Nakon instalacije ISA Server 2004, default-na sistemska polisa je konfigurisana na serveru. Sistemska polisa uključuje različita pravila pristupa koja nude inicijalnu konfiguraciju ISA Server 2004. Ova lekcija objašnjava šta su to default-ne sistemske polise i kako i kad se modifikuju polise.
Šta je sistemska polisa?
Kada smo instalirali ISA Server 2004, on je konfigurisan default-nom sistemskom polisom. Sistemska polisa je skup Firewall pravila koja kontrolišu kako ISA Server kompjuter uzajamno deluje sa povezanim mrežama.
Sistemska polisa se koristi u većini slučajeva da omogući potreban pristup između ISA Server kompjutera i povezanih mreža tako da administrator može da upravlja ISA Serverom. Sve sistemske polise definišu pristup između lokalne mreže (ISA Servera), i povezanih mreža.
Sistemska polisa definiše mnogo Firewall pravila pristupa koja funkcionišu na isti način kao i druga pravila pristupa. Ipak, implementacija pravila kroz sistemske polise je drugačija. Kada kreiramo novo pravilo pristupa, moramo da definišemo sve komponente tog pravila. Pravila u sistemskim polisama su unapred konfigurisana, sve što treba da uradimo je odluka da li ćemo da omogućimo pravilo i nakon omogućavanja izaberemo mrežu na koju se pravilo odnosi.
Neka pravila u sistemskim polisama su omogućena po default-u. Ova pravila omogućavaju upravljanje ISA Server okruženjem i nude najčešće mrežne funkcije.
Modifikovanje sistemske polise
Nakon instalacije ISA Servera, administrator treba da izvrši analizu konfiguracije default-ne sistemske polise i modifikuje polisu tako da ona ispunjava potrebe i zahteve organizacije. Ako organizacija ne zahteva da specifični tip funkcionalnosti bude omogućen sistemskom polisom, onda bi administrator trebao da onemogući pravilo koje omogućava tu funkcionalnost. Na primer, default-na sistemska polisa omogućava udaljeni pristup na sve kompjutere u Remote Management Computers grupi. Ako nismo planirali da omogućimo korisnicima da se udaljeno konektuju na ISA Server, trebali bi da onemogućimo ovo pravilo. Generalno, preporučuje se da sva pravila u sistemskoj polisi koja nisu potrebna da bi se uspešno upravljalo infrastrukturom budu onemogućena.
Postavke u sistemskoj polisi
Default-na sistemska polisa koja se postavlja nakon instalacije ISA Server 2004 omogućava funkcionalnosti koje su potrebne da bi upravljali ISA Serverom i daje mrežnu funkcionalnost.
Sledeće stavke sumiraju konfiguraciju defaut-ne sistemske polise:
Kada otvorimo Properties sistemske polise sa leve strane panela imamo sledeće konfiguracione grupe:
- Network Services: Definišu koje mreže su pristupačne od ISA Servera za DNS, DHCP i NTP protokole. Možemo da modifikujemo sistemsku polisu tako da samo određeni kompjuteri na internoj mreži mogu da pristupe ili dodaju mreže ako su mrežni servisi postavljeni na drugoj mreži.
- Authentication Services: Da bi autentifikovao korisnike ISA Server mora da bude u mogućnosti da komunicira sa autentifikacionim serverima. Po default-u ISA Server može da komunicira sa domenskim kontrolerima i RADIUS serverima koji se nalaze na internoj mreži. Možemo da modifikujemo koje mreže će biti pristupačne za autentifikaciju i isto tako možemo da konfigurišemo autentifikacione opcije koje mogu da se koriste.
- Remote Management: Po default-u ISA Serverom može da se upravlja koristeći MMC konzoline Snap-inove ili korišćenjem Terminal Servisa sa bilo kog kompjutera koji se nalazi u ugrađenom Remote Management kompjuter setu. Nakon instalacije ISA Servera kreira se prazan kompjuterski set i administrator treba da doda sve kompjutere u set sa kojih će se vršiti udaljena administracija ISA Servera. Sve dok administrator ovo ne odradi udaljena administracija neće moći da se obavlja nijednim serverom na mreži.
- Firewall Client: Ako je nakon instalacije ISA Servera instaliran i Firewall Client Installation share komponenta, Firewall Client Installation share konfiguracina grupa će biti omogućena po default-u. Svi kompjuteri na internoj mreži će moći da pristupe šerovanom folderu po default-u.
- Diagnostic Services: Pravilo sistemske polise koje dozvoljava pristup Diagnostic servisima je omogućeno sa sledecim dozvolama: ICMP je omogućen za sve mreže i ovaj servis je važan u određivanju i proveri konektivnosti sa drugim kompjuterima, Windows Networking servis omogućava NETBIOS komunikaciju između kompjutera na internoj mreži, Microsoft Error reporting omogućava HTTP pristup ka Microsoft Error reporting sajtu i omogućava izveštavanje Error informacija. Po default-u kreiran je URL set koji sadrži adrese specifičnih Microsoft sajtova.
- Logging and Monitoring: Pravila u sistemskoj polisi omogućavaju udaljeno logovanje i nadgledanje. Seldeće konfiguracione grupe su onemogućene po default-u (disabled): Remote Logging (NETBIOS), Remote Logging SQL, Remote Performance monitoring, Microsoft Operations manager.
- SMTP: SMTP konfiguraciona grupa je omogućena i dozvoljava SMTP komunikaciju kroz ISA Server ka kompjuterima na internoj mreži.
- Scheduled Download Jobs: Ova karakteristika je onemogućena po default-u. Nakon kreiranja Content Download job-a administrator će morati da omogući Scheduled Download jobs u sistemskoj polisi. ISA Server će nakon toga biti u mogućnosti da pristupi sajtovima koji su navedeni u Content Download Job-u.
- Allowed Sites: Po default-u ova konfiguraciona grupa je omogućena, i dozvoljava ISA Serveru da pristupi sadržaju određenim sajtovima koji pripadaju System Polisy Allowed Sites URL setu. Ovaj URL set sadrži različite Microsoft web sajtove po default-u, i možemo da i modifikujemo i dodamo još web sajtova kojima će ISA Server moći da pristupi.
Kako se modifikuju postavke u sistemskoj polisi?
Default-na sistemska polisa omogućava više opcija nego što je zaista potrebno većini organizacija. Na primer, defaultna sistemska polisa omogućava i RADIUS i Active Directory autentifikaciju, i većina organizacija će koristiti jednu od ovih opcija. Možemo da modifikujemo default-ne postavke da bi ispunili potrebe naše organizacije.