ISA SERVER 2000 (1)
"Microsoft Internet Security and
Acceleration Server 2000" büyük çaplı yerel ağların internet
erişimini güvenli ve hızlı bir şekilde sağlayan bir proxy&firewall
yazılımıdır.
Not: Yazının geri kalanında
"Microsoft Internet Security and Acceleration Server 2000" kısaca
ISA olarak anılacaktır.
ISA iki sürüme sahiptir:
ISA Server Enterprise Edition
Bu sürüm büyük çaplı kuruluşlarda
kullanılmak üzere tasarlanmıştır. Sadece tek bir bilgisayara
değil, birden fazla bilgisayara ISA yüklenip bir ISA kümesi
oluşturulabilir. En tepede belirlenmiş genel kuralların altında,
kümenin üyesi her bir ISA sunucu üzerinde farklı kurallar
tanımlanabilir. Bu şekilde yük dağıtımı yapılabilir ve çökmelere
karşı toleranslı bir yapı kurulabilir.
ISA Server Standard Edition
Bu sürümün tek farkı birden fazla
ISA sunucunun bir arada kullanılmasına ve merkezi bir yönetime
sahip olmalarına izin vermemesidir. Eğer tek bir bilgisayar
üzerine ISA kurulacak ise bu sürüm yeterli olacaktır.
ISA'nın her iki sürümü de güvenlik
ve hız özellikleri açısından birebir aynıdır.
ISA'nın kullanım alanları
Firewall
Sitenin diğer bölümlerini
incelediğinizde, bir yerel ağı internete bağlamak için bir çok
çözüm olduğunu görebilirsiniz. Bu çözümlerden en zahmetsiz olanı
da, zaten Windows ile beraber gelen ICS (Internet Connection
Sharing/İnternet Paylaşımı) özelliğidir. Ancak büyük ağlar söz
konusu olduğunda ICS bir çok açıdan yetersiz kalmaktadır.
Bir yerel ağı internete bağlarken
en önemli sorun güvenliktir. Böyle bir bağlantı yapılırken %90
istenen şey şudur: "Yerel ağ üzerinde bilgisayarının karşısında
oturan kullanıcılar, web sayfalarında gezebilsinler, maillerini
okuyabilsinler... Ama chat yapamasınlar, ICQ vs. ile falan zaman
kaybetmesinler. Hımmm.... bir de, şu muhasebedeki Mustafa Bey var
ya, devamlı internetten film falan indiriyormuş, millet internet
yavaşladı diye bize fırça atıyor, bunu önlemenin bir yolu yok
mu????"Ve istekler bu şekilde uzayıp gider. Dikkat ederseniz
burada istenen şey aslında bazı internet servislerinin (kullanıcı
bazında) açık kalırken (www, mail) bazı servislerin ise
kapatılmasıdır (ftp, irc).
Az önce yerel ağ'dan internete
doğru yapılan bir takım istekleri onaylamak veya kısıtlamaktan
bahsettik, bir de daha tehlikelisi, internet üzerinden yerel ağa
doğru yapılabilecek istek dışı erişimlerdir. Yerel ağınızdaki
sunucu ve istemcilere internet üzerinden erişilebilir,
bilgileriniz çalınabilir. Çalışmakta olan sunucularınız
çökertilebilir.
ISA'nın
"Security" ayağı işte bu konularla ilgilidir. Bu yönüyle ISA bir
firewall programıdır. Yani internet ile yerel ağ arasında köprü
vazifesi görür, ancak sadece izin verilen kullanıcıların izin
verilen protokolleri kullanarak internete çıkmasını sağlar.
Eğer yerel ağınızda bir web
sunucu, mail sunucu veya benzeri bir makina varsa, internet
üzerinden bu bilgisayarlara (ama sadece "bu" bilgisayarlara) ve
sadece o makina üzerindeki istenen servise erişim sağlamak da
ISA'nın görevidir.
Web Proxy
Eğer yerel ağınızdan internete
olan erişimleri incelerseniz, herkesin üç aşağı-beş yukarı aynı
sitelere girdiklerini göreceksiniz (yahoo.com, hotmail.com,
ntvmsnbc.com, playboy.com v.s :). Böyle olduğuna göre, her
kullanıcı için aynı html sayfalarının, aynı resimlerin, kısaca
aynı içeriğin her seferinde internetten indirildiğini
söyleyebiliriz. Oysa ISA'nın Web Proxy yani vekil sunucu özelliği
sayesinde bir kullanıcı bir kere www.yahoo.com adresine girmek
istediğinde ISA bu sayfayı internetten indirir ve kullanıcıya
gönderir, ikinci bir kullanıcı aynı sayfaya girmek istediğinde ISA
daha önce internetten indirdiği bu sayfayı tekrar indirmez, daha
önce kaydettiği disk alanından(cache) okuyarak 2. kullanıcıya
gönderir. Bir sayfayı internetten indirmek yerine diskinden
okuyup, yerel ağ üzerinden göndermek yüzlerce kat hızlı olduğu
için bu ikinci kullanıcı "amanııınn, bizim intenet ne kadar hızlı
böyle, daha yahoo.com yazar yazmak sayfa açıldı" der. ISA bu işi
dinamik olarak tüm web ve ftp istekleri için yapar ve sahip olunan
kısıtlı internet bağlantısı çok daha verimli kullanılmış olur.
ISA'ın
anlattığımız bu özelliği Forward Web Caching, yani yerel ağ'dan
internete yapılan isteklerin hızlandırılması olarak anlıyor. ISA
aynı zamanda Reverse Web Caching'de yapabilir. Yani yerel
ağınızdaki web sunucunuzun önünde çalışabilir ve internet
üzerinden birisi sizin web sunucunuza erişmek istediğinde önce ISA
yüklü makinaya erişir, ISA istenen web sayfasını kendi
önbelleğinden okuyup cevap verebilir.
ISA'nın
bütünleşik yapısı
ISA kurulurken size üç farklı
mod'da kurulum seçeneği sunar. Cache, Firewall ve Integrated. Yani
bir ISA sunucuyu, isterseniz sadece Web Proxy veya sadece Firewall
olarak kullanabilirsiniz veya ikisini bir arada da
kullanabilirsiniz.
Windows 2000 ile ortak çalışma
ISA'yı sadece Windows 2000 Server
(Advanced, Data Center dahil) üzerine kurabilirsiniz. Yani
Professional veya W98 üzerine kuramazsınız. Eğer birden fazla ISA
sunucu oluşturup, küme yapısı kurmayacaksanız ortamda domain
olması şart değildir. ISA Windows 2000'in bazı özelliklerini
kullanır ve bazılarını da değiştirir.
Network Address Translation
Windows 2000'de RAS ile NAT
yapılabilir, ISA bu servisin yerine geçer ve daha gelişmiş kontrol
poliçeleri sunar.
Integrated
Virtual Private Networking
ISA sunucu bir VPN sunucu olarak
ayarlanabilir. ISA bu iş için aslında gene RAS'ı kullanır, ama
kendi üzerindeki Firewall'ı VPN düzgün çalışacak şekilde ayarlar.
Authentication
ISA Windows 2000'in kullandığı
değişik kullanıcı doğrumala sistemlerini destekler, böylece
kullanıcı/grup bazında kısıtlama ve kurallar oluşturulabilir. Yani
Windows 2000 üzerinde tanımlı kullanıcıların belli bir servisi
kullanmasına izin verilebilir veya engellenebilir.
System
Hardening
ISA sunucu üzerinde Windows
2000'in security template'leri kullanılarak o makinanın güvenliği
arttırılabilir.
Active
Directory Storage
Eğer ISA Enterprise sürümüyle ve
küme yapısında kurulursa, bilgilerini AD içine kaydeder.
