Você está na página 1de 54

Manual de Instalao e

Implementao
Microsoft Internet Security and
Acceleration Server 2000

Enterprise Edition
Microsoft Corporation

As informaes contidas neste documento, incluindo URLs e outras referncias a Web sites da
Internet, esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, as empresas,
organizaes, produtos, pessoas e eventos mencionados so fictcios e no se destinam, de todo, a
representar qualquer empresa, organizao, produto, pessoa ou evento real. da responsabilidade
do utilizador o cumprimento de todas as leis de direito de autor aplicveis. Sem limitao dos
direitos de autor, nenhuma parte deste documento pode ser reproduzida, armazenada nem
introduzida num sistema de registo ou transmitida sob qualquer forma ou por qualquer meio,
electrnico ou mecnico, fotocpia, gravao ou qualquer outro, para qualquer fim, sem a
permisso expressa, por escrito, da Microsoft Corporation.

Neste documento, podem ser feitas referncias a patentes, pedidos de patente, marcas comerciais,
direitos de autor ou outros direitos de propriedade intelectual da Microsoft. Salvo disposio
expressa em qualquer acordo de licena escrito da Microsoft, o facto de este documento lhe ser
fornecido no lhe concede quaisquer direitos sobre essas patentes, marcas comerciais, direitos de
autor ou outro tipo de propriedade intelectual.
1995-2000 Microsoft Corporation. Todos os direitos reservados.

Exchange, Microsoft, MS-DOS, Windows e Windows NT so marcas registadas ou comerciais da


Microsoft Corporation nos Estados Unidos e/ou noutros pases.

Os nomes de empresas e produtos reais mencionados neste texto podem ser marcas registadas dos
respectivos proprietrios.

1200 Pea N. X06-20602


Impresso nos Estados Unidos da Amrica

PREFCIO ...........................................................................................................................................v
A quem se destina este manual.................................................................................. v
Objectivo deste manual .............................................................................................. vi
CAPTULO 1........................................................................................................................................1
Introduo ao ISA Server ............................................................................................ 2
Funcionalidades e cenrios de utilizao ................................................................. 3
CAPTULO 2........................................................................................................................................7
Orientao para o planeamento de capacidades..................................................... 8
Consideraes sobre arrays ..................................................................................... 10
Seleccionar as funes do ISA Server ..................................................................... 12
Avaliar os requisitos dos clientes............................................................................. 13
Consideraes sobre a rede existente .................................................................... 14
CAPTULO 3......................................................................................................................................15
Antes de instalar o ISA Server .................................................................................. 16
Iniciar o processo de configurao .......................................................................... 18

Inicializar a empresa................................................................................................. 18
Instalar o ISA Server.................................................................................................. 20
Passos seguintes ...................................................................................................... 23
CAPTULO 4......................................................................................................................................25
Motivos para migrar.................................................................................................. 26
Processo de migrao .............................................................................................. 26
Consideraes sobre arrays do Proxy Server 2.0 ................................................... 27
Migrar para um array ................................................................................................ 28
Migrar as configuraes do Proxy Server 2.0.......................................................... 29
CAPTULO 5......................................................................................................................................31
Comparar clientes do ISA Server ............................................................................. 32
Configurar clientes do Web Proxy ............................................................................ 33
Configurar clientes de SecureNAT ........................................................................... 33
Configuraes de um cliente de firewall ................................................................. 35
CAPTULO 6......................................................................................................................................37
Firewall e colocao em cache em redes pequenas .............................................. 38
Ligao de clientes remotos .................................................................................... 41
Agrupar computadores com o ISA Server para obter tolerncia a falhas ............. 43
Cenrio de poltica de empresa ............................................................................... 45
Cenrios de publicao na Web............................................................................... 49
Cenrios de publicao de servidores segura ........................................................ 53
Cenrios de redes perifricas .................................................................................. 56

PREFCIO

Acerca deste manual


A Internet oferece s empresas novas oportunidades de relacionamento com os seus clientes,
parceiros e funcionrios. No s oferece grandes oportunidades como tambm introduz novos
riscos e problemas como, por exemplo, a segurana, o desempenho e a flexibilidade. O
Microsoft Internet Security and Acceleration (ISA) Server destina-se a satisfazer as
necessidades das actividades comerciais adaptadas Internet. O ISA Server fornece uma firewall
ao nvel empresarial em camadas que ajuda a proteger os seus recursos de rede. A cache de Web
do ISA Server permite que as empresas poupem largura de banda da rede e que passem a fornecer
acesso mais rpido Web aos utilizadores, servindo objectos a partir de uma origem local em vez
de o fazer atravs de uma Internet que, periodicamente, se encontra congestionada.
Quer seja implementado sob a forma de componentes dedicados ou como uma firewall integrada
e servidor de cache, o ISA Server fornece uma consola de gesto unificada que simplifica a gesto
da segurana e de acessos. Concebido para funcionar com o Windows 2000, o ISA Server
fornece conectividade rpida Internet atravs de eficazes ferramentas de gesto integradas.
O ISA Server um meio de valorizar gestores de tecnologias da informao, administradores de
rede e profissionais de proteco da informao em empresas de todos os tamanhos para as quais
a segurana, o desempenho, a flexibilidade ou os custos de funcionamento das suas redes faam
parte das suas preocupaes. O ISA Server pode ser utilizado num espectro de cenrios, desde
pequenos escritrios e filiais at fornecedores de servios de Internet (ISPs) e empresas de
alojamento na Web e at sites de comrcio electrnico.

A quem se destina este manual


Este manual destina-se a profissionais de sistemas, administradores de rede e a utilizadores
avanados de pequenas empresas que pretendam adquirir conhecimentos para instalar e a
implementar o ISA Server nas suas redes. O manual assume que o leitor se encontra familiarizado
com os conceitos bsicos de redes, incluindo os termos DNS, DHCP, Encaminhamento e acesso
remoto, protocolo de rede TCP/IP e outros componentes de rede do Windows 2000.

Objectivo deste manual


Este manual apresenta uma perspectiva geral do ISA Server e fornece as informaes bsicas
necessrias para planear a implementao deste software.
Neste manual descrevem-se detalhadamente os procedimentos do processo de instalao, listas de
verificao para efectuar configuraes aps a instalao, bem como exemplos de cenrios
demonstrando algumas possveis utilizaes do ISA Server na sua rede.

Este manual encontra-se organizado nos seguintes captulos:


1

Captulo 1, Introduo, introduz o ISA Server e descreve as suas funcionalidades.

Captulo 2, Consideraes sobre o planeamento, descreve aspectos que deve ter em conta
antes de instalar o ISA Server. Este captulo representa uma ajuda na determinao da
quantidade de computadores onde o ISA Server ser instalado bem como da configurao
mais adequada.

Captulo 3, Instalar o ISA Server, orienta-o atravs do processo de instalao. Cobre em


detalhe a configurao de hardware, a preparao da empresa e o processo de instalao
propriamente dito.

Captulo 4, Migrao a partir do Microsoft Proxy Server 2.0, explica como migrar as
polticas e configuraes existentes do Proxy Server 2.0 para uma configurao do ISA
Server.

Captulo 5, Instalar e configurar clientes, descreve os clientes do ISA Server e aborda em


detalhe os passos a seguir na configurao dos clientes do ISA Server.

Captulo 6, Cenrios de implementao, ilustra algumas configuraes de rede comuns e aborda em detalhe os
passos necessrios para a implementao destes cenrios, utilizando o ISA Server.CAPTULO 1

Introduo

Este captulo fornece uma perspectiva geral do Microsoft Internet Security and Acceleration
(ISA) Server. Alm disso, descreve alguns cenrios comuns, nos quais o ISA Server pode ser
utilizado na sua rede.
Este captulo inclui as seguintes seces:
1

Introduo ao ISA Server

Introduo ao ISA Server

Funcionalidades e cenrios de utilizao

Com o crescimento exponencial das actividades comerciais na Internet e considerando o vasto


nmero de redes empresariais ligadas a ela, maior do que nunca a necessidade de possuir uma
poderosa gateway da Internet fcil de administrar, que fornea uma ligao segura ao mesmo
tempo que melhora e aumenta o desempenho da rede. O ISA Server d resposta a estas
necessidades oferecendo uma soluo completa de conectividade Internet contendo uma firewall

empresarial e uma soluo completa de cache de Web. Estes servios so complementares: ao


instalar o ISA Server na rede possvel utilizar uma ou ambas as funcionalidades.
O ISA Server protege a sua rede, permitindo-lhe implementar as suas polticas de segurana
comerciais atravs da configurao de um leque alargado de regras que especificam quais os sites,
quais os protocolos e quais os contedos que podem passar atravs do computador com o ISA
Server. O ISA Server monitoriza os pedidos e as respostas entre a Internet e os computadores
clientes internos, controlando assim quem pode aceder a que computadores na rede da empresa.
Alm disto, com o ISA Server possvel controlar quais os computadores da Internet que podem
ser acedidos pelos clientes internos.
O ISA Server disponibiliza muitas opes de segurana, incluindo a filtragem de pacotes e a
deteco de intruses. Permite criar polticas de acesso baseadas em nveis de utilizador ou nos
endereos IP (Internet Protocol). Tambm permite definir quando essas regras so aplicadas.
O ISA Server permite efectuar uma publicao segura. O ISA Server pode ser utilizado para
definir uma poltica de publicao, protegendo os servidores de publicao internos e tornando-os
acessveis aos clientes da Internet de uma forma segura .
O ISA Server implementa uma cache de objectos acedidos frequentemente. A cache pode ser
configurada de forma a garantir que esta contm os dados utilizados ou acedidos com mais
frequncia pelos clientes de Internet na empresa. A cache do ISA Server pode ser distribuda por
vrios computadores com o ISA Server em arrays ou cadeias de arrays. Isto pode traduzir-se em
redues de custos em ligaes Internet, visto que os clientes podem obter contedos a partir da
cache do ISA Server mais prximo.
O ISA Server extensvel. A ISA Management (gesto do ISA) possui uma interface COM
correspondente que pode ser programada pelos administradores atravs de linguagens de
programao de alto nvel ou de linguagens de script. As funcionalidades principais da firewall
podem ser estendidas por outros programadores que implementem filtros para aplicaes ou
filtros para a Web. A funcionalidade da cache pode ser complementada atravs da respectiva
interface de programao de aplicaes (API). A interface da ISA Management pode ser
expandida de forma a fornecer ferramentas de administrao para as novas extenses.

Funcionalidades e cenrios de utilizao


A Microsoft e os seus clientes efectuaram um trabalho conjunto no sentido de conceber um
produto que satisfaa as necessidades das presentes actividades comerciais relacionadas com a
Internet: segurana, desempenho e flexibilidade. As seguintes seces abordam alguns cenrios
comuns e fornecem uma perspectiva geral do modo como as funcionalidades do ISA Server
podem ser utilizadas para implementar os cenrios da sua rede.

Conectividade Internet com elevado grau de segurana


O ISA Server pode ser implementado como uma firewall dedicada actuando como gateway
segura para a Internet a ser utilizada por clientes internos. Ao definir as polticas de acesso, os
administradores podem evitar acessos no autorizados e a entrada de contedos malignos na rede,
bem como restringir o trfego que flui para o exterior.
O ISA Server constitui uma soluo completa para proteger o acesso rede, incluindo as
seguintes funcionalidades de firewall e de segurana:

Poltica de acesso ao exterior. possvel utilizar o ISA Server para configurar as regras de
sites e contedos que controlam o modo como os clientes internos acedem Internet. As
regras de sites e contedos especificam quais os sites e contedos que podem ser acedidos.
As regras de protocolos indicam se um determinado protocolo se encontra acessvel para
comunicaes vindas do exterior ou para comunicaes a partir do interior.

Deteco de intruses. Os mecanismos de deteco de intruses integrados podem alert-lo


do lanamento de um ataque contra a sua rede. Por exemplo, possvel configurar o ISA
Server para lhe enviar um alerta no caso de ser detectada uma tentativa de anlise de portas.

O assistente System Security (segurana do sistema). O assistente System Security do ISA


Server permite-lhe proteger o seu Windows 2000 atravs da definio do nvel de segurana
apropriado, utilizando modelos predefinidos.

Filtros de aplicaes. O ISA Server analisa e controla trfego especfico das aplicaes
recorrendo a filtros dedicados respectiva aplicao que inspeccionem os dados actuais.
possvel activar a filtragem inteligente de Hypertext Transfer Protocol (HTTP), de File
Transfer Protocol (FTP), de Simple Mail Transfer Protocol (SMTP), de correio electrnico,
de conferncias H.323, transmisso em sequncia, chamadas remotas de procedimentos
(RPCs) e mais ainda.

Suporte para Rede privada virtual. O ISA Server inclui acesso remoto seguro baseado em
padres atravs dos servios de rede privada virtual do Microsoft Windows 2000.

Acesso Internet produtivo


O acesso Internet uma ferramenta essencial para a realizao de funes que requerem acesso
s mais variadas fontes de informao. Com o elevado trfego de Internet que flui atravs das
gateways de rede, o desempenho do acesso Web pode tornar-se uma restrio produtividade.
As funes de cache da Web do ISA Server permitem aceder Web com maior rapidez,
colocando em cache os contedos da Internet, ficando estes mais prximos do utilizador. Alm
disso, a utilizao dos controlos de acesso baseados em polticas, permite aos administradores
limitar os Web sites permitidos a determinados utilizadores por hora do dia, por tipo de contedo
ou outras categorias. Atravs da colocao rpida em cache e do controlo de acesso, o ISA Server
contribui para a reduo dos custos de gesto da conectividade Internet e para a melhoria de
produtividade dos utilizadores da Internet. O ISA Server utiliza a colocao em cache na memria
de acesso aleatrio (RAM) e um I/O de ficheiros eficiente, oferecendo um bom desempenho de
cache.
As funes de colocao em cache do ISA Server incluem:
1

Colocao em cache distribuda. Ao configurar um array de computadores com o ISA


Server, beneficiar de uma colocao de contedos distribuda em cache. O ISA Server
utiliza o Protocolo de Encaminhamento em Arrays de Cache (CARP - Cache Array Routing
Protocol) permitindo um escalonamento transparente de eficincia extrema ao utilizar vrios
computadores com o ISA Server inscritos num array constituindo uma nica cache lgica.

Colocao em cache hierrquica. O ISA Server complementa a colocao em cache


distribuda permitindo a configurao de uma hierarquia de caches, encadeando arrays de
computadores com o ISA Server, de forma a permitir que os acessos dos clientes sejam feitos
por intermdio da cache geograficamente mais prxima.

Colocao inversa em cache. O ISA Server capaz de colocar em cache contedos de HTTP
e de FTP de servidores de publicao, melhorando portanto as respectivas acessibilidades.

Colocao agendada em cache. possvel utilizar o servio de transferncia agendada de


cache para definir quando o computador com o ISA Server dever actualizar o contedo da
Internet acedido com maior frequncia, para a respectiva cache.

Publicao rpida e escalvel e comrcio electrnico


Seja a sua empresa revendedora de comrcio electrnico na Internet, ou uma empresa de grande
dimenso que pretenda alargar o mbito da actividade comercial, a Internet um elemento chave
da sua estratgia comercial. As empresas no podem correr o risco de apresentar Web sites de
comrcio electrnico lentos e sem capacidade de resposta, especialmente quando a concorrncia
se encontra a apenas um clique de rato. A cache da Web do ISA Server permite aos utilizadores
uma utilizao rpida da Web que evolui acompanhando o crescimento da sua actividade
comercial. A colocao em cache tambm se encontra disponvel para clientes da Internet que
acedam a objectos de computadores da rede local.
O ISA Server permite publicar servios na Internet sem comprometer a segurana da rede interna.
possvel configurar as regras de publicao na Web e de publicao de servidores de forma a
definir quais os pedidos que devem ser enviados de forma descendente at um servidor localizado
abaixo do computador com o ISA Server, fornecendo uma melhor camada de segurana aos
servidores internos.
possvel utilizar estas funes do ISA Server para publicar servidores:
1

Publicao segura na Web. As regras de publicao na Web permitem o acesso seguro a


servidores da Web internos. Permitem tambm aos clientes externos o acesso a servidores
internos, mantendo a proteco contra acessos indesejados.

Publicao segura de servidores de aplicaes. As regras de publicao de servidores


permitem fazer com que determinados servidores internos fiquem acessveis a clientes
especficos, sem a necessidade de recorrer a longos procedimentos de configurao ou
instalao no servidor da publicao.
O ISA Server inclui o assistente Mail Server Security (segurana de servidor de correio
electrnico), que facilita a configurao do Exchange Server na rede local.

Gesto unificada
Em geral, a gesto de segurana e a gesto da colocao em cache quando realizadas segundo
procedimentos independentes, requer um conjunto de tecnologias de rede, equipamentos de infraestrutura tambm independentes, bem como administradores qualificados, aumentando portanto
os factores complexidade, custo e inconsistncia. A ferramenta de administrao unificada e
baseada em polticas ajuda os administradores na gesto e na proteco da conectividade
Internet a partir de uma localizao central, o que reduz a complexidade da rede e provoca uma
reduo dos custos totais de propriedade.
Muitas vezes as empresas podem tirar proveitos de polticas de firewall e cache consistentes. A
integrao da gesto no ISA Server fornece uma vista nica destas polticas, em vez da
necessidade de gerir separadamente a firewall e a infra-estrutura de cache.
Ao agrupar os computadores com o ISA Server em arrays, todos os computadores membros de
um array podem ser geridos a partir de um ponto central.
O ISA Server expande a gesto centralizada por arrays ao nvel da empresa. O ISA Server Enterprise inclui todos os
arrays da sua empresa. Ao preparar a empresa, ir especificar o tipo de gesto de polticas da empresa. possvel
seleccionar uma poltica de empresa centralizada aplicvel a todos os arrays da empresa ou uma poltica mais flexvel
na qual cada administrador de array pode definir uma poltica local.CAPTULO 2

Consideraes sobre o
planeamento

Este captulo concentra as informaes necessrias para o planeamento e a implementao do


Microsoft Internet Security and Acceleration (ISA) Server na sua empresa. Apesar de este
captulo fornecer muitas das informaes necessrias para a implementao do ISA Server na sua
empresa, no se pretende abordar aqui todos os aspectos da configurao de rede.
A tabela seguinte mostra factores a considerar no planeamento da implementao do ISA Server.
Questo

Descrio

Consultar a seco
em

Quantos computadores
sero necessrios?

A configurao de hardware e da conectividade


Internet dependem da utilizao do ISA
Server.

Orientao para o
planeamento de
capacidades

Como devo organizar os


computadores com o ISA
Server?

Determinar o modo de agrupamento em arrays


dos computadores com o ISA Server.

Consideraes sobre
arrays

Quais as funes do ISA


Server sero necessrias?

possvel optar por instalar determinadas


funes do ISA Server de forma a satisfazer as
necessidades especficas da sua rede.

Seleccionar as
funes do ISA Server

Quais os requisitos dos


utilizadores?

Determinar quais as aplicaes e servios de


que os utilizadores necessitam, de forma a
decidir as configuraes efectuadas nos
clientes.

Avaliar os requisitos
dos clientes

necessrio reconfigurar a
rede existente?

Considerar o modo de interaco entre o ISA


Server e a rede existente.

Consideraes sobre a
rede existente

Este captulo inclui as seguintes seces:


1

Orientao para o planeamento de capacidades

Consideraes sobre arrays

Seleccionar as funes do ISA Server

Avaliar os requisitos dos clientes

Orientao para o planeamento de

Consideraes sobre a rede existente

capacidades
Para obter um desempenho melhorado, deve planear o hardware e a conectividade Internet a
empenhar no ISA Server para atingir a carga prevista. As seguintes seces descrevem
configuraes de sistema recomendadas para diversos cenrios de utilizao.

Requisitos mnimos
Para utilizar o ISA Server, necessrio:

Um computador pessoal com CPU compatvel com Pentium II a 300 mega Hertz (MHz) ou
superior

O sistema operativo do computador deve ser o Microsoft Windows 2000 Server com o
Service Pack 1 ou posterior, o Microsoft Windows 2000 Advanced Server com o Service
Pack 1 ou posterior ou o Microsoft Windows 2000 Datacenter Server.

256 MB de memria

20 MB de espao em disco disponvel

Uma placa de rede compatvel com o Windows 2000, para as comunicaes com a rede
interna

Uma partio no disco rgido local formatada com o sistema de ficheiros NTFS

Nota
sempre aconselhado utilizar o Service Pack mais recente.

Para implementar as configuraes de array e de polticas avanadas, tambm necessrio que o


Active Directory esteja a ser executado.
Se o ISA Server for utilizado em modo firewall ou em modo integrated mode (modo integrado),
sero necessrias duas placas de rede.

Requisitos de administrao remota


Para a administrao remota do ISA Server apenas necessrio instalar a ISA Management, que
pode ser executada em Windows 2000 Professional ou superior.
Em alternativa, possvel instalar os Servios de Terminal em modo de administrao remota no
computador com o ISA Server. Aps esta instalao, no necessrio ter a ferramenta ISA
Management noutro computador para administrao remota. Em vez disso, utiliza-se uma sesso
dos Servios de Terminal para administrar o ISA Server.

Requisitos para a colocao directa em cache


O ISA Server pode ser implementado como um servidor de colocao directa em cache,
mantendo assim uma cache centralizada com os objectos da Internet acedidos mais
frequentemente e que possam ser acedidos por qualquer Web browser cliente. Neste caso, deve
ser estimado o nmero de Web browsers cliente que iro aceder Internet. A tabela abaixo
apresenta configuraes de hardware de acordo com o nmero estimado de clientes internos que
iro aceder a objectos da Internet.
N. de
utilizadores

Configurao mnima dos computadores


com o ISA Server

RAM
(MB)

Espao
atribudo
para cache

At 500

Um nico computador com o ISA Server, com Pentium


II a 300 MHz

256

2-4 Gigabytes

5001.000

Um nico computador com o Single ISA Server, com


dois processadores Pentium III a 550 MHz

256

10 Gigabytes

256
para
cada
servidor

10 Gigabytes
para cada
servidor

Mais do que 1.000 Dois computadores com o ISA Server, com


processadores Pentium III a 550 MHz

medida que o nmero de utilizadores aumenta e superior a 1.000, possvel utilizar hardware
com processadores mais potentes e mais memria ou acrescentar mais instalaes do ISA Server.
Para obter mais informaes, consulte a seco Acrescentar mais computadores.
Ao configurar mais do que um computador com o ISA Server, aconselhvel agrupar os
computadores em arrays. Para obter mais informaes, consulte as seco Consideraes sobre
arrays.

Requisitos para a publicao (Colocao inversa em cache)


A cache do ISA Server pode ser implementada de forma a dar resposta a pedidos da Web
originrios do exterior da empresa. A esta caracterstica d-se o nome colocao inversa em
cache. Por exemplo, pode ser colocado um computador com o ISA Server entre a Internet e o
servidor Web de uma empresa o qual hospeda uma actividade comercial da Web ou fornece
acesso a parceiros comerciais. Nesse caso, necessrio considerar a frequncia com que os
clientes externos iro aceder a objectos dos servidores pblicos.

A tabela abaixo apresenta configuraes de hardware para um nmero estimado de acessos de


utilizadores (externos) da Internet, num cenrio de colocao inversa em cache.
Acessos por
segundo

Computador com o ISA Server

Menos de 100

Um nico computador com o ISA Server, com Pentium II a 300 MHz

At 250

Um nico computador com o ISA Server, com Pentium III a 450 MHz

Mais do que 250

Computador com o ISA Server, com Pentium III a 550 MHz.


Por cada 250 acessos por segundo adicionais, acrescente um
computador com o m ISA Server ou utilize o Monitor de desempenho
para determinar pontos de maior congestionamento. Em seguida,
acrescente mais servidores ou hardware mais potente, medida que
for necessrio.

Os requisitos de memria dependem do tamanho dos contedos publicados que podem ser
colocados em cache, ou seja, o conjunto dos contedos que se encontram em utilizao.
Idealmente, todos os contedos que possam ser colocados em cache deveriam permanecer na
memria disponvel. Por exemplo, se o contedo do Web site publicado ocupar 250 MB, ento
sero suficientes 256 MB de RAM.

Acrescentar mais computadores


possvel utilizar estes requisitos de planeamento de capacidade como uma orientao geral para
determinar o nmero de computadores com o ISA Server que sero necessrios. Em alguns casos,
necessrio decidir entre acrescentar mais um computador com o ISA Server ou simplesmente
aumentar o desempenho de um computador existente, adicionando um processador. Cada opo
apresenta vantagens diferentes.
Ao adicionar um novo computador e ao criar um array de computadores com o ISA Server,
configura-se um sistema tolerante a falhas. Se ocorrer uma falha de sistema num computador, o
outro continua a funcionar. Alm disso, a existncia da gesto de arrays centralizada no ISA
Server faz com que sejam poucas as questes emergentes na gesto do ISA Server ao serem
acrescentados mais servidores ao array.
Por outro lado, o facto de ser acrescentado outro computador significa que ser necessrio gerir
mais hardware, bem como outro software que esteja instalado nesse computador como, por
exemplo, o sistema operativo.

Consideraes sobre arrays


Aps a definio do nmero de servidores que sero instalados, necessrio determinar o
respectivo enquadramento na rede. Se instalar mais do que um servidor, considere a possibilidade
de configurar um array de computadores com o ISA Server. Os arrays permitem que um grupo de
computadores com o ISA Server seja tratado e gerido como se se tratasse de apenas uma entidade
lgica. Alm disso, fornecem escalabilidade, tolerncia a falhas e balanceamento de carga.
Todos os membros do array devem pertencer ao mesmo domnio de Windows 2000 e ao mesmo
site. Para obter mais informaes, consulte a ajuda do Windows 2000.
Se optar por no instalar o ISA Server como membro de um array, pode instalar o ISA Server
como servidor autnomo. As instalaes de servidores autnomos no requerem que o
computador pertena a um domnio do Windows 2000.

Gesto centralizada
Todos os servidores de um array partilham uma configurao comum. Desta forma a gesto tornase mais transparente, uma vez que a configurao do array efectuada apenas uma vez e, em
seguida, aplicada a todos os servidores membros. Alm disso, possvel aplicar uma poltica de
empresa a um array, o que permite a centralizao da gesto para todos os arrays da empresa.
Se configurar arrays, poder optar por configurar arrays em cada ramo da empresa. Visto que
cada ramo passar a ter um array prprio, cada ramo pode definir polticas de utilizao nicas
que sero comuns a todos os servidores do array. Em alternativa, ao nvel empresarial, possvel
configurar todos os arrays da empresa de forma a utilizarem uma nica poltica de empresa. Alm
disso, ao nvel de empresa, possvel definir quais os arrays que tm permisses para publicar
servidores. Ainda ao nvel de empresa, possvel forar a filtragem de pacotes nos arrays da
empresa.

Escalabilidade e tolerncia a falhas


Mesmo que apenas seja instalado um computador com o ISA Server, dever ser considerada a
possibilidade de o instalar como membro de um array. Uma instalao de array significa que uma
expanso futura ser mais fcil simples adicionar um servidor ao array.
Os arrays do ISA Server contribuem para uma maior tolerncia de falhas. Se um servidor ficar
indisponvel, os outros servidores do array podem executar as funes de colocao em cache e de
segurana que lhe estavam reservadas. Desta forma possvel garantir tempo de actividade
contnuo aos clientes.

Compensao de carga
Os arrays permitem que os pedidos dos clientes sejam distribudos por vrios computadores com
o ISA Server, o que diminui o tempo de resposta aos clientes. Visto que a carga distribuda por
todos os servidores do array, possvel atingir um bom desempenho, mesmo com hardware
moderado.

Comparar arrays a servidores autnomos


A seguinte tabela compara as caractersticas e os requisitos de servidores autnomos e de
membros de arrays.
Array

Servidor autnomo

Escalabilidade e
tolerncia de
falhas

Pode ter um mais servidores membro.

Limitado a apenas um membro.

Active Directory
necessrio

Sim. Apenas pode ser instalado em domnios


de Windows 2000 com o Active Directory
instalado. No entanto, a rede local pode
incluir domnios de Windows NT 4.0.

No. Pode ser instalado em


domnios de Windows NT 4.0. As
informaes de configurao so
armazenadas no registo.

Poltica
empresarial

Sim. Pode ser aplicada uma nica poltica a


todos os arrays da empresa.

No. Apenas pode ser aplicada


uma poltica local de arrays.

Seleccionar as funes do ISA Server


O ISA Server pode ser instalado com ambas as funcionalidades de firewall e de colocao em
cache ou instalado apenas com as funcionalidades de firewall ou ento, apenas com as
funcionalidades de cache. Durante o processo de instalao, o ISA Server ser instalado em modo
de firewall, cache ou integrado.
Em modo firewall, as comunicaes de rede podem ser protegidas atravs da configurao de
regras que controlam as comunicaes entre a rede da empresa e a Internet. Em modo firewall,
tambm possvel publicar servidores internos e partilhar dados dos servidores internos com
utilizadores da Internet.
Em modo cache, o desempenho da rede pode ser melhorado poupando largura de banda ao
armazenar os objectos acedidos com maior frequncia em localizaes mais prximas do
utilizador. possvel encaminhar pedidos de utilizadores da Internet para o servidor da Web
adequado.
Em modo integrado, esto disponveis todas as funcionalidades de cache e de firewall. Em modo
integrado, possvel configurar uma poltica que considere os requisitos de desempenho da cache
bem como os requisitos de segurana.

As funcionalidades disponveis dependem do modo seleccionado. A seguinte tabela apresenta as


funcionalidades disponibilizadas pelos modos firewall e cache. No modo integrado so
disponibilizadas todas as funcionalidades.
Funcionalidade

Modo firewall

Modo cache

Poltica de acesso

Sim

Sim (apenas os protocolos HTTP e


HTTPS)

Filtros de aplicao

Sim

No

Configurao de cache

No

Sim

Poltica de empresa

Sim

Sim

Suporte para clientes de firewall e de


SecureNAT

Sim

No

Filtragem de pacotes

Sim

No

Monitorizao em tempo real

Sim

Sim

Relatrios

Sim

Sim

Publicao de servidores

Sim

No

Rede privada virtual

Sim

No

Filtros da Web

Sim

Sim

Publicao na Web

Sim

Sim

Suporte de clientes Web Proxy

Sim

Sim

Avaliar os requisitos dos clientes


O ISA Server suporta os seguintes tipos de clientes:
1

Clientes de Web Proxy. Um cliente de Web Proxy envia pedidos directamente ao computador
com o ISA Server, mas o acesso Internet est limitado ao browser. possvel configurar
Web browsers que suportem o Hypertext Transfer Protocol (HTTP) 1.1 como clientes de
Web Proxy.

Clientes de SecureNAT. Os clientes de SecureNAT fornecem segurana e colocao em


cache, mas no permitem autenticao ao nvel de utilizador. Para configurar um cliente de
SecureNAT, apenas necessrio definir a gateway predefinida no computador cliente para o
endereo de Internet Protocol (IP) do computador com o ISA Server. Uma vez que o cliente
de SecureNAT no requer mais configuraes alm da alterao da gateway predefinida,
qualquer computador que utilize Transmission Control Protocol/Internet Protocol (TCP/IP)
pode ser um cliente de SecureNAT.

Clientes de firewall. Restringir o acesso por utilizador a pedidos para o exterior que utilizem
os protocolos Transmission Control Protocol (TCP) e User Datagram Protocol (UDP). Para
configurar um cliente de firewall, necessrio instalar o software Firewall Client em cada
computador cliente. Apenas possvel instalar o software Firewall Client em computadores
com o Windows Millennium Edition, o Windows 95 OSR2, o Windows 98, o
Windows NT 4.0 ou o Windows 2000.

Antes de implementar ou configurar o software de cliente, avalie as necessidades da empresa.


Determine quais as aplicaes e os servios requeridos pelos clientes internos. Estude o modo de
publicao dos servidores. Em seguida, mapeie estes requisitos sobre os tipos de cliente

suportados pelo ISA Server.


Se pretende
Melhorar o desempenho dos pedidos Web
para clientes internos

Ento utilize
Clientes de Web Proxy.

Clientes de SecureNAT. Os clientes de SecureNAT no


Evitar a implementao de software cliente ou
necessitam de qualquer software nem de configuraes
a configurao de computadores cliente
especficas
Melhorar o desempenho de acesso Web
num ambiente de sistemas operativos no
Microsoft

Clientes de SecureNAT. Os pedidos de clientes de


SecureNAT so passados de forma transparente para o
servio de firewall do ISA Server e, em seguida, para o
servio de colocao em cache.

Publicar servidores que se encontrem ligados


rede interna

Clientes de SecureNAT. Os servidores internos podem


ser publicados como clientes de SecureNAT, o que
elimina a necessidade de criar definies de
configurao especiais no servidor a publicar. No
recomendada a configurao de servidores publicados
como clientes de firewall.

Permitir o acesso Internet apenas a


utilizadores autenticados

Clientes de firewall. possvel configurar regras de


poltica de acesso por utilizador para clientes de
firewall

Consideraes sobre a rede existente


Ao instalar o ISA Server, estar a faz-lo para aumentar a segurana e a lig-lo a uma rede de
servios existente. Na maioria dos casos, no ser necessrio alterar a configurao da rede
existente ao instalar o ISA Server.
As seguintes seces descrevem questes sobre redes a ter em conta ao implementar o ISA
Server.

Domnio do Windows 2000 ou Windows NT 4.0 existente


O ISA Server pode ser instalado como um servidor autnomo ou como um membro de um array
num domnio do Windows 2000.
Ao instalar o ISA Server como membro de um array num domnio do Windows 2000, o esquema
do ISA Server instalado no Active Directory. Por outras palavras, para que seja possvel utilizar
os arrays do ISA Server, o Active Directory deve estar instalado no domnio do ISA Server. Ao
instalar o ISA Server como servidor autnomo, as respectivas informaes de configurao so
guardadas no registo local.
Os arrays de computadores com o ISA Server tambm podem ser utilizadas para ligar e proteger
utilizadores e clientes de domnios do Windows NT 4.0 no acesso Internet. No entanto, o array
deve ser configurado noutro domnio do Windows 2000. Em seguida, deve ser estabelecida uma
relao de confiana entre o domnio do Windows NT 4.0 e o domnio ao qual pertence o
computador com o ISA Server.
O ISA Server pode ser instalado como servidor autnomo num domnio do Windows NT 4.0. No
so necessrias quaisquer configuraes especiais.

Interaco com outros servios de rede


possvel que j tenha utilizado o servio Encaminhamento e acesso remoto no Windows 2000
para disponibilizar servios e computadores a clientes remotos. O ISA Server fornece
conectividade remota e estende as funcionalidades de encaminhamento e acesso remoto,
oferecendo funcionalidades de segurana mais extensveis e mais flexveis. A filtragem de
pacotes do ISA Server substitui a filtragem de pacotes do encaminhamento e acesso remoto. O
ISA Server utiliza as ligaes de acesso telefnico configuradas para o encaminhamento e acesso
remoto.
Da mesma forma, possvel que j tenha utilizado as funcionalidades de partilha de ligao Internet (ICS) ou da
converso de endereos de rede (NAT) do Windows 2000 para aceder Internet. Pode ser utilizado o ISA Server em
vez da NAT ou da ICS, substituindo e melhorando o seu funcionamento na empresa. O ISA Server fornece a mesma
conectividade que a NAT ou a ICS e acrescenta funcionalidades de segurana e de colocao em cache
sofisticadas.CAPTULO 3

Instalao do ISA Server

Este captulo fornece orientaes para a instalao do Microsoft Internet Security and
Acceleration (ISA) Server.
Este captulo inclui as seguintes seces:
1

Antes de instalar o ISA Server

Iniciar o processo de configurao

Inicializar a empresa

Instalar o ISA Server

Passos seguintes

Antes de instalar o ISA Server

Antes de instalar o ISA Server, necessrio configurar o hardware e o software do computador


que ir executar o ISA Server.
Utilize as informaes das seces seguintes para garantir que o computador com o ISA Server
cumpre os requisitos da pr-instalao. Para obter mais informaes acerca de qualquer tarefa,
consulte a documentao fornecida com o componente de hardware ou com o Microsoft
Windows 2000.

Configurar a placa de rede


possvel optar por ligar a rede Internet atravs de uma ligao directa (T1, T3, xDSL, ou
modem de cabo) ou atravs de uma ligao de acesso telefnico. Se optar por uma ligao directa,
necessrio configurar uma placa de rede que ligue o computador com o ISA Server Internet.
Ao definir as propriedades do protocolo Transmission Control Protocol/Internet Protocol
(TCP/IP) da placa da rede externa, verifique junto do seu fornecedor de servios de Internet (ISP)
quais as definies correctas. Especificamente, necessrio saber o endereo IP, a mascara de
sub-rede , a gateway predefinida e os endereos IP dos servidores de DNS a ser utilizados em
pesquisas de nomes DNS. Em alguns casos, o seu ISP poder estar a utilizar o Protocolo de
configurao dinmica de anfitrio (DHCP) ou o protocolo bootstrap (BOOTP) para atribuio
dinmica de endereos de clientes.
Normalmente, o ISA Server apenas possui uma gateway de IP predefinida. Apenas dever
configurar o endereo IP da gateway predefinida na placa da rede externa e no na placa da rede
interna. Simplesmente deixe a definio de Gateway predefinido, da placa, em branco.
Para obter mais informaes, consulte a ajuda do Windows 2000.

Definies de TCP/IP
Ao definir as propriedades de TCP/IP de qualquer placa de rede interna, dever atribuir um
endereo IP permanente reservado ao computador com o ISA Server e uma mscara de sub-rede
adequada sua rede local. Os endereos atribudos por DHCP no devem ser utilizados pela placa
de rede interna, uma vez que isso poderia repor a gateway predefinida seleccionada para o
computador com o ISA Server. A placa da rede externa pode estar configurada para ser utilizada
com DHCP ou o respectivo endereo IP pode ser definido estaticamente, incluindo as definies
de gateway predefinida e de DNS.
Aps a configurao, possvel utilizar o utilitrio Ping.exe fornecido com o Windows 2000
Server ou um utilitrio semelhante noutro computador cliente de IP interno para verificar a
conectividade da rede e para verificar se as placas de rede e outros elementos de hardware se
encontram configuradas correctamente.

Configurar um modem ou uma placa de RDIS


Se optar por ligar Internet atravs de uma ligao de acesso telefnico em vez de uma ligao
directa atravs de uma placa de rede externa, dever utilizar um modem ou uma placa de rede
digital com integrao de servios (ISDN) no seu servidor.
Dependendo da placa de RDIS, possvel que no consiga visualizar os dois canais RDIS no
Windows 2000. Normalmente, os controladores da placa RDIS gerem conectividades com base na

largura de banda para o segundo canal; no possvel utilizar o Windows 2000 para gerir o
controlador. Certifique-se de que a placa de rede est configurada de forma a ser possvel
configurar ambos os canais e que o seu ISP suporta a ligao atravs da utilizao de ambos os
canais.
Para obter mais informaes acerca da configurao de uma placa RDIS ou de um modem,
consulte a ajuda do Windows 2000.

Tabela de encaminhamento do Windows 2000


A tabela de acesso local (LAT) construda automaticamente a partir da tabela de
encaminhamento do Windows 2000 Server. Se o computador estiver ligado a uma rede interna
encaminhada e no tiver a certeza de qual a topologia de encaminhamento ou de como acrescentar
uma rota esttica, possvel construir a tabela manualmente de forma a conter o intervalo ou
intervalos de endereos IP utilizados pelos clientes internos.
Visto que no possvel definir uma gateway predefinida na interface interna do computador com
o ISA Server, mais tarde ser necessrio criar rotas estticas na rede interna de forma a obter
conectividade total. Isto pode ser conseguido atravs da utilizao do comando ROUTE do
Windows 2000 numa linha de comandos.
Uma LAT configurada correctamente garante que o ISA Server determina qual a placa de rede
que deve ser utilizada para efectuar o acesso a diferentes zonas da rede interna. Se a tabela de
encaminhamento no for definida correctamente, a LAT poder no ser criada correctamente. Isto
pode resultar no encaminhamento do pedido de um cliente enviado a um endereo IP interno para
a Internet ou no seu redireccionamento atravs do servio de Firewall.
Se for necessrio, aps a instalao, a LAT dever ser editada manualmente de forma a passar a
incluir todos os outros segmentos de rede internos da empresa, incluindo os que se encontram ao
longo dos routers internos, para que o computador com o ISA Server e os clientes de Firewall
possam determinar correctamente quando devem utilizar o ISA Server e quando devem aceder a
um recurso directamente.

Iniciar o processo de configurao


possvel iniciar o programa de configurao a partir do ecr que apresentado ao inserir o CDROM do ISA Server na unidade.
1

Se esta for a primeira vez que est a instalar o ISA Server como membro de um array, ento
dever executar a ferramenta ISA Server Enterprise Initialization (Inicializao do ISA
Server Enterprise). Comece pela seco Inicializar a empresa.

Se pretender instalar um servidor autnomo ou se j tinha instalado um ISA Server na


empresa como membro de um array, poder seleccionar Install ISA Server (Instalar o ISA
Server). Passe para o tpico Instalar o ISA Server.

Inicializar a empresa
Um computador com o ISA Server pode ser configurado como membro de um array. No entanto,
antes de configurar um computador com o ISA Server como membro de um array, o esquema do
ISA Server deve ser instalado no Active Directory no controlador de domnio. O ISA Server
inclui a ferramenta Enterprise Initialization que pode ser utilizada para instalar o esquema do ISA
Server no Active Directory.

Aps ter sido importado o esquema do ISA Server, todas as instalaes seguintes do ISA Server
em computadores do domnio podem utilizar o esquema do ISA Server. No necessrio instalar
o esquema novamente.

Importante
Para ser possvel instalar o esquema do ISA Server no Active Directory, o utilizador deve ser membro dos grupos Admins da
empresa e Admins de esquema. Para obter mais informaes acerca do Active Directory e sobre as instrues especficas
de permisses de utilizador e de grupo, consulte a ajuda do Windows 2000.

Para inicializar a empresa:


1.

Insira o CD-ROM do ISA Server na unidade de CD-ROM ou execute o ficheiro


ISAautorun.exe a partir da respectiva unidade de rede partilhada.

2.

Em Microsoft ISA Server Setup (Configurao do Microsoft ISA Server), clique em Run
ISA Server Enterprise Initialization (executar a inicializao do ISA Server Enterprise).

3.

Se tiver a certeza de que pretende inicializar a empresa e alterar o esquema do Active


Directory, clique em Yes (sim).

4.

Em ISA Enterprise Initialization, seleccione o modo de aplicao das polticas da empresa.


possvel escolher uma das seguintes opes:
1

Apenas poltica de arrays. Seleccione Use array policy only (utilizar apenas poltica de
arrays) no caso de cada array possuir a sua prpria poltica, a qual pode ser administrada
pelo Array Administrator (administrador de arrays).

Apenas poltica de empresa. Seleccione Use this enterprise policy (utilizar apenas a
poltica desta empresa) e introduza o nome da poltica de empresa. Neste caso, ser
aplicada a mesma poltica de empresa a todos os arrays da empresa. No possvel
definir polticas de acesso nicas para cada array da empresa. No possvel definir
regras ao nvel de arrays.

Poltica combinada de empresa e de arrays. Seleccione Use this enterprise policy e


Allow array-level access rules to restrict enterprise policy (permitir que regras de
acesso ao nvel dos arrays restrinja a poltica de empresa). Neste caso, os administradores
de arrays podem definir regras para impor mais restries poltica de empresa. Por
exemplo, se a poltica de empresa permite o acesso a todos os sites, os administradores
podero refinar essa poltica atravs da criao de regras que neguem o acesso a sites
especficos.

Se suposto os administradores de arrays terem permisso para publicar servidores


internos, tornando-os acessveis a clientes externos (Internet), ento seleccione Allow
publishing rules to be created on the array (permitir que sejam criadas regras de
publicao nos arrays).

Seleccione Use packet filtering on the array (utilizar filtragem de pacotes no array) no
caso de ser necessrio manter sempre activa a filtragem de pacotes nos arrays da
empresa. Ao seleccionar esta opo, o administrador de arrays no poder desactivar a
filtragem de pacotes.

Quando a execuo do ISA Server Enterprise Initialization terminar, o esquema do ISA Server
estar instalado no Active Directory. Ento ser possvel instalar o ISA Server como membro de
um array, criando o array qual se dever juntar o ISA Server.

Nota
O processo de criao de arrays ocorre durante a instalao do ISA Server no primeiro computador do array. As
informaes acrescentadas ao Active Directory podem demorar algum tempo at que sejam replicadas para todos os
controladores de domnio. Portanto, se surgir uma mensagem de erro durante a instalao a indicar que o esquema do ISA
Server no foi instalado, apesar de j ter sido de facto instalado, ser necessrio aguardar at que a alterao do
esquema tenha sido replicada para o controlador de domnio local.

Instalar o ISA Server


Ao instalar o ISA Server, o programa de configurao pede as seguintes informaes.
1

CD Key(chave do CD). o nmero de 10 dgitos que se encontra no verso da caixa do CDROM do ISA Server.

Installation options (opes de instalao). possvel seleccionar Typical installation


(instalao tpica), Full installation (instalao completa) ou Custom installation
(instalao personalizada).

Array selection (seleco de array). Se inicializou a empresa, possvel seleccionar o array


ao qual o servidor ser acrescentado. Se no inicializou a empresa, ento o ISA Server ser
instalado como servidor autnomo.

Mode (modo). O ISA Server pode ser instalado em modo firewall (firewall mode), em modo
cache (cache mode) ou em modo integrado (integrated mode).

Cache configuration (configurao de cache). Se o ISA Server for instalado em modo


integrado ou em modo cache, ento necessrio configurar as unidades que sero utilizadas
como cache, bem como o tamanho da cache.

Local address table configuration (configurao da tabela de endereos locais). Se o ISA


Server for instalado em modo integrado ou firewall, ento necessrio configurar os
intervalos de endereos a incluir na tabela de endereos locais.

Importante
necessrio instalar o Windows 2000 Service Pack 1 ou mais recente antes de instalar o ISA Server.

Se o computador no qual vai instalar o ISA Server no pertencer a um domnio do


Windows 2000, ento o ISA Server ser instalado como um servidor autnomo. Posteriormente
possvel juntar o servidor a um domnio do Windows 2000 e, em seguida, junt-lo a um array.
O primeiro servidor do novo array define um novo array no Active Directory. Deve ser dado
tempo suficiente para que as informaes do array sejam replicadas atravs da rede antes de
serem acrescentados mais membros ao array.
Ao instalar um computador com o ISA Server como membro de um array existente, necessrio
instal-lo no mesmo modo que os outros membros do array. Por exemplo, se todos os servidores
do array foram instalados em modo firewall, ento o novo computador com o ISA Server tambm
deve ser instalado em modo firewall. O novo computador com o ISA Server adopta as definies
de empresa do array, a poltica de acesso, a poltica de publicao e as configuraes de
monitorizao.
possvel seleccionar as unidades de disco que se encontram disponveis para colocao em
cache durante a instalao do ISA Server. Por predefinio, durante o processo de configurao
procurada a maior partio de NTFS e configurado como tamanho de cache predefinido,
100 megabytes (MB) no caso de se encontrarem pelo menos 150 MB disponveis. Ao configurar

as unidades de cache, necessrio atribuir, pelo menos, uma unidade de NTFS reservando um
mnimo de 5 MB nessa unidade para colocao em cache. No entanto aconselhvel reservar,
pelo menos, 100 MB e acrescentar 0,5 MB por cada cliente que utilize os clientes de HTTP ou
FTP, arredondando para o megabyte seguinte.
A tabela de endereos locais (LAT) uma tabela que contm todos os intervalos de endereos IP
utilizados pela rede interna que se encontra protegida pelo computador com o ISA Server. O ISA
Server utiliza a LAT para controlar a comunicao entre os computadores da rede interna e as
redes externas, bem como para decidir quais as placas de rede a proteger atravs do carregamento
do controlador de filtro de pacotes.
O ISA Server capaz de construir a LAT baseando-a na tabela de encaminhamentos do
Windows 2000. Tambm possvel seleccionar os intervalos de endereos IP privados, tal como
definido pela Internet Assigned Numbers Authority (IANA) em RFC 1918. Estes trs blocos de
endereos esto reservados para intranets privadas e nunca so utilizados na Internet pblica.
Ao criar uma LAT, apenas se podem incluir endereos da rede privada. Isto significa que no
deve ser adicionada a interface externa do computador com o ISA Server nem sites da Internet ou
qualquer endereo externo, incluindo o do servidor de DNS do seu fornecedor de servios da
Internet, etc. Se a configurao da LAT for incorrecta, a sua rede pode tornar-se vulnervel a
ataques.
A LAT gerida centralmente, visto que gerida a partir do computador com o ISA Server. Os
clientes de firewall transferem automaticamente actualizaes da LAT com intervalos de tempo
regulares predefinidos.

Para instalar o software servidor


5.

Insira o CD-ROM do ISA Server na unidade de CD-ROM ou execute o programa


ISAautorun.exe a partir da respectiva unidade partilhada de rede.

6.

No programa de configurao do Microsoft ISA Server, clique em Install ISA Server


(instalar o ISA Server).

7.

Se aceitar os termos e as condies indicados no Contrato de licena de utilizador final,


clique em Continue (continuar).

8.

Introduza o nmero de identificao do produto que se encontra na caixa do produto.

9.

Leia o Contrato de licena de utilizador final e, em seguida, se concordar com os respectivos


termos e condies, clique em I Agree (Aceito).

10. Clique em Typical Installation (instalao tpica), Full Installation (instalao completa)
ou Custom Installation (instalao personalizada).
11. Se clicar em Custom Installation, seleccione as caixas de verificao correspondente aos
componentes do ISA Server que pretende instalar. possvel escolher as seguintes opes:
1

ISA Services (servios do ISA)

Add-in services (servios suplementares)

Administration tools (ferramentas de administrao)

12. Se no inicializou a empresa e pretende instalar o ISA Server como servidor autnomo
seleccione Yes e passe para o passo 11.
Caso contrrio, se pretende aderir o servidor a um array, clique em Yes.
13. Se optar por instalar o ISA Server como membro de um array, ento seleccione o array ao
qual o servidor ir aderir ou, para criar um novo array, introduza um novo nome.
14. Se criar um novo array, ento configure as definies de poltica de empresa do array.
Seleccione uma das seguintes opes:
1

Use default policy settings (utilizar predefinies de poltica), no caso de pretender que
a poltica do array utilize as predefinies.

Custom enterprise policy settings (personalizar as definies de poltica de empresa).


Se seleccionar esta opo, especifique se vai ser utilizada uma poltica de array, se a
publicao permitida e se deve ser forada a filtragem de pacotes.

15. Clique no modo de ISA Server que pretende instalar.


16. Aps o programa de configurao o avisar que ir parar os Servios de informao Internet
(IIS), se optar por instalar o ISA Server em modo cache ou modo integrado, configure as
unidades de cache.
17. Se instalar o ISA Server em modo firewall ou em modo integrado, ento configure a LAT.
18. Se pretende que o assistente Getting Started (assistente de introduo) seja iniciado ao
invocar o ISA Server, seleccione a caixa de verificao Start ISA Administrator Getting
Started Wizard (iniciar o assistente de introduo do administrador do ISA).

Passos seguintes
Aps a instalao, o ISA Server bloqueia todas as comunicaes entre a rede da empresa e a
Internet. No sero permitidas comunicaes at que seja configurada uma poltica de acesso,

com regras de protocolos e regras de site e contedos que permitam o acesso explicitamente.
Analogamente, necessrio configurar regras de publicao, no caso de se pretender permitir o
acesso de clientes da Internet a computadores da rede interna.
Se o ISA Server foi instalado como membro de um array, ento deve ser aplicada uma poltica de
empresa ao array. Neste caso, o ISA Server poder permitir as comunicaes se a poltica de
empresa estiver configurada de forma adequada.

Predefinies aps a instalao


Aps a instalao, o ISA Server utiliza as seguintes predefinies.
Funcionalidade

Predefinio

Permisses de
utilizador

Em servidores autnomos, os membros do grupo Administradores do computador


local podem configurar a poltica de arrays. Em arrays, os membros dos grupos
Domain Admins e Enterprise Admins podem configurar polticas.

Tabela de
endereos locais

Contm entradas especificadas durante o processo de instalao.

Definies de
poltica de
empresa

Ao ser criado um novo array, este adopta as predefinies de poltica de empresa.

Filtragem de
pacotes

Activada, nos modos firewall e integrado.


Desactivada no modo cache.

Controlo de
acesso

A menos que as definies de poltica de empresa tenham sido configuradas para


proibir regras de permisso ao nvel do array, uma regra de site predefinido e de
contedo chamada "Allow Rule" (regra de permisso) permite que todos os
clientes acedam sempre a todo o contedo de todos os sites. No entanto, uma vez
que no foram definidas quaisquer regras de protocolo, no ser permitida a
passagem de qualquer trfego.

Publicao

No se encontram acessveis servidores internos para os clientes externos. Todos


os pedidos so anulados por uma regra de publicao na Web.

Encaminhamento

Todos os pedidos de clientes do Web Proxy so obtidos directamente a partir da


Internet.

Colocao em
cache

O tamanho da cache definido o tamanho especificado durante a configurao. A


colocao em cache de HTTP e de FTP encontra-se activada. A colocao activa em
cache encontra-se desactivada.

Alertas

Todos os alertas, com excepo dos seguintes, encontram-se activados: All port
scan attack (ataque de verificao de todas as portas), Dropped packets (pacotes
perdidos), Protocol violation (violao de protocolo) e UDP bomb attack (ataque de
bomba por UDP).

Configurao de
clientes

Ao serem instalados ou configurados, os clientes de firewall e de Web Proxy


possuem a identificao automtica activada. Os Web browsers dos clientes de
firewall so configurados ao ser instalado o cliente de firewall.

Assistente Getting Started (assistente de introduo)


Aps o ISA Server ser instalado, possvel utiliz-lo para implementar as orientaes de
segurana e de acesso Internet da empresa. Primeiro, devem ser criados os elementos de poltica
que descrevem a rede. Agrupe os computadores em conjuntos de endereos cliente e os
utilizadores em grupos de segurana do Windows 2000. Crie conjuntos de destinos que incluam
computadores e domnios da Internet. Defina protocolos que possam ser utilizados para
comunicar com a Internet.
Em seguida, utilize os elementos de poltica ao criar regras de poltica, que implementem as
orientaes da empresa.
O assistente de introduo acompanha-o atravs dos passos de definio e de configurao das

polticas de empresa e de arrays iniciais. Quando terminar, o ISA Server estar configurado para
proteger a ligao da sua rede Internet.
O assistente de introduo ajuda-o a executar as seguintes tarefas:
1

Criar elementos de poltica ao nvel de array, que sero utilizados ao criar regras de poltica
de arrays.

Criar regras de protocolo ao nvel de array e regras de sites e contedo

Definir o nvel de segurana do sistema e configurar a filtragem de pacotes.

Configurar o encaminhamento e o encadeamento, para determinar o modo de


encaminhamento dos pedidos dos clientes at ao servidor destino.

Criar poltica de cache para determinar quais os objectos que sero colocados em cache.

Em instalaes de array, configurar definies de poltica de empresa, que iro determinar o


modo como a poltica de empresa ir afectar os arrays da empresa.

Em instalaes de array, criar elementos de poltica ao nvel de empresa.

Em instalaes de array, criar regras de protocolo ao nvel de empresa e regras de sites e


contedos.

Aps a configurao da poltica do ISA Server, leia o captulo 5 para saber como preparar e configurar os clientes da
rede. Em seguida, leia o captulo 6 para obter mais informaes sobre cenrios de implementao especficos.

CAPTULO 4

Migrao a partir do Microsoft


Proxy Server 2.0

O Microsoft Internet Security and Acceleration (ISA) Server suporta um caminho de migrao
completa para os utilizadores do Microsoft Proxy Server 2.0. A maioria das regras do Proxy
Server 2.0, das definies de rede, das configuraes de monitorizao e de cache ser migrada
para o ISA Server. Alm disso, o ISA Server suporta software cliente de proxy de Winsock,
juntamente com o respectivo software cliente de firewall, numa base de clientes heterognea.
O ISA Server introduz muitas funcionalidades novas e alteraes relativamente ao Proxy
Server 2.0. Estas alteraes afectam as configuraes do servidor e os cenrios de actualizao.
Este captulo descreve os itens chave que um administrador deve ter em considerao como sendo
parte do processo de actualizao para o ISA Server.
Este captulo inclui as seguintes seces:
1

Motivos para migrar

O processo de migrao

Consideraes sobre arrays do Proxy Server 2.0

Migrar para um array

Motivos para migrar

Migrar as configuraes do Proxy Server 2.0

O ISA Server o sucessor do Proxy Server 2.0, apesar de ser muito mais do que um proxy. As
funcionalidades do ISA Server novas ou significativamente melhoradas incluem:
1

Uma firewall multicamada que efectua a inspeco de controlo, suporte de aplicao alargado
e deteco de intruses

Rede privada virtual integrada

Fortalecimento do sistema

Cache em RAM e armazenamento de cache optimizado, incluindo a transferncia de


contedos

Uma consola de gesto unificada, incluindo painis de tarefas e assistentes para as tarefas
comuns

Transparncia para todos os clientes

Suporte para autenticao avanada, passthrough e Secure Sockets Layer (SSL)

Funcionalidades de monitorizao melhoradas, incluindo alertas personalizveis, registo


detalhado e relatrios

Plataforma extensvel com um Software Development Kit (SDK) completo

Processo de migrao
Existe um conjunto de questes a considerar na preparao da migrao do Proxy Server 2.0 para
o ISA Server.
1

A actualizao directa do Proxy Server 1.0, do BackOffice Server 4.0 ou do Small Business
Server 4.0 no suportada.

Uma vez que a actualizao para o ISA Server tenha sido iniciada no existem opes
automticas para regressar ao Proxy Server 2.0.

O ISA Server no suporta o protocolo IPX.

Antes de actualizar o Proxy Server 2.0, faa uma cpia de segurana completa das definies
actuais.

Alm disso, o ISA Server s pode ser instalado em computadores com o Windows 2000
Server ou posterior. Portanto, se a verso actual do Microsoft Proxy Server 2.0 executada
sobre o Windows NT 4.0, siga os seguinte passos:

6
19. Pare e desactive todos os servios do Proxy Server. Para o fazer, escreva
net stop nome_do_servio numa linha de comandos. Abaixo encontram-se os servios do
Proxy Server bem como os respectivos nomes de servio.
Servio do Proxy Server

Nome do servio

Microsoft Winsock
Proxy

wspsrv

Microsoft Proxy
Server
Administration

mspadmin

Proxy Alert
Notification

mailalrt

World Wide Web


Publishing

w3svc

20. Faa a actualizao para o Windows 2000. Poder receber uma mensagem a indicar que o
Proxy Server 2.0 no funciona no Windows 2000. Esta mensagem pode ser ignorada sem
prejuzo. Para obter instrues mais detalhadas, consulte a home page do Proxy Server 2.0
em http://www.microsoft.com/proxy/default.asp.
21. Agora pode iniciar o programa de configurao do ISA Server. Para obter instrues
especficas, consulte o captulo 3.
Uma vez que os servios principais necessrios para o funcionamento da firewall se
encontram inactivos durante o programa de configurao, aconselhvel que o computador
que est a ser actualizado seja desligado da Internet at ao final do procedimento de
instalao.

Consideraes sobre arrays do Proxy Server 2.0


Ao migrar do Proxy Server 2.0 para o ISA Server, possvel instalar o computador com o ISA
Server como membro de um array ou como servidor autnomo.
Se migrar o Proxy Server para um servidor autnomo, a maioria das regras e outros elementos de
configurao criados anteriormente para o Proxy Server tambm sero migrados. Se migrar para
um array novo, as predefinies de poltica de empresa iro determinar o modo como as regras do
Proxy Server sero migradas.
Antes de poder migrar um array de computadores com o Proxy Server, necessrio remover
todos os membros do array do Proxy Server. Cada membro possui um conjunto de regras
idnticas. Da mesma forma, todos os servidores retm configuraes de rede idnticas (como, por
exemplo, as definies de marcao a pedido) e configuraes de monitorizao (como, por
exemplo, os alertas).
Aps ter removido os computadores com o Proxy Server do array, possvel migrar o Proxy
Server para o ISA Server. Para manter uma configurao de arrays semelhante, execute os
seguintes passos:
1.

Crie um novo array do ISA Server. Durante o programa de configurao, instale o primeiro
computador do Proxy Server neste array. Tambm possvel criar o novo array de ISA
Server durante o programa de configurao.

2.

Migre todos os computadores do Proxy Server seguintes para este array.

Migrar para um array


possvel migrar um nico computador com o Proxy Server para um novo array de
computadores com o ISA Server. Neste caso, as informaes de configurao so migradas para o
array do ISA Server de forma diferente, dependendo das predefinies de empresa do array do
ISA Server.
O ISA Server pode ser configurado para utilizar apenas uma poltica de empresa, apenas uma
poltica de array ou uma combinao das duas. Dependendo das definies da poltica de
empresa, as regras do Proxy Server so migradas de forma diferente. A tabela abaixo lista as

definies de empresa possveis e descreve com detalhe o tratamento sofrido pela poltica do
Proxy Server para cada definio.
Definies de
poltica de
empresa

Possui permisses
de administrador
de empresa ?

ISA Server

Utilizar apenas a
poltica de array

Sim ou No

Migra todas as regras existentes no Proxy Server para a


poltica de array.

Utilizar apenas a
poltica de
empresa

Sim

Migra todas as regras existentes no Proxy Server. As


definies de poltica de empresa da novo array so
configuradas para Use array policy only.

Utilizar apenas a
poltica de
empresa

No

No migra qualquer regra do Proxy Server. O novo array


utiliza apenas a poltica de empresa.

Utilizar as
polticas de
empresa e de
array

Sim

Migra todas as regras existentes no Proxy Server. As


definies de poltica de empresa do novo array so
definidas para Use array policy only.

Utilizar as
polticas de
empresa e de
array

No

Apenas migra as regras do Proxy Server que podem ser


migradas para regras de negaofiltros de domnios e
no protocolos. As definies da poltica de empresa do
novo array utilizam a poltica de empresa juntamente
com a poltica de array, o que se torna mais restritivo.

Se a poltica de empresa permitir regras de publicao, ento as definies de publicao do


Proxy Server sero migradas para a poltica de array.

Se a poltica de empresa no permitir regras de publicao, ento se tiver permisses de


administrador, as definies de poltica de empresa sero alteradas de forma a que as regras de
publicao sejam permitidas neste array. As definies de publicao do Proxy Server so, em
seguida, migradas para a poltica do array.

Migrar as configuraes do Proxy Server 2.0


A maioria das regras de definies de rede, das configuraes de monitorizao e das
configuraes de cache do Proxy Server ser migrada para o ISA Server.

Cadeias de Proxy
So suportadas cadeias mistas de computadores com o Proxy Server 2.0 e com o ISA Server.
Quando um servidor com o Proxy Server 2.0 abaixo do ISA Server, apenas suportado o
encadeamento do Web Proxy. Isto deve-se ao facto de o Proxy Server 2.0 no suportar o
encadeamento superior com o Winsock.
Quando um computador com o ISA Server o servidor inferior, tanto o encadeamento do Web
Proxy como o da firewall (chamado encadeamento do Winsock Proxy no Proxy Server 2.0) so
suportados.

Pedidos de clientes do Web Proxy


O Proxy Server 2.0 recebia pedidos de clientes de HTTP na porta 80, mas ao ser instalado, o ISA
Server configurado para receber pedidos na porta 8080 para o servio do Web Proxy. Portanto,
todos os membros inferiores da cadeia (ou browsers) que se liguem a este computador com o ISA
Server devem ligar-se porta 8080. Tambm possvel configurar o ISA Server para receber
pedidos na porta 80.

Publicao
O Proxy Server 2.0 necessitava que os servidores publicados fossem configurados como cliente
do Winsock Proxy. O ISA Server permite publicar servidores internos sem necessitar de qualquer
configurao especial nem qualquer instalao de software no servidor publicado. Em vez disso, o
ISA Server trata os servidores publicados como clientes de converso segura de endereo de rede
(SecureNAT). As regras de publicao na Web e as regras de publicao de servidores,
configuradas no computador com o ISA Server, tornam os servidores acessveis em segurana a
clientes externos especficos. No necessria qualquer configurao adicional no servidor
publicado.

Cache
As informaes de cache do Proxy Server 2.0 so migradas para o ISA Server, incluindo as
especificaes de unidade de cache, de tamanho e todas as outras propriedades.
O contedo da cache do Proxy Server 2.0 no ser migrado uma vez que o mecanismo de
armazenamento de cache do ISA Server bastante diferente e muito mais sofisticado. O contedo
da cache ser eliminado durante a execuo do programa de configurao do ISA Server sendo
institudo o novo mecanismo de armazenamento, com base nas definies existentes de cache e de
unidade.

O processo de eliminao poder demorar algum tempo, dependendo do tamanho da cache e do


nmero de objectos da cache.

SOCKS
O ISA Server inclui um filtro de aplicaes SOCKS, que permite s aplicaes SOCKS clientes
comunicar com a rede utilizando a poltica de array ou de empresa aplicvel para determinar se o
pedido de cliente permitido. A migrao das regras SOCKS do Proxy Server 2.0 para a poltica
do ISA Server no suportada.

Autenticao
O ISA Server suporta os seguintes mtodos de autenticao: bsico, resumido, integrada do
Windows e certificado de cliente. Por predefinio, ao instalar o ISA Server, configurado o
mtodo de autenticao integrada do Windows para os pedidos da Web. No Proxy Server 2.0, as
autenticaes bsica e integrada so as que se encontram activadas por predefinio.
O Internet Explorer 5 suporta a autenticao integrada do Windows, no entanto, outros browsers
da Web podero apenas suportar o mtodo de autenticao bsica. Nesse caso, no sero
permitidos quaisquer acessos, uma vez que no possvel autenticar o utilizador. O ISA Server
rejeita os pedidos da Web que eram permitidos pelo Proxy Server 2.0. possvel configurar a
autenticao bsica para todos os pedidos da Web.

Regras e polticas
A tabela abaixo apresenta a forma como as regras e outras informaes de configurao do Proxy
Server 2.0 so migradas para um computador com o ISA Server:
Proxy Server 2.0

ISA Server

Filtros de domnio

Regras de site e de contedos

Definies de permisses do Winsock

Regras de protocolos

Propriedades de publicao

Regras de publicao na Web

Filtros de pacotes estticos

Filtros de pacotes de IP abertos ou bloqueados

Regras de encaminhamento do Web Proxy

Regras de encaminhamento

So criados elementos de poltica para as novas regras, conforme necessrio. Alm disso, as
seguintes informaes de configurao tambm so migradas: tabela de endereos locais,
definies de marcao automtica, alertas, definies de registo e configuraes de clientes.
As permisses do servio do Web Proxy no so migradas para a configurao do ISA Server. As
configuraes da colocao activa em cache sero sempre desactivadas aps a migrao.

CAPTULO 5

Instalar e configurar clientes

Aps a instalao do Microsoft Internet Security and Acceleration (ISA) Server, possvel
configurar os clientes e instalar o software Firewall Client, conforme seja mais adequado.
Antes de implementar ou configurar clientes do ISA Server, necessrio considerar as
necessidades da empresa. Para obter mais informaes, consulte o tpico Avaliar os requisitos
dos clientes no captulo 2.
Este captulo descreve a configurao dos clientes do ISA Server. E inclui as seguintes seces:
1

Comparar clientes do ISA Server

Configurar clientes do Web Proxy

Configurar clientes de SecureNAT

Configuraes de cliente de Firewall

Comparar clientes do ISA Server

O ISA Server suporta os seguintes clientes:


1

Clientes de Web Proxy

Clientes de Traduo segura de endereos de rede (SecureNAT)

Clientes de firewall

A tabela seguinte apresenta os tipos de clientes suportados pelo ISA Server e compara o suporte

de funcionalidades dos clientes.


Funcionalidade

Cliente de
SecureNAT

Cliente de firewall

Cliente de Web
Proxy

Instalao necessria

No, mas necessrio


alterar as
configuraes de rede.

Todas as plataformas
com TCP/IP

Suporte do sistema
operativo

Qualquer sistema
operativo que suporte o
protocolo Transmission Apenas plataformas
Windows
Control Protocol/
Internet Protocol
(TCP/IP)

Suporte de protocolos

Os protocolos com
ligaes principais e
protocolos definidos
por filtros de
aplicaes

Todas as aplicaes
Winsock

Hypertext Transfer
Protocol (HTTP), Secure
HTTP (HTTPS) e File
Transfer Protocol (FTP)

Autenticao ao nvel de
utilizador

No, apenas por


endereo IP

Sim, e tambm por


endereo IP

Publicao de servidores

No so necessrias
configuraes nem
instalaes

necessrio um
ficheiro de
configurao

Sim

No, requer
configuraes de Web
browser

Informaes de
autenticao
transmitidas pelo Web
browser
N/D

Tanto os computadores clientes de firewall como os computadores clientes de SecureNAT podem


ser clientes de Web Proxy. Se a aplicao da Web do computador estiver configurada
explicitamente para utilizar o ISA Server, ento todos os pedidos Web (HTTP, FTP e HTTPS)
sero enviados directamente para o servio Web Proxy. Todos os outros pedidos sero
processados em primeiro lugar pelo servio de firewall.

Configurar clientes do Web Proxy


No necessrio instalar qualquer software para configurar clientes de Web Proxy. No entanto,
necessrio configurar o Web browser no computador cliente de forma a utilizar o computador
com o ISA Server como servidor proxy.

Importante
A menos que as aplicaes de ajuda do Web browser como, por exemplo, os clientes de sequncia de multimedia podem
funcionar como clientes de Web Proxy. Estas aplicaes no utilizam o ISA Server para ligar Web. Para permitir que estas
aplicaes se liguem Web, utilize o cliente de SecureNAT ou o cliente de firewall para alm do cliente de Web Proxy.

Os passos de configurao correctos para configurar o ISA Server dependem do Web browser
utilizado.

Para configurar o Internet Explorer 5:


Inicie o Internet Explorer 5 e, no menu Ferramentas, clique em Opes da Internet, clique no
separador Ligaes e, em seguida, clique em Definies de LAN.
Em Definies da rede local, seleccione a caixa de verificao Utilizar um servidor proxy.
22. Na caixa Endereo, introduza o caminho para o computador com o ISA Server.
23. Em Porta, introduza o nmero da porta utilizada pelo ISA Server para ligaes de clientes.
24. (Opcional) Se pretende que o browser ignore o ISA Server ao efectuar ligaes a
computadores locais, seleccione e caixa de verificao Ignorar o servidor proxy para
endereos locais. Se o ISA Server for ignorado ao aceder a computadores locais o
desempenho poder ser melhorado.

Configurar clientes de SecureNAT


Apesar de no ser necessrio implementar software especfico nos computadores clientes de
SecureNAT, necessrio configurar a rede adequadamente. Esta seco descreve, com detalhe,
consideraes sobre redes para clientes de SecureNAT.

Configurar a gateway predefinida para clientes de SecureNAT


No necessrio implementar software especfico para clientes de SecureNAT nos computadores
clientes. No entanto, necessrio configurar a topologia da rede de forma a que o computador
com o ISA Server proteja os clientes de SecureNAT e assegure o processamento dos respectivos
pedidos.
A gateway predefinida para os clientes de SecureNAT deve ser configurada adequadamente. Ao
configurar a propriedade de gateway predefinida, identifique o tipo de topologia da rede que est
a ser configurada:
1

Rede simples. Uma topologia de rede simples no possui routers configurados entre o cliente
de SecureNAT e o computador com o ISA Server.

Rede complexa. Uma topologia de rede complexa possui um ou mais routers que ligam vrias
subredes que se encontram configurados entre o cliente de SecureNAT e o computador com o
ISA Server.

Para configurar clientes de SecureNAT numa rede simples, as predefinies Internet Protocol (IP)
de gateway do cliente de SecureNAT devem corresponder ao endereo IP da placa de endereo de
rede interno do computador com o ISA Server. possvel fazer esta configurao manualmente,
utilizando as definies do painel de controlo de rede TCP/IP no cliente. Em alternativa,
possvel configurar estas definies automaticamente para os clientes que utilizem DHCP.
Para configurar clientes de SecureNAT numa rede complexa, as predefinies de gateway devem
ser configuradas para o router do segmento local do cliente e, alm disso, deve-se fazer com que o
trfego destinado Internet seja encaminhado correctamente pelo router para a interface interna
do computador com o ISA Server.
Idealmente, o router dever utilizar o caminho mais curto at ao computador com o ISA Server.
Alm disso, o router no deve ser configurado para ignorar pacotes destinados para endereos
externos rede da empresa; O ISA Server determina o encaminhamento que ir atribuir aos
pacotes.
Provavelmente, os clientes de SecureNAT iro tentar aceder a objectos de computadores da rede
local e da Internet. Assim, a SecureNAT deve ser configurada de forma a utilizar servidores de
DNS capazes de resolver nomes de anfitries externos e internos.

Redes internas e acesso Internet


Apenas para o acesso Internet os clientes de SecureNAT devem ser configurados com
definies de TCP/IP que utilizem servidores de DNS na Internet. Deve-se criar uma regra de
protocolos que permita que os clientes de SecureNAT acedam a um servidor de DNS na Internet.
Esta regra de protocolos dever utilizar o protocolo de consulta de DNS predefinido do cliente.
Se o servidor de DNS estiver localizado na rede interna, ento ser necessrio criar uma poltica
que permita trfego bidireccional. Por outras palavras, ser criada uma regra de protocolos que
permita que as consultas de DNS do servidor de DNS cheguem ao servidor de DNS externo,
incluindo os servidores raiz de Internet.

Configuraes de um cliente de firewall


Antes de ser possvel instalar o software cliente de Firewall, o software do ISA Server tem que ser
instalado. Ao configurar o ISA Server, configurado o array qual se devem ligar os clientes de
firewall, quando enviam pedidos para a Internet, onde se encontram listados os endereos IP de
todos os membros do array, sob o mesmo nome de anfitrio.
Depois de instalado o software cliente, possvel alterar o nome do servidor ao qual se liga o
cliente, alterando esse nome no software cliente de firewall. Para obter mais informaes,
consulte a ajuda online do Firewall Client (cliente de firewall).

Componentes do cliente de firewall


O ISA Server instala os seguintes componentes no computador cliente de firewall durante a
configurao do cliente:
1

Mspclnt.ini um ficheiro de configurao de cliente partilhado, mantido pelo ISA Server.

Msplat.txt inclui uma tabela de endereos locais de cliente partilhada bem como a tabela de
domnio local, mantidas pelo ISA Server.

A aplicao cliente de firewall.

Aps a instalao, possvel alterar a predefinies de todos estes componentes.

Para instalar o software cliente de firewall:


1.

Numa linha de comandos, escreva Caminho\Setup, onde Caminho o caminho at aos


ficheiros de instalao de clientes do ISA Server. Normalmente, estes ficheiros encontram-se
na pasta Systemroot\Programas\Microsoft ISA Server\Clients no computador com o ISA
Server partilhada como MSPclnt.

2.

Siga as instrues apresentadas no ecr.

Ateno
No instale software cliente de firewall no computador com o ISA Server.

CAPTULO 6

Cenrios de implementao

O Microsoft Internet Security and Acceleration (ISA) Server pode ser implementado em diversas
topologias de rede. Esta seco descreve algumas configuraes tpicas de rede. Apesar de ser
possvel que a configurao actual da sua rede seja diferente das que aqui so descritas, estes
conceitos bsicos e a lgica de configurao iro fornecer indicaes aplicveis sua
configurao.
Este captulo inclui as seguintes seces:
1

Firewall e colocao em cache em redes pequenas

Ligao de clientes remotos

Agrupar computadores com o ISA Server para obter tolerncia a falhas

Cenrio de poltica de empresa

Cenrios de publicao na Web

Cenrios de publicao de servidores segura

Firewall e colocao em cache em


redes pequenas

Cenrios de redes perifricas

O ISA Server pode ser implementado numa rede pequena, fornecendo aos clientes internos
conectividade protegida rede. Devido s suas funes de mltiplas finalidades, o ISA Server
tambm pode funcionar como servidor de colocao em cache para os clientes internos. O cenrio
descrito nesta seco apresenta uma configurao tpica para uma pequena empresa com clientes
que necessitem de aceder Internet.

Caractersticas e requisitos
A empresa referida neste cenrio um pequeno escritrio com menos de 500 utilizadores a aceder
Internet. A maioria dos utilizadores apenas necessitam de aceder Web atravs dos protocolos
Hypertext Transfer Protocol (HTTP) ou File Transfer Protocol (FTP) apesar disso, um
departamento tambm necessita de aceder a servidores de transferncia de multimdia do
Windows. A empresa precisa de um mtodo fivel de fornecer acesso Internet num ambiente
com os seguintes requisitos:
1

O computador com o ISA Server o nico ponto de acesso Internet.

A empresa utiliza ligaes de marcao a pedido, ao ligar Internet.

A empresa no pretende implementar software cliente em todos os utilizadores.

Neste cenrio, incluem-se trs departamentos da empresa: Vendas, investigao e recursos


humanos. A actividade comercial necessita de estipular que os departamentos de vendas e de
pesquisa e desenvolvimento devem ter acesso por HTTP ilimitado, mas apenas a uma
determinada lista de Web sites. Os funcionrios de todos os departamentos tm permisses de
acesso HTTP aps o horrio normal de trabalho. Alm disso, tambm depois do horrio de
trabalho, todos os funcionrios podem aceder a aplicaes Windows Media.

Configuraes de rede
Neste cenrio, O ISA Server configurado na rede da empresa de forma a servir de ligao entre
a rede local e a Internet. As configuraes disponibilizadas aos utilizadores podem ser de cliente
de Web Proxy ou de clientes de traduo de endereos de rede segura (SecureNAT). Estipula-se
quais os utilizadores que tm permisso de acesso Internet atravs de uma poltica de acesso
configurada no computador com o ISA Server.

Configurar o computador com o ISA Server


O ISA Server ser instalado em modo integrado, como servidor autnomo. configurada uma
ligao de acesso telefnico rede para ligar ao fornecedor de servios da Internet (ISP). O
computador com o ISA Server possuir uma placa de rede ligada rede interna e um modem para
efectuar as marcaes de acesso telefnico para a Internet.
No sero executados outros servios (como, por exemplo, Web browsers, o Microsoft Outlook
ou o Terminal Server) no computador com o ISA Server.
Local Area Network

ISA Server

Internet

Configurar os clientes
Na sua maioria, os utilizadores apenas necessitam de acesso Web. Por este motivo, a maioria
dos clientes configurada como clientes de Web Proxy. Para clientes de Web Proxy, os Web

browsers so configurados de forma a que o servidor de proxy seja o computador com o ISA
Server. A porta do servidor proxy indicada no Web browser dever ser 8080 assumindo que as
definies de pedidos de acesso exterior Web no computador com o ISA Server se encontrem a
receber pedidos na porta 8080.
Alguns utilizadores podem utilizar protocolos de transmisso em sequncia do Windows; Os
computadores destes utilizadores tambm sero configurados como clientes de SecureNAT. A
gateway predefinida para os clientes de SecureNAT deve ser configurada para o endereo IP
(Internet Protocol) do computador com o ISA Server. Desta forma, todos os pedidos Internet
sero reencaminhados para o computador com o ISA Server, o qual processar o pedido de acordo
com a poltica de acesso.

Configurar a poltica do ISA Server


Aps a configurao do computador com o ISA Server, o administrador utiliza a ISA
Management para implementar a poltica de acesso.
Antes de criar regras de poltica, o administrador cria os seguintes elementos de poltica:
25. Uma vez que os departamentos possuem acessos distintos Internet, so necessrios trs
conjuntos de endereos clientes, cada um correspondente a cada departamento. Cada
conjunto de endereos de cliente inclui os endereos IP dos computadores dos trs
departamentos: Vendas; pesquisa e desenvolvimento e recursos humanos.
Se o software cliente de firewall estiver instalado nos computadores clientes, ento podero
ser criados grupos de utilizadores do Windows 2000, em vez de conjuntos de endereos
clientes.
26. As orientaes comerciais estipulam que podem ser acedidos determinados sites da Internet
durante o horrio de trabalho, pelo que o administrador cria um conjunto de destinos que
inclui esses conjuntos, chamado Sites de horrio laboral. Desta forma, as regras podem ser
aplicadas ao conjunto especfico de destinos.
27. As orientaes comerciais permitem o acesso Internet a todos os funcionrios aps o
horrio laboral, pelo que o administrador cria um agendamento chamado Ps-laboral, que
pode ser utilizado na criao das regras que permite o acesso Internet aps o horrio de
trabalho.
28. Uma vez que utilizada uma ligao de acesso telefnico para aceder Internet, o
administrador cria uma entrada de marcao telefnica chamada Marcar_ISP. A entrada de
marcao telefnica ser utilizada sempre que o computador com o ISA Server necessite de
aceder a um objecto da Internet.
O administrador segue os seguintes passos para implementar uma poltica de acesso:
1.

Configura as propriedades de pedidos Web do ISA Server, de forma a que o computador


com o ISA Server receba pedidos na porta 8080.

2.

Cria uma regra que encaminhe os pedidos destinados Web para o servidor de destino na
Internet.
O administrador cria uma regra de encaminhamento que encaminha todos os pedidos dos
clientes para a Internet. A regra de encaminhamento configurada de forma a que o ISA
Server ir obter os pedidos de objectos de todos os destinos directamente a partir do destino
especificado na Internet, a menos que se encontre uma verso vlida do objecto pedido, na
cache do ISA Server. A regra de encaminhamento configurada de forma a ser utilizada a
entrada de marcao de acesso telefnico Marcar_ISP ao ser encaminhado um pedido para a
Internet.

3.

Configura o encadeamento da firewall de forma a que todos os pedidos de objectos que no


se encontrem na Web sejam encaminhados para o servidor de destino na Internet.
Desta forma, quando um cliente pedir acesso a um objecto de um servidor da Internet atravs
de um protocolo que no seja de Web, o ISA Server efectua uma marcao para a Internet,
utilizando a entrada de acesso telefnico rede Marcar_ISP.

4.

Verifica a existncia de uma regra de site e contedos predefinida que permita o acesso de
todas as pessoas a todos os destinos.
Esta regras foi criada quando o ISA Server foi instalado. No entanto, os utilizadores apenas
tero permisso de acesso aps ter sido criada uma regras de protocolo.

5.

6.

7.

De forma a permitir os utilizadores o acesso Internet limitado nos departamentos de vendas


e de investigao e desenvolvimento, o administrador cria as seguintes regras:
1

Uma regra de protocolos que permita sempre a utilizao do protocolo HTTP aos
conjuntos de endereos de cliente Vendas e Investigao e desenvolvimento.

Uma regra de sites e contedos que permita o acesso dos conjuntos de endereos de
cliente Vendas e Investigao e desenvolvimento a todos os destinos contidos no
conjunto de destinos Sites de horrio laboral.

Uma regra de sites e contedos que permita o acesso dos conjuntos de endereos de
cliente Vendas e Investigao e desenvolvimento a todos os destinos no agendamento
Ps-laboral.

De forma a permitir aos utilizadores do departamento de RH a utilizao de HTTP aps o


horrio laboral, o administrador cria as seguintes regras:
1

Uma regra de protocolos que permita aos conjuntos de endereos de cliente RH, Vendas
e Investigao e desenvolvimento a utilizao do protocolo HTTP, no agendamento
Ps-laboral.

Uma regra de sites e contedos que permita aos conjuntos de endereos de cliente RH,
Vendas e Investigao e desenvolvimento o acesso a todos os destinos, no
agendamento Ps-laboral.

De forma a permitir, a todos os funcionrios, o acesso a contedos de transmisso em


sequncia, o administrador cria as seguintes regras:
1

Uma regra de protocolos que permita aos conjuntos de endereos de cliente RH, Vendas
e Investigao e desenvolvimento a utilizao do protocolo MMS Windows Media
Client, no agendamento Ps-laboral.

Para obter mais informaes acerca de encaminhamento, de elementos de poltica, regras de


protocolos e regras de sites e contedos, consulte a ajuda (Help) do ISA Server.

Ligao de clientes remotos


Cada vez mais funcionrios desenvolvem trabalho em casa, efectuando acessos telefnicos rede
da empresa a partir dos respectivos computadores. cada vez mais comum a situao de um
funcionrio estabelecer uma ligao de rede privada virtual (VPN). Neste cenrio, o utilizador
efectua um acesso telefnico rede do ISP local. No outro lado, um servidor da rede da empresa
encontra-se ligado ao respectivo ISP sendo estabelecido um tnel de VPN entre os dois
computadores.

Configuraes de rede
O ISA Server encontra-se instalado em modo integrado, como servidor autnomo. Foi
configurada uma ligao de acesso telefnico rede no computador com o ISA Server para
aceder telefonicamente ao fornecedor de servios de Internet (ISP). O computador com o ISA
Server tambm possui uma placa de rede ligada rede interna.
O computador com o ISA Server est configurado como um servidor de VPN, de forma a permitir
a comunicao de determinados clientes remotos com recursos da rede.
Os clientes que se ligam por VPN ao ISA Server devem ter a possibilidade de aceder a recursos
da rede da empresa como, por exemplo DNS e WINS.
Os computadores cliente remotos devem possuir uma ligao de acesso telefnico rede
configurada, para se ligarem telefonicamente para o ISP local.

Configurar o ISA Server


Aps o ISA Server estar configurado no computador, o administrador utiliza a ISA Management
para configurar o computador como VPN do ISA Server. O administrador faz o seguinte:
1.

2.

Utiliza o assistente Allow VPN Client Connections (assistente Permitir ligaes de clientes
de VPN) para configurar o ISA Server de forma a aceitar ligaes de clientes. O assistente
faz o seguinte:
1

Configura o Encaminhamento e acesso remoto como um servidor de VPN

Fora os mtodos de autenticao e encriptao

Abre filtros de pacotes estticos no Encaminhamento e acesso remoto para permitir o


Point-to-Point Tunneling Protocol (PPTP) ou o Layer 2 Tunneling Protocol (L2TP)
sobre os protocolos de segurana de protocolo Internet (IPSec).

Cria uma ligao de acesso telefnico rede no computador cliente, configurada da seguinte
forma:
1

O tipo de ligao rede VPN. (Para o utilizar, seleccione a caixa de verificao Rede
privada virtual (VPN)).

O destino de endereo o endereo IP da VPN do ISA Server.

Nota
Se o ISA Server est a proteger o acesso da rede da empresa Internet, ento o cliente remoto deve ser configurado para
utilizar o computador com o ISA Server ou o respectivo array.

Agrupar computadores com o ISA Server para obter


tolerncia a falhas
Em muitos cenrios, dois ou mais computadores com o ISA Server podem ser agrupados num
array de forma a assegurar uma rede tolerante a falhas e balanceada. Este cenrio de array utiliza
o algoritmo Cache Array Routing Protocol (CARP) para assegurar que o Computador com o
ISA Server apropriado que serve os pedidos dos clientes. A configurao de array garante que,
mesmo que um membro do array falhe, os outros membros do array podem continuar a servir os
pedidos de clientes.

Nos cenrios seguintes, um nico ISA Server no pode assegurar tolerncia a falhas nem
balanceamento de carga:
1

Para clientes de SecureNAT, para os quais no possvel identificar o ISA Server pelo nome
de array.

Para servidores autnomos, que no podem ser agrupados em arrays.

Nestes cenrios, o ISA Server pode ser utilizado juntamente com outros servios do
Windows 2000 Server e do Advanced Server para criar uma rede tolerante a falhas e balanceada.
As seguintes seces descrevem o modo de configurao do DNS e permitem configurar o
balanceamento de carga da rede de forma a atingir este objectivo. As seguintes seces descrevem
estas configuraes.

Utilizar o DNS
Para clientes de firewall, a tolerncia a falhas pode ser conseguida utilizando um ou mais
computadores com o ISA Server em conjunto com o servio de DNS do Windows 2000.
Efectivamente, atribudo o mesmo nome DNS aos computadores com o ISA Server utilizando o
servio DNS. Desta forma, quando um cliente pretende aceder a um objecto do computador com
o ISA Server, especificando o nome de DNS do computador com o ISA Server, o servidor de
DNS resolve o nome, de forma round robin, para um dos dois computadores com o ISA Server.
Para obter mais informaes Para obter mais informaes sobre DNS e round robin, consulte o
tpico Configurao de round robin na ajuda do Windows 2000 Server.

Siga os seguintes passos para configurar o servidor de DNS, acrescentando um novo registo de
recursos a uma zona:
1.

Clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e,


em seguida, clique em DNS.

2.

No menu Aco, clique em Novo anfitrio.

3.

Em Nome, introduza o nome de anfitrio de DNS do computador com o ISA Server ou do


array.

4.

Em Endereo IP, introduza o endereo IP de um computador com o ISA Server do array.

5.

Clique em Adicionar anfitrio para adicionar o novo registo de anfitrio zona.

6.

Repita os passos de 3 a 5 para cada computador com o ISA Server.

Utilizar o balanceamento de carga de rede


Para clientes de SecureNAT, a tolerncia a falhas pode ser obtida quando so utilizados dois ou
mais computadores com o ISA Servers juntamente com o Balanceamento de carga da rede. Ao
combinar os recursos de dois ou mais computadores com o Windows 2000 Advanced Server num
nico conjunto, o Balanceamento de carga da rede pode fornecer a fiabilidade e o desempenho
necessrio para servidores da Web e outros servidores crticos.
Cada computador executa o ISA Server e o balanceamento de carga da rede equilibra a carga
entre eles.
O balanceamento de carga de rede agrupa vrios computadores com programas servidores que
utilizam o protocolo de rede Transmission Control Protocol/Internet Protocol (TCP/IP). O
balanceamento de carga de rede permite que todos os computadores do grupo sejam referenciados
por um endereo IP mantendo, ao mesmo tempo, nica a utilizao da respectiva referncia, bem
como endereos IP dedicados. O balanceamento de carga de rede distribui pedidos recebidos de
clientes sob a forma de trfego de TCP/IP atravs dos anfitries.

Nota
O balanceamento de carga de rede apenas est disponvel no Windows 2000 Advanced Server.

O balanceamento de carga de rede necessita que cada computador com o ISA Server possua um
endereo IP nico para a sua placa da rede interna. Alm disso, o grupo de balanceamento de
carga de rede deve possuir um endereo IP, o qual ser utilizado por ambos os computadores com
o ISA Server. Para obter mais informaes sobre filtragem de balanceamento de carga de rede e
grupos, consulte Balanceamento de carga de rede na ajuda do Windows 2000 Advanced Server.
Siga os seguintes passos para configurar os computadores com o ISA Server para o
balanceamento de carga de rede:
1.

Verifique que os computadores com o ISA Server se encontram instalados no mesmo modo.

2.

Na placa da rede interna de cada computador com o ISA Server, altere as propriedades de
balanceamento de carga de rede, da seguinte forma:
1

Defina o endereo IP primrio como o endereo IP do grupo de balanceamento de carga


de rede. Este endereo um endereo IP de grupo e deve ser definido de igual forma
para todos os anfitries do grupo. Este endereo IP utilizado como referncia ao grupo
como um todo, devendo ser o endereo IP do nome Internet completo especificado para
o grupo.

Atribua uma prioridade nica a cada computador do grupo de balanceamento de carga de


rede.

Defina o endereo IP dedicado como o endereo IP da placa da rede interna do


computador com o ISA Server. Este endereo IP utilizado para referenciar cada
anfitrio do grupo individualmente e, como tal, deve ser nico para cada anfitrio. Em
geral, o endereo IP original atribudo ao anfitrio, antes de ser seleccionado um
endereo IP para as operaes de grupo.

Para apenas uma placa de rede, a pilha de TCP/IP deve ser configurada com endereo dedicado e
de grupo, surgindo em primeiro lugar o endereo dedicado. Para um computador com duas placas
de rede, a placa de rede com o endereo dedicado deve possuir um valor mtrico inferior (ou seja,
maior prioridade) do que o da placa de rede com o endereo do grupo.
A gateway predefinida para clientes de SecureNAT deve ser configurada para o endereo IP
dedicado do grupo. Por outras palavras, o endereo virtual do grupo deve ser utilizado como
endereo de gateway. Desta forma, o balanceamento de carga de rede ir processar todos os
pedidos.

Cenrio de poltica de empresa


O ISA Server pode ser implementado numa rede grande e geograficamente dispersa. Os arrays de
computadores com o ISA Server so implementadas no escritrio principal e em sucursais,
conforme necessrio, de forma a satisfazer as necessidades de utilizadores. Isto permite que os
administradores da rede da empresa centralizem as polticas de segurana e de colocao em
cache para toda a empresa. Alm disso, alivia as questes de desempenho nas sucursais, visto que
um computador com o ISA Server capaz de servir pedidos de utilizadores para aceder a objectos
da Internet a partir da cache local.

Caractersticas e requisitos
A empresa fictcia utilizada neste cenrio uma empresa de grandes dimenses, cuja sede se
encontra nos Estado Unidos e duas das sucursais se encontram, uma no Canad e a outra no Reino
Unido. Toda a empresa necessita de acesso protegido Internet num ambiente com os seguintes
requisitos:
1

As orientaes de acesso Internet, determinadas na sede, nos Estados Unidos, devem ser
aplicadas de forma consistente em toda a empresa. Neste cenrio, todos os funcionrios tm
permisso de acesso a todos os sites, atravs dos protocolos de Web comuns: HTTP, HTTPS
e FTP.

Baixos custos de ligao entre a sucursal do Reino Unido e a sede.

Os computadores com o ISA Server da sucursal do Reino Unido devem colocar em cache o
contedo local. (Contedo local, neste caso, o contedo dos servidores da Web que se
encontram no Reino Unido.)

O servidor de cache deve encontrar-se na sucursal do Canad, de forma a que o contedo se


encontre mais prximo dos funcionrios dessa sucursal e haja lugar reduo do trfego de
Internet.

Configurao de rede
Visto que a empresa necessita de uma poltica de empresa comum para todas as sucursais, os
computadores com o ISA Server devem ser instalados como membros de um array em todas as

sucursais, mesmo apesar de apenas existir um computador em cada sucursal.

O array de ISA Server na sede dos Estados Unidos


Cada membro do array na sede, est configurado com duas placas de rede: uma placa de rede
assegura a ligao rede interna e a outra placa de rede assegura a ligao Internet. Neste
cenrio, pode-se assumir que a conectividade directa ao fornecedor de servios Internet se realiza
atravs de um router e de uma linha T1/E1.

O array de ISA Server na sucursal do Canad


Os computadores com o ISA Server na sucursal canadiana reduzem o trfego no canal atravs da
colocao do contedo em cache. Esto instalados em modo cache. Os computadores com o ISA
Server possuem duas placas de rede: uma est ligada a um router local e a outra est ligada a um
router da sede.

O array de ISA Server na sucursal do Reino Unido


Os computadores com o ISA Server da sucursal do Reino Unido esto configurados com duas
placas de rede: uma placa de rede assegura a ligao rede local da sucursal e um modem ou uma
placa de rede RDIS assegura a ligao Internet.
O array de ISA Server do Reino Unido encontra-se configurada em modo integrado, servindo
como firewall e servidor de cache da sucursal. O ISA Server est ligado via VPN ao array que se
encontra na sede.

Configurao da empresa
A seguinte imagem ilustra a configurao da rede.
U.K.

ISA Server computer


Internet

Canada

ISA Server computer

Headquarters (U.S.)

ISA Server computer

Configurar a poltica de ISA Server na sede


Aps ter configurado os computadores com o ISA Server na sede, o administrador utiliza a ISA
Management para implementar a poltica de empresa. A poltica de empresa configurada na
sede e aplicada a todos os arrays da empresa (sucursal do Canad, sucursal do Reino Unido e na

sede). Alm disso, os funcionrios da sede podem aceder a contedos transmisso de multimdia
do Windows.
O administrador de empresa executa os seguintes passos:
1.

2.

Cria uma poltica de empresa, chamada Poltica de empresa, com as seguintes regras:
1

Uma regra de sites e contedos que permite que toda a gente aceda sempre a todos os
destinos.

Uma regra de protocolos que permita que toda a gente utilize os seguintes protocolos:
FTP, HTTP e HTTPS.

A sucursal do Reino Unido ir ligar-se ao array de ISA Server da sede atravs de uma rede
privada virtual. Pelo menos um dos computadores com o ISA Server dos Estados Unidos
deve estar configurado como um servidor de VPN. O administrador executa os seguintes
passos:
1

Configura a tabela de endereos locais do ISA Server dos Estados Unidos, de forma a
acrescentar os intervalos de endereos da rede do Reino Unido.

Utiliza o assistente Local ISA VPN Server (Servidor de VPN do ISA local) para
configurar o ISA Server de forma a servir ligaes de VPN. Este assistente inicia e cria
as interfaces necessrias de marcao a pedido para receber ligaes de servidores de
VPN remotos.
O assistente cria filtros de pacotes de IP, dependendo de o protocolo seleccionado ser
L2TP ou PPTP. Alm disso, configura as rotas estticas de forma a que estas
reencaminhem o trfego da rede local para anfitries da rede remota atravs do tnel.
O assistente tambm cria um ficheiro .vpc, que utilizado pelo servidor de VPN remoto
(no Reino Unido) ao configurar o ISA Server.

Configurar a poltica do ISA Server na sucursal do Canad


Uma vez que o ISA Server na sucursal do Canad se encontra na rede da sede, apenas necessita
de uma placa de rede, a qual efectua a ligao da sucursal ao ISA Server da sede.
A poltica de empresa aplicada ao ISA Server da sucursal do Canad, pelo que no necessrio
configurar regras de poltica de acesso especficas.
Os trabalhos de transferncia de contedo agendada so configurados de forma a que sejam
colocados previamente em cache os contedos especficos, nas sucursais. Esta medida ir
melhorar a experincia do desempenho da rede.
O administrador executa os seguintes passos:
1.

Configura uma regra de encaminhamento que redireccione os pedidos de clientes do Web


Proxy para o computador com o ISA Server superior que se encontra na sede.

2.

Cria trabalhos de transferncia de contedos agendada, para efectuar frequentemente a


transferncia de objectos acedidos com assiduidade, para a cache local. Se os objectos j se
encontrarem na cache da sede, sero transferidos a partir de l. Caso contrrio, os
computadores com o ISA Server da sede iro reencaminhar os pedidos para a Internet.

Configurar a poltica do ISA Server na sucursal do Reino Unido


A sucursal do Reino Unido est ligada Internet por VPN atravs da sede.
O administrador executa os seguintes passos para configurar a sucursal do Reino Unido como
servidor de VPN:

1.

Configura um servidor de DNS na rede remota que seja secundrio relativamente aos
domnios da empresa mais acedidos. O servidor de DNS deve utilizar o um servidor de DNS
da Internet como reencaminhador para ajudar a resolver todas as outras consultas de nomes.

2.

Configura a tabela de endereos locais no computador remoto com o ISA Server na sucursal
do Reino Unido, acrescentando o intervalo de endereos da rede da empresa nos Estados
Unidos. Devem ser excludos todos os endereos IP externos (da Internet).

3.

Utiliza o assistente Remote ISA VPN Server (servidor de VPN do ISA remoto) para
configurar o computador com o ISA Server remoto para ligaes de VPN, utilizando o
ficheiro .vpc criado pelo administrador de empresa na sede.
O assistente Remote ISA VPN configura um servidor remoto de VPN do ISA, tornando-o
capaz de iniciar ligaes a um servidor de VPN ISA local. O assistente utiliza o ficheiro .vpc
criado pelo assistente Local ISA VPN na criao de interfaces de marcao a pedido
necessrias para a inicializao de ligaes ao servidor de VPN local especfico. Alm disso,
configura os filtros de pacotes IP necessrios para proteger a ligao e define as rotas
estticas para reencaminhar o trfego da rede local para anfitries da rede remota atravs do
tnel.

O administrador cria regras de encaminhamento para especificar quais os pedidos que devem ser
encaminhados para o array da sede e quais os que devem ser encaminhados directamente para um
fornecedor de servios Internet (ISP) do Reino Unido.
1.

Cria uma regra de encaminhamento que encaminha todos os pedidos de acesso a objectos da
Internet do Reino Unido directamente para a Internet. Os objectos da Internet do Reino Unido
so, geralmente, indicados por um sufixo .uk no nome de domnio.

2.

Cria uma regra de encaminhamento que encaminha todos os outros pedidos para o array do
ISA Server da sede.

Cenrios de publicao na Web


As funes de publicao na Web do ISA Server beneficiam as empresas que pretendem publicar
contedos na Web com segurana. O ISA Server capaz de proteger o servidor da Web de uma
empresa que seja anfitrio de uma aplicao comercial da Web ou de acesso a parceiros
comerciais. O computador com o ISA Server visto pelo mundo exterior como um servidor da
Web, enquanto que o servidor da Web mantm o acesso a servios da rede interna.
O servidor da Web publicado pode encontrar-se no mesmo computador que o ISA Server ou
noutro computador. As seguintes seces descrevem com detalhe algumas configuraes de rede
para cenrios de publicao na Web.

Configurar o computador com o ISA Server


Independentemente da configurao do cenrio de publicao na Web, o ISA Server deve ser
configurado de forma a receber pedidos de acesso Web. As propriedades de pedidos de acesso
Web recebidos especificam quais os endereos IP e portas do computador com o ISA Server
recebem pedidos de acesso Web. As propriedades de pedidos de acesso Web tambm definem
a autenticao necessria para aceder a servidores internos.

Configurar o servidor de DNS


Ao publicar servidores da Web, os clientes externos podero necessitar de resolver os nomes
desses servidores, utilizando o servidor de DNS interno. Como tal, o prprio servidor de DNS

interno um servidor publicado. Se o servidor de DNS for um cliente de SecureNAT, ento no


necessria qualquer configurao adicional. Aps a instalao do ISA Server, crie uma regra de
publicao de servidores no computador com o ISA Server que publique o servidor de DNS. Para
obter mais informaes sobre regras de publicao de servidores, consulte a ajuda do ISA Server.

Cenrio de servidor da Web da rede local


No cenrio de publicao na Web aqui descrito, o ISA Server protege os contedos de servidores
da Web internos, localizados em computadores dentro da rede local.
A empresa que aqui descrita publica dois Web sites: http://exemplo.microsoft.com/marketing e
http://exemplo.microsoft.com/desenvolvimento. Os contedos dos sites encontram-se em dois
servidores da Web internos distintos: Mktg e Desenv, respectivamente. Quando um utilizador da
Internet pretende aceder a um objecto de http://exemplo.microsoft.com/marketing ou de
http://exemplo.microsoft.com/desenvolvimento, na verdade, o pedido enviado para o
computador com o ISA Server, o qual encaminha o pedido para o servidor da Web apropriado.

example.microsoft.com/Marketing

mktg

ISA Server
example.microsoft.com

dev

example.microsoft.com/Development

Note-se que os endereos IP dos servidores da Web nunca so expostos. Em vez disso, os
utilizadores da Internet acedem aos servidores da Web atravs do endereo IP do computador com
o ISA Server.
O administrador executa os seguintes passos para publicar os servidores da Web internos:
1.

Verifica que o servidor de DNS mapeia o nome de domnio totalmente qualificado para o
endereo IP do computador com o ISA Server. Os clientes da Internet utilizam o nome de
domnio para aceder aos contedos.

2.

Configura as propriedades dos pedidos de acesso da Web do ISA Server. O endereo IP deve
incluir o endereo IP da interface externa.

3.

Cria os seguintes elementos de poltica:

4.

Um conjunto de destinos, chamado Marketing, o qual deve incluir o computador


exemplo.microsoft.com e o caminho \Marketing\*. Este o cabealho de anfitrio que
ISA ir tentar fazer corresponder de forma a encaminhar o pedido correctamente para o
servidor interno correcto.

Um conjunto de destinos, chamado Desenvolvimento, o qual inclui o computador


exemplo.microsoft.com e o caminho \Desenvolvimento\*.

Configura as seguintes regras:


1

Uma regra de publicao na Web que publica o servidor da Web Mktg, com o conjunto
de destinos configurado para Marketing.

Uma regra de publicao na Web que publica o servidor da Web Desenv, com o
conjunto de destinos configurado para Desenvolvimento.

Cenrio de servidor da Web no computador com o ISA Server


Algumas empresas podero instalar o servidor da Web e o ISA Server no mesmo computador.
A empresa utilizado no cenrio ilustrado em seguida, publica um Web site localizado em
http://widgets.microsoft.com.

ISA Server

80
9999

Get widgets.microsoft.com

Web Server
widgets.microsoft.com

Neste cenrio, o administrador pode configurar o ISA Server para publicar os contedos da Web
de uma das seguintes formas:
1

Atravs da criao de regras de publicao na Web

Atravs da criao de filtros de pacotes IP

As seguintes seces descrevem as configuraes do ISA Server atravs destes mtodos.

Utilizar regras de publicao na Web para publicar um servidor da Web no computador com o
ISA Server
Neste cenrio, o administrador configura o computador com o ISA Server de forma a receber
pedidos na porta 80 da placa de interface externa. Por predefinio, o servidor da Web tambm
recebe pedidos da Web na porta 80.
Para evitar este conflito, o administrador deve executar uma das seguintes aces:
1

Configurar o Servidor da Web de forma a que receba pedidos da Web numa porta diferente
da 80 ou noutra placa de interface. Em seguida, criar uma regra de publicao da Web no
computador com o ISA Server que reencaminhe os pedidos da Web para a porta apropriada
do servidor da Web.

Configurar o servidor da Web de forma a receber pedidos num endereo IP diferente. Por
exemplo, o servidor da Web pode receber pedidos em 127.0.0.1. Desta forma, o servidor da
Web apenas recebe pedidos vindos do computador local o computador com o ISA Server.

Utilizar a filtragem de pacotes para publicar um servidor da Web num computador com o ISA
Server
Outra maneira de publicar um servidor da Web localizado no computador com o ISA Server
atravs da configurao de filtros de pacotes IP. A filtragem de pacotes de IP filtra todos os
pacotes que cheguem porta 80 do servidor da Web, que se encontra no ISA Server. Isto , o
filtro de pacotes permite que o servidor da Web receba os pedidos da Web na porta 80.
Note-se que, neste caso, no h conflitos entre pedidos de acesso Web, pois o ISA Server recebe
pedidos na porta 8080 e o servidor da Web recebe pedidos de clientes internos na porta 80. No
entanto, a funcionalidade de identificao automtica do ISA Server no deve ser configurada
para receber pedidos na porta 80. Tambm possvel desactivar esta funcionalidade.

O administrador executa os seguintes passos para publicar um servidor da Web localizado no


computador com o ISA Server:
1.

Activar a filtragem de pacotes.

2.

Criar um filtro de pacotes de IP que permite a chegada de todos os pacotes de TCP que
cheguem atravs da porta 80 do endereo IP externo do computador com o ISA Server.

3.

Desactivar a identificao automtica.

Nota
Uma vez que a porta 80 utilizada pelos Servios de informao Internet (IIS), no crie regras de publicao da Web ao
utilizar o mtodo aqui descrito no sentido de publicar o servidor da Web no computador com o ISA Server.
A identificao automtica pode ser utilizada na porta 8080. Tambm pode ser utilizada noutra porta, no caso de ser
configurado um servidor de DHCP.

Cenrios de publicao de servidores segura


medida que o comrcio electrnico entre empresas prevalece cada vez mais, mais empresas se
apercebem da necessidade de proteger os servidores internos, enquanto que, ao mesmo tempo
necessitam de os tornar acessveis a utilizadores externos especficos. A funcionalidade de
publicao inversa ISA Server permite proteger o acesso a servidores internos por parte de
clientes externos.
Um cenrio comum do ISA Server envolve a proteco das comunicaes de servidores de
correio electrnico atravs do protocolo Simple Mail Transfer Protocol (SMTP). Por exemplo, o
ISA Server capaz de proteger um servidor do Microsoft Exchange. O assistente Mail Server
Secure Publishing (publicao segura do servidor de correio electrnico) configura a poltica
necessria para permitir as comunicaes entre um computador com o Exchange Server e a
Internet. O assistente adiciona um conjunto de regras de publicao de servidores que
redireccionem as comunicaes vindas de utilizadores da Internet recebidas numa determinada
porta, para um endereo IP interno especificado. Alm disso, o assistente cria regras de protocolos
que abrem portas dinamicamente para comunicaes para o exterior.
O servidor de Exchange que est a ser publicado pode estar localizado no computador com o ISA
Server ou na rede local. As seguintes seces descrevem alguns cenrios de publicao do
Exchange Server.

Nota
Se utilizou antes ou Microsoft Proxy Server 2.0, possvel que tenha configurado o servidor Exchange como um cliente de
Winsock Proxy atravs de um ficheiro wspcfg.ini de forma a capturar a porta 25 na placa de interface externa do
computador com o Proxy Server. Neste caso, ser essa a configurao que ir funcionar com o ISA Server. No entanto, se
utilizar as regras de publicao de servidores do ISA Server, aconselhvel a remoo do ficheiro wspcfg.ini do servidor
Exchange e, em seguida, a utilizao do assistente Mail Security Wizard (segurana de correio electrnico) includo no ISA
Server.

Servidor Exchange na rede local


Neste cenrio, o servidor Exchange encontra-se na rede local, protegido pelo computador com o
ISA Server, conforme ilustrado na imagem.

Local Area
Network

Internet
ISA Server
computer

Exchange server

O assistente Mail Server Security do ISA Server para configurar o servidor Exchange de forma a
que este seja disponibilizado para os clientes externos, utilizando um ou mais dos seguintes
protocolos:
1

Messaging Application Programming Interface (MAPI)

Post Office Protocol 3 (POP3)

Internet Messaging Access Protocol 4 (IMAP4)

Network News Transfer Protocol (NNTP)

Secure NNTP

O assistente cria uma ou mais regras de publicao de servidor, correspondentes a cada servio de
correio electrnico protegido pelo ISA Server. As regras de publicao de servidores criadas pelo
assistente possuem os seguintes parmetros:
1

O endereo IP interno do servidor de correio electrnico

O endereo externo que exposto pelo ISA Server

O protocolo a utilizar com o servio de correio electrnico seleccionado

As novas regras criadas pelo assistente possuem, no nome, o prefixo Mail wizard rule(regra do
assistente de correio electrnico).
O assistente Mail Server Security tambm cria regras de protocolos, para dar permisses ao
trfego que flui para o exterior. As regras de protocolos possuem os seguintes parmetros:
1

O protocolo o Simple Mail Transfer Protocol (SMTP) (cliente).

O conjunto de cliente inclui o endereo IP interno do servidor Exchange.

Resoluo de nomes de clientes


Uma vez que os clientes de POP3, IMAP4 e HTTP tm acesso ao computador que est a executar
o servidor Exchange atravs de nome de DNS ou de endereo IP, aconselhvel que o nome de
DNS utilizado pelos clientes de correio electrnico seja mapeado para o endereo IP externo do
computador com o ISA Server.
Para clientes de MAPI, um servidor de DNS na Internet deve resolver o nome do computador
com o servidor Exchange e faz-lo corresponder a um endereo IP da placa da rede externa do
computador com o ISA Server. Note-se que, neste caso, o servidor de DNS dever mapear o
nome interno do computador com o servidor Exchange para o endereo IP externo do ISA Server.
Portanto, o tipo de servidor deve ser definido para Server (servidor) e no para Mail server
(servidor de correio electrnico). Se publicar o servio de SMTP, tambm necessrio um registo
de intercmbio de correio (MX) devendo tambm apontar para o IP externo do computador com o
ISA Server.

Servidor Exchange no computador com o ISA Server


Neste cenrio, o ISA Server e o servidor Exchange encontram-se no mesmo computador,
conforme ilustrado em seguida.
Internet

Local Area
Network
ISA Server/
Exchange Server

O assistente Mail Server Security pode ser utilizado para publicar o servidor Exchange
localizado no computador com o ISA Server. Neste cenrio, o assistente Mail Server Security
cria um filtro de pacotes de IP para cada servio de correio electrnico seleccionado. Por
exemplo, suponhamos que executado o assistente Mail Server Security e que so especificados
os pedidos para o exterior de clientes de SMTP e POP3. Neste caso, sero criados os seguintes
filtros de pacotes de IP:
1

Um filtro de pacotes de IP que permita ligaes TCP do exterior para a porta local 25 a partir
de qualquer porta remota. Isto permite a recepo dos pacotes de SMTP.

Um filtro de pacotes de IP que permita ligaes TCP para o exterior em todas as portas locais
a partir da porta remota 25. Isto permite o envio dos pacotes de SMTP.

Um filtro de pacotes de IP que permita ligaes de TCP do exterior para a porta local 110 a
partir de qualquer porta remota. Isto permite a recepo de pacotes de POP3.

Um filtro de pacotes de IP que permita ligaes de TCP para o exterior em todas as portas
locais a partir da porta remota 110. Isto permite o envio de pacotes de POP3.

Nota
Neste cenrio, os clientes Outlook no podem aceder ao servidor Exchange estando fora da rede local.

Cenrios de redes perifricas


Uma rede perifrica (tambm conhecida por DMZ, zona desmilitarizada e sub-rede controlada)
uma rede pequena configurada parte da rede privada de uma empresa e da Internet. A rede
perifrica permite aos utilizadores externos o acesso a servidores especficos, localizados na rede
perifrica e, ao mesmo tempo evita o acesso rede interna da empresa. Uma empresa tambm
pode permitir acessos muito limitados a partir de computadores da rede perifrica a computadores
da rede interna.
Normalmente, uma rede perifrica utilizada na implementao de correio electrnico e de
servidores da Web da empresa. A rede perifrica pode ser configurada numa das seguintes
formas:
1

Configurao de rede perifrica dois a dois, com dois computadores com o ISA Server em
ambos os lados da rede perifrica.

ISA Server com trs plos, em que a rede perifrica e a rede local so protegidas pelo mesmo
computador com o ISA Server.

Cenrio dois a dois de rede perifrica


Numa configurao de rede perifrica dois a dois, dois computadores com o ISA Server esto
localizados em cada lado da rede perifrica. (Uma rede perifrica tambm conhecida por DMZ,
zona desmilitarizada e por sub-rede controlada.) A imagem ilustra uma configurao de rede dois
a dois.
Screened Subnet

Telnet Server

Corporate network

Internet Information
Server (IIS)

Internet
ISA Server computer 1

ISA Server computer 2

Nesta configurao, dois computadores com o ISA Server so ligados entre si, ficando um ligado
Internet e o outro rede local. A rede perifrica reside entre os dois servidores. Ambos os
computadores com o ISA Server se encontram configurados em modo integrado ou firewall,
reduzindo essencialmente o risco de compromissos, uma vez que um atacante necessitaria de
entrar em ambos os sistemas para conseguir chegar rede interna.

O administrador executa os seguintes passos para disponibilizar os servidores da rede perifrica


aos clientes externos (Internet):
1.

Configurar a tabela de endereos locais (LAT) no computador com o ISA Server que se
encontra ligado rede da empresa (ISA Server 2) de forma a incluir os endereos IP dos
computadores da rede da empresa.

2.

Configurar a LAT no computador com o ISA Server que se encontra ligado Internet, de
forma a incluir o endereo IP do computador com o ISA Server que est ligado rede da
empresa os endereos IP de todos os servidores publicados da rede perifrica.

3.

Criar uma regra de publicao da Web para publicar o servidor de IIS.

4.

Criar uma regra de publicao de servidores para publicar o servidor de SQL, configurando a
regra de publicao de servidores para ser aplicvel ao protocolo SQL.

5.

Criar uma regra de publicao na Web para publicar o servidor de IIS, configurando a regra
de forma a redireccionar os pedidos para o site alojado.

Cenrio de rede perifrica com trs anfitries


Numa rede perifrica com trs plos, um nico computador com o ISA Server (ou um array de
computadores com o ISA Server) configurado com trs placas de rede.
1

Uma placa de rede ligada aos clientes internos da rede da empresa.

A segunda placa de rede ligada aos servidores da rede da empresa, que se encontram na
rede perifrica. Os endereos IP da rede perifrica no devem constar na tabela de endereos
locais.

A terceira placa de rede ligada Internet.

A imagem ilustra este cenrio de rede perifrica.


Corporate network
Array of ISA Server
computers
Perimeter network

SQL

Internet Information
Server (IIS)

Internet

O administrador executa estes passos para configurar uma rede perifrica de trs plos com um
ISA Server:
1.

Configurar a LAT de forma a incluir todos os endereos da rede da empresa. A LAT no


deve incluir os endereos da rede perifrica.

2.

Activar a filtragem de pacotes e o encaminhamento de IP.

3.

Criar filtros de pacotes de IP para cada um dos servidores da rede perifrica. Para cada filtro
de pacotes de IP, o computador local deve ser especificado atravs do endereo IP do
servidor da rede perifrica.