51898373 Manual de Introduccion de Microsoft ISA Server 2004

7/22/2019 51898373 Manual de Introduccion de Microsoft ISA Server 2004

1/24

Manual de introduccin de Microsoft ISA Server 2004

ontenido

0 Introduccin

1.1 A quin va dirigido este documento

1.2 Contenido de este documento

0 Informacin general acerca de las caractersticas

2.1 Redes mltiples y directiva de servidor de seguridad

2.2 Directiva del sistema

2.3 Integracin de VPN

2.4 Usuarios y autenticacin

2.5 Cach

2.6 Exportacin e importacin de configuracin

0 Procedimiento de instalacin

3.1 Requisitos de instalacin

3.2 Requisitos de red

3.3 Procedimiento de instalacin

3.4 Configuracin predeterminada

3.5 Formas nuevas de realizar tareas habituales

3.6 Equipos servidor ISA con un nico adaptador de red

0 Tutorial acerca de las caractersticas

4.1 Escenario 1: exportar una configuracin

4.2 Escenario 2: obtener acceso a Internet desde la red interna

4.3 Escenario 3: crear y configurar un conjunto de equipos restringido

4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red

4.5 Escenario 5: publicar un servidor Web en la red perimetra

4.6 Escenario 6: publicar un servidor Web en la red interna

4.7 Escenario 7: configurar redes privadas virtuales

4.8 Escenario 8: modificar la directiva del sistema

4.9 Escenario 9: importar una configuracin

1.0 Introduccin

icrosoft Internet Security and Acceleration (ISA) Server 2004 presenta la compatibilidad con varias redes, una configuracin sencilla y mtegrada de las redes privadas virtuales, modelos de usuario y de autenticacin ampliados y ampliables, y mejoras en las caractersticas dedministracin, incluidas la exportacin e importacin de configuraciones.

1.1 A quin va dirigido este documento

ea este documento si:

q Utiliza ISA Server 2000 y desea obtener informacin sobre lo nuevo de ISA Server 2004.

le:///E|/isastart.htm (1 of 24)12/08/2005 08:43:46 a.m.


2/24


q Utiliza otro servidor de seguridad y es la primera vez que usa el servidor ISA.

q Necesita una introduccin a las caractersticas de ISA Server 2004.

q Desea configurar el servidor ISA en un laboratorio y utiliza un tutorial guiado para aprender a implementar el servidor ISA en sucompaa. Para obtener detalles, vea el tutorial acerca de las caractersticas.

espus de leer este manual, y para obtener ms informacin acerca de las caractersticas y la funcionalidad del servidor ISA, consulte la Ayel servidor ISA.

1.2 Contenido de este documento

ste documento incluye informacin general acerca de las nuevas caractersticas del producto de esta versin de ISA Server 2004. Asimismo

roporciona instrucciones de instalacin. Y lo que es ms importante, incluye tutoriales cuyos ejemplos puede probar en un entorno deboratorio para familiarizarse con las caractersticas del producto. La mejor forma de comprender estas caractersticas es usarlas; por lo tanaconsejamos que configure un laboratorio y ponga en prctica el contenido de los tutoriales incluidos. Para obtener detalles, vea el tutoria

cerca de las caractersticas.

a mayor parte de la informacin contenida en este documento tambin est disponible en formato electrnico, integrado en la Ayuda enantalla del servidor ISA.

Volver a Cont

2.0 Informacin general acerca de las caractersticas

a siguiente tabla muestra las caractersticas nuevas y mejoradas de ISA Server 2004. Se proporcionan ms detalles en las siguientes seccio

des mltiples

eva o mejorada Caracterstica Descripcin

evo Configuracin de redes mltiples Puede configurar una o varias redes relacionadas entre s mediante relacionedistintas. Las directivas de acceso se definen en relacin con las redes y nonecesariamente en relacin con una red interna dada. Mientras que en ISAServer 2000 se inspeccionaba todo el trfico relativo a la tabla de direccioneslocales (LAT, Local Address Table), que slo inclua intervalos de direcciones red interna, ISA Server 2004 ampla las caractersticas del servidor de seguride la seguridad, y ahora se aplican tambin al trfico entre cualquier red.

evo Directivas nicas por red Las nuevas caractersticas de mltiples redes del servidor ISA permiten protered contra amenazas internas y externas a la seguridad, ya que limitan lacomunicacin entre clientes, incluso dentro de la propia organizacin. Lasfunciones de redes mltiples admiten entornos complejos de red perimetral(conocida tambin como DMZ, zona desmilitarizada o subred protegida), lo qpermite configurar la forma en que los clientes de redes diferentes tienen acc

la red perimetral.

evo Inspeccin completa de todo el trfico Puede examinar los datos que pasan por el servidor de seguridad respecto a protocolo y al estado de la conexin, independientemente del origen o destin

evo NAT y relaciones de redes enrutadas El servidor ISA se puede utilizar para definir las relaciones entre redes, en fudel tipo de acceso y de comunicacin permitido entre las redes. En algunos catal vez desee una comunicacin ms segura y menos transparente entre las rPara estos entornos puede definir una relacin NAT (traduccin de direccionered). En otros, quiz desee enrutar el trfico a travs del servidor ISA. En estcasos, puede definir una relacin de enrutamiento.

evo Plantillas de red El servidor ISA incluye plantillas de red, que se corresponden con topologas comunes. Puede utilizarlas para configurar la directiva de servidor de seguridtrfico entre redes. Al aplicar una plantilla de red, el servidor ISA crea el conjnecesario de reglas para permitir el trfico, segn la directiva especificada.

des privadas virtualeseva o mejorada Caracterstica Descripcin

jorada Administracin de VPN El servidor ISA incluye un mecanismo altamente integrado de redprivada virtual (VPN, Virtual Private Network). Puede administrar lconexiones VPN mediante la administracin del servidor ISA comohara con redes y clientes conectados fsicamente. Cuenta con lafuncionalidad completa del servidor ISA disponible para conexioneincluidas la supervisin, el registro y la administracin de sesiones

evo Inspeccin completa de VPN Los clientes de VPN se configuran como una red independiente. Poconsiguiente, puede crear directivas diferentes para los clientes deEl motor de reglas comprueba de forma discriminatoria las peticionlos clientes de VPN. Para ello, realiza una inspeccin del estado dedichas peticiones y abre dinmicamente las conexiones segn ladirectiva de acceso.



3/24


evo Interoperabilidad con soluciones VPN de terceros Gracias a la compatibilidad con el sistema de seguridad de ProtocoInternet (IPSec, Internet Protocol Security) estndar de la industriServer 2004 se puede conectar a entornos con infraestructuras VPexistentes de otros proveedores, incluidos los que emplean lasconfiguraciones del modo de tnel IPSec para conexiones de sitio a

evo Control de cuarentena El servidor ISA puede poner en cuarentena a determinados clienteVPN, pasndolos a la red de clientes VPN en cuarentena, hasta quecompruebe que cumplen con los requisitos de seguridad corporativ

guridad y servidor de seguridad


evo Amplia compatibilidad con protocolos ISA Server 2004 ampla la funcionalidad de ISA Server 2000, al permitir contracceso y el uso de cualquier protocolo, incluidos los protocolos de nivel de IP. utilizar aplicaciones como ping y tracert, y crear conexiones VPN mediante elProtocolo de tnel punto a punto (PPTP, Point-to-Point Tunneling Protocol). Adel trfico de IPSec (seguridad del protocolo Internet) se puede habilitar a travservidor ISA.

jorada Autenticacin Los usuarios se pueden autenticar con los tipos de autenticacin integrados deMicrosoft Windows o del Servicio de usuario de marcado con autenticacin re(RADIUS), o con otros espacios de nombres. Las reglas se pueden aplicar a lousuarios o grupos de usuarios de cualquier espacio de nombres. Los otrosfabricantes pueden utilizar el kit de desarrollo de software para ampliar estos de autenticacin integrados y ofrecer mecanismos adicionales de autenticacin

jorada Publicacin Con el servidor ISA, puede colocar servidores detrs del servidor de seguridadtanto en la red corporativa como en las redes perimetrales, y publicar sus servde forma segura.

ch


jorada Reglas de cach Con el mecanismo centralizado de reglas de cach del servidor ISA, puede configurar la forma en qobjetos almacenados en la cach se recuperan y se sirven desde sta.

ministracin


jorada Administracin El servidor ISA incluye caractersticas de administracin nuevas que facilitan la proteccin dredes. Las caractersticas nuevas de la interfaz de usuario incluyen: un panel de tareas, unaAyuda, un asistente de introduccin mejorado y una nueva apariencia para el editor de diredel servidor de seguridad.

evo Exportar e importar ISA Server introduce la capacidad de exportar e importar informacin de la configuracin. Ecaracterstica se puede utilizar para guardar los parmetros de configuracin en un archivo

y, seguidamente, exportar la informacin de configuracin del archivo a otro servidor; de esforma, se permite la replicacin sencilla de las configuraciones del servidor de seguridad paimplementaciones multisitio.

evo Escritorio digital En una sola vista se muestra una versin resumida de la informacin clave de supervisin. detecta un problema, puede abrir vistas de supervisin detallada para obtener ms informa

evo Visor de registro El visor de registro del servidor ISA muestra los registros del servidor de seguridad en tiemreal. Puede mostrar registros en los modos de tiempo real en lnea o de revisin del histricPuede aplicar filtros a los campos del registro con el fin de identificar entradas especficas.

jorada Generacin de informes Puede generar informes repetitivos o nicos sobre el uso de Web, de aplicaciones, patronestrfico de red y seguridad.

Volver a Cont

2.1 Redes mltiples y directiva de servidor de seguridad

nteriormente, el concepto de una red interna significaba que todos los equipos estaban ubicados en su organizacin. La red externa estabarmada por todos los equipos situados fuera de la organizacin, a los que generalmente se tena acceso a travs de Internet. El punto de vi

ctual de red incluye a los usuarios que tienen acceso a sus redes corporativas mediante equipos porttiles, que se convierten as en partertual de las distintas redes. Las sucursales se conectan a las sedes centrales y prefieren utilizar los recursos de stas como si formaran pare la red. Muchas organizaciones ponen a disposicin pblica los servidores de la red corporativa, sobre todo los servidores web, pero deseaacerlo separando esos servidores en una red distinta. La funcionalidad de redes mltiples del servidor ISA permite proteger estos entornosedes ms complejos. La compatibilidad con redes mltiples afecta a la mayora de las caractersticas de servidor de seguridad del servidor I

uede utilizar las nuevas caractersticas de redes mltiples del servidor ISA para proteger la red contra amenazas internas y externas a laeguridad, ya que limitan la comunicacin entre clientes, incluso dentro de la propia organizacin. Puede especificar relaciones entre las diveedes definidas en el servidor ISA y determinar, de este modo, la forma en que se comunican los equipos de cada red entre s mediante elervidor ISA. Asimismo puede agrupar equipos en objetos de red del servidor ISA como conjuntos de equipos e intervalos de direcciones, yonfigurar una directiva de acceso especfica para cada objeto de red.



4/24


n un entorno de publicacin normal, quiz prefiera aislar los servidores publicados en su propia red, como una red perimetral. La funcionalie redes mltiples del servidor ISA es compatible con tal entorno, para que pueda configurar la forma en que tienen acceso los clientes de laorporativa y de Internet a la red perimetral. Puede configurar las relaciones entre las diversas redes y definir directivas de acceso diferententre cada red. La configuracin de la topologa de una red perimetral se facilita mediante las plantillas de red y los asistentes para plantillased del servidor ISA.

n la siguiente ilustracin se muestra un entorno de redes mltiples.

n la figura, el equipo servidor ISA se conecta entre Internet (red externa), la red corporativa (red interna) y la red perimetral. Los tres

daptadores de red se encuentran en el equipo servidor ISA y cada uno de ellos est conectado a una de las redes. Mediante el servidor ISAuede configurar las distintas directivas de acceso entre cualquier par de redes. Puede determinar si se comunican los equipos de cada una ds redes entre s y cmo lo hacen. Cada red est aislada de la otra y slo se puede tener acceso a ella cuando se configuren las reglas queermitan la comunicacin.

ara implementar los entornos de redes mltiples, el servidor ISA presenta los siguientes conceptos:

q Redes. Desde la perspectiva del servidor ISA, una red es un elemento de regla que puede contener uno o varios intervalos de direccionIP y de dominios. Las redes incluyen uno o varios equipos, que siempre se corresponden con un adaptador de red especfico en el equipservidor ISA. Puede aplicar reglas a una o varias redes.

q Objetos de red. Despus de crear las redes, puede agruparlas en conjuntos de objetos de red: subredes, intervalos de direcciones,conjuntos de equipos, conjuntos de direcciones URL o conjuntos de nombres de dominio. Las reglas se pueden aplicar a redes o a objetde red.

q Reglas de red. Puede configurar reglas de red para definir y describir una topologa de red. Las reglas de red determinan si existeconectividad entre dos redes, as como el tipo de conectividad que se permitir. Las redes se pueden conectar de una de estas formas:traduccin de direcciones de red (NAT) o enrutamiento.

1.1 Redes y objetos de red

as redes incluyen uno o varios equipos, que normalmente se corresponden con una red fsica, definida por los intervalos de las direcciones os objetos de red son cualquier grupo de equipos definidos, por ejemplo, redes sencillas, conjuntos de redes de dos o ms redes, o conjunte equipos para los que desea crear reglas de acceso distintas. Puede aplicar reglas a una o varias redes u objetos de red, o a todas lasrecciones excepto las de la red u objeto de red especificados. Cada adaptador de red del equipo se puede asignar a una sola red. Puedestablecer los tipos de clientes de servidor ISA admitidos en un red en concreto: servidor de seguridad, proxy Web o ambos.

servidor ISA se suministra con una configuracin previa que incluye las siguientes redes:

q Externa. Esta red incluye todos los equipos (direcciones IP) que no estn asociados con ninguna otra red interna. La red externapredeterminada no se puede eliminar.

q Interna. Despus de la instalacin, esta red incluye todos los equipos (direcciones IP) asociados con la tarjeta de direcciones de redinterna del equipo servidor ISA.

q Host local. Esta red representa el equipo servidor ISA. La red del host local no se puede modificar ni eliminar.

q Clientes de VPN en cuarentena. Esta red incluye las direcciones de los clientes de VPN que an no han sido aprobados para teneracceso a la red corporativa. Normalmente, los equipos de esta red tienen acceso limitado a la red corporativa.

q Clientes de VPN. Esta red contiene las direcciones de los clientes de VPN actualmente conectados. Se actualiza dinmicamente a medique los clientes de VPN se conectan o desconectan del equipo servidor ISA. La red de clientes de VPN no se puede eliminar.

as redes del host local, de clientes de VPN y externas son redes integradas, que el usuario no puede eliminar ni crear. La red interna es unaredefinida, que se crea durante el proceso de instalacin y se puede modificar o eliminar.

os conjuntos de redes se pueden configurar para incluir redes especficas. Como alternativa, estos conjuntos se pueden definir para que nocluyan (es decir, excluyan) redes especficas.

stas reglas se pueden aplicar a redes, a conjuntos de redes o a objetos de red:

q Reglas de red



5/24


q Reglas de acceso

q Reglas de publicacin

n lo que respecta a las reglas de acceso, especifique una red de destino y una de origen a las que se va a aplicar la regla. La red de origendica las redes que tienen acceso o no a las redes de destino especificadas. Por lo que respecta a las reglas de publicacin, especifique una e origen con acceso a un equipo especfico.

1.2 Reglas de red

as reglas de red definen y describen una topologa de red. Estas reglas determinan si existe conectividad entre dos redes, as como el tipo donectividad definido. Las redes se pueden conectar de una de estas formas:

q Traduccin de direcciones de red (NAT). Al especificar este tipo de conexin, el servidor ISA reemplaza la direccin IP del cliente enred de origen por su propia direccin IP. Las reglas de red NAT se pueden utilizar al definir una relacin entre las redes interna y extern

q Ruta. Al especificar este tipo de conexin, las peticiones de clientes de la red de origen se retransmiten directamente a la red de destinLa direccin de cliente de origen se incluye en la peticin. Una regla de red de enrutamiento se puede utilizar al publicar un servidorubicado en la red perimetral.

as relaciones de redes de enrutamiento son bidireccionales. Si una relacin de enrutamiento se define desde la red A a la B, tambin existeelacin de enrutamiento desde la red B a la A. A la inversa, las relaciones NAT son nicas y unidireccionales. Si se define una relacin NATesde la red A a la B, no se puede definir ninguna relacin de red desde B a A. Puede crear una regla de red que defina ambas relaciones, pservidor ISA omitir la segunda regla de red en la lista de reglas ordenadas.

urante el proceso de instalacin, se crean las siguientes reglas predeterminadas:

q Acceso a host local. Esta regla define una relacin de enrutamiento entre la red del host local y el resto de las redes.

q De clientes de VPN hacia la red interna. Esta regla define una relacin de enrutamiento entre las dos redes de clientes de VPN(clientes de VPN y clientes de VPN en cuarentena) y la red interna.

q Acceso a Internet. Esta regla define una relacin NAT entre la red interna y la externa.

as reglas de red se procesan en orden y para cada red.

Volver a Cont

2.2 Directiva del sistema

instalar el servidor ISA se crea una directiva del sistema predeterminada. La directiva del sistema define las reglas de acceso entre el equervidor ISA y las redes conectadas a l para el acceso de recursos especficos.

ota: Todas las categoras de la directiva del sistema estn habilitadas de forma predeterminada al instalar el servidor ISA y la directiva seplica especficamente a la red interna. Puede modificar la configuracin de la directiva del sistema. Se recomienda deshabilitar las categorasta directiva que no sean necesarias en la configuracin del servidor ISA.

a directiva del sistema contiene las siguientes categoras:

q Servicios de red

q Servicios de autenticacin

q Administracin remota

q Cliente del servidor de seguridad

q Servicios de diagnstico

q Registro

q Supervisin remota

q Varios

habilitar o deshabilitar un grupo de configuracin de la directiva del sistema o un elemento de un grupo de configuracin, el servidor ISAabilita o deshabilita las reglas de acceso de la directiva del sistema.

Volver a Cont

2.3 Integracin de VPN

servidor ISA le ayuda a configurar y proteger una red privada virtual (VPN). Una red VPN es un conjunto de equipos conectados a la redorporativa de forma segura desde ubicaciones remotas de Internet. Con una red privada virtual, puede enviar datos entre dos equipos a trae una red compartida o pblica de forma que emula un vnculo privado punto a punto.

as conexiones VPN permiten que los usuarios que trabajan en casa o que estn en otros sitios remotos puedan obtener conexin de accesoemoto al servidor de una organizacin mediante la infraestructura que proporciona una red pblica como Internet. Desde la perspectiva delsuario, la red privada virtual es una conexin punto a punto entre el equipo (el cliente de VPN) y el servidor de la organizacin (el equipo



6/24


ervidor ISA). La infraestructura exacta de la red compartida o pblica es irrelevante, ya que parece como si los datos se enviaran a travs dn vnculo privado dedicado.

as conexiones VPN tambin permiten que las organizaciones dispongan de conexiones enrutadas con otras organizaciones a travs de una blica como Internet, a la vez que mantienen una comunicacin segura; por ejemplo, entre las oficinas que estn separadas geogrficamenna conexin VPN enrutada a travs de Internet funciona lgicamente como vnculo de red de rea extensa (WAN, Wide Area Network) ded

ay dos tipos de conexiones VPN:

q Conexin VPN de acceso remoto. Un cliente realiza una conexin VPN de acceso remoto que se conecta a una red privada. El servidoISA proporciona acceso a toda la red a la que est conectado el servidor VPN.

q Conexiones VPN de sitio a sitio. Un servidor VPN realiza una conexin VPN de sitio a sitio que conecta dos partes de una red privadade forma segura. El servidor ISA proporciona una conexin a la red a la que est conectado el equipo servidor ISA.

ediante el uso del equipo servidor ISA como servidor VPN, se beneficia de la proteccin de la red corporativa contra conexiones VPNalintencionadas. Puesto que el servidor VPN est integrado en la funcionalidad del servidor de seguridad, los usuarios de VPN estn sujetosdirectiva de acceso del servidor ISA definida para la red de clientes de VPN preconfigurada. Todos los clientes de VPN pertenecen a la red

ientes de VPN y tienen acceso a los recursos de la red interna de acuerdo con una directiva predefinida.

unque los usuarios de VPN forman parte virtualmente del intervalo de direcciones de la red interna, no estn sujetos necesariamente a larectiva de acceso de esta red, y se puede configurar especficamente en el servidor ISA. Se pueden configurar reglas especiales para permacceso a los usuarios a los recursos de la red.

uesto que se puede configurar una directiva de acceso para la red de clientes de VPN, estos clientes estn sujetos a los mismos mecanismospeccin completa que cualquier cliente que se comunica entre redes mediante el servidor ISA.

odas las conexiones VPN al equipo servidor ISA estn conectadas al registro del servidor de seguridad. De esta forma puede auditar lasonexiones VPN.

configurar la red VPN, puede reservar un grupo de direcciones IP estticas para los equipos de los usuarios de VPN. Cuando un cliente de e conecta a la red local, se le asigna una direccin IP de este grupo de direcciones. Como alternativa, quiz prefiera tener direcciones IPsignadas dinmicamente a los clientes de VPN, mediante un servidor de protocolo de configuracin dinmica de host (DHCP, Dynamic Hostonfiguration Protocol). La direccin IP se agrega a la red de clientes de VPN.

dems, puede habilitar el modo de cuarentena para la red VPN. De esta forma, se asegura que se comprueba el cumplimiento de la directive software corporativa por parte de un cliente antes de que se pueda unir a la red de clientes de VPN, normalmente con acceso ilimitado a ed interna. El control de cuarentena proporciona acceso posible a la red a los clientes de (VPN) remotos y restringe su acceso a un modo deuarentena antes de permitirles tener acceso a la red realmente. Una vez que la configuracin del equipo cliente cumple o se tiene intencinue cumpla las restricciones de cuarentena especficas de la organizacin, se aplica la directiva estndar de VPN a la conexin en funcin dee cuarentena especificado. Por ejemplo, las restricciones de la cuarentena pueden especificar que determinado software antivirus se instalee habilite mientras est conectado a la red. Aunque el control de cuarentena no ofrece proteccin contra los intrusos, s puede comprobar laonfiguraciones de los equipos de usuarios autorizados y, en caso necesario, corregirlas antes de que puedan tener acceso a la red. Tambinst disponible una opcin de temporizador, que se puede usar para especificar un intervalo con el fin de finalizar la conexin en caso de queiente no cumpla los requisitos de configuracin. Para obtener ms informacin, vea el documento Clientes de VPN mviles en ISA Server 2

uede crear dos directivas distintas para cada una de las redes de clientes de VPN:

q Red de clientes de VPN en cuarentena. Restrinja el acceso a los servidores desde los que el cliente puede descargar lasactualizaciones necesarias para cumplir con la directiva de software.

q Red de clientes de VPN. Puede permitir el acceso a todos los recursos corporativos (red interna) o restringirlo cuando lo considereoportuno. La red de clientes de VPN tendr una relacin NAT con la red externa. Se configurar una regla de red que defina la relacinNAT entre las redes VPN y externa.

Volver a Cont

2.4 Usuarios y autenticacin

on la nueva funcionalidad del servidor ISA, puede aplicar la directiva de acceso a los usuarios de Windows o a usuarios autenticados medias distintos mecanismos de autenticacin (espacios de nombres), como el servicio de usuario de marcado con autenticacin remota (RADIUemote Authentication Dial-In User Service). El servidor ISA admite los mecanismos de autenticacin siguientes:

q Clientes proxy Web. Autenticacin bsica, mediante los servicios de directorio de Active Directory o RADIUS, autenticacin implcita

autenticacin Windows integrada o certificados.

q Clientes de VPN. Protocolo de autenticacin por desafo mutuo (CHAP, Challenge Handshake Authentication Protocol), Protocolo deautenticacin por desafo mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol), MS-CHAP versin 2,Protocolo de autenticacin extensible (EAP, Extensible Authentication Protocol) y RADIUS.

q Clientes del servidor de seguridad. Kerberos o NTLM.

servidor ISA presenta un mecanismo de extensibilidad de autenticacin que permite que los proveedores de terceros implementen esqueme autenticacin adicionales.

uede utilizar el servidor ISA para aplicar las directivas de acceso o de publicacin a usuarios o direcciones IP especficos. Los usuarios seueden agrupar en conjuntos de usuarios y se pueden aplicar las reglas a los conjuntos de usuarios. Al crear un conjunto de usuarios, puedegregar los usuarios de Windows, RADIUS y SecurID al conjunto. Despus puede aplicar las reglas de acceso a este conjunto.

Volver a Cont

http://go.microsoft.com/fwlink/?LinkId=20612http://go.microsoft.com/fwlink/?LinkId=20612


7/24


2.5 Cach

ediante las reglas de cach, puede especificar los tipos de contenido almacenados en cach, as como la forma en que se atienden los objeesde ella. En funcin de las necesidades de la organizacin, las reglas de cach se pueden aplicar al contenido de todos los sitios o al querocede de sitios especficos, as como a todos los tipos de contenidos o a tipos especficos. Adems, se puede limitar la cantidad de tiempo s objetos se consideran vlidos y la forma en que las reglas de cach controlan los objetos caducados.

e forma predeterminada, un objeto se almacena en la cach slo si sus encabezados del origen y de la peticin as lo indican. Sin embargouede especificar los objetos que se almacenan en funcin de las siguientes opciones:

q Nunca, ningn contenido se almacenar en cach. Esta opcin deshabilita el almacenamiento en cach para esta regla.

q Si los encabezados del origen y la peticin indican que debe almacenarse. Un objeto se almacena en cach si as lo indican losencabezados.

selecciona la segunda opcin, tambin puede elegir almacenar en cach lo siguiente:

q Contenido dinmico. Si el contenido es dinmico, los objetos se almacenarn en cach, independientemente de los encabezados derespuesta.

q Contenido para exploracin sin conexin. Incluye las respuestas 302 y 307.

q Contenido que requiere autenticacin de usuario para recuperarse. Se requiere la autenticacin del usuario.

ediante la configuracin de las reglas de cach, puede definir si se habilitar el almacenamiento en cach para las respuestas del protocoloansferencia de hipertexto (HTTP, Hypertext Transfer Protocol), del protocolo de transferencia de archivos (FTP, File Transfer Protocol) y deapa de sockets seguros (SSL, Secure Sockets Layer). Adems, puede configurar la regla de cach para limitar el contenido almacenado enach en funcin del tamao del archivo.

os objetos HTTP y FTP almacenados en cach caducan en funcin de la configuracin del periodo de vida (TTL, Time to Live). Por lo que

especta a los objetos HTTP, la caducidad se configura en funcin del TTL, definido en el encabezado de respuesta, y de los lmites de TTLefinidos en la regla de cach. Los lmites de TTL se calculan como porcentaje de edad de contenido, que es la cantidad de tiempo transcurresde la creacin o modificacin de un objeto. Los objetos FTP caducan segn el TTL definido para los objetos FTP en la regla de cach.

omo parte de la configuracin de las reglas de cach, puede definir la forma en que los objetos almacenados en cach se recuperan y setienden desde sta. Antes de que el servidor ISA determine cmo se enrutar la peticin, como se define en las reglas de enrutamiento de servidor ISA comprueba si existe una copia vlida del objeto en la cach. Un objeto se considera vlido si su periodo TTL no ha caducado,

omo se especifica en las propiedades de almacenamiento en cach de HTTP o en el propio objeto. En funcin de la configuracin de lasropiedades de cach de la regla de enrutamiento, el servidor ISA recuperar el objeto de la cach. Puede configurar el servidor ISA para quealice una de las acciones siguientes:

q Recuperar un objeto de la cach, slo si el objeto sigue all. Si un objeto no es vlido, la peticin se enruta al servidor y se recupera.

q Recuperar un objeto de la cach, independientemente de que siga siendo vlido o no. Si no hay ninguna versin del objeto en la cach,peticin se enruta al servidor.

q No enrutar nunca la peticin. Si no se encuentra ninguna versin del objeto en la cach, se devuelve una pgina de error.

as reglas de cach tienen un orden, y la regla de cach predeterminada es la ltima que se procesa. Para cada nueva conexin, el equipoervidor ISA procesa las reglas de cach por orden (es decir, la primera regla es la que se procesa primero). Si la peticin cumple lasondiciones especificadas por la regla, la peticin se enruta, redirige y almacena en la cach segn sea necesario. De lo contrario, se procesaegla siguiente. Este proceso contina hasta que se procesa y aplica a la peticin la ltima regla predeterminada.

instalar el servidor ISA, ste configura una regla de cach predeterminada. La regla predeterminada se configura inicialmente de forma qlo se pueden recuperar de la cach del servidor ISA los objetos que sean vlidos. Si el objeto de la cach no es vlido, se recuperarrectamente de Internet. No es posible modificar la forma en que la regla de cach predeterminada recupera los objetos.

Volver a Cont

2.6 Exportacin e importacin de configuracin

servidor ISA incluye una caracterstica de exportacin e importacin que puede utilizar para guardar los parmetros de configuracin del

ervidor en un archivo .xml y, a continuacin, importar la informacin desde el archivo a otro servidor. Puede guardar la configuracin enualquier directorio y con cualquier nombre de archivo para el que tenga permisos de escritura.

exportar una configuracin, se exporta toda la informacin de configuracin general de forma predeterminada. Se incluyen las reglas derectivas de acceso y de publicacin, los elementos de regla, la configuracin de alertas, la configuracin de la cach y las propiedades del

ervidor ISA. Se puede exportar parte de la informacin de configuracin especfica del servidor, si lo selecciona as. Adems, puede decidirxportar la configuracin de permisos de usuario y la informacin confidencial, como las contraseas de usuario. Se cifra la informacinonfidencial incluida en el archivo exportado. Al importar el archivo, se requiere una contrasea para abrir y descifrar esta informacin. Estaontrasea se establece durante el proceso de exportacin.

exportar un objeto especfico, se exportan los siguientes elementos:

q El objeto especificado, incluidos todos los valores de propiedades.

q Todos los objetos descendientes contenidos en la jerarqua, empezando por el objeto especificado.

or ejemplo, si exporta una regla de acceso, tambin se exportan los conjuntos de objetos y de usuarios de la red utilizados en la creacin d



8/24


cha regla, y se importarn al importar posteriormente la regla.

Volver a Cont


ntes de instalar este software, consulte las notas sobre la versin incluidas en el CD.

ntes de instalar el servidor ISA, debe instalar el hardware y configurar el software del equipo en el que se ejecutar este servidor.

3.1 Requisitos de instalacin

ara utilizar el servidor ISA, necesita:

q Un PC con una CPU a 550 MHz o ms velocidad, compatible con Pentium II

q El sistema operativo Microsoft Windows Server 2003 o Windows 2000 Server.

Nota: Si instala un servidor ISA en un equipo en el que se ejecute Windows 2000 Server, tenga en cuenta los siguientes requisitosadicionales: debe estar instalado el Service Pack 4 de Windows 2000 o posterior. Debe estar instalado Internet Explorer 6 o posteriorSi utiliza el slipstream de Windows 2000 SP4, tambin debe instalar la revisin (hotfix) especificada en el artculo821887, "Events for

Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization ManagerRuntime," de Microsoft Knowledge Base. Para obtener informacin actualizada sobre la instalacin y los requisitos del sistema paraISA Server 2004, vea ISA Server Setup and System Requirements.

q 256 megabytes (MB) de memoria

q 150 MB de espacio en disco duro disponible. Este espacio en disco excluye el que pueda necesitar el almacenamiento en cach.

q Un adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna

q Un adaptador de red adicional para cada red conectada al equipo servidor ISA

q Una particin del disco duro local con el formato del sistema de archivos NTFS.

Nota Puede utilizar el servidor ISA en un equipo que slo tenga un adaptador de red. Normalmente, llevar a cabo esta tarea cuandootro servidor de seguridad se encuentre en los lmites de la red, conectando los recursos de la empresa a Internet. En este escenariode un adaptador nico, el servidor ISA suele proporcionar una capa adicional de proteccin de filtrado de aplicaciones a los servidorespublicados, o bien para almacenar en cach el contenido de Internet. Para obtener ms informacin, vea Equipos servidor ISA con un

nico adaptador de red.

Advertencia: No instale el servidor ISA en un equipo multiprocesador con ms de cuatro procesadores.

Volver a Cont

3.2 Requisitos de red

servidor ISA necesita tanto un servidor de sistema de nombres de dominio (DNS, Domain Name System) como un servidor de protocolo donfiguracin dinmica de host (DHCP, Dynamic Host Configuration Protocol). Recomendamos tener ambos instalados en un equipo en que secute Windows Server 2003 o Windows 2000 Server en la red interna. Si es necesario, puede alojar los servidores DNS y DHCP en el equip

ervidor ISA.

2.1 Servidor DNS

NS es el protocolo de resolucin de nombres para redes TCP/IP, como Internet. Los servidores DNS incluyen la informacin que permite a quipos cliente resolver nombres DNS alfanumricos y fciles de recordar para las direcciones IP que los equipos utilizan a fin de comunicarsntre s.

2.2 Servidor DHCP

os servidores DHCP administran de forma centralizada las direcciones IP y la informacin relacionada que proporcionan a los clientesutomticamente. De esta forma, se puede configurar la red del cliente en un servidor en lugar de hacerlo en cada equipo cliente.

2.3 Configuracin de los servidores DNS y DHCP

ara abrir el Asistente para configurar su servidor, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, aontinuacin, haga clic en Asistente para configurar su servidor. Deber ejecutar el asistente dos veces: una para configurar el servidorNS y la otra, el servidor DHCP.

configurar el servidor para que incluya un servidor DNS, cuando finaliza el Asistente para configurar su servidor, aparece el Asistente paraonfigurar un servidor DNS. Revise las listas de comprobacin DNS, haciendo clic en Listas de comprobacin DNS y despus siga lasstrucciones del asistente para configurar el servidor DNS.

http://go.microsoft.com/fwlink/?LinkId=22792http://go.microsoft.com/fwlink/?LinkId=20538http://go.microsoft.com/fwlink/?LinkId=20538http://go.microsoft.com/fwlink/?LinkId=22792


9/24


configurar el servidor para que incluya un servidor DHCP, el Asistente para configurar su servidor inicia el Asistente para mbito nuevo. Ss instrucciones de este asistente con el fin de definir el mbito del servidor DHCP.

Volver a Cont


ara instalar el software del servidor ISA, siga estos pasos:

1. Inserte el CD del servidor ISA en la unidad de CD o ejecute ISAautorun.exe desde la unidad de red compartida.

2. En Instalacin de Microsoft ISA Server, haga clic en Instalar el servidor ISA.

3. Despus de que el programa de instalacin indique que ha terminado de determinar la configuracin del sistema, en la pginaBienvenido, haga clic en Siguiente.

4. Si acepta los trminos y condiciones indicados en el contrato de licencia de usuario, haga clic en Acepto los trminos del contratode licencia, y, a continuacin, en Siguiente.

5. Escriba la informacin del cliente y haga clic en Siguiente.

6. Haga clic en Instalacin tpica, Instalacin completa o Instalacin personalizada.

Se pueden instalar cuatro componentes.

r Servicios del servidor ISA. Los servicios que constituyen el servidor ISA.

r Administracin del servidor ISA. La interfaz de usuario de Administracin del servidor ISA.

r Recurso compartido de instalacin de cliente firewall. Ubicacin desde la que los equipos cliente pueden instalar elsoftware de cliente del servidor de seguridad. Se suele instalar en un equipo distinto al del equipo servidor ISA y, por tanto,no forma parte de la opcin Instalacin tpica. Firewall Client Share se puede instalar en equipos que utilicen WindowsServer 2003, Windows 2000 Server o Windows XP.

r Filtro de mensajes. Un componente que se configura para filtrar las palabras clave y los datos adjuntos de los mensajes decorreo electrnico. Este componente se debe instalar en un servidor de protocolo simple de transferencia de correo (SMTP,Simple Mail Transfer Protocol)

Instalacin tpica instala los servicios del servidor ISA y la administracin del servidor ISA. Instalacin completa instala loscuatro componentes. Instalacin personalizada permite seleccionar los componentes que se van a instalar.

7. Haga clic en Siguiente.

8. Configure la red interna. Para ello, siga estos pasos:

a. Haga clic en Agregar.

b. Haga clic en Seleccionar adaptador de red.

c. Seleccione Agregar los intervalos de direccin basados en la Tabla de enrutamiento de Windows.

d. Seleccione uno o varios adaptadores que estn conectados a la red interna. Estas direcciones se incluirn en la redinterna que se define de forma predeterminada para el servidor ISA.

e. Borre la seleccin de Agregar los siguientes intervalos privados, a menos que desee agregar dichos intervalos a sured interna.

f. Haga clic en Aceptar. Lea el mensaje del programa de instalacin, haga clic en Aceptar, vuelva a hacer clic en Aceptarpara finalizar la configuracin de la red interna y, a continuacin, haga clic en Siguiente.

9. En la pgina Configuracin de conexin de cliente firewall, indique si desea permitir conexiones no cifradas entre los clientes delservidor de seguridad y el equipo servidor ISA. El software de cliente del servidor de seguridad de ISA Server 2004 utiliza cifrado, perlas versiones anteriores no. Adems, algunas versiones de Windows no admiten el cifrado. Puede seleccionar las siguientes opciones:

r Permitir conexiones de cliente firewall no cifradas. Para los clientes del servidor de seguridad que se ejecuten enversiones de Windows no compatibles con el cifrado a fin de que se conecten al equipo servidor ISA.

r Permitir que los clientes firewall que ejecutan versiones anteriores del software de cliente firewall se conectenal servidor ISA. Esta opcin slo est disponible si se selecciona la primera opcin.

10. En la pgina Servicios, revise la lista de los servicios que se interrumpirn o deshabilitarn durante la instalacin del servidor ISA.Para continuar con el proceso de instalacin, haga clic en Siguiente.

11. Haga clic en Instalar.

12. Una vez completada la instalacin, si desea iniciar Administracin del servidor ISA de inmediato, active la casilla de verificacinInvocar la administracin de ISA Server y haga clic en Finalizar.

Volver a Cont



10/24


3.4 Configuracin predeterminada

na vez realizada la instalacin, el servidor ISA utiliza la configuracin predeterminada de la tabla siguiente.

racterstica Configuracin predeterminada

rmisos de usuario Los miembros del grupo Administradores del equipo local pueden configurar la directiva de servidor de seguridad

nfiguracin de red Se crean las reglas de red siguientes:

q Acceso a host local. Define una relacin de red enrutada entre la red del host local y todas las redes. Sedefine una relacin de red con el resto de redes. Los servicios que se ejecutan en el equipo servidor ISAnecesitan esta relacin.

q Acceso a Internet. Define una relacin NAT desde la red interna, la red de clientes de VPN en cuarenteny la red de clientes de VPN hacia la red externa. El acceso se permite solamente si se configura la directivde acceso adecuada.

q De clientes de VPN hacia la red interna. Define una relacin de red de ruta entre la red de clientes deVPN y la red interna. El acceso se permite nicamente si se habilita el acceso de clientes de VPN.

glas de acceso Se crean las reglas predeterminadas siguientes:

q Regla predeterminada. Esta regla deniega todo el trfico entre todas las redes.

q Reglas de directiva del sistema. Se trata de una serie de reglas que permiten que el equipo servidor ISinteracte con otros recursos de la red.

blicacin Los clientes externos no pueden obtener acceso a ningn servidor interno.

cadenamiento de Web Regla predeterminada. Esta regla especifica que se recuperen todas las peticiones de clientes proxy Webdirectamente de Internet.

macenamiento en cach El tamao de la cach se establece en 0. Por lo tanto, todo el almacenamiento en cach queda deshabilitado.

Volver a Cont

3.5 Formas nuevas de realizar tareas habituales

a siguiente tabla muestra las tareas habituales que puede realizar mediante ISA Server 2004 y las compara con la forma de llevarlas a cabSA Server 2000.

desea En ISA Server 2000 En ISA Server 2004

blicar servidores co-ubicados. Cree un filtro de paquetes estticos que permita elacceso al servidor especfico ubicado en el equiposervidor ISA.

Cree una regla de publicacin de servidor.

bilite una aplicacin en el equipovidor ISA para tener acceso a Internet.

Cree un filtro de paquetes estticos que permita elacceso al puerto especfico del equipo servidor ISA.

Compruebe que la regla de red predeterminaque se crea durante la instalacin, define conprecisin una relacin entre la red de host lola red externa. A continuacin, cree una reglacceso que permita el acceso al protocoloespecfico.

nfigurar la tabla de direcciones localesAT).

Haga clic en la tabla de direcciones locales enlas propiedades de cualquier servicio.

La red interna reemplaza la tabla de direcciolocales y se configura como parte del procesoinstalacin. Posteriormente, puede volver aconfigurar la red interna.

nfigurar la compatibilidad de protocolossados en IP.

Los protocolos basados en IP se admitan de formalimitada.

Cree una definicin de protocolo en la queespecifique cualquiera de los protocolossiguientes: TCP, UDP, ICMP o protocolo de nIP. Si selecciona el nivel de IP, puede especifcualquier protocolo de nivel inferior.

nfigurar redes privadas virtuales. Utilice los asistentes de VPN para configurar redesprivadas virtuales de cliente a enrutador o deenrutador a enrutador.

Configure y habilite las propiedades de VPN ysupervise las conexiones VPN.

nfigurar las propiedades de peticionesWeb salientes.

En las propiedades de la matriz, haga clic en laficha Peticiones de web salientes y configurelas propiedades de la escucha.

Cada red tiene su propia escucha, el adaptadred responsable de la escucha de las peticionpertenecientes a dicha red.

nfigurar propiedades de peticiones deb entrantes.

En las propiedades de la matriz, haga clic en laficha Peticiones de Web entrantes y configurelas propiedades de la escucha.

Las escuchas de web se utilizan como parte dcada regla de publicacin de Web. Al configuuna regla de este tipo, se especifica qu escude web se utiliza para ella.



11/24


Volver a Cont

3.6 Equipos servidor ISA con un nico adaptador de red

uede instalar el servidor ISA en equipos con un adaptador de red nico. Normalmente, llevar a cabo esta tarea cuando otro servidor deeguridad se encuentre en los lmites de la red, conectando los recursos de la empresa a Internet. En este escenario de un adaptador nico,ervidor ISA se suele utilizar para almacenar en cach el contenido de Internet a fin de que lo usen los clientes de la red corporativa.

6.1 Red interna

na de las caractersticas fundamentales del servidor ISA es su capacidad para conectarse a varias redes. Al instalar el servidor ISA en unquipo con un adaptador nico, sin embargo, reconoce slo una red: la red interna. La red interna est formada por todas las direcciones IPs siguientes excepciones: 0.0.0.0, 255.255.255.255 y el intervalo de direcciones 127.0.0.0-127.255.255.255.

6.2 Instalacin del servidor ISA en un equipo con un solo adaptador

omo parte del proceso de instalacin, especifique las direcciones de la red interna. Al instalar el servidor ISA en un equipo con un solodaptador de red, asegrese de incluir todas las direcciones menos 0.0.0.0, 255.255.255.255, tampoco incluya el intervalo de direcciones27.0.0.0-127.255.255.255.

uede utilizar la plantilla de red de adaptador de red nico para configurar el equipo servidor ISA con adaptador nico. Para utilizar la plantin Administracin del servidor ISA, expanda el nodo Configuracin y seleccione Redes. En el panel de tareas, en la ficha Plantillas, selecciodaptador de red nico para iniciar el Asistente para plantillas de red. Siga los pasos del asistente para completar la configuracin. Leecomendamos que utilice los valores predeterminados proporcionados por este asistente.

6.3 Almacenamiento en cach

uede implementar el servidor ISA en un equipo con un adaptador nico como un proxy directo y un servidor de almacenamiento en cach, roporciona a los clientes un acceso optimizado a Internet. En este entorno, puede configurar el servidor ISA para mantener una cachentralizada de objetos de Internet solicitados con frecuencia, accesible para todos los clientes del explorador Web, y que utiliza reglas dedministracin de cach. En este entorno, podr modificar la directiva de servidor de seguridad predeterminada para permitir el acceso intere clientes a Internet. Aunque todas las direcciones IP se consideran que estn en la misma red interna, el servidor ISA denegar el trfico Webido a la regla predeterminada Deny All (denegar todas). Por tanto, debe crear una regla que permita que el trfico Web pase entre las reara habilitar este escenario de almacenamiento en cach, debe crear una regla de acceso que permita que todos los clientes utilicen HTTP, omo HTTPS y FTP, segn convenga. Como la red interna est definida exclusivamente para incluir todas las direcciones, las redes de origene destino de esta regla deberan ser internas.

6.4 Funcionalidad del modo de adaptador nico

instalar el servidor ISA en un equipo con un adaptador nico, no pueden utilizarse las siguientes caractersticas del servidor ISA:

q Clientes del servidor de seguridad

q Redes privadas virtuales

q Filtrado de paquetes IP

q Directiva de servidor de seguridad de redes mltiples

q Publicacin del servidor

q Filtrado del nivel de aplicacin

sto puede producir que la funcin de seguridad del servidor ISA se vea limitada.

Volver a Cont

4.0 Tutorial acerca de las caractersticas

servidor ISA admite un entorno muy adaptable de mltiples redes y permite conectar de forma segura muchas redes con permisos de accue pueden variar. En las siguientes secciones, se describen algunos escenarios de ejemplo que muestran el entorno y la funcionalidad deltiples redes. Observe que los escenarios no muestran el mbito completo de las nuevas caractersticas incluidas en esta versin. Ms bieuestran algunos de los escenarios de servidor de seguridad ms habituales que puede implementar mediante el servidor ISA. Al llevar a cas pasos del tutorial en un entorno de laboratorio sencillo, puede familiarizarse y sentirse cmodo con algunas de las caractersticas de ISAerver 2004 y con la interfaz de usuario.

e aconsejamos que siempre cree la configuracin del servidor ISA en un entorno de laboratorio antes de probarla en produccin.

n los escenarios se supone una configuracin de laboratorio que conecta una red interna con Internet. Se publican varios servidores en unaerimetral, tambin denominada DMA, zona desmilitarizada o subred protegida. Los clientes de la red privada virtual (VPN) pueden tener aclos recursos de la red interna. Le recomendamos que configure tres redes aisladas en un entorno de laboratorio antes de implementar una

olucin en un entorno de produccin. El laboratorio utilizado en este tutorial de caractersticas est formado por los siguientes elementos:

q Una red que simula la red corporativa, denominada RedCorp. En el tutorial, RedCorp incluye este intervalo de direcciones: de 10.0.0.0 a



12/24


10.255.255.255.

q Una red que simula Internet, denominada InternetSimul. En el tutorial, InternetSimul incluye este intervalo de direcciones: de192.168.0.0 a 192.168.255.255.

q Una red perimetral, denominada RedPerimetral. En el tutorial, RedPerimetral incluye este intervalo de direcciones: de 172.16.0.0 a172.31.255.255.

n la siguiente ilustracin se muestra el entorno del escenario.

a ilustracin muestra los siguientes equipos:

q Dos equipos cliente, a los que se hace referencia como ClienteInterno1 y ClienteInterno2, con Windows XP instalado. Hay tres equipoen el dominio RedCorp.

q Un servidor, al que se hace referencia como ServidorWebInterno, con Windows Server 2003 y Servicios de Internet Information Service(IIS) instalados. Este equipo est en el dominio RedCorp.

q Se supone que un controlador de dominio est ubicado en RedCorp. El controlador de dominio se utiliza para la autenticacin de cliente

q Hay un equipo, al que se hace referencia como Permetro_IIS, con Windows Server 2003 instalado. IIS tambin est instalado en esteequipo. El equipo est en el dominio RedPerimetral.

q Hay un equipo, al que se hace referencia como Externo1, con Windows Server 2003 e IIS instalados. Este equipo est en InternetSimu

q Un servidor Web, al que se hace referencia como ServidorWebExterno. Este equipo est en InternetSimul.

q Hay un equipo, al que se hace referencia como ISA_1, con Windows Server 2003 e ISA Server 2004 instalados. Tiene tres adaptadores red instalados:

r La direccin IP del adaptador conectado a RedCorp es 10.0.0.1.

r La direccin IP del adaptador conectado a RedPerimetral es 172.16.0.1.

r La direccin IP del adaptador conectado a InternetSimul es 192.168.0.1.

ota: No hay servidores DNS descritos en la configuracin. En el escenario, se supone que est instalado un servidor DNS en el controladorominio de RedCorp. Asimismo, se supone que existe una resolucin de nombres en cada red, pero no entre las redes.

a configuracin sera parecida en un entorno de produccin. Las diferencias radicaran en el uso de la red externa definida del servidor ISAredeterminado, que representa Internet, en vez de en InternetSimul, y en el uso de los intervalos de direcciones IP reales de las redes inteperimetral.

e necesitan distintos equipos para probar los diversos escenarios. En la siguiente tabla se muestran los equipos necesarios para cada escen

cenario Equipos necesarios

Exportar una configuracin ISA_1

Obtener acceso a Internet desde la red interna ISA_1, ClienteInterno1, ServidorWebExterno

Crear y configurar un conjunto de equipos restringido ISA_1, ClienteInterno2, Externo1

Crear una red perimetral mediante el Asistente para plantillas de red ISA_1

Publicar un servidor Web en la red perimetral ISA_1, Externo1, Permetro_IIS

Publicar un servidor Web en la red interna ISA_1, ServidorWebInterno, Externo1

Configurar redes privadas virtuales ISA_1, Externo1, ClienteInterno1

Modificar la directiva del sistema ISA_1

Importar una configuracin ISA_1



13/24


ntes de que empiece a configurar los siguientes escenarios, compruebe que las tablas de enrutamiento de los equipos estn configuradasdecuadamente. En cada red, la puerta de enlace predeterminada se debe establecer en la direccin IP del adaptador del equipo servidor ISara dicha red. Por ejemplo, para establecer la puerta de enlace predeterminada de Permetro_IIS, escriba lo siguiente en el smbolo del sistel equipo de Permetro_IIS:

route add 0.0.0.0 MASK 0.0.0.0 172.16.0.1

Volver a Cont

4.1 Escenario 1: exportar una configuracin

n este escenario se muestra la caracterstica de exportacin del servidor ISA. Puede guardar toda la configuracin del equipo servidor ISA, artes de ella, en un archivo .xml. De esta forma, puede duplicar toda o parte de una configuracin de un equipo servidor ISA a otro, o bienreservar una configuracin antes de realizar cambios sustanciales, para poder revertir a una configuracin anterior.

n este escenario, exportar la configuracin del equipo servidor ISA a un archivo .xml antes de efectuar alguno de los cambios asociados a scenarios siguientes. Para exportar la configuracin, realice los siguientes pasos:

1. Abra Microsoft ISA Server Management y haga clic en ISA_1.

2. En el panel de tareas, en la ficha Tareas, haga clic en Exportar la configuracin del servidor ISA a un archivo. De esta formaexportar la configuracin de ISA_1, tal y como est en el momento de la exportacin.

3. En Exportar configuracin, en Guardar, seleccione la ubicacin en la que desee guardar el archivo de exportacin. En Nombre dearchivo, escriba el nombre de archivo del archivo .xml al que desee exportar la configuracin, como MiConfigPred.xml, y haga clicen Exportar.

Notas Puede decidir exportar la configuracin de los permisos de usuario seleccionando Exportar configuracin de permisos deusuario. Esta configuracin contiene las funciones de seguridad de los usuarios del servidor ISA, por ejemplo, que indican losusuarios con permisos administrativos.

Si desea exportar informacin confidencial, seleccione Exportar informacin confidencial. Si lo hace, la informacin confidencialse cifrar durante el proceso de exportacin. Si exporta informacin confidencial, se le indicar que proporcione una contraseadurante el proceso de exportacin. Necesitar esta contrasea cuando importe la configuracin de la directiva de servidor deseguridad.

4. Una vez finalizada la operacin de exportacin, haga clic en Aceptar para cerrar el cuadro de dilogo de estado.

Volver a Cont

4.2 Escenario 2: obtener acceso a Internet desde la red interna

n este escenario, los clientes internos necesitan una conectividad segura a Internet. Se necesitan los siguientes equipos:

q ISA_1, con dos adaptadores de red como mnimo

q ClienteInterno1, en RedCorp, para probar el escenario

q ServidorWebExterno, en InternetSimul, para probar el escenario

objetivo es tener acceso a ServidorWebExterno desde ClienteInterno1 a travs de ISA_1.

a tabla de enrutamiento de ClienteInterno1 enruta todas las peticiones de direcciones externas a la direccin IP interna del equipo servidordireccin IP de la tarjeta adaptadora de red que est conectada a la red interna. El equipo servidor ISA acta como la puerta de enlace

redeterminada para todas las peticiones que desde la red interna solicitan direcciones IP externas.

n las siguientes secciones se describe la configuracin de la solucin:

q

4.2.1 Configurar la red interna

q 4.2.2 Crear reglas de red

q 4.2.3 Crear reglas de directiva

q 4.2.4 Probar el escenario

2.1 Configurar la red interna

omo parte del proceso de instalacin, especific el intervalo de direcciones en la red interna y, por tanto, configur esta red. Compruebe quonfiguracin es vlida y que la red interna contiene slo las direcciones de RedCorp. En ISA_1, realice los pasos siguientes:

1. Inicie Microsoft ISA Server Management, expanda ISA_1, expanda el nodo Configuracin y, a continuacin, haga clic en Redes.

2. En el panel de detalles, en la ficha Redes, se muestran los intervalos de direcciones incluidos en cada red.



14/24


3. Compruebe que slo estn incluidas las direcciones IP de los equipos de la red corporativa en la red interna.

Nota: Si es necesario, puede volver a configurar la red interna haciendo doble clic en Interna en la ficha Redes para abrir elcuadro de dilogo Propiedades internas Seleccione la ficha Direcciones y, a continuacin, utilice los botones Agregar y Quitarpara agregar o quitar los intervalos de direcciones de la red. Tambin puede usar el botn Agregar adaptador para agregar todoslos intervalos de direcciones IP asociados a un adaptador de red en particular, o el botn Agregar privado con el fin de agregarintervalos de direcciones privados.

4. Haga doble clic en Interna en la ficha Redes para abrir el cuadro de dilogo Propiedades internas. En la ficha Proxy Web,compruebe que estn seleccionadas las opciones Habilitar clientes proxy web y Habilitar HTTP, que est especificada la opcinPuerto HTTP, 8080 y, a continuacin, haga clic en Aceptar .

2.2 Crear reglas de red

omo parte del proceso de instalacin, se ha creado una regla de red de acceso a Internet predeterminada. Esta regla define una relacin ens redes interna y externa. Para comprobar la configuracin de la regla, realice los siguientes pasos:

1. Expanda el nodo Configuracin y despus haga clic en Redes.

2. En la ficha Reglas de red, haga doble clic en la regla Acceso a Internet para que se muestre el cuadro de dilogo Propiedades deacceso a Internet .

3. En la ficha Redes de origen, compruebe que aparece Interna. De lo contrario, haga lo siguiente:

a. Haga clic en Agregar.

b. En Agregar entidades de red, haga clic en Redes, en Interna, en Agregar y, a finalmente, en Cerrar.

4. En la ficha Redes de destino, compruebe que aparece Externa. De lo contrario, haga lo siguiente:

a. Haga clic en Agregar.b. En Agregar entidades de red, haga clic en Redes, en Externa, en Agregar y, a finalmente, en Cerrar.

5. En la ficha Relacin de redes, seleccione Traduccin de direcciones de red (NAT).

6. Haga clic en Aceptar.

7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios, en caso de haber realizado alguno.

2.3 Crear reglas de directiva

ara permitir el acceso de los clientes internos a Internet, debe crear una regla de acceso para que estos clientes puedan utilizar los protocoTTP y HTTPS. Realice los pasos siguientes:

1. Haga clic en Directiva de firewall. En el panel de tareas, seleccione la ficha Tareas y haga clic en Crear nueva regla de accesopara iniciar el Asistente para nueva regla de acceso.

2. En la pgina Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Permitir a los clientes internos acceso HTTP yHTTPS a Internet. A continuacin, haga clic en Siguiente.

3. En la pgina Accin de la regla, seleccione Permitir y despus haga clic en Siguiente.

4. En la pgina Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuacin, haga clic enAgregar.

5. En el cuadro de dilogo Agregar protocolos, expanda Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, enAgregar y, finalmente, haga clic en Cerrar. A continuacin, haga clic en Siguiente.

6. En la pgina Orgenes de regla de acceso, haga clic en Agregar.

7. En el cuadro de dilogo Agregar entidades de red, haga clic en Redes y, a continuacin, seleccione Interna. Haga clic en Agregary, a continuacin, en Cerrar. A continuacin, haga clic en Siguiente.

8. En la pgina Destinos de regla de acceso, haga clic en Agregar.

9. En el cuadro de dilogo Agregar entidades de red, haga clic en Redes y, a continuacin, seleccione Externa. Haga clic en Agregary, a continuacin, en Cerrar. A continuacin, haga clic en Siguiente.

10. En la pgina Conjuntos de usuarios, compruebe que est especificada la opcin Todos los usuarios. A continuacin, haga clic enSiguiente.

11. Revise la pgina de resumen y despus haga clic en Finalizar.

12. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados. Observe que pueden pasar unos segundos antes deque se apliquen los cambios.

2.4 Probar el escenario

ara comprobar que el escenario funciona, ClienteInterno1 tendr acceso a ServidorWebExterno en la red externa (InternetSimul).



15/24


n ClienteInterno1, realice los siguientes pasos:

1. En ClienteInterno1, abra Internet Explorer 6.0.

2. En Internet Explorer, haga clic en el men Herramientas y, a continuacin, en Opciones de Internet.

3. En la ficha Conexiones, haga clic en Configuracin de LAN.

4. En Servidor proxy, active la casilla de verificacin Utilizar un servidor proxy para su LAN.

5. En Direccin, escriba el nombre de equipo de ISA_1 y, en Puerto, escriba 8080. Si no hay ningn servidor DNS en la configuracinde laboratorio, utilice la direccin IP de ISA_1 en vez de su nombre.

6. Compruebe que no est activada la casilla Detectar la configuracin automticamente.

7. Cierre Internet Explorer. Despus vuelva a iniciarlo.

8. En Internet Explorer, en Direccin, escriba la direccin IP de ServidorWebExterno.Observe que si est disponible un servidor DNS para la resolucin de nombres en InternetSimul, puede escribir el nombre de dominiocompleto (FQDN) de ServidorWebExterno.

el explorador muestra la pgina Web publicada en ServidorWebExterno, ClienteInterno1 obtuvo acceso a ServidorWebExterno y haonfigurado correctamente este escenario.

Volver a Cont

4.3 Escenario 3: crear y configurar un conjunto de equipos restringido

n este escenario crear un conjunto de equipos en la red interna y le denegar el acceso a Internet. Se necesitan los siguientes equipos:

q ISA_1 con dos adaptadores de red como mnimo.

q ClienteInterno2 en RedCorp.

q ServidorWebExterno, en InternetSimul, para probar el escenario.

n las siguientes secciones se describe la configuracin de la solucin:

q 4.3.1 Configurar el conjunto de equipos restringido

q 4.3.2 Restringir el acceso a Internet


3.1 Configurar el conjunto de equipos restringido

n el siguiente ejemplo se utilizan las direcciones IP asociadas a la red interna de implementacin del laboratorio: de 10.0.0.0 a0.255.255.255. En el ejemplo, crear un conjunto de equipos que contienen las direcciones IP 10.54.0.010.55.255.255, lo que incluyeienteInterno2. Realice los pasos siguientes:

1. Abra Microsoft ISA Server Management, expanda ISA_1 y haga clic en Directiva de firewall.

2. En el panel de tareas, seleccione la ficha Herramientas, elija Objetos de red, haga clic en Nuevo y despus seleccione Conjunto dequipos.

3. En Nombre, escriba el nombre del nuevo conjunto de equipos, como Conjunto de equipos restringido.

4. Haga clic en Agregar y seleccione Intervalo de direcciones.

5. En el cuadro de dilogo Nuevo elemento de regla de intervalo de direcciones, proporcione un nombre para el intervalo dedirecciones, como Intervalo de conjunto de equipos restringido. Proporcione un intervalo de direcciones IP que incluya la direccide ClienteInterno2, como 10.54.0.010.55.255.255 y, a continuacin, haga clic en Aceptar.

6. Haga clic en Aceptar para cerrar el cuadro de dilogo Nuevo elemento de regla de conjunto de equipos.

7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.

8. Guarde la configuracin de la red en un archivo .xml, de forma que si efecta un cambio en la configuracin que cambie o destruyaeste objeto de red, pueda recuperar su configuracin. En el panel de tareas, en la ficha Herramientas, seleccione Objetos de red,expanda Conjuntos de equipos, haga clic con el botn secundario del mouse (ratn) en el conjunto de equipos que acaba de definir seleccione Exportar lo seleccionado. Elija una ubicacin en la que guardar el archivo que contiene la informacin de configuracin yun nombre que describa su contenido, como Archivo de exportacin de conjunto de equipos restringido. Haga clic en Exportarpara exportar la configuracin.


3.2 Restringir el acceso a Internet

a puede crear una regla de acceso que deniegue el acceso a Internet al conjunto de equipos. Observe que el orden de las reglas de accesofluir en la posibilidad de que el conjunto de equipos pueda tener acceso a Internet. El servidor ISA lee las reglas de acceso en orden y



16/24


ermitir el acceso si lee la regla de permitir de la red interna antes de leer la regla de denegacin de conjunto de equipos restringido.

ara crear una regla de acceso que deniegue el acceso desde el conjunto de equipos restringido a la red externa, realice los siguientes pasos

1. Haga clic en Directiva de firewall. En el panel de tareas, seleccione la ficha Tareas y haga clic en Crear nueva regla de accesopara iniciar el Asistente para nueva regla de acceso.

2. En la pgina Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Denegar el acceso HTTP y HTTPS a Internet alconjunto de equipos restringido. A continuacin, haga clic en Siguiente.

3. En la pgina Accin de la regla, seleccione Denegar y despus haga clic en Siguiente.

4. En la pgina Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuacin, haga clic enAgregar.

5. En el cuadro de dilogo Agregar protocolos, haga clic en Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, enAgregar y, finalmente, haga clic en Cerrar. A continuacin, haga clic en Siguiente.

6. En la pgina Orgenes de regla de acceso, haga clic en Agregar.

7. En el cuadro de dilogo Agregar entidades de red, haga clic en Conjunto de equipos y, a continuacin, seleccione Conjunto deequipos restringido Haga clic en Agregar y, a continuacin, en Cerrar. A continuacin, haga clic en Siguiente.

8. En la pgina Destinos de regla de acceso, haga clic en Agregar.

9. En el cuadro de dilogo Agregar entidades de red, haga clic en Redes y, a continuacin, seleccione Externa. Haga clic en Agregary, a continuacin, en Cerrar. A continuacin, haga clic en Siguiente.

10. En la pgina Conjuntos de usuarios, compruebe que est especificada la opcin Todos los usuarios. A continuacin, haga clic enSiguiente.



13. Guarde la regla en un archivo .xml por si efecta un cambio bsico, como ejecutar un Asistente para plantillas de red, para que puedaimportar la regla. En el panel de detalles, haga clic con el botn secundario del mouse (ratn) en la regla que acaba de definir yseleccione Exportar lo seleccionado. Elija una ubicacin en la que guardar el archivo que contiene la informacin de regla y unnombre que describa su contenido, como Regla denegar Internet a conjunto de equipos restringido.xml. Haga clic en Exportarpara exportar la regla.



ara comprobar que el escenario funciona, ClienteInterno2 en Conjunto restringido de equipos tratar de obtener acceso a ServidorWebExten la red externa, InternetSimul.

n ClienteInterno2, realice los siguientes pasos:

1. En ClienteInterno2, abra Internet Explorer 6.0.

2. En Internet Explorer, haga clic en el men Herramientas y, a continuacin, en Opciones de Internet.

3. En la ficha Conexiones, haga clic en Configuracin de LAN.

4. En Servidor proxy, active la casilla de verificacin Utilizar un servidor proxy para su LAN.

5. En Direccin, escriba el nombre del equipo (o la direccin IP, si no tiene ningn servidor DNS configurado) de ISA_1 y en Puerto,escriba 8080.

6. Compruebe que no est activada la casilla Detectar la configuracin automticamente.

7. Cierre Internet Explorer. Despus vuelva a iniciarlo.

8. En Internet Explorer, en Direccin, escriba la direccin IP de ServidorWebExterno.Nota Si dispone de un servidor DNS para la resolucin de nombres en InternetSimul, puede escribir el FQDN de ServidorWebExterno.

el explorador muestra una pgina de denegacin de acceso, ha configurado el conjunto de equipos y la regla de denegacin correctamenta regla de denegacin de acceso creada aparece primero en la lista de reglas de acceso en el panel de detalles Directiva de firewall. Si la coebajo de la regla Permitir a los clientes internos acceso HTTP y HTTPS a Internet (creada en el escenario anterior), el servidor ISAvaluar primero esta regla y los equipos de Conjunto de equipos restringido obtendrn acceso a Internet. Para cambiar el orden de la reglaenegacin, haga clic con el botn secundario del mouse (ratn) en la regla y seleccione Bajar. Despus de bajar esta regla de denegacinolocndola debajo de la regla de permitir y aplicar los cambios haciendo clic en el botn Aplicar en el panel de detalles, vuelva a probar elcceso a Internet. Ahora ClienteInterno2 debe tener acceso a Internet.

el explorador muestra la pgina Web publicada en ServidorWebExterno, ClienteInterno2 obtuvo acceso a ServidorWebExterno y haonfigurado correctamente este escenario.

Volver a Cont



17/24


4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red

n este escenario, utilizar el Asistente para plantillas de red con el fin de crear una red perimetral.

ara configurarlo, realizar los siguientes pasos:

q 4.4.1 Crear una red perimetral

q 4.4.2 Restaurar una regla de acceso de conjunto de equipos restringido

4.1 Crear una red perimetral

sar el Asistente para plantillas de red con el fin de crear una red perimetral y establecer un acceso a Internet desde la red interna a Intern

ara crear una red perimetral, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1, haga clic en Configuracin y, a continuacin, haga clic en Redes.

2. En el panel de tareas, en la ficha Plantillas, seleccione Permetro de 3 secciones. De esta forma se inicia el Asistente para plantillade red.

3. En la pgina Bienvenido, haga clic en Siguiente.

4. En la pgina Exportar la configuracin del servidor ISA, haga clic en Exportar si desea conservar la configuracin actual. Con estpaso, puede revertir a la configuracin actual importndola del archivo guardado. Si hace clic en Exportar, proporcione una ubicaciny un nombre de archivo descriptivo como Configuracin anterior al permetro de 3 secciones y haga clic en Exportar.

5. En la pgina Exportar la configuracin del servidor ISA, haga clic en Siguiente.

6. En la pgina Direcciones IP de red interna, utilice los botones Agregar y Quitar para asegurarse de que slo se muestran lasdirecciones IP de la red interna. Entre ellas se incluiran las direcciones IP de ClienteInterno1 y de la tarjeta adaptadora de red de

ISA_1 que conecta a la red interna. Haga clic en Siguiente.

7. En la pgina Direcciones IP de red perimetral, utilice los botones Agregar y Quitar para asegurarse de que slo se muestran lasdirecciones IP de la red perimetral. Entre ellas se incluiran las direcciones IP de Permetro_IIS y de la tarjeta adaptadora de red deISA_1 que conecta a la red perimetral. Haga clic en Siguiente.

8. En la pgina Seleccione una directiva de firewall, seleccione Permitir acceso a Web limitado para crear una regla de accesodesde la red interna a la externa (cuando haya finalizado el asistente) y, a continuacin, haga clic en Siguiente.

9. En la pgina de resumen, revise la configuracin de la red y despus haga clic en Finalizar.

10. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados mediante el asistente.

Nota: El Asistente para plantillas de red crea dos reglas de red: una que crea una relacin de enrutamiento entre las redesperimetral y externa (la regla Acceso a permetro) y otra que crea una relacin NAT entre las redes interna y perimetral (la reglaConfiguracin de permetro). Compruebe que se crearon las reglas seleccionando la ficha Reglas de red del panel de detallesRedes.

Las relaciones de enrutamiento son bidireccionales. Es decir, el enrutamiento va de origen a destino y viceversa. Las relacionesNAT son unidireccionales. Es decir, el enrutamiento va de origen a destino.

4.2 Restaurar una regla de acceso de conjunto de equipos restringido

uando ejecut el Asistente para plantillas de red y aplic los cambios, quit el conjunto de equipos restringido y la regla de acceso deenegacin de acceso al conjunto de equipos restringido a Internet. Podra volver a crearlos o importarlos desde los archivos .xml guardadorear el conjunto de equipos restringido y su regla de acceso.

ara importar la configuracin, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1, haga clic con el botn secundario del mouse (ratn) en Directiva de firewally seleccione Importar.

2. Proporcione la ubicacin y el nombre de archivo de la regla de acceso exportada, como Regla denegar Internet a conjunto deequipos restringido.xml creado en el escenario 3 y, a continuacin, haga clic en Importar. Cuando termine la importacin, haga cl

en Aceptar.


Nota Al importar una regla de acceso, tambin importa los elementos de regla a los que hace referencia, por lo que no haynecesidad de importar el conjunto de equipos por separado. Puede importar estos elementos por separado si hace clic con el botnsecundario del mouse (ratn) en el tipo de elemento de regla del panel de tareas, en la ficha Herramientas y seleccionaImportar todos .

Volver a Cont

4.5 Escenario 5: publicar un servidor Web en la red perimetra

n este escenario, se pondr a disposicin de los usuarios de Internet un servidor Web ubicado en la red perimetral.



18/24


tilice las reglas de publicacin de Web para publicar servidores Web. Estas reglas requieren escuchas de web, que atienden las peticiones dWeb.

e necesitan los siguientes equipos:

q ISA_1, con tres adaptadores de red como mnimo.

q Permetro_IIS, en RedPerimetral, para probar el escenario.

q Externo1, en InternetSimul, para probar el escenario.


q 4.5.1 Crear una regla de publicacin de Web


5.1 Crear una regla de publicacin de Web

ara crear una regla de publicacin de Web que permita al equipo cliente de Internet (Externo1) tener acceso a un servidor Web de la rederimetral (Permetro_IIS), realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Directiva de firewall.

2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla depublicacin de web.

3. En la pgina Bienvenido, en Nombre de la regla de publicacin de Web, escriba el nombre de la regla: Allow External toPerimeter_IIS. Haga clic en Siguiente.

4. En la pgina Seleccionar accin de regla, seleccione Permitir y despus haga clic en Siguiente.

5. En la pgina Definir sitio Web para publicar, en Direccin IP o nombre del equipo, escriba la direccin IP o el nombre del equipdel servidor Web que se va a publicar y, a continuacin, haga clic en Siguiente.

Nota: en la pgina Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta especfica para publicar.

6. En la pgina Detalles de nombre pblico, compruebe que est seleccionada la opcin Este nombre de dominio. En el cuadro detexto situado debajo de Este nombre de dominio, escriba el nombre de dominio pblico o la direccin IP del sitio Web publicado. Eslo que escribir el usuario en el campo de direccin del explorador para tener acceso al sitio Web. En una configuracin de laboratoriodonde no hay ningn nombre que se resuelva, utilice la direccin IP del adaptador de red externo del equipo servidor ISA. Puedeespecificar una carpeta, que se anexar al nombre y que se muestra en Sitio. Haga clic en Siguiente.

7. En la pgina Seleccionar escucha de Web, haga clic en Nueva para iniciar el Asistente para nueva escucha de web.

8. En la pgina Bienvenido de este asistente, en Nombre de la escucha web, escriba el nombre de la escucha de web: Listen onPort 80 of External Network. A continuacin, haga clic en Siguiente.

9. En la pgina Direcciones IP, seleccione Externa y despus haga clic en Siguiente. Esta escucha atender las peticiones de la redexterna.

10. En la pgina Especificacin de puerto, en Puerto HTTP, escriba 80. Tambin puede seleccionar Habilitar SSL y un puerto SSL sidesea publicar en HTTPS. En este caso, deber seleccionar un certificado en esta pgina mediante el botn Seleccionar. Haga clic enSiguiente.

11. Revise la pgina de resumen y, a continuacin, haga clic en Finalizar para cerrar el asistente.

12. En la pgina Seleccionar escucha de web, haga clic en Siguiente.

13. En la pgina Conjuntos de usuarios, compruebe que aparece Todos los usuarios en Esta regla se aplica a las solicitudes de losiguientes conjuntos de usuarios. Haga clic en Siguiente.



Nota: Puede crear y modificar las escuchas de web independientemente de las reglas de publicacin de Web. El acceso a lasescuchas de web existentes se realiza mediante la carpeta Escuchas de Web de la ficha Herramientas del panel de tareasDirectiva de firewall. Para crear una nueva escucha de web, en el panel de tareas Directiva de firewall, en la ficha Herramientas,haga clic en Nueva y, a continuacin, seleccione Escucha de web.


ara comprobar que el escenario funciona, el cliente externo, Externo1, obtendr acceso a Permetro_IIS, el servidor HTTP ubicado en la rederimetral, RedPerimetral. En Externo1, realice los siguientes pasos:

1. Abra Internet Explorer.

2. Compruebe que no est configurado ningn cliente proxy. Para ello, en el men Herramientas, seleccione Opciones de Internet. Ela ficha Conexiones, haga clic en Configuracin de LAN. Compruebe que no est activada ninguna de las siguientes casillas deverificacin: Detectar la configuracin automticamente, Usar secuencia de comandos de configuracin automtica ni Usaun servidor proxy para su LAN. Haga clic en Aceptar para cerrar Opciones de Internet.



19/24


3. En Direccin, escriba la direccin IP del adaptador de red externo del equipo servidor ISA.

el cliente obtuvo acceso al sitio Web predeterminado en Permetro_IIS, ha configurado correctamente este escenario.

Volver a Cont

4.6 Escenario 6: publicar un servidor Web en la red interna

n este escenario, se pondr a disposicin de los usuarios de Internet un servidor Web ubicado en la red interna. Se necesitan los siguientesquipos:

q ISA_1, con dos adaptadores de red disponibles como mnimo.q ServidorWebInterno como el servidor Web, para probar el escenario.

q Externo1 en InternetSimul como el cliente externo, para probar el escenario.


q 4.6.1 Crear reglas de red

q 4.6.2 Publicar el servidor Web


6.1 Crear reglas de red

ntes de comprobar la regla de red que define la relacin de red entre las redes interna y externa, consulte la seccin 4.2.1 para obtener

strucciones sobre validacin de la configuracin de la red interna.

instalar, se cre una regla de red predeterminada, que define la relacin NAT de la red interna a la externa. En ISA_1, para comprobar quegla de red est configurada correctamente, realice estos pasos:

1. En Microsoft ISA Server Management, expanda ISA_1, expanda el nodo Configuracin y, a continuacin, haga clic en Redespara ver el panel de detalles Redes.

2. En el panel de detalles, haga clic en la ficha Reglas de red. Puede comprobar la regla en el panel de detalles o abrir las propiedadesde la regla de la forma descrita en los siguientes pasos.

3. Haga doble clic en la regla Acceso a Internet para abrir Propiedades de acceso a Internet.

4. En la ficha General, compruebe que est habilitada la regla.

5. En la ficha Redes de origen, asegrese de que aparece la red interna.

6. En la ficha Redes de destino, asegrese de que aparece la red externa.

7. En la ficha Relacin de redes, asegrese de que est seleccionada la opcin Traduccin de direcciones de red.

6.2 Publicar el servidor Web

tilice las reglas de publicacin de Web para que los clientes externos puedan tener acceso al servidor Web ubicado en la red interna.

a publicacin del servidor Web requiere que cree una regla de publicacin de Web. Durante el proceso de creacin de esta regla, tambinrear una escucha de web que especifique las direcciones IP en las que el servidor ISA atender las peticiones del sitio Web interno. Si anene la escucha creada para el escenario de publicacin de Web, debe utilizarlo en este escenario, en vez de crear uno nuevo.

ota: Puede crear y modificar las escuchas de web independientemente de las reglas de publicacin de Web. El acceso a las escuchas de wxistentes se realiza mediante la carpeta Escuchas de Web de la ficha Herramientas del panel de tareas Directiva de firewall. Para crear uueva escucha de web, en el panel de tareas Directiva de firewall, en la ficha Herramientas, haga clic en Nueva y, a continuacin, seleccioscucha de web.

ara crear una regla de publicacin de Web que permita al equipo cliente de Internet (Externo1) tener acceso a un servidor Web de la red

terna (ServidorWebExterno), realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Directiva de firewall.

2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla depublicacin de Web.

3. En la pgina Bienvenido, en Nombre de la regla de publicacin de Web, escriba el nombre de la regla: Allow External toInternalWebServer. Haga clic en Siguiente.

4. En la pgina Seleccionar accin de regla, seleccione Permitir y despus haga clic en Siguiente.

5. En la pgina Define sitio Web para publicar, en Direccin IP o nombre del equipo, escriba la direccin IP o el nombre del equipodel servidor Web que se va a publicar. En una configuracin de laboratorio donde no hay ningn nombre que se resuelva, utilice ladireccin IP del adaptador de red externo del equipo servidor ISA. Haga clic en Siguiente.

Nota: en la pgina Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta especfica para publicar. En unaconfiguracin de laboratorio en la que no hay ningn servidor DNS, utilizara las mismas direcciones IP para identificar los



20/24


servidores Web tanto perimetra

51898373 Manual de Introduccion de Microsoft ISA Server 2004

Documents

Transcript of 51898373 Manual de Introduccion de Microsoft ISA Server 2004