Selam .Arkadaşlar 40 PC(client XP kurulu),bir de 2003 server olarak kurulu . ADSL Delink 504T model Router. Şimdi yapmak istediyim Servere İSA SERVER kurup interneti Clientlere paylamak. Nasıl bir yol izlemeliyim ? Yardımcı olan arkadaşlara şimdiden teşekkür ediyorum.
(birde İSA Serverden istenilen PC ye (cliente) nete girme yasagi koyabilirmiyiz?)
Serverde iki Network kartı mı kullanmalıyım?
Server ve Client IP ayarlarını nasıl duzenlemem lazım?
İsa Server
Internet Security And Accelerator Server
Internet Security And Accelerator (ISA) Server adından da anlaşılacağı gibi gibi hem hızlı, hem de güvenli bir İnternet bağlantısı sağlar. ISA Server temelde bir NAT (Network Address Translation) mekanizması olarak çalışır, kurum içi ağ ile İnternet'i birbirinden yalıtır. Kurum içi ağda yer alan bilgisayarlar ISA Server'ı ağ çıkış kapısı (default gateway) olarak görürler.
Şekil 1'deki örnek ağa bakalım. Bu ağda kurum içinde 10.0.0.0/8 ağı kullanılmış.
Not: Bu ağı nitelerken kullandığım "/8" ifadesi ağda kullanılan subnet maskesinde 8 adet bir olduğunu gösteriyor. Bu da 255.0.0.0 şeklinde bir subnet maskesine karşılık geliyor.
Şekilde gördüğümüz gibi ISA Server'ın en az iki adet bacağı bulunur. Bacaklardan birisi iç ağa, diğeri İnternet'e bağlıdır. ISA Server benzeri NAT mekanizmasının kullanıldığı yerlerde genelde 10.0.0.0/8, 192.168.0.0./24 gibi iç kullanım için rezerve edilmiş IP adresleri kullanılır. Bu şekilde, kurum içinde, kayıtlı IP adreslerini kullanmaya gerek kalmaz.
Kurum içinde yer alan makineler İnternet'te bir yere gitmek istediklerinde ISA Server'a gelirler. ISA Server onların isteklerini alır, bu istekler sanki kendisinden çıkıyormuş gibi bunları İnternet'e iletir, gelen yanıtları da içerdeki makinelere iletir. Aynı zamanda İnternet'ten getirdiği nesneleri (Web sayfaları, FTP sitelerinden alınan dosyalar) üzerindeki kaşeye de yerleştirir. Eğer kurum içi ağda yer alan bir makine ISA Server'a gelip de o anda kaşede yer alan bir nesneyi isterse isteği kaşeden karşılanır. Bu şekilde aynı nesneler için tekrar tekrar İnternet'e gidilmez, İnternet bağlantısı verimli kullanılmış olur. Aynı zamanda ikinci ve sonraki makineler istedikleri nesnelere daha hızlı ulaşmış olurlar. ISA'daki "Accelerator" (Hızlandırıcı) sözcüğünün anlamı budur.
Tüm İnternet bağlantısı ISA üzerinden olduğu için bu bağlantıyı çeşitli kurallarla, paket filtreleriyle daha güvenli bir duruma getirebiliriz. Yani, ISA Server bir firewall (ateş duvarı) şeklinde çalışabilir. Örneğin, ISA Server üzerinde gerekli olmayan portların hepsini kapatabiliriz. Yalnızca bazı protokollerin geliş gidişine izin verebiliriz. ISA'daki "Security" (Güvenlik) sözcüğü de bu anlama gelir.
ISA Server'ın Sürümleri
ISA Server'ın iki sürümü var: Standard ve Enterprise. İşletmelerin yüzde doksanı için Standard sürümü yeterlidir. Çok büyük işletmeler içinse Enterprise sürümü uygun olacaktır. Bu sürüm daha pahalı ama daha çok ölçeklenebilir bir yapıdadır; yani, birden fazla ISA Server'ın çalışmasının gerektiği, çok sayıda istemcinin olduğu, yoğun İnternet trafiğinin gözlendiği yerler için idealdir.
Bu kurs boyunca ISA Server'ın Enterprise sürümünü kullanacağız.
ISA Server'ın Çalışma Kipleri
ISA Server'ın kurulumu sırasında bizden çalışma kipi istenecektir. Burada karşımıza üç seçenek çıkacak: Cache Mode (Kaşeleme Kipi), Firewall Mode (Firewall Kipi), Integrated Mode (Tümleşik Kip).
Kaşeleme kipinde ISA Server'ı güvenlik amacıyla değil de kaşeleme amacıyla kullanıyorsunuz. Bu oldukça yaygın bir kullanım kipidir. Kurumlar genelde güvenlik amacıyla CheckPoint ve benzeri firmaların firewall programlarını kullanırlar. Bu tür programlar genelde kaşeleme yapmazlar. Onların açığını ISA Server kapatır. Bu tip bir kullanımı Şekil 2'de görüyoruz. Şekil 2'deki kullanımda ISA Server kaşeleme için kullanılıyor, güvenliği firewall aygıtı sağlıyor. Firewall aygıtı ya firewall yazılımı yüklü bir bilgisayar ya da ayrı bir kutu olabilir. Birçok işletmede Şekil 2'deki yapılandırmada ISA Server'ın firewall özellikleri de kullanılabiliyor. Bu şekilde kurumlar İnternet bağlantılarını çift firewall ile korumuş oluyorlar. Bu yapılandırma da özellikle ABD'de yaygınlaşıyor. Bu şekilde bir firewall yazılımının kaçırdığını diğer firewall yazılımının yakalaması hedefleniyor. Tabii, bu arada yapılandırma çok karmaşıklaşıyor.
Firewall kipinde ISA Server'ı bir firewall olarak kullanıyoruz. Bu kipte kaşeleme yapılmıyor.
Tümleşik kipte ise hem kaşeleme, hem de firewall özellikleri birlikte kullanılıyor.
ISA Server'ın Kurulumu
Öncelikle ISA Server'ı kurmak için gereken donanım ve yazılıma bir bakalım.
Donanım bakımından ortalama bir sunucu donanımından fazlası gerekmiyor. İşlemci için minimum 300 MHz'lik Pentium II, bellek olarak 256 MB'lık bellek, kaşeleme için yeterli disk alanı (min. 20 MB olacak ve NTFS bölümde bulunacak), en iki ağ bağlantısı yeterli olacaktır. Ağ bağlantısı derken iki bağlantı da Ethernet bağlantısı olabileceği gibi bir bağlantı Ethernet, diğeri ISDN, kiralık hat hatta dial-up bağlantı olabilir.
Yazılım olaraksa Windows 2000 Server, Windows 2000 Advanced Server ve Windows 2000 Datacenter işletim sistemlerinden birisi gerekiyor. Ayrıca bu işletim sistemine Service Pack yüklenmiş olmalı (minimum SP1). ISA Server'ın yükleneceği makinenin Active Directory (AD) ortamında, yani, bir etki alanında bulunması zorunlu değil. Ama ISA Server'lardan bir dizi (array) oluşturacaksak bilgisayarın AD ortamında bulunması gerekiyor. Örneğimizde ISA Server makinesi, ISASERVER adında, bir etki alanına üye olmayan (stand-alone) bir Windows 2000 Server makinesi. Kurumumuzun İnternet'e yani dış dünyaya bağlantısını sağlayan makinenin etki alanımıza üye olmaması aslında daha doğru olur.
Yazılımı kuracak kişi için de bir bilgimiz var. Eğer bir etki alanı içindeysek ve ISA Server'ı kuran kişi etki alanında Schema Admins (Şema Yöneticileri) grubuna üyeyse kurulum sırasında AD şeması değiştirilir (ISA Server'la ilgili nesneler ve özellikler şemaya eklenir). Ama böyle olması zorunlu değildir. Açıkcası bu hiç istenmeye de bilir. Dolayısıyla kurulumu yapan kişinin Schema Admins grubuna üye olması zorunlu değildir. Kuran kişi Schema Admins grubuna üye değilse kurulum yapılır ama AD şeması ile ilişkili işlemler (örneğin dizi yaratma) yapılamaz. Bizim durumumuzda kurulumu yapan kişi Administrator kullanıcısıdır. Bu kullanıcı bütün yönetici gruplarına üyedir. Ama makinemiz bir etki alanına üye olmadığı için AD de söz konusu değil. Dolayısıyla AD üzerinde yapılacak değişiklikler de söz konusu değil.
Kurulum için gerekenleri oluşturduysak kuruluma başlayalım.
ISA Server CD-ROM'unu sürücüye takıyoruz. Kurulum programı otomatik olarak başlıyor ve Şekil 3'deki menüyle karşılaşıyoruz. Biz bu menüden Install ISA Server şıkkını seçiyoruz.
İlk olarak bir Welcome penceresiyle karşılaşıyoruz. Continue düğmesine basarak bu pencereyi geçiyoruz.
Bir sonraki pencerede bizden CD-Key isteniyor. Ben deneme kopyası kullanıyor olduğum için 10 tane "1" girerek burayı geçtim. Siz tabii elinizdeki gerçek Key'leri kullanacaksınız. Bir sonraki pencerede de bu CD-Key ile oluşturulan ürün numarası görüntüleniyor. Bu pencereyi de OK düğmesine basarak kapatıyoruz.
Sonraki penceremiz lisans anlaşması penceresi. Burada da I Agree (Onaylıyorum) düğmesine basarak geçiyoruz.
Sonraki ekranda kurulum seçenekleriyle karşılaşıyoruz (Şekil 4). Aynı zamanda ISA Server'ın hangi klasöre kurulacağını da buradan görüp değiştirebiliyoruz. Biz bu seçeneklerden Custom'ı seçiyoruz (nelerin seçilebileceğini görmek için) ve Şekil 5 ile karşılaşıyoruz.
Yukarıdaki şekilde üç seçenek var: ISA Services (ISA aslında bu seçenekten oluşuyor), Add-in services (Eklenebilen hizmetler) ve Administration tools (Yönetim araçları). Add-in services'daki seçenekleri ilerde göreceğiz. Administration tools ise ISA Server'ı yönetebilmemizi sağlıyor. Yönetim araçlarını ISA Server'ın dışındaki Windows 2000 makinelere de yükleyebiliriz. Böylece ISA Server'ı yönetmek için ISA Server'ın yüklü olduğu makinenin başına gitmeye gerek kalmaz.
Seçenekleri kabul edip Continue düğmesine basıyoruz. Şekil 6'daki uyarı mesajıyla karşılaşıyoruz. Bu mesajda bu makine bir etki alanına üye olmadığı için bir diziye katılamayacağı söyleniyor. Biz bu durumu biliyorduk zaten. Yes düğmesine basıp devam ediyoruz.
Sonraki ekran önemli (Şekil 7). Burada ISA Server'ın çalışma kipini belirliyoruz. Varsayılan olarak Integrated mode işaretli. Bu çalışma kipi bize uyuyor. Continue düğmesine basarak devam ediyoruz.
Şekil 8'deki uyarı mesajıyla karşılaşıyoruz. Bu mesajda kurulum programının IIS (Internet Information Services) hizmetini durdurduğu söyleniyor ve kurulum tamamlandıktan sonra IIS hizmetlerinin kaldırılması ya da IIS içinde yer alan Web sitelerinin portlarının değiştirilmesi öneriliyor.
Not: Burası bir önceki sürüm olan Proxy Server 2.0'a göre çok farklı. Proxy Server 2.0 programı IIS'in üzerinde bir ISAPI filtresi olarak çalışıyordu. Dolayısıyla Proxy Server 2.0'ın yükleneceği makinede IIS'in yüklü olması zorunluydu. ISA'daysa mimari kökten değişmiş. Artık ISA programının yükleneceği makinede IIS'in bulunması zorunlu değil. Hatta bulunmasa daha iyi olur.
Uyarıyı okuduk, anladık, gereğini yapacağız. OK tuşuna basarak devam edebiliriz.
Bir sonraki ekranda (Şekil 9) kaşenin yerini ve büyüklüğünü belirtiyoruz. Kaşe NTFS formatlı bölümlerde bulunabilir ve ne kadar büyük verilirse o kadar iyi olur. Minimum kaşe büyüklüğü 100 MB + her istemci için 0.5 MB olarak hesaplanıyor. Örneğin, ISA Server'dan yararlanarak İnternet'e çıkacak makinelerin sayısı 100 ise minimum kaşe büyüklüğü 150 MB'dır. Kaşe için ayrı bir sabit diskin kullanılması ve olabildiğince fazla yerin ayrılması önerilir. Ben örnekte 300 MB'lık bir yer belirledim. OK tuşuna basarak devam ediyoruz.
Sonraki ekranda Local Area Table (LAT-Yerel Ağ Tablosu) belirleniyor. Kurum içinde yer alan bilgisayarlar böyle bir tabloya bakarak kurum içindeki makineleri ayırt edebilirler ve gidecekleri makine kurum içindeyse ISA Server'a uğramazlar.
LAT tablosu Şekil 10'da görüldüğü gibi elle oluşturulabilir. Kurum içinde kullanılan IP adres aralıklarını sol tarafta görülen From-To kutularına yazıp Add (Ekle) tuşuna bastığınızda bu adresler sağ taraftaki Internal IP ranges kutusuna yazılırlar. LAT'ı oluşturmanın bir başka yolu altta bulunan Construct Table (Tabloyu Oluştur) düğmesine basmaktır. O tuşa bastığımızda Şekil 11'de görülen ekranla karşılaşacağız.
Şekil 11'de iki kutu var. Yukardaki kutu iç kullanım için erezerve edilmiş bütün adreslerin LAT'e eklenmesi anlamına geliyor. Biz içerde bütün bu IP adreslerini kullanabiliriz. Aslında bu seçenek bile bize yeter. Çünkü biz içerde 10.0.0.0/8 ağını kullanıyoruz. İkinci seçenekse ISA Server'ın yüklü olduğu makinenin IP adreslerinden seçim yapmamıza olanak sağlıyor. Ben bunlardan iç bacağı ve onun IP adresini seçtim. Dış bacağı ve onun IP adresini seçmedim. OK düğmesine basarak devam ediyorum.
Karşımıza Şekil 12'deki uyarı mesajı çıkacak. Bu mesaj, LAT'i doğru yapılandırmamışsak bağlantılarımızda sorun yaşayacağımızı söylüyor. Okuduk, anladık anlamına OK düğmesine basıyoruz. Sonra da tekrar OK düğmesine basarak devam ediyoruz.
Belirtiğimiz seçeneklere göre dosyalar kopyalanmaya başlıyor.Kurulum tamamlanınca Şekil 13'deki mesajla karşılaşıyoruz. Burada Getting Started Wizard adındaki yardımcı programın başlatılacağı söyleniyor. Biz bunu istemiyoruz. Bu yüzden kutuyu temizliyoruz.
Son olarak kurulumun tamamlandığını söyleyen bir mesaj alıyoruz. OK düğmesine basarak bu kutuyu da kapatıyoruz. Hayırlı, uğurlu olsun, ISA Server'ı kurduk.
Yapılandırma
ISA Server'ın yapılandırması Start, Programs altına eklenen Microsoft ISA Server grubundan yapılıyor. Bu program grubunun altında iki öğe var: ISA Management ve ISA Server Performance Monitor. Bütün yönetim işleri ilk seçenekten yapılıyor. İkinci seçenekle ISA Server'ın performansını izleyebiliyoruz.
ISA Management'ı açıyoruz. Internet Security and Accelerator başlığı altında Servers and Arrays düğümü görülüyor. Sol tarafındaki artı (+) tuşuna basarak düğümü genişletiyoruz. ISASERVER adındaki sunucumuzu görüyoruz. Onu da genişletiyoruz. Şekil 14'dekine benzer bir görüntü ile karşılaşıyoruz.
ISA Server'ın bütün yapılandırmasını bu konsoldan yapacağız. Yapılandırma işine Access Policy (Erişim İlkesi) düğümünün altındaki Protocol Rules kabında yeni bir protokol kuralı yaratarak başlayacağız. Böyle bir kural yaratılmadığı sürece ISA Server üzerinden İnternet'e çıkılmaz. Proxy Server 2.0'da böyle değildi: Kurduğunuz anda Proxy Server 2.0 üzerinden İnternet'e çıkabiliyorsunuz.
Protocol Rules kabına sağ tıklıyoruz ve menüden New, Rule şıkkını seçiyoruz. Sağ taraftaki Create a Protocol Rule for Internet Access kısayoluna tıklayarak da aynı şeyi yapabiliriz.
Protokol kurallarını bir sonraki dersimizde ayrıntılı olarak işleyeceğiz. Burada yalnızca basit bir kuralı Next tuşlarına basarak oluşturacağız. Bu kuralı oluşturduğumuzda ISA Server hizmet vermeye hazır duruma gelecek.
Yeni protokol kuralı oluştururken ilk olarak kurala bir ad vermemiz gerekir. Kuralın adını Internetcikisi olarak verdim. Sonraki bütün ekranlarda Next tuşuna basarak geçtim. Son olarak da Finish tuşuna basarak kural oluşturma işlemini tamamladım.
ISA Server kurulduğuna ve çalışır duruma getirildiğine göre şimdi istemci makineleri yapılandırıp onların ISA Server'ı kullanmalarını sağlayabiliriz.
İstemcilerin ISA Server'ı kullanmaları çeşitli şekillerde sağlanır. Bunları ayrıntısıyla göreceğiz ileriki derslerimizde. Şu an için bunların en basitini kullanalım.
En basit yöntem istemcileri SecureNAT istemci yapılandırmasıdır. Bu yöntemin adı oldukça cafcaflı ama yaptığımız şey istemcilerde ağ çıkış kapısı (default gateway) olarak ISA Server'ın içeri bakan bacağını (örneğimizde 10.0.0.1) göstermek. Hepsi bu kadar. Bunu yaptığımızda kurumumuzda yer alan makineler ISA Server üzerinden İnternet'e çıkabilirler.
Anladığım kadarıyla tüm çalışanlarına internet erişimi vermek istemiyorsun.
Bence sadece bunu yapmak istiyorsan ISA olayına girme, boşuna uğraşma derim.
2003 domain kullandığına göre bütün kullanıcıların domain kullanıcısıdır, o zaman sen iki tane OU açıcaksın ve bu OU ların birisine bir Proxy atayacaksın, verdiğin IP önemli değil sadece o ip ye sahip bir makinanın networkünde olmaması yeter.
Sonrasında ise kullanıcılarının bu proxy yi değiştirmelerini engellemek için yine Group Policy den IE de proxy ayarlarını yaptığın yeri devre dışı bıraktıracaksın.
Böylece senin istemediğin kişiler (Domain kulalnıcısı olması şartıyla) internete giremez.
Domain kullanıcısı olmayanlara ise Local Group Policy ile yapabilirsin.
Detaylı yardım istersen msn den bana ulaşabilirsin.
arkasım hepsini unut routerında zaten nat ayarı var bana sorarsan hiçbişey yukleme direk routerdan cıkıs yaptır clientlere, blok koymak istediin makinayada nat ayarlarından ulasırsın istediğinin portunu kapat derim ben
Selam. Sayın emresky ben Roueteri Server makinaya 1 network adapötre bağladım. 2 network adaptörünü ise Switche bağladım.
Şimdi İSA serveri kurdum açıkcası çıkamadım içinden , çok uğraş istiyo İSA.
Routerin ayarlarına geldikte ise bu konuda biraz daha detay verebilirmisin?
isa ck ayrı bı dunya derım default olarakta zatne hıc bısıye ızın vermıyecektır rule ler yazmalısın her yapmak ıstedıgın sey ıcın sana kolay gelsın.yınede bıldıgım kadarıyla yardımcı olmak ısterım
Isa server kullanman için öncelikle şirketinin bir alt yapı projesi çıkartılması lazım. Bizim genelde önerimiz ISA server için bir başka server kullanılması. ISA nın yapılandırılmasında bir çok Rule ve Script vardır. Ne istediğine uygun olarak sana Rule listesini yapılandırma şeklini yollaya bilirim
Neden ISA Server kullanmak istiyorsunuz ? ISA'nın lisansına vereceğiniz para ile güzel bir firewall alabilirsiniz. Eger user bazlı kısıtmama yapmak istiyorsanız alacağınız firewall'da Active Directory bağlantısını (NTLM) istersiniz.
Eğer SBS (Small Business Server) Premium varsa para vermeden yaparsınız. Ama ben tavsiye etmem. Zaten üzerinde yeterince yük olacaktır. Ayrıca ISA'ya attack yapıdığında veya bir sorun oluştuğunda server userları olumsuz etkilecektir.
Ayrıca belirmemişsiniz ISA Server'in hangi versiyonu. 2000 ise google'de isa kurulum diye aratın bir sürü döküman var. Tez1981 nickli arkadaşta oradan almış.
150 kullanıcım var.Aslında ISA'dan bunlara istemediğim sitelere girmesini kısıtlama yapmak istiyorum.Acaba bunu nasıl yaparım.
ISA server istediğiniz URL listesini göstererek blok koyabilirsiniz.
bunun için ; http://www.isaserver.org/articles/2004firewallblocklist.html
burada anlatılıyor.
kolay gelsin.
slm.
isa server kurulumu için;
1)isa server olacak bilgisayarda iki tane ethernet kartı olmalı
2)bunlardan biri iç yani internal diğeri ise external yani dış
iç taraftaki ethernetin ağ özelliklerinden ağ geçidi olarak isa server'ın ip adresini verirsiniz
dns'i ise hem iç hemde dış taraftaki ethernete verirsiniz.
dış taraftaki ethernete ağ geçidi olarak adsl modem varsa onun ip adresini verirsiniz
3)isa server kurulumu sırasında zaten size soracaktır. internal kısımın neresi diye orada internal kısımı kendi iç networkünüze göre gösterirsiniz
4)kurulum tamamlandıktan sonra isa default olarak hem içe hemde dışa kapalıdır(default rule)
yani isa server'a herhangi bir makineden ping bile atamayabilirsiniz
5)bunun için internal dan local host(isa server olan pc)ye bir access rule tanımlamalısınız ve allow vermelisiniz
6)bu noktadan sonra yapacaklarınız sizin yapınıza göre değişir
7)yani clientların çalışma biçimi (FIREWALL CLIENT,WEB PROXY CLIENT,SECURE NAT CLIENT) olarak yapılandırabilirsiniz.
8)isa server'da istediğiniz kullanıcıların hangi sitelere girmelerini istiyorsanız ilgili kullanıcılara ALLOW RULE'lar tanımlarsınız.
kolay gelsin
Arkadaşlar İSA Server Nereden Download Edeceğimi Bana Link Olarak Verebilirmisiniz.
http://www.microsoft.com/isaserv ... l-software.mspx#E1B
buradan indirebilirsiniz.iki sürümü mevcuttur.
enterprise,standard sürümleri vardır.
indirdikten sonra sisteme kurun.sonra sorularınız varsada cevablarım.iyi günler
kolay gelsin.