Isa 2004 - co nowego - Arek Iskra
Transkrypt
Isa 2004 - co nowego - Arek Iskra
ISA 2004 – co nowego? Internet Security and Acceleration (ISA) Server w koncu doczekal sie swojej nastepnej wersji. W porównaniu do swego poprzednika, najnowsza edycja wnosi wiele istotnych zmian. Czy warto bylo czekac? Spróbujemy na to pytanie odpowiedziec ponizej. Instalacja i aktualizacja Sam proces instalacji przebiega bardzo podobnie do tego w ISA Server 2000. Po wyborze komponentów, które chcemy zainstalowac (Rysunek 1), kreator sam wykona reszte czynnosci wymaganych do podstawowego skonfigurowania programu. Choc wersja 2004 moze zostac zainstalowana na Windows Server 2000, do wykorzystania pelnego zakresu funkcji, jakie oferuje produkt wymagany jest Windows Server 2003. Rysunek 1. Proces instalacji ISA Server 2004. W przypadku aktualizacji z Internet Security and Acceleration Server 2000, mamy do dyspozycji kreatora migracji (Migration Wizard), który pomoze w zachowaniu istniejacej konfiguracji i pózniejszym jej wykorzystaniu w wersji 2004. Ze wzgledu na fakt, iz jedyna na razie dostepna wersja ISA Server 2004 to Standard, nie ma mozliwosci aktualizacji z wersji ISA Server 2000 Enterprise. Zanim przystapimy do migracji, nalezy pamietac o nastepujacych komponentach, które zostana pominiete: • Bandwidth rules. ISA Server 2004 nie wspomaga regul przepustowosci. W zwiazku z tym istniejace ustawienia zostana pominiete. Tak na marginesie, szkoda, ze funkcja ta nie znalazla zastosowania w wersji 2004. • Ustawienia dotyczace logowania wydarzen i generowania raportów. • Kontrola dostepu, jak na przyklad System Access Control Lists (SACLs). Podczas instalacji zostana skonfigurowane domyslne pozwolenia. • Jesli poprzednio zainstalowana zostala funkcja H.323 Gatekeeper, bedzie ona odinstalowana. Copyright © 2004, Arkadiusz Iskra Page 1 of 10 Zachowane natomiast beda (z pewnymi modyfikac jami) ponizsze ustawienia: • filtry aplikacji: o FTP Access. Reguly protokolu (protocol rules) dla FTP zostana przetlumaczone na reguly dostepu (access rules) o Filtr SMTP. Wszelkie polecenia odnoszace sie do SMTP zostana skonfigurowane tak, jak to mialo miejsce w ISA Server 2000. o Filtr RPC. o Filtry Socks v4 i H.323. Jesli zalezy nam, aby filtry te uwzglednialy równiez klientów VPN czy klientów sieci lokalnej, nalezy odpowiednio zmodyfikowac konfiguracje. o Filtry DNS i POP (intrusion detection). Filtr przekierowania HTTP i niestandardowe filtry nie zostana przeniesione. • Ustawienia dysku cache • Reguly routingu. Interfejs uzytkownika Jedna z zasadniczych zmian, które z pewnoscia od razu rzuca nam sie w oczy jest nowy interfejs uzytkownika (Rysunek 2). Rysunek 2. Ekran glówny konsoli ISA Server 2004. Jest on bardziej uporzadkowany i przejrzysty, a poszczególne funkcje zostaly pogrupowane w zaleznosci od ich zastosowania. Filtry pakietów IP (IP packet filters), reguly protokolów (protocol rules) i reguly cache (cache rules) zostaly sprowadzone do wspólnego mianownika jako reguly dostepu (access rules ). Pozwolilo to na znaczne uproszczenie wygladu samego interfejsu, a dostep do pozadanej funkcji wydaje sie byc bardziej intuicyjny. Z pewnoscia tez przyczyni sie do wyeliminowania wielu bledów ze strony uzytkownika podczas konfiguracji serwera (takich jak na przyklad wybór niewlasciwej funkcji do niewlasciwego zadania czy duplikacja lub wzajemne wykluczanie sie parametrów samej konfiguracji). Z nowych funkcji interfejsu warto wymienic panele zadan (Task Panes) i pomocy (Help Panes). Znacznej modyfikacji ulegl tez kreator poczatkowej konfiguracji (Getting Started Wizard) i edytor polityki zapory ogniowej (Firewall Policy Editor). Kreator delegowania uprawnien administracyjnych (Administration Delegation Wizard) pozwala w latwy sposób oddelegowac podstawowe funkcje administracyjne do okreslonych uzytkowników czy grup uzytkowników. Wiekszosc funkcji Copyright © 2004, Arkadiusz Iskra Page 2 of 10 administracyjnych i dotyczacych zaawansowanej konfiguracji zostala scentralizowana i jest dostepna z poziomu jednego panelu (Rysunek 3). Rysunek 3 Nowoscia jest mozliwosc eksportu i importu konfiguracji ISA Server przy wykorzystaniu pliku XML. Z pewnoscia ucieszy to tych administratorów, którzy na co dzien zajmuja sie konfiguracja serwerów ISA dla pododdzialów firmy czy swoich klientów. ISA 2004 od srodka Odswiezony, przejrzysty i logicznie uporzadkowany interfejs uzytkownika to jednak nie wszystko. Z pewnoscia nie stanowi on glównego powodu, aby inwestowac w produkt aspirujacy do tytulu profesjonalnej zapory ogniowej dzialajacej w warstwie aplikacji. Przyjrzyjmy sie zatem, co nowego kryje sie pod przyjaznym wizualnie interfejsem. Obsluga wielu sieci Jedna z zasadniczych zmian w ISA Server 2004 w stosunku do poprzedniej wersji jest wsparcie dla wielu sieci – logicznych i fizycznych (z ang. multi-networking). Ma to wspomóc administratora w wyeliminowaniu ewentualnych zagrozen czyhajacych tak na zewnatrz, jak i wewnatrz samej firmy. Istnieje na przyklad mozliwosc zgrupowania klientów sieci wewnatrz przedsiebiorstwa w tzw. zespoly sieciowe (network sets ), a nastepnie przypisania im wspólnej, a jednoczesnie odrebnej od reszty sieci polisy dostepu (access policy). Bez problemu mozna tez zdefiniowac relacje pomiedzy róznymi sieciami, na przyklad pomiedzy siecia wewnetrzna a zewnetrzna (Internet), pomiedzy siecia wewnetrzna a siecia graniczna (perimeter network albo inaczej strefa zdemilitaryzowana, demilitarized zone (DMZ) ) itd. Kazda z sieci jest w pelni odizolowana od reszty dopóki nie zdefiniujemy odpowiedniej polisy dostepu. Do samej konfiguracji polisy – tu kolejna nowosc – mozemy wykorzystac informacje zawarte w tabeli routingu albo translacji adresów sieciowych (network address translation, NAT) do zbudowania relacji pomiedzy sieciami. Aby jeszcze bardziej uproscic to zadanie, do Copyright © 2004, Arkadiusz Iskra Page 3 of 10 dyspozycji mamy szablony sieci (network templates), które zawieraja najbardziej typowe rozwiazania dotyczace topologii sieci (Rysunek 4). Kazdy z szablonów przedstawia uklad sieci w sposób graficzny, pozwalajac w prosty sposób wybrac schemat, który najbardziej odpowiada naszej sytuacji. Rysunek 4. Szablony sieciowe w ISA Server 2004. Prywatne sieci wirtualne (Virtual Private Networks, VPN) ISA Server 2004 w pelni integruje swoje uslugi VPN z tymi wbudowanymi w Windows Server 2000 i 2003. Polisa zdefiniowana w ISA Server moze zostac wykorzystana do obslugi polaczenia skonfigurowanego na poziomie samego systemu operacyjnego. Daje to pelniejsza kontrole nad dostepnymi zasobami czy protokolami uzywanymi w prywatnych sieciach wirtualnych. ISA 2004 korzysta tez z zalet kwarantanny prywatnych sieci wirtualnych (VPN quarantine) dostepnej w Windows Server 2003. Klienci VPN sa skonfigurowani jako osobna strefa sieciowa (network zone). W ten sposób mozna zdefiniowac osobna polise dostepu, która ma zastosowanie tylko do tego grona klientów sieci. Dynamiczne filtrowanie pakietów w polaczeniu z zapora ogniowa pozwala wyeliminowac nielegalne próby dostepu i utworzyc bezpieczne polaczenie tylko dla tych klientów, którzy spelniaja wymagania polisy. Samo polaczenie VPN jest równiez kontrolowane w sposób dynamiczny. Mozna w ten sposób kontrolowac dostep do zasobów po obu stronach (istnieje mozliwosc nadania praw dostepu dla indywidualnych badz grup uzytkowników). Rozszerzono wsparcie VPN dla klientów SecureNAT. Mozliwe jest udzielenie dostepu do Internetu dla tych klientów bez koniecznosci instalacji klienta firewall. Mozemy odpowiednio skonfigurowac polise zapory ogniowej, a nastepnie przyporzadkowac ja grupie uzytkowników. Kolejna nowoscia jest wsparcie tunelu IPSec dla polaczen typu site-to-site, zarówno dla sieci opartych o serwery ISA, jak i firm trzecich. W zdecydowany sposób powieksza to grono zastosowan dla serwera ISA, szczególnie tam, gdzie wykorzystuje sie rozwiazania sprzetowe firm takich jak Cisco czy Blue Coat. Copyright © 2004, Arkadiusz Iskra Page 4 of 10 Sama konfiguracja VPN takze zostala znacznie uproszczona. Do dyspozycji mamy serie kreatorów, które wykonaja za nas wiekszosc „czarnej roboty” (Rysunek 5). Rysunek 5. Konfiguracja VPN. Filtrowanie w warstwie aplikacji Takze i w tej kategorii nastapily znaczne zmiany. Dzieki bardziej inteligentnym mechanizmom filtrowania opartych o doglebna analize zawartosci pakietów sieciowych mozna ISA Server moze w latwy sposób odrzucic, przekierowac czy zmodyfikowac przesylane dane. Niektóre z nowych funkcji to: • Filtrowanie protokolu HTTP w oparciu o reguly – mozliwe jest zdefiniowanie jednej lub wielu regul, w oparciu o które zarówno dane przychodzace jak i wychodzace beda filtrowane. • Blokada wszelkich plików wykonywalnych – korzystajac z polisy HTTP mozna zablokowac wszelkie próby dostepu do zasobów systemowych, bez wzgledu na rozszerzenie pliku. • Kontrola HTTP sciaganych plików w zaleznosci od ich rozszerzenia. • Kontrola dozwolonych metod http – Blokujac na przyklad metode HTTP POST mozna powstrzymac uzytkowników od udostepniania danych w formularzach na stronach WWW. • Link Translator – niektóre z publikowanych stron WWW moga zawierac odnosniki do nazw komputerów znajdujacych sie w sieciach wewnetrznych. Ze wzgledu na fakt, iz zasoby te znajduja sie w sieci prywatnej, jakiekolwiek odsylacze do nich beda mylne (tzw. broken links). Przy pomocy funkcji link translatio n mozna zdefiniowac wlasna baze zawierajaca tlumaczenie nazw komputerów w sieci prywatnej na publiczne. • Polisa FTP (FTP policy) – przy jej pomocy mozna zezwolic uzytkownikom na korzystanie z protokolu FTP do przesylania danych tylko w jednym kierunku (odbi ór lub wysylanie). Copyright © 2004, Arkadiusz Iskra Page 5 of 10 Rysunek 6. Przykladowe filtry aplikacji. Przyjrzyjmy sie blizej kilku sposród nowo dodanych filtrów. Filtr HTTP Filtr udostepniony w ISA 2004 Server oferuje szeroka game mozliwosci w zakresie inspekcji komunikacji odbywajacej sie za posrednictwem protokolu HTTP. Mozna go wykorzystac zarówno do weryfikacji danych z wewnetrznych, jak i zewnetrznych dla organizacji serwerów WWW. Administrator moze przy tym zablokowac przekierowania odnoszace sie do specyficznych typów plików (po nazwie i po rozszerzeniu), stron WWW zawierajacych okreslone slowa kluczowe lub ciagi znaków, a nawet zawartosci stron zmieniajacej sie w sposób dynamiczny (jak na przyklad formularze rejestracyjne). Ta ostatnia opcja pozwoli w skuteczny sposób wyeliminowac przesylanie przez uzytkowników informacji uwazanej przez firme za poufna. Filtr HTTP stosuje metode tzw. sygnatury (z ang. signature) do okreslenia, jaki rodzaj transmisji powinien byc zablokowany. Podpis ten moze zawierac: • adres strony WWW, • próbke informacji zawartej w wywolaniu klienta (np. adres strony czy okreslony ciag wyszukiwania), • informacje zwrócona przez serwer WWW Wychwycenie informacji pasujacej do któregokolwiek z powyzszych kryteriów spowoduje, ze dane zostana zablokowan e zanim trafia one do uzytkownika. Filtr ten pomaga równiez w rozpoznaniu i zablokowaniu wszelkich prób ataku na serwer WWW, które polegaja na zainstalowaniu badz uruchomieniu przez intruza narzedzi i programów z poziomu samego serwera WWW. Filtr HTTP moze zostac konfigurowany tak, aby zawczasu zapobiec mozliwosci zdalnego przeslania komendy uruchamiajacej skrypt lub aplikacje. Filtr uwierzytelniajacy OWA (Outlook Web Access) Outlook Web Access to oparty o usluge WWW klient poczty, pozwalajacy na dostep do elektronicznej korespondencji, kalendarza i innych narzedzi zawartych w programie Microsoft Outlook. Poniewaz OWA uzywa metody weryfikacji uzytkownika opartej o formularze, istotne jest odpowiednie zabezpieczenie transmisji danych. Copyright © 2004, Arkadiusz Iskra Page 6 of 10 Filtr uwierzytelniajacy OWA przychodzi tutaj z pomoca. Przy jego wykorzystaniu, serwer ISA przyjmuje role posrednika w zakresie weryfikacji i logowania klientów, które to zadania sa zwykle wykonywane przez sam serwer swiadczacy usluge Outlook Web Access. Takie rozwiazanie pomaga w wyeliminowaniu nieautoryzowanego dostepu do serwera OWA czy prób ataku. Filtr PPTP Point-to-point tunneling protocol (PPTP) jest powszechnie stosowany w technologii prywatnych sieci wirtualnych (VPN) do zabezpieczenia transmisji zachodzacej pomiedzy dwoma komputerami. Poniewaz sam protokól jest dosc skomplikowany, uzywajac wyszukanego mechanizmu szyfrowania danych jak i innych metod do stworzenia bezpiecznych warunków wymiany danych, prawidlowe skonfigurowanie uslug opartych o PPTP stanowic moze pewne wyzwanie. Filtr tego protokolu dostarczany wraz z serwerem ISA znacznie upraszcza proces zarzadzania i konfiguracji uslugami opartymi o PPTP. W przypadku ISA 2004 Server, mozemy zainstalowac serwer PPTP w sieci wewnetrznej i pozwolic, aby filtr naszej zapory ogniowej zabezpieczyl zarówno transmisje wychodzaca, jak i przychodzaca. Serwer ISA jest takze w stanie zabezpieczyc transmisje pochodzaca z zewnetrznych (w stosunku do naszej sieci) zródel, przyjmujac – podobnie jak w przypadku filtru OWA – role posrednika. Filtr RADIUS W przypadku tego filtra, mozliwe jest dodatkowe zabezpieczenie procesu uwierzytelniania opartego o technologie RADIUS. W sytuacji kiedy zainstalujemy serwer ISA jako wolnostojacy, nie nalezacy do naszej domeny, ciagle pozwala nam to na odwolywanie sie do kont uzytkowników zarejestrowanych w domenie jako punktu odniesienia do przyznania lub zablokowania dostepu. W znaczny sposób podnosi to poziom bezpieczenstwa w sieciach granicznych/strefie zdemilitaryzowanej. Warto wspomniec, iz filtr RADIUS wspólpracuje nie tylko z rozwiazaniami opartymi na sieciach Microsoft Windows, ale bez problemu moze zostac zastosowany w srodowiskach opartych o UNIX czy inne systemy operacyjne. Pozwala on na uwierzytelnianie klientów w oparciu o ich nazwe uzytkownika i haslo, bez wzgledu na to, czy posiadaja oni konto w sieci opartej o Windows czy nie. Powoduje to, ze ISA Server 2004 znajduje zastosowanie w sieciach niekoniecznie opartych tylko i wylacznie o rozwiazania pochodzace z Redmond. Filtr Web Proxy W polaczeniu z pamiecia podreczna (cache), zastosowanie tego filtra pozwala na znaczne zoptymalizowanie i przyspieszenie dostepu do zasobów WWW. Kiedy klienci proxy, SecureNAT czy firewall próbuja polaczyc sie ze strona internetowa, filtr Web Proxy przechwytuje komunikacje na porcie 80 TCP i porównuje wywolanie z zawartoscia pamieci podrecznej na serwerze ISA. Kiedy znajduja sie w cache, program zwróc i informacje zapisana na dysku bezposrednio do klienta, bez odwolywania sie do Internetu. Kiedy poszukiwane dane nie znajduja sie w pamieci podrecznej, ISA skontaktuje sie z odpowiednia strona WWW, zapisze dane na dysku twardym, a nastepnie przekaze informacje do klienta. Poniewaz ISA Server 2004 przeszedl zakres powaznych zmian w zakresie samej architektury wewnetrznej aplikacji, rozgraniczenie pomiedzy serwerem Web Proxy i zapora ogniowa stracilo na znaczeniu. Funkcje odwolujace sie do Web Proxy stanowia teraz integralna czesc programu. Serwis proxy laczy sie bezposrednio z zapora ogniowa. Pozwala to wyeliminowac koniecznosc konfiguracji komputerów jako klientów proxy w sytuacjach, kiedy wymagane jest ich uwierzytelnienie. Firewall akceptuje teraz nazwe i haslo uzytkownika, a nastepnie przekazuje je do filtra Web Proxy. Wszystko to odbywa sie w sposób przezroczysty dla klienta i pozwala na pelne zintegrowanie uslug, które poprzednio wystepowaly oddzielnie, eliminujac w ten sposób nadmiar czynnosci administracyjnych. Zapora ogniowa (firewall) Jak juz wspomniano wczesniej, ISA Server 2004 zapewnia znaczna przezroczystosc zapory ogniowej w przypadku klientów SecureNAT. Bez koniecznosci dodatkowej konfiguracji czy instalacji oprogramowania firewall na komputerach klientów sieci, SecureNAT dokonuje konwersji publicznych adresów IP dozwolonych w sieci Internet na prywatne, widoczne tylko wewnatrz firmy. Ale to tylko jedno z wielu usprawnien w tej kategorii. Sposród pozostalych wypada wymienic: • Kreatorzy regul zapory ogniowej (firewall rule wizards ). Przy ich zastosowaniu w prosty i szybki sposób mozna zdefiniowac nowa regule. Bez opuszczania kreatora mozna równiez skonfigurowac obiekty sieciowe (network objects) czy pozostale relacje. • Reguly firewall wystepuja w postaci numerowanej listy. Poniewaz reguly sa przetwarzane w kolejnosci ich wystepowania, o wiele latwiej jest ustalic czy i dlaczego dane polaczenie jest dozwolone albo zostanie odrzucone. Copyright © 2004, Arkadiusz Iskra Page 7 of 10 • • • • • • • Wsparcie dla szerokiej gamy protokolów sieciowych. W przypadku kazdego protokolu mozna zmodyfikowac numer portu zródla i przeznaczenia. Istnieje tez mozliwosc definicji wlasnych protokolów. Grupy uzytkowników firewall. Wykorzystanie grup w znaczny sposób ulatwia zarzadzanie regulami dostepu. Mozna skorzystac zarówno z grup lokalnych, jak i bezposrednio z Active Directory. Wspomagane jest uwierzytelnianie Windows (NT/LAN Manager, Kerberos), RADIUS, SecureID. Przy zastosowaniu dostepnego SDK (Software Development Kit) firmy moga stworzyc wlasne mechanizmy. Bezpieczna publikacja serwerów (Secure Server Publishing). ISA Server 2004 wprowadza dodatkowa warstwe zabezpieczen poprzez personifikacje publikowanego serwera. Kreator publikacji Outlook Web Access (OWA publishing wizard). Kreator ten pomaga w skonfigurowaniu odpowiedniej reguly bezpiecznego dostepu do firmowego serwera Exchange. Pomost SSL-SSL (SSL-to-SSL Bridging). ISA dokonuje rozszyfrowania danych przesylanych przy uzyciu SSL, sprawdza zawartosc pakietu, a nastepnie zaszyfrowuje dane z powrotem zanim zostana one dostarczone do publikowanego serwera WWW. Bezpieczna zdalna administracja Terminal Services przy wykorzystaniu SSL. Pamiec podreczna cache i Web Proxy Jesli chodzi o przechowywanie zawartosci witryn WWW w pamieci podrecznej, Microsoft utrzymuje, iz dokonano tutaj znacznych usprawnien, zwlaszcza w zakresie bardziej efektywnego wykorzystania pamieci RAM. Jak jest naprawde pokaze czas. Na razie warto nadmienic, ze ISA Server 2004 wykorzystuje w zasadzie dwie metody przechwytywania: 1) Forward caching – zachodzi, kiedy uzytkownik sieci wewnetrznej dokonuje bezposredniego odwolania do zawartosci witryny WWW znajdujacej sie w sieci Internet. 2) Reverse caching – odnosi sie do sytuacji, gdy uzytkownik z zewnatrz próbuje sciagnac zawartosc witryny WWW publikowanej w sieci wewnetrznej. W efektywnym wykorzystaniu wyzej wymienionych metod pomagaja nastepujace mechanizmy: • Active caching – w zaleznosci od tego jak skonfigurujemy termin waznosci danych przechowywanych w pamieci cache, serwer ISA na biezaco aktualizuje zawartosc pamieci podrecznej, niejako uprzedzajac termin, w którym dane straca waznosc. Efektywnosc tej metody zalezy w duzej mierze od obciazenia serwera. • Scheduled Content Download Jobs – uzytkownik moze w pelni zdecydowac, które z najczesciej odwiedzanych witryn WWW maja zostac zachowane w pamieci podrecznej oraz kiedy serwer ISA ma sciagnac ich zawartosc. • Reguly pamieci podrecznej (Cache rules) – reguly te pozwalaja w bardziej precyzyjny sposób okreslic zasady, na jakich zawartosc stron WWW bedzie gromadzona w pamieci cache. • Web Proxy Chaining (okreslane równiez mianem hierarchical caching) - w przypadku, gdy firma posiada wiele serwerów proxy zainstalowanych w sieci, istotne jest, z którego serwera uzytkownik pobierze dane (z reguly powinien on pobrac informacje z serwera zlokalizowanego w najblizszym sasiedztwie). Mechanizm ten pomaga w optymalnym wykorzystaniu zasobów sieciowych i wyeliminowania zbednego ruchu w sieci poprzez odpowiednie „ustawienie” serwerów proxy w hierarchie. Serwer najblizszy uzytkownikowi otrzyma najwyzszy priorytet, serwer najbardziej oddalony – najnizszy. • Web Proxy Routing – mechanizm ten przydatny jest w przypadku, gdy oddzialy firmy znajduja sie w sporej odleglosci geograficznej od siebie. Pozwala on na takie skonfigurowanie routingu (a co za tym idzie, sposobu w jaki serwery proxy beda przechowywaly zawartosc stron WWW w pamieci podrecznej), aby klient sieci odnalazl potrzebne dane na serwerze sytuowanym najblizej. Zasada jest podobna jak w przypadku web proxy chaining. Z nowosci odnoszacych sie do funkcji proxy wprowadzonych w ISA Server 2004 warto wymienic: • Wykorzystanie RADIUS do uwierzytelniania klientów korzystajacych ze zdalnych polaczen. • Delegacja podstawowego uwierzytelniania (delegation of basic authentication). Zanim uzytkownik polaczy sie z serwerem WWW, musi on zostac zweryfikowany przez firewall. Tylko jesli weryfikacja przebiegnie pomyslnie, zostanie on polaczony z serwerem WWW. • Mozliwosc wyboru, czy adres IP publikowanego serwera WWW ma byc udostepniony do informacji klienta, czy tez serwer ISA ma dokonac odpowiedniej translacji. • Wykorzystanie technologii SecureID do uwierzytelniania. Copyright © 2004, Arkadiusz Iskra Page 8 of 10 Monitorowanie i tworzenie raportów Tak jak i w poprzedniej wersji, ISA 2004 Server oferuje spora game mozliwosci w zakresie monitorowania wydajnosci systemu, analizy zdarzen (w postaci szczególowych logów) i generowania raportów. Nowoscia jest tutaj funkcja monitoringu w czasie rzeczywistym. Podstawowe informacje dotyczace zapory ogniowej czy serwera proxy dostepne sa z poziomu konsoli (Rysunek 7). Mozna obserwowac liczbe aktywnych sesji, odpowiednio je posortowac, pogrupowac badz tez rozlaczyc uzytkownika. Jesli zajdzie potrzeba, mozemy wykorzystac funkcje filtra tak, aby ograniczyc ilosc wyswietlanych sesji tylko do tych, które nas interesuja. W tym samym czasie, kiedy informacja jest wyswietlana na ekranie, dokonywany jest zapis w odpowiednim dzienniku zdarzen. Rysunek 7. Podstawowe informacje diagnostyczne dotyczace serwera ISA 2004. Te ostatnie mozna w latwy sposób przeszukiwac za pomoca wbudowanej funkcji kwerendy. W dowolny sposób mozna ograniczyc zakres poszukiwan, a nastepnie wyeksportowac wyniki np. do schowka czy innej aplikacji celem doglebnej analizy. Poprawiono tez w znaczny sposób wydajnosc logowania SQL. Baza danych zawierajaca informacje o zdarzeniach moze byc zachowana zarówno na tym samym serwerze co ISA (w przypadku gdy ISA i SQL sa równoczesnie zainstalowane), jak i na dowolnym komputerze w sieci, gdzie dziala oprogramowanie SQL Server. Nowoscia jest udostepnianie logów w postaci bazy danych MSDE. Podsumowanie informacji zawartej w dziennikach zdarzen jest dokonywane domyslnie o 12:30. W bezposredni sposób wplywa to na czas, kiedy generowane sa raporty. Mamy teraz mozliwosc zmiany parametru czasu, stosownie do naszych wymagan. W zakresie generowania raportów równiez zmienilo sie lub przybylo kilka nowych opcji. Istnieje na przyklad mozliwosc powiadamiania administratora za posrednictwem uslugi email o fakcie wygenerowania nowych raportów. Jezeli zajdzie potrzeba, mozemy skonfigurowac serwer ISA tak, aby kopia raportów zostala zachowana lokalnie, albo tez udostepnic je publicznie w sieci lokalnej. Mozemy tez opublikowac informacje korzystajac z serwera WWW. Wtedy inni administratorzy moga przegladac zawartosc raportów bezposrednio z poziomu przegladarki internetowej. Istnieje opcja zarówno automatycznego publikowania informacji, jak i manualnie. Copyright © 2004, Arkadiusz Iskra Page 9 of 10 Na koniec warto jeszcze wspomniec chociaz slowem o monitorze wydajnosci (Performance Monitor). Po zainstalowaniu serwera ISA 2004, bezposrednio z menu Start mamy dostep do konsoli, gdzie domyslnie skonfigurowano najwazniejsze wskazniki informujace nas o stanie systemu (Rysunek 8). Oczywiscie, nic nie stoi na przeszkodzie, aby administrator samodzielnie zmodyfikowal konsole, odpowiednio dodajac badz usuwajac wskazniki. Rysunek 8. Standardowo skonfigurowany monitor wydajnosci. Podsumowanie Powyzej, w wielkim skrócie, przedstawiono informacje na temat nowosci, które niesie z soba ISA Server 2004. W porównaniu z poprzednia wersja, wiele sie zmienilo. Konfiguracja, nawet w zakresie bardziej zaawansowanych funkcji, zostala w znaczny sposób uproszczony. Z pewnoscia spora w tym zasluga nowoczesnego interfejsu graficznego, który ulatwia poruszanie sie po konsoli konfiguracyjnej i ulatwia dostep do poszczególnych komponentów aplikacji. Przybylo sporo nowych funkcji i opcji, pozwalajacych na szersze zastosowanie serwera oraz na odpowiednie dostosowanie go do istniejacej topologii sieci. Choc Microsoft udostepnil na razie tylko wersje Standard swojego produktu, juz teraz widac ze kilka lat które uplynely od wydania wersji 2000 nie poszly na marne. A jak ISA Server 2004 sprawdza sie w praktyce? Czas pokaze. Materialy zródlowe: 1) http://www.microsoft.com/isaserver 2) Pomoc techniczna programu Microsoft ISA Server 2004. 3) “Application-Layer Filtering In ISA Server 2004” White Paper. 4) “ISA Server 2004: Unique Protection for Microsoft Exchange Server, Internet Information Server, and Windows -Based Virtual Private Networking” White Paper. Copyright © 2004, Arkadiusz Iskra Page 10 of 10