|
ISA-сервер |
  
|
|
ISA-сервер |
|
Microsoft ISA Server - мощный сервер, представляющий модульную платформу. Хотя Traffic Inspector решает большинство задач, могут возникнуть ситуации, когда его использование необходимо (например, применяются специфичные Application Filter).
Вариантов совместной работы может быть много. Все зависит от того, какие службы в каких программах будут задействованы.
Следует отметить недостатки применения ISA-сервера.
| • | Будут использованы не все возможности Traffic Inspector. Здесь все зависит от выбора служб и настроек, смотрите далее. |
| • | SecureNAT в ISA-сервере не работает с WAN-интерфейсами RRAS. Точнее, ISA-сервер не видит эти интерфейсы. Хотя есть дозвон для RAS-соединений, поддержка WAN и VPN на этом заканчивается. |
ISA-сервер состоит из 2-ух основных компонент:
| • | Firewall service: включает NAT, подключает внутренних пользователей через редиректор winsock и включает внешний Firewall. Особый интерес также представляют подключаемые дополнительные Application Filter, которые решают самые различные задачи и которых уже довольно много выпущено как Microsoft, так и другими производителями. |
| • | Proxy service: кэшируемый HTTP/FTP прокси-сервер. |
Эти два компонента ISA-сервера могут быть установлены как вместе, так и по отдельности.
Если у ISA-сервера установлен только прокси-сервер, то в Traffic Inspector может быть задействовано все без ограничения. Следует только прокси-сервера разнести по разным портам.
У Traffic Inspector прокси-сервер отключать не стоит, т.к. через него работает веб-сервер статистики.
Если у ISA-сервера установлена служба Firewall service, то в Traffic Inspector надо отключить все, что использует правила на внешних интерфейсах, иначе может возникнуть конфликт. Это служба Firewall и функция блокировки трафика на внешних счетчиках. Обе эти опции отключаются на одной странице мастера конфигурирования.
Далее надо определиться, через какие службы будут работать пользователи. Traffic Inspector должен быть настроен на учет трафика этих служб, который будет сниматься с внутреннего интерфейса.
Firewall Client использовать не стоит. Ввиду того что эта служба использует транспорт сети Windows, будет почти невозможно отделить трафик Интернета от служебного. Необходимо использовать SecureNat. Этот механизм обычно стараются не применять из-за отсутствия аутентификации, но в данном случае это несущественно, т.к. ограничение доступа сделает Traffic Inspector.
Трафик через SecureNat идет транзитный, поэтому для его учета никаких особых настроек в Traffic Inspector делать не надо.
Авторизацию и аутентификацию должен делать Traffic Inspector, т.к. он считает трафик. Поэтому в ISA-сервере аутентификацию можно отключить, т.е. в политиках "разрешить всем все".
Прокси-сервер можно использовать как от Traffic Inspector, так и от ISA. Можно настроить оба сразу.
Прокси-сервер от Traffic Inspector намного более функциональный, более эффективно экономит трафик на кэше. У ISA-сервера он более производительный. SOCKS-сервер также можно использовать или от Traffic Inspector, или от ISA-сервера.
Если планируете использовать прокси-сервер от ISA, то у вас не будут работать правила приложений в Traffic Inspector, переключение пользователями режимов фильтрации и кэширования.
Если используются HTTP, FTP, SOCKS или другие сервера от ISA-сервера, то в Traffic Inspector следует:
| 1. | Включить учет трафика для этих служб. Трафик на них пойдет на IP-адрес локального интерфейса, а он по умолчанию бесплатный. Для того чтобы сделать его платным, добавьте правила для тарификации на порты этих служб. В правиле укажите протокол (TCP) и в качестве адреса - локальный интерфейс. |
| 2. | Включить управление этим трафиком. В программе имеется предустановленное разрешающей правило на локальный интерфейс "для всех". Из-за него доступ на эти службы ISA-сервера будет всегда разрешен. Поэтому его придется удалить. После этого доступ на этот сервер изнутри сети будет разрешен только для авторизованных пользователей. Если надо разрешить доступ на этот сервер всем для сети Windows, придется прописать разрешения для всех протоколов сети. |
Если используется Firewall от ISA-сервера, то следует учесть, что SOCKS или FTP прокси-сервер от Traffic Inspector не сможет управлять им. Поэтому не все будет работать.
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?taskisa.htm