Holy_adMirAl
Турист
Как грамотно настроить файрволл ISA Server'a, что бы закрыть потенциально опасные порты и обеспечить фильтрацию трафика...
Настройка и работа с MS ISA Server 2000/2004
- Автор темы Holy_adMirAl
- Дата начала
Ответ очень простой... Читать RTFM
В интернете очень много форумов посвященных ИСЕ
Вот некоторые из них:
_http://forum.isaserver.ru
_http://www.insar.net/for_admin/isa/ (здесь есть онлайн учебник по исе 2k)
_http://www.microsoft.com/isaserver/ (ресурс от мелкомягких)
_http://www.isaserver.org/ (один из главных забугорных сайтов по ИСЕ)
_http://www.isaserver.ru/modules/news/
Вот и все... читай и выполняй что там написано.... Другого выхода нет)))
Удачи!
В интернете очень много форумов посвященных ИСЕ
Вот некоторые из них:
_http://forum.isaserver.ru
_http://www.insar.net/for_admin/isa/ (здесь есть онлайн учебник по исе 2k)
_http://www.microsoft.com/isaserver/ (ресурс от мелкомягких)
_http://www.isaserver.org/ (один из главных забугорных сайтов по ИСЕ)
_http://www.isaserver.ru/modules/news/
Вот и все... читай и выполняй что там написано.... Другого выхода нет)))
Удачи!
Последнее редактирование модератором:
Holy_adMirAl
Турист
Хех...пасиба 
Я просто не знал об этих ресурсиках %)
Я просто не знал об этих ресурсиках %)
Ну что же так. Надо учится пользовать yandex хотяб или лучще google
Можно просто нарыть золотое дно. А вообще можн еще поискать на варезных ресурсах таких как любимый netz (не сочтите за рекламу)))) книжки различные. Тут их много выкладывают. По исе я думаю тоже наидешь)))
УДАЧИ!
Можно просто нарыть золотое дно. А вообще можн еще поискать на варезных ресурсах таких как любимый netz (не сочтите за рекламу
)))) книжки различные. Тут их много выкладывают. По исе я думаю тоже наидешь)))УДАЧИ!
Значит так. В правилах записано, что прежде чем здать вопрос нужно поискать решение самому, а потом уже обращаться сюда. Есть вопросы задавай.
СЛЕДУЮЩЕЕ ПОДОБНОЕ СООБЩЕНИЕ БУДЕТ УДАЛЕНО БЕЗ ПРЕДУПРЕЖДЕНИЯ! ТАК КАК ЯВЛЯЕТСЯ ФЛЕЙМОМ!
СЛЕДУЮЩЕЕ ПОДОБНОЕ СООБЩЕНИЕ БУДЕТ УДАЛЕНО БЕЗ ПРЕДУПРЕЖДЕНИЯ! ТАК КАК ЯВЛЯЕТСЯ ФЛЕЙМОМ!
Последнее редактирование модератором:
Есть конкретная проблема, которую никак не удаётся решить. Перечитал кучу литературы, наобщался в форумах, но пока никак.
Стоит ISA 2004 EE. Есть правило для почтовых протоколов. Доступ All Users. Клиенты работают через SNAT. Всё ОК, но безопасность решила, раз есть свой почтовый сервак, то надо запретить почту с внешних. Естетственно, кое-кому этот доступ надо оставить.
Чтобы разрулить доступ по пользователям, поставил им Firewall Client. Правило ещё не трогал, а почта сразу всем отрубилась. Почему??? All User ведь!
Смотрю в лог. Вижу связки "Initiated Connection" - "Closed Connection", deny нигде нет.
В чём может быть проблема?
Сразу скажу, что outlook.exe я разрешил, хотя почту пробую забирать через OE или The Bat!
Стоит ISA 2004 EE. Есть правило для почтовых протоколов. Доступ All Users. Клиенты работают через SNAT. Всё ОК, но безопасность решила, раз есть свой почтовый сервак, то надо запретить почту с внешних. Естетственно, кое-кому этот доступ надо оставить
.Чтобы разрулить доступ по пользователям, поставил им Firewall Client. Правило ещё не трогал, а почта сразу всем отрубилась. Почему??? All User ведь!
Смотрю в лог. Вижу связки "Initiated Connection" - "Closed Connection", deny нигде нет.
В чём может быть проблема?
Сразу скажу, что outlook.exe я разрешил, хотя почту пробую забирать через OE или The Bat!
непонимаю зачем ставить фаервол клиент.... он нужен если трафик нужно шифровать...
почему нельзя создать из айпишников группы (иса прекрасно интегрируется с Ad или в ручную набить)
одно группе разрешить ходить к внешней почты а другим нет...
или я что то не понимаю?
почему нельзя создать из айпишников группы (иса прекрасно интегрируется с Ad или в ручную набить)
одно группе разрешить ходить к внешней почты а другим нет...
или я что то не понимаю?
1. Если есть уже готовые группы в домене, зачем делать двойную работу. Организация, кстати, не очень маленькая...
2. Иногда нужно выполнить некоторые действия на машине пользователя, а правило по ip мне этого не позволит.
3. У пользователей периодически меняются компьютеры. Приходится отслеживать их ip.
2. Иногда нужно выполнить некоторые действия на машине пользователя, а правило по ip мне этого не позволит.
3. У пользователей периодически меняются компьютеры. Приходится отслеживать их ip.
вообще ничего не понял.... вопрос то где?
ну отлично что у тя все так классно и колбасно с OU (Organization Unit) ну всмысле у тя ведь на них все поделено?
дело в том что я пока не работал с исой в связке с доменом с OU's но думаю что там можно подцепить не компутер а пользователя....Всмысле объединяешь их в один контейнер и его подцепляешь в исе. куда бы они (юзеры) не залогинились все права они свои получит. Всмысле отслеживать по ип? у вас статика? зачем отслеживать если есть объект user account
по 2 пункту ваще ничего не понял... причем здесь действия на компе юзера....
у вас они в другой подсети и на границе стоит иса?
по 3 см выше...
напиши по подробнее.... то почта была то теперь еще.... все напиши попунктикам и бум разбираться
ну отлично что у тя все так классно и колбасно с OU (Organization Unit) ну всмысле у тя ведь на них все поделено?
дело в том что я пока не работал с исой в связке с доменом с OU's но думаю что там можно подцепить не компутер а пользователя....Всмысле объединяешь их в один контейнер и его подцепляешь в исе. куда бы они (юзеры) не залогинились все права они свои получит. Всмысле отслеживать по ип? у вас статика? зачем отслеживать если есть объект user account
по 2 пункту ваще ничего не понял... причем здесь действия на компе юзера....
у вас они в другой подсети и на границе стоит иса?
по 3 см выше...
напиши по подробнее.... то почта была то теперь еще.... все напиши попунктикам и бум разбираться
Последнее редактирование модератором:
Николай_1305
Турист
Народ, здрасьте! Всем привет из солнечного и яблочного города Алматы!
У меня вопрос:
а)где и как настроить в ИСА квоты по трафику?
б)можно ли в ИСА определить кто из внутренней сетки (IP или account) лазил на конкретный сайт (н-р, на Для просмотра ссылки Войдиили Зарегистрируйся) через ИСА? С меня генеральный спрашивает.
У меня вопрос:
а)где и как настроить в ИСА квоты по трафику?
б)можно ли в ИСА определить кто из внутренней сетки (IP или account) лазил на конкретный сайт (н-р, на Для просмотра ссылки Войди
Николай_1305
Турист
Предлагаю цеплять в ИСЕ не ГРУППЫ КОМПОВ (это понятно, что все движется, все перемещается), а ГРУППЫ ПОЛЬЗОВАТЕЛЕЙ. Если их на данный момент нет, так создай на контроллере домена 2 группы пользователей: с интернетом и без интернета, а затем закинь туда тех, кого нужно. А в ИСА подцепи именно эти группы ПОЛЬЗОВАТЕЛЕЙ. И - всё! Я именно так и сделал у себя на работе. Проблем не вижу в этом. У меня есть только две проболемы: отслеживать посещаемость конкретного сайта по пользователям и установка лимита (или квоты) на трафик на конкретного Юзера. Может сможешь мне в этом помочь? Буду очень признателен!!!
Стандартными средствами ИСЫ узнать кто именнно куда ходил нельзя. Это политика компании Microsoft (узнавал у их сертифицированного инженера). Определить квоты для каждого пользователя а также получить более детальную статистику только с помощью прог сторонних разработчиков.
Полный список тут:
Для просмотра ссылки Войдиили Зарегистрируйся
Полный список тут:
Для просмотра ссылки Войди
Это зависит от того как ходят в инет пользователи. Собственно 3 варианта FW клиент, прокси или SNAT. И не плохо было бы лог привести.
Похожие темы
