju i mnogi sajtovi koje koriste korisnici u toj manjoj kancelariji se nalaze u istoj zemlji kao ta manja kancelarija, administrator može da konfiguriše da ISA server rutira sve zahteve za specifičnim domen imenima direktno na internet. Ipak još uvek možemo da konfigurišemo da server u manjoj kancelariji sve druge internet zahteve šalje ka serveru koji se nalazi u glavnoj centrali (head office).

 

Konfiguracija Dial-up konekcija

ISA Server 2004 takođe podržava korišćenje Dial-up konekcija ka drugim mrežama. Na primer, ako nemamo posvećenu (dedicated) internet konekciju koja je uvek omogućena, možemo da konfigurišemo dial-up konekciju, tako da, kada korisnik napravi zahtev za određenim resursom na internetu, ISA Server može automatski da uspostavi (dial) internet konekciju. Takođe možemo da konfigurišemo dial-up konekciju kao backup opciju, tako da se ta dial-up konekcija koristi samo u slučaju kada primarna internet konekcija otkaže ili kad trenutno nije dostupna.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • ISA Server 2004 kao Proxy Server 1
  • ISA Server 2004 kao Proxy Server 2
  • ISA Server 2004 kao Proxy Server 3
  • ISA Server 2004 kao Proxy Server 4
  • ISA Server 2004 kao Proxy Server 5
  • ISA Server 2004 kao Proxy Server 6