Hepimizin bildiği üzere network ortamlarında internet bağlantısını paylaştırmak üzere birçok farklı yol var. NAT, ICS, Proxy Server, ISA Server vb. gibi. Bu makalede sizlere Microsoft firmasının Proxy Server’dan sonra çıkartmış olduğu software tabanlı firewall olarak çalışan ISA Server 2000 Enterprise Edition sürümünün özelliklerini ve kurulum aşamalarını anlatacağım. ISA Server 2000 açılımı Internet Security&Accerelator 2000 olarak geçmektedir. Adından anlaşılacağı üzere Internet ortamında güvenlik ve hız anlamında birçok fayda sağlamaktadır. Çeşitli kurallar çerçevesinde istediğiniz paketlerin filtrelenmesini sağlayabileceğiniz gibi ayrıca kullanıcı bazında kısıtlamalarda yapmanızda mümkündür. Yine sistemden çeşitli raporları almanızda mümkün tabii ki.
ISA Server 2000 programının iki farklı sürümü bulunmaktadır.
1. Standart Edition
Daha çok küçük ölçekli networklerde ve workgrouplarda tercih edilir. Maksimum 4 işlemci destekler. Sistemde oluşturacağınız kurallar sunucu üzerinde saklanır. Bunun anlamı Active Directory ile tümleşik olarak hareket edemeyeceğinizdir. Peki Active Directory ile tümleşik olması bize nasıl bir fayda sağlar? Bunun cevabı Enterprise Edition sürümünde.
2. Enterprise Edition
Standart Edition’dan farkı istenirse Active Directory ile tümleşik olarak çalışmasıdır. Bu sayede oluşturduğunuz kurallar Active Directory içerisinde saklanır. Böylece bir Array oluşturup sistemde bir ISA Server üzerinde oluşturacağınız kuralların diğerlerine yansımasını sağlamanız mümkündür. Böylece merkezi bir yönetim sağlanmış olduğu gibi load balancing, fault tolerance ve distributed caching özelliklerinden de faydalanabilinir. Herhangi bir donanım kısıtlaması yoktur.
Şekil-1
Son olarak kurulum aşamalarına geçmeden önce kurulumda karşımıza çıkacak olan 3 farklı kurulum modundan ve donanım gereksinimlerinden bahsetmek istiyorum. Önemli bir hatırlatma kurulumdan sonra mod değiştirmeniz mümkün değildir. O yüzden en başta doğru seçimi yapmanız büyük önem arz ediyor. Aksi halde uninstall ve yeniden install etmeniz gerekecektir.
ISA SERVER 2000 DONANIM GEREKSİNİMLERİ
Microsoft’un kurulum için tavsiye ettiği minimum donanım gereksinimleri şunlar:
CPU : 300 Mhz veya üstü Pentium II veya uyumlu
RAM : 256 MB
HDD : 20 MB ve NTFS Partition
OS : Windows 2000 (Minimum Service Pack 1) veya Windows 2003 Server Ailesi
NIC : Windows 2000 uyumlu Ethernet
Ayrıca Array konfigürasyonu için Active Directory zorunludur. Ethernet kartı olarak kartlardan bir tanesi iç network, diğer kart ise ADSL vb. cihazın bağlı olacağı dış networke bakan karttır. Dış network’e bakan kart üzerinde Netbios over TCP’yi disable etmeniz şiddetle tavsiye edilir. Yine bu kartın network özelliklerinde ISP’nizin DNS IP’lerini girmeniz ve default gateway olarak sizi internete çıkaran cihazın IP’sini girmeniz gereklidir. İç network’e bakan kartın network özelliklerinde herhangi bir default gateway girmemeniz gerekli aksi halde lokal network üzerinde internet çıkışınızda sorunlar meydana gelebilir. Eğer siz DMZ tarzı bir konfigürasyon yapmak istiyorsanız o zaman 3 adet Ethernet kartına ihtiyacınız olacaktır.
ISA SERVER KURULUM MODLARI
1. Cache Mode
Adından da anlaşılacağı üzere bu mod ile kurulum yapıldığında ISA Server sadece Cache olarak çalışmakta Firewall olarak herhangi bir fonksiyonu bulunmamaktadır. Normalde lokal bir bilgisayarda bir internet sayfasını gezdiğinizde bu sayfa o bilgisayarın kendi cache’inde depolanır ve bir sonraki sefere daha hızlı olarak sayfaya erişirsiniz. ISA Server sayesinde gezilen sayfalar, hatta ftp ve http üzerinden download edilen dosyalar bile cachelenebilmekte ve bu cache tüm network için geçerli olmaktadır. Böylece gözle görülür bir performans artışı olmakla beraber gereksiz yere band genişliğinizde kullanılmayacaktır. Sunucu üzerinde büyük kapasiteli ve SCSI bir disk olması hatta RAID Array olması performans olarak size büyük fayda sağlayacaktır.
2. Firewall Mode
Tahmin ettiğiniz üzere firewall olarak kurulum yapılan bu modda kurulumdan sonra internet ile lokal networkünüz arasında bulunan tüm portlar kapatılmaktadır.Kendi network yapınıza ve güvenlik politikanıza uygun olarak oluşturacağınız kurallar sayesinde gerekli portları açacak ve böylece maksimum güvenliği sağlamış olacaksınız.
3. Integrated Mode
Bu mod ile kurulum yaptığınızda Cache ve Firewall ikisi beraber çalışacaktır. Tavsiyem bu modu kullanmanız, buradaki kurulumda bu mod üzerine kurulum yapacağız.
ISA SERVER ENTERPRISE EDITION KURULUM AŞAMALARI
1. ISA Server 2000 Cd’sini Cd-Rom sürücüye takın. Eğer Auto Start özelliğiniz disable değil ise setup ekranı karşınıza otomatik olarak gelecektir.
Şekil-2
2. Biz ISA Server’ın Active Directory ile tümleşik çalışmasını istediğimiz için kurulumdan önce ufak ama önemli bir işlem yapmamız gerekiyor. Şekil-2 de görülen setup ekranındaki “Run ISA Server Enterprise Initialization” a tıklayın. Karşınıza Şekil-3 de görülen uyarı ekranı çıkacaktır, “yes” e tıklayın.
Şekil-3
3. Şimdi karşınızda Şekil-4 de görülen ekran gelmiş olmalıdır. İsterseniz buradaki seçenekleri tek tek inceleyelim. Bu ayarları kurulumdan sonra karşınıza çıkacak olan sihirbaz yardımı ile daha sonra değiştirmeniz de mümkün.
Use array policy only: Bu seçenek ile Enterprise Policy çapında yapılan ayarlar ISA Server’ı etkilemez. Bunun sonucunda doğal olarak ilgili kuralların Admin tarafından yaratılması gerekir.
Use this enterprise policy: Burada önceden var olan bir Enterprise Policy var ise onu seçmeniz mümkündür. Bu şekilde sadece seçilen Enterprise Policy ayarları geçerli olacaktır. Ufak bir hatırlatma Enterprise Policy her zaman Array Policy üzerine yazar.
Allow array-level access policy rules that restrict enterprise policy: Bu durumda Array ve Enterprise policy kombine bir şekilde çalışacaktır.
Allow publishing rules: Isa Server arkasında olan Web Server’ların yayımlanması ile ilgilidir.
Force packet filtering on the array: İç ve dış network üzerinde IP paketlerinin kontrolünü sağlar.
Şekil-4
4. Artık ISA Server Active Directory Schema üzerinde kurulum ile ilgili gerekli ayarları yapmaya başlayacaktır. Burada Active Directory Schema ile ilgili güncelleme işlemleri bitinceye kadar bir süre beklemeniz gerekecektir.
Şekil-5
Şekil-6
5. Active Directory Schema ile ilgili güncelleme işlemleri bittikten sonra karşınıza işlemlerin başarı ile sonuçlandığına dair bir uyarı ekranı gelecektir. Yine bu ekranda eğer birden fazla Domain Controller kullanıyorsanız ISA Server Array konfigürasyonunu yapmadan önce Active Directory Replication operasyonunun tamamlanması için beklemeniz konusunda sizi uyarmaktadır. “OK“ e tıklayın ve “Setup” bölümününe geri dönün.
6. “Install ISA Server” tıklayın ve kurulum işlemi başlatın.
7. “Continue” tıklanmadan önce arka planda çalışan herhangi bir uygulamanız var ise kapatmanız faydalı olacaktır.
8. İlgili “CD Key” in girilmesi istenmektedir. CD Key girin ve “OK” ile devam edin.
9. Şekil-11 de gördüğünüz “Product ID” numarası Microsoft’tan ürün ile ilgili teknik destek almak istemeniz durumunda size sorulacak olan numaradır. Kurulumdan sonra “Help” menüsünden “About” tıklanmak suretiyle tekrar bu numaraya erişmeniz mümkündür.
Şekil-7
10. Son Kullanıcı Lisans Anlaşması ekranında “I Agree” e tıklayın ve istediğiniz kurulumlu seçin.
11. Her program kuruluşunda olduğu gibi burada da bizden programı nasıl kurmak istediğimiz sorulmakta. “Typical Installation” tıklayın. Ayrıca yine burada “Change Folder” tıklanmak suretiyle programın kurulacağı disk bölümü ve directory bilgisi değiştirilebilir. Default olarak “C:\PROGRAM FILES\MICROSOFT ISA SERVER” bölümüne kurulur. Önceden de değindiğim gibi minimum “Windows 2000 Service Pack 1” sunucunuzda kurulu olmalıdır. Tabii ki tavsiyem en son Service Pack kullanmanız. (Şu an için SP4).
Şekil-8
12. Şekil-9 de görülen ekranda sizden kuracağınız ISA Server’ın bir Array üyesi olup olmadığı sorulmaktadır. Önceden var olan bir Array’e üye yapmak için “Yes” e tıklayın. ”No” tıklandığında ISA Server Stand-Alone Server olarak kurulacaktır. Stand-Alone Server olarak kurduğunuz ISA Server Array üyesi olmak üzere daha sonra upgrade edilebilmektedir. Bizim daha önceden mevcut bir Array ‘imiz olmadığı için burada “Yes” tıklıyoruz ve bizden yaratılacak olan yeni Array için bir isim girmemiz isteniyor. Array ismi girerek Next ile devam edin.
Şekil-9
13. Şekil-10 da görülen ekranda sizden “Enterprise Policy” ayarlarını yapmanız istenmekte. Önceden var olan “Policy” ayarlarınız olmadığı için “Use Default Enterprice Policy Settings” seçin ve “OK” ile devam edin.
Şekil-10
14. Daha önce bahsetmiş olduğum ISA Server için mod seçimi ekranı karşınızda.”Integrated” mode şeçip “Continue” ile devam edin.
Şekil-11
15. Burada Setup programı geçici olarak “IIS (W3SVC)” servisini durduracağı hakkınca bir uyarı veriyor. Ayrıca IIS kullanıyorsanız kurulumdan sonra IIS sitelerinin port ayarlarını “80 ve 8080” kullanmayacak şekilde yapılandırmanız gerektiği hakkında da bir uyarı var.
16. Bu ekranda ISA Server Cache ayarları hakkında bilgiler görüyoruz. Default olarak ISA Server kendisi 100 MB olarak Cache boyutunu ayarlar. İsterseniz bu bölümde Cache dosyası için ilgili disk bölümünü ve dosya büyüklüğünü ayarlama imkanı mevcut.
Şekil-12
17. LAT (Local Address Table) ekranı karşınızda. Burası oldukça önemli bir nokta zira yanlış yapılandırılan bir LAT konfigürasyonu istenmedik sorunlara yol açabilir. Buradaki temel mantık ISA Server’ın iç ve dış network’ü bilecek şekilde bizim ona tanıtmamız. Yani bizim burada yapmamız gereken iç network’e bakan ethernet kartının IP aralıklarını uygun şekilde girmek. Burada isterseniz kendiniz manuel olarak da girebileceğiniz gibi “Construct Table” tıklanarak bu işlemi daha sağlam bir şekilde yapabilirsiniz. Karşınıza gelen ekranda seçmeniz gereken Ethernet iç network’te kullandığınız Ethernet olacaktır. Kesinlikle dış network’te kullandığınız Ethernet kartını burada seçmeyin. Ufak bir ipucu LAT konfigürasyonu doğru yapılmış bir ISA Server kurulumdan sonra Internet’e çıkamaz.
Şekil-13
18. LAT konfigürasyonu bittikten sonra ISA Server ile ilgili dosyalar sunucunuza kopyalanmaya başlayacaktır.
19. Kopyalama işlemi bittikten sonra setup programı tarafından önceden stop edilmiş olan servis/servisler tekrar start edilir.
20. Burada isterseniz “Start ISA Server Getting Started Wizard” kutucuğunu seçerek kurulumdan sonra ISA Server konfigürasyonu hakkında size bir sihirbazın yardımcı olmasını sağlayabilirsiniz.
Şekil-14
21. Tebrikler!!! ISA Server sorunsuz bir şekilde sisteminize kuruldu.
Şekil-15
ISA CLIENT AYARLARI
Üç farklı şekilde Client’ları ISA Server üzerinden Internete çıkarmanız mümkündür.
1. Web Proxy Client
Client üzerinde Internet Explorer ayarlarında proxy ayarları yapılır. Internet Explorer’da Tools menüsünü açın ve Internet Options sekmesini tıklayın. En altta göreceğiniz LAN Settings tıklayın. Use a proxy server for your lan kutucuğuna ISA Server adını girin, aynı yerde olan port bölümüne ise 8080 (default) portunu girin. Bu şekilde yapılan bir konfigürasyonda kullanıcı bazında kısıtlama yapabilir fakat ISA Server raporlarında kullanıcı bazında bilgi göremezsiniz.
2. SecureNAT Client
Client ağ özelliklerinde default gateway olarak ISA Server’ın içe bakan ethernet kartının IP’si girilir. Herhangi bir kısıtlama yapmanız mümkün değildir. Eğer tüm client’ları bu şekilde konfigüre etmek istiyorsanız DHCP üzerinden default gateway adresi girmeniz ve client’ları otomatik IP alacak şekilde konfigüre etmeniz olası bir yanlışlığı tamamen ortadan kaldıracaktır.
3. Firewall Client
Tavsiye edilen metottur. Bunun için Client üzerine ufak bir programcık kurmanız gerekir. İlgili program ISA Server üzerinde ağ üzerinden ulaşabilecek şekilde paylaştırılmış olarak bulunmaktadır. Bu şekilde authentication yani kullanıcı bazında kimlik doğrulama ve policy ayarları geçerli olmaktadır. İlgili raporlarda kullanıcı bazında bilgiler görmeniz mümkündür. İlgili programı kurmak için ağ üzerinden \\Server\Mspclnt\setup.exe çalıştırılır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
–
