ISA Server - настройка и решение проблем. - Безопасность

maxximik · 25.09.2003, 15:10

Кто нибудь знает как в ISA-server открыть TCP порты???

Dead Man · 25.09.2003, 15:53

Перенёс.

ShooTer · 25.09.2003, 18:00

Voobshem tak.Slozhno kratko ob'yasnit', no risknu.
VSe postroeno na pravilah.To est' dlya kazhdogo porta nado sozdat' pravilo.
Naprimer v IP Filter :

Protocol: TCP
Direction: Outbound
Local Port: All
Remote Port: All

Libo Servers and Arrays ->TVOJ SERVER->Policy Elements ->Protocol Definations
Sozdaesh pravilo.

maxximik · 26.09.2003, 09:04

Спасибо, я впринципе понял сам....
Спасибо всё равно

)

ShooTer · 26.09.2003, 11:05

maxximik
Не за что.

VavNat · 28.06.2005, 14:22

Есть небольшая фирма компов на 50. Стоит ISA прокся. Как настроить запрет на скачку фильмов, mp3 и т.д.

ВНИМАНИЕ

В этом топе обсуждаем все вопросы, касающиеся установки, развертывания и настройки MS ISA Server.
Огромное количество материалов на английском можно найти здесь
Неплохая подборка материалов на русском здесь

Все вопросы из серии: "Где скачать?", "Как вылечить?" задаем в соответствующем разделе форума.

С уважением, FantomIL

FantomIL · 28.06.2005, 15:17

Создай SCR-правило, в котором указываешь "Deny" и в закладке HTTP Content указываешь, что именно будет отрезаться. Не забудь указать юзеров/IP, к которым это правило будет применяться.

VavNat · 28.06.2005, 16:15

Не я ставил ISA. Я в ней только сейчас пытаюсь разобраться. Можно более конкретнее. Куда залазить, что нажимать. Хотя бы схематично.

FantomIL · 28.06.2005, 16:35

Start -> Programs -> Microsoft ISA Server -> ISA Management
Там слева ищешь раздел Access Policy и в нем щелкаешь на Site and Content Rules (SCR)
Теперь в правой части убеждаешься, что у тебя есть правило Allow All и щелкни на иконке Create Site and Content Rule
Выскочит окошко, где ты введешь название этого правила (что тебе больше нравится), затем на закладке Rule Action поставь галку на Deny, затем на закладке Destination Set выбираешь All destinations (или что там тебе надо), затем на закладке Shedule выбираешь в какое время будет действовать это правило, затем на закладке Client type выбираешь к каким машинам/юзерам будет применяться данное правило. Теперь у тебя появится новое правило. Двойной клик на нем и переходи в закладку HTTP Content и отметь галками какой контент ты хочешь запретить.

VavNat · 29.06.2005, 09:00

Спасибо! Получилось!
Остался невыясненным еще такой вопрос - как добавить расширение файлов, если оно у меня отсутствует в списке.
Например, хочется поставить запрет на скачку флеш-роликов с расширением swf и видеофайлов wma. В списке расширений их нет. Как их добавить?

FantomIL · 29.06.2005, 09:30

Start -> Programs -> Microsoft ISA Server -> ISA Management
Cлева ищешь раздел Policy Elements и в нем щелкаешь на Content Groups
В правой части можешь добавлять все, что считаешь нужным.

VavNat · 29.06.2005, 10:04

Раз пошла такая пьянка - то можно еще пару вопросиков?
1.Как поставить фильтр на показ эротики
2. Можно ли показывать jpeg и jpg только определенного размера. Ну чтобы страница с превью грузилась, а развернуть картинку - нельзя.
3. В ISA есть учет траффика по каждому IP? И можно ли поставить лимит на скачивание на каждый IP?

FantomIL · 29.06.2005, 10:43

Цитата:

Сообщение от VavNat

1.Как поставить фильтр на показ эротики

Start -> Programs -> Microsoft ISA Server -> ISA Management
Cлева ищешь раздел Policy Elements и в нем щелкаешь на Destination Sets, теперь в правой части можешь определить запрещенные эро-, порно-, игро-, развлекательные сайты (можно использовать знак *, но не более одного раза на один урл)
Затем создаешь SCR-правило, в котором указываешь redirect на свой корпоративный сайт (а нечего в рабочее время по порносайтам и развлекательным порталам шляться

) для определенного тобой Destination Set и указываешь указать юзеров/IP, к которым это правило будет применяться.

Цитата:

Сообщение от VavNat

2. Можно ли показывать jpeg и jpg только определенного размера. Ну чтобы страница с превью грузилась, а развернуть картинку - нельзя.

Нет, к сожалению встроенными средствами ИСЫ так сделать нельзя. Но, опять же, можно создать Destination Set адресов банеров и создать SCR-правило с переадресацией на гиф-файл размером 1х1 для данного Destination Set.

Цитата:

Сообщение от VavNat

3. В ISA есть учет траффика по каждому IP? И можно ли поставить лимит на скачивание на каждый IP?

Нет. Встроенные средства ИСЫ этого не реализуют. Надо ставить дополнительный софт, например TrafficQuota, TrafficFilter, Proxy Inspector for ISA.

VavNat · 29.06.2005, 11:46

Огромное человеческое спасибо!!!

А вот еще вопросик по теме - когда ставишь опцию делать отчет за месяц изи за неделю. Можно ли сделать так чтоб в отчет попадали не все IP шники, а только определенные. Или здесь как с траффиком -или все в одном отчете или ищи дополнительную программу?

xrun · 29.06.2005, 12:05

очень хорошё справляется ProxyInspector для isa
попробуй его

FantomIL · 29.06.2005, 12:05

Цитата:

Сообщение от VavNat

Можно ли сделать так чтоб в отчет попадали не все IP шники, а только определенные. Или здесь как с траффиком -или все в одном отчете или ищи дополнительную программу?

Нет такой опции в ISA. Так что ты сам ответил на свой вопрос. И вообще, ИМХО, отчеты в ISA глюкавые, так что лучше пользоваться сторонним ПО.

VavNat · 01.07.2005, 15:32

Цитата:

Сообщение от FantomIL

Start -> Programs -> Microsoft ISA Server -> ISA Management
Cлева ищешь раздел Policy Elements и в нем щелкаешь на Destination Sets, теперь в правой части можешь определить запрещенные эро-, порно-, игро-, развлекательные сайты (можно использовать знак *, но не более одного раза на один урл)

А можно создать правила , где прописать список урл, ну чтобы не создавать правило для каждолго сайта, а задать их списком. Если да, то как их отделять друг от друга?

FantomIL · 02.07.2005, 14:16

Цитата:

VavNat:
А можно создать правила , где прописать список урл, ну чтобы не создавать правило для каждолго сайта, а задать их списком. Если да, то как их отделять друг от друга?

Не понял твой вопрос. Я уже сказал, что надо создать Destination Sets, где и прописываешь группу урл-ов. А потом, при создании правил указываешь этот Destination Sets. Что непонятно?

VavNat · 04.07.2005, 08:53

Цитата:

Сообщение от FantomIL

Не понял твой вопрос. Я уже сказал, что надо создать Destination Sets, где и прописываешь группу урл-ов. А потом, при создании правил указываешь этот Destination Sets. Что непонятно?

Непонятно как отделять урл друг от друга - пробел , точка с запятой или неважно?

FantomIL · 04.07.2005, 09:38

ИСА их сама отделит. Тебе надо нажать на кнопку Create a Destination Set, появится окошко, где ты в поле Name вводишь название для этой группы, а потом нажми кнопку Add и в поле Destination введи url, который ты хочешь запретить. Повторяй последнюю процедуру (там где Add) для каждого url-а. Таким образом получим список url-ов в одном наборе.

25.09.2003, 15:10	# 1
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	ISA Server - настройка и решение проблем. Кто нибудь знает как в ISA-server открыть TCP порты???

25.09.2003, 15:53	# 2
Dead Man Administrator Регистрация: 03.06.2002 Адрес: R.I.P Сообщения: 4 424	Перенёс. __________________ Когда я поднимался по лестнице, я встретил человека которого там не было, его и сегодня там не было. Хоть бы он ушёл...

25.09.2003, 18:00	# 3
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Voobshem tak.Slozhno kratko ob'yasnit', no risknu. VSe postroeno na pravilah.To est' dlya kazhdogo porta nado sozdat' pravilo. Naprimer v IP Filter : Protocol: TCP Direction: Outbound Local Port: All Remote Port: All Libo Servers and Arrays ->TVOJ SERVER->Policy Elements ->Protocol Definations Sozdaesh pravilo. __________________ "That vulnerability is completely theoretical."

26.09.2003, 09:04	# 4
maxximik ಠ..ಠ Регистрация: 22.09.2003 Адрес: Moscow Пол: Male Сообщения: 1 940	Спасибо, я впринципе понял сам.... Спасибо всё равно ) __________________ Зерна отольются в пули Пули отольются в гири Таким Ударным инструментом Мы пробьем все стены в мире

26.09.2003, 11:05	# 5
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	maxximik Не за что. __________________ "That vulnerability is completely theoretical."

28.06.2005, 14:22	# 6
VavNat Newbie Регистрация: 27.03.2003 Сообщения: 34	ISA proxy. Помогите! Есть небольшая фирма компов на 50. Стоит ISA прокся. Как настроить запрет на скачку фильмов, mp3 и т.д. ВНИМАНИЕ В этом топе обсуждаем все вопросы, касающиеся установки, развертывания и настройки MS ISA Server. Огромное количество материалов на английском можно найти здесь Неплохая подборка материалов на русском здесь Все вопросы из серии: "Где скачать?", "Как вылечить?" задаем в соответствующем разделе форума. С уважением, FantomIL Последний раз редактировалось FantomIL; 07.11.2005 в 14:38.

28.06.2005, 15:17	# 7
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Создай SCR-правило, в котором указываешь "Deny" и в закладке HTTP Content указываешь, что именно будет отрезаться. Не забудь указать юзеров/IP, к которым это правило будет применяться. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

28.06.2005, 16:15	# 8
VavNat Newbie Регистрация: 27.03.2003 Сообщения: 34	Не я ставил ISA. Я в ней только сейчас пытаюсь разобраться. Можно более конкретнее. Куда залазить, что нажимать. Хотя бы схематично.

28.06.2005, 16:35	# 9
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Start -> Programs -> Microsoft ISA Server -> ISA Management Там слева ищешь раздел Access Policy и в нем щелкаешь на Site and Content Rules (SCR) Теперь в правой части убеждаешься, что у тебя есть правило Allow All и щелкни на иконке Create Site and Content Rule Выскочит окошко, где ты введешь название этого правила (что тебе больше нравится), затем на закладке Rule Action поставь галку на Deny, затем на закладке Destination Set выбираешь All destinations (или что там тебе надо), затем на закладке Shedule выбираешь в какое время будет действовать это правило, затем на закладке Client type выбираешь к каким машинам/юзерам будет применяться данное правило. Теперь у тебя появится новое правило. Двойной клик на нем и переходи в закладку HTTP Content и отметь галками какой контент ты хочешь запретить. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

29.06.2005, 09:00	# 10
VavNat Newbie Регистрация: 27.03.2003 Сообщения: 34	Спасибо! Получилось! Остался невыясненным еще такой вопрос - как добавить расширение файлов, если оно у меня отсутствует в списке. Например, хочется поставить запрет на скачку флеш-роликов с расширением swf и видеофайлов wma. В списке расширений их нет. Как их добавить?

29.06.2005, 09:30	# 11
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	Start -> Programs -> Microsoft ISA Server -> ISA Management Cлева ищешь раздел Policy Elements и в нем щелкаешь на Content Groups В правой части можешь добавлять все, что считаешь нужным. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером

29.06.2005, 10:04	# 12
VavNat Newbie Регистрация: 27.03.2003 Сообщения: 34	Раз пошла такая пьянка - то можно еще пару вопросиков? 1.Как поставить фильтр на показ эротики 2. Можно ли показывать jpeg и jpg только определенного размера. Ну чтобы страница с превью грузилась, а развернуть картинку - нельзя. 3. В ISA есть учет траффика по каждому IP? И можно ли поставить лимит на скачивание на каждый IP?

29.06.2005, 11:46	# 14
VavNat Newbie Регистрация: 27.03.2003 Сообщения: 34	Огромное человеческое спасибо!!! А вот еще вопросик по теме - когда ставишь опцию делать отчет за месяц изи за неделю. Можно ли сделать так чтоб в отчет попадали не все IP шники, а только определенные. Или здесь как с траффиком -или все в одном отчете или ищи дополнительную программу?

29.06.2005, 12:05	# 15
xrun Banned Регистрация: 18.12.2004 Сообщения: 71	очень хорошё справляется ProxyInspector для isa попробуй его

04.07.2005, 09:38	# 20
FantomIL NetMOD Регистрация: 19.05.2003 Адрес: МосПодЛод - НачВод-АккОт Сообщения: 2 376	ИСА их сама отделит. Тебе надо нажать на кнопку Create a Destination Set, появится окошко, где ты в поле Name вводишь название для этой группы, а потом нажми кнопку Add и в поле Destination введи url, который ты хочешь запретить. Повторяй последнюю процедуру (там где Add) для каждого url-а. Таким образом получим список url-ов в одном наборе. __________________ Красная точка лазерного прицела на вашем лбу это тоже чья-то точка зрения... --------- Репутация – это то, без чего могут жить люди с характером Последний раз редактировалось FantomIL; 04.07.2005 в 09:42.