ISA Server 2004 als reinen Webproxyserver konfigurieren
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Bei der Installation des ISA Server 2000 musste man sich entscheiden, welchen Betriebsmode man verwenden möchte. Eine Änderung konnte nur durch Neuinstallation erfolgen.
Wollte man den ISA Server nur als Webcacheserver verwenden (um seine Stärken im Caching auszunutzen) und auf die Firewallfunktionalitäten verzichten, musste man den Cachemodus auswählen. In der Regel befindet sich dabei eine weitere Firewall an der äußeren Schnittstelle des Netzwerks zur Verbindung des Firmennetzwerks mit dem Internet. In diesem Szenario mit einem Adapter fungiert ISA Server normalerweise als Cacheserver, auf dem die Inhalte aus dem Internet zwischengespeichert und für Clients im Firmennetzwerk bereitgestellt werden.
Wer den ISA Server 2004 schon mal installiert hat, wird feststellen, dass es keine Abfrage mehr gibt, in welchem Modus er installiert werden soll. Soll das heißen, dass der 2004er das nicht mehr unterstützt?
Natürlich kann der
Internet Security and Acceleration Server 2004 jederzeit auch nur als Cacheserver verwendet
werden (deswegen ja das "Acceleration" in seinem Namen). Der Cachemodus wird durch die
mitgelieferte Netzwerkvorlage "Einzelner Netzwerkadapter" vorbereitet. Das
Netzwerkmodell beim 2004er ist völlig anders und wesentlich flexibler als das
des 2000er Servers. Für die häufigsten Netzwerklayouts gibt es Vorlagen, die dem
ISA Administrator die Grundeinrichtung erleichtern.
Bei Anwendung der Einzelnetzwerkadapter-Netzwerkvorlage wird das interne Netzwerk so konfiguriert, dass es alle IP-Adressen enthält. Die Firewallrichtlinie "Standardwebproxy- und -zwischenspeicherkonfiguration verwenden" wird angewendet. Diese Richtlinie gestattet Webproxyclients den Zugriff auf Webinhalte im Internet und erhöht die Webleistung durch Zwischenspeicherung. Es werden jedoch keine Regeln erstellt.
Eine der grundlegenden Funktionen von ISA Server besteht darin, mehrere
Netzwerke miteinander verbinden zu können. Wenn ISA Server auf einem Computer
mit einem Adapter installiert ist, wird allerdings nur ein Netzwerk erkannt: das
interne Netzwerk. Das interne Netzwerk umfasst alle IP-Adressen mit Ausnahme der
folgenden: 0.0.0.0, 255.255.255.255 und den Adressbereich
127.0.0.0–127.255.255.255. Bei der Einrichtung des Netzwerkes müssen Sie die
Adressen festlegen, die im internen Netzwerk enthalten sein sollen. Wenn Sie ISA
Server auf einem Computer mit nur einem Netzwerkadapter installieren, muss
sichergestellt werden, dass alle Adressen (mit Ausnahme von 0.0.0.0,
255.255.255.255 und des Adressbereichs 127.0.0.0–127.255.255.255) in das interne
Netzwerk aufgenommen werden.
In diesem Szenario wird die standardmäßige Firewallrichtlinie von Ihnen
dahingehend geändert, dass internen Clients der Zugriff auf das Internet
gestattet wird. Obwohl hierbei gilt, dass alle IP-Adressen zum selben internen
Netzwerk gehören, kann ISA Server aufgrund der Standardregel Alle verwerfen
unter Umständen auch Webdatenverkehr verweigern. Sie müssen daher eine Regel
erstellen, die die Durchleitung des Datenverkehrs zwischen den Netzwerken
zulässt.
Um dieses Cachingszenario zu ermöglichen, müssen Sie eine Zugriffsregel
erstellen, die allen Clients die Verwendung von HTTP und möglicherweise auch
HTTPS und FTP gestattet. Da das interne Netzwerks laut eindeutiger Definition
alle Adressen umfasst, muss das Quell- und das Zielnetzwerk für diese Regel
jeweils das interne Netzwerk sein.
Sie können ISA Server auf einem Computer mit einem einzelnen Netzwerkadapter als
Reversewebproxy einsetzen und Szenarien für die Webveröffentlichung und Outlook
Web Access-Veröffentlichung ermöglichen.
Bei der Installation von ISA Server auf einem Computer mit einem einzelnen
Adapter können die folgenden ISA Server-Funktionen nicht verwendet werden:
- Firewallclients
- Virtuelle private Netzwerke
- IP-Paketfilterung
- Firewallrichtlinie für mehrere Netzwerke
- Serververöffentlichung
- Filterung auf Anwendungsebene
- Die folgenden Protokolle werden unterstützt: HTTP, HTTPS und FTP über HTTP.
Daraus ergibt sich eine eingeschränkte Sicherheitsfunktion von ISA Server in
Ihrem Netzwerk.
Um die Netzwerkvorlage einmalig einzurichten oder zu ändern gehen Sie in der ISA Managementkonsole auf den Knoten "Netzwerke" und wählen in der Taskbar rechts unter Vorlagen die "Einzelner Netzwerkadapter"-Vorlage aus.
Wie nicht anders zu erwarten war, führt ein Assistent durch die notwendigen Konfigurationsschritte:
Egal, ob der ISA soeben frisch aufgesetzt wurde oder nicht, empfehle ich dringend, an dieser Stelle die aktuelle Konfiguration zu exportieren. Schade, dass Microsoft hier keine Zwangsexportfunktion eingebaut hat.
Hier schlägt der Assistent vor, die im Eingangstext oben beschriebenen Adressbereiche zu verwenden.
Anschließend richtet der ISA noch eine Defaultfirewallrichtlnie ein, die sicherstellt, dass sämtlicher Verkehr gesperrt wird. Nach Beendigung der Netzwerkkonfiguration müssen dann entsprechende Zulassungsregel erstellt werden.
Abschließend wieder die gewohnte Zusammenfassung:
Bevor die Änderung wirksam wird, muss wie gewohnt erst der "Übernehmen"-Knopf gedrückt werden:
Das Netzwerkmodell hat sich wie folgt geändert:
Stand: Friday, 28. August 2009/DR.
