ISA SERVER'I TANIMAK

-ISA Server'ın özelliklerini açıklamak.

-Caching, Firewall özelliklerini açıklamak.

ISA (Internet Security and Acceleration) Server 2000, özellikle Internet'e erişim için kendi networklerini genişleten şirketler için geliştirilmiştir. ISA Server, caching (ön belleğe alma) özelliğiyle özellikle kullanıcıların Web erişimini hızlandırır. Bunun dışında ISA Server, şirketin network kaynaklarını, network dışından gelecek yetkilendirilmemiş kullanıcılara karşı korumak için firewall görevi üstlenir.

A. ISA SERVER SÜRÜMLERI

ISA Server, ölçeğe göre iki ayrı sürüm olarak pazara sürülmüştür:

-ISA Server Standard Edition

-ISA Server Enterprise Edition

Standart sürüm, küçük şirketler için firewall ve Web caching hizmetleri sağlar.

Enterprise sürüm ise, standart sürümün özelliklerinin yanı sıra, özellikle daha fazla Internet trafiğini yönetmek ve performans sağlamak için geliştirilmiş bir üründür.

B. ISA SERVER'IN SAĞLADIĞI ŞEYLER

ISA Server şirketlere şu yararları sağlar:

• Hız (acceleration)

• Güvenlik (security)

• Yönetim

• Genişleme

ISA Server, caching olanağıyla Internet üzerindeki network trafiğini azaltır. Değişik katmanlarda network trafiğini izleyerek güvenliği sağlar. Güvenliği sağlamak için gelen ve giden network trafiğine filtre konur.

ISA Server, güvenlik ve caching özelliklerinin yanı sıra merkezi bir yönetim ve şirket ilkelerinin geliştirilmesini sağlar.

C. KURULUM MODLARI

ISA Server değişik modlarda kurulur:

• Cache mod

• Firewall mod

• Integrated mod

Cache mode Web erişimi hızlandıran bir moddur. Firewall ise güvenlik sağlar. Integrated modda ise her iki mod bir araya getirilebilir. Genellikle her iki mod bu Integrated mod ile bir araya getirilerek kolay yönetim sağlanır.

II. CACHİNG (ÖN BELLEĞE ALMAK)

Caching erişilen Web nesnelerinin ön bellekte tutulmasıyla network performansının artırılmasını sağlar. Caching işlemi Intranet ve Internet için kullanılabilir.

ISA Server değişik caching işlemlerini destekler:

• Forward caching.

• Reverse caching.

• Distributed caching.

Forward caching işlemi iç istemcilerin Internet üzerindeki adreslere erişmesini hızlandırır. Sık istenen nesneler merkezi bir ön bellekte tutulur ve diğer istemcilerin buradan erişmesi sağlanır.

Reverse caching işlemi ise, dış istemcilerin iç Web server üzerindeki kaynaklara erişmesini sağlar. Distributed caching işlemi ise birden çok ISA Server arasında yük dengelemesini sağlar.

III. FİREWALL

Firewall, donanım, yazılım ya da her ikisinin bileşimi olarak düzenlenen güvenlik sistemleridir. Firewall'lar network üzerindeki paketleri filtreleyerek özel networkleri izinsiz kullanıcıların erişiminden korur. Değişik türde firewall tasarımları vardır. Buların içinde three-homed firewall ya da back-to-back firewall gibi düzenlemeler vardır.

Firewall'lar iki amaca hizmet ederler:

Networke giren ve networkten çıkan bütün trafiği kontrol eder ve izinsiz kullanıcıları engellerler. Bunun dışında şirket için güvenlik ilkesi uygularlar.

ISA Server network trafiğinin kontrolü için şu işlemleri yapar:

• IP Paketlerinin Filtrelenmesi

• Uygulama Filtreleleri

• Kötü Niyetli Kişilerin Bulunması

Paket filtreleme network paketlerinin özelliklerine göre yapılır. Uygulama filtereleri ise belli bir tür veriye göre yapılır.

KURULUM

-ISA Server'ı kurmak.

-ISA Server Client'ı kurmak.

I. PLANLAMAK

Bu konuda ISA Server'ın planlanması ve dağıtılmasıyla ilgili konular yer almaktadır. Aşağıdaki tabloda ISA Server kurulumunda ve dağıtımında göz önünde bulundurulacak konular yer almaktadır:

Konu Açıklama

Gereksinim duyulan bilgisayar sayısı Donanım yapılandırması ve Internet bağlantısı.

Hangi ISA Server özelliklerine gereksinim duyacağız? Belli network özelliklerini karşılamak için belli ISA Server özelliklerini seçmek.

Kullanıcı gereksinimleri nelerdir? Kullanıcıların gereksinim duydukları uygulamaları ve servisleri belirlemek.

Var olan network üzerinde yeniden yapılandırma gerekecek mi? ISA Server'ın var olan network ile olan ilişkisini belirleyin.

ISA Server'ı kullanmak için gerekenler:

-300 MHz (MHz) ya da daha yüksek bir Pentium II-compatible CPU.

-Microsoft Windows 2000 Server Service Pack 1 ya da daha yenisi, Windows 2000 Advanced Server Service Pack 1 ya da daha yenisi Windows 2000 Datacenter Server.

-256 MB RAM

-20 MB hard-disk space

-Windows 2000 network adapter

-Local hard-disk üzerinde bri NTFS disk bölümü (partition)

Uzaktan Yönetim Gereksinimleri:

Uzaktan yapılacak ISA Server yönetimi için yalnızca ISA Management'i kurmanız yeterlidir. Bu program Windows 2000 Professional ya da Windows 2000 Server üzerinde çalışabilir.

Ayrıca ISA Server'ı çalıştıran bilgisayar üzerinde Terminal Servislerini Remote Administration modunda kurabilirsiniz. Bu durumda diğer bir bilgisayara ISA Management araçlarını yüklemek zorunda kalmazsınız. Bunun yerine ISA Server'ı yönetmek için Terminal Services oturumunu kullanırsınız.

Forward Caching Gereksinimleri:

ISA Server bir forward caching server olarak kullanılabilir. Forward caching server, sık erişilen Internet nesnelerinin merkezi olarak saklanmasını (cache) sağlar. Bu durumda kaç tane Web tarayıcısının Internet'e erişeceğini belirleyin.

Aşağıdaki tabloda şirket içindeki kullanıcıların Internet'e erişimini en şekilde sağlamak için gereken donanım açıklanmaktadır:

Kullanıcı Sayısı ISA Server Bilgisayarı RAM Disk Alanı

-500 Tek bir Pentium II Bilgisayar 256 2-4 Gigabytes (GB)

500 – 1,000 Tek bir Pentium III ve 500 MHz

ya da daha hızlı bilgisayar. 256 10 GB

1,000 - İki tane Pentium III ve 500 MHz

ya da daha hızlı bilgisayar. 256 10 GB

B. ISA SERVER'IN ÖZELLİKLERİNİ SEÇMEK

ISA Server, firewall ve caching özellikleriyle kurulabilir. Yalnızca firewall ya da caching özellikleri kurulabilir. Kuruluş sırasında bu modlar seçilebilir:

-firewall,

-cache

-ya da integrated.

Firewall modunda network iletişimini kurallarla (rules) yapılandırarak korumak söz konusudur. Cache mod ise network performansını artırmayı amaçlar.

Integrated modda ise bütün cache ve firewall özellikleri kullanılabilir. Seçilen moda göre farklı özellikler seçilebilir. Aşağıdaki tablodaki özellikler firewall ve cache modları için geçerlidir. Integrted modda ise bütün özellikler kullanılabilir:

Özellik Firewall Cache

Access policy Yes Yes (HTTP ve HTTPS protokolları)

Application filters Yes No

Cache configuration No Yes

Firewall and SecureNAT client support Yes No

Packet filtering Yes No

Real-time monitoring Yes Yes

Reports Yes Yes

Server publishing Yes No

Virtual private networking Yes No

Web filters Yes Yes

Web publishing Yes Yes

Web Proxy client support Yes Yes

C. İSTEMCİ GEREKSİNİMLERİ

ISA Server aşağıdaki türde istemcileri destekler:

-Firewall clients. Firewall istemcileri ise kullanıcı bazında bağlantıya sahip olurlar. a Firewall client yapılandırmak için Firewall client programının istemci bilgisayar üzerine kurulması gerekir. ISA Server Firewall client programı yalnızca Microsoft Windows Millennium Edition, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0 ve Windows 2000 bilgisayarlara yüklenir.

II. KURULUM

ISA Server CD'sinin takılmasıyla başlatılan kurulum aşamalarında şunlar göz önünde bulundurulur:

A. KURULUM MODUNUN SEÇİLMESİ

ISA Server kurulumuna başlamak için ISA Server CD'si bilgisyara takılır. Ardından Continue ile kuruluma başlanır. Lisans anlaşmasının ardından kurulum şekilleri seçilir:

-Typical Installation

-Full Installation

-Custom Installation

Yaygın olarak kullanılan ISA Server bileşenlerini kurmak için Typical kurulum seçilir.

Ardından kurulum modu seçilir:

-firewall,

-cache

-ya da integrated.

Eğer ISA Server'ı cache modda ya da Integrated modda kuracaksanız, kurulum programı cache için yerin düzenlendiği bir iletişim kutusunu kullanır. Bu işlem için NTFS ve yeterince yer olan bir disk seçilir.

Varsayılan cache büyüklüğü 100 MB'dır. Minimum cache büyüklüğü ise 5 MB dir.

B. LAT YAPILANDIRMASI

LAT (Local Address Table), iç IP adreslerinin bir tablosudur. ISA Server'ı firewall modda ya da Integrated modda kurulmuşsa, kurulum sırasında LAT'ı yapılandırabilirsiniz. ISA Server, LAT'ı şirket içindeki iç IP adreslerini tanımlamak için kullanır. Böylece ISA Server, LAT'ı kullanarak iç (internal) network içindeki bilgisayarların dış network üzerindeki bilgisayarlarla iletişim kurmasını sağlar.

Kurulum sırasında LAT'ı yapılandırmak için:

1. Kurulum sırasında Table'ı tıklayın.

2. Özel IP adresi aralığını girmek için Add address ranges based on the Windows 2000 Routing Table onay kutusunu seçin. Ardından iç (internal) network için olan netwotk kartı için olan onay kutusunu da işaretleyin.

3. Internal IP ranges kutusunda, IP adres aralıklarının listesini gözden geçirin ve gerekli düzeltmeleri yapın.

C. ISA CLİENT

ISA Server, daha önce de bahsettiğimiz gibi üç tür istemciyi (clients) destekler:

-Web Proxy clients

-SecureNAT clients

-Firewall clients

Yalnızca Web isteklerinin performansını artırmak için Web Proxy istemcisi kullanılır.

İstemci yazılımına gerek duyulmadan ISA Server'a erişmek için SecureNAT istemcileri kullanılır. Ancak şirketlerde daha çok Firewall istemcileri kullanılır. Çünkü Firewall istemcileri Internet erişiminin yalnızca kimlik denetim yapılmış (authenticated) kullanıcılar tarafından yapılmasına izin verir.

Ayrıca Firewall istemciler, kullanıcı bazında ilke (policy) düzenlemesinin yapılmasını sağlar.

Firewall Client Yazılımının Kurulması

ISA Server kurulumunun ardından MSPInt adlı bir dizin yaratılarak istemcinin buradan setup.exe programıyla kurulması sağlanır.

\ServerMSPInt dizinine geçin.

Buradaki Server, ISA Server'ın kurulduğu bilgisayarın adıdır.

Ardından Setup.exe programıyla istemci yazılımı kurulur.

D. MİCROSOFT PROXY SERVER 2.0'DAN YÜKSELTMEK

ISA Server Microsoft Proxy Server 2.0'dan full geçişi destekler. Diğer bir deyişle Proxy Server 2.0 kuralları (rules), network düzenlemeleri ve caching yapılandırması aynen benimsenir.

INTERNET ERİŞİMİNİ GÜVENLİ HALE GETİRMEK

-Policy ve Rule düzenlemelerini açıklamak.

-Policy oluşturmak.

I. ACCESS POLICY VE RULE

ISA Server, iç networkünüzü Internet'e bağlar. Ancak şirket içinden Internet'e erişim için verilen izin düzenlenmesi gerekir. Bu düzenlemeler Access Policy ve ilgili kuralların (rule) oluşturulmasıyla sağlanır.

ISA Server üzerinde düzenlenen Access Policy ve ilgili kurallar (rule), kullanıcıların belli bir protokole erişmesi için izin verilmesini ya da engellenmesini (deny) sağlar.

İPUCU: ISA Server kurulumunun ardından istemcilerin Internet erişimini sağlamak için bir kural (rule) tanımlayarak http protokolünü kullanıma açmanız gerekir.

A. ACCESS POLİCY BİLEŞENLERİ

Bir access policy (erişim ilkesi) şu bileşenlerden oluşur:

Protokol Kuralları

ISA Server istemcilerinin iç ve dış network ile iletişim kurmak için kullanabileceği protokolleri tanımlar.

Site ve İçerik Kuralları

İzin verilen ya da engellenen Web proxy istemcilerinin erişebileceği site ve içerikleri tanımlar.

Policy Elemanları

Kuralların bir kısmı olarak kullanılacak ayarlamaları tanımlar. İlkeler (policy) belli bir zamanlamayı ya da belli bir içeriği tanımlar.

B. BİR ERİŞİM İLKESİ (ACCESS POLİCY) PLANLAMAK

Bir erişim ilkesini oluşturmadan önce şirketinizin gereksinimlerini karşılayacak olan strateji geliştirmenizde yarar vardır. Bir erişim ilkesi geliştirmek için şu kriterleri göz önünde bulundurabilirsiniz:

-Şirketin gereksinimleri.

-Gerek duyulan kurallar.

-Kuralları tanımlamak için gereken ilkeler (policy).

C. PROTOKOL KURALLARI OLUŞTURMAK

Protokol kuralları, istemcilerin Internet'e erişmek için kullandıkları protokollardır. Örneğin http gibi.

Bir protokol kuralı yaratmak için şu adımları izleyin:

1. ISA Management programını başlatın.

2. Konsol ağacında Access Policy'ı genişletin.

3. Protocol Rules'ı ve ardından Create a Protocol Rule'ı tıklayın.

4. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın.

5. Next'i tıklayın ve Protocols sayfasındaki seçeneklerden birisini tıklayın.

Seçenekler:

All IP traffic: Firewall istemciler için bütün IP trafiğine izin verilmesi ya da engellenmesi.

Selected protocols: Kuralın uygulanacağı bütün protkoller.

All IP traffic except selected: Kuralların uygulanmayacağı bütün protokoller.

6. Schedule sayfasında belli bir zaman planını seçin ve Next'i tıklayın.

7. Client Type sayfasında ise şu seçenekleri düzenleyebilirsiniz.

Seçenekler:

Specific computers (client address sets): Kuralların uygulanacağı istemci bilgisayarlar.

Specific users and groups: Kurallın uygulanacağı kullanıcı ve gruplar seçilir.

D. SİTE VE İÇERİK KURALLARI

Site ve içerik kuralları ise, kullanıcıların belli sitelere erişmesine izin verir.

Bir protokol kuralı yaratmak için şu adımları izleyin:

1. ISA Management programını başlatın.

2. Konsol ağacında Access Policy'ı genişletin.

3. Site and Content Rules'ı ve ardından Create a Site and Content Rule'ı tıklayın.

4. New Site and Content sihirbazında Site and Content rule name kutusunda kuralın adını yazın ve Next'i tıklayın.

5. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın.

6. Destination Sets sayfasındaki seçenekleri tıklayın.

Seçenekler:

All destinations: Bir zaman planını seçin, ardından istemci türünü seçin.

All internal destinations: Bir zaman planını seçin, ardından istemci türünü seçin.

All external destinations: Bir zaman planını seçin, ardından istemci türünü seçin.

Specified destination set: Bir zaman planını seçin, ardından istemci türünü seçin.

E. POLİCY ELEMANLARI OLUŞTURMAK

ISA Server kurallarını oluşturmak için policy (ilke) bileşenlerine gerek duyulur. İlke elemanları kullanıcılar, yer ve bant genişliğinin kullanımı konusunda daha fazla kontrol sağlar.

ISA Server policy elemanları şunları içerir:

• Schedules (zaman planları)

• Bandwidth priorities (bant genişliği öncelikleri)

• Destinations Sets (hedef bilgisayarlar)

• Client address sets (istemci adresleri)

• Protocol definitions (protokol tanımlamaları)

• Content groups (içerik gruplamaları).

• Dial-up entries (çevirmeli bağlantılar).

CACHING'İ YAPILANDIRMAK
-Caching (önbellekleme) fonksiyonunun özelliklerini açıklamak.

-Caching ilkelerini yapılandırmak.

I. CACHING FONKSİYONLARI

ISA Server, Web nesnelerine hızlı ve etkin erişim sağlamak için çeşitli caching fonksiyonlarına sahiptir. ISA Server'ın cache performansını artırmak için yaptıklarında bazılarını şu şekilde açıklamak mümkündür:

RAM ve Disk Caching

Disk üzerinden erişilen nesneler için RAM (ana bellek) üzerinde alan ayırmak ve ardından onları disk üzerine kaydetmek.

Cache Edilen Nesnelerin Dizinini Oluşturmak

Cache edilen nesnelerin bir dizinini RAM üzerinde tutar.

ISA Server, caching fonksiyonları bu işlemlerin yanı sıra, bu işlemleri dinamik olarak günceller ve kullanılmayanları da silerek caching işlemini sürekli olarak güncel ve etkin tutmayı sağlar.

A. YENİ NESNELERE ERİŞMEK

Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy servisine gönderir.

Web Proxy servisi isteği aldığında şu şekilde işler:

1. Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer almıyorsa, nesne için cache içinde bir kayıt ayrılır.

2. Wep Proxy servisi nesneyi Internet üzerinde elde eder ve bir kopyasını RAM cache üzerine koyar.

3. Web Proxy servisi nesneyi istemciye döndürür. Bu arada Web Proxy servisi nesneyi disk cache içinde de saklar.

B. VAROLAN NESNELERE ERİŞMEK

Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy servisine gönderir.

Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer alıyorsa, nesne bir Internet trafiği oluşturmadan doğrudan istemciye ulaşır. Böylece hız artar.

II. CACHING İLKELERİNİ YAPILANDIRMAK

Bölümün önceki konusunda ISA Server'ın caching fonksiyonlarından söz ettik. Ancak, bu fonksiyonları ayarlamak için belli ilkeler (policy) kullanılabilir. Bu konuda bu ilkelere bakacağız:

A. HTTP CACHİNG'İ YAPILANDIRMAK

HTTP Caching işlemini etkinleştirdiğinizde, ISA Server'ın HTTP nesnelerini (Internet erişimi) cache içinde tutmasını sağlarsınız. ISA Server belirtilen bir süre kadar erişilen içeriği cache içinde tutar ve bir sonraki erişimin istemcilere hız sağlar.

Ancak, nesneler ne kadar süre cache içinde duracak?

Bir nesnenin cache içinde kaldığı süre TTL (Time to Live) olarak adlandırılır.

HTTP caching işlemini etkinleştirmek için:

1. ISA Management içinde, konsol ağacını açın.

2. Cache Configuration'ı tıklayın. Ardından ayrıntılar bölmesinde Configure Cache Policy'i tıklayın.

3. Cache Configuration Properties iletişim kutusunda HTTP sekmesinde Enable HTTP Caching onay kutusunu işaretleyin.

ISA Server, HTTP nesnelerinin cache içinde saklanması için önceden tanımlı düzenlemeler sağlar:

Frequently: Nesnelere Internet üzerinde sıklıkla erişim sağlar. Bant genişliği sınırı olmadığında tercih edilebilir.

Normally: Frequently ve Less Frequently seçeneklerinin arasında bir ayarlama. (Varsayılan ayar).

Less frequently: Nesnelere Internet üzerinde daha az sıklıkta erişilir. Bant genişliği sınırlı olduğunda tercih edilebilir.

B. FTP CACHİNG

Aynı şekilde, FTP trafiği içinde caching ayarlamaları yapılabilir.

III. CACHE BOYUTUNU AYARLAMAK

ISA Server, caching için .cdat dosyasını kullanır. ISA Server, nesneleri caching alanına attıkça bu dosyaya yerleştirilir. .cdat dosyası dolduğunda, ISA Server, eski nesneleri silerek yeni nesnelere yer açar.

Cache boyutunu ayarlamak:

1. ISA Management içinde, konsol ağacını açın.

2. Cache Configuration'ı tıklayın. Ardından Drives'i tıklayın.

3. Ayrıntılar bölmesinde, ISA Server üzerinde sağ tıklayın ve Properties'ı seçin.

4. Maximum cache size (MB) kutusunda sürücünün boyutunu yazın ve Set seçeneğini tıklayın.

Aynı şekilde bellekte oluşturulacak caching boyutu da ayarlanabilir:

1. ISA Management içinde, konsol ağacını açın.

2. Cache Configuration'ı tıklayın. Ardından Properties'i tıklayın.

3. Cache Configuration Properties iletişim kutusunda Advanced sekmesinde Percentage of free memory to use for caching kutusunda 1 ile 100 arasında bir değer yazarak ISA Server'ın kullanacağı bellek alanı yüzdesini belirtin.

-Perimeter Networkler.

-Packet Filtreleme ve IP Routing.

I. SERVER GÜVENLİĞİ

ISA Serve 2000 ©'ın en önemli olması bir güvenlik sistemi olan firewall özelliğine sahip olmasıdır. ISA Server, güvenlik ilkelerini uygulamak için çeşitli güvenlik özelliklerine sahiptir.

A. SECURİTY CONFIGURATION WIZARD

ISA Server Security Wizard ile Windows 2000 üzerinde çeşitli güvenlik düzenlemeleri yapılabilir. Bu güvenlik düzenlemeleri belli şablonların uygulanması olarak düşünebilirsiniz.

ISA Server için güvenlik şablonlarının düzeyleri ve şablon adları şunlardır:

Güvenlik Düzeyi Server Bilgisayar İçin Domain Controller

Dedicated Hisecws.inf Hisecdc.inf

Limited Services Securews.inf Securedc.inf

Secure Basicsv.inf Basicdc.inf

ISA Server Security Wizard'ı başlatmak için:

1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin.

2. Computer'a tıklayın.

3. Ayrıntılar bölmesinde sunucu üzerinde sağ tıklayın, ardından Secure'ı tıklayın.

II. PAKET FILTRELEME VE IP ROUTING

Windows 2000 ve network konularında (diğer kurslarımızda da) söz ettiğimiz gibi, network güvenliğini sağlamak için IP paketlerinin kontrol edilmesi gerekir. Bunun içinde yapılacak işlemler paket filtreleme (packet filtering) ve IP yönlendirme (IP routing) işlemleridir.

Paket filtreleme, bilgisayar için IP paketlerine izin vermek ya da bloklamak anlamına gelir. Routing (yönlendirme) ise, network trafiğinin iç (internal) ve dış (external ya da Internet) networklar arasında yönlendirilmesidir.

A. PAKET FİLTRELEMEYİ ETKİNLEŞTİRMEK

Paket filtrelemeyi etkinleştirdiğinizde, ISA Server, ISA Server bilgisayarı üzerinde geçen IP paketini izler.

Paket filtrelemeyi etkinleştirmek için:

1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin.

2. Access Policy'yı genişletin ve IP Packet Filters'ı sağ tıklayın ve ardından Properties'ı seçin.

3. General sekmesinde, Enable packet filtering onay kutusunun işaretli olmasına dikkat edin.

B. IP PAKET FİLTRELERİ OLUŞTURMAK

Bir IP paket filtresi oluşturmadan önce, paket ile ilişkili olan port ve protokolün belirlenmesi gerekir. Ayrıca kaynak ve hedef bilgisayarlar için IP adreslerinin de bilinmesi gerekir.

Bir IP paket filtresi oluşturmak için:

1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin.

2. Access Policy'yı genişletin ve IP Packet Filters'ı tıklayın ve ardından Create a Packet Filter'ı seçin.

3. New IP Packet Fitler Wizard'da filtreyi tanımlayan bir ad girin ve Next'i tıklayın.

4. Fitler Mode sayfasında, Allow packet transmission ya da Block packet transmission seçeneklerinden birisini seçin ve Next'i tıklayın.

NOT: Allow izin vermek, Block engellemek anlamında.

5. Fitler Type sayfasında oluşturulacak filtre için Custom ya da Predefined olarak türünü belirleyin. Ardından Next'i tıklayın.

A. KAPASİTE PLANLAMASI

Performans bakımından iyi sonuçlar almak için ISA Server donanımını ve Internet bağlantısını tahmin edilen yüke göre planlamak gerekir.

Fiter Settings sayfasında Custom (özel) filtre seçtiyseniz, aşağıdaki bilgilere göre seçeneklerinizi belirleyin:

IP Protokol: Özel protokolü belirlersiniz: TCP, UDP gibi.

Number: IP protokolü sayısı.

Direction: İletişimin yönü: Inbound (gelen), Outbound (giden) ve Both (her ikisi) gibi.

Local port: Kuralın uygulanacağı portlar.

NOT: Kuralı bütün portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz.

Remote ports: Kuralın uygulanacağı uzak portlar.

NOT: Kuralı bütün uzak portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz.

C. UYGULAMA FİLTRELERİ

Uygulama filtreleri (application filters), Firewall servisine ek bir güvenlik katmanı yaratmak için kullanılır. IP paket filtrelerinde farklı olarak, uygulama filtreleri istemci uygulama ile sunucu uygulama arasındaki bütün işlemleri izler ve özel bazı işlemlerin yapılması sağlar. Örneğin kimlik denetimi (authentication) ve virüs kontrolü gibi.

ISA Server'ın kurulmasıyla birlikte, SMTP dışındaki bütün uygulama filtreleri (application fitler) etkinleştirilir. Aşağıdaki listede bu uygulama filtreleri yer almaktadır.

Uygulama filtrelerinin bazıları:

DNS Intrusion Detection Filter: İzinsiz DNS kullanıcılarını bulur.

POP Intrusion Detection Fitler: İzinsiz POP kullanıcılarını bulur.

FTP Access Filter: FTP protokol desteği.

H.323 Filter: H.323 protokolünü kullanan network trafiğini kontrol eder.

ŞİRKET İÇİ KAYNAKLARA ERİŞİM

Amaçlar:

• Web yayıncılığını yapılandırmak.

• Server yayıncılığını yapılandırmak.

I. GİRİŞ

ISA Server’ı iç (internal) sunucularınızı Web içeriği ve e-mail servislerini dış (external) istemcilere yayınlamak için kullanabilirsiniz. Sunucuları (server) yayınlama (publishing) kurallarını (rule) ile dış istekleri içteki sunuculara yönlendirecek şekilde yapılandırarak bu işlemler yapılır. Sunucuları yapılandırarak ve Internet istemcilerinin isteklerini bir ISA Server bilgisayarına yönlendirerek şirketin iç (internal) sunucular üzerinde daha gelişmiş bir güvenlik sağlanır.

II. YAYINLAMA (PUBLISHING) İŞLEMİ

Sunucucuları (server) yayınlamak kaynaklara güvenli bir şekilde erişmeyi sağlar. Bir sunucuyu yayınlamak için bir yayınlama kuralı ilkesi oluşturulur. Yayınlama ilkeleri ISA Server’ın gelen istekleri işleyeceğini tanımlar. Bu yayınlama ilkeleri Web Server’lar ve diğer sunucular için oluşturulabilir.

Şirket içindeki bir sunucuyu yayınlamak, ona Internet üzerinden de erişimi olanaklı hale getirir. Web Publishing ile bir Web server, Server Publishing ile de diğer sunucular yayınlanır.

Bir Web Server’ı yayınladığınızda kullanıcılar ISA Server’ın dış network adaptörüne bağlanırlar. Ardından ISA Server, iç network adaptörünü kullanarak isteği iç networke ulaştırır.

A. WEB SERVER’LARI YAYINLAMAK

Bir Web Server’ı yayınlamak (publishing a Web server), ISA Server aracılığıyla dış kullanıcıların şirket içindeki Web Server’a erişmesine izin verir. Bu düzenleme içinde; Web Server’dan istenen dış istekler aslında ISA Sever’dan yapılmış olacaklardır. Bunun dışında şirket içindeki Web Server’ın IP adresinin de dış kullanıcılara gösterilmemesi sağlanmış olur. Dış kullanıcılar ISA Server’ın IP adresini bilirler.

Bir Web Server’ı yayınlamak için önce bir Web Publishing rule oluşturmak gerekir. Bir Web publishing kuralı oluşturarak ISA Server bilgisayarını yapılandırılır. Böylece dışarıdan gelen istekler şirket içindeki Web Server’a yönlendirilir.

Bu işlem diğer erişim ilkelerinde (Access policies) olduğu gibi destination sets’ler aracılığıyla yapılır. Ancak yayınlanma ilkeleri için düzenlenen destination sets tanımlamaları, dış kullanıcıların bağlanacağı şirket içindeki bilgisayarları belirtir.

Yeni bir Web Publishing Rule Yaratmak:

2. New Web Publishing Rule Wizard içinde; oluşturulacak kurala bir ad verin. Ardından Next ile ilerleyin.

3. Destination Sets sayfasında, bir destination set ve ilgili bilgileri belirtin. Ardından Next ile ilerleyin.

4. Client Type sayfasında istediğiniz istemci türünü belirtin ve yine Next ile ilerleyin.

5. Rule Action sayfasında, Redirect the request to this internal Web server seçeneğini tıklayarak yayınlanan Web Server’ın adını belirtin. Ardından yine Next ile ilerleyerek sihirbazı sonlandırın.

2. İSTEKLERİ DİĞER PORTLARA YÖNLENDİRMEK

Web yayınlama kuralları, istenen nesneleri istemcilere hangi sunucunun vereceğini belirtir. ISA Server, varsayım olarak HTTP isteklerini sunucudaki varsayım portlara yönlendirir. Şirket içindeki sunucu HTTP istekleri için farklı bir (standart olmayan) bir port kullanıyorsa, gelen Web isteklerini şirket içindeki bir yayınlanan sunucuya yönlendirmek gerekir.

Web isteklerini yayınlanmış bir sunucuya (published server) yönlendirmek:

1. ISA Management içinde, konsol ağacında, Web Publishing Rules’ı tıklayın.

2. Ayrıntılar bölümünde (sağ tarafta), oluşturduğunuz Web publishing kuralını tıklayın. Ardından Configure a Web Publishing Rule’ı tıklayın.

3. Web publishing kuralının Properties iletişim kutusundaki Action sayfasında Redirect the request to this Web Server’ı tıklayın.

Ardından HTTP isteklerinde kullanılacak port numarasını düzenleyin.

B. SERVER PUBLISHING İŞLEMİ

Bir sunucuyu (server) yayınladığınızda, aynı Web server’ın yayınlanmasında olduğu gibi, sunucu yayınlama kuralları (server publishing rules) istemcilerin dışarından gelen isteklerini şirket içindeki sunuculara yönlendirirler. ISA Server sunucu yayınlama kurallarıyla dışarıdan gelen istekler, ISA Server’ın arkasında kurulu olan SMTP sunucularını, SQL sunucularını ve FTP sunucuları gibi iç sunuculara ulaştırılırlar.

Yeni bir Web Publishing Rule Yaratmak:

1. ISA Management içinde, konsol ağacında, sunucuyu genişletin. Ardından Publishing’i genişletin ve Server Publishing Rules’ı tıklayın. Ardından ayrıntılar bölmesinde (sağ taraf), Publish a Server’ı tıklayın.

2. New Server Publishing Rule Wizard içinde; oluşturulacak kurala bir ad verin. Ardından Next ile ilerleyin.

3. Address Mapping sayfasında, iç ve dış sunucuların IP adreslerini belirtin. Next ile devam edin.

4. Protocol Settings sayfasında kuralın kullanacağı protokolü seçin.

5. Client Type sayfasında istediğiniz istemci türünü belirtin ve yine Next ile ilerleyin.

İZLEME VE RAPORLAMA

Amaçlar:

• Intrusion Detection.

• ISA Server aktivitelerini izlemek.

I. İZLEME ve RAPORLAMA

İzleme (monitoring) ve raporlama (reporting) araçları ISA Server’ın güvenliği izlemek ve oluşan olayları göstermek için kullandığı önemli araçlardır. ISA Server’da izleme ve raporlama işlemleri öncelikle bu işlemlerin planlanmasıyla başlar:

A. RAPORLAMA STRATEJİSİ OLUŞTURMAK

ISA Server’da bir raporlama ve izleme stratejisi oluşturmada için şu konuları göz önünde bulundurun:

1. Öncelikle izleme ve raporlama stratejinizi belgeleyin.

2. Aktivitelerden toplayacağınız bilgileri kategorize edin. Örneğin real-time alerts (uyarılar), performans ve güvenlik (security) olayları.

3. Oluşan logları yedeklemek için bir plan yapın.
 

ISA Server, “intrusion detection” olarak adlandırılan kötü niyetli kişilerin sisteme karşı ataklarını izleme ve tepkileri yapılandırma olanağına sahiptir. Bu işlem IP paketleri düzeyinde ve uygulama düzeyinde yapılabilir.

1. IP PAKET DÜZEYİ ATAKLARI

IP paket düzeyinde yapılan bu düzenlemede ISA Server birçok olayı anlar ve karşı işlemin yapılmasını sağlar. Bunlardan bazıları şunlardır:

All ports scan attack: Kötü niyetli kişilerin sistemde tanımlı portların dışında, diğer portlara erişmeyi denediklerinde oluşur. ISA Server ile erişilebilecek port sayısını belirtilir.

IP half scan attack: Kötü niyetli kişilerin hedef bilgisayara sürekli (tekrarlayarak) bağlanmak istemesi durumunda ve TCP paketlerinin belli bayrakları (flag) içermesi durumunda oluşur.

2. UYGULAMA DÜZEYİ ATAKLAR

Uygulama düzeyinde ise ISA Server yine çok fazla olayı bulur. Bunlardan bazıları şunlardır:

DNS length overflow: IP adresinin 4 bayttan büyük olması durumunda oluşur.

3. INTRUSION DETECTION İŞLEMİNİ YAPILANDIRMAK

1. ISA Management içinde, konsol ağacında, sunucuyu genişletin. Ardından Access Policy’i genişletin ve IP Packet Filters’ı sağ tıklayın ve Properties’i seçin.

2. IP Packet Filtering Properties iletişim kutusunda, General sayfasında Enable packet filtering ve Enable Intrusion detection seçeneklerini seçin.

3. Intrusion Detection sayfasında ise diğer IP paketi düzeyini seçeneklerini seçin.

Port scan seçeneğini seçtiyseniz, portları belirleyin.

C. ISA SERVER OLAYLARI (EVENTS)

ISA Server’ın çalışması sırasında çeşitli olayları (events) ve koşulları saptayıp onları bir uyarı (alert) olarak sistem yöneticisine ulaştırabilirsiniz.

Aşağıdaki tabloda detect (saptanabilecek) edilebilecek bazı ISA Server olayları yer almaktadır:

Olay Açıklama

DNS intrusion Host name taşması vb DNS atakları.

Intrusion detected Bir dış kullanıcının kötü niyetli bir atakta bulunması

IP packet dropped Bir ilkeye karşı gelen bir IP paketinin düşürülmesi

IP protocol violation Yanlış IP seçeneklerine sahip bir paketin bulunması ve düşürülmesi.

D. ALERT’LERİN YAPILANDIRMAK

ISA Server’ın alert servisi olayları izler ve belli olayların oluşması durumunda belirlenen bir tepkiyi oluşturur. Bir alert, bir e-mail göndermek, bir programı çalıştıracak şekilde oluşturulabilir. Örneğin bir intrusion detection saptandığında sistem yöneticisine bir email göndermek gibi.

Bir Alert oluşturmak için:

1. ISA Management içinde, konsol ağacında, sunucuyu genişletin. Ardından Monitoring Configuration’ı genişletin. Alert’i sağ tıklayın ve New seçeneğini işaret edin, ardından Alert’i tıklayın.

2. New Alert Wizard içinde, Alert’in adını yazın ve ardından Next’i tıklayın.

3. Events and Conditions sayfasında alert tarafından tetiklenecek olayı seçin. Next ile ilerleyin.

4. Actions sayfasında; Send e-mail message, Run a program gibi seçeneklerden birisini seçin ve düzenlemeyi bitirin.

II. ISA SERVER AKTİVİTELERİNİ İZLEMEK

ISA Server aktiviteleri logging işlemini yapılandırarak izlenir. ISA Server logları gelen ve giden istekleri kaydeder. Logging işlemini yapılandırdığınızda, ISA Server erişim ve güvenlik aktiviteleri için loglar oluşturur. Ardından bu loglar analiz edilerek kullanım, performans ve güvenlik aktivitelerinin izlenmesi sağlanır.

A. LOGGING İŞLEMİNİ YAPILANDIRMAK

Logging işlemi yapılandırıldığında ISA Server şu logları oluşturur:

Packet filter logs: ISA Server bilgisayarı üzerinden geçen paketleri kaydeder.

Firewall service logs: Firewall servisini kullanarak yapılan iletişim girişimlerini kaydeder.

Web Proxy service logs: Web Proxy servisini kullanarak yapılan iletişim girişimlerini kaydeder.

Bu arada ISA Server log dosyalarını değişik formatlara düzenleyebilir. Bunlar W3C formatı, ISA formatı ve ODBC formatıdır.

Logları yapılandırmak için:

1. ISA Management içinde, konsol ağacında, Logs’ı tıklayın.

2. Ayrıntılar bölmesinde (sağ tarafta), Packet filters, Firewall service, Web Proxy service’den birisini sağ tıklayın ve Properties’i seçin.

3. Log sayfasında logları nasıl kaydedeceğinizi belirleyin.

4. Ardından Enable logging for this service onay kutusunu işaretleyerek log dosyası formatlarını düzenleyin.
III. ISA SERVER AKTİVİTELERİNİ REPORTS KULLANARAK ANALİZ ETMEK

ISA Server, loglarda tutulan aktivite kayıtlarını belli formatlarda hazırlanmış raporlar (reports) aracılığıyla sistem yöneticisine sunmayı amaçlar.

A. REPORT İŞLERİ (JOB) OLUŞTURMAK

Bir raporu görmeden önce, bir rapor işi (report job) oluşturmak gerekir. ISA Server, rapor işini çalıştırdıktan sonra, rapor görülebilir.

Bir rapor işi oluşturmak:

1. ISA Management içinde, konsol ağacında, sunucuyu genişletin. Ardından Monitoring Configuration’ı genişletin ve Report Jobs’ı sağ tıklayın ve New’ı işaret edin ve ardından Report Job’u seçin.

2. General sayfasında rapor için bir ad yazın ve Enable seçeneğinin seçili olduğundan emin olun.

3. Period sayfasında rapor işinin süresini seçin. Ardında Schedule sayfasında ise rapor işinin ne zaman oluşacağını belirleyin.

4. Ardından Recurrence pattern altında yinelenme aralığını belirleyin.

5. Credentials sayfasında ise raporu oluşturacak kullanıcı bilgilerini düzenleyin.

B. ÖNCEDEN TANIMLANMIŞ RAPOR FORMATLARI

ISA Server ile değişik tür ve içerikte raporlar oluşturabilirsiniz. Bu raporlar bir Web tarayıcısı tarafından bir Web sayfası olarak görüntülenebilir.

ISA Server tarafından oluşturulabilen rapor türleri:

I spent the first couple days of this week at Microsoft’s campus working with a small group of folks doing a refresh of the certification exams for ISA Server 2004 and 2006 (70-350 and 351).  ISA stands for Internet Security and Acceleration – basically it’s Microsoft’s network firewall product that runs on top of a Windows server.  It’s a great too for publishing apps in a secure manner to the Internet, speed up web browsing for your users (by keeping a copy of commonly-accessed web content on the ISA server), and providing remote access to a network (VPN)

I’m under NDA so I can’t tell you a lot of details on what we did and discussed, but I can tell you that it was a really cool experience.  If you’ve ever taken a test and thought “these questions are stupid” I had a chance to avenge your experience (as long as your complaints were with either the 70-350 and 70-351 exams).  :-)

It was a blast to hang out with some wicked smart people and get into technical debates about best practices and firewall techniques.  Kudos to the whole group for, in my opinion, making some great progress on these exams!

The one part that bummed me out … well pissed me off really … was having 5 people who’ve been using the ISA product since it was called Proxy Server 8+ years ago all look at a test question, debate it, all arrive at an answer, find out we’re all wrong, and then learn that the people who have taken the exam in the last few months have gotten that question right about 90% of the time.  What the f…

Folks – don’t cheat.  Brain dumps are illegal (people go in to take an exam and steal the content and then post it online), and you’re not doing yourselves any favors.  The more people who pass exams by cheating the more diluted the pool of certified engineers becomes, and then you get to a point where having a certification doesn’t matter.  Effectively you’re screwing yourself over by making your certification useless, plus you’re lying to your employer (and yourself) in saying that you’re competent in a product or technology when you really aren’t.

STOP IT.

Or, maybe you should just keep on doing it.  I know a PhD Psychometrician who’s an expert in Wii Boxing that’s gonna get ya!

:-)

Catastrophic failure

this was giving me headache for two weeks
until today that i wanted serously to fix the issue.
after 15 minute googling, i found out that i need to do the following:
1) press continue on Console and the go to file>Option > Delete Files
Dont worry is not gonna delete your ISA (lool).
i will some how fix the issue.

As I have mentioned earlier, you can wait for ages for something to happen and then just like a London Bus, two come at once.  Perhaps many of you will be more familiar with the notion that 'things come in threes' just what the things are and whether they are positive or negative things depends upon your personal outlook and your philosophical take on life.

If I could have planned the last two weeks I would have certainly not planned it like they have turned out!  Right in the middle of report writing season our Primary Domain Controller decided to blow a gasket!  Well it blew a hard drive and I was faced with a dilema.  Repair the disk (it was a striped array on a 6 year old HP server) and nurse the ailing machine through the rest of the year then retire it as planned this Christmas.  The alternative was to bite the bullet and migrate all the data on this ailing machine and promote a younger, faster and greater capacity machine to the role of top dog on the domain.  It was a classic "take a chance or pay a $10 fine" situation from Monopoly.  I opted to migrate the data.

It has proved to have been the right move to make, but the 'bump' on the network has been a stressful event for all the staff and especially me.  I have had to placate a seemingly countless phalanx of  stressed teachers panicking that their work had gone west with the dead drive.  Added into the mix was the secondary decision to finally take the opportunity to break the heavily scripted, over policied  environment that was a legacy from the previous tech support arrangement. I now had a pressure cooker environment where printers kept appearing or dissapearing, profiles would or would not work, software would want to be re-installed after each re-boot.  Not a good environment to work in.  Then the Internet failed!

On top of having to cope with all of these changes and everyone demanding stability, the Internet stopped.  It did not really stop, it just went dead slow, dead, dead slow.  At one point I disconnected the entire network from the Internet router and plugged my laptop in, it was just me and the router connected to the Net and even then it took 11 seconds for Google to load!

I spent four days, one of them last Sunday, constantly phoning my ISP trying to get them to see that the fault was with them and not, as they asserted,  with us and our network.  Fortunately my ISA server and their own data stats painted a picture that proved that the fault lay beyond school.  On Sunday alone, they alleged that we had downloaded 8gb of data on a 512kb connecton with all the machines in school turned off! By Tuesday an engineer had finally been dispatched, Eddie.  Eddie could see straight away that there was a fault and stuck at it.  Eventually it was decided that their router might be at fault and was duly changed.  And what do you know, the Internet is back again, not lightening fast, but we can surf.  But it has never been fast.  This week also saw us install two more ADSL connections to school so that we can split our Internet traffic via three lines.  This will reduce our user to speed ratio from 183:512kb to 60:512kb thus making the net to individual users seem faster as they get a better slice of available bandwidth.

By the time I had left school today, I began to feel that for the first time this year we had broken the back of the strangle hold that our previous network had upon us and that we have now broken the shackles of that restrictive regime.  Now for the first time the staff on the Supertanker will be able to really forge ahead with their ideas unfettered by the scripted restraints that previously held them back.  Profiles are gradually coming right, printers are printing, reports have been printed in time for today's deadline and the dust is settling.

Now I can turn my attention to Prague.  Before I do though I need to acknowledge the calm headed and unflappable  tenacity of Steve our IT guru.  The diligence of Mark our onsite tech and of Eddie who was prepared to wade through the sea of nonsense emanating from our ISP (his employer) to fix our problem.  Thanks to you guys the blood pressure has stabilised, just in time to tweak it again in preparation for Prague next week!

 Con nuevas herramientas de monitoreo y diagnóstico, viene el SP1 de ISA Server 2006.

 Además incluirá:

• Soporte para NLB multicast y multicast con operaciones IGMP.
• Soporte para certificados con entradas múltiples Subject Alternative Name (SAN), en las publicaciones de servidores web.
• Soporte de trusted-domain accounts para autenticación de Kerberos Constrained Delegation (KCD).

 Los detalles en este enlace: http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx

 Dejen sus comentarios.

Saludos,

Ojo, previamento el certificado ya debe de estar instalado y configurado en el servidor de exchange, aqui solo se describen los pasos para la configuración en la publicación en el Isa server 2004.

Debemos iniciar sesión con cuenta de administrador local del servidor Isa server, vamos a:

Inicio à Ejecutar

Archivo à Agregar o Quitar Complemento

En la ficha agregar o quitar complemento à Agregar

En la ventana agregar un complemento independiente à certificados à Agregar

En la Ventana à Complemento de Certificados à Cuenta de Equipo à Siguiente àEquipo Local –Finalizar

En la Ventana de consola, dar doble clic en raíz de consola, Expandir certificados à Personal à Certificados àClic derecho Importar, (Importar el certificado).

Previamente hay que guardar el certificado del servidor Exchange donde ya está instalado.

En la escucha web del Isa Server de nuestra publicación del servidor actualizamos el certificado.

Es necesario hacer estos pasos, ya que caso contrario el certificado no aparecera disponible, ya que de no hacer esto solo queda configurado en el servidor de exchange y solo funcionará para los clientes que ingresen desde la red interna, es decir que no pasan a través del firewall.

Fuente:Microsoft

Después de probar que en nuestro servidor todo esta funcionando por ejemplo ingresamos de la siguiente manera: http://localhost:8090/Sistemareportes/index.aspx. Lo que resta es realizar la configuración en el ISA Server que realmente con las reglas de publicación es muy sencillo realizarlo para cada regla de publicación de servidor debemos de tener una escucha Web, es decir si mi dominio es www.midominio.com es necesario crear una escucha Web para cada puerto así tendríamos las escuchas de Web dependiendo del numero de directorios virtuales, esto debido a que cada uno utiliza un puerto diferente.

Ya creando las escuchas solo es necesario al momento de realizar la publicación utilizar el puerto igual al utilizado en el directorio virtual esto porque al ingresar www.midominio.com:8090 enviara como resultado lo publicado en el directorio virtual del puerto 8090.

Ing. Rito Macias
rito.macias@gmail.com

http://www.microsoft.com/latam/windowsserversystem/isaserver/whitepapers/Servidores.mspx

Aqui dejo la solución que aplique en el Servidor:

- Consola de administración de ISA
- Editar la regla de publicación de servidor Web
- En la pestaña de “Tráfico” (Traffic) hacer clic en “Filtrado” (Filtering) y seleccionar “Configurar HTTP” (Configure HTTP)
- Desactiva la opción “Bloquear caracteres ASCII de 8 bits” (Block high bit characters)

Después actualiza el sitio y debera de funcionar.

No hay problema con las imágenes pues normalmente están en formato comprimido como jpf o gif, sin considerar el cuidado que debe tener el diseñador para usar imágenes de poco peso. Sin embargo gran parte de la información que se envía son los documentos html que al fin y al cabo son texto, sin contar documentos u otros archivos sin comprimir. Si dicha información estuviera comprimida la velocidad de descarga de las páginas sería mucho mayor, sobre toda en aquellas donde se muestra mucho contenido html como en formularios o tablas. Aquí es donde entra la técnica de HTTP Comprimido, el servidor envía toda la información al cliente comprimida y el cliente la descomprime, por supuesto ésta forma de trabajo debe ser soportado por servidor y cliente, en éste último caso es donde hasta hace un par de años habían muchos problemas porque los navegadores no lo soportaban adecuadamente o decían que lo soportaban cuando en realidad no lo hacía, pero en la actualidad la gente dispone de navegadores con todo el soporte adecuado y ya no es una excusa para no usarlo.La compresión se da del servidor al cliente, no del cliente al servidor. El cliente al momento de enviar una peticion envia en su cabecera la línea:Accept-Encoding: gzip, deflateEsto le permite saber al servidor que el cliente soporta http comprimido, al momento que el servidor entrega los datos añade en la cabecera :Content-Encoding: gzip

Con HTTP Comprimido ganamos lo siguiente:

1. La páginas demoran en descargar en promedio un 50% de tiempo menos, en ocasiones hasta 70% dependiendo de la cantidad de texto.
2. Se optimiza el ancho de banda de la organización lo cual resulta en un ahorro de dinero considerable si el mayor tráfico proviene de sus servidores web.
3. Los servidores entregan más rápido la información y por lo tanto se liberan más rápido de las conexiones de los clientes y estan listos para atender a nuevos usuarios.
4. Usuarios contentos

Por supuesto implica tener un servidor adecuado pues el CPU tiene ahora la carga de comprimir la data que se envia, del lado del cliente la carga es mínima, en realidad mayor es la carga al conectarse a paginas cifradas (que usan https con ssl o tls).

Fortunately, there is an easy fix for that: ISA Server SSO

ISA SSO offers Single Sign-on between site in the same DNS domain, provided:

• the published sites share the same Web Listener
• the same port number and protocol is used
• the users must be validated in the same user repository using the same authentication method

This means that SSO between http://sales.contoso.com and http://marketing.contoso.com is possible but SSO between http://sales.contoso.com and http://sales.contoso.org is not.

ISA SSO is enabled on the SSO tab in the Web Listener.

More information:

• Authentication in ISA Server 2006
• Secure Application Publishing

Let the SharePoint publishing begin!

1. On the right pane, select the Tasks tab and click Publish SharePoint sites
2. Name the publishing rule and click Next
3. Select Publish a single Web site or load balancer and click Next 
4. Use SSL to connect to the published Web server or server farm and click Next 
5. Enter the Internal site name. The internal name is in this case the host header in the Extranet Web application that was extended to the Extranet zone: dmz.extranet.sharepointnotes.local
6. If the ISA server cannot resolve the internal site name (e.g. if it is not created as a A record in DNS), specify the computer name or IP address. Click Next
7. Accept requests for This domain name (type below), enter the Public name and click Next. The public name is the web site name, the clients will use to access the site. In this case extranet.sharepointnotes.local
8. Select the Web listener to use. If you haven't one already, here's how to create one:
   • Click New 
   • Name the listener and click Next
   • Select Require SSL secured connection with clients and click Next
   • Select the External network interface and click Select IP Addresses
   • Select Specified IP Addresses on the ISA Server computer in the selected network and select the IP Address that is used to server internal users coming from the Internet. Click Add and OK
   • Back on the Web Listener IP Addresses page click Next
   • Select Assign a certificate for each IP address and click Select Certificate 
   • Choose the certificate issued to extranet.sharepointnotes.local and click Select and then Next 
   • Use HTML Forms Authentication and let ISA validate using LDAP (Active Directory). Click Next
   • Do not enable SSO and click Next
   • Click Finish and OK to accept the warning
9. Make sure the newly created listener is selected and click Next 
10. Use Basic authentication and click Next 
11. Select SharePoint AAM is already configured and click Next
12. Remove All Authenticated users and click Add to add the User Set you created earlier. Click Next
13. Click Finish and Apply the changes
14. Right-click the new rule and select Properties
15. Select the To tab. Since we are forwarding requests from one URL to another, make sure the Forward the original host header option is not selected.
16. Select the Bridging tab
17. Since we are redirecting from SSL to HTTP, make sure the Redirect requests to HTTP port 80 is selected and that Redirect requests to SSL port is not selected
18. Click OK and Apply the changes

The rule is now created and out Extranet site is published and available for external users. Let's test it:

1. To test external access, browse to https://extranet.sharepointnotes.local
2. Login using a administrative user in the format user@dmzad.local
3. Once the credentials are validated by ISA Server, the request is forwarded to MOSS and the user is presented with a new Sign In page. Log in again using the same credentials.
4. A good method to test access and especially Alternate Access Mappings is to create a new site:
   • From Site Actions select Create
   • In the Web Pages section select Sites and Workspaces
   • Enter a Title, URL name and select a site template. 
   • Leave other settings with their default values and click Create
5. Verify the new site was created and displayed correctly. If that isn't the case it normally indicates that the Alternate Access Mappings is configured incorrectly. 

Done! I hope you enjoyed the series. If so, drop me a note :-) Please also drop me a note, if you know how to avoid to enter crendetials twice (once on ISA and again on MOSS)!

 Les aumenta el scope, por la que aumentan sus oportundidades e impacto.

 Acá les dejo el artículo publicado por Mr. Thomas Shinder http://blogs.isaserver.org/shinder/2008/04/17/forefront-mvps-missing-in-action-isa-server-mvps-contact-me/

 Saludos,

 La siguiente versión se llamará: Forefront Threat Management Gateway, o TMG y cuyo nombre código es: Stirling.

 Ahora sí viene la pregunta, como se come esto, pués lo sabremos cuando lo liberen definitivamente. Por el momento, podrían seguir su desarrollo con las noticias publicadas en el Blog del Team de ISA: https://blogs.technet.com/isablog/archive/2008/04/09/introducing-a-new-era-for-isa-server.aspx

 Acá el artículo publicado por Mr. Thomas Shinder http://blogs.isaserver.org/shinder/2008/04/11/introducing-the-future-of-the-isa-firewall-the-forefront-threat-management-gateway-forefront-tmg/

 Saludos,

It is assumed that the following groups are created and populated with appropriate users:

• External Extranet Users exists in the DMZ Active Directory
• Internal Extranet Users exists in the corporate domain

Creating a User Set for External users

1. In the ISA Server Management Console navigate to Array -> <instance> -> Firewall Policy
2. On the right pane select Toolbox and then Users. Select New to create a new user set
3. Name the set and click Next
4. Select Add -> LDAP
5. Select the LDAP server set from the drop-down box. If a server set is not available, create one as described part 6
6. In Specified group or user enter the External Extranet Users group created for External Access and click OK
7. Enter credentials to the LDAP Server and click OK
8. Verify the group is added to the list and click Next
9. Click Finish and Apply

Creating a User Set for Internal users

1. In the ISA Server Management Console navigate to Array -> <instance> -> Firewall Policy
2. On the right pane select Toolbox and then Users. Select New to create a new user set
3. Name the set and click Next
4. Select Add -> Windows users and groups
5. Click Locations...
6. Expand Entire Directory and select the corporate domain. Click OK
7. In the Enter the object names to select text box, enter Internal Extranet Users and click Check Names. Verify the group name is underlines and click OK
8. Verify the group is added to the list and click Next. Note the group name is listed as a GUID and not the actual user name. Click Next
9. Click Finish and Apply

Create Connectivity Verifier
To test and verify the LDAP connection to the Active Directory in the DMZ, a Connectivity verifier can be created:

1. In the ISA Server Management Console navigate to Array -> <Instance> -> Monitoring
2. Select the Connectivity Verifiers tab
3. On the right pane click Create New Connectivity Verifier
4. Name the Verifier and click Next
5. Enter the IP address or server name of the LDAP Server
6. In Group type used to categorize the connectivity verifier select Active Directory
7. Verify the Establish a TCP connection to port is set to LDAP and click Next
8. Click Finish and Apply

The connectivity is now being verified and the Result should evaluate to Good in a few seconds. The status is also being propagated to the Dashboard view

Add LDAP Server

1. In the ISA Server Management Console navigate to Array -> <Instance> -> Configuration -> General
2. Click Specify RADIUS and LDAP Servers
3. Select the LDAP Servers Tab
4. Click Add
5. Name the LDAP Set and click Add
6. Enter Server name, Server description and Time-out and click OK. The Server name must either be an IP address or a name that is resolvable in DNS
7. Enter the fully-qualified domain name (e.g. dmzad.local) and clear the option to Use Global Catalog
8. Enter the User name and Password of the user account that is used to lookup users in the DMZ Active Directory Domain
9. Click OK
10. Back on the Authentication Servers page, click New
11. Enter the Login expression and LDAP server set. The Login expression is the string that the users enters when they authenticate, is it usually in the form of a Active Directory login or an email address, for example:
         DMZAD\*
         *@dmzad.local
    Since we configured the MOSS LDAP connection the way we did, use *@dmzad.local
12. It is possible to create several login expressions for the same LDAP server set if you want to allow for more flexibility
13. Click OK
14. Click Close
15. Finally, Apply the changes

Αποφάσισα να παίξω με τον ISA Server των Windows 2000 Server που διαθέτει το σχολικό εργαστήριο. Αν και ο ΚΕΠΛΗΝΕΤ λέει να μην το πειράζουμε, αξίζει. Πρόσθεσα λοιπόν κανόνες να κόβονται sites (πχ youtube, google video, metacafe κλπ) μπας και σώσω την κατάσταση. Έχουμε και λέμε:

Ανοίγουμε τον ISA Server -> Servers and Arrays -> Access Policy -> Site and Content Rules
Allow Rule -> (δεξί κλικ) Properties -> Destinations -> New -> Add domain
Εδώ βάζουμε το όνομα του domain που θέλουμε να κόψουμε, παίζουν και wild cards, πχ *.youtube.com

Δεν τελειώσαμε όμως, πρέπει να κάνουμε έναν νέο γενικό κανόνα.
Στον ελεύθερο χώρο στο δεξί panel κάνουμε δεξί κλικ -> New -> Rule -> Δίνουμε ένα όνομα
-> Next -> Deny -> Deny access based on destination -> Apply this rule
Επιλέγουμε Specified destination set και από τη λίστα το όνομα του κανόνα που βάλαμε πριν
-> Name -> Next -> Finish

Ένα άλλο μεγάλο πρόβλημα είναι η δυνατότητα από την αναζήτηση εικόνων στο google να βλέπουν ό, τι θέλουν. Καμιά ιδέα;;;

Υ.Γ. Το ξέρω οτι το youtube περιέχει πλήθος χρήσιμα βίντεο, αλλά τι να κάνω;

Overview:

Microsoft® Forefront™ codename “Stirling” is an integrated security system that delivers comprehensive, coordinated protection across endpoints, messaging and collaboration servers and the network edge that is easier to manage and control.

By delivering simplified management and providing critical visibility into threats, vulnerabilities, and configuration risks, Forefront codename "Stirling" helps reduce costs and achieve greater insight into the enterprise security state.

At release, “Stirling” will include:

• A central management console and dashboard for security configuration and enterprisewide visibility.
• The next-generation versions of Forefront products: the next generation of Forefront Client Security, Forefront Security for Exchange Server, Forefront Security for SharePoint and the Internet Security & Acceleration Server (to be renamed the Forefront Threat Management Gateway).
• Dynamic Response, an innovative Microsoft technology built into each component of "Stirling" that allows the entire system to share and use security information to dynamically respond to threats across multiple layers of the organization.

Principio de la página
Escenarios compatibles
ISA Server admite los siguientes escenarios cuando está instalado en un equipo con un único adaptador de red:
•
Proxy y almacenamiento en caché Web de reenvío
•
Publicación en Web y publicación en Outlook Web Access
Proxy y almacenamiento en caché Web de reenvío
Cuando ISA Server está instalado en un equipo con un único adaptador de red y configurado con una plantilla de adaptador de red único, es posible implementarlo como un servidor de proxy y caché de reenvío. En esta configuración, ISA Server transfiere las solicitudes de los clientes internos a las redes remotas, como Internet, y puede almacenar en caché los objetos de Internet solicitados con frecuencia para proporcionar a los clientes del explorador Web un acceso mejorado. Tenga en cuenta lo siguiente al configurar ISA Server con un único adaptador de red en una configuración de proxy y almacenamiento en caché Web de reenvío:
•
Sólo se admiten las solicitudes del proxy Web.
•
En un escenario en el que ISA Server está detrás de otro firewall perimetral, los clientes proxy Web envían solicitudes de direcciones URL al equipo con ISA Server. ISA Server comprueba si el objeto Web puede obtenerse de la caché. Si la página no está almacenada en la caché o ha caducado, ISA Server realiza una solicitud de Internet a través del firewall perimetral. Este firewall perimetral maneja la solicitud de ISA Server de acuerdo con la configuración de acceso, la cual puede permitir o no la solicitud. Si la permite, el objeto Web se devuelve a través del firewall perimetral a ISA Server, que coloca el objeto en la caché de acuerdo con la configuración de ésta y reenvía el objeto almacenado en la caché al cliente proxy Web.
•
Las reglas que permiten al cliente el acceso a través del equipo con ISA Server deben configurarse con las direcciones de origen sólo con las direcciones IP internas reales. Esto es necesario, ya que cada dirección IP se considera parte de una red interna, excepto por la dirección de bucle de retroceso. La red de destino debe utilizar la red interna o una dirección específica, según sea necesario.
•
Si las páginas Web incluyen elementos que requieren otros protocolos distintos de HTTP y FTP (descarga), los clientes proxy Web que tengan acceso al sitio por medio de ISA Server con un único adaptador de red no podrán obtener acceso a este tráfico a través de ISA Server. Puede establecer el acceso directo en la configuración de la red para permitir esta operación.
•
Para otorgar acceso a Internet en el equipo con ISA Server, debe modificar las directivas del sistema o crear reglas de acceso de Host local a Interna. Aun cuando está aplicada la plantilla del adaptador de red único, ISA Server sigue protegiéndose de la red interna, y las reglas de acceso o de directivas del sistema se necesitan para controlar el tráfico entre las dos redes.
Nota
Este comportamiento difiere de ISA Server 2000 en el modo de sólo caché, que no filtraba el tráfico de ninguna red.
Configuración de proxy y almacenamiento en caché Web de reenvío
La configuración del proxy y caché Web de reenvío consta del siguiente proceso:
•
Configurar los valores del proxy cliente. Configure los valores del proxy Web en los exploradores cliente para que seleccionen ISA Server o utilicen la configuración automática. Para obtener más información sobre la configuración automática, consulte Automatic Discovery for Web Proxy and Firewall Clients (en inglés) en el sitio Web de Microsoft TechNet.
•
Configurar la red interna para que se escuchen las solicitudes de los clientes proxy Web. La red debe estar configurada para escuchar las solicitudes de los clientes proxy Web.
•
Configurar la autenticación en la red interna. Para asegurarse de que se autentiquen las solicitudes de los clientes proxy Web, puede elegir si desea configurar la autenticación en la red o en reglas de acceso específicas. Si decide configurar Requerir que todos los usuarios se autentiquen en las propiedades de la red interna, sucederá lo siguiente:
•
Todos los usuarios deberán autenticarse; no se permitirá ninguna solicitud anónima.
•
ISA Server siempre solicitará las credenciales de los usuarios antes de comprobar las reglas de acceso. Si la opción Requerir que todos los usuarios se autentiquen no está activada, las credenciales de los clientes sólo se solicitarán si se requiere la autenticación del cliente para validar la coincidencia de una regla de acceso.
•
Habilitar el almacenamiento en caché. Si desea activar el almacenamiento en caché para los objetos Web, habilítelo en ISA Server. Para ello, configure un tamaño de caché mayor que cero y luego configure las reglas de la caché para que los objetos Web solicitados con frecuencia estén disponibles en la caché para las solicitudes de los clientes.
•
Configurar las reglas de la caché. Configure las reglas de la caché para que se especifiquen los objetos almacenados en ella y cómo los solicitan los clientes. Antes de realizar una solicitud a Internet, ISA Server comprueba si el objeto solicitado está disponible en la caché y lo proporciona al usuario de acuerdo con las reglas de la caché.
•
Configurar las reglas de acceso. Después de aplicar la plantilla del adaptador de red único, existe una regla de acceso única que rechaza el acceso a todas las redes. Si bien todas las direcciones IP se consideran parte de la red interna, en un escenario de adaptador de red único, las solicitudes de los clientes son rechazadas por esta regla predeterminada. Configure las reglas de acceso para permitir que los clientes Web utilicen HTTP, HTTPS y FTP, si es necesario. Las redes de origen y de destino de esta regla se deben configurar en Interna.
Para configurar los valores del proxy cliente (Internet Explorer)
1.
Abra Internet Explorer en el equipo cliente.
2.
Haga clic en el menú Herramientas y luego en Opciones de Internet.
3.
En la ficha Conexiones, haga clic en Configuración de LAN.
4.
Para especificar que un cliente proxy Web utilice la función de detección automática para ubicar un equipo con ISA Server para las solicitudes Web, seleccione Detectar la configuración automáticamente. Los clientes proxy Web pueden usar esta función para detectar de manera automática el equipo con ISA Server que deben utilizar o bien es posible especificar manualmente un equipo con ISA Server.
5.
Para utilizar una secuencia de comandos para la configuración automática, seleccione Usar secuencia de comandos de configuración automática y especifique el nombre de la secuencia de comandos.
Nota
Habilite el descubrimiento automático para permitir que los clientes proxy Web encuentren el equipo con ISA Server al cual deben conectarse por medio de una consulta al protocolo de configuración dinámica de host (DHCP) o el sistema de nombres de dominio (DNS).
Internet Explorer ubica una entrada de DHCP opción 252 que señala la ubicación del archivo de secuencias de comandos Wpad.dat o un Servicio WINS (Servicio de nombres Internet de Windows) o una entrada DNS que señala el servidor donde está la secuencia de comandos WPAD (descubrimiento automático de proxy Web). Este archivo brinda información específica para que el cliente utilice al tener acceso al contenido Web, por ejemplo, la ubicación del equipo con ISA Server que el cliente debe utilizar para las solicitudes Web. Una vez que se conoce la ubicación, los clientes proxy Web realizan una llamada a http://wpad:puerto/wpad.dat, donde puerto es el puerto que escucha las solicitudes Web en el equipo con ISA Server. Tenga en cuenta que los clientes deben poder resolver el equipo con ISA Server especificado en la entrada WPAD. Para las entradas DNS, ISA Server debe escuchar las solicitudes de descubrimiento automático en el puerto 80. DHCP puede escucharlas en cualquier puerto. De forma predeterminada, ISA Server escucha en el puerto 8080.
Para configurar la red interna para que escuche las solicitudes de los clientes proxy Web
1.
En Administración del servidor ISA, haga clic en el nodo Redes.
2.
En el panel de detalles, haga clic en la ficha Redes y seleccione Interna.
3.
En la ficha Tareas, haga clic en Editar red seleccionada.
4.
En la ficha Proxy Web, asegúrese de que esté seleccionada la opción Habilitar clientes proxy web.
Para configurar la autenticación en la red interna
1.
En Administración del servidor ISA, haga clic en el nodo Redes.
2.
En el panel de detalles, haga clic en la ficha Redes y seleccione Interna.
3.
En la ficha Tareas, haga clic en Editar red seleccionada.
4.
En la ficha Proxy Web, haga clic en Autenticación.
5.
Para permitir únicamente las solicitudes de los usuarios proxy Web con credenciales validadas, seleccione Requerir que todos los usuarios se autentiquen. Esto bloquea las solicitudes anónimas.
6.
Seleccione el tipo de autenticación que se debe utilizar en la lista Método.
Nota
Los siguientes métodos de autenticación están disponibles para autenticar las solicitudes de proxy Web: básico, implícito, integrado, certificados de cliente de nivel de socket seguro (SSL) y servicio de usuario de acceso telefónico de autenticación remota (RADIUS). Tenga en cuenta que si bien ISA Server admite, desde el punto de vista técnico, la autenticación de certificados de cliente para las solicitudes de los clientes proxy Web, el explorador no la admite para las solicitudes a un servidor Web de Internet. Los certificados de cliente son compatibles para la autenticación de clientes proxy Web en un equipo con ISA Server que precede en la cadena. Para obtener más información, consulte el artículo 838126 de Microsoft Knowledge Base: "You cannot perform certificate-based Web proxy authentication in ISA Server 2004" (en inglés).
Para configurar el almacenamiento en caché
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Caché.
2.
En el panel de detalles, haga clic en la ficha Unidades de caché y seleccione la unidad que desea utilizar para el almacenamiento en caché.
3.
En la ficha Tareas, haga clic en Definir unidades de caché (habilitar almacenamiento en caché).
4.
En Tamaño máximo de la caché, escriba el espacio de la unidad seleccionada que asignará para el almacenamiento en caché.
Nota
El almacenamiento en caché sólo se habilita cuando el tamaño de al menos una unidad de caché es mayor que cero. El tamaño máximo para un único archivo de caché es de 64 gigabytes (GB). Si necesita una caché de mayor tamaño, divídala en varios archivos en distintas unidades.
Para configurar las reglas de caché
1.
En Administración del servidor ISA, expanda el nodo Configuración y haga clic en Caché.
2.
En el panel de detalles, haga clic en la ficha Reglas de caché.
3.
En la ficha Tareas, haga clic en Crear una regla de caché.
4.
En la página de bienvenida del Asistente para nueva regla de caché, especifique un nombre descriptivo para la regla. A continuación, haga clic en Siguiente.
5.
En la página Destino de regla de caché, seleccione la red a la que se aplicará la regla. Haga clic en Agregar, expanda Redes y luego haga clic en Interna. Haga clic en Agregar y en Cerrar. A continuación, haga clic en Siguiente.
6.
En la página Recuperación de contenido, especifique cómo se debe recuperar el contenido de la caché y luego haga clic en Siguiente:
1.
Para especificar que un objeto debe recuperarse de la caché si es válido o, en caso contrario, que se debe transferir la solicitud al servidor Web de Internet o al servidor proxy que precede en la cadena, haga clic en Sólo si una versión válida del objeto existe en la caché. Si no existe ninguna versión válida, enrutar la petición al servidor.
2.
Para especificar que un objeto debe recuperarse de la caché si está disponible (sin importar si es válido o no) o, en caso contrario, que se debe transferir la solicitud al servidor Web de Internet o al servidor proxy que precede en la cadena, haga clic en Si existe cualquier versión del objeto en la caché. Si no existe ninguna versión, transfiera la solicitud al servidor.
3.
Para especificar que un objeto debe recuperarse de la caché si está disponible (sin importar si es válido o no) o, en caso contrario, que se debe descartar la solicitud, haga clic en Si existe cualquier versión del objeto en la caché. Si no existe ninguna versión, descarte la solicitud (no transfiera nunca la solicitud al servidor).
Nota
Se considera que un objeto de la caché es válido cuando el valor Tiempo de vida (TTL) no ha caducado. En los objetos HTTP, la caducidad se basa en el valor TTL especificado en el encabezado de la respuesta y los límites TTL definidos en la regla de caché.
7.
En la página Contenido de caché, especifique cómo se recuperarán los objetos almacenados en la caché y haga clic en Siguiente:
•
Para nunca almacenar los objetos Web en la caché, haga clic en Nunca, ningún contenido.
•
Para almacenar los objetos en caché si el servidor Web que proporciona el objeto indica que debe almacenarse en la caché, haga clic en Si los encabezados del origen y la petición indican que se debe almacenar en caché, el contenido se almacenará en caché.
•
Para almacenar en caché todo el contenido aun cuando no está marcado como que se puede almacenar en caché (incluido el contenido recuperado mediante una consulta que devolvió contenido al que se puede tener acceso por medio de una dirección URL con un signo de interrogación en ella), haga clic en Contenido dinámico.
•
Para almacenar en caché el contenido con los códigos de respuesta 302 y 307, haga clic en Contenido para exploración sin conexión (respuestas 302, 307).
•
Para almacenar en caché el contenido que es posible que requiera autenticación para el acceso, haga clic en Contenido que requiere autenticación de usuario para recuperarse.
8.
En la página Configuración avanzada de la caché, para especificar un límite de tamaño para los objetos almacenados en la caché, haga clic en No almacenar en caché objetos mayores de: y luego especifique un tamaño máximo. Para especificar que los objetos SSL deben almacenarse en caché, haga clic en Almacenar en caché respuestas SSL. A continuación, haga clic en Siguiente.
Nota
Almacenar en caché las solicitudes SSL sólo sirve para el contenido Web publicado, ya que las solicitudes de los clientes proxy Web para el contenido SSL se tramitan entre el servidor cliente y el que precede en la cadena y, por lo tanto, no está disponible para el almacenamiento en caché de ISA Server.
9.
En la página Almacenamiento en caché de HTTP, considere las siguientes opciones y haga clic en Siguiente:
•
Para especificar que los objetos HTTP deben almacenarse en caché, haga clic en Habilitar almacenamiento en caché de HTTP.
•
Para especificar por cuánto tiempo los objetos HTTP deben permanecer en la caché como un porcentaje de la antigüedad del contenido, defina un valor en Configurar TTL de objetos (% de antigüedad del contenido).
Nota
El valor TTL de un objeto HTTP almacenado en la caché está configurado como un porcentaje de la antigüedad del contenido (la cantidad de tiempo que transcurrió desde que se creó o modificó el objeto). Cuanto mayor sea el porcentaje especificado, menor será la frecuencia con la que se actualizará el objeto en la caché.
•
Para especificar por cuánto tiempo los objetos HTTP deben permanecer en la caché como un valor de tiempo, escriba el tiempo mínimo y máximo en No menos de y No más de.
•
Para aplicar la configuración TTL a los objetos, incluso si el encabezado de origen del objeto especifica una fecha de caducidad, haga clic en Aplicar estos límites de TTL a los orígenes que especifican la caducidad.
10.
En la página Almacenamiento en caché de FTP, haga clic en Habilitar almacenamiento en caché de FTP para especificar que los objetos FTP descargados deben almacenarse en la caché. En Periodo de vida de los objetos FTP, especifique por cuánto tiempo los objetos FTP deben permanecer en la caché antes de que caduquen. A continuación, haga clic en Siguiente.
11.
Compruebe la configuración de las reglas y haga clic en Finalizar para finalizar el asistente.
12.
Haga clic en Aplicar para guardar la configuración.
Para configurar las reglas de acceso
1.
En Administración del servidor ISA, haga clic con el botón secundario en el nodo Directiva de firewall, seleccione Nueva y haga clic en Regla de acceso.
2.
En la página de bienvenida del Asistente para nuevas reglas de acceso, escriba un nombre descriptivo para la regla. A continuación, haga clic en Siguiente.
3.
En la página Acción de regla, haga clic en Permitir. A continuación, haga clic en Siguiente.
4.
En la página Protocolos, seleccione Protocolos seleccionados y haga clic en Agregar. Haga clic para expandir Web y seleccione los protocolos a los cuales desea otorgar acceso a los clientes proxy Web. Éstos incluyen HTTP y, posiblemente, HTTPS y FTP. Seleccione cada protocolo y haga clic en Agregar. Una vez que haya seleccionado los protocolos requeridos, haga clic en Cerrar. A continuación, haga clic en Siguiente.
5.
En la página Orígenes de regla de acceso, haga clic en Agregar. Expanda Redes. Haga clic en Interna y en Agregar. Haga clic en Host local y en Agregar. Haga clic en Cerrar. A continuación, haga clic en Siguiente.
Nota También puede crear y utilizar conjuntos de intervalos de direcciones para limitar aún más los clientes que pueden usar ISA Server como un proxy Web.
6.
En la página Destinos de reglas de acceso, haga clic en Agregar. Expanda Redes. Haga clic en Interna y en Agregar. Haga clic en Cerrar. A continuación, haga clic en Siguiente.
7.
En la página Conjuntos de usuarios, seleccione cómo los usuarios se autentican con la regla y haga clic en Siguiente:
•
Para permitir el acceso anónimo al proxy Web, seleccione Todos los usuarios.
•
Para forzar la autenticación de las solicitudes del proxy Web, haga clic en Agregar. En el cuadro de diálogo Agregar usuarios, haga clic en Todos los usuarios autenticados. Haga clic en Cerrar. En la página Conjuntos de usuarios, seleccione Todos los usuarios y haga clic en Quitar.
Nota
Si una regla que coincide con la solicitud del proxy Web requiere autenticación, se solicitarán y validarán las credenciales de clientes. Si especifica que la regla se aplica a Todos los usuarios autenticados, todos los usuarios que no pasen la autenticación serán rechazados por la regla (incluso por una regla Permitir). Puede crear un nuevo conjunto de usuarios compuesto por los usuarios y grupos de Windows, RADIUS o usuarios SecurID. Si selecciona RADIUS o SecurID, puede elegir Todos los usuarios en Espacio de nombres o Nombre de usuario especificado. Si especifica Todos los usuarios en Espacio de nombres, RADIUS o SecurID permitirán a cualquier usuario que se pueda autenticar con la autenticación básica (los usuarios a los cuales no se les solicitan las credenciales).
8.
En la página Finalizar del asistente, compruebe la configuración y haga clic en Finalizar para finalizar el asistente.
9.
Haga clic en Aplicar para guardar la configuración.
Publicación en Web y publicación en Outlook Web Access
Puede implementar ISA Server en un equipo con un único adaptador de red en el modo proxy invertido, que permite publicar servidores Web y servidores Exchange para las conexiones de Outlook Web Access. Puede publicar servidores sobre HTTP o HTTPS para obtener una conexión SSL segura. Puede autenticar las solicitudes entrantes y enviar como cadenas las solicitudes a los servidores proxy que preceden en la cadena.
Cuando publica Outlook Web Access en un equipo con un único adaptador de red, están disponibles las siguientes funciones de Outlook Web Access:
•
Las funciones estándar de Outlook Web Access, por ejemplo, envío y recepción de correos electrónicos, calendarios y otras funciones
•
Exchange Outlook Mobile Access, ActiveSync y Outlook RPC sobre HTTP
•
Autenticación basada en formularios
•
HTTP y HTTPS
Por ejemplo, la publicación de un servidor Web o de Outlook Web Access sobre una conexión SSL en un equipo con un único adaptador de red consta del siguiente proceso de configuración:
•
Especificar la entrada DNS pública. El dispositivo perimetral que protege a la organización de Internet debe estar configurado para reenviar las solicitudes de los servidores publicados o las solicitudes a Outlook Web Access, a la dirección IP correcta del equipo con ISA Server. Por ejemplo, si un usuario de Internet obtiene acceso a Outlook Web Access en https://mail.fabrikam.com/exchange, debe haber una entrada DNS pública para mail.fabrikam.com, y esa entrada debe resolverse en la interfaz externa del dispositivo perimetral que está configurado para reenviar las solicitudes de Outlook Web Access a ISA Server.
•
Configurar el dispositivo perimetral para que reenvíe los paquetes. El dispositivo perimetral debe configurarse para que reenvíe las solicitudes relevantes al equipo con ISA Server.
•
Configurar la plantilla de red de ISA Server. Asegúrese de que ISA Server esté instalado y configurado con la plantilla del adaptador de red único.
•
Solicitar un certificado del servidor Web o del servidor de Outlook Web Access. Para una publicación segura, se recomienda utilizar una configuración de enlace de HTTPS a HTTPS. Esta configuración proporciona una conexión SSL desde el cliente hasta el equipo con ISA Server y desde el equipo con ISA Server hasta el servidor Web publicado. Por lo general, se utiliza un certificado comercial para la publicación SSL externa. Se crea una solicitud de certificado de una entidad emisora de certificados comerciales (como Verisign o Thawte) con el Asistente para certificados de servidor Web de IIS. Dado que IIS no suele estar instalado en ISA Server, se solicita el certificado desde el servidor Web publicado. Actualmente, no existe ninguna forma de solicitar un certificado de servidor desde ISA Server 2004 a la entidad emisora de certificados directamente.
•
Exportar el certificado de servidor. Después de obtener el certificado en el servidor Web, expórtelo a un archivo, junto con la clave privada.
•
Importar el certificado de servidor. Importe el certificado del archivo exportado al almacén de certificados personales del equipo.
Nota
Existen algunas pautas de mejores prácticas que se deben seguir al solicitar y configurar certificados. Si desea obtener más información, consulte Troubleshooting SSL Certificates in ISA Server 2004 Publishing (en inglés) en el sitio Web de Microsoft TechNet.
Si desea conocer los procedimientos para obtener certificados de servidor, consulte Digital Certificates for ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet.
•
Habilitar SSL en el servidor Web publicado. En un escenario publicado seguro, configure IIS en el servidor publicado para admitir la autenticación básica cifrada como SSL.
•
Crear una escucha. En Administración del servidor ISA, cree una escucha Web segura en la red interna, para que escuche las solicitudes del servidor publicado.
Nota
Por cuestiones de seguridad, considere la posibilidad de utilizar una autenticación basada en formularios y limitar el acceso de datos adjuntos de equipos públicos. Debe configurar estas propiedades después de crear la escucha con el Asistente para nueva escucha de web. En ISA Server 2004 Standard Edition, es posible que la autenticación basada en formularios no pueda utilizarse con ningún otro método de autenticación. En ISA Server 2004 Standard Edition Service Pack 1 e ISA Server 2004 Enterprise Edition, se puede configurar la autenticación basada en formularios junto con RADIUS.
•
Crear una regla de publicación segura. Para la publicación en Web, cree una regla con el Asistente para reglas de publicación en Web. Para publicar Outlook Web Access, cree una regla con el Asistente para publicación de servidor de correo. Tenga en cuenta que también puede publicar Outlook Mobile Access, RPC sobre HTTP y Exchange ActiveSync con este asistente. Para publicar servidores de forma segura, utilice una configuración de enlace de HTTPS a HTTPS. En este escenario, los usuarios se conectan con ISA Server mediante SSL. ISA Server finaliza la conexión SSL en el equipo con ISA Server e inspecciona el tráfico. Posteriormente, los paquetes se reenvían al servidor Web publicado sobre una nueva conexión HTTPS.
Notas
Para conocer las instrucciones detalladas sobre la publicación de servidores Web, consulte Publishing Web Servers using ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet y Publishing Web Servers Using ISA Server 2004 Enterprise Edition (en inglés), también en el sitio Web de Microsoft TechNet.
Para conocer las instrucciones detalladas sobre la publicación de Outlook Web Access, consulte Outlook Web Access Server Publishing in ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet y Outlook Web Access Server Publishing in ISA Server 2004 Enterprise Edition (en inglés) en el sitio Web de Microsoft TechNet.

Principio de la página
Escenarios no compatibles
Al instalar ISA Server en un equipo con un único adaptador de red, no se admiten las siguientes funciones y escenarios de ISA Server:
•
Directiva de firewall de redes múltiples. En el modo de adaptador de red único, ISA Server se reconoce a sí mismo (la red de host local). Todo lo demás se reconoce como la red interna. No existe el concepto de red externa. El servicio de firewall y los filtros de aplicación de Microsoft funcionan únicamente en el contexto de la red de host local. (ISA Server se protege a sí mismo independientemente de la plantilla de red que se aplique). Como el servicio de firewall y los filtros de aplicación funcionan en el contexto de la red de host local, se pueden utilizar las reglas de acceso para permitir los protocolos que no son Web en el equipo con ISA Server.
•
Inspección en el nivel de aplicación. El filtrado en el nivel de aplicación no sirve, excepto para el filtro del proxy Web (para HTTP, HTTPS y FTP sobre HTTP).
•
Publicación de servidores. No se admite la publicación de servidores. No hay una separación de las redes interna y externa, por lo tanto, ISA Server no puede proporcionar la función de traducción de direcciones de red (NAT) necesaria en los escenarios de publicación de servidores.
•
Clientes de firewall. La aplicación de clientes de firewall maneja las solicitudes de las aplicaciones Winsock que usan el servicio de firewall. Este servicio no está disponible en los entornos con un único adaptador de red.
•
Clientes de SecureNAT. Los clientes de SecureNAT utilizan ISA Server como un enrutador para Internet. El servicio de firewall maneja las solicitudes de los clientes de SecureNAT. Dado que el servicio de firewall no está disponible en una configuración de adaptador de red único, no se admiten tales solicitudes.
•
Redes privadas virtuales. Las redes privadas virtuales (VPN) de sitio a sitio y las VPN de acceso remoto no son compatibles en un escenario de adaptador de red único.
Nota
No puede configurar un adaptador de red para que utilice dos direcciones IP o un segundo adaptador de red que está deshabilitado, como una forma de emplear las funciones de redes múltiples en un equipo con un único adaptador de red.

Principio de la página
Problemas frecuentes
Esta sección describe los siguientes problemas y soluciones frecuentes:
•
¿Cómo puedo hacer para que otros servicios u otras aplicaciones coexistan con ISA Server en el modo de adaptador de red único,por ejemplo, un adaptador de red único con un servidor DNS?
No se admite la publicación de servidores en el modo de adaptador de red único. No obstante, independientemente de qué plantilla de red se aplique, el servicio de firewall y los filtros de aplicación se ejecutan en el contexto del equipo con ISA Server (la red de host local). Por lo tanto, puede permitir el tráfico que no es Web al equipo con ISA Server. Para ello, cree reglas de acceso entre la red de host local y la red interna, para permitir que los usuarios internos tengan acceso a las aplicaciones o los servicios que se ejecutan en el equipo con ISA Server.
•
¿Puedo publicar mi sitio Web sobre una conexión SSL con un único adaptador de red?
Sí, pero debe vincular la conexión. Si selecciona Túnel SSL al configurar la regla de publicación en Web, se utiliza efectivamente la publicación de servidores para publicar el servidor Web. Esta configuración no funciona en un escenario de adaptador de red único.
•
¿Puedo publicar varios sitios Web con una sola dirección IP en un escenario de adaptador de red único?
Sí. Puede utilizar reglas de publicación en Web para publicar varios sitios Web con una sola dirección IP. Con la inspección en el nivel de aplicación, ISA Server examina el encabezado de host de una solicitud entrante y decide cómo reenviar la solicitud a un servidor Web según la información del encabezado. ISA Server puede escuchar las solicitudes de varios sitios Web en una única dirección IP y reenviarlas de las siguientes maneras:
•
Publicar varios sitios en la misma dirección IP y el mismo puerto con un encabezado de host. IIS usa el nombre de host del encabezado HTTP para determinar cuál es el sitio solicitado. Para obtener más información, consulte el artículo 838252 de Microsoft Knowledge Base: "How to configure Web publishing rules to host multiple Web sites with host headers in ISA Server"
(en inglés).
•
Publicar varios sitios en diferentes puertos y redireccionar las solicitudes a la misma dirección IP, pero a distintos puertos.
Para una publicación SSL segura, sólo se puede enlazar un certificado de servidor a una escucha Web. Si tiene una única dirección IP, sólo puede publicar un sitio Web SSL. La única excepción es cuando utiliza certificados con caracteres comodín. Para obtener más información, consulte Publishing Multiple Web sites using a Wildcard Certificate in ISA Server 2004 (en inglés) en el sitio Web de Microsoft TechNet.
•
Deseo implementar una matriz de equipos con ISA Server con un único adaptador de red para proporcionar una conexión proxy a Internet para los usuarios internos. ¿Cómo puedo utilizar el equilibrio de carga en la red (NLB) en ese escenario?
•
Si utiliza ISA Server en un equipo que no tiene instalado Microsoft Windows Server 2003 con Service Pack 1, debe instalar un segundo adaptador de red para utilizarlo en la comunicación intramatricial. NLB debe estar configurado en un adaptador con una dirección IP estática. Asegúrese de elegir la dirección IP para el adaptador intramatricial de la red intramatricial y no de la red interna.
•
Si utiliza ISA Server en un equipo que tiene instalado Windows Server 2003 Service Pack 1, no necesita un segundo adaptador de red para la comunicación intramatricial.
•
¿Puedo publicar en un puerto alternativo en un escenario de adaptador de red único?
•
Las solicitudes HTTP y HTTPS pueden redireccionarse al servidor Web publicado s