Windows 2000 ISA Server Kurulumu.

deathbed · 12-08-2006, 21:14

ISA (Internet Security and Acceleration) Server 2000, özellikle Internet'e erişim için kendi networklerini
genişleten şirketler için geliştirilmiştir. ISA Server, caching (ön belleğe alma) özelliğiyle özellikle
kullanıcıların Web erişimini hızlandırır. Bunun dışında ISA Server, şirketin network kaynaklarını, network
dışından gelecek yetkilendirilmemiş kullanıcılara karşı korumak için firewall görevi üstlenir.

A. ISA SERVER SÜRÜMLERI
ISA Server, ölçeğe göre iki ayrı sürüm olarak pazara sürülmüştür:
-ISA Server Standard Edition
-ISA Server Enterprise Edition
Standart sürüm, küçük şirketler için firewall ve Web caching hizmetleri sağlar.
Enterprise sürüm ise, standart sürümün özelliklerinin yanı sıra, özellikle daha fazla Internet trafiğini
yönetmek ve performans sağlamak için geliştirilmiş bir üründür.

B. ISA SERVER'IN SAĞLADIĞI ŞEYLER
ISA Server şirketlere şu yararları sağlar:
• Hız (acceleration)
• Güvenlik (security)
• Yönetim
• Genişleme

ISA Server, caching olanağıyla Internet üzerindeki network trafiğini azaltır. Değişik katmanlarda network
trafiğini izleyerek güvenliği sağlar. Güvenliği sağlamak için gelen ve giden network trafiğine filtre konur.

ISA Server, güvenlik ve caching özelliklerinin yanı sıra merkezi bir yönetim ve şirket ilkelerinin
geliştirilmesini sağlar.

C. KURULUM MODLARI
ISA Server değişik modlarda kurulur:
• Cache mod
• Firewall mod
• Integrated mod

Cache mode Web erişimi hızlandıran bir moddur. Firewall ise güvenlik sağlar. Integrated modda ise her
iki mod bir araya getirilebilir. Genellikle her iki mod bu Integrated mod ile bir araya getirilerek kolay
yönetim sağlanır.

II. CACHİNG (ÖN BELLEĞE ALMAK)
Caching erişilen Web nesnelerinin ön bellekte tutulmasıyla network performansının artırılmasını sağlar.
Caching işlemi Intranet ve Internet için kullanılabilir.
ISA Server değişik caching işlemlerini destekler:

• Forward caching.
• Reverse caching.
• Distributed caching.
Forward caching işlemi iç istemcilerin Internet üzerindeki adreslere erişmesini hızlandırır. Sık istenen
nesneler merkezi bir ön bellekte tutulur ve diğer istemcilerin buradan erişmesi sağlanır.

Reverse caching işlemi ise, dış istemcilerin iç Web server üzerindeki kaynaklara erişmesini sağlar.
Distributed caching işlemi ise birden çok ISA Server arasında yük dengelemesini sağlar.

III. FİREWALL
Firewall, donanım, yazılım ya da her ikisinin bileşimi olarak düzenlenen güvenlik sistemleridir. Firewall'lar
network üzerindeki paketleri filtreleyerek özel networkleri izinsiz kullanıcıların erişiminden korur. Değişik
türde firewall tasarımları vardır. Buların içinde three-homed firewall ya da back-to-back firewall gibi
düzenlemeler vardır.

Firewall'lar iki amaca hizmet ederler:

Networke giren ve networkten çıkan bütün trafiği kontrol eder ve izinsiz kullanıcıları engellerler. Bunun
dışında şirket için güvenlik ilkesi uygularlar.

ISA Server network trafiğinin kontrolü için şu işlemleri yapar:

• IP Paketlerinin Filtrelenmesi
• Uygulama Filtreleleri
• Kötü Niyetli Kişilerin Bulunması
Paket filtreleme network paketlerinin özelliklerine göre yapılır. Uygulama filtereleri ise belli bir tür veriye
göre yapılır.

I. PLANLAMAK
Bu konuda ISA Server'ın planlanması ve dağıtılmasıyla ilgili konular yer almaktadır. Aşağıdaki tabloda ISA
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]
Server kurulumunda ve dağıtımında göz önünde bulundurulacak konular yer almaktadır:
Konu Açıklama
Gereksinim duyulan bilgisayar sayısı Donanım yapılandırması ve Internet bağlantısı.
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]
Hangi ISA Server özelliklerine gereksinim duyacağız? Belli network özelliklerini karşılamak için belli ISA

Server özelliklerini seçmek.

Kullanıcı gereksinimleri nelerdir? Kullanıcıların gereksinim duydukları uygulamaları ve servisleri
belirlemek.
Var olan network üzerinde yeniden yapılandırma gerekecek mi? ISA Server'ın var olan network ile olan

ilişkisini belirleyin.

A. KAPASİTE PLANLAMASI
Performans bakımından iyi sonuçlar almak için ISA Server donanımını ve Internet bağlantısını tahmin
edilen yüke göre planlamak gerekir.
Minimum Gereksinim:
ISA Server'ı kullanmak için gerekenler:
-300 MHz (MHz) ya da daha yüksek bir Pentium II-compatible CPU.
-Microsoft Windows 2000 Server Service Pack 1 ya da daha yenisi, Windows 2000 Advanced Server

Service Pack 1 ya da daha yenisi Windows 2000 Datacenter Server.
-256 MB RAM
-20 MB hard-disk space
-Windows 2000 network adapter
-Local hard-disk üzerinde bri NTFS disk bölümü (partition)
Uzaktan Yönetim Gereksinimleri:
Uzaktan yapılacak ISA Server yönetimi için yalnızca ISA Management'i kurmanız yeterlidir. Bu program

Windows 2000 Professional ya da Windows 2000 Server üzerinde çalışabilir.
Ayrıca ISA Server'ı çalıştıran bilgisayar üzerinde Terminal Servislerini Remote Administration modunda

kurabilirsiniz. Bu durumda diğer bir bilgisayara ISA Management araçlarını yüklemek zorunda
kalmazsınız. Bunun yerine ISA Server'ı yönetmek için Terminal Services oturumunu kullanırsınız.

Forward Caching Gereksinimleri:
ISA Server bir forward caching server olarak kullanılabilir. Forward caching server, sık erişilen Internet
nesnelerinin merkezi olarak saklanmasını (cache) sağlar. Bu durumda kaç tane Web tarayıcısının
Internet'e erişeceğini belirleyin.

Aşağıdaki tabloda şirket içindeki kullanıcıların Internet'e erişimini en şekilde sağlamak için gereken
donanım açıklanmaktadır:
Kullanıcı Sayısı ISA Server Bilgisayarı RAM Disk Alanı
-500 Tek bir Pentium II Bilgisayar 256 2-4 Gigabytes (GB)
500 – 1,000 Tek bir Pentium III ve 500 MHz
ya da daha hızlı bilgisayar. 256 10 GB
1,000 -İki tane Pentium III ve 500 MHz
ya da daha hızlı bilgisayar. 256 10 GB

B. ISA SERVER'IN ÖZELLİKLERİNİ SEÇMEK
ISA Server, firewall ve caching özellikleriyle kurulabilir. Yalnızca firewall ya da caching özellikleri
kurulabilir. Kuruluş sırasında bu modlar seçilebilir:
-firewall,
-cache
-ya da integrated.
Firewall modunda network iletişimini kurallarla (rules) yapılandırarak korumak söz konusudur. Cache mod ise network performansını artırmayı amaçlar.
Integrated modda ise bütün cache ve firewall özellikleri kullanılabilir. Seçilen moda göre farklı özellikler seçilebilir. Aşağıdaki tablodaki özellikler firewall ve cache modları için geçerlidir. Integrted modda ise
bütün özellikler kullanılabilir:

Özellik Firewall Cache
Access policy Yes Yes (HTTP ve HTTPS protokolları)
Application filters Yes No
Cache configuration No Yes
Firewall and SecureNAT client support Yes No
Packet filtering Yes No
Real-time monitoring Yes Yes
Reports Yes Yes
Server publishing Yes No
Virtual private networking Yes No
Web filters Yes Yes
Web publishing Yes Yes
Web Proxy client support Yes Yes

C. İSTEMCİ GEREKSİNİMLERİ ISA Server aşağıdaki türde istemcileri destekler:

-Web Proxy clients: Bir Web Proxy istemcisi isteğini doğrudan ISA Server'a gönderir. Ancak Internet
erişimi tarayıcıyla sınırlıdır. Web tarayıcısının Web Proxy olarak yapılandırılması gerekir.

-SecureNAT clients: Secure network address translation (SecureNAT) istemcileri ise güvenlik ve caching
sağlarlar, ancak kullanıcı düzeyli authentication işlemine izin vermezler. Bir SecureNAT istemcisini
yapılandırmak için istemci bilgisayarda ISA Server'ın IP adresi default gateway olarak düzenlenir.
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]

-Firewall clients. Firewall istemcileri ise kullanıcı bazında bağlantıya sahip olurlar. a Firewall client
yapılandırmak için Firewall client programının istemci bilgisayar üzerine kurulması gerekir. ISA Server
Firewall client programı yalnızca Microsoft Windows Millennium Edition, Microsoft Windows 95 OSR2,
Microsoft Windows 98, Windows NT 4.0 ve Windows 2000 bilgisayarlara yüklenir.

II. KURULUM
ISA Server CD'sinin takılmasıyla başlatılan kurulum aşamalarında şunlar göz önünde bulundurulur:
A. KURULUM MODUNUN SEÇİLMESİ
ISA Server kurulumuna başlamak için ISA Server CD'si bilgisyara takılır. Ardından Continue ile kuruluma
başlanır. Lisans anlaşmasının ardından kurulum şekilleri seçilir:
-Typical Installation
-Full Installation
-Custom Installation
Yaygın olarak kullanılan ISA Server bileşenlerini kurmak için Typical kurulum seçilir.
Ardından kurulum modu seçilir:
-firewall,
-cache
-ya da integrated.

Eğer ISA Server'ı cache modda ya da Integrated modda kuracaksanız, kurulum programı cache için yerin
düzenlendiği bir iletişim kutusunu kullanır. Bu işlem için NTFS ve yeterince yer olan bir disk seçilir.

Varsayılan cache büyüklüğü 100 MB'dır. Minimum cache büyüklüğü ise 5 MB dir.

deathbed · 12-08-2006, 21:17

B. LAT YAPILANDIRMASI
LAT (Local Address Table), iç IP adreslerinin bir tablosudur. ISA Server'ı firewall modda ya da Integrated
modda kurulmuşsa, kurulum sırasında LAT'ı yapılandırabilirsiniz. ISA Server, LAT'ı şirket içindeki iç IP
adreslerini tanımlamak için kullanır. Böylece ISA Server, LAT'ı kullanarak iç (internal) network içindeki
bilgisayarların dış network üzerindeki bilgisayarlarla iletişim kurmasını sağlar.

Kurulum sırasında LAT'ı yapılandırmak için:

1. Kurulum sırasında Table'ı tıklayın.
2. Özel IP adresi aralığını girmek için Add address ranges based on the Windows 2000 Routing Table
onay kutusunu seçin. Ardından iç (internal) network için olan netwotk kartı için olan onay kutusunu da
işaretleyin.
3. Internal IP ranges kutusunda, IP adres aralıklarının listesini gözden geçirin ve gerekli düzeltmeleri
yapın.

C. ISA CLİENT
ISA Server, daha önce de bahsettiğimiz gibi üç tür istemciyi (clients) destekler:
-Web Proxy clients
-SecureNAT clients
-Firewall clients
Hangi tür istemci kullanımına nasıl karar vereceğiz?
Yalnızca Web isteklerinin performansını artırmak için Web Proxy istemcisi kullanılır.
İstemci yazılımına gerek duyulmadan ISA Server'a erişmek için SecureNAT istemcileri kullanılır. Ancak
şirketlerde daha çok Firewall istemcileri kullanılır. Çünkü Firewall istemcileri Internet erişiminin yalnızca
kimlik denetim yapılmış (authenticated) kullanıcılar tarafından yapılmasına izin verir.
Ayrıca Firewall istemciler, kullanıcı bazında ilke (policy) düzenlemesinin yapılmasını sağlar.

Firewall Client Yazılımının KurulmasıISA Server kurulumunun ardından MSPInt adlı bir dizin yaratılarak istemcinin buradan setup.exe
programıyla kurulması sağlanır.

\\Server\MSPInt dizinine geçin.
Buradaki Server, ISA Server'ın kurulduğu bilgisayarın adıdır.
Ardından Setup.exe programıyla istemci yazılımı kurulur.

D. MİCROSOFT PROXY SERVER 2.0'DAN YÜKSELTMEK
ISA Server Microsoft Proxy Server 2.0'dan full geçişi destekler. Diğer bir deyişle Proxy Server 2.0
kuralları (rules), network düzenlemeleri ve caching yapılandırması aynen benimsenir.

I. ACCESS POLICY VE RULE
ISA Server, iç networkünüzü Internet'e bağlar. Ancak şirket içinden Internet'e erişim için verilen izin
düzenlenmesi gerekir. Bu düzenlemeler Access Policy ve ilgili kuralların (rule) oluşturulmasıyla sağlanır.
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]

ISA Server üzerinde düzenlenen Access Policy ve ilgili kurallar (rule), kullanıcıların belli bir protokole
erişmesi için izin verilmesini ya da engellenmesini (deny) sağlar.

İPUCU: ISA Server kurulumunun ardından istemcilerin Internet erişimini sağlamak için bir kural (rule)
tanımlayarak http protokolünü kullanıma açmanız gerekir.
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]

A. ACCESS POLİCY BİLEŞENLERİBir access policy (erişim ilkesi) şu bileşenlerden oluşur:
Protokol Kuralları
ISA Server istemcilerinin iç ve dış network ile iletişim kurmak için kullanabileceği protokolleri tanımlar.
Site ve İçerik Kuralları
İzin verilen ya da engellenen Web proxy istemcilerinin erişebileceği site ve içerikleri tanımlar.
Policy Elemanları
Kuralların bir kısmı olarak kullanılacak ayarlamaları tanımlar. İlkeler (policy) belli bir zamanlamayı ya da
belli bir içeriği tanımlar.

B. BİR ERİŞİM İLKESİ (ACCESS POLİCY) PLANLAMAK
Bir erişim ilkesini oluşturmadan önce şirketinizin gereksinimlerini karşılayacak olan strateji
geliştirmenizde yarar vardır. Bir erişim ilkesi geliştirmek için şu kriterleri göz önünde bulundurabilirsiniz:
-Şirketin gereksinimleri.
-Gerek duyulan kurallar.
-Kuralları tanımlamak için gereken ilkeler (policy).

C. PROTOKOL KURALLARI OLUŞTURMAK
Protokol kuralları, istemcilerin Internet'e erişmek için kullandıkları protokollardır. Örneğin http gibi.
Bir protokol kuralı yaratmak için şu adımları izleyin:
1. ISA Management programını başlatın.
2. Konsol ağacında Access Policy'ı genişletin.
3. Protocol Rules'ı ve ardından Create a Protocol Rule'ı tıklayın.
4. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın.
5. Next'i tıklayın ve Protocols sayfasındaki seçeneklerden birisini tıklayın.
Seçenekler:
All IP traffic: Firewall istemciler için bütün IP trafiğine izin verilmesi ya da engellenmesi.
Selected protocols: Kuralın uygulanacağı bütün protkoller.
All IP traffic except selected: Kuralların uygulanmayacağı bütün protokoller.
6. Schedule sayfasında belli bir zaman planını seçin ve Next'i tıklayın.
7. Client Type sayfasında ise şu seçenekleri düzenleyebilirsiniz.
Seçenekler:
Specific computers (client address sets): Kuralların uygulanacağı istemci bilgisayarlar.
Specific users and groups: Kurallın uygulanacağı kullanıcı ve gruplar seçilir.
NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve
markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]
olarak kullanılmaz.

D. SİTE VE İÇERİK KURALLARI
Site ve içerik kuralları ise, kullanıcıların belli sitelere erişmesine izin verir.
Bir protokol kuralı yaratmak için şu adımları izleyin:
1. ISA Management programını başlatın.
2. Konsol ağacında Access Policy'ı genişletin.
3. Site and Content Rules'ı ve ardından Create a Site and Content Rule'ı tıklayın.
4. New Site and Content sihirbazında Site and Content rule name kutusunda kuralın adını yazın ve Next'i
tıklayın.
5. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın.
6. Destination Sets sayfasındaki seçenekleri tıklayın.
Seçenekler:
All destinations: Bir zaman planını seçin, ardından istemci türünü seçin.
All internal destinations: Bir zaman planını seçin, ardından istemci türünü seçin.
All external destinations: Bir zaman planını seçin, ardından istemci türünü seçin.
Specified destination set: Bir zaman planını seçin, ardından istemci türünü seçin.

E. POLİCY ELEMANLARI OLUŞTURMAK
ISA Server kurallarını oluşturmak için policy (ilke) bileşenlerine gerek duyulur. İlke elemanları
kullanıcılar, yer ve bant genişliğinin kullanımı konusunda daha fazla kontrol sağlar.
ISA Server policy elemanları şunları içerir:

• Schedules (zaman planları)
• Bandwidth priorities (bant genişliği öncelikleri)
• Destinations Sets (hedef bilgisayarlar)
• Client address sets (istemci adresleri)
• Protocol definitions (protokol tanımlamaları)
• Content groups (içerik gruplamaları).
• Dial-up entries (çevirmeli bağlantılar).

II. GÖZDEN GEÇIRME
1. Kullanıcıların belli Web sitelerine erişimlerini engellemek için ne yaparsınız?
2. ISA Server kurulumunun ardından istemcilerin Internet'e erişmesi için ne yapmak gerekir?

I. CACHING FONKSİYONLARI
ISA Server, Web nesnelerine hızlı ve etkin erişim sağlamak için çeşitli caching fonksiyonlarına sahiptir.
ISA Server'ın cache performansını artırmak için yaptıklarında bazılarını şu şekilde açıklamak mümkündür:
RAM ve Disk Caching
Disk üzerinden erişilen nesneler için RAM (ana bellek) üzerinde alan ayırmak ve ardından onları disk

üzerine kaydetmek.
Cache Edilen Nesnelerin Dizinini Oluşturmak
Cache edilen nesnelerin bir dizinini RAM üzerinde tutar.
ISA Server, caching fonksiyonları bu işlemlerin yanı sıra, bu işlemleri dinamik olarak günceller ve

kullanılmayanları da silerek caching işlemini sürekli olarak güncel ve etkin tutmayı sağlar.

deathbed · 12-08-2006, 21:20

A. YENİ NESNELERE ERİŞMEK
Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy
servisine gönderir.
Web Proxy servisi isteği aldığında şu şekilde işler:

1. Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını
kontrol eder. Nesne cache içinde yer almıyorsa, nesne için cache içinde bir kayıt ayrılır.
2. Wep Proxy servisi nesneyi Internet üzerinde elde eder ve bir kopyasını RAM cache üzerine koyar.
3. Web Proxy servisi nesneyi istemciye döndürür. Bu arada Web Proxy servisi nesneyi disk cache içinde
de saklar.

B. VAROLAN NESNELERE ERİŞMEK
Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy
servisine gönderir.

Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol
eder. Nesne cache içinde yer alıyorsa, nesne bir Internet trafiği oluşturmadan doğrudan istemciye ulaşır.
Böylece hız artar.

II. CACHING İLKELERİNİ YAPILANDIRMAK
Bölümün önceki konusunda ISA Server'ın caching fonksiyonlarından söz ettik. Ancak, bu fonksiyonları
ayarlamak için belli ilkeler (policy) kullanılabilir. Bu konuda bu ilkelere bakacağız:

A. HTTP CACHİNG'İ YAPILANDIRMAK
HTTP Caching işlemini etkinleştirdiğinizde, ISA Server'ın HTTP nesnelerini (Internet erişimi) cache içinde
tutmasını sağlarsınız. ISA Server belirtilen bir süre kadar erişilen içeriği cache içinde tutar ve bir sonraki
erişimin istemcilere hız sağlar.
Ancak, nesneler ne kadar süre cache içinde duracak?
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]
Bir nesnenin cache içinde kaldığı süre TTL (Time to Live) olarak adlandırılır.
HTTP caching işlemini etkinleştirmek için:

1. ISA Management içinde, konsol ağacını açın.
2. Cache Configuration'ı tıklayın. Ardından ayrıntılar bölmesinde Configure Cache Policy'i tıklayın.
3. Cache Configuration Properties iletişim kutusunda HTTP sekmesinde Enable HTTP Caching onay
kutusunu işaretleyin.
ISA Server, HTTP nesnelerinin cache içinde saklanması için önceden tanımlı düzenlemeler sağlar:
Frequently: Nesnelere Internet üzerinde sıklıkla erişim sağlar. Bant genişliği sınırı olmadığında tercih
edilebilir.

Normally: Frequently ve Less Frequently seçeneklerinin arasında bir ayarlama. (Varsayılan ayar).
Less frequently: Nesnelere Internet üzerinde daha az sıklıkta erişilir. Bant genişliği sınırlı olduğunda
tercih edilebilir.

B. FTP CACHİNG
Aynı şekilde, FTP trafiği içinde caching ayarlamaları yapılabilir.
III. CACHE BOYUTUNU AYARLAMAK
ISA Server, caching için .cdat dosyasını kullanır. ISA Server, nesneleri caching alanına attıkça bu dosyaya
yerleştirilir. .cdat dosyası dolduğunda, ISA Server, eski nesneleri silerek yeni nesnelere yer açar.
Cache boyutunu ayarlamak:

1. ISA Management içinde, konsol ağacını açın.
2. Cache Configuration'ı tıklayın. Ardından Drives'i tıklayın.
3. Ayrıntılar bölmesinde, ISA Server üzerinde sağ tıklayın ve Properties'ı seçin.
4. Maximum cache size (MB) kutusunda sürücünün boyutunu yazın ve Set seçeneğini tıklayın.
Aynı şekilde bellekte oluşturulacak caching boyutu da ayarlanabilir:
1. ISA Management içinde, konsol ağacını açın.
2. Cache Configuration'ı tıklayın. Ardından Properties'i tıklayın.
3. Cache Configuration Properties iletişim kutusunda Advanced sekmesinde Percentage of free memory
to use for caching kutusunda 1 ile 100 arasında bir değer yazarak ISA Server'ın kullanacağı bellek alanı
yüzdesini belirtin.

IV. UYGULAMA
ISA Server üzerinde;
HTTP caching ayarlaması yapın.
FTP caching ayarlaması yapın.

V. GÖZDEN GEÇİRME
1. ISA Server caching alanını nerede tutar?
2. ISA Server, cache içinde tuttuğu Internet nesnelerini ne kadar süre bekletir?

I. SERVER GÜVENLİĞİ
ISA Serve 2000 ©'ın en önemli olması bir güvenlik sistemi olan firewall özelliğine sahip olmasıdır. ISA
Server, güvenlik ilkelerini uygulamak için çeşitli güvenlik özelliklerine sahiptir.

A. SECURİTY CONFIGURATION WIZARD
ISA Server Security Wizard ile Windows 2000 üzerinde çeşitli güvenlik düzenlemeleri yapılabilir. Bu
güvenlik düzenlemeleri belli şablonların uygulanması olarak düşünebilirsiniz.
NOT: Güvenlik şablonları için Windows 2000 yönetim kurslarına ve MCSE kursuna bakınız.

ISA Server için güvenlik şablonlarının düzeyleri ve şablon adları şunlardır:
Güvenlik Düzeyi Server Bilgisayar İçin Domain Controller
Dedicated Hisecws.inf Hisecdc.inf
Limited Services Securews.inf Securedc.inf
Secure Basicsv.inf Basicdc.inf

ISA Server Security Wizard'ı başlatmak için:
1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin.
2. Computer'a tıklayın.
3. Ayrıntılar bölmesinde sunucu üzerinde sağ tıklayın, ardından Secure'ı tıklayın.

II. PAKET FILTRELEME VE IP ROUTING
Windows 2000 ve network konularında (diğer kurslarımızda da) söz ettiğimiz gibi, network güvenliğini
sağlamak için IP paketlerinin kontrol edilmesi gerekir. Bunun içinde yapılacak işlemler paket filtreleme
(packet filtering) ve IP yönlendirme (IP routing) işlemleridir.

Paket filtreleme, bilgisayar için IP paketlerine izin vermek ya da bloklamak anlamına gelir. Routing
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]
(yönlendirme) ise, network trafiğinin iç (internal) ve dış (external ya da Internet) networklar arasında
yönlendirilmesidir.

A. PAKET FİLTRELEMEYİ ETKİNLEŞTİRMEK
Paket filtrelemeyi etkinleştirdiğinizde, ISA Server, ISA Server bilgisayarı üzerinde geçen IP paketini izler.
Paket filtrelemeyi etkinleştirmek için:
1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin.
2. Access Policy'yı genişletin ve IP Packet Filters'ı sağ tıklayın ve ardından Properties'ı seçin.
3. General sekmesinde, Enable packet filtering onay kutusunun işaretli olmasına dikkat edin.

B. IP PAKET FİLTRELERİ OLUŞTURMAK
Bir IP paket filtresi oluşturmadan önce, paket ile ilişkili olan port ve protokolün belirlenmesi gerekir.
Ayrıca kaynak ve hedef bilgisayarlar için IP adreslerinin de bilinmesi gerekir.
Bir IP paket filtresi oluşturmak için:
Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.]

1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin.
2. Access Policy'yı genişletin ve IP Packet Filters'ı tıklayın ve ardından Create a Packet Filter'ı seçin.
3. New IP Packet Fitler Wizard'da filtreyi tanımlayan bir ad girin ve Next'i tıklayın.
4. Fitler Mode sayfasında, Allow packet transmission ya da Block packet transmission seçeneklerinden
birisini seçin ve Next'i tıklayın.

NOT: Allow izin vermek, Block engellemek anlamında.

5. Fitler Type sayfasında oluşturulacak filtre için Custom ya da Predefined olarak türünü belirleyin.
Ardından Next'i tıklayın.
Fiter Settings sayfasında Custom (özel) filtre seçtiyseniz, aşağıdaki bilgilere göre seçeneklerinizi
belirleyin:

IP Protokol: Özel protokolü belirlersiniz: TCP, UDP gibi.
Number: IP protokolü sayısı.
Direction: İletişimin yönü: Inbound (gelen), Outbound (giden) ve Both (her ikisi) gibi.
Local port: Kuralın uygulanacağı portlar.
NOT: Kuralı bütün portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz.
Remote ports: Kuralın uygulanacağı uzak portlar.
NOT: Kuralı bütün uzak portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz.

C. UYGULAMA FİLTRELERİ
Uygulama filtreleri (application filters), Firewall servisine ek bir güvenlik katmanı yaratmak için kullanılır.
IP paket filtrelerinde farklı olarak, uygulama filtreleri istemci uygulama ile sunucu uygulama arasındaki
bütün işlemleri izler ve özel bazı işlemlerin yapılması sağlar. Örneğin kimlik denetimi (authentication) ve
virüs kontrolü gibi.
ISA Server'ın kurulmasıyla birlikte, SMTP dışındaki bütün uygulama filtreleri (application fitler)

etkinleştirilir. Aşağıdaki listede bu uygulama filtreleri yer almaktadır.
Uygulama filtrelerinin bazıları:
DNS Intrusion Detection Filter: İzinsiz DNS kullanıcılarını bulur.
POP Intrusion Detection Fitler: İzinsiz POP kullanıcılarını bulur.
FTP Access Filter: FTP protokol desteği.

H.323 Filter: H.323 protokolünü kullanan network trafiğini kontrol eder.

12-08-2006, 21:14	#1
deathbed Cool Üye Kayıt Tarihi: Jul 2006 Üye numarası: #79603 Yer: Living For Honour! Mesaj sayısı: 247 Karma etkisi: 274 Karma: 26872	Windows 2000 ISA Server Kurulumu. ISA (Internet Security and Acceleration) Server 2000, özellikle Internet'e erişim için kendi networklerini genişleten şirketler için geliştirilmiştir. ISA Server, caching (ön belleğe alma) özelliğiyle özellikle kullanıcıların Web erişimini hızlandırır. Bunun dışında ISA Server, şirketin network kaynaklarını, network dışından gelecek yetkilendirilmemiş kullanıcılara karşı korumak için firewall görevi üstlenir. A. ISA SERVER SÜRÜMLERI ISA Server, ölçeğe göre iki ayrı sürüm olarak pazara sürülmüştür: -ISA Server Standard Edition -ISA Server Enterprise Edition Standart sürüm, küçük şirketler için firewall ve Web caching hizmetleri sağlar. Enterprise sürüm ise, standart sürümün özelliklerinin yanı sıra, özellikle daha fazla Internet trafiğini yönetmek ve performans sağlamak için geliştirilmiş bir üründür. B. ISA SERVER'IN SAĞLADIĞI ŞEYLER ISA Server şirketlere şu yararları sağlar: • Hız (acceleration) • Güvenlik (security) • Yönetim • Genişleme ISA Server, caching olanağıyla Internet üzerindeki network trafiğini azaltır. Değişik katmanlarda network trafiğini izleyerek güvenliği sağlar. Güvenliği sağlamak için gelen ve giden network trafiğine filtre konur. ISA Server, güvenlik ve caching özelliklerinin yanı sıra merkezi bir yönetim ve şirket ilkelerinin geliştirilmesini sağlar. C. KURULUM MODLARI ISA Server değişik modlarda kurulur: • Cache mod • Firewall mod • Integrated mod Cache mode Web erişimi hızlandıran bir moddur. Firewall ise güvenlik sağlar. Integrated modda ise her iki mod bir araya getirilebilir. Genellikle her iki mod bu Integrated mod ile bir araya getirilerek kolay yönetim sağlanır. II. CACHİNG (ÖN BELLEĞE ALMAK) Caching erişilen Web nesnelerinin ön bellekte tutulmasıyla network performansının artırılmasını sağlar. Caching işlemi Intranet ve Internet için kullanılabilir. ISA Server değişik caching işlemlerini destekler: • Forward caching. • Reverse caching. • Distributed caching. Forward caching işlemi iç istemcilerin Internet üzerindeki adreslere erişmesini hızlandırır. Sık istenen nesneler merkezi bir ön bellekte tutulur ve diğer istemcilerin buradan erişmesi sağlanır. Reverse caching işlemi ise, dış istemcilerin iç Web server üzerindeki kaynaklara erişmesini sağlar. Distributed caching işlemi ise birden çok ISA Server arasında yük dengelemesini sağlar. III. FİREWALL Firewall, donanım, yazılım ya da her ikisinin bileşimi olarak düzenlenen güvenlik sistemleridir. Firewall'lar network üzerindeki paketleri filtreleyerek özel networkleri izinsiz kullanıcıların erişiminden korur. Değişik türde firewall tasarımları vardır. Buların içinde three-homed firewall ya da back-to-back firewall gibi düzenlemeler vardır. Firewall'lar iki amaca hizmet ederler: Networke giren ve networkten çıkan bütün trafiği kontrol eder ve izinsiz kullanıcıları engellerler. Bunun dışında şirket için güvenlik ilkesi uygularlar. ISA Server network trafiğinin kontrolü için şu işlemleri yapar: • IP Paketlerinin Filtrelenmesi • Uygulama Filtreleleri • Kötü Niyetli Kişilerin Bulunması Paket filtreleme network paketlerinin özelliklerine göre yapılır. Uygulama filtereleri ise belli bir tür veriye göre yapılır. I. PLANLAMAK Bu konuda ISA Server'ın planlanması ve dağıtılmasıyla ilgili konular yer almaktadır. Aşağıdaki tabloda ISA Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] Server kurulumunda ve dağıtımında göz önünde bulundurulacak konular yer almaktadır: Konu Açıklama Gereksinim duyulan bilgisayar sayısı Donanım yapılandırması ve Internet bağlantısı. Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] Hangi ISA Server özelliklerine gereksinim duyacağız? Belli network özelliklerini karşılamak için belli ISA Server özelliklerini seçmek. Kullanıcı gereksinimleri nelerdir? Kullanıcıların gereksinim duydukları uygulamaları ve servisleri belirlemek. Var olan network üzerinde yeniden yapılandırma gerekecek mi? ISA Server'ın var olan network ile olan ilişkisini belirleyin. A. KAPASİTE PLANLAMASI Performans bakımından iyi sonuçlar almak için ISA Server donanımını ve Internet bağlantısını tahmin edilen yüke göre planlamak gerekir. Minimum Gereksinim: ISA Server'ı kullanmak için gerekenler: -300 MHz (MHz) ya da daha yüksek bir Pentium II-compatible CPU. -Microsoft Windows 2000 Server Service Pack 1 ya da daha yenisi, Windows 2000 Advanced Server Service Pack 1 ya da daha yenisi Windows 2000 Datacenter Server. -256 MB RAM -20 MB hard-disk space -Windows 2000 network adapter -Local hard-disk üzerinde bri NTFS disk bölümü (partition) Uzaktan Yönetim Gereksinimleri: Uzaktan yapılacak ISA Server yönetimi için yalnızca ISA Management'i kurmanız yeterlidir. Bu program Windows 2000 Professional ya da Windows 2000 Server üzerinde çalışabilir. Ayrıca ISA Server'ı çalıştıran bilgisayar üzerinde Terminal Servislerini Remote Administration modunda kurabilirsiniz. Bu durumda diğer bir bilgisayara ISA Management araçlarını yüklemek zorunda kalmazsınız. Bunun yerine ISA Server'ı yönetmek için Terminal Services oturumunu kullanırsınız. Forward Caching Gereksinimleri: ISA Server bir forward caching server olarak kullanılabilir. Forward caching server, sık erişilen Internet nesnelerinin merkezi olarak saklanmasını (cache) sağlar. Bu durumda kaç tane Web tarayıcısının Internet'e erişeceğini belirleyin. Aşağıdaki tabloda şirket içindeki kullanıcıların Internet'e erişimini en şekilde sağlamak için gereken donanım açıklanmaktadır: Kullanıcı Sayısı ISA Server Bilgisayarı RAM Disk Alanı -500 Tek bir Pentium II Bilgisayar 256 2-4 Gigabytes (GB) 500 – 1,000 Tek bir Pentium III ve 500 MHz ya da daha hızlı bilgisayar. 256 10 GB 1,000 -İki tane Pentium III ve 500 MHz ya da daha hızlı bilgisayar. 256 10 GB B. ISA SERVER'IN ÖZELLİKLERİNİ SEÇMEK ISA Server, firewall ve caching özellikleriyle kurulabilir. Yalnızca firewall ya da caching özellikleri kurulabilir. Kuruluş sırasında bu modlar seçilebilir: -firewall, -cache -ya da integrated. Firewall modunda network iletişimini kurallarla (rules) yapılandırarak korumak söz konusudur. Cache mod ise network performansını artırmayı amaçlar. Integrated modda ise bütün cache ve firewall özellikleri kullanılabilir. Seçilen moda göre farklı özellikler seçilebilir. Aşağıdaki tablodaki özellikler firewall ve cache modları için geçerlidir. Integrted modda ise bütün özellikler kullanılabilir: Özellik Firewall Cache Access policy Yes Yes (HTTP ve HTTPS protokolları) Application filters Yes No Cache configuration No Yes Firewall and SecureNAT client support Yes No Packet filtering Yes No Real-time monitoring Yes Yes Reports Yes Yes Server publishing Yes No Virtual private networking Yes No Web filters Yes Yes Web publishing Yes Yes Web Proxy client support Yes Yes C. İSTEMCİ GEREKSİNİMLERİ ISA Server aşağıdaki türde istemcileri destekler: -Web Proxy clients: Bir Web Proxy istemcisi isteğini doğrudan ISA Server'a gönderir. Ancak Internet erişimi tarayıcıyla sınırlıdır. Web tarayıcısının Web Proxy olarak yapılandırılması gerekir. -SecureNAT clients: Secure network address translation (SecureNAT) istemcileri ise güvenlik ve caching sağlarlar, ancak kullanıcı düzeyli authentication işlemine izin vermezler. Bir SecureNAT istemcisini yapılandırmak için istemci bilgisayarda ISA Server'ın IP adresi default gateway olarak düzenlenir. Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] -Firewall clients. Firewall istemcileri ise kullanıcı bazında bağlantıya sahip olurlar. a Firewall client yapılandırmak için Firewall client programının istemci bilgisayar üzerine kurulması gerekir. ISA Server Firewall client programı yalnızca Microsoft Windows Millennium Edition, Microsoft Windows 95 OSR2, Microsoft Windows 98, Windows NT 4.0 ve Windows 2000 bilgisayarlara yüklenir. II. KURULUM ISA Server CD'sinin takılmasıyla başlatılan kurulum aşamalarında şunlar göz önünde bulundurulur: A. KURULUM MODUNUN SEÇİLMESİ ISA Server kurulumuna başlamak için ISA Server CD'si bilgisyara takılır. Ardından Continue ile kuruluma başlanır. Lisans anlaşmasının ardından kurulum şekilleri seçilir: -Typical Installation -Full Installation -Custom Installation Yaygın olarak kullanılan ISA Server bileşenlerini kurmak için Typical kurulum seçilir. Ardından kurulum modu seçilir: -firewall, -cache -ya da integrated. Eğer ISA Server'ı cache modda ya da Integrated modda kuracaksanız, kurulum programı cache için yerin düzenlendiği bir iletişim kutusunu kullanır. Bu işlem için NTFS ve yeterince yer olan bir disk seçilir. Varsayılan cache büyüklüğü 100 MB'dır. Minimum cache büyüklüğü ise 5 MB dir. Düzenleyen deathbed : 12-08-2006 at 21:21.

Konu Araçları	Bu Konuda Ara
Printer Çıktısını Göster Sayfayı Emaille Yolla	Bu Konuda Ara: Gelişmiş Arama

12-08-2006, 21:17	#2
deathbed Cool Üye Kayıt Tarihi: Jul 2006 Üye numarası: #79603 Yer: Living For Honour! Mesaj sayısı: 247 Karma etkisi: 274 Karma: 26872	B. LAT YAPILANDIRMASI LAT (Local Address Table), iç IP adreslerinin bir tablosudur. ISA Server'ı firewall modda ya da Integrated modda kurulmuşsa, kurulum sırasında LAT'ı yapılandırabilirsiniz. ISA Server, LAT'ı şirket içindeki iç IP adreslerini tanımlamak için kullanır. Böylece ISA Server, LAT'ı kullanarak iç (internal) network içindeki bilgisayarların dış network üzerindeki bilgisayarlarla iletişim kurmasını sağlar. Kurulum sırasında LAT'ı yapılandırmak için: 1. Kurulum sırasında Table'ı tıklayın. 2. Özel IP adresi aralığını girmek için Add address ranges based on the Windows 2000 Routing Table onay kutusunu seçin. Ardından iç (internal) network için olan netwotk kartı için olan onay kutusunu da işaretleyin. 3. Internal IP ranges kutusunda, IP adres aralıklarının listesini gözden geçirin ve gerekli düzeltmeleri yapın. C. ISA CLİENT ISA Server, daha önce de bahsettiğimiz gibi üç tür istemciyi (clients) destekler: -Web Proxy clients -SecureNAT clients -Firewall clients Hangi tür istemci kullanımına nasıl karar vereceğiz? Yalnızca Web isteklerinin performansını artırmak için Web Proxy istemcisi kullanılır. İstemci yazılımına gerek duyulmadan ISA Server'a erişmek için SecureNAT istemcileri kullanılır. Ancak şirketlerde daha çok Firewall istemcileri kullanılır. Çünkü Firewall istemcileri Internet erişiminin yalnızca kimlik denetim yapılmış (authenticated) kullanıcılar tarafından yapılmasına izin verir. Ayrıca Firewall istemciler, kullanıcı bazında ilke (policy) düzenlemesinin yapılmasını sağlar. Firewall Client Yazılımının KurulmasıISA Server kurulumunun ardından MSPInt adlı bir dizin yaratılarak istemcinin buradan setup.exe programıyla kurulması sağlanır. \\Server\MSPInt dizinine geçin. Buradaki Server, ISA Server'ın kurulduğu bilgisayarın adıdır. Ardından Setup.exe programıyla istemci yazılımı kurulur. D. MİCROSOFT PROXY SERVER 2.0'DAN YÜKSELTMEK ISA Server Microsoft Proxy Server 2.0'dan full geçişi destekler. Diğer bir deyişle Proxy Server 2.0 kuralları (rules), network düzenlemeleri ve caching yapılandırması aynen benimsenir. I. ACCESS POLICY VE RULE ISA Server, iç networkünüzü Internet'e bağlar. Ancak şirket içinden Internet'e erişim için verilen izin düzenlenmesi gerekir. Bu düzenlemeler Access Policy ve ilgili kuralların (rule) oluşturulmasıyla sağlanır. Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] ISA Server üzerinde düzenlenen Access Policy ve ilgili kurallar (rule), kullanıcıların belli bir protokole erişmesi için izin verilmesini ya da engellenmesini (deny) sağlar. İPUCU: ISA Server kurulumunun ardından istemcilerin Internet erişimini sağlamak için bir kural (rule) tanımlayarak http protokolünü kullanıma açmanız gerekir. Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] A. ACCESS POLİCY BİLEŞENLERİBir access policy (erişim ilkesi) şu bileşenlerden oluşur: Protokol Kuralları ISA Server istemcilerinin iç ve dış network ile iletişim kurmak için kullanabileceği protokolleri tanımlar. Site ve İçerik Kuralları İzin verilen ya da engellenen Web proxy istemcilerinin erişebileceği site ve içerikleri tanımlar. Policy Elemanları Kuralların bir kısmı olarak kullanılacak ayarlamaları tanımlar. İlkeler (policy) belli bir zamanlamayı ya da belli bir içeriği tanımlar. B. BİR ERİŞİM İLKESİ (ACCESS POLİCY) PLANLAMAK Bir erişim ilkesini oluşturmadan önce şirketinizin gereksinimlerini karşılayacak olan strateji geliştirmenizde yarar vardır. Bir erişim ilkesi geliştirmek için şu kriterleri göz önünde bulundurabilirsiniz: -Şirketin gereksinimleri. -Gerek duyulan kurallar. -Kuralları tanımlamak için gereken ilkeler (policy). C. PROTOKOL KURALLARI OLUŞTURMAK Protokol kuralları, istemcilerin Internet'e erişmek için kullandıkları protokollardır. Örneğin http gibi. Bir protokol kuralı yaratmak için şu adımları izleyin: 1. ISA Management programını başlatın. 2. Konsol ağacında Access Policy'ı genişletin. 3. Protocol Rules'ı ve ardından Create a Protocol Rule'ı tıklayın. 4. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın. 5. Next'i tıklayın ve Protocols sayfasındaki seçeneklerden birisini tıklayın. Seçenekler: All IP traffic: Firewall istemciler için bütün IP trafiğine izin verilmesi ya da engellenmesi. Selected protocols: Kuralın uygulanacağı bütün protkoller. All IP traffic except selected: Kuralların uygulanmayacağı bütün protokoller. 6. Schedule sayfasında belli bir zaman planını seçin ve Next'i tıklayın. 7. Client Type sayfasında ise şu seçenekleri düzenleyebilirsiniz. Seçenekler: Specific computers (client address sets): Kuralların uygulanacağı istemci bilgisayarlar. Specific users and groups: Kurallın uygulanacağı kullanıcı ve gruplar seçilir. NOT: Bu dokümanlar Faruk Çubukçu tarafından hazırlanmıştır. Burada adı geçen ticari ünvanlar ve markalar bilgi amaçlı kullanılmışlardır ve kendi imtiyazlarına sahiptirler. Bu dokümanlar ticari amaçlı Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] olarak kullanılmaz. D. SİTE VE İÇERİK KURALLARI Site ve içerik kuralları ise, kullanıcıların belli sitelere erişmesine izin verir. Bir protokol kuralı yaratmak için şu adımları izleyin: 1. ISA Management programını başlatın. 2. Konsol ağacında Access Policy'ı genişletin. 3. Site and Content Rules'ı ve ardından Create a Site and Content Rule'ı tıklayın. 4. New Site and Content sihirbazında Site and Content rule name kutusunda kuralın adını yazın ve Next'i tıklayın. 5. Rule Action sayfasında Allow ya da Deny tıklayarak kural işlemini tanımlayın. 6. Destination Sets sayfasındaki seçenekleri tıklayın. Seçenekler: All destinations: Bir zaman planını seçin, ardından istemci türünü seçin. All internal destinations: Bir zaman planını seçin, ardından istemci türünü seçin. All external destinations: Bir zaman planını seçin, ardından istemci türünü seçin. Specified destination set: Bir zaman planını seçin, ardından istemci türünü seçin. E. POLİCY ELEMANLARI OLUŞTURMAK ISA Server kurallarını oluşturmak için policy (ilke) bileşenlerine gerek duyulur. İlke elemanları kullanıcılar, yer ve bant genişliğinin kullanımı konusunda daha fazla kontrol sağlar. ISA Server policy elemanları şunları içerir: • Schedules (zaman planları) • Bandwidth priorities (bant genişliği öncelikleri) • Destinations Sets (hedef bilgisayarlar) • Client address sets (istemci adresleri) • Protocol definitions (protokol tanımlamaları) • Content groups (içerik gruplamaları). • Dial-up entries (çevirmeli bağlantılar). II. GÖZDEN GEÇIRME 1. Kullanıcıların belli Web sitelerine erişimlerini engellemek için ne yaparsınız? 2. ISA Server kurulumunun ardından istemcilerin Internet'e erişmesi için ne yapmak gerekir? I. CACHING FONKSİYONLARI ISA Server, Web nesnelerine hızlı ve etkin erişim sağlamak için çeşitli caching fonksiyonlarına sahiptir. ISA Server'ın cache performansını artırmak için yaptıklarında bazılarını şu şekilde açıklamak mümkündür: RAM ve Disk Caching Disk üzerinden erişilen nesneler için RAM (ana bellek) üzerinde alan ayırmak ve ardından onları disk üzerine kaydetmek. Cache Edilen Nesnelerin Dizinini Oluşturmak Cache edilen nesnelerin bir dizinini RAM üzerinde tutar. ISA Server, caching fonksiyonları bu işlemlerin yanı sıra, bu işlemleri dinamik olarak günceller ve kullanılmayanları da silerek caching işlemini sürekli olarak güncel ve etkin tutmayı sağlar.

12-08-2006, 21:20	#3
deathbed Cool Üye Kayıt Tarihi: Jul 2006 Üye numarası: #79603 Yer: Living For Honour! Mesaj sayısı: 247 Karma etkisi: 274 Karma: 26872	A. YENİ NESNELERE ERİŞMEK Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy servisine gönderir. Web Proxy servisi isteği aldığında şu şekilde işler: 1. Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer almıyorsa, nesne için cache içinde bir kayıt ayrılır. 2. Wep Proxy servisi nesneyi Internet üzerinde elde eder ve bir kopyasını RAM cache üzerine koyar. 3. Web Proxy servisi nesneyi istemciye döndürür. Bu arada Web Proxy servisi nesneyi disk cache içinde de saklar. B. VAROLAN NESNELERE ERİŞMEK Kullanıcı bir HTTP isteğinde bulunduğunda, Web Proxy istemcisi isteğini ISA Server üzerindeki Web Proxy servisine gönderir. Web Proxy servisi cache dizinine bakar ve istenen nesnenin cache içinde bulunup bulunmadığını kontrol eder. Nesne cache içinde yer alıyorsa, nesne bir Internet trafiği oluşturmadan doğrudan istemciye ulaşır. Böylece hız artar. II. CACHING İLKELERİNİ YAPILANDIRMAK Bölümün önceki konusunda ISA Server'ın caching fonksiyonlarından söz ettik. Ancak, bu fonksiyonları ayarlamak için belli ilkeler (policy) kullanılabilir. Bu konuda bu ilkelere bakacağız: A. HTTP CACHİNG'İ YAPILANDIRMAK HTTP Caching işlemini etkinleştirdiğinizde, ISA Server'ın HTTP nesnelerini (Internet erişimi) cache içinde tutmasını sağlarsınız. ISA Server belirtilen bir süre kadar erişilen içeriği cache içinde tutar ve bir sonraki erişimin istemcilere hız sağlar. Ancak, nesneler ne kadar süre cache içinde duracak? Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] Bir nesnenin cache içinde kaldığı süre TTL (Time to Live) olarak adlandırılır. HTTP caching işlemini etkinleştirmek için: 1. ISA Management içinde, konsol ağacını açın. 2. Cache Configuration'ı tıklayın. Ardından ayrıntılar bölmesinde Configure Cache Policy'i tıklayın. 3. Cache Configuration Properties iletişim kutusunda HTTP sekmesinde Enable HTTP Caching onay kutusunu işaretleyin. ISA Server, HTTP nesnelerinin cache içinde saklanması için önceden tanımlı düzenlemeler sağlar: Frequently: Nesnelere Internet üzerinde sıklıkla erişim sağlar. Bant genişliği sınırı olmadığında tercih edilebilir. Normally: Frequently ve Less Frequently seçeneklerinin arasında bir ayarlama. (Varsayılan ayar). Less frequently: Nesnelere Internet üzerinde daha az sıklıkta erişilir. Bant genişliği sınırlı olduğunda tercih edilebilir. B. FTP CACHİNG Aynı şekilde, FTP trafiği içinde caching ayarlamaları yapılabilir. III. CACHE BOYUTUNU AYARLAMAK ISA Server, caching için .cdat dosyasını kullanır. ISA Server, nesneleri caching alanına attıkça bu dosyaya yerleştirilir. .cdat dosyası dolduğunda, ISA Server, eski nesneleri silerek yeni nesnelere yer açar. Cache boyutunu ayarlamak: 1. ISA Management içinde, konsol ağacını açın. 2. Cache Configuration'ı tıklayın. Ardından Drives'i tıklayın. 3. Ayrıntılar bölmesinde, ISA Server üzerinde sağ tıklayın ve Properties'ı seçin. 4. Maximum cache size (MB) kutusunda sürücünün boyutunu yazın ve Set seçeneğini tıklayın. Aynı şekilde bellekte oluşturulacak caching boyutu da ayarlanabilir: 1. ISA Management içinde, konsol ağacını açın. 2. Cache Configuration'ı tıklayın. Ardından Properties'i tıklayın. 3. Cache Configuration Properties iletişim kutusunda Advanced sekmesinde Percentage of free memory to use for caching kutusunda 1 ile 100 arasında bir değer yazarak ISA Server'ın kullanacağı bellek alanı yüzdesini belirtin. IV. UYGULAMA ISA Server üzerinde; HTTP caching ayarlaması yapın. FTP caching ayarlaması yapın. V. GÖZDEN GEÇİRME 1. ISA Server caching alanını nerede tutar? 2. ISA Server, cache içinde tuttuğu Internet nesnelerini ne kadar süre bekletir? I. SERVER GÜVENLİĞİ ISA Serve 2000 ©'ın en önemli olması bir güvenlik sistemi olan firewall özelliğine sahip olmasıdır. ISA Server, güvenlik ilkelerini uygulamak için çeşitli güvenlik özelliklerine sahiptir. A. SECURİTY CONFIGURATION WIZARD ISA Server Security Wizard ile Windows 2000 üzerinde çeşitli güvenlik düzenlemeleri yapılabilir. Bu güvenlik düzenlemeleri belli şablonların uygulanması olarak düşünebilirsiniz. NOT: Güvenlik şablonları için Windows 2000 yönetim kurslarına ve MCSE kursuna bakınız. ISA Server için güvenlik şablonlarının düzeyleri ve şablon adları şunlardır: Güvenlik Düzeyi Server Bilgisayar İçin Domain Controller Dedicated Hisecws.inf Hisecdc.inf Limited Services Securews.inf Securedc.inf Secure Basicsv.inf Basicdc.inf ISA Server Security Wizard'ı başlatmak için: 1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin. 2. Computer'a tıklayın. 3. Ayrıntılar bölmesinde sunucu üzerinde sağ tıklayın, ardından Secure'ı tıklayın. II. PAKET FILTRELEME VE IP ROUTING Windows 2000 ve network konularında (diğer kurslarımızda da) söz ettiğimiz gibi, network güvenliğini sağlamak için IP paketlerinin kontrol edilmesi gerekir. Bunun içinde yapılacak işlemler paket filtreleme (packet filtering) ve IP yönlendirme (IP routing) işlemleridir. Paket filtreleme, bilgisayar için IP paketlerine izin vermek ya da bloklamak anlamına gelir. Routing Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] (yönlendirme) ise, network trafiğinin iç (internal) ve dış (external ya da Internet) networklar arasında yönlendirilmesidir. A. PAKET FİLTRELEMEYİ ETKİNLEŞTİRMEK Paket filtrelemeyi etkinleştirdiğinizde, ISA Server, ISA Server bilgisayarı üzerinde geçen IP paketini izler. Paket filtrelemeyi etkinleştirmek için: 1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin. 2. Access Policy'yı genişletin ve IP Packet Filters'ı sağ tıklayın ve ardından Properties'ı seçin. 3. General sekmesinde, Enable packet filtering onay kutusunun işaretli olmasına dikkat edin. B. IP PAKET FİLTRELERİ OLUŞTURMAK Bir IP paket filtresi oluşturmadan önce, paket ile ilişkili olan port ve protokolün belirlenmesi gerekir. Ayrıca kaynak ve hedef bilgisayarlar için IP adreslerinin de bilinmesi gerekir. Bir IP paket filtresi oluşturmak için: Kaynak: [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] [Bu tur paylasimlar yasak oldugu icin link kaldirilmistir. Lutfen tekrar yayinlamayiniz.] 1. ISA Management içinde, konsol ağacı içinde sunucunuzu genişletin. 2. Access Policy'yı genişletin ve IP Packet Filters'ı tıklayın ve ardından Create a Packet Filter'ı seçin. 3. New IP Packet Fitler Wizard'da filtreyi tanımlayan bir ad girin ve Next'i tıklayın. 4. Fitler Mode sayfasında, Allow packet transmission ya da Block packet transmission seçeneklerinden birisini seçin ve Next'i tıklayın. NOT: Allow izin vermek, Block engellemek anlamında. 5. Fitler Type sayfasında oluşturulacak filtre için Custom ya da Predefined olarak türünü belirleyin. Ardından Next'i tıklayın. Fiter Settings sayfasında Custom (özel) filtre seçtiyseniz, aşağıdaki bilgilere göre seçeneklerinizi belirleyin: IP Protokol: Özel protokolü belirlersiniz: TCP, UDP gibi. Number: IP protokolü sayısı. Direction: İletişimin yönü: Inbound (gelen), Outbound (giden) ve Both (her ikisi) gibi. Local port: Kuralın uygulanacağı portlar. NOT: Kuralı bütün portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz. Remote ports: Kuralın uygulanacağı uzak portlar. NOT: Kuralı bütün uzak portlara uygulayacaksanız All Ports seçeneğini seçmelisiniz. C. UYGULAMA FİLTRELERİ Uygulama filtreleri (application filters), Firewall servisine ek bir güvenlik katmanı yaratmak için kullanılır. IP paket filtrelerinde farklı olarak, uygulama filtreleri istemci uygulama ile sunucu uygulama arasındaki bütün işlemleri izler ve özel bazı işlemlerin yapılması sağlar. Örneğin kimlik denetimi (authentication) ve virüs kontrolü gibi. ISA Server'ın kurulmasıyla birlikte, SMTP dışındaki bütün uygulama filtreleri (application fitler) etkinleştirilir. Aşağıdaki listede bu uygulama filtreleri yer almaktadır. Uygulama filtrelerinin bazıları: DNS Intrusion Detection Filter: İzinsiz DNS kullanıcılarını bulur. POP Intrusion Detection Fitler: İzinsiz POP kullanıcılarını bulur. FTP Access Filter: FTP protokol desteği. H.323 Filter: H.323 protokolünü kullanan network trafiğini kontrol eder.

Şu Anda Konuyu Görüntüleyenler: 1 (0 üye ve 1 misafir)