Strona powstała: 17 listopada 2003 r.
Ostatnia aktualizacja:
Podstawy konfiguracji ISA Server SBS2000
Definiowanie filtrów
Uwaga:
Funkcje filtrowania są dostępne tyko w momencie, gdy serwer posiada zainstalowane fizycznie przynajmniej dwa interfejsy sieciowe, np.
1 karta sieciowa i 1 modem (np. SDI)
2 (lub więcej) skonfigurowane karty sieciowe
Funkcje filtrowania pakietów nie będą działały, gdy posiadamy skonfigurowaną tylko jedną kartę sieciową do pracy zarówno z Intranetem jak i Internetem
- Uruchom konsolę ISA Management Server wybierając z paska zadań serwera kolejno:
- Start | Programy | Microsoft ISA Server | ISA Management
- Rozwiń Servers and Arrays
- Rozwiń SBS2k
- Rozwiń Access Policy
- Wskaż folder IP Packet Filters
Domyślnie ISA Serwer pracuje w trybie FireWall Klient, oznacza to, że z Internetu mogą korzystać tylko Ci użytkownicy, którzy posiadają zainstalowany system Windows oraz program będący klientem serwera ISA (kula ziemska na pasku zadań)
Jeżeli chcemy, aby ISA Serwer pracował w trybie, który umożliwi pracę w Internecie z innych urządzeń oraz systemów operacyjnych na zasadach klasycznego routingu, należy załączyć opcję Enable IP Routing we właściwościach folderu IP Packet Filters
- Potwierdzić zmiany przyciskiem OK
Przykładowe sprawdzenie poprawności działania routingu:
- Na stacji roboczej wykonaj polecenie:
- ping –t www.onet.pl
(przerwanie działania polecenia: CTRL + C )
Wskazówka:
Polecenia, takie jak ping czy tracert działają tylko w trybie pracy klasycznego routingu ISA Serwer
- Załączanie funkcji detekcji intruzów:
Jeżeli chcemy, aby ISA Serwer pracował w trybie, który umożliwi detekcję ataków oraz intruzów,
należy załączyć opcję Enable Intrusion detection we właściwościach folderu IP Packet Filters
Następnie wybrać zakładkę Intrusion detection i zaznaczyć wszystkie opcje, i potwierdzić zmiany wybierając przycisk OK:
Wskazówka:
Domyślnie po załączeniu filtrów, są one tak ustawione, iż dostęp do serwera z sieci Internet jest zablokowany. Tzn., nie jest możliwa praca na pulpicie zdalny, przeglądanie stron WWW, kontakt z serwerem poczty itp itd.
Odblokowywanie WWW
Na serwerze:
- Definiowanie filtru WWW
- Wybierz prawym przyciskiem folder IP Packet Filters
- Z menu podręcznego wybierz kolejno Nowy | Filter..
- W polu IP Packet filter name wpisz przyjazną nazwę określającą filtr WWW np. Filtr aktywujący WWW
- Wybierz przycisk Dalej
- Zaznacz opcję Allow packet Transmision
- Wybierz przycisk Dalej
- Z listy rozwijanej Predefined wybierz: HTTP Server (port 80)
- Wybierz przycisk Dalej
- Zaznacz opcję Default IP addresses for each external interface on ISA Server computer
- Wybierz przycisk Dalej
- Zaznacz opcję All remote computers:
- Wybierz przycisk Zakończ
- Definiowanie filtru Pulpitu zdalnego
- Wybierz prawym przyciskiem folder IP Packet Filters
- Z menu podręcznego wybierz kolejno Nowy | Filter..
- W polu IP Packet filter name wpisz przyjazną nazwę określającą filtr WWW np. Filtr aktywujący dostęp do usług terminalowych
- Wybierz przycisk Dalej
- Zaznacz opcję Allow packet Transmision
- Wybierz przycisk Dalej
- Z listy rozwijanej Custom
- Wybierz przycisk Dalej
- Z listy IP Protocol wybierz TCP
- Z listy Direction wybierz Inbound
- Z listy Local port wybierz Fixed port
- W polu Port number wpisz 3389
- Z listy Remote port wybierz All ports
- Wybierz przycisk Dalej
- Zaznacz opcję Default IP addresses for each external interface on ISA Server computer
- Wybierz przycisk Dalej
- Zaznacz opcję All remote computers:
- Wybierz przycisk Zakończ
Pozostałe predefiniowane porty, które należy odblokować
SMTP, POP3
Ident
HTTPS Server (port 443)
Uwaga:
W przypadku gdyby z serwera nie można było przeglądać stron WWW (występuje w przypadku Neostrady), należy zdefiniować filtry:
- Wskaż folder IP Packet filters
- Wybierz prawym przyciskiem IP Packet filters
- Z menu podręcznego wybierz kolejno Nowy | Filter…
- W polu IP Packet Filter name wpisz Pozwalam na dostęp przez port 80 do zewnętrznych serwerów
- Wybierz przycisk Dalej
- Zaznacz Allow packet transmission
- Wybierz przycisk Dalej
- Zaznacz opcję Custom
- Wybierz przycisk Dalej
- Z listy IP Protocol wybierz TCP
- Z listy Direction wybierz Outbound
- Z listy Local port wybierz All ports
- Z listy Remote port wybierz Fixed port
- W polu Port number wpisz 80
- Wybierz przycisk Dalej
- Wybierz przycisk Dalej
- Wybierz przycisk Zakończ
- Wybierz prawym przyciskiem IP Packet filters
- Z menu podręcznego wybierz kolejno Nowy | Filter…
- W polu IP Packet Filter name wpisz Pozwalam na dostęp przez port 443 do zewnętrznych serwerów
- Wybierz przycisk Dalej
- Zaznacz Allow packet transmission
- Wybierz przycisk Dalej
- Zaznacz opcję Custom
- Wybierz przycisk Dalej
- Z listy IP Protocol wybierz TCP
- Z listy Direction wybierz Outbound
- Z listy Local port wybierz All ports
- Z listy Remote port wybierz Fixed port
- W polu Port number wpisz 443
- Wybierz przycisk Dalej
- Wybierz przycisk Dalej
- Wybierz przycisk Zakończ
Uwaga:
W przypadku gdyby z serwera nie można było wysyłać i odbierać listów za pośrednictwem programów pocztowych (np. Outlook Express) (występuje w przypadku Neostrady), należy zdefiniować filtry:
- Rozwiń folder Access Policy
- Wskaż folder IP Packet filters
- Wybierz prawym przyciskiem IP Packet filters
- Z menu podręcznego wybierz kolejno Nowy | Filter…
- W polu IP Packet Filter name wpisz Pozwalam na dostęp przez port 25 do zewnętrznych serwerów
- Wybierz przycisk Dalej
- Zaznacz Allow packet transmission
- Wybierz przycisk Dalej
- Zaznacz opcję Custom
- Wybierz przycisk Dalej
- Z listy IP Protocol wybierz TCP
- Z listy Direction wybierz Outbound
- Z listy Local port wybierz All ports
- Z listy Remote port wybierz Fixed port
- W polu Port number wpisz 25
- Wybierz przycisk Dalej
- Wybierz przycisk Dalej
- Wybierz przycisk Zakończ
- Wybierz prawym przyciskiem IP Packet filters
- Z menu podręcznego wybierz kolejno Nowy | Filter…
- W polu IP Packet Filter name wpisz Pozwalam na dostęp przez port 110 do zewnętrznych serwerów
- Wybierz przycisk Dalej
- Zaznacz Allow packet transmission
- Wybierz przycisk Dalej
- Zaznacz opcję Custom
- Wybierz przycisk Dalej
- Z listy IP Protocol wybierz TCP
- Z listy Direction wybierz Outbound
- Z listy Local port wybierz All ports
- Z listy Remote port wybierz Fixed port
- W polu Port number wpisz 110
- Wybierz przycisk Dalej
- Wybierz przycisk Dalej
- Wybierz przycisk Zakończ
Uwaga:
W przypadku gdy zarejestrowałeś domenę należy zdefiniować filtry:
- Rozwiń folder Access Policy
- Wskaż folder IP Packet filters
- Wybierz prawym przyciskiem IP Packet filters
- Z menu podręcznego wybierz kolejno Nowy | Filter…
- W polu IP Packet Filter name wpisz Pozwalam na dostęp przez port 53 (UDP) innym serwerom DNS
- Wybierz przycisk Dalej
- Zaznacz Allow packet transmission
- Wybierz przycisk Dalej
- Zaznacz opcję Custom
- Wybierz przycisk Dalej
- Z listy IP Protocol wybierz UDP
- Z listy Direction wybierz Receive send
- Z listy Local port wybierz Fixed port
- W polu Port number wpisz 53
- Wybierz przycisk Dalej
- Wybierz przycisk Dalej
- Wybierz przycisk Zakończ
- Wybierz prawym przyciskiem IP Packet filters
- Z menu podręcznego wybierz kolejno Nowy | Filter…
- W polu IP Packet Filter name wpisz Pozwalam na dostęp przez port 53 (UDP) innym serwerom DNS
- Wybierz przycisk Dalej
- Zaznacz Allow packet transmission
- Wybierz przycisk Dalej
- Zaznacz opcję Custom
- Wybierz przycisk Dalej
- Z listy IP Protocol wybierz TCP
- Z listy Direction wybierz Inbound
- Z listy Local port wybierz Fixed port
- W polu Port number wpisz 53
- Wybierz przycisk Dalej
- Wybierz przycisk Dalej
- Wybierz przycisk Zakończ
Powrót
Dla OEIiZK i serwisu edukacyjnego EDUKUS
Opracował Dariusz Fabicki
Wszelkie prawa zatrzeżone
Kontakt e-mail:
Dariusz Fabicki
© by Dariusz Fabicki
All rights reserved