Server, üç farklı client türünü destekler: SecureNAT, Firewall client ve Web Proxy client.
· SecureNAT
· Firewall Client
· Web Proxy Client
SecureNAT Client
SecureNAT Client, Firewall Client yazılımının kurulmadığı yalnızca TCP/IP ayarlarıyla ISA Server’ın gateway olarak belirtildiği bir client konfigürasyonudur. SecureNAT client’lar, diğer networkler için gönderdikleri istekleri ISA Server üzerinde tanımlanmış bir internal IP adresine yönlendirecek şekilde yapılandırılmıştır. Eğer network tek bir segment’ten oluşuyorsa SecureNAT client, ISA Server üzerindeki belirtilmiş olan internal IP adresini default gateway olarak kullanacak şekilde yapılandırılır.
Bir SecureNAT client’tan gelen istekler öncelikle NAT sürücüsüne yönlendirilir. Bu istek daha sonra, erişim izni olup olmadığının belirlenmesi için Firewall servisine yönlendirilir. Sonuç olarak bu istek, uygulama filtreleri ve diğer bileşenler sayesinde filtrelenir, firewall bu istekleri cache’de saklayabilir ya da bu isteği cache’den clientlara iletebilir.
NOT: SecureNAT client yapılandırılması en kolay client tipidir. SecureNAT client yapılandırılması sadece default gateway adresinin verilmesi ile tamamlanır.
Firewall Client
ISA Server firewall client, ISA Server Firewall Client yazılımı yüklenmiş bilgisayarlara denir. Bir firewall client, ISA Server üzerinden internet üzerindeki bir bilgiye erişmek istediğinde, bu istek doğrudan ISA Server üzerindeki firewall servisine yönlendirilir.
Firewall Servisi, kullanıcının yetkilendirilmesi ve kimlik denetimini yaptıktan sonra bu isteği firewall kurallarına uygun bir şekilde filtreler.
Firewall servisi internetten gelen paketleri cache’de saklayabilir ya da firewall client’ından gelen bu isteği ISA Server’ın cache’inden Web Proxy filtresini kullanarak client’a iletir. Bu sayede Firewall client’ları için yüksek bir güvenlik ve performans sağlanır.
Web Proxy Client
Web Proxy client’lar, Web browserlar gibi Web uygulamalarını çalıştıran bilgisayarlardır. Web Proxy clientlar isteklerini ISA Server üzerindeki firewall servisine gönderirler. ISA Server gelen bu isteği daha önceden yapılmış ise konfigüre edilmiş firewall kurallarından geçirerek cache’inden client’a gönderir. Eğer bu istek cache’de bulunmuyor ise belirlenmiş kurallara bakarak internetten bu isteği alır ve kendi cache’inden client’a gönderir.
ISA Server client türünü seçmek için farklı kriterler kullanılır:
Client Yazılımının Kurulması ve Konfigüre Edilmesi:
SecureNAT client’lar herhangi bir client yazılımına ve özel bir konfigürasyona gereksinim duymazlar.
Web Proxy client ise yalnızca client bilgisayarlar üzerindeki Web uygulamalarının konfigüre edilmesine gerek duyarlar.
Firewall client’lar ise Firewall Client yazılımının kurulmasına (dağıtılmasına) gereksinim duyarlar. Güvenli iletişim sağlarlar.
Yalnızca Kimlik Doğrulaması Yapılmış (Authenticated) Client’ların Erişimine İzin Vermek
Firewall client ya da Web Proxy client’lar için.
Firewall client’lar için kullanıcı tabanlı politika kuralları geliştirilebilir. Aynı şekilde Web Proxy client’lar için de kullanıcı tabanlı politika kuralları geliştirilebilir.
Internal Network Üzerindeki Server’ları Publish Etmek
SecureNAT client’lar için. Internal server’lar SecureNAT client olarak yayınlanabilir. Bu düzenleme bir “publishing server” üzerinde özel konfigürasyon dosyalarının yaratılması gereksinimini azaltır.
Non-Windows Ortamında Web Performansını Artırır
Web Proxy ya da SecureNAT client’lar için. Non-Windows işletim sistemleri Firewall client olarak konfigüre edilemez. Ancak SecureNAT ve Web Proxy client olarak konfigüre edilebilir. Her iki client türü de caching işlemiyle Web performansını artırır.
SecureNAT Client Konfigürasyonu
SecureNAT Client’lar ISA Server’ın internal IP adresini default gateway olarak kullanmak üzere yapılandırılmış bilgisayarlardır. En kolay yapılandırılan client türü olan SecureNAT Client’tır. Kullanıcıların kimlik denetimi dışındaki tüm ISA Server erişim kuralları (access rules) SecureNAT clientlara uygulanabilir. Ayrıca protokol kullanımı ve application filtering gibi kurallar da SecureNAT client’lara uygulanabilir.
SecureNAT client’lar için özel bir yazılım kurulumuna ihtiyaç duyulmaz. ISA Server’ın internal IP adresi default gateway olarak tanımlanmalıdır. Bu sayede Internet için yönlendirilen tüm trafik ISA Server üzerinden geçer.
Server’da WebProxy Client Konfigürasyonu
Web Proxy uygulamalarının en çok kullanılanı Web Browser’ın yapılandırılmasıdır.
Web Proxy client’larını oluşturmak için yapılacak ilk işlem, ISA Server’ı bu clientlardan gelen bağlantılara izin verecek şekilde yapılandırmaktır. Bunun için;
ISA Server Management konsolunda Configuration seçeneğinin altında yer alan Network sekmesini tıklıyoruz.
Networks penceresinde, Internal seçeneği üzerinde sağ tıklayıp properties'i açtıktan sonra Web Proxy sekmesini tıklıyoruz. Web Proxy sekmesinde, Enable Web Proxy clients’ı ve HTTP, SSL portlarını ve authentication seçeneklerini Web Proxy client’ları için yapılandırıyoruz. Ben şu anda sadece http istekleri için bir yapılandırmaya gittiğim için Enable Http seçeneğini kullanıyoruz ve başka bir düzenleme yapmıyoruz.
Ok diyerek ISA Server üzerindeki işlemimizi tamamlıyoruz. Şimdi de client bilgisayarlar üzerinde web proxy ayarlarını yapalım;
Internet Explorer’ı açıyoruz, Tools menüsünden Internet Options’a tıklıyoruz.
Internet Options penceresinde Connections tabına geçip Lan Settings’i tıklıyoruz ve Lan Settings penceresinde, Use a Proxy server for your LAN’ı tıkladıktan sonra Address kutusuna, Proxy server’ın adını ya da IP adresini, Port kutusuna, clientların Proxy server’a bağlanırken kullanacakları port numarasını yazıyoruz.
Local network üzerindeki kaynaklara erişim sırasında, Proxy server’ın atlanması için Web Proxy yapılandırmasını yaparken Bypass Proxy server for local addresses seçeneği kullanabiliriz.. Bu seçenek işaretlendiğimizde, Internet Explorer istekleri, Proxy server’a değil, doğrudan aynı network segmentindeki Web Server’lara gönderir.
Web Proxy Client’ların Otomatik Olarak Konfigürasyonu
Web Proxy client’ların manuel olarak konfigürasyonunun yanı sıra otomatik olarak da konfigüre edilmesi mümkündür. Web Proxy client’ların otomatik konfigürasyonunun enable edilmesinin ardından client bilgisayar her açıldığında konfigürasyon bilgisini download eder.
Web Proxy client üzerinde otomatik konfigürasyonu enable etmek için ISA Server üzerindeki Web Proxy konfigürasyonu değiştirilir.
Client’ların konfigürasyon script’ini indirmeleri için gerekli konfigürasyon:
Internet Explorer’da Internet Options penceresinde Connections tabına geçip Lan Settings’i tıklıyoruz ve Lan Settings penceresinde, “Automatically Detect Settings and Use Automatic
Configuration Script” bölümü seçiyoruz ve Address kutusuna script’in URL’sini yazıyoruz..
Varsayım konfigürasyon script’inin linki: http://ISA_Server/array.dll?Get.Routing.Script
Web Proxy client’ların otomatik konfigürasyonu özellikle çok sayıda client bilgisayarın olduğu (büyük) network’lerde Web Proxy konfigürasyonunun kolayca değiştirilmesi ya da güncellenebilmesi için yapılabilir. Örneğin ISA Server bilgisayarı değiştirildiğinde ona bağlı bilgisayarların konfigürasyonları da otomatik olarak değiştirilir.
ISA Server ayarlarını yapmak:
ISA Server Management konsolunda Configuration seçeneğinin altında yer alan Network sekmesini tıklıyoruz. Networks penceresinde, Internal seçeneği üzerinde sağ tıklayıp properties'i açtıktan sonra Web Browser sekmesini tıklıyoruz. Web Browser sekmesinde, aşağıdaki seçeneklerin konfigurasyonunu gereksinimlerimiz doğrultusunda gerçekleştiriyoruz.
Bypass Proxy For Web Servers In This Network: Bu seçenek ile Web Proxy client’larının aynı network’teki Web server’lara doğrudan bağlanması sağlanır. Proxy server’lara bakılmaz.
Directly Access Computers Specified In The Domains Tab: Bu seçenek Firewall client bilgisayarlara uygulanır. Domains tabına domain adları eklenerek Firewall client’larının doğrudan bu server’lara bağlanması Proxy server’lara bakmaması sağlanır.
Directly Access These Servers Or Domains: Web Proxy ve Firewall client bilgisayarlarının doğrudan bu adreslere bağlanması sağlanır.
If ISA Server Is Unavailable, Use This Backup Route To Connect To The Internet: Birden çok ISA Server varsa ya da client’lar ISA Server’a bakmadan doğrudan Internet’e bağlanıyorsa yedek bir yol tanımlanabilir. Böylece orijinal ISA Server bulunamazsa client’lar otomatik olarak yedek bağlantıyla Internet’e bağlanırlar.
Firewall Client ile Otomatik Konfigürasyon
Client bilgisayarlara Firewall Client yazılımı yüklendiyse Firewall Client yazılımı ile de Web Browser ayarlarının otomatik olarak yapılması sağlanabilir.
Bu işlem için ISA Server Management konsolunda Firewall Client ayarları düzenlenir:
ISA Server Management konsolunda Configuration seçeneğinin altında yer alan Network sekmesini tıklıyoruz. Networks penceresinde, Internal seçeneği üzerinde sağ tıklayıp properties'i açtıktan sonra Firewall Client sekmesini tıklıyoruz. Burada Web Proxy client’ların bağlanacağı Web Proxy server’ı tanımlayabiliriz.
Firewall Client yazılımı kurulduğunda client bilgisayar ISA Server’a bağlanacak ve Web browser belirtilen ayarlara göre çalışacaktır.
Kayıtlar
0 comments :
Yorum Gönder