ISA Server 2004 koristimo kad želimo da konfigurišemo sigurnost i time ispunimo očekivanja organizacije. ISA Server 2004 koristimo kad želimo da damo sigurni i skalabilni pristup internetu i kad želimo da damo internet korisnicima pristup internim resursima. Zahtevi organizacija će sigurno biti različiti zavisno od toga za šta će ISA Server biti iskorišćen i gde će biti implementiran. Ova lekcija objašnjava i opisuje najčešća scenarija izgradnje ISA Servera.

 

ISA server kao (Internet Edge Firewall) zaštitna kapija

Ovo je jedan od primarnih scenarija za ISA Server 2004. Njegova najjača osobina je da Firewall bude na ivici. U ovom scenariju ISA Server pruža zaštitnu kapiju za korisnike koji pristupaju resursima na internetu i Firewall (zaštitni zid) koji štiti od virusa, hakera i neautorizovanog pristupa. 
Kao Internet Edge Firewall (zaštitni zid na ivici) ISA Server predstavlja ulaznu tačku kao i primarnu zaštitnu granicu između interne mreže i interneta (javne i nesigurne mreže). ISA Server je izgrađen tako da ima jednu mrežnu kartu koja je povezana na internet i drugu mrežnu karticu koja je povezana na internu mrežu. U nekim slučajevima ISA Server 2004 može da ima i treću mrežnu karticu koja je povezana na Perimeter mrežu.

Ovde ISA Server 2004:

  • Blokira sav saobraćaj sa interneta od pristupanja mreži organizacije (organizations Network) osim u slučajevima kad je saobraćaj eksplicitno dozvoljen. Iz razloga što je ISA Server primarna zaštitna granica, svi komponenti ISA Server Firewall-a su implementirani uključujući višeslojno filterisanje paketa, aplikativno filterisanje i detekcija uljeza.
  • ISA Server se koristi kad administrator želi da učini određene servere ili servise na internoj mreži pristupačnim za Internet korisnike. Ovakav pristup se konfiguriše tako što administrator objavljuje (publishing) Server ili konfigurisanjem Firewall Access Rules. ISA Server filteriše sve dolazeće zahteve i omogućava prolaz samo onim zahtevima koji su definisani u Access Rules (pravilima pristupa)
  • ISA Server može biti i VPN tačka pristupa internoj mreži. U ovom slučaju, sve VPN konekcije sa interneta se rutiraju kroz ISA Server 2004. Sva pravila pristupa i zahteve za karantinom primenjuje ISA Server.
  • Svi klijentski zahtevi za resurse na internetu prolaze kroz ISA Server. ISA Server određuje (stavlja) polise organizacije u kojima se određuje koji korisnici imaju pravo korišćenja interneta, koje aplikacije protokoli mogu da se koriste za pristup internetu i koji web sajtovi mogu da se posećuju na internetu.

 

Kako ISA Server 2004 radi kao Back-End-Firewall

U nekim slučajevima organizacija može da izabere da postavi ISA Server 2004 kao drugi zid u više zidnom okruženju. Ovaj scenario omogućava organizacijama da koriste svoju postojeću Firewall infrastrukturu ali isto tako omogućava korišćenje ISA Servera kao napredni aplikacioni filter zid (Application-Filtering Firewall).

Mnoge organizacije implementiraju Back-to-Back Firewall konfiguraciju. U ovoj konfiguraciji, jedan Firewall je direktno povezan na internet sa jednom mrežnom karticom, dok je druga mrežna karta povezana sa Perimeter mrežom. Drugi Firewall ISA Server je povezana sa jednom mrežnom karticom na privatnu internu mrežu a sa drugom karticom na Perimeter mrežu. Sav mrežni saobraćaj mora da prođe kroz oba zida i kroz Perimeter mrežu da bi došao sa interneta do interne privatne mreže.

Za organizacije koje već imaju hardverski zid (Hardware-Based firewall) kao Firewall na ivici ISA Server 2004 može da pruži dragocenu dodatnu funkcionalnost kao Back-End Firewall. Napredno aplikativno filterisanje koje ISA Server 2004 može uspešno da odradi osigurava da su specifične aplikacije i servisi sigurno objavljeni (Published).

U ovom slučaju ISA Server 2004:

  • Može da se iskoristi da se napravi zaštićeni pristup Exchange Serveru kompanije. Iz razloga što kompjuteri koji rade na Exchange Serveru moraju biti članovi aktivnog direktorijuma, neke organizacije izbegavaju da postave Exchange Server u Perimeter mreži. ISA Server 2004 može da obezbedi pristup Exchange Serverima koji se nalaze u privatnoj mreži kroz Secure Microsoft Outlook Web Access Publishing, Secure Server Publishing, uključujući spam filterisanje i zaštićeno Exchange RPC Publishing (objavljivanje) za Outlook klijente, i kroz udaljenu proceduru koja se naziva RPC preko HTTP konekcija.
  • Može biti iskorišćen za objavljivanje (publishing) drugih zaštićenih web sajtova ili web aplikacija. Ako se Web Server nalazi na privatnoj mreži, ISA može da se konfiguriše da objavljuje (publish) Web Servere na internet. U ovom slučaju, napredni aplikativni filteri na ISA Serveru mogu da se iskoriste za proveru svog mrežnog saobraćaja koji se šalje Web Serveru koji se nalazi u privatnoj internoj mreži kompanije.
  • Može da se koristi kao Web Proxy Server & Caching Server u ovom scenariju. U ovom slučaju, svi klijentski zahtevi za resursima na internetu ili za resursima u Perimeter mreži prolaze kroz ISA Server 2004. ISA Server 2004 primenjuje polise organizacije da bi obezbedili siguran pristup internetu.

 

Kako ISA Server 2004 radi kao Branch Office firewall?

Treći scenario koji možemo da izgradimo za ISA Server je Branch Office Firewall. U ovom scenariju, ISA Server 2004 može da se iskoristi da zaštitimo Branch Office mrežu od spoljnih opasnosti. Takođe uz pomoć ISA Server 2004 možemo da povežemo mrežu Branch kancelarije sa Main Office (glavnom centralom) koristeći Site-to-Site VPN konekciju.

Za organizacije koje imaju po nekoliko lokacija, ISA Server može da funkcioniše kao Branch office firewall, u konjukciji sa dodatnim ISA Serverima koji se nalaze na drugim lokacijama. Ako Branch kancelarija ima direktnu konekciju na internet, ISA Server 2004 može da se konfiguriše kao Internet Edge Firewall za Branch kancelariju, da štiti Branch Office mrežu i takođe možemo da objavimo (publish) Servere i servise na internetu. Ako Branch kancelarija poseduje samo dodeljenu WAN konekciju (dedicated wan connection) ka drugim kancelarijama i centralama, ISA Server 2004 može da se iskoristi da se objavi server kao što je SharePoint Portal ili lokalni Exchange Server.

Jedna od prednosti korišćenja ISA Servera 2004 kao Branch Office Firewall je da ISA Server može da radi kao VPN kapija (Gateway) koja povezuje Branch Office mreže sa glavnom Main Office mrežom koristeći Site-to-site VPN konekciju. Site-to-site VPN daje ne toliko skup ali veoma efektan metod da se povežu Branch kancelarije sa ostalim kancelarijama i centralama u organizaciji.

U ovom delu:

  • ISA Server može da se iskoristi za kreiranje VPN-a od Branch kancelarije ka drugim lokacijama koristeći IPSec tunnel mode. VPN kapija (Gateway) u drugim sajtovima može biti ili druga ISA 2004 ili VPN kapija nekog drugog proizvođača.
  • ISA Server može da odradi potpunu inspekciju (statefull inspection) i filterisanje aplikativnog sloja (application layer filtering) VPN saobraćaja između lokacija u organizaciji. Ovo može da se iskoristi kad želimo da ograničimo pristup određenim mrežama, da ograničimo određenim udaljenim mrežama pristup lokalnoj mreži i da osiguramo da samo omogućen mrežni saobraćaj može pristupiti lokalnoj internoj mreži.

 

Kako ISA Server 2004 radi kao integrisani firewall, Proxy i Caching Server

U malim i srednjim preduzećima, jedan ISA Server 2004 može da omogući svu funkcionalnost pristupa internetu. ISA Server se koristi kad želimo da kreiramo sigurnosnu granicu oko naše interne mreže, da omogućimo Web Proxy i Cachin servise za interne korisnike.

Male i srednje organizacije i preduzeća često imaju prilično različit pristup internetu u poređenju sa velikim organizacijama. Male organizacije mogu da imaju Dial-up ili neku drugu sporu konekciju na internet. Skoro sve organizacije imaju kakvu takvu konekciju na internet za svoje zaposlene, ali njihove kancelarije moraju da ograniče pristup internetu zbor veoma spore konekcije. Neke organizacije ne zahtevaju objavljivanje nijednog servisa na internet verovatno iz razloga što njihov ISP (Internet Service Provider) hostuje za njih oba servisa i Web Site i E-mail servere. Druge organizacije imaju mnogo kompleksnije zahteve, uključujući zahteve za SMTP, FTP, HTTP objavljivanje servera kao i VPN pristup. Mnoge organizacije se susreću sa jednom jedinstvenom situacijom a ona glasi da, jedan jedini administrator mora da odradi sve zadatke koji se odnose na administraciju mreže. Ovo znači da administrator verovatno ili obično nije Firewall ili internet sigurnosni expert.

ISA Server 2004 je dovoljno fleksibilan da ispuni sve zahteve malih i srednjih organizacija:

  • Konfiguracija Cachinga na ISA Server 2004 kompjuteru znači da se posećene Web stranice keširaju na hard disk ISA Servera. Ovo može da popravi performansu sporih konekcija na internet ili da smanji troškove konekcije koja se naplaćuje u zavisnosti od protoka.
  • ISA Server 2004 podržava opciju korišćenja Dial-up konekcija za pristup internetu ili nekim drugim mrežama. Možemo da konfigurišemo ISA Server 2004 da automatski uspostavlja (Dial) konekciju kada je stigao zahtev za pristup internetu.
  • Default-na instalacija ISA Servera 2004 je maksimalno sigurna. Po default-u, ISA Server 2004 ne prima nijednu konekciju sa interneta nakon instalacije. Ovo znači da ako organizacije ne zahtevaju da bude omogućen pristup nekom resursu sa interneta, administrator u tom slučaju nema potrebe da konfiguriše ISA Server da blokira dolazeći saobraćaj (po default-u je već sve blokirano). Sve što administrator treba da uradi u ovom scenariju je, da treba da konfiguriše ISA Server da omogući internim korisnicima pristup resursima na internetu i konfiguracija je kompletna.
  • ISA Server 2004 administratorima daje mrežne šablone (Network Templates) i čarobnjake za objavljivanje servera (Server publishing Wizards) koji mogu da koriste za konfiguraciju postavki na serveru. Konfigurisati ISA Servera da daje pristup internet resursima može biti prosta kao i stavljanje mrežnog šablona i korišćenje čarobnjaka za konfiguraciju sigurnosnih postavki. ISA Server 2004 daje nekoliko Server Publishing čarobnjaka uz pomoć kojih administratori mogu na jednostavan način sigurno objaviti servere na internetu.

 

Kako ISA Server 2004 radi kao Proxy i Caching-Only Server

Finalni scenario za izgradnju ISA Server 2004 je Proxy i Web Caching-Only server. U ovom scenariju, ISA Server 2004 se ne koristi za uspostavljanje sigurnosne granice između interneta i interne mreže, već se koristi za konfiguraciju Web Proxy i Caching servisa.

U većini slučajeva, kompjuteri na kojima radi ISA Server 2004 su izgrađeni sa nekoliko mrežnih kartica da bi iskoristili prednost i mogućnost ISA Servera da poveže više mreža i filteriše i proverava mrežni saobraćaj između tih mreža. U svakom slučaju, ako je ISA Server 2004 konfigurisan kao Web Proxy i Caching-only Server, administrator može da izgradi takav server sa samo jednim mrežnim adapterom. Kada je ISA Server instaliran na kompjuteru koji ima samo jedan mrežni adapter, prepoznaje samo jednu mrežu internu mrežu.

Ako organizacija već poseduje funkcionalni Firewall, ona može da iskoristi prednosti Proxy i caching funkcionalnosti ISA Servera. Da bi izgradio ISA Server kao Proxy i Caching Server, administrator treba samo da omogući korisnicima da pristupe resursima na internetu. Nakon toga administrator treba da konfiguriše Web Browser-e na svim klijentskim kompjuterima da koriste kompjuter na kome se nalazi ISA Server kao Web Proxy server.

Kada Administrator instalira ISA Server 2004 na kompjuteru sa jednim mrežnim adapterom, sledeće karakteristike ISA Servera 2004 neće biti omogućene:

  • Firewall & Secure NAT Clients
  • VPN
  • IP Packet Filtering
  • Multi-network firewall policy
  • Server Publishing
  • Application-Level filtering
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Najćešća scenarija za razvijanje ISA Servera 2004 1
  • Najćešća scenarija za razvijanje ISA Servera 2004 2
  • Najćešća scenarija za razvijanje ISA Servera 2004 3