ISA сервер

Previous pageReturn to chapter overviewNext page

 

 Microsoft ISA Server - мощный сервер, представляющий модульную платформу. Хотя Traffic Inspector решает большинство задач, могут быть ситуации, когда его использование необходимо (например, применяются специфичные Application Filter).

 

 Вариантов совместной работы может быть много. Все зависит от того, какие службы в каких программах будут задействованы.

 

 Следует отметить недостатки применения ISA сервера:

 

Будут использованы не все возможности Traffic Inspector. Хотя тут все зависит от выбора служб и настроек. См. далее.
SecureNAT в ISA сервере не работает с WAN-интерфейсами RRAS. А точнее, ISA сервер вообще не видит эти интерфейсы. Хотя дозвон для RAS соединений имеется, но поддержка WAN и VPN на этом заканчивается.

 

 ISA Server состоит из 2-х основных компонент:

 

Firewall service. Включает NAT, подключает внутренних клиентов через редиректор winsock и включает внешний firewall. Особый интерес также представляют подключаемые дополнительные Application Filter, которые решают самые различные задачи, и которых уже довольно много выпущено как Microsoft, так и другими производителями.
Proxy service. Кэшируемый HTTP/FTP прокси-сервер.

 

 Эти 2 компонента ISA Server могут быть установлены как вместе, так и по отдельности.

 

 Если у ISA server установлен только прокси-сервер, то в Traffic Inspector может быть задействовано все без ограничения. Надо только прокси-сервера разнести по разным портам.

 

 У Traffic Inspector прокси-сервер вообще отключать не стоит, так как через него работает веб-сервер статистики.

 

 Если у ISA сервера установлена служба firewall service, то в Traffic Inspector надо отключить все, что использует фильтры на внешних интерфейсах, иначе произойдет конфликт. Это служба firewall и функция блокировки трафика на внешних счетчиках. Обе эти опции отключаются на одной странице мастера конфигурирования.

 

 Далее надо определиться, через какие службы будут работать клиенты. Traffic Inspector должен быть настроен на учет трафика этих служб, который будет сниматься с внутреннего интерфейса.

 

 Firewall Client использовать не стоит. Ввиду того, что эта служба использует транспорт сети Windows, будет почти невозможно отделить трафик Интернет от служебного. Надо использовать SecureNat. Этот механизм обычно стараются не применять из-за отсутствия аутентификации, то в данном случае это несущественно, так как ограничение доступа сделает Traffic Inspector.

 

 Трафик через SecureNat идет транзитный и поэтому для его учета никаких особых настроек в Traffic Inspector делать не надо.

 

 Авторизацию и аутентификацию должен делать Traffic Inspector. Это однозначно так, так как он считает трафик. Поэтому в ISA сервер аутентификацию можно вообще отключить. Т.е. в политиках разрешить всем все.

 

 Прокси-сервер можно использовать как от Traffic Inspector, так и от ISA. Можно настроить даже оба сразу.

 

 Прокси-сервер от Traffic Inspector намного более функциональный, более эффективно экономит трафик на кэше. У ISA сервер он более производительный. SOCKS-сервер также можно использовать тот или другой.

 

 Если Вы будете использовать прокси-сервер от ISA, то у Вас не будут работать фильтры приложений в Traffic Inspector, переключение клиентами режимов фильтрации и кэширования.

 

 Если используются HTTP, FTP, SOCKS или другие сервера от ISA сервера, то в Traffic Inspector надо:

 

1.Включить учет трафика для этих служб. Трафик на них пойдет на IP-адрес локального интерфейса, а он по умолчанию бесплатный. Для того, что-бы сделать его платным, добавьте фильтры для тарификации на порты этих служб. В фильтре укажите протокол (TCP) и в качестве адреса локальный интерфейс.
2.Включить управление этим трафиком. В программе имеется предустановленный разрешающий фильтр на локальный интерфейс для всех. Из-за него доступ на эти службы ISA сервера будет всегда разрешен. Поэтому его придется удалить. После этого доступ на этот сервер изнутри сети будет разрешен только для авторизованных клиентов. Если надо разрешить доступ на этот сервер всем для сети Windows, то придется прописать разрешения для всех протоколов сети.

 

 Если используется firewall от ISA сервер, то следует учесть что SOCKS или FTP прокси-сервер от Traffic Inspector не сможет управлять им. Поэтому не все будет работать.

 

 

 


Текущая страница справки: help.smart-soft.ru/index.html?taskisa.htm

Сайт разработчиков Traffic Inspector