ÇÖZÜMPARK

Çözümsüz Sorunuz Kalmasın

ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol

ARA

Ana Sayfa

ISA Server

ISA Server Üzerinde Template Kullanımı

Microsoft, ISA Server kullanımını kolaylaştırmak için program ile beraber hazır şablonlar sunmaktadır. Bu şablonlar sayesinde ISA konusunda çok uzman olmayan sistem yöneticileri de temel bir takım işlevleri yerine getirebilmektedir. Bende makalemde bu şablonların kullanımı ile ilgili bilgi vereceğim

ISA Server üzerinde şablonlara erişmek için öncelikle “Network” seçeneğine geliyoruz

Buradan sağ tarafta bulunan “Templates” sekmesine tıklıyoruz ve istediğimiz bir yapıyı seçiyoruz.

İlk şablonumuzun ismi “Edge Firewall” . Bu yapıda isa server internet ile şirket içerisi arasında konumlanmıştır. Bu modelde ISA Server; caching, firewall, publish, Proxy ve vpn gateway gibi rolleri üstlenebilmektedir.

Sihirbazı kullanarak ilerlediğimizde varsayılan ayarlarımızın bir yedeğini alabileceğimiz bir pencere çıkar karışımıza. Ben zaten yeni bir kurulum sonrası çalıştırdığım için yedek alma işlemini yapmıyorum. ( not: ISA üzerinde yedek alma ve geri yükleme makalelerinde bu konular detaylı bir şekilde anlatılmaktadır. )

Şirket için network ip leri belirlememiz gerekmektedir. Benim şirket içi ip havuzum; 172.16.0.0/16 dır dır. Bu doğrultuda gerekli tanımlamamaları yapıyorum.

Burada ise, ISA konusunda çok tecrübesi olmayan sistem yöneticileri için hazırlanmış kurallar bulunmaktadır. Bunları sırası ile inceleyelim. Yukarıdaki ilk kural seçilmesi halinde hiçbir trafiğe izin verilmeyecek yani her şey yasaklanacaktır.

BU durumda ise sadece internete dns istekleri çıkabilecek, bunun dışında hiçbir protokolün izni olmayacaktır. İstekler ise şirket içinden ve vpn istemcilerinden gelebilir.

Bu durumda sınırlı bir internet erişimi söz konusudur. Burada sadece şirket içi ve vpn istemcileri için “http, https, ftp” protokollerine izin vardır. Ayrıca bu durumda vpn istemcileri de şirket içi network e sınırsız erişebilmektedir.

Yine bir diğer hazır kuralımızda ise; şirket içi ve vpn istemcileri sınırlı internete çıkmakta, vpn istemcileri sınırız bir şekilde şirket içi network e ulaşmakta ve bunların yanında vpn istemcilerinden ve şirket içinden dns istekleri de external yani internete ulaşabilmektedir.

Bu kuralda ise sınırsız bir erişim vardır. Şirket içi ve vpn istemcileri sınırsız bir şekilde internete çıkabilmekte ve vpn istemcileri yine sınırsız bir şekilde şirket içi network e ulaşabilmektedir.

Ben sınırlı bir internet erişimini seçerek devam ediyorum

Son durum hakkında bir detay bilgisi aldıktan sonra sihirbazı kapatıyorum.

Bu sihirbaz sayesinde yukarıda görünen iki kural kendi oluşturulmuştur. Sınırlı bir erişimi seçtiğim için; sadece şirket içi ve vpn istemcileri için “http, https, ftp” protokollerine izin vardır. Ayrıca bu durumda vpn istemcileri de şirket içi network e sınırsız erişebilmektedir. Ama unutulmaması gereken bir hususta burada dns isteklerinin olmayışı. Bu durumda internete bağlanmak söz konusu değildir. ( başka şekilde internete sorgu atan bir iç dns sunucunuz yok ise )

Bir diğer model ise “3 –Leg Perimeter “ olarak geçer. Bu modelde ISA Server da 3 adet interface bulunmaktadır. Bunlardan biri external yani internet, diğeri internal yani şirket içi network sonuncusu ise DMZ veya bir başka ismi ile Perimeter network tür. Bu son network te internet istemcileri için yayınlanacak server lar konulur. Bu sayede yayınlanan server lar üzerinden iç network e erişim engellenmiş olur.

Eğer var olan bir konfigürasyonu yedeklemek istiyorsanız “export” düğmesine basarak yedekleyebilirsiniz.

Şirket için network ip lerini belirliyoruz.

Perimeter bölgesi için ip leri belirliyoruz. Bu bölgedeki ip ler genellikle real ip ler olur, bunlar server ların dünya üzerindeki kayıtlı ip leridir.

Yine bu modelde ben sınırlı bir erişimi seçiyorum. Bu kuralın sonunda ise ISA Server da ki son durum aşağıdaki gibidir.

Network menüsünde yeni perimeter network ümüzü görebiliyoruz.

Firewall policy kısmında ise yukarıdaki iki kural kullandığımız şablon ile beraber gelmiştir. Bu kurallara göre şirket içerisinden ve vpn istemcilerinden internet ve perimeter daki server lara “http, https ve ftp” protokolleri ile erişim izni bulunmaktadır. Ayrıca vpn istemcileri şirket içerisine sınırsız şekilde erişmektedir.

Bir diğer şablonda ise “Front Firewall” olarak geçmektedir. Bu durumda ISA server bir başka firewall un önünde bulunmaktadır. Sihirbazın kullanımında hiçbir fark yoktur.

Bu sefer isa server bir başka firewall un arkasındaki firewall olarak görev yapmaktadır.

Bu şablonda ise ISA Server üzerinde sadece tek interface bulunmaktadır, bu şekilde Proxy server, caching ve publish yapabilmesine rağmen firewall özelliğini kullanamıyoruz.

Bu bilgiler ışığında eğer ISA Server ın konumunu değiştirdikten sonra nasıl konfigüre edeceğinizi düşünüyorsanız ISA nın bize sunduğu hazır şablonlardan yararlanabiliriz.

Yayınlanış Tarihi 27 Mart 2008 Perşembe 20:24 Yayınlayan: Hakan UZUNER

Yorumlar

Serhat AKINCI Dediki :

Eline sağlık hocam

Mart 27, 2008 21:14

Kimliksiz yorumlar seçilemez kılınmış durumdadır.

About Hakan UZUNER

İstanbul Beşiktaş doğumluyum. 1996 yılından beri bilişim sektöründeyim. Üniversite eğitimimi Marmara Üniversitesinde tamamladım ve analitik ana bilim dalında master a başladım. Üniversite döneminde pek çok firmaya destek verdim. Sektörde ; Sistem Yöneticiliği , Bilgi İşlem Müdürlüğü ve Proje Yöneticisi olarak görev yaptım. Projelerim sırasında pek çok firma yapısını görme ve çalışma fırsatı buldum . En son olarak ise Bilge Adam Bilgi Teknolojileri Akademisinde Eğitmen ve Danışmanlık yaptım . Şu anda ise İngilterede sektörü kovalıyorum :) MVP MCTS: Windows Server 2008 Active Directory: Configuration MCTS: Windows Server 2008 Network Infrastructure MCTS: Windows Server 2008 Applications Infrastructure MCITP: Server Administrator MCP,MCSA+S+M,MCSE+S+M,MCDBA MCDST,MCT,CCNA,HP APS MCTS: Vista - Exchange 2007 MCITP: Vista - Exchange 2007 CompTia Network +

hakanuzuner.com