none
Melhor forma de regras. RRS feed

  • Pergunta

  • Bom dia a todos..

    Pessoal, sou novo com isa server 2004 ..

    Gostaria de saber uma coisa..

    Qual a melhor forma de crias as regras de acesso..

    Configurar as estações com web proxy e fazer securanet para email ( pop/smtp )

    Sendo assim qual regra se aplica melhor neste exemplo...

    defino gateway ( isa )  e dns externo ... é isso ?

    abraços ....
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 02:00 (De:ISA Server 2004)
    terça-feira, 19 de maio de 2009 15:42

Respostas

  • Entendi.... rsrsrs

    Me diz uma coisa... olha o que eu fiz....


    Firewall - Rede Interna  allow    internal --    all protocolos --- localhost     allusers
                                                 localhost                                internal

    Bloqeuio de site  -  Deny  http-https  internal  ---  Sites Bloqueados  ---   Usuarios autenticados / Horario Liberado

    Acesso SecureNat   --     Allow allprotocols - alguns Ips da rede  -   External --  Allusers

    Acesso Banco  --     allow  --   http/https  - internal -- Sites de bancos -- Allusers

    Internet -OUT   allow -- http/htps/ftp/ping/  - internal  --  external  -  Usuarios autenticados  /// Exception ( grupo de usuarios X)

    Acesso POP/SMTP  - allow   pop3/pop3s/smtp/smtps   -  internal   -  external  --  allusers

    Acesso grupo X   allow  --  http/https --- internal --- Sites Liberados -- Usuario do Grupo X.

    Isa Internet OUT  --  allow -- http/https   - localhost   -   external  -  allusers..

    tai luis o que eu fiz ...

    vc acha que ta legal estes parametros ????


    aguardo 
    abraços. 
    • Marcado como Resposta Rafaeljr quarta-feira, 27 de maio de 2009 18:40
    quarta-feira, 20 de maio de 2009 01:44

Todas as Respostas

  • Rafael,

    Tudo depende de como é sua infra.
    O ISA le as regras de cima para baixo, ou seja se vc tem uma liberação encima de um bloqueio, o bloqueio esta ali de "alegre" para que o mesmo funcione ele deve ficar antes da regra de liberação, obviamente devidamente configurado para grupos, destinos, origens, etc...

    As regras de secure nat devem ficar separadas das regras de web proxy se nao vc vai ficar engessado com essa configuração.
    O ISA deve ser o gateway das estações para securenat, ou até mesmo as de web proxy caso vc nao tenha outro gateway na rede, e o DNS deve ser o seu DNS interno, onde o mesmo deve estar configurado para fazer encaminhamento para o DNS do seu provedor.

    Deu pra entender mais ou menos?

    Espero ter ajudado.
    Qualquer duvida volte a postar

    Se util nao esqueça de marcar como resposta.

    abraços
    Luiz Fernando Dias - MVP
    terça-feira, 19 de maio de 2009 18:26
    Moderador
  • Acho que não entendi...


    poderia me ajudar nas ordens destas regras ???

    voute passar mais ou menos como eu acho que deve ser ...


    Obs :  Eu gostaria de deixar apenas email direto e usar web proxy nas estações

    internal x localhost
    localhost x internal   allprotocols


    Securenat  

    intrenal    protocols pop3/pop3s/smtp/smtps    x extenal  allusers


    bloqueio de site    ..................


    Acesso Internet  


    internal   http/https e outros..      internal   x   external .....   all users


    Seria isso Luiz ???

    Abraços ..
    Rafael 

    terça-feira, 19 de maio de 2009 19:03
  • Rafael,

    internal x localhost
    localhost x internal   allprotocols

    Essa regra acima é perigosa pois tb existem ataques internos, mas caso vc queira, pode faze-la.

    Secure NAT:  protocolos-->internal --> External--ALL USERs

    O acesso a internet se vc deixar com all users vc nao terá auditoria de acessos e eles sairao por SECURE NAT Tb.
    para usar o web proxy vc precisa tirar o all users e colocar usuarios autenticados ou algum grupo do seu AD....tudo menos ALL USERS;;;;


    Capitou?

    abraços
    Luiz Fernando Dias - MVP
    terça-feira, 19 de maio de 2009 19:20
    Moderador
  • Capitei..

    Vamos la...

    na primeira regra o que vc sugere ????

    ..............................................................


    na segunda :


    Bloqeios de site e horarios permitidos.........


    na terceira

    Acesso Internet -OUT

    INTERNAL  --   HTTP/HTTPS/PROTOCOLOS CRIADOS....   X external   X  Usuarios autenticados...



    terça-feira, 19 de maio de 2009 19:34
  • Tudo que é bloqueado deve vir em primeiro..
    Depois vc vai criando as outras regras...sempre prestando atenção se nenhuma outra acima esta dando conflito...


    Luiz Fernando Dias - MVP
    terça-feira, 19 de maio de 2009 19:42
    Moderador
  • Luiz ..

    Fiquei preocupado em relação a primeira.....

    pois segui um exemplo no site do itcentral..

    na 1º qual seria a melhor opção.


    Pois pelo que sei a gente tem que dar acesso ao isa primeiro certo ?

    Abraços..
    terça-feira, 19 de maio de 2009 19:46
  • Sim vc precisa criar uma regra que libere o ISA para conversar com a sua rede...mas ela necessariamente nao precisa ser a regra numero um...entende?
    Ela pode ficar em outra posição na listagem....

    O ISA server é chamado de LOCAL HOST na console...
    Luiz Fernando Dias - MVP
    terça-feira, 19 de maio de 2009 19:59
    Moderador
  • Entendi...

    Mas aindo estou na duvida...

    Mas tudo bem.... 

    vou quebrar a funfa ... rsrsrs

    Abraços....   vlw

    terça-feira, 19 de maio de 2009 20:56
  • diz ai quais as duvidas?
    Luiz Fernando Dias - MVP
    terça-feira, 19 de maio de 2009 21:21
    Moderador
  • a ordem  destas regras .....


    eu to meio perdido nisso...

    terça-feira, 19 de maio de 2009 21:35
  • Man relaxa...

    Apenas entenda que o ISA le as regras de CIMA para BAIXO.

    Sempre antes d eliberar ou negar o acesso ele valida TODAS as regras até encontrar uma que satisfaça a solicitação.

    Mas opque vc deve atentar-se é com o ex que eu te dei, por ex de bloqueio de acesso à internet...
    A regra de bloqueio deve bvir antes da de liberação pois caso contrario o ISA irá parar a busca por uma regra na de acesso e vai retornar o acesso ao usuario entendeu???
    Luiz Fernando Dias - MVP
    terça-feira, 19 de maio de 2009 21:52
    Moderador
  • Entendi.... rsrsrs

    Me diz uma coisa... olha o que eu fiz....


    Firewall - Rede Interna  allow    internal --    all protocolos --- localhost     allusers
                                                 localhost                                internal

    Bloqeuio de site  -  Deny  http-https  internal  ---  Sites Bloqueados  ---   Usuarios autenticados / Horario Liberado

    Acesso SecureNat   --     Allow allprotocols - alguns Ips da rede  -   External --  Allusers

    Acesso Banco  --     allow  --   http/https  - internal -- Sites de bancos -- Allusers

    Internet -OUT   allow -- http/htps/ftp/ping/  - internal  --  external  -  Usuarios autenticados  /// Exception ( grupo de usuarios X)

    Acesso POP/SMTP  - allow   pop3/pop3s/smtp/smtps   -  internal   -  external  --  allusers

    Acesso grupo X   allow  --  http/https --- internal --- Sites Liberados -- Usuario do Grupo X.

    Isa Internet OUT  --  allow -- http/https   - localhost   -   external  -  allusers..

    tai luis o que eu fiz ...

    vc acha que ta legal estes parametros ????


    aguardo 
    abraços. 
    • Marcado como Resposta Rafaeljr quarta-feira, 27 de maio de 2009 18:40
    quarta-feira, 20 de maio de 2009 01:44
  • Car a aprincipio olhando assim por cima parece estar legal.

    Vc ja testou?
    Luiz Fernando Dias - MVP
    quarta-feira, 20 de maio de 2009 02:08
    Moderador
  • Sim .. esta funcionando neste exato momento...

    Acontece comigo aqui as vezes um problema a conectividade social as vezes para e volta do nada... estranho pacas...
    Mas acho que é minha internet aqui.... é uma ____.....


    Quaria aproveitar uma coisa.....

    As estações na maioria esta com o client frewall, mas eu gostaria de colocar securenat nelas para usar pop/smtp e usar o web proxy... 


    Exemplo

    Firewall - Rede Interna  allow    internal --    all protocolos --- localhost     allusers
                                                 localhost                                internal

    Bloqeuio de site  -  Deny  http-https  internal  ---  Sites Bloqueados  ---   Usuarios autenticados / Horario Liberado

    Acesso SecureNat   --     Allow allprotocols - alguns Ips da rede  -   External --  Allusers

    Acesso Securenat Email  allow -- pop3/smtp   -  range de ip  - external  --  allusers

    Acesso Banco  --     allow  --   http/https  - internal -- Sites de bancos -- Allusers

    Internet -OUT   allow -- http/htps/ftp/ping/  - internal  --  external  -  Usuarios autenticados  /// Exception ( grupo de usuarios X)

    Acesso POP/SMTP  - allow   pop3/pop3s/smtp/smtps   -  internal   -  external  --  allusers

    Acesso grupo X   allow  --  http/https --- internal --- Sites Liberados -- Usuario do Grupo X.

    Isa Internet OUT  --  allow -- http/https   - localhost   -   external  -  allusers..



    você acha legal....  ???  Nesta ordem ???

      pois o client firewall as vezes me da umas imcompatibilidaes com certos programas ....  

    Você aconselha desta maneira ... isso é seguro e viavel ????

    Abraços. 
    Rafael
    quarta-feira, 20 de maio de 2009 02:27
  • Cara o firewall clienté recomendado quando se utiliza aplicações SOCKS, que acredito que nao seja seu caso.

    Portanto pode desisntalar e colocar para trabalhar com secure nat e webproxy...

    Sim é seguro ficar sem firewall client contanto que suas regras nao possbilitem brechas....

    Abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 20 de maio de 2009 03:30
    Moderador
  • Bom dia

    Vou testar ... abraços

    assim que terminar eu vou fechar  a duvida...

    Abraços

    quarta-feira, 20 de maio de 2009 14:41
  • Ok, fico no aguardo entao.

    Abraços
    Luiz Fernando Dias - MVP
    quarta-feira, 20 de maio de 2009 19:29
    Moderador
  • Fala meu amigo....  só agora consegui tempo pra testar....  ficou legal depois de alguns ajustes...

    abraços
    Rafael

    terça-feira, 26 de maio de 2009 04:08