Академический Документы
Профессиональный Документы
Культура Документы
Implementao
Microsoft Internet Security and
Acceleration Server 2000
Enterprise Edition
Microsoft Corporation
As informaes contidas neste documento, incluindo URLs e outras referncias a Web sites da
Internet, esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, as empresas,
organizaes, produtos, pessoas e eventos mencionados so fictcios e no se destinam, de todo, a
representar qualquer empresa, organizao, produto, pessoa ou evento real. da responsabilidade
do utilizador o cumprimento de todas as leis de direito de autor aplicveis. Sem limitao dos
direitos de autor, nenhuma parte deste documento pode ser reproduzida, armazenada nem
introduzida num sistema de registo ou transmitida sob qualquer forma ou por qualquer meio,
electrnico ou mecnico, fotocpia, gravao ou qualquer outro, para qualquer fim, sem a
permisso expressa, por escrito, da Microsoft Corporation.
Neste documento, podem ser feitas referncias a patentes, pedidos de patente, marcas comerciais,
direitos de autor ou outros direitos de propriedade intelectual da Microsoft. Salvo disposio
expressa em qualquer acordo de licena escrito da Microsoft, o facto de este documento lhe ser
fornecido no lhe concede quaisquer direitos sobre essas patentes, marcas comerciais, direitos de
autor ou outro tipo de propriedade intelectual.
1995-2000 Microsoft Corporation. Todos os direitos reservados.
Os nomes de empresas e produtos reais mencionados neste texto podem ser marcas registadas dos
respectivos proprietrios.
PREFCIO ...........................................................................................................................................v
A quem se destina este manual.................................................................................. v
Objectivo deste manual .............................................................................................. vi
CAPTULO 1........................................................................................................................................1
Introduo ao ISA Server ............................................................................................ 2
Funcionalidades e cenrios de utilizao ................................................................. 3
CAPTULO 2........................................................................................................................................7
Orientao para o planeamento de capacidades..................................................... 8
Consideraes sobre arrays ..................................................................................... 10
Seleccionar as funes do ISA Server ..................................................................... 12
Avaliar os requisitos dos clientes............................................................................. 13
Consideraes sobre a rede existente .................................................................... 14
CAPTULO 3......................................................................................................................................15
Antes de instalar o ISA Server .................................................................................. 16
Iniciar o processo de configurao .......................................................................... 18
Inicializar a empresa................................................................................................. 18
Instalar o ISA Server.................................................................................................. 20
Passos seguintes ...................................................................................................... 23
CAPTULO 4......................................................................................................................................25
Motivos para migrar.................................................................................................. 26
Processo de migrao .............................................................................................. 26
Consideraes sobre arrays do Proxy Server 2.0 ................................................... 27
Migrar para um array ................................................................................................ 28
Migrar as configuraes do Proxy Server 2.0.......................................................... 29
CAPTULO 5......................................................................................................................................31
Comparar clientes do ISA Server ............................................................................. 32
Configurar clientes do Web Proxy ............................................................................ 33
Configurar clientes de SecureNAT ........................................................................... 33
Configuraes de um cliente de firewall ................................................................. 35
CAPTULO 6......................................................................................................................................37
Firewall e colocao em cache em redes pequenas .............................................. 38
Ligao de clientes remotos .................................................................................... 41
Agrupar computadores com o ISA Server para obter tolerncia a falhas ............. 43
Cenrio de poltica de empresa ............................................................................... 45
Cenrios de publicao na Web............................................................................... 49
Cenrios de publicao de servidores segura ........................................................ 53
Cenrios de redes perifricas .................................................................................. 56
PREFCIO
Captulo 2, Consideraes sobre o planeamento, descreve aspectos que deve ter em conta
antes de instalar o ISA Server. Este captulo representa uma ajuda na determinao da
quantidade de computadores onde o ISA Server ser instalado bem como da configurao
mais adequada.
Captulo 4, Migrao a partir do Microsoft Proxy Server 2.0, explica como migrar as
polticas e configuraes existentes do Proxy Server 2.0 para uma configurao do ISA
Server.
Captulo 6, Cenrios de implementao, ilustra algumas configuraes de rede comuns e aborda em detalhe os
passos necessrios para a implementao destes cenrios, utilizando o ISA Server.CAPTULO 1
Introduo
Este captulo fornece uma perspectiva geral do Microsoft Internet Security and Acceleration
(ISA) Server. Alm disso, descreve alguns cenrios comuns, nos quais o ISA Server pode ser
utilizado na sua rede.
Este captulo inclui as seguintes seces:
1
Poltica de acesso ao exterior. possvel utilizar o ISA Server para configurar as regras de
sites e contedos que controlam o modo como os clientes internos acedem Internet. As
regras de sites e contedos especificam quais os sites e contedos que podem ser acedidos.
As regras de protocolos indicam se um determinado protocolo se encontra acessvel para
comunicaes vindas do exterior ou para comunicaes a partir do interior.
Filtros de aplicaes. O ISA Server analisa e controla trfego especfico das aplicaes
recorrendo a filtros dedicados respectiva aplicao que inspeccionem os dados actuais.
possvel activar a filtragem inteligente de Hypertext Transfer Protocol (HTTP), de File
Transfer Protocol (FTP), de Simple Mail Transfer Protocol (SMTP), de correio electrnico,
de conferncias H.323, transmisso em sequncia, chamadas remotas de procedimentos
(RPCs) e mais ainda.
Suporte para Rede privada virtual. O ISA Server inclui acesso remoto seguro baseado em
padres atravs dos servios de rede privada virtual do Microsoft Windows 2000.
Colocao inversa em cache. O ISA Server capaz de colocar em cache contedos de HTTP
e de FTP de servidores de publicao, melhorando portanto as respectivas acessibilidades.
Gesto unificada
Em geral, a gesto de segurana e a gesto da colocao em cache quando realizadas segundo
procedimentos independentes, requer um conjunto de tecnologias de rede, equipamentos de infraestrutura tambm independentes, bem como administradores qualificados, aumentando portanto
os factores complexidade, custo e inconsistncia. A ferramenta de administrao unificada e
baseada em polticas ajuda os administradores na gesto e na proteco da conectividade
Internet a partir de uma localizao central, o que reduz a complexidade da rede e provoca uma
reduo dos custos totais de propriedade.
Muitas vezes as empresas podem tirar proveitos de polticas de firewall e cache consistentes. A
integrao da gesto no ISA Server fornece uma vista nica destas polticas, em vez da
necessidade de gerir separadamente a firewall e a infra-estrutura de cache.
Ao agrupar os computadores com o ISA Server em arrays, todos os computadores membros de
um array podem ser geridos a partir de um ponto central.
O ISA Server expande a gesto centralizada por arrays ao nvel da empresa. O ISA Server Enterprise inclui todos os
arrays da sua empresa. Ao preparar a empresa, ir especificar o tipo de gesto de polticas da empresa. possvel
seleccionar uma poltica de empresa centralizada aplicvel a todos os arrays da empresa ou uma poltica mais flexvel
na qual cada administrador de array pode definir uma poltica local.CAPTULO 2
Consideraes sobre o
planeamento
Descrio
Consultar a seco
em
Quantos computadores
sero necessrios?
Orientao para o
planeamento de
capacidades
Consideraes sobre
arrays
Seleccionar as
funes do ISA Server
Avaliar os requisitos
dos clientes
necessrio reconfigurar a
rede existente?
Consideraes sobre a
rede existente
capacidades
Para obter um desempenho melhorado, deve planear o hardware e a conectividade Internet a
empenhar no ISA Server para atingir a carga prevista. As seguintes seces descrevem
configuraes de sistema recomendadas para diversos cenrios de utilizao.
Requisitos mnimos
Para utilizar o ISA Server, necessrio:
Um computador pessoal com CPU compatvel com Pentium II a 300 mega Hertz (MHz) ou
superior
O sistema operativo do computador deve ser o Microsoft Windows 2000 Server com o
Service Pack 1 ou posterior, o Microsoft Windows 2000 Advanced Server com o Service
Pack 1 ou posterior ou o Microsoft Windows 2000 Datacenter Server.
256 MB de memria
Uma placa de rede compatvel com o Windows 2000, para as comunicaes com a rede
interna
Uma partio no disco rgido local formatada com o sistema de ficheiros NTFS
Nota
sempre aconselhado utilizar o Service Pack mais recente.
RAM
(MB)
Espao
atribudo
para cache
At 500
256
2-4 Gigabytes
5001.000
256
10 Gigabytes
256
para
cada
servidor
10 Gigabytes
para cada
servidor
medida que o nmero de utilizadores aumenta e superior a 1.000, possvel utilizar hardware
com processadores mais potentes e mais memria ou acrescentar mais instalaes do ISA Server.
Para obter mais informaes, consulte a seco Acrescentar mais computadores.
Ao configurar mais do que um computador com o ISA Server, aconselhvel agrupar os
computadores em arrays. Para obter mais informaes, consulte as seco Consideraes sobre
arrays.
Menos de 100
At 250
Um nico computador com o ISA Server, com Pentium III a 450 MHz
Os requisitos de memria dependem do tamanho dos contedos publicados que podem ser
colocados em cache, ou seja, o conjunto dos contedos que se encontram em utilizao.
Idealmente, todos os contedos que possam ser colocados em cache deveriam permanecer na
memria disponvel. Por exemplo, se o contedo do Web site publicado ocupar 250 MB, ento
sero suficientes 256 MB de RAM.
Gesto centralizada
Todos os servidores de um array partilham uma configurao comum. Desta forma a gesto tornase mais transparente, uma vez que a configurao do array efectuada apenas uma vez e, em
seguida, aplicada a todos os servidores membros. Alm disso, possvel aplicar uma poltica de
empresa a um array, o que permite a centralizao da gesto para todos os arrays da empresa.
Se configurar arrays, poder optar por configurar arrays em cada ramo da empresa. Visto que
cada ramo passar a ter um array prprio, cada ramo pode definir polticas de utilizao nicas
que sero comuns a todos os servidores do array. Em alternativa, ao nvel empresarial, possvel
configurar todos os arrays da empresa de forma a utilizarem uma nica poltica de empresa. Alm
disso, ao nvel de empresa, possvel definir quais os arrays que tm permisses para publicar
servidores. Ainda ao nvel de empresa, possvel forar a filtragem de pacotes nos arrays da
empresa.
Compensao de carga
Os arrays permitem que os pedidos dos clientes sejam distribudos por vrios computadores com
o ISA Server, o que diminui o tempo de resposta aos clientes. Visto que a carga distribuda por
todos os servidores do array, possvel atingir um bom desempenho, mesmo com hardware
moderado.
Servidor autnomo
Escalabilidade e
tolerncia de
falhas
Active Directory
necessrio
Poltica
empresarial
Modo firewall
Modo cache
Poltica de acesso
Sim
Filtros de aplicao
Sim
No
Configurao de cache
No
Sim
Poltica de empresa
Sim
Sim
Sim
No
Filtragem de pacotes
Sim
No
Sim
Sim
Relatrios
Sim
Sim
Publicao de servidores
Sim
No
Sim
No
Filtros da Web
Sim
Sim
Publicao na Web
Sim
Sim
Sim
Sim
Clientes de Web Proxy. Um cliente de Web Proxy envia pedidos directamente ao computador
com o ISA Server, mas o acesso Internet est limitado ao browser. possvel configurar
Web browsers que suportem o Hypertext Transfer Protocol (HTTP) 1.1 como clientes de
Web Proxy.
Clientes de firewall. Restringir o acesso por utilizador a pedidos para o exterior que utilizem
os protocolos Transmission Control Protocol (TCP) e User Datagram Protocol (UDP). Para
configurar um cliente de firewall, necessrio instalar o software Firewall Client em cada
computador cliente. Apenas possvel instalar o software Firewall Client em computadores
com o Windows Millennium Edition, o Windows 95 OSR2, o Windows 98, o
Windows NT 4.0 ou o Windows 2000.
Ento utilize
Clientes de Web Proxy.
Este captulo fornece orientaes para a instalao do Microsoft Internet Security and
Acceleration (ISA) Server.
Este captulo inclui as seguintes seces:
1
Inicializar a empresa
Passos seguintes
Definies de TCP/IP
Ao definir as propriedades de TCP/IP de qualquer placa de rede interna, dever atribuir um
endereo IP permanente reservado ao computador com o ISA Server e uma mscara de sub-rede
adequada sua rede local. Os endereos atribudos por DHCP no devem ser utilizados pela placa
de rede interna, uma vez que isso poderia repor a gateway predefinida seleccionada para o
computador com o ISA Server. A placa da rede externa pode estar configurada para ser utilizada
com DHCP ou o respectivo endereo IP pode ser definido estaticamente, incluindo as definies
de gateway predefinida e de DNS.
Aps a configurao, possvel utilizar o utilitrio Ping.exe fornecido com o Windows 2000
Server ou um utilitrio semelhante noutro computador cliente de IP interno para verificar a
conectividade da rede e para verificar se as placas de rede e outros elementos de hardware se
encontram configuradas correctamente.
largura de banda para o segundo canal; no possvel utilizar o Windows 2000 para gerir o
controlador. Certifique-se de que a placa de rede est configurada de forma a ser possvel
configurar ambos os canais e que o seu ISP suporta a ligao atravs da utilizao de ambos os
canais.
Para obter mais informaes acerca da configurao de uma placa RDIS ou de um modem,
consulte a ajuda do Windows 2000.
Se esta for a primeira vez que est a instalar o ISA Server como membro de um array, ento
dever executar a ferramenta ISA Server Enterprise Initialization (Inicializao do ISA
Server Enterprise). Comece pela seco Inicializar a empresa.
Inicializar a empresa
Um computador com o ISA Server pode ser configurado como membro de um array. No entanto,
antes de configurar um computador com o ISA Server como membro de um array, o esquema do
ISA Server deve ser instalado no Active Directory no controlador de domnio. O ISA Server
inclui a ferramenta Enterprise Initialization que pode ser utilizada para instalar o esquema do ISA
Server no Active Directory.
Aps ter sido importado o esquema do ISA Server, todas as instalaes seguintes do ISA Server
em computadores do domnio podem utilizar o esquema do ISA Server. No necessrio instalar
o esquema novamente.
Importante
Para ser possvel instalar o esquema do ISA Server no Active Directory, o utilizador deve ser membro dos grupos Admins da
empresa e Admins de esquema. Para obter mais informaes acerca do Active Directory e sobre as instrues especficas
de permisses de utilizador e de grupo, consulte a ajuda do Windows 2000.
2.
Em Microsoft ISA Server Setup (Configurao do Microsoft ISA Server), clique em Run
ISA Server Enterprise Initialization (executar a inicializao do ISA Server Enterprise).
3.
4.
Apenas poltica de arrays. Seleccione Use array policy only (utilizar apenas poltica de
arrays) no caso de cada array possuir a sua prpria poltica, a qual pode ser administrada
pelo Array Administrator (administrador de arrays).
Apenas poltica de empresa. Seleccione Use this enterprise policy (utilizar apenas a
poltica desta empresa) e introduza o nome da poltica de empresa. Neste caso, ser
aplicada a mesma poltica de empresa a todos os arrays da empresa. No possvel
definir polticas de acesso nicas para cada array da empresa. No possvel definir
regras ao nvel de arrays.
Seleccione Use packet filtering on the array (utilizar filtragem de pacotes no array) no
caso de ser necessrio manter sempre activa a filtragem de pacotes nos arrays da
empresa. Ao seleccionar esta opo, o administrador de arrays no poder desactivar a
filtragem de pacotes.
Quando a execuo do ISA Server Enterprise Initialization terminar, o esquema do ISA Server
estar instalado no Active Directory. Ento ser possvel instalar o ISA Server como membro de
um array, criando o array qual se dever juntar o ISA Server.
Nota
O processo de criao de arrays ocorre durante a instalao do ISA Server no primeiro computador do array. As
informaes acrescentadas ao Active Directory podem demorar algum tempo at que sejam replicadas para todos os
controladores de domnio. Portanto, se surgir uma mensagem de erro durante a instalao a indicar que o esquema do ISA
Server no foi instalado, apesar de j ter sido de facto instalado, ser necessrio aguardar at que a alterao do
esquema tenha sido replicada para o controlador de domnio local.
CD Key(chave do CD). o nmero de 10 dgitos que se encontra no verso da caixa do CDROM do ISA Server.
Mode (modo). O ISA Server pode ser instalado em modo firewall (firewall mode), em modo
cache (cache mode) ou em modo integrado (integrated mode).
Importante
necessrio instalar o Windows 2000 Service Pack 1 ou mais recente antes de instalar o ISA Server.
as unidades de cache, necessrio atribuir, pelo menos, uma unidade de NTFS reservando um
mnimo de 5 MB nessa unidade para colocao em cache. No entanto aconselhvel reservar,
pelo menos, 100 MB e acrescentar 0,5 MB por cada cliente que utilize os clientes de HTTP ou
FTP, arredondando para o megabyte seguinte.
A tabela de endereos locais (LAT) uma tabela que contm todos os intervalos de endereos IP
utilizados pela rede interna que se encontra protegida pelo computador com o ISA Server. O ISA
Server utiliza a LAT para controlar a comunicao entre os computadores da rede interna e as
redes externas, bem como para decidir quais as placas de rede a proteger atravs do carregamento
do controlador de filtro de pacotes.
O ISA Server capaz de construir a LAT baseando-a na tabela de encaminhamentos do
Windows 2000. Tambm possvel seleccionar os intervalos de endereos IP privados, tal como
definido pela Internet Assigned Numbers Authority (IANA) em RFC 1918. Estes trs blocos de
endereos esto reservados para intranets privadas e nunca so utilizados na Internet pblica.
Ao criar uma LAT, apenas se podem incluir endereos da rede privada. Isto significa que no
deve ser adicionada a interface externa do computador com o ISA Server nem sites da Internet ou
qualquer endereo externo, incluindo o do servidor de DNS do seu fornecedor de servios da
Internet, etc. Se a configurao da LAT for incorrecta, a sua rede pode tornar-se vulnervel a
ataques.
A LAT gerida centralmente, visto que gerida a partir do computador com o ISA Server. Os
clientes de firewall transferem automaticamente actualizaes da LAT com intervalos de tempo
regulares predefinidos.
6.
7.
8.
9.
10. Clique em Typical Installation (instalao tpica), Full Installation (instalao completa)
ou Custom Installation (instalao personalizada).
11. Se clicar em Custom Installation, seleccione as caixas de verificao correspondente aos
componentes do ISA Server que pretende instalar. possvel escolher as seguintes opes:
1
12. Se no inicializou a empresa e pretende instalar o ISA Server como servidor autnomo
seleccione Yes e passe para o passo 11.
Caso contrrio, se pretende aderir o servidor a um array, clique em Yes.
13. Se optar por instalar o ISA Server como membro de um array, ento seleccione o array ao
qual o servidor ir aderir ou, para criar um novo array, introduza um novo nome.
14. Se criar um novo array, ento configure as definies de poltica de empresa do array.
Seleccione uma das seguintes opes:
1
Use default policy settings (utilizar predefinies de poltica), no caso de pretender que
a poltica do array utilize as predefinies.
Passos seguintes
Aps a instalao, o ISA Server bloqueia todas as comunicaes entre a rede da empresa e a
Internet. No sero permitidas comunicaes at que seja configurada uma poltica de acesso,
com regras de protocolos e regras de site e contedos que permitam o acesso explicitamente.
Analogamente, necessrio configurar regras de publicao, no caso de se pretender permitir o
acesso de clientes da Internet a computadores da rede interna.
Se o ISA Server foi instalado como membro de um array, ento deve ser aplicada uma poltica de
empresa ao array. Neste caso, o ISA Server poder permitir as comunicaes se a poltica de
empresa estiver configurada de forma adequada.
Predefinio
Permisses de
utilizador
Tabela de
endereos locais
Definies de
poltica de
empresa
Filtragem de
pacotes
Controlo de
acesso
Publicao
Encaminhamento
Colocao em
cache
Alertas
Todos os alertas, com excepo dos seguintes, encontram-se activados: All port
scan attack (ataque de verificao de todas as portas), Dropped packets (pacotes
perdidos), Protocol violation (violao de protocolo) e UDP bomb attack (ataque de
bomba por UDP).
Configurao de
clientes
polticas de empresa e de arrays iniciais. Quando terminar, o ISA Server estar configurado para
proteger a ligao da sua rede Internet.
O assistente de introduo ajuda-o a executar as seguintes tarefas:
1
Criar elementos de poltica ao nvel de array, que sero utilizados ao criar regras de poltica
de arrays.
Criar poltica de cache para determinar quais os objectos que sero colocados em cache.
Aps a configurao da poltica do ISA Server, leia o captulo 5 para saber como preparar e configurar os clientes da
rede. Em seguida, leia o captulo 6 para obter mais informaes sobre cenrios de implementao especficos.
CAPTULO 4
O Microsoft Internet Security and Acceleration (ISA) Server suporta um caminho de migrao
completa para os utilizadores do Microsoft Proxy Server 2.0. A maioria das regras do Proxy
Server 2.0, das definies de rede, das configuraes de monitorizao e de cache ser migrada
para o ISA Server. Alm disso, o ISA Server suporta software cliente de proxy de Winsock,
juntamente com o respectivo software cliente de firewall, numa base de clientes heterognea.
O ISA Server introduz muitas funcionalidades novas e alteraes relativamente ao Proxy
Server 2.0. Estas alteraes afectam as configuraes do servidor e os cenrios de actualizao.
Este captulo descreve os itens chave que um administrador deve ter em considerao como sendo
parte do processo de actualizao para o ISA Server.
Este captulo inclui as seguintes seces:
1
O processo de migrao
O ISA Server o sucessor do Proxy Server 2.0, apesar de ser muito mais do que um proxy. As
funcionalidades do ISA Server novas ou significativamente melhoradas incluem:
1
Uma firewall multicamada que efectua a inspeco de controlo, suporte de aplicao alargado
e deteco de intruses
Fortalecimento do sistema
Uma consola de gesto unificada, incluindo painis de tarefas e assistentes para as tarefas
comuns
Processo de migrao
Existe um conjunto de questes a considerar na preparao da migrao do Proxy Server 2.0 para
o ISA Server.
1
A actualizao directa do Proxy Server 1.0, do BackOffice Server 4.0 ou do Small Business
Server 4.0 no suportada.
Uma vez que a actualizao para o ISA Server tenha sido iniciada no existem opes
automticas para regressar ao Proxy Server 2.0.
Antes de actualizar o Proxy Server 2.0, faa uma cpia de segurana completa das definies
actuais.
Alm disso, o ISA Server s pode ser instalado em computadores com o Windows 2000
Server ou posterior. Portanto, se a verso actual do Microsoft Proxy Server 2.0 executada
sobre o Windows NT 4.0, siga os seguinte passos:
6
19. Pare e desactive todos os servios do Proxy Server. Para o fazer, escreva
net stop nome_do_servio numa linha de comandos. Abaixo encontram-se os servios do
Proxy Server bem como os respectivos nomes de servio.
Servio do Proxy Server
Nome do servio
Microsoft Winsock
Proxy
wspsrv
Microsoft Proxy
Server
Administration
mspadmin
Proxy Alert
Notification
mailalrt
w3svc
20. Faa a actualizao para o Windows 2000. Poder receber uma mensagem a indicar que o
Proxy Server 2.0 no funciona no Windows 2000. Esta mensagem pode ser ignorada sem
prejuzo. Para obter instrues mais detalhadas, consulte a home page do Proxy Server 2.0
em http://www.microsoft.com/proxy/default.asp.
21. Agora pode iniciar o programa de configurao do ISA Server. Para obter instrues
especficas, consulte o captulo 3.
Uma vez que os servios principais necessrios para o funcionamento da firewall se
encontram inactivos durante o programa de configurao, aconselhvel que o computador
que est a ser actualizado seja desligado da Internet at ao final do procedimento de
instalao.
Crie um novo array do ISA Server. Durante o programa de configurao, instale o primeiro
computador do Proxy Server neste array. Tambm possvel criar o novo array de ISA
Server durante o programa de configurao.
2.
definies de empresa possveis e descreve com detalhe o tratamento sofrido pela poltica do
Proxy Server para cada definio.
Definies de
poltica de
empresa
Possui permisses
de administrador
de empresa ?
ISA Server
Utilizar apenas a
poltica de array
Sim ou No
Utilizar apenas a
poltica de
empresa
Sim
Utilizar apenas a
poltica de
empresa
No
Utilizar as
polticas de
empresa e de
array
Sim
Utilizar as
polticas de
empresa e de
array
No
Cadeias de Proxy
So suportadas cadeias mistas de computadores com o Proxy Server 2.0 e com o ISA Server.
Quando um servidor com o Proxy Server 2.0 abaixo do ISA Server, apenas suportado o
encadeamento do Web Proxy. Isto deve-se ao facto de o Proxy Server 2.0 no suportar o
encadeamento superior com o Winsock.
Quando um computador com o ISA Server o servidor inferior, tanto o encadeamento do Web
Proxy como o da firewall (chamado encadeamento do Winsock Proxy no Proxy Server 2.0) so
suportados.
Publicao
O Proxy Server 2.0 necessitava que os servidores publicados fossem configurados como cliente
do Winsock Proxy. O ISA Server permite publicar servidores internos sem necessitar de qualquer
configurao especial nem qualquer instalao de software no servidor publicado. Em vez disso, o
ISA Server trata os servidores publicados como clientes de converso segura de endereo de rede
(SecureNAT). As regras de publicao na Web e as regras de publicao de servidores,
configuradas no computador com o ISA Server, tornam os servidores acessveis em segurana a
clientes externos especficos. No necessria qualquer configurao adicional no servidor
publicado.
Cache
As informaes de cache do Proxy Server 2.0 so migradas para o ISA Server, incluindo as
especificaes de unidade de cache, de tamanho e todas as outras propriedades.
O contedo da cache do Proxy Server 2.0 no ser migrado uma vez que o mecanismo de
armazenamento de cache do ISA Server bastante diferente e muito mais sofisticado. O contedo
da cache ser eliminado durante a execuo do programa de configurao do ISA Server sendo
institudo o novo mecanismo de armazenamento, com base nas definies existentes de cache e de
unidade.
SOCKS
O ISA Server inclui um filtro de aplicaes SOCKS, que permite s aplicaes SOCKS clientes
comunicar com a rede utilizando a poltica de array ou de empresa aplicvel para determinar se o
pedido de cliente permitido. A migrao das regras SOCKS do Proxy Server 2.0 para a poltica
do ISA Server no suportada.
Autenticao
O ISA Server suporta os seguintes mtodos de autenticao: bsico, resumido, integrada do
Windows e certificado de cliente. Por predefinio, ao instalar o ISA Server, configurado o
mtodo de autenticao integrada do Windows para os pedidos da Web. No Proxy Server 2.0, as
autenticaes bsica e integrada so as que se encontram activadas por predefinio.
O Internet Explorer 5 suporta a autenticao integrada do Windows, no entanto, outros browsers
da Web podero apenas suportar o mtodo de autenticao bsica. Nesse caso, no sero
permitidos quaisquer acessos, uma vez que no possvel autenticar o utilizador. O ISA Server
rejeita os pedidos da Web que eram permitidos pelo Proxy Server 2.0. possvel configurar a
autenticao bsica para todos os pedidos da Web.
Regras e polticas
A tabela abaixo apresenta a forma como as regras e outras informaes de configurao do Proxy
Server 2.0 so migradas para um computador com o ISA Server:
Proxy Server 2.0
ISA Server
Filtros de domnio
Regras de protocolos
Propriedades de publicao
Regras de encaminhamento
So criados elementos de poltica para as novas regras, conforme necessrio. Alm disso, as
seguintes informaes de configurao tambm so migradas: tabela de endereos locais,
definies de marcao automtica, alertas, definies de registo e configuraes de clientes.
As permisses do servio do Web Proxy no so migradas para a configurao do ISA Server. As
configuraes da colocao activa em cache sero sempre desactivadas aps a migrao.
CAPTULO 5
Aps a instalao do Microsoft Internet Security and Acceleration (ISA) Server, possvel
configurar os clientes e instalar o software Firewall Client, conforme seja mais adequado.
Antes de implementar ou configurar clientes do ISA Server, necessrio considerar as
necessidades da empresa. Para obter mais informaes, consulte o tpico Avaliar os requisitos
dos clientes no captulo 2.
Este captulo descreve a configurao dos clientes do ISA Server. E inclui as seguintes seces:
1
Clientes de firewall
A tabela seguinte apresenta os tipos de clientes suportados pelo ISA Server e compara o suporte
Cliente de
SecureNAT
Cliente de firewall
Cliente de Web
Proxy
Instalao necessria
Todas as plataformas
com TCP/IP
Suporte do sistema
operativo
Qualquer sistema
operativo que suporte o
protocolo Transmission Apenas plataformas
Windows
Control Protocol/
Internet Protocol
(TCP/IP)
Suporte de protocolos
Os protocolos com
ligaes principais e
protocolos definidos
por filtros de
aplicaes
Todas as aplicaes
Winsock
Hypertext Transfer
Protocol (HTTP), Secure
HTTP (HTTPS) e File
Transfer Protocol (FTP)
Autenticao ao nvel de
utilizador
Publicao de servidores
No so necessrias
configuraes nem
instalaes
necessrio um
ficheiro de
configurao
Sim
No, requer
configuraes de Web
browser
Informaes de
autenticao
transmitidas pelo Web
browser
N/D
Importante
A menos que as aplicaes de ajuda do Web browser como, por exemplo, os clientes de sequncia de multimedia podem
funcionar como clientes de Web Proxy. Estas aplicaes no utilizam o ISA Server para ligar Web. Para permitir que estas
aplicaes se liguem Web, utilize o cliente de SecureNAT ou o cliente de firewall para alm do cliente de Web Proxy.
Os passos de configurao correctos para configurar o ISA Server dependem do Web browser
utilizado.
Rede simples. Uma topologia de rede simples no possui routers configurados entre o cliente
de SecureNAT e o computador com o ISA Server.
Rede complexa. Uma topologia de rede complexa possui um ou mais routers que ligam vrias
subredes que se encontram configurados entre o cliente de SecureNAT e o computador com o
ISA Server.
Para configurar clientes de SecureNAT numa rede simples, as predefinies Internet Protocol (IP)
de gateway do cliente de SecureNAT devem corresponder ao endereo IP da placa de endereo de
rede interno do computador com o ISA Server. possvel fazer esta configurao manualmente,
utilizando as definies do painel de controlo de rede TCP/IP no cliente. Em alternativa,
possvel configurar estas definies automaticamente para os clientes que utilizem DHCP.
Para configurar clientes de SecureNAT numa rede complexa, as predefinies de gateway devem
ser configuradas para o router do segmento local do cliente e, alm disso, deve-se fazer com que o
trfego destinado Internet seja encaminhado correctamente pelo router para a interface interna
do computador com o ISA Server.
Idealmente, o router dever utilizar o caminho mais curto at ao computador com o ISA Server.
Alm disso, o router no deve ser configurado para ignorar pacotes destinados para endereos
externos rede da empresa; O ISA Server determina o encaminhamento que ir atribuir aos
pacotes.
Provavelmente, os clientes de SecureNAT iro tentar aceder a objectos de computadores da rede
local e da Internet. Assim, a SecureNAT deve ser configurada de forma a utilizar servidores de
DNS capazes de resolver nomes de anfitries externos e internos.
Msplat.txt inclui uma tabela de endereos locais de cliente partilhada bem como a tabela de
domnio local, mantidas pelo ISA Server.
2.
Ateno
No instale software cliente de firewall no computador com o ISA Server.
CAPTULO 6
Cenrios de implementao
O Microsoft Internet Security and Acceleration (ISA) Server pode ser implementado em diversas
topologias de rede. Esta seco descreve algumas configuraes tpicas de rede. Apesar de ser
possvel que a configurao actual da sua rede seja diferente das que aqui so descritas, estes
conceitos bsicos e a lgica de configurao iro fornecer indicaes aplicveis sua
configurao.
Este captulo inclui as seguintes seces:
1
O ISA Server pode ser implementado numa rede pequena, fornecendo aos clientes internos
conectividade protegida rede. Devido s suas funes de mltiplas finalidades, o ISA Server
tambm pode funcionar como servidor de colocao em cache para os clientes internos. O cenrio
descrito nesta seco apresenta uma configurao tpica para uma pequena empresa com clientes
que necessitem de aceder Internet.
Caractersticas e requisitos
A empresa referida neste cenrio um pequeno escritrio com menos de 500 utilizadores a aceder
Internet. A maioria dos utilizadores apenas necessitam de aceder Web atravs dos protocolos
Hypertext Transfer Protocol (HTTP) ou File Transfer Protocol (FTP) apesar disso, um
departamento tambm necessita de aceder a servidores de transferncia de multimdia do
Windows. A empresa precisa de um mtodo fivel de fornecer acesso Internet num ambiente
com os seguintes requisitos:
1
Configuraes de rede
Neste cenrio, O ISA Server configurado na rede da empresa de forma a servir de ligao entre
a rede local e a Internet. As configuraes disponibilizadas aos utilizadores podem ser de cliente
de Web Proxy ou de clientes de traduo de endereos de rede segura (SecureNAT). Estipula-se
quais os utilizadores que tm permisso de acesso Internet atravs de uma poltica de acesso
configurada no computador com o ISA Server.
ISA Server
Internet
Configurar os clientes
Na sua maioria, os utilizadores apenas necessitam de acesso Web. Por este motivo, a maioria
dos clientes configurada como clientes de Web Proxy. Para clientes de Web Proxy, os Web
browsers so configurados de forma a que o servidor de proxy seja o computador com o ISA
Server. A porta do servidor proxy indicada no Web browser dever ser 8080 assumindo que as
definies de pedidos de acesso exterior Web no computador com o ISA Server se encontrem a
receber pedidos na porta 8080.
Alguns utilizadores podem utilizar protocolos de transmisso em sequncia do Windows; Os
computadores destes utilizadores tambm sero configurados como clientes de SecureNAT. A
gateway predefinida para os clientes de SecureNAT deve ser configurada para o endereo IP
(Internet Protocol) do computador com o ISA Server. Desta forma, todos os pedidos Internet
sero reencaminhados para o computador com o ISA Server, o qual processar o pedido de acordo
com a poltica de acesso.
2.
Cria uma regra que encaminhe os pedidos destinados Web para o servidor de destino na
Internet.
O administrador cria uma regra de encaminhamento que encaminha todos os pedidos dos
clientes para a Internet. A regra de encaminhamento configurada de forma a que o ISA
Server ir obter os pedidos de objectos de todos os destinos directamente a partir do destino
especificado na Internet, a menos que se encontre uma verso vlida do objecto pedido, na
cache do ISA Server. A regra de encaminhamento configurada de forma a ser utilizada a
entrada de marcao de acesso telefnico Marcar_ISP ao ser encaminhado um pedido para a
Internet.
3.
4.
Verifica a existncia de uma regra de site e contedos predefinida que permita o acesso de
todas as pessoas a todos os destinos.
Esta regras foi criada quando o ISA Server foi instalado. No entanto, os utilizadores apenas
tero permisso de acesso aps ter sido criada uma regras de protocolo.
5.
6.
7.
Uma regra de protocolos que permita sempre a utilizao do protocolo HTTP aos
conjuntos de endereos de cliente Vendas e Investigao e desenvolvimento.
Uma regra de sites e contedos que permita o acesso dos conjuntos de endereos de
cliente Vendas e Investigao e desenvolvimento a todos os destinos contidos no
conjunto de destinos Sites de horrio laboral.
Uma regra de sites e contedos que permita o acesso dos conjuntos de endereos de
cliente Vendas e Investigao e desenvolvimento a todos os destinos no agendamento
Ps-laboral.
Uma regra de protocolos que permita aos conjuntos de endereos de cliente RH, Vendas
e Investigao e desenvolvimento a utilizao do protocolo HTTP, no agendamento
Ps-laboral.
Uma regra de sites e contedos que permita aos conjuntos de endereos de cliente RH,
Vendas e Investigao e desenvolvimento o acesso a todos os destinos, no
agendamento Ps-laboral.
Uma regra de protocolos que permita aos conjuntos de endereos de cliente RH, Vendas
e Investigao e desenvolvimento a utilizao do protocolo MMS Windows Media
Client, no agendamento Ps-laboral.
Configuraes de rede
O ISA Server encontra-se instalado em modo integrado, como servidor autnomo. Foi
configurada uma ligao de acesso telefnico rede no computador com o ISA Server para
aceder telefonicamente ao fornecedor de servios de Internet (ISP). O computador com o ISA
Server tambm possui uma placa de rede ligada rede interna.
O computador com o ISA Server est configurado como um servidor de VPN, de forma a permitir
a comunicao de determinados clientes remotos com recursos da rede.
Os clientes que se ligam por VPN ao ISA Server devem ter a possibilidade de aceder a recursos
da rede da empresa como, por exemplo DNS e WINS.
Os computadores cliente remotos devem possuir uma ligao de acesso telefnico rede
configurada, para se ligarem telefonicamente para o ISP local.
2.
Utiliza o assistente Allow VPN Client Connections (assistente Permitir ligaes de clientes
de VPN) para configurar o ISA Server de forma a aceitar ligaes de clientes. O assistente
faz o seguinte:
1
Cria uma ligao de acesso telefnico rede no computador cliente, configurada da seguinte
forma:
1
O tipo de ligao rede VPN. (Para o utilizar, seleccione a caixa de verificao Rede
privada virtual (VPN)).
Nota
Se o ISA Server est a proteger o acesso da rede da empresa Internet, ento o cliente remoto deve ser configurado para
utilizar o computador com o ISA Server ou o respectivo array.
Nos cenrios seguintes, um nico ISA Server no pode assegurar tolerncia a falhas nem
balanceamento de carga:
1
Para clientes de SecureNAT, para os quais no possvel identificar o ISA Server pelo nome
de array.
Nestes cenrios, o ISA Server pode ser utilizado juntamente com outros servios do
Windows 2000 Server e do Advanced Server para criar uma rede tolerante a falhas e balanceada.
As seguintes seces descrevem o modo de configurao do DNS e permitem configurar o
balanceamento de carga da rede de forma a atingir este objectivo. As seguintes seces descrevem
estas configuraes.
Utilizar o DNS
Para clientes de firewall, a tolerncia a falhas pode ser conseguida utilizando um ou mais
computadores com o ISA Server em conjunto com o servio de DNS do Windows 2000.
Efectivamente, atribudo o mesmo nome DNS aos computadores com o ISA Server utilizando o
servio DNS. Desta forma, quando um cliente pretende aceder a um objecto do computador com
o ISA Server, especificando o nome de DNS do computador com o ISA Server, o servidor de
DNS resolve o nome, de forma round robin, para um dos dois computadores com o ISA Server.
Para obter mais informaes Para obter mais informaes sobre DNS e round robin, consulte o
tpico Configurao de round robin na ajuda do Windows 2000 Server.
Siga os seguintes passos para configurar o servidor de DNS, acrescentando um novo registo de
recursos a uma zona:
1.
2.
3.
4.
5.
6.
Nota
O balanceamento de carga de rede apenas est disponvel no Windows 2000 Advanced Server.
O balanceamento de carga de rede necessita que cada computador com o ISA Server possua um
endereo IP nico para a sua placa da rede interna. Alm disso, o grupo de balanceamento de
carga de rede deve possuir um endereo IP, o qual ser utilizado por ambos os computadores com
o ISA Server. Para obter mais informaes sobre filtragem de balanceamento de carga de rede e
grupos, consulte Balanceamento de carga de rede na ajuda do Windows 2000 Advanced Server.
Siga os seguintes passos para configurar os computadores com o ISA Server para o
balanceamento de carga de rede:
1.
Verifique que os computadores com o ISA Server se encontram instalados no mesmo modo.
2.
Na placa da rede interna de cada computador com o ISA Server, altere as propriedades de
balanceamento de carga de rede, da seguinte forma:
1
Para apenas uma placa de rede, a pilha de TCP/IP deve ser configurada com endereo dedicado e
de grupo, surgindo em primeiro lugar o endereo dedicado. Para um computador com duas placas
de rede, a placa de rede com o endereo dedicado deve possuir um valor mtrico inferior (ou seja,
maior prioridade) do que o da placa de rede com o endereo do grupo.
A gateway predefinida para clientes de SecureNAT deve ser configurada para o endereo IP
dedicado do grupo. Por outras palavras, o endereo virtual do grupo deve ser utilizado como
endereo de gateway. Desta forma, o balanceamento de carga de rede ir processar todos os
pedidos.
Caractersticas e requisitos
A empresa fictcia utilizada neste cenrio uma empresa de grandes dimenses, cuja sede se
encontra nos Estado Unidos e duas das sucursais se encontram, uma no Canad e a outra no Reino
Unido. Toda a empresa necessita de acesso protegido Internet num ambiente com os seguintes
requisitos:
1
As orientaes de acesso Internet, determinadas na sede, nos Estados Unidos, devem ser
aplicadas de forma consistente em toda a empresa. Neste cenrio, todos os funcionrios tm
permisso de acesso a todos os sites, atravs dos protocolos de Web comuns: HTTP, HTTPS
e FTP.
Os computadores com o ISA Server da sucursal do Reino Unido devem colocar em cache o
contedo local. (Contedo local, neste caso, o contedo dos servidores da Web que se
encontram no Reino Unido.)
Configurao de rede
Visto que a empresa necessita de uma poltica de empresa comum para todas as sucursais, os
computadores com o ISA Server devem ser instalados como membros de um array em todas as
Configurao da empresa
A seguinte imagem ilustra a configurao da rede.
U.K.
Canada
Headquarters (U.S.)
sede). Alm disso, os funcionrios da sede podem aceder a contedos transmisso de multimdia
do Windows.
O administrador de empresa executa os seguintes passos:
1.
2.
Cria uma poltica de empresa, chamada Poltica de empresa, com as seguintes regras:
1
Uma regra de sites e contedos que permite que toda a gente aceda sempre a todos os
destinos.
Uma regra de protocolos que permita que toda a gente utilize os seguintes protocolos:
FTP, HTTP e HTTPS.
A sucursal do Reino Unido ir ligar-se ao array de ISA Server da sede atravs de uma rede
privada virtual. Pelo menos um dos computadores com o ISA Server dos Estados Unidos
deve estar configurado como um servidor de VPN. O administrador executa os seguintes
passos:
1
Configura a tabela de endereos locais do ISA Server dos Estados Unidos, de forma a
acrescentar os intervalos de endereos da rede do Reino Unido.
Utiliza o assistente Local ISA VPN Server (Servidor de VPN do ISA local) para
configurar o ISA Server de forma a servir ligaes de VPN. Este assistente inicia e cria
as interfaces necessrias de marcao a pedido para receber ligaes de servidores de
VPN remotos.
O assistente cria filtros de pacotes de IP, dependendo de o protocolo seleccionado ser
L2TP ou PPTP. Alm disso, configura as rotas estticas de forma a que estas
reencaminhem o trfego da rede local para anfitries da rede remota atravs do tnel.
O assistente tambm cria um ficheiro .vpc, que utilizado pelo servidor de VPN remoto
(no Reino Unido) ao configurar o ISA Server.
2.
1.
Configura um servidor de DNS na rede remota que seja secundrio relativamente aos
domnios da empresa mais acedidos. O servidor de DNS deve utilizar o um servidor de DNS
da Internet como reencaminhador para ajudar a resolver todas as outras consultas de nomes.
2.
Configura a tabela de endereos locais no computador remoto com o ISA Server na sucursal
do Reino Unido, acrescentando o intervalo de endereos da rede da empresa nos Estados
Unidos. Devem ser excludos todos os endereos IP externos (da Internet).
3.
Utiliza o assistente Remote ISA VPN Server (servidor de VPN do ISA remoto) para
configurar o computador com o ISA Server remoto para ligaes de VPN, utilizando o
ficheiro .vpc criado pelo administrador de empresa na sede.
O assistente Remote ISA VPN configura um servidor remoto de VPN do ISA, tornando-o
capaz de iniciar ligaes a um servidor de VPN ISA local. O assistente utiliza o ficheiro .vpc
criado pelo assistente Local ISA VPN na criao de interfaces de marcao a pedido
necessrias para a inicializao de ligaes ao servidor de VPN local especfico. Alm disso,
configura os filtros de pacotes IP necessrios para proteger a ligao e define as rotas
estticas para reencaminhar o trfego da rede local para anfitries da rede remota atravs do
tnel.
O administrador cria regras de encaminhamento para especificar quais os pedidos que devem ser
encaminhados para o array da sede e quais os que devem ser encaminhados directamente para um
fornecedor de servios Internet (ISP) do Reino Unido.
1.
Cria uma regra de encaminhamento que encaminha todos os pedidos de acesso a objectos da
Internet do Reino Unido directamente para a Internet. Os objectos da Internet do Reino Unido
so, geralmente, indicados por um sufixo .uk no nome de domnio.
2.
Cria uma regra de encaminhamento que encaminha todos os outros pedidos para o array do
ISA Server da sede.
example.microsoft.com/Marketing
mktg
ISA Server
example.microsoft.com
dev
example.microsoft.com/Development
Note-se que os endereos IP dos servidores da Web nunca so expostos. Em vez disso, os
utilizadores da Internet acedem aos servidores da Web atravs do endereo IP do computador com
o ISA Server.
O administrador executa os seguintes passos para publicar os servidores da Web internos:
1.
Verifica que o servidor de DNS mapeia o nome de domnio totalmente qualificado para o
endereo IP do computador com o ISA Server. Os clientes da Internet utilizam o nome de
domnio para aceder aos contedos.
2.
Configura as propriedades dos pedidos de acesso da Web do ISA Server. O endereo IP deve
incluir o endereo IP da interface externa.
3.
4.
Uma regra de publicao na Web que publica o servidor da Web Mktg, com o conjunto
de destinos configurado para Marketing.
Uma regra de publicao na Web que publica o servidor da Web Desenv, com o
conjunto de destinos configurado para Desenvolvimento.
ISA Server
80
9999
Get widgets.microsoft.com
Web Server
widgets.microsoft.com
Neste cenrio, o administrador pode configurar o ISA Server para publicar os contedos da Web
de uma das seguintes formas:
1
Utilizar regras de publicao na Web para publicar um servidor da Web no computador com o
ISA Server
Neste cenrio, o administrador configura o computador com o ISA Server de forma a receber
pedidos na porta 80 da placa de interface externa. Por predefinio, o servidor da Web tambm
recebe pedidos da Web na porta 80.
Para evitar este conflito, o administrador deve executar uma das seguintes aces:
1
Configurar o Servidor da Web de forma a que receba pedidos da Web numa porta diferente
da 80 ou noutra placa de interface. Em seguida, criar uma regra de publicao da Web no
computador com o ISA Server que reencaminhe os pedidos da Web para a porta apropriada
do servidor da Web.
Configurar o servidor da Web de forma a receber pedidos num endereo IP diferente. Por
exemplo, o servidor da Web pode receber pedidos em 127.0.0.1. Desta forma, o servidor da
Web apenas recebe pedidos vindos do computador local o computador com o ISA Server.
Utilizar a filtragem de pacotes para publicar um servidor da Web num computador com o ISA
Server
Outra maneira de publicar um servidor da Web localizado no computador com o ISA Server
atravs da configurao de filtros de pacotes IP. A filtragem de pacotes de IP filtra todos os
pacotes que cheguem porta 80 do servidor da Web, que se encontra no ISA Server. Isto , o
filtro de pacotes permite que o servidor da Web receba os pedidos da Web na porta 80.
Note-se que, neste caso, no h conflitos entre pedidos de acesso Web, pois o ISA Server recebe
pedidos na porta 8080 e o servidor da Web recebe pedidos de clientes internos na porta 80. No
entanto, a funcionalidade de identificao automtica do ISA Server no deve ser configurada
para receber pedidos na porta 80. Tambm possvel desactivar esta funcionalidade.
2.
Criar um filtro de pacotes de IP que permite a chegada de todos os pacotes de TCP que
cheguem atravs da porta 80 do endereo IP externo do computador com o ISA Server.
3.
Nota
Uma vez que a porta 80 utilizada pelos Servios de informao Internet (IIS), no crie regras de publicao da Web ao
utilizar o mtodo aqui descrito no sentido de publicar o servidor da Web no computador com o ISA Server.
A identificao automtica pode ser utilizada na porta 8080. Tambm pode ser utilizada noutra porta, no caso de ser
configurado um servidor de DHCP.
Nota
Se utilizou antes ou Microsoft Proxy Server 2.0, possvel que tenha configurado o servidor Exchange como um cliente de
Winsock Proxy atravs de um ficheiro wspcfg.ini de forma a capturar a porta 25 na placa de interface externa do
computador com o Proxy Server. Neste caso, ser essa a configurao que ir funcionar com o ISA Server. No entanto, se
utilizar as regras de publicao de servidores do ISA Server, aconselhvel a remoo do ficheiro wspcfg.ini do servidor
Exchange e, em seguida, a utilizao do assistente Mail Security Wizard (segurana de correio electrnico) includo no ISA
Server.
Local Area
Network
Internet
ISA Server
computer
Exchange server
O assistente Mail Server Security do ISA Server para configurar o servidor Exchange de forma a
que este seja disponibilizado para os clientes externos, utilizando um ou mais dos seguintes
protocolos:
1
Secure NNTP
O assistente cria uma ou mais regras de publicao de servidor, correspondentes a cada servio de
correio electrnico protegido pelo ISA Server. As regras de publicao de servidores criadas pelo
assistente possuem os seguintes parmetros:
1
As novas regras criadas pelo assistente possuem, no nome, o prefixo Mail wizard rule(regra do
assistente de correio electrnico).
O assistente Mail Server Security tambm cria regras de protocolos, para dar permisses ao
trfego que flui para o exterior. As regras de protocolos possuem os seguintes parmetros:
1
Local Area
Network
ISA Server/
Exchange Server
O assistente Mail Server Security pode ser utilizado para publicar o servidor Exchange
localizado no computador com o ISA Server. Neste cenrio, o assistente Mail Server Security
cria um filtro de pacotes de IP para cada servio de correio electrnico seleccionado. Por
exemplo, suponhamos que executado o assistente Mail Server Security e que so especificados
os pedidos para o exterior de clientes de SMTP e POP3. Neste caso, sero criados os seguintes
filtros de pacotes de IP:
1
Um filtro de pacotes de IP que permita ligaes TCP do exterior para a porta local 25 a partir
de qualquer porta remota. Isto permite a recepo dos pacotes de SMTP.
Um filtro de pacotes de IP que permita ligaes TCP para o exterior em todas as portas locais
a partir da porta remota 25. Isto permite o envio dos pacotes de SMTP.
Um filtro de pacotes de IP que permita ligaes de TCP do exterior para a porta local 110 a
partir de qualquer porta remota. Isto permite a recepo de pacotes de POP3.
Um filtro de pacotes de IP que permita ligaes de TCP para o exterior em todas as portas
locais a partir da porta remota 110. Isto permite o envio de pacotes de POP3.
Nota
Neste cenrio, os clientes Outlook no podem aceder ao servidor Exchange estando fora da rede local.
Configurao de rede perifrica dois a dois, com dois computadores com o ISA Server em
ambos os lados da rede perifrica.
ISA Server com trs plos, em que a rede perifrica e a rede local so protegidas pelo mesmo
computador com o ISA Server.
Telnet Server
Corporate network
Internet Information
Server (IIS)
Internet
ISA Server computer 1
Nesta configurao, dois computadores com o ISA Server so ligados entre si, ficando um ligado
Internet e o outro rede local. A rede perifrica reside entre os dois servidores. Ambos os
computadores com o ISA Server se encontram configurados em modo integrado ou firewall,
reduzindo essencialmente o risco de compromissos, uma vez que um atacante necessitaria de
entrar em ambos os sistemas para conseguir chegar rede interna.
Configurar a tabela de endereos locais (LAT) no computador com o ISA Server que se
encontra ligado rede da empresa (ISA Server 2) de forma a incluir os endereos IP dos
computadores da rede da empresa.
2.
Configurar a LAT no computador com o ISA Server que se encontra ligado Internet, de
forma a incluir o endereo IP do computador com o ISA Server que est ligado rede da
empresa os endereos IP de todos os servidores publicados da rede perifrica.
3.
4.
Criar uma regra de publicao de servidores para publicar o servidor de SQL, configurando a
regra de publicao de servidores para ser aplicvel ao protocolo SQL.
5.
Criar uma regra de publicao na Web para publicar o servidor de IIS, configurando a regra
de forma a redireccionar os pedidos para o site alojado.
A segunda placa de rede ligada aos servidores da rede da empresa, que se encontram na
rede perifrica. Os endereos IP da rede perifrica no devem constar na tabela de endereos
locais.
SQL
Internet Information
Server (IIS)
Internet
O administrador executa estes passos para configurar uma rede perifrica de trs plos com um
ISA Server:
1.
2.
3.
Criar filtros de pacotes de IP para cada um dos servidores da rede perifrica. Para cada filtro
de pacotes de IP, o computador local deve ser especificado atravs do endereo IP do
servidor da rede perifrica.