Isa 2004 - co nowego - Arek Iskra

ISA 2004 – co nowego?
Internet Security and Acceleration (ISA) Server w koncu doczekal sie swojej nastepnej wersji.
W porównaniu do swego poprzednika, najnowsza edycja wnosi wiele istotnych zmian. Czy
warto bylo czekac? Spróbujemy na to pytanie odpowiedziec ponizej.
Instalacja i aktualizacja
Sam proces instalacji przebiega bardzo podobnie do tego w ISA Server 2000. Po wyborze komponentów, które
chcemy zainstalowac (Rysunek 1), kreator sam wykona reszte czynnosci wymaganych do podstawowego
skonfigurowania programu. Choc wersja 2004 moze zostac zainstalowana na Windows Server 2000, do
wykorzystania pelnego zakresu funkcji, jakie oferuje produkt wymagany jest Windows Server 2003.
Rysunek 1. Proces instalacji ISA Server 2004.
W przypadku aktualizacji z Internet Security and Acceleration Server 2000, mamy do dyspozycji kreatora
migracji (Migration Wizard), który pomoze w zachowaniu istniejacej konfiguracji i pózniejszym jej wykorzystaniu
w wersji 2004. Ze wzgledu na fakt, iz jedyna na razie dostepna wersja ISA Server 2004 to Standard, nie ma
mozliwosci aktualizacji z wersji ISA Server 2000 Enterprise. Zanim przystapimy do migracji, nalezy pamietac o
nastepujacych komponentach, które zostana pominiete:
• Bandwidth rules. ISA Server 2004 nie wspomaga regul przepustowosci. W zwiazku z tym istniejace
ustawienia zostana pominiete. Tak na marginesie, szkoda, ze funkcja ta nie znalazla zastosowania w
wersji 2004.
• Ustawienia dotyczace logowania wydarzen i generowania raportów.
• Kontrola dostepu, jak na przyklad System Access Control Lists (SACLs). Podczas instalacji zostana
skonfigurowane domyslne pozwolenia.
• Jesli poprzednio zainstalowana zostala funkcja H.323 Gatekeeper, bedzie ona odinstalowana.
Copyright © 2004, Arkadiusz Iskra
Page 1 of 10
Zachowane natomiast beda (z pewnymi modyfikac jami) ponizsze ustawienia:
• filtry aplikacji:
o FTP Access. Reguly protokolu (protocol rules) dla FTP zostana przetlumaczone na reguly
dostepu (access rules)
o Filtr SMTP. Wszelkie polecenia odnoszace sie do SMTP zostana skonfigurowane tak, jak to
mialo miejsce w ISA Server 2000.
o Filtr RPC.
o Filtry Socks v4 i H.323. Jesli zalezy nam, aby filtry te uwzglednialy równiez klientów VPN czy
klientów sieci lokalnej, nalezy odpowiednio zmodyfikowac konfiguracje.
o Filtry DNS i POP (intrusion detection).
Filtr przekierowania HTTP i niestandardowe filtry nie zostana przeniesione.
• Ustawienia dysku cache
• Reguly routingu.
Interfejs uzytkownika
Jedna z zasadniczych zmian, które z pewnoscia od razu rzuca nam sie w oczy jest nowy interfejs uzytkownika
(Rysunek 2).
Rysunek 2. Ekran glówny konsoli ISA Server 2004.
Jest on bardziej uporzadkowany i przejrzysty, a poszczególne funkcje zostaly pogrupowane w zaleznosci od ich
zastosowania. Filtry pakietów IP (IP packet filters), reguly protokolów (protocol rules) i reguly cache (cache rules)
zostaly sprowadzone do wspólnego mianownika jako reguly dostepu (access rules ). Pozwolilo to na znaczne
uproszczenie wygladu samego interfejsu, a dostep do pozadanej funkcji wydaje sie byc bardziej intuicyjny. Z
pewnoscia tez przyczyni sie do wyeliminowania wielu bledów ze strony uzytkownika podczas konfiguracji
serwera (takich jak na przyklad wybór niewlasciwej funkcji do niewlasciwego zadania czy duplikacja lub
wzajemne wykluczanie sie parametrów samej konfiguracji). Z nowych funkcji interfejsu warto wymienic panele
zadan (Task Panes) i pomocy (Help Panes). Znacznej modyfikacji ulegl tez kreator poczatkowej konfiguracji
(Getting Started Wizard) i edytor polityki zapory ogniowej (Firewall Policy Editor). Kreator delegowania
uprawnien administracyjnych (Administration Delegation Wizard) pozwala w latwy sposób oddelegowac
podstawowe funkcje administracyjne do okreslonych uzytkowników czy grup uzytkowników. Wiekszosc funkcji
Copyright © 2004, Arkadiusz Iskra
Page 2 of 10
administracyjnych i dotyczacych zaawansowanej konfiguracji zostala scentralizowana i jest dostepna z poziomu
jednego panelu (Rysunek 3).
Rysunek 3
Nowoscia jest mozliwosc eksportu i importu konfiguracji ISA Server przy wykorzystaniu pliku XML. Z pewnoscia
ucieszy to tych administratorów, którzy na co dzien zajmuja sie konfiguracja serwerów ISA dla pododdzialów
firmy czy swoich klientów.
ISA 2004 od srodka
Odswiezony, przejrzysty i logicznie uporzadkowany interfejs uzytkownika to jednak nie wszystko. Z pewnoscia
nie stanowi on glównego powodu, aby inwestowac w produkt aspirujacy do tytulu profesjonalnej zapory ogniowej
dzialajacej w warstwie aplikacji. Przyjrzyjmy sie zatem, co nowego kryje sie pod przyjaznym wizualnie
interfejsem.
Obsluga wielu sieci
Jedna z zasadniczych zmian w ISA Server 2004 w stosunku do poprzedniej wersji jest wsparcie dla wielu sieci –
logicznych i fizycznych (z ang. multi-networking). Ma to wspomóc administratora w wyeliminowaniu
ewentualnych zagrozen czyhajacych tak na zewnatrz, jak i wewnatrz samej firmy. Istnieje na przyklad mozliwosc
zgrupowania klientów sieci wewnatrz przedsiebiorstwa w tzw. zespoly sieciowe (network sets ), a nastepnie
przypisania im wspólnej, a jednoczesnie odrebnej od reszty sieci polisy dostepu (access policy). Bez problemu
mozna tez zdefiniowac relacje pomiedzy róznymi sieciami, na przyklad pomiedzy siecia wewnetrzna a
zewnetrzna (Internet), pomiedzy siecia wewnetrzna a siecia graniczna (perimeter network albo inaczej strefa
zdemilitaryzowana, demilitarized zone (DMZ) ) itd. Kazda z sieci jest w pelni odizolowana od reszty dopóki nie
zdefiniujemy odpowiedniej polisy dostepu. Do samej konfiguracji polisy – tu kolejna nowosc – mozemy
wykorzystac informacje zawarte w tabeli routingu albo translacji adresów sieciowych (network address
translation, NAT) do zbudowania relacji pomiedzy sieciami. Aby jeszcze bardziej uproscic to zadanie, do
Copyright © 2004, Arkadiusz Iskra
Page 3 of 10
dyspozycji mamy szablony sieci (network templates), które zawieraja najbardziej typowe rozwiazania dotyczace
topologii sieci (Rysunek 4). Kazdy z szablonów przedstawia uklad sieci w sposób graficzny, pozwalajac w prosty
sposób wybrac schemat, który najbardziej odpowiada naszej sytuacji.
Rysunek 4. Szablony sieciowe w ISA Server 2004.
Prywatne sieci wirtualne (Virtual Private Networks, VPN)
ISA Server 2004 w pelni integruje swoje uslugi VPN z tymi wbudowanymi w Windows Server 2000 i 2003. Polisa
zdefiniowana w ISA Server moze zostac wykorzystana do obslugi polaczenia skonfigurowanego na poziomie
samego systemu operacyjnego. Daje to pelniejsza kontrole nad dostepnymi zasobami czy protokolami
uzywanymi w prywatnych sieciach wirtualnych.
ISA 2004 korzysta tez z zalet kwarantanny prywatnych sieci wirtualnych (VPN quarantine) dostepnej w Windows
Server 2003.
Klienci VPN sa skonfigurowani jako osobna strefa sieciowa (network zone). W ten sposób mozna zdefiniowac
osobna polise dostepu, która ma zastosowanie tylko do tego grona klientów sieci. Dynamiczne filtrowanie
pakietów w polaczeniu z zapora ogniowa pozwala wyeliminowac nielegalne próby dostepu i utworzyc
bezpieczne polaczenie tylko dla tych klientów, którzy spelniaja wymagania polisy.
Samo polaczenie VPN jest równiez kontrolowane w sposób dynamiczny. Mozna w ten sposób kontrolowac
dostep do zasobów po obu stronach (istnieje mozliwosc nadania praw dostepu dla indywidualnych badz grup
uzytkowników).
Rozszerzono wsparcie VPN dla klientów SecureNAT. Mozliwe jest udzielenie dostepu do Internetu dla tych
klientów bez koniecznosci instalacji klienta firewall. Mozemy odpowiednio skonfigurowac polise zapory ogniowej,
a nastepnie przyporzadkowac ja grupie uzytkowników.
Kolejna nowoscia jest wsparcie tunelu IPSec dla polaczen typu site-to-site, zarówno dla sieci opartych o serwery
ISA, jak i firm trzecich. W zdecydowany sposób powieksza to grono zastosowan dla serwera ISA, szczególnie
tam, gdzie wykorzystuje sie rozwiazania sprzetowe firm takich jak Cisco czy Blue Coat.
Copyright © 2004, Arkadiusz Iskra
Page 4 of 10
Sama konfiguracja VPN takze zostala znacznie uproszczona. Do dyspozycji mamy serie kreatorów, które
wykonaja za nas wiekszosc „czarnej roboty” (Rysunek 5).
Rysunek 5. Konfiguracja VPN.
Filtrowanie w warstwie aplikacji
Takze i w tej kategorii nastapily znaczne zmiany. Dzieki bardziej inteligentnym mechanizmom filtrowania
opartych o doglebna analize zawartosci pakietów sieciowych mozna ISA Server moze w latwy sposób odrzucic,
przekierowac czy zmodyfikowac przesylane dane. Niektóre z nowych funkcji to:
• Filtrowanie protokolu HTTP w oparciu o reguly – mozliwe jest zdefiniowanie jednej lub wielu regul, w
oparciu o które zarówno dane przychodzace jak i wychodzace beda filtrowane.
• Blokada wszelkich plików wykonywalnych – korzystajac z polisy HTTP mozna zablokowac wszelkie
próby dostepu do zasobów systemowych, bez wzgledu na rozszerzenie pliku.
• Kontrola HTTP sciaganych plików w zaleznosci od ich rozszerzenia.
• Kontrola dozwolonych metod http – Blokujac na przyklad metode HTTP POST mozna powstrzymac
uzytkowników od udostepniania danych w formularzach na stronach WWW.
• Link Translator – niektóre z publikowanych stron WWW moga zawierac odnosniki do nazw komputerów
znajdujacych sie w sieciach wewnetrznych. Ze wzgledu na fakt, iz zasoby te znajduja sie w sieci
prywatnej, jakiekolwiek odsylacze do nich beda mylne (tzw. broken links). Przy pomocy funkcji link
translatio n mozna zdefiniowac wlasna baze zawierajaca tlumaczenie nazw komputerów w sieci
prywatnej na publiczne.
• Polisa FTP (FTP policy) – przy jej pomocy mozna zezwolic uzytkownikom na korzystanie z protokolu
FTP do przesylania danych tylko w jednym kierunku (odbi ór lub wysylanie).
Copyright © 2004, Arkadiusz Iskra
Page 5 of 10
Rysunek 6. Przykladowe filtry aplikacji.
Przyjrzyjmy sie blizej kilku sposród nowo dodanych filtrów.
Filtr HTTP
Filtr udostepniony w ISA 2004 Server oferuje szeroka game mozliwosci w zakresie inspekcji komunikacji
odbywajacej sie za posrednictwem protokolu HTTP. Mozna go wykorzystac zarówno do weryfikacji danych z
wewnetrznych, jak i zewnetrznych dla organizacji serwerów WWW. Administrator moze przy tym zablokowac
przekierowania odnoszace sie do specyficznych typów plików (po nazwie i po rozszerzeniu), stron WWW
zawierajacych okreslone slowa kluczowe lub ciagi znaków, a nawet zawartosci stron zmieniajacej sie w sposób
dynamiczny (jak na przyklad formularze rejestracyjne). Ta ostatnia opcja pozwoli w skuteczny sposób
wyeliminowac przesylanie przez uzytkowników informacji uwazanej przez firme za poufna.
Filtr HTTP stosuje metode tzw. sygnatury (z ang. signature) do okreslenia, jaki rodzaj transmisji powinien byc
zablokowany. Podpis ten moze zawierac:
• adres strony WWW,
• próbke informacji zawartej w wywolaniu klienta (np. adres strony czy okreslony ciag wyszukiwania),
• informacje zwrócona przez serwer WWW
Wychwycenie informacji pasujacej do któregokolwiek z powyzszych kryteriów spowoduje, ze dane zostana
zablokowan e zanim trafia one do uzytkownika.
Filtr ten pomaga równiez w rozpoznaniu i zablokowaniu wszelkich prób ataku na serwer WWW, które polegaja
na zainstalowaniu badz uruchomieniu przez intruza narzedzi i programów z poziomu samego serwera WWW.
Filtr HTTP moze zostac konfigurowany tak, aby zawczasu zapobiec mozliwosci zdalnego przeslania komendy
uruchamiajacej skrypt lub aplikacje.
Filtr uwierzytelniajacy OWA (Outlook Web Access)
Outlook Web Access to oparty o usluge WWW klient poczty, pozwalajacy na dostep do elektronicznej
korespondencji, kalendarza i innych narzedzi zawartych w programie Microsoft Outlook. Poniewaz OWA uzywa
metody weryfikacji uzytkownika opartej o formularze, istotne jest odpowiednie zabezpieczenie transmisji danych.
Copyright © 2004, Arkadiusz Iskra
Page 6 of 10
Filtr uwierzytelniajacy OWA przychodzi tutaj z pomoca. Przy jego wykorzystaniu, serwer ISA przyjmuje role
posrednika w zakresie weryfikacji i logowania klientów, które to zadania sa zwykle wykonywane przez sam
serwer swiadczacy usluge Outlook Web Access. Takie rozwiazanie pomaga w wyeliminowaniu
nieautoryzowanego dostepu do serwera OWA czy prób ataku.
Filtr PPTP
Point-to-point tunneling protocol (PPTP) jest powszechnie stosowany w technologii prywatnych sieci wirtualnych
(VPN) do zabezpieczenia transmisji zachodzacej pomiedzy dwoma komputerami. Poniewaz sam protokól jest
dosc skomplikowany, uzywajac wyszukanego mechanizmu szyfrowania danych jak i innych metod do
stworzenia bezpiecznych warunków wymiany danych, prawidlowe skonfigurowanie uslug opartych o PPTP
stanowic moze pewne wyzwanie. Filtr tego protokolu dostarczany wraz z serwerem ISA znacznie upraszcza
proces zarzadzania i konfiguracji uslugami opartymi o PPTP.
W przypadku ISA 2004 Server, mozemy zainstalowac serwer PPTP w sieci wewnetrznej i pozwolic, aby filtr
naszej zapory ogniowej zabezpieczyl zarówno transmisje wychodzaca, jak i przychodzaca. Serwer ISA jest
takze w stanie zabezpieczyc transmisje pochodzaca z zewnetrznych (w stosunku do naszej sieci) zródel,
przyjmujac – podobnie jak w przypadku filtru OWA – role posrednika.
Filtr RADIUS
W przypadku tego filtra, mozliwe jest dodatkowe zabezpieczenie procesu uwierzytelniania opartego o
technologie RADIUS. W sytuacji kiedy zainstalujemy serwer ISA jako wolnostojacy, nie nalezacy do naszej
domeny, ciagle pozwala nam to na odwolywanie sie do kont uzytkowników zarejestrowanych w domenie jako
punktu odniesienia do przyznania lub zablokowania dostepu. W znaczny sposób podnosi to poziom
bezpieczenstwa w sieciach granicznych/strefie zdemilitaryzowanej.
Warto wspomniec, iz filtr RADIUS wspólpracuje nie tylko z rozwiazaniami opartymi na sieciach Microsoft
Windows, ale bez problemu moze zostac zastosowany w srodowiskach opartych o UNIX czy inne systemy
operacyjne. Pozwala on na uwierzytelnianie klientów w oparciu o ich nazwe uzytkownika i haslo, bez wzgledu na
to, czy posiadaja oni konto w sieci opartej o Windows czy nie. Powoduje to, ze ISA Server 2004 znajduje
zastosowanie w sieciach niekoniecznie opartych tylko i wylacznie o rozwiazania pochodzace z Redmond.
Filtr Web Proxy
W polaczeniu z pamiecia podreczna (cache), zastosowanie tego filtra pozwala na znaczne zoptymalizowanie i
przyspieszenie dostepu do zasobów WWW. Kiedy klienci proxy, SecureNAT czy firewall próbuja polaczyc sie ze
strona internetowa, filtr Web Proxy przechwytuje komunikacje na porcie 80 TCP i porównuje wywolanie z
zawartoscia pamieci podrecznej na serwerze ISA. Kiedy znajduja sie w cache, program zwróc i informacje
zapisana na dysku bezposrednio do klienta, bez odwolywania sie do Internetu. Kiedy poszukiwane dane nie
znajduja sie w pamieci podrecznej, ISA skontaktuje sie z odpowiednia strona WWW, zapisze dane na dysku
twardym, a nastepnie przekaze informacje do klienta.
Poniewaz ISA Server 2004 przeszedl zakres powaznych zmian w zakresie samej architektury wewnetrznej
aplikacji, rozgraniczenie pomiedzy serwerem Web Proxy i zapora ogniowa stracilo na znaczeniu. Funkcje
odwolujace sie do Web Proxy stanowia teraz integralna czesc programu. Serwis proxy laczy sie bezposrednio z
zapora ogniowa. Pozwala to wyeliminowac koniecznosc konfiguracji komputerów jako klientów proxy w
sytuacjach, kiedy wymagane jest ich uwierzytelnienie. Firewall akceptuje teraz nazwe i haslo uzytkownika, a
nastepnie przekazuje je do filtra Web Proxy. Wszystko to odbywa sie w sposób przezroczysty dla klienta i
pozwala na pelne zintegrowanie uslug, które poprzednio wystepowaly oddzielnie, eliminujac w ten sposób
nadmiar czynnosci administracyjnych.
Zapora ogniowa (firewall)
Jak juz wspomniano wczesniej, ISA Server 2004 zapewnia znaczna przezroczystosc zapory ogniowej w
przypadku klientów SecureNAT. Bez koniecznosci dodatkowej konfiguracji czy instalacji oprogramowania
firewall na komputerach klientów sieci, SecureNAT dokonuje konwersji publicznych adresów IP dozwolonych w
sieci Internet na prywatne, widoczne tylko wewnatrz firmy. Ale to tylko jedno z wielu usprawnien w tej kategorii.
Sposród pozostalych wypada wymienic:
• Kreatorzy regul zapory ogniowej (firewall rule wizards ). Przy ich zastosowaniu w prosty i szybki sposób
mozna zdefiniowac nowa regule. Bez opuszczania kreatora mozna równiez skonfigurowac obiekty
sieciowe (network objects) czy pozostale relacje.
• Reguly firewall wystepuja w postaci numerowanej listy. Poniewaz reguly sa przetwarzane w kolejnosci
ich wystepowania, o wiele latwiej jest ustalic czy i dlaczego dane polaczenie jest dozwolone albo
zostanie odrzucone.
Copyright © 2004, Arkadiusz Iskra
Page 7 of 10
•
•
•
•
•
•
•
Wsparcie dla szerokiej gamy protokolów sieciowych. W przypadku kazdego protokolu mozna
zmodyfikowac numer portu zródla i przeznaczenia. Istnieje tez mozliwosc definicji wlasnych protokolów.
Grupy uzytkowników firewall. Wykorzystanie grup w znaczny sposób ulatwia zarzadzanie regulami
dostepu. Mozna skorzystac zarówno z grup lokalnych, jak i bezposrednio z Active Directory.
Wspomagane jest uwierzytelnianie Windows (NT/LAN Manager, Kerberos), RADIUS, SecureID. Przy
zastosowaniu dostepnego SDK (Software Development Kit) firmy moga stworzyc wlasne mechanizmy.
Bezpieczna publikacja serwerów (Secure Server Publishing). ISA Server 2004 wprowadza dodatkowa
warstwe zabezpieczen poprzez personifikacje publikowanego serwera.
Kreator publikacji Outlook Web Access (OWA publishing wizard). Kreator ten pomaga w
skonfigurowaniu odpowiedniej reguly bezpiecznego dostepu do firmowego serwera Exchange.
Pomost SSL-SSL (SSL-to-SSL Bridging). ISA dokonuje rozszyfrowania danych przesylanych przy
uzyciu SSL, sprawdza zawartosc pakietu, a nastepnie zaszyfrowuje dane z powrotem zanim zostana
one dostarczone do publikowanego serwera WWW.
Bezpieczna zdalna administracja Terminal Services przy wykorzystaniu SSL.
Pamiec podreczna cache i Web Proxy
Jesli chodzi o przechowywanie zawartosci witryn WWW w pamieci podrecznej, Microsoft utrzymuje, iz dokonano
tutaj znacznych usprawnien, zwlaszcza w zakresie bardziej efektywnego wykorzystania pamieci RAM. Jak jest
naprawde pokaze czas. Na razie warto nadmienic, ze ISA Server 2004 wykorzystuje w zasadzie dwie metody
przechwytywania:
1) Forward caching – zachodzi, kiedy uzytkownik sieci wewnetrznej dokonuje bezposredniego odwolania
do zawartosci witryny WWW znajdujacej sie w sieci Internet.
2) Reverse caching – odnosi sie do sytuacji, gdy uzytkownik z zewnatrz próbuje sciagnac zawartosc
witryny WWW publikowanej w sieci wewnetrznej.
W efektywnym wykorzystaniu wyzej wymienionych metod pomagaja nastepujace mechanizmy:
• Active caching – w zaleznosci od tego jak skonfigurujemy termin waznosci danych przechowywanych w
pamieci cache, serwer ISA na biezaco aktualizuje zawartosc pamieci podrecznej, niejako uprzedzajac
termin, w którym dane straca waznosc. Efektywnosc tej metody zalezy w duzej mierze od obciazenia
serwera.
• Scheduled Content Download Jobs – uzytkownik moze w pelni zdecydowac, które z najczesciej
odwiedzanych witryn WWW maja zostac zachowane w pamieci podrecznej oraz kiedy serwer ISA ma
sciagnac ich zawartosc.
• Reguly pamieci podrecznej (Cache rules) – reguly te pozwalaja w bardziej precyzyjny sposób okreslic
zasady, na jakich zawartosc stron WWW bedzie gromadzona w pamieci cache.
• Web Proxy Chaining (okreslane równiez mianem hierarchical caching) - w przypadku, gdy firma posiada
wiele serwerów proxy zainstalowanych w sieci, istotne jest, z którego serwera uzytkownik pobierze dane
(z reguly powinien on pobrac informacje z serwera zlokalizowanego w najblizszym sasiedztwie).
Mechanizm ten pomaga w optymalnym wykorzystaniu zasobów sieciowych i wyeliminowania zbednego
ruchu w sieci poprzez odpowiednie „ustawienie” serwerów proxy w hierarchie. Serwer najblizszy
uzytkownikowi otrzyma najwyzszy priorytet, serwer najbardziej oddalony – najnizszy.
• Web Proxy Routing – mechanizm ten przydatny jest w przypadku, gdy oddzialy firmy znajduja sie w
sporej odleglosci geograficznej od siebie. Pozwala on na takie skonfigurowanie routingu (a co za tym
idzie, sposobu w jaki serwery proxy beda przechowywaly zawartosc stron WWW w pamieci podrecznej),
aby klient sieci odnalazl potrzebne dane na serwerze sytuowanym najblizej. Zasada jest podobna jak w
przypadku web proxy chaining.
Z nowosci odnoszacych sie do funkcji proxy wprowadzonych w ISA Server 2004 warto wymienic:
• Wykorzystanie RADIUS do uwierzytelniania klientów korzystajacych ze zdalnych polaczen.
• Delegacja podstawowego uwierzytelniania (delegation of basic authentication). Zanim uzytkownik
polaczy sie z serwerem WWW, musi on zostac zweryfikowany przez firewall. Tylko jesli weryfikacja
przebiegnie pomyslnie, zostanie on polaczony z serwerem WWW.
• Mozliwosc wyboru, czy adres IP publikowanego serwera WWW ma byc udostepniony do informacji
klienta, czy tez serwer ISA ma dokonac odpowiedniej translacji.
• Wykorzystanie technologii SecureID do uwierzytelniania.
Copyright © 2004, Arkadiusz Iskra
Page 8 of 10
Monitorowanie i tworzenie raportów
Tak jak i w poprzedniej wersji, ISA 2004 Server oferuje spora game mozliwosci w zakresie monitorowania
wydajnosci systemu, analizy zdarzen (w postaci szczególowych logów) i generowania raportów. Nowoscia jest
tutaj funkcja monitoringu w czasie rzeczywistym. Podstawowe informacje dotyczace zapory ogniowej czy
serwera proxy dostepne sa z poziomu konsoli (Rysunek 7). Mozna obserwowac liczbe aktywnych sesji,
odpowiednio je posortowac, pogrupowac badz tez rozlaczyc uzytkownika. Jesli zajdzie potrzeba, mozemy
wykorzystac funkcje filtra tak, aby ograniczyc ilosc wyswietlanych sesji tylko do tych, które nas interesuja. W tym
samym czasie, kiedy informacja jest wyswietlana na ekranie, dokonywany jest zapis w odpowiednim dzienniku
zdarzen.
Rysunek 7. Podstawowe informacje diagnostyczne dotyczace serwera ISA 2004.
Te ostatnie mozna w latwy sposób przeszukiwac za pomoca wbudowanej funkcji kwerendy. W dowolny sposób
mozna ograniczyc zakres poszukiwan, a nastepnie wyeksportowac wyniki np. do schowka czy innej aplikacji
celem doglebnej analizy.
Poprawiono tez w znaczny sposób wydajnosc logowania SQL. Baza danych zawierajaca informacje o
zdarzeniach moze byc zachowana zarówno na tym samym serwerze co ISA (w przypadku gdy ISA i SQL sa
równoczesnie zainstalowane), jak i na dowolnym komputerze w sieci, gdzie dziala oprogramowanie SQL Server.
Nowoscia jest udostepnianie logów w postaci bazy danych MSDE.
Podsumowanie informacji zawartej w dziennikach zdarzen jest dokonywane domyslnie o 12:30. W bezposredni
sposób wplywa to na czas, kiedy generowane sa raporty. Mamy teraz mozliwosc zmiany parametru czasu,
stosownie do naszych wymagan.
W zakresie generowania raportów równiez zmienilo sie lub przybylo kilka nowych opcji. Istnieje na przyklad
mozliwosc powiadamiania administratora za posrednictwem uslugi email o fakcie wygenerowania nowych
raportów. Jezeli zajdzie potrzeba, mozemy skonfigurowac serwer ISA tak, aby kopia raportów zostala
zachowana lokalnie, albo tez udostepnic je publicznie w sieci lokalnej. Mozemy tez opublikowac informacje
korzystajac z serwera WWW. Wtedy inni administratorzy moga przegladac zawartosc raportów bezposrednio z
poziomu przegladarki internetowej. Istnieje opcja zarówno automatycznego publikowania informacji, jak i
manualnie.
Copyright © 2004, Arkadiusz Iskra
Page 9 of 10
Na koniec warto jeszcze wspomniec chociaz slowem o monitorze wydajnosci (Performance Monitor). Po
zainstalowaniu serwera ISA 2004, bezposrednio z menu Start mamy dostep do konsoli, gdzie domyslnie
skonfigurowano najwazniejsze wskazniki informujace nas o stanie systemu (Rysunek 8). Oczywiscie, nic nie stoi
na przeszkodzie, aby administrator samodzielnie zmodyfikowal konsole, odpowiednio dodajac badz usuwajac
wskazniki.
Rysunek 8. Standardowo skonfigurowany monitor wydajnosci.
Podsumowanie
Powyzej, w wielkim skrócie, przedstawiono informacje na temat nowosci, które niesie z soba ISA Server 2004.
W porównaniu z poprzednia wersja, wiele sie zmienilo. Konfiguracja, nawet w zakresie bardziej
zaawansowanych funkcji, zostala w znaczny sposób uproszczony. Z pewnoscia spora w tym zasluga
nowoczesnego interfejsu graficznego, który ulatwia poruszanie sie po konsoli konfiguracyjnej i ulatwia dostep do
poszczególnych komponentów aplikacji. Przybylo sporo nowych funkcji i opcji, pozwalajacych na szersze
zastosowanie serwera oraz na odpowiednie dostosowanie go do istniejacej topologii sieci. Choc Microsoft
udostepnil na razie tylko wersje Standard swojego produktu, juz teraz widac ze kilka lat które uplynely od
wydania wersji 2000 nie poszly na marne. A jak ISA Server 2004 sprawdza sie w praktyce? Czas pokaze.
Materialy zródlowe:
1) http://www.microsoft.com/isaserver
2) Pomoc techniczna programu Microsoft ISA Server 2004.
3) “Application-Layer Filtering In ISA Server 2004” White Paper.
4) “ISA Server 2004: Unique Protection for Microsoft Exchange Server, Internet Information Server, and
Windows -Based Virtual Private Networking” White Paper.
Copyright © 2004, Arkadiusz Iskra
Page 10 of 10