ISA Server for the Enterprise

Clients

Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure client computers. SecureNAT Client Do not require you to deploy client software or configure client computers. Firewall Client Allow Internet access only for authenticated users. Firewall Client Allow Internet access only for authenticated users. Web Proxy Client Improve the performance of Web requests for internal clients. Web Proxy Client Improve the performance of Web requests for internal clients.

Configuring Web Proxy Clients Select the Use a proxy server check box. Type the port number in the Port box, and then click OK. 1 3 Local Area Network (LAN) Settings Automatic configuration OKCancel Automatic configuration may override manual settings. To ensure the use of manual settings, disable automatic configuration. Automatically detect settings Use automatic configuration script Proxy Server Use a proxy server Address: Port: Bypass proxy server for local addresses Type the IP address or name of the ISA Server computer in the Address box. 2

Installing and Configuring Firewall Clients MSPClnt\Setup.exe Client Computer Webinst/default.htm ISA Server Group Policy

Client types SecureNAT SecureNAT Nessun client software nè configurazione Nessun client software nè configurazione Gestito dal firewall service Gestito dal firewall service Richieste HTTP ridirezionate al web proxy service se è abilitato il servizio redirector Richieste HTTP ridirezionate al web proxy service se è abilitato il servizio redirector Firewall client Firewall client Gestito dal firewall service Gestito dal firewall service Richieste HTTP ridirezionate al web proxy service se è abilitato il servizio redirector Richieste HTTP ridirezionate al web proxy service se è abilitato il servizio redirector Web proxy client Web proxy client Gestito dal web proxy service Gestito dal web proxy service

Authentication SecureNAT SecureNAT Nessuna user authentication; posso usare solo lindirizzo IP per gestire gli utenti Nessuna user authentication; posso usare solo lindirizzo IP per gestire gli utenti Firewall client Firewall client Inoltra le credenziali utente Inoltra le credenziali utente Si autentica per tutti i protocolli Si autentica per tutti i protocolli Cè uneccezione Cè uneccezione Web proxy client Web proxy client Inoltra le credenziali utente Inoltra le credenziali utente

Firewall client authentication Exemption Scenario Scenario Utente è SOLO FW client Utente è SOLO FW client HTTP redirector filter è attivato HTTP redirector filter è attivato Manda le richieste HTTP dei FW client al web proxy Manda le richieste HTTP dei FW client al web proxy Le credenziali Utente sono perse Le credenziali Utente sono perse Firewall service non le inoltra Firewall service non le inoltra Nei Logs vedo anonymous ID Nei Logs vedo anonymous ID Soluzione Soluzione Configurare redirector perchè rifiuti richieste HTTP da FW e SecureNAT client Configurare redirector perchè rifiuti richieste HTTP da FW e SecureNAT client

Firewall client Intercetta tutte le chiamate WinSock: le chiamate a un indirizzo esterno sono ridirezionate a ISA Server Intercetta tutte le chiamate WinSock: le chiamate a un indirizzo esterno sono ridirezionate a ISA Server Layered service provider; lavora con tutti i protocolli IP Layered service provider; lavora con tutti i protocolli IP Supporta lautenticazione utente; puo settare permission per protocollo e porta Supporta lautenticazione utente; puo settare permission per protocollo e porta Non è necessario gestire gli indirizzi Non è necessario gestire gli indirizzi

Firewall client operation Internet Application (TCP/IP) NIC Windows Sockets or Other TCP/IP Interface TCP/IP Winsock Proxy Service NIC Windows Sockets API WSOCK32.DLL NIC TCP/IP Windows Sockets Application (TCP/IP) NIC Windows Sockets API WSOCK32.DLL WSPWSP.DLL TCP/IP local hostISA Serverremote host Local NetworkInternet

Firewall client operation Establishing a connection Internet Server WS app WSP Winsock Provider ISA Server connect to :23 [OK :1200] WinSock connect { :23} connect { :1200}

Firewall client operation Porte usate 1745/TCP: refresh della configurazione 1745/TCP: refresh della configurazione MSPCLNT.INI e MSPLAT.TXT MSPCLNT.INI e MSPLAT.TXT 1745/UDP: controllo della connessione 1745/UDP: controllo della connessione Negoziazione del data channel Negoziazione del data channel Porta: data connection Porta: data connection

Risoluzione DNS SecureNAT SecureNAT Deve accedere al server DNS server ISA Server non proxa la risoluzione DNS Deve accedere al server DNS server ISA Server non proxa la risoluzione DNS E necessaria una protocol rule DNS E necessaria una protocol rule DNS Firewall client Firewall client La risoluzione DNS è effettuata da ISA Server o dal client La risoluzione DNS è effettuata da ISA Server o dal client Depende dalle impostazioni in MSPCLNT.INI Depende dalle impostazioni in MSPCLNT.INI Web proxy client Web proxy client La risoluzione DNS è effettuata da ISA Server La risoluzione DNS è effettuata da ISA Server

Configurazione del DNS E necessario configurare correttamente il DNS E necessario configurare correttamente il DNS Sulla scheda esterna di ISA Server se non abilito il DNS forwarding Sulla scheda esterna di ISA Server se non abilito il DNS forwarding Sulla scheda interna se un DNS server interno (LAT) può forwardare in Internet Sulla scheda interna se un DNS server interno (LAT) può forwardare in Internet La scheda con impostato il DNS deve essere Bindata come prima La scheda con impostato il DNS deve essere Bindata come prima I Firewall clients sono speciali… I Firewall clients sono speciali…

DNS configuration Firewall client La risoluzione dipende dalle impostazioni per ogni applicazione in MSPCLNT.INI o in Wspcfg.ini La risoluzione dipende dalle impostazioni per ogni applicazione in MSPCLNT.INI o in Wspcfg.ini Locale o proxied Locale o proxied Wspcfg.ini, è messo nella cartella dellapplicazione e NON viene sovrascritta da ISA Wspcfg.ini, è messo nella cartella dellapplicazione e NON viene sovrascritta da ISA Common configuration è locale Common configuration è locale Come il SecureNAT Come il SecureNAT Error Error Avviene se il FW client accede un server pubblicato: Avviene se il FW client accede un server pubblicato: Il traffico esce e rientra in ISA Server Il traffico esce e rientra in ISA Server

Demo: gestione di un Array

Benefici di ISA Server Enterprise Edition Scalabilità Permette di scalare le funzionalità di ISA Server usando gli array, Network Load Balancing, e CARP. Cache Distribuita e gerarchica Aumenta le performance e la fault tolerance della cache. Active Directory Policy Contiene la configurazione e le informazioni sulle policy e viene usata per applicare i controlli di accesso a utenti e gruppi. Permette di creare policy a livello di array e enterprise.

Installazione di ISA Server in un Array Run Setup + modifica dello Schema di AD Run Setup + modifica dello Schema di AD Installa ISA Server come Array Crea lArray Seleziona limpostazione delle Enterprise Policy Setting Seleziona limpostazione delle Enterprise Policy Setting Seleziona limpostazione delle Custom Policy Seleziona limpostazione delle Custom Policy FinishFinish StartStart

Demo: gestione di un Array

Gestione delle Network Connection Overview del Routing Overview del Routing Configurazione del Routing per le richieste dai Web Proxy Client Configurazione del Routing per le richieste dai Web Proxy Client Configurazione del Routing per le richieste dai Firewall Client e SecureNAT Client Configurazione del Routing per le richieste dai Firewall Client e SecureNAT Client Automatic Discovery Automatic Discovery

Routing Overview Corporate Office Overseas Branch Office ISA Server Overseas ISP Array 1 Array 2 Array 3 Local Requests

Demo: gestione delle regole di Routing

Automatic Discovery Client contatta il DNS o il DHCP per ottenere informazionei su ISA. 1 Una entry WPAD sul DHCP o sul DNS Server punta a ISA Server. 2 Il Client ritrova le informazioni di configurazione da ISA Server. 3 DNS or DHCP Server DNS or DHCP Server Il Client inoltra le richieste Internet a ISA Server basandosi sulle informazioni di configurazione. 4 Alias NameFQDN WPADisa.domain.msft ISA Server isa.domain.msft ISA Server isa.domain.msft Client

Understanding CARP Internet array.dll?Get.Info.v1 Web Proxy Client Server 2 Server 1 Server 3 Server 4 Server 5 Server 1 Server 2 Server 3 Server 4 Server 5 Array Membership List

Configuring CARP LONDON Properties OKCancel Add… Apply GeneralOutgoing Web RequestsIncoming Web Requests PoliciesAuto DiscoveryPerformanceSecurity Use the same listener configuration for all internal IP addresses. Configure listeners individually per IP address Identification Enable SSL listeners ServerIP AddressDisplay N…Authentic…Server C… LONDON<All inter…Integrated Remove Edit… TCP port:8080 SSL port:8443 Configure… Ask unauthenticated users for identification Resolve requests within array before routing Connections Connection settings Select to enable CARP. LONDON Properties OKCancelApply GeneralArray Memberships Use this IP address for intra-array communication: Intra-array communication Find… Specify the load factor for this server. This number indicates the relative cache availability of this server compared to the rest of the array members: Load Factor 100 Type a number to set the load factor.

Understanding Network Load Balancing Internet Cache ISA Server Array Published Server Cache

Connettere una Rete Remota a una Rete Locale VPN Tunnel ISA MILANO Remote Network Internet Local Network ISA TORINO