Holy_adMirAl
Member
Как грамотно настроить файрволл ISA Server'a, что бы закрыть потенциально опасные порты и обеспечить фильтрацию трафика...
Настройка и работа с MS ISA Server 2000/2004
- Thread starter Holy_adMirAl
- Start date
Ответ очень простой... Читать RTFM
В интернете очень много форумов посвященных ИСЕ
Вот некоторые из них:
_http://forum.isaserver.ru
_http://www.insar.net/for_admin/isa/ (здесь есть онлайн учебник по исе 2k)
_http://www.microsoft.com/isaserver/ (ресурс от мелкомягких)
_http://www.isaserver.org/ (один из главных забугорных сайтов по ИСЕ)
_http://www.isaserver.ru/modules/news/
Вот и все... читай и выполняй что там написано.... Другого выхода нет)))
Удачи!
В интернете очень много форумов посвященных ИСЕ
Вот некоторые из них:
_http://forum.isaserver.ru
_http://www.insar.net/for_admin/isa/ (здесь есть онлайн учебник по исе 2k)
_http://www.microsoft.com/isaserver/ (ресурс от мелкомягких)
_http://www.isaserver.org/ (один из главных забугорных сайтов по ИСЕ)
_http://www.isaserver.ru/modules/news/
Вот и все... читай и выполняй что там написано.... Другого выхода нет)))
Удачи!
Last edited by a moderator:
Holy_adMirAl
Member
- Thread starter
- #3
Хех...пасиба 
Я просто не знал об этих ресурсиках %)
Я просто не знал об этих ресурсиках %)
Ну что же так. Надо учится пользовать yandex хотяб или лучще google
Можно просто нарыть золотое дно. А вообще можн еще поискать на варезных ресурсах таких как любимый netz (не сочтите за рекламу)))) книжки различные. Тут их много выкладывают. По исе я думаю тоже наидешь)))
УДАЧИ!
Можно просто нарыть золотое дно. А вообще можн еще поискать на варезных ресурсах таких как любимый netz (не сочтите за рекламу
)))) книжки различные. Тут их много выкладывают. По исе я думаю тоже наидешь)))УДАЧИ!
Значит так. В правилах записано, что прежде чем здать вопрос нужно поискать решение самому, а потом уже обращаться сюда. Есть вопросы задавай.
СЛЕДУЮЩЕЕ ПОДОБНОЕ СООБЩЕНИЕ БУДЕТ УДАЛЕНО БЕЗ ПРЕДУПРЕЖДЕНИЯ! ТАК КАК ЯВЛЯЕТСЯ ФЛЕЙМОМ!
СЛЕДУЮЩЕЕ ПОДОБНОЕ СООБЩЕНИЕ БУДЕТ УДАЛЕНО БЕЗ ПРЕДУПРЕЖДЕНИЯ! ТАК КАК ЯВЛЯЕТСЯ ФЛЕЙМОМ!
Last edited by a moderator:
Есть конкретная проблема, которую никак не удаётся решить. Перечитал кучу литературы, наобщался в форумах, но пока никак.
Стоит ISA 2004 EE. Есть правило для почтовых протоколов. Доступ All Users. Клиенты работают через SNAT. Всё ОК, но безопасность решила, раз есть свой почтовый сервак, то надо запретить почту с внешних. Естетственно, кое-кому этот доступ надо оставить.
Чтобы разрулить доступ по пользователям, поставил им Firewall Client. Правило ещё не трогал, а почта сразу всем отрубилась. Почему??? All User ведь!
Смотрю в лог. Вижу связки "Initiated Connection" - "Closed Connection", deny нигде нет.
В чём может быть проблема?
Сразу скажу, что outlook.exe я разрешил, хотя почту пробую забирать через OE или The Bat!
Стоит ISA 2004 EE. Есть правило для почтовых протоколов. Доступ All Users. Клиенты работают через SNAT. Всё ОК, но безопасность решила, раз есть свой почтовый сервак, то надо запретить почту с внешних. Естетственно, кое-кому этот доступ надо оставить
.Чтобы разрулить доступ по пользователям, поставил им Firewall Client. Правило ещё не трогал, а почта сразу всем отрубилась. Почему??? All User ведь!
Смотрю в лог. Вижу связки "Initiated Connection" - "Closed Connection", deny нигде нет.
В чём может быть проблема?
Сразу скажу, что outlook.exe я разрешил, хотя почту пробую забирать через OE или The Bat!
непонимаю зачем ставить фаервол клиент.... он нужен если трафик нужно шифровать...
почему нельзя создать из айпишников группы (иса прекрасно интегрируется с Ad или в ручную набить)
одно группе разрешить ходить к внешней почты а другим нет...
или я что то не понимаю?
почему нельзя создать из айпишников группы (иса прекрасно интегрируется с Ad или в ручную набить)
одно группе разрешить ходить к внешней почты а другим нет...
или я что то не понимаю?
1. Если есть уже готовые группы в домене, зачем делать двойную работу. Организация, кстати, не очень маленькая...
2. Иногда нужно выполнить некоторые действия на машине пользователя, а правило по ip мне этого не позволит.
3. У пользователей периодически меняются компьютеры. Приходится отслеживать их ip.
2. Иногда нужно выполнить некоторые действия на машине пользователя, а правило по ip мне этого не позволит.
3. У пользователей периодически меняются компьютеры. Приходится отслеживать их ip.
вообще ничего не понял.... вопрос то где?
ну отлично что у тя все так классно и колбасно с OU (Organization Unit) ну всмысле у тя ведь на них все поделено?
дело в том что я пока не работал с исой в связке с доменом с OU's но думаю что там можно подцепить не компутер а пользователя....Всмысле объединяешь их в один контейнер и его подцепляешь в исе. куда бы они (юзеры) не залогинились все права они свои получит. Всмысле отслеживать по ип? у вас статика? зачем отслеживать если есть объект user account
по 2 пункту ваще ничего не понял... причем здесь действия на компе юзера....
у вас они в другой подсети и на границе стоит иса?
по 3 см выше...
напиши по подробнее.... то почта была то теперь еще.... все напиши попунктикам и бум разбираться
ну отлично что у тя все так классно и колбасно с OU (Organization Unit) ну всмысле у тя ведь на них все поделено?
дело в том что я пока не работал с исой в связке с доменом с OU's но думаю что там можно подцепить не компутер а пользователя....Всмысле объединяешь их в один контейнер и его подцепляешь в исе. куда бы они (юзеры) не залогинились все права они свои получит. Всмысле отслеживать по ип? у вас статика? зачем отслеживать если есть объект user account
по 2 пункту ваще ничего не понял... причем здесь действия на компе юзера....
у вас они в другой подсети и на границе стоит иса?
по 3 см выше...
напиши по подробнее.... то почта была то теперь еще.... все напиши попунктикам и бум разбираться
Last edited by a moderator:
Николай_1305
New member
Народ, здрасьте! Всем привет из солнечного и яблочного города Алматы!
У меня вопрос:
а)где и как настроить в ИСА квоты по трафику?
б)можно ли в ИСА определить кто из внутренней сетки (IP или account) лазил на конкретный сайт (н-р, на www.georgemichael.com) через ИСА? С меня генеральный спрашивает.
У меня вопрос:
а)где и как настроить в ИСА квоты по трафику?
б)можно ли в ИСА определить кто из внутренней сетки (IP или account) лазил на конкретный сайт (н-р, на www.georgemichael.com) через ИСА? С меня генеральный спрашивает.
Николай_1305
New member
Предлагаю цеплять в ИСЕ не ГРУППЫ КОМПОВ (это понятно, что все движется, все перемещается), а ГРУППЫ ПОЛЬЗОВАТЕЛЕЙ. Если их на данный момент нет, так создай на контроллере домена 2 группы пользователей: с интернетом и без интернета, а затем закинь туда тех, кого нужно. А в ИСА подцепи именно эти группы ПОЛЬЗОВАТЕЛЕЙ. И - всё! Я именно так и сделал у себя на работе. Проблем не вижу в этом. У меня есть только две проболемы: отслеживать посещаемость конкретного сайта по пользователям и установка лимита (или квоты) на трафик на конкретного Юзера. Может сможешь мне в этом помочь? Буду очень признателен!!!
Стандартными средствами ИСЫ узнать кто именнно куда ходил нельзя. Это политика компании Microsoft (узнавал у их сертифицированного инженера). Определить квоты для каждого пользователя а также получить более детальную статистику только с помощью прог сторонних разработчиков.
Полный список тут:
http://www.isaserver.org/software/ISA/Monitoring-&-Admin/
Полный список тут:
http://www.isaserver.org/software/ISA/Monitoring-&-Admin/
Это зависит от того как ходят в инет пользователи. Собственно 3 варианта FW клиент, прокси или SNAT. И не плохо было бы лог привести.
что то похожее делал для 2000 Исы. надеюсь для 2004 тоже справедливо:
1. как ты и описал привязка к группам пользователей. (Инетники\БезИнетники + ананимус)
2. Логи складывал в MSSQL
3. анализ SQL логов с помощью asp скриптов. Выдача статистики индивидуально и Админу расширено.
Далее не продвигался, так как то что необходимо получил.
а тебе нужно будет написать SQL процедуры которые анализировали логи на предмет посещаемости необходимых сайтов, и действия с такими пользователями. (далее полет фантазии неограничен
например скрип исключающий из группы пользователей ИНЕТЧИКИ и переводящий в группу БЕЗинетчики)вообще проанализировать сиквельные логи и сделать выводы уже не есть проблема, главное ты понял в каком направлении двигаться.
помочь чем-то более не могу, помню все смутно и плохо, решал данную задачу года эдак 3 или 4 назад, все забыл уже.
АSP скрипты и ифу нашел в каком то форуме и переделал под себя, создание таблиц в сиквеле - это стандартные скрипты идущие в поставке с дистрибом по-моему, или как минимум прилагаются на СД к книге по ISA, еще там была проблема схлопывания логов (очень быстро растут базы) 2 процедурки запускались регулярно и складывали все строки за день и за месяц соответственно.
удачи, если получится для 2004 отпишись, интересно всеж!
Sergey_Volga
Member
ДЛЯ НАСТРОЙКИ ИСЕ НАДО ПОКАЗАТЬ, ЧТО - ОТКУДА - КУДА ВЫПУСКАМ ИЛИ ВПУСКАЕМ И КОМУ ЭТО ВСЕ РАЗРЕШЕНО. (2004 ТОЧНО ТАК РАБОТАЕТ) ЕСЛИ ПОЧТУ-ОТКРЫВАЕМ ПРОТОКОЛЫ POP3,SMTP ИЗ-НА-INTERNAL,EXTERNAL И ДЛЯ КОГО ЭТО ВСЕ РАЗРЕШАЕМ, ПО НЕОБХОДИМОСТИ ПОДНЯТЬ ДАННУЮ ПОЛИТИКУ В СПИСКЕ ПОВЫШЕ(ЧТОБЫ НЕ ПЕРЕКРЫВАЛАСЬ ЗАПРЕЩАЮЩИМ ПРАВИЛОМ.) МОЖЕТ ЭТО ПОМОЖЕТ...... Забыл добавить, разрешать правила можно для пользователей или IP адресам.
Last edited by a moderator: