ISA Server Nedir ? Nasil Çalisir. ?
I Giris;
ISA Server, 2 sekilde çalisir.
1.Firewall
2.Proxy
ISA Server orta ölçekli kuruluslarin networklerinde hem proxy hemde firewall u tek bir Application da barindirdigi için avantajli gözükebilir.
ISA server 2 ölçekte karsimiza çikmistir.
1.Standart Edition
2.Enterprice Edition
Standart edition’in, küçük ve orta ölçekli firmalar tarafindan kullanilmasi önerilmektedir,Enterprice Edition ise büyük ölçekli firmalara tavsiye edilir.
ISA Server 3 modda kurulur.
+ Cache Mod [Sadece Proxy görevi görür]
+ Firewall Mod [Sadece Firewall görevi görür]
+ Integrated Mod [Hem proxy hem firewall]
Cache mod:
ör: Mesela networkdeki bir kullaniciniz www.yahoo.com adresine gidiyor, birkac dakika sonra baska bir kullanici ayni adrese gidiyor.Eger cache yapiliyorsa, 2. kullanicinin internete çikmak ve yahoo.com dan istenen bilgiyi getirmesi için harcanicak bant genisligi kullanilmamis dolayisiylada trafik yaratilmamis olur.Ama cache in bazi kurallari var,
Cache Rules
1.Transfer edilecek dosyanin boyutu degismemis ise,
2.Cache de bulunan sayfa zaman asimina ugramadiysa [expired]
bu ve bunun gibi kurallar dahilinde cache kullanilmasinda fayda vardir.
ISA Server 3 degisik chaching metodu kullanir.
1.Forward Caching
2.Reverse Caching
3.Distributed Caching [Her networkde karsilasilabilecek chache metodu degildir.]
1 Forward Caching: Demin verdigim örnegin bir benzeri burada da geçerlidir.Mesela kullanicilariniz sürekli yahoo.com/index.htm e gidiyor ise o sayfa , localde [isa server üzerinde] tutularak direk localden gosterilmesi saglanir.
2 Reverse Caching: Internetteki herhangi bir client in localdeki web server’a güvenli bir sekilde erismesini saglar.
3 Distributed Caching: Birden fazla ISA server üzerinde yük paylasimi yapilabilir.
Cache den bukadar bahsettikden sonra firewall a gecelim.
Firewall;
Firewall software yada hardware olarak karsimiza çikabilir.
Yaptigi is kisaca: Networkünüze gelen paketleri inceliyerek sizin belirttiginiz yada default gelen ayarlara göre isleme tabi tutarlar.ISA server’in bu manada yaptigi is paketleri filtrelemek ve kurallari uygulamaktir.
ISA Server Firewall olarak asagida belirtilen özelliklere sahiptir.
+ Networkünüzü disardan gelebilecek saldirilara karsi korur
+ Bilgilerinizin disariya sizdirilmasini engeller.
+ Internet kullanimini sizin belirlediginiz kurallar çerçevesinde yönetir.
+ Internet trafigini izlemenizi saglar.
+ Networkünüzü application layer seviyesinde korur
+ 2 ISA Server arasinda VPN yapabilirsiniz. [Internette farkli uç noktalarda..]
+ IDS gibi çalisabilir [Intrusion Dedection System]
II Kurulum
Microsoft ISA Server için minimum sistem gereksinimleri,
300 Mhz Pentium ve üzeri
Windows 2000 Server / Advanced Server / Datacenter Server
256 MB Ram
20 mb Hard Disk
ve NTFS Partition öneriyor.
Bence,
Windows 2000 Server + SP2
Minimum 1 Ghz CPU
Raid Controller
512 MB Ram
3 Gb minimum Disk space
Eger Caching kullanacaksaniz.
Microsoft’un önerisi
|
Kullanici Sayisi |
Gerekli Bilgisayar |
Ram |
Disk Alani |
|
500 ve üzeri |
PII bir bilgisayar |
256 |
2-4 GB |
|
500 - 1000 |
2 PIII- 550 CPU |
256 |
10 Gb |
|
1000 ve üzeri |
2 Bilgisayar PIII 500 ve üzeri |
256 ve üzeri |
10 GB ve üzeri |
Belirttigim gibi ISA Server i 3 modda kurabiliyorduk,
Caching, Firewall, Integrated.
Asagidaki tabloda Kurulus asamasinda seçilen yapiya göre kullanilan özellikler belirtilmistir.
|
Feature |
Firewall Mode |
Cache Mode |
|
Erisim kurallari |
Var |
Var (HTTP ve HTTPS protokoller için) |
|
Uygulama Filtreleri |
Var |
Yok |
|
Cache Konfigürasyonu |
Yok |
Var |
|
Enterprise policy |
Var |
Var |
|
Firewall ve SecureNAT client destegi |
Var |
Yok |
|
Paket Filtreleme |
Var |
Yok |
|
Es zamanli görüntüleme |
Var |
Var |
|
Raporlama |
Var |
Var |
|
Server publishing |
Var |
Yok |
|
VPN |
Var |
Yok |
|
Web filters |
Var |
Var |
|
Web yayimlama |
Var |
Var |
|
Web Proxy client destegi |
Var |
Var |
Integrated Modda kurarsaniz bütün bu özellikleri kullanma sansiniz var.
ISA Server asagidaki Client türlerini desteklemektedir.
Web Proxy clients: Bir Web Proxy client istegini dogrudan ISA Server’a gönderir. Ancak Internet erisimi tarayiciyla sinirlidir. Web tarayicisinin Web Proxy olarak yapilandirilmasi gerekir.
SecureNAT clients: Secure Network Address Translation (SecureNAT) clientlari ise güvenlik ve caching saglarlar, ancak kullanici düzeyli authentication islemine izin vermezler. Bir SecureNAT clientini yapilandirmak için client bilgisayarda ISA Server’in IP adresi default gateway olarak girilmelidir.
Firewall clients: Firewall clientlari ise kullanici bazinda baglantiya sahiptirler.Yapilandirmak için Firewall client programinin client üzerine kurulmasi gerekir. ISA Server Firewall client programi yalnizca Microsoft Windows ME, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0 veya Windows 2000 olmasi gerekir.
ISA Server’in yüklenmesi
A] CD yi taktikdan ilerledikten sonra lisans anlasmasi onaylanarak kurulus sekli seçilir.
1.Typical Installation
2.Full Installation
3.Custon Installation
*ISA Server i Cache veya Integrated Modda kuracaksaniz, NTFS Partition a ihtiyaciniz var demektir.
Default cache buyuklugu 100 MB, minimum cache buyuklugu 5 MB dir.
Default seçenekler için Typical Installation seçilir,
Bu ekranda Custon Installation i seçerseniz,
ISA Services
Add-in Services
Administration Tool seçeneklerinden bazilarini ekleyebilirsiniz.
B] Lat ( Local Adress Table ) yapilandirilmasi;
LAT adindan da anlasilacagi gibi localde kullandiginiz IP adreslerinin tutuldugu tavle dir.
Kurulum sirasinda LAT i yapilandirmak için,
1."Add address ranges based on the Windows 2000 Routing Table" check box’i ve ardindan da
2.local network için Network Adapter i seçin.
3.Internal IP ranges kutusunda, IP adres araliklarinin listesini gözden geçiri gerekiyorsa düzeltmeleri yapin.
C] Firewall Clientinin kurulmasi
Daha önce belirttigim gibi Web Proxy Client, SecureNAT Client ve Firewall Client olarak kurabiliyorduk.
Simdi hangisini kuracagimiza nasil karar verecegiz.
Burda tamamen kullanis amaciniza göre belirlenecek bir seçim söz konusu.
Sadece Caching yapilacaksa Web Proxy Client kurulmalidir.Benim önerim Firewall client installation yapilmasidir.
2 Avantaji vardir, Hem user bazinda policy verebilirsiniz hem sadece authanticated userlar internete erisebilir.
Client programini kurmak için, client tarafindan, serverda bulunan MSPINT folder i altindaki setup i çalistirin.
*ISA Server ms proxy 2.0 dan upgrade i desteklemektedir, yani proxy 2.0 da tanimlanmis kurallar ISA’da sürdürülebilir.
