Manual de introducción de Microsoft ISA Server 2004

Manual de introducción de Microsoft ISA Server 2004

Contenido

1.0 Introducción

1.1 A quién va dirigido este documento

1.2 Contenido de este documento

2.0 Información general acerca de las características

2.1 Redes múltiples y directiva de servidor de seguridad

2.2 Directiva del sistema

2.3 Integración de VPN

2.4 Usuarios y autenticación

2.5 Caché

2.6 Exportación e importación de configuración

3.0 Procedimiento de instalación

3.1 Requisitos de instalación

3.2 Requisitos de red


3.4 Configuración predeterminada

3.5 Formas nuevas de realizar tareas habituales

3.6 Equipos servidor ISA con un único adaptador de red

4.0 Tutorial acerca de las características

4.1 Escenario 1: exportar una configuración

4.2 Escenario 2: obtener acceso a Internet desde la red interna

4.3 Escenario 3: crear y configurar un conjunto de equipos restringido

4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red

4.5 Escenario 5: publicar un servidor Web en la red perimetra

4.6 Escenario 6: publicar un servidor Web en la red interna

4.7 Escenario 7: configurar redes privadas virtuales

4.8 Escenario 8: modificar la directiva del sistema

4.9 Escenario 9: importar una configuración

1.0 Introducción

Microsoft® Internet Security and Acceleration (ISA) Server 2004 presenta la compatibilidad con varias redes, una configuración sencilla y muy integrada de las redes privadas virtuales, modelos de usuario y de autenticación ampliados y ampliables, y mejoras en las características de administración, incluidas la exportación e importación de configuraciones.

1.1 A quién va dirigido este documento

Lea este documento si:

● Utiliza ISA Server 2000 y desea obtener información sobre lo nuevo de ISA Server 2004.

file:///E|/isastart.htm (1 of 24)12/08/2005 08:43:46 a.m.


● Utiliza otro servidor de seguridad y es la primera vez que usa el servidor ISA.

● Necesita una introducción a las características de ISA Server 2004.

● Desea configurar el servidor ISA en un laboratorio y utiliza un tutorial guiado para aprender a implementar el servidor ISA en su compañía. Para obtener detalles, vea el tutorial acerca de las características.

Después de leer este manual, y para obtener más información acerca de las características y la funcionalidad del servidor ISA, consulte la Ayuda del servidor ISA.

1.2 Contenido de este documento

Este documento incluye información general acerca de las nuevas características del producto de esta versión de ISA Server 2004. Asimismo, proporciona instrucciones de instalación. Y lo que es más importante, incluye tutoriales cuyos ejemplos puede probar en un entorno de laboratorio para familiarizarse con las características del producto. La mejor forma de comprender estas características es usarlas; por lo tanto, le aconsejamos que configure un laboratorio y ponga en práctica el contenido de los tutoriales incluidos. Para obtener detalles, vea el tutorial acerca de las características.

La mayor parte de la información contenida en este documento también está disponible en formato electrónico, integrado en la Ayuda en pantalla del servidor ISA.

Volver a Contenido

2.0 Información general acerca de las características

La siguiente tabla muestra las características nuevas y mejoradas de ISA Server 2004. Se proporcionan más detalles en las siguientes secciones.

Redes múltiples

Nueva o mejorada Característica Descripción

Nuevo Configuración de redes múltiples Puede configurar una o varias redes relacionadas entre sí mediante relaciones distintas. Las directivas de acceso se definen en relación con las redes y no necesariamente en relación con una red interna dada. Mientras que en ISA Server 2000 se inspeccionaba todo el tráfico relativo a la tabla de direcciones locales (LAT, Local Address Table), que sólo incluía intervalos de direcciones de la red interna, ISA Server 2004 amplía las características del servidor de seguridad y de la seguridad, y ahora se aplican también al tráfico entre cualquier red.

Nuevo Directivas únicas por red Las nuevas características de múltiples redes del servidor ISA permiten proteger la red contra amenazas internas y externas a la seguridad, ya que limitan la comunicación entre clientes, incluso dentro de la propia organización. Las funciones de redes múltiples admiten entornos complejos de red perimetral (conocida también como DMZ, zona desmilitarizada o subred protegida), lo que permite configurar la forma en que los clientes de redes diferentes tienen acceso a la red perimetral.

Nuevo Inspección completa de todo el tráfico Puede examinar los datos que pasan por el servidor de seguridad respecto a su protocolo y al estado de la conexión, independientemente del origen o destino.

Nuevo NAT y relaciones de redes enrutadas El servidor ISA se puede utilizar para definir las relaciones entre redes, en función del tipo de acceso y de comunicación permitido entre las redes. En algunos casos, tal vez desee una comunicación más segura y menos transparente entre las redes. Para estos entornos puede definir una relación NAT (traducción de direcciones de red). En otros, quizá desee enrutar el tráfico a través del servidor ISA. En estos casos, puede definir una relación de enrutamiento.

Nuevo Plantillas de red El servidor ISA incluye plantillas de red, que se corresponden con topologías de red comunes. Puede utilizarlas para configurar la directiva de servidor de seguridad del tráfico entre redes. Al aplicar una plantilla de red, el servidor ISA crea el conjunto necesario de reglas para permitir el tráfico, según la directiva especificada.

Redes privadas virtuales


Mejorada Administración de VPN El servidor ISA incluye un mecanismo altamente integrado de red privada virtual (VPN, Virtual Private Network). Puede administrar las conexiones VPN mediante la administración del servidor ISA como lo haría con redes y clientes conectados físicamente. Cuenta con la funcionalidad completa del servidor ISA disponible para conexiones VPN, incluidas la supervisión, el registro y la administración de sesiones.

Nuevo Inspección completa de VPN Los clientes de VPN se configuran como una red independiente. Por consiguiente, puede crear directivas diferentes para los clientes de VPN. El motor de reglas comprueba de forma discriminatoria las peticiones de los clientes de VPN. Para ello, realiza una inspección del estado de dichas peticiones y abre dinámicamente las conexiones según la directiva de acceso.



Nuevo Interoperabilidad con soluciones VPN de terceros Gracias a la compatibilidad con el sistema de seguridad de Protocolo Internet (IPSec, Internet Protocol Security) estándar de la industria, ISA Server 2004 se puede conectar a entornos con infraestructuras VPN existentes de otros proveedores, incluidos los que emplean las configuraciones del modo de túnel IPSec para conexiones de sitio a sitio.

Nuevo Control de cuarentena El servidor ISA puede poner en cuarentena a determinados clientes VPN, pasándolos a la red de clientes VPN en cuarentena, hasta que se compruebe que cumplen con los requisitos de seguridad corporativos.

Seguridad y servidor de seguridad


Nuevo Amplia compatibilidad con protocolos ISA Server 2004 amplía la funcionalidad de ISA Server 2000, al permitir controlar el acceso y el uso de cualquier protocolo, incluidos los protocolos de nivel de IP. Puede utilizar aplicaciones como ping y tracert, y crear conexiones VPN mediante el Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol). Además, el tráfico de IPSec (seguridad del protocolo Internet) se puede habilitar a través del servidor ISA.

Mejorada Autenticación Los usuarios se pueden autenticar con los tipos de autenticación integrados de Microsoft Windows® o del Servicio de usuario de marcado con autenticación remota (RADIUS), o con otros espacios de nombres. Las reglas se pueden aplicar a los usuarios o grupos de usuarios de cualquier espacio de nombres. Los otros fabricantes pueden utilizar el kit de desarrollo de software para ampliar estos tipos de autenticación integrados y ofrecer mecanismos adicionales de autenticación.

Mejorada Publicación Con el servidor ISA, puede colocar servidores detrás del servidor de seguridad, tanto en la red corporativa como en las redes perimetrales, y publicar sus servicios de forma segura.

Caché


Mejorada Reglas de caché Con el mecanismo centralizado de reglas de caché del servidor ISA, puede configurar la forma en que los objetos almacenados en la caché se recuperan y se sirven desde ésta.

Administración


Mejorada Administración El servidor ISA incluye características de administración nuevas que facilitan la protección de las redes. Las características nuevas de la interfaz de usuario incluyen: un panel de tareas, una ficha Ayuda, un asistente de introducción mejorado y una nueva apariencia para el editor de directivas del servidor de seguridad.

Nuevo Exportar e importar ISA Server introduce la capacidad de exportar e importar información de la configuración. Esta característica se puede utilizar para guardar los parámetros de configuración en un archivo .xml y, seguidamente, exportar la información de configuración del archivo a otro servidor; de esta forma, se permite la replicación sencilla de las configuraciones del servidor de seguridad para implementaciones multisitio.

Nuevo Escritorio digital En una sola vista se muestra una versión resumida de la información clave de supervisión. Si detecta un problema, puede abrir vistas de supervisión detallada para obtener más información.

Nuevo Visor de registro El visor de registro del servidor ISA muestra los registros del servidor de seguridad en tiempo real. Puede mostrar registros en los modos de tiempo real en línea o de revisión del histórico. Puede aplicar filtros a los campos del registro con el fin de identificar entradas específicas.

Mejorada Generación de informes Puede generar informes repetitivos o únicos sobre el uso de Web, de aplicaciones, patrones de tráfico de red y seguridad.

Volver a Contenido

2.1 Redes múltiples y directiva de servidor de seguridad

Anteriormente, el concepto de una red interna significaba que todos los equipos estaban ubicados en su organización. La red externa estaba formada por todos los equipos situados fuera de la organización, a los que generalmente se tenía acceso a través de Internet. El punto de vista actual de red incluye a los usuarios que tienen acceso a sus redes corporativas mediante equipos portátiles, que se convierten así en parte virtual de las distintas redes. Las sucursales se conectan a las sedes centrales y prefieren utilizar los recursos de éstas como si formaran parte de la red. Muchas organizaciones ponen a disposición pública los servidores de la red corporativa, sobre todo los servidores web, pero desean hacerlo separando esos servidores en una red distinta. La funcionalidad de redes múltiples del servidor ISA permite proteger estos entornos de redes más complejos. La compatibilidad con redes múltiples afecta a la mayoría de las características de servidor de seguridad del servidor ISA.

Puede utilizar las nuevas características de redes múltiples del servidor ISA para proteger la red contra amenazas internas y externas a la seguridad, ya que limitan la comunicación entre clientes, incluso dentro de la propia organización. Puede especificar relaciones entre las diversas redes definidas en el servidor ISA y determinar, de este modo, la forma en que se comunican los equipos de cada red entre sí mediante el servidor ISA. Asimismo puede agrupar equipos en objetos de red del servidor ISA como conjuntos de equipos e intervalos de direcciones, y configurar una directiva de acceso específica para cada objeto de red.



En un entorno de publicación normal, quizá prefiera aislar los servidores publicados en su propia red, como una red perimetral. La funcionalidad de redes múltiples del servidor ISA es compatible con tal entorno, para que pueda configurar la forma en que tienen acceso los clientes de la red corporativa y de Internet a la red perimetral. Puede configurar las relaciones entre las diversas redes y definir directivas de acceso diferentes entre cada red. La configuración de la topología de una red perimetral se facilita mediante las plantillas de red y los asistentes para plantillas de red del servidor ISA.

En la siguiente ilustración se muestra un entorno de redes múltiples.

En la figura, el equipo servidor ISA se conecta entre Internet (red externa), la red corporativa (red interna) y la red perimetral. Los tres adaptadores de red se encuentran en el equipo servidor ISA y cada uno de ellos está conectado a una de las redes. Mediante el servidor ISA, puede configurar las distintas directivas de acceso entre cualquier par de redes. Puede determinar si se comunican los equipos de cada una de las redes entre sí y cómo lo hacen. Cada red está aislada de la otra y sólo se puede tener acceso a ella cuando se configuren las reglas que permitan la comunicación.

Para implementar los entornos de redes múltiples, el servidor ISA presenta los siguientes conceptos:

● Redes. Desde la perspectiva del servidor ISA, una red es un elemento de regla que puede contener uno o varios intervalos de direcciones IP y de dominios. Las redes incluyen uno o varios equipos, que siempre se corresponden con un adaptador de red específico en el equipo servidor ISA. Puede aplicar reglas a una o varias redes.

● Objetos de red. Después de crear las redes, puede agruparlas en conjuntos de objetos de red: subredes, intervalos de direcciones, conjuntos de equipos, conjuntos de direcciones URL o conjuntos de nombres de dominio. Las reglas se pueden aplicar a redes o a objetos de red.

● Reglas de red. Puede configurar reglas de red para definir y describir una topología de red. Las reglas de red determinan si existe conectividad entre dos redes, así como el tipo de conectividad que se permitirá. Las redes se pueden conectar de una de estas formas: traducción de direcciones de red (NAT) o enrutamiento.

2.1.1 Redes y objetos de red

Las redes incluyen uno o varios equipos, que normalmente se corresponden con una red física, definida por los intervalos de las direcciones IP. Los objetos de red son cualquier grupo de equipos definidos, por ejemplo, redes sencillas, conjuntos de redes de dos o más redes, o conjuntos de equipos para los que desea crear reglas de acceso distintas. Puede aplicar reglas a una o varias redes u objetos de red, o a todas las direcciones excepto las de la red u objeto de red especificados. Cada adaptador de red del equipo se puede asignar a una sola red. Puede establecer los tipos de clientes de servidor ISA admitidos en un red en concreto: servidor de seguridad, proxy Web o ambos.

El servidor ISA se suministra con una configuración previa que incluye las siguientes redes:

● Externa. Esta red incluye todos los equipos (direcciones IP) que no están asociados con ninguna otra red interna. La red externa predeterminada no se puede eliminar.

● Interna. Después de la instalación, esta red incluye todos los equipos (direcciones IP) asociados con la tarjeta de direcciones de red interna del equipo servidor ISA.

● Host local. Esta red representa el equipo servidor ISA. La red del host local no se puede modificar ni eliminar.

● Clientes de VPN en cuarentena. Esta red incluye las direcciones de los clientes de VPN que aún no han sido aprobados para tener acceso a la red corporativa. Normalmente, los equipos de esta red tienen acceso limitado a la red corporativa.

● Clientes de VPN. Esta red contiene las direcciones de los clientes de VPN actualmente conectados. Se actualiza dinámicamente a medida que los clientes de VPN se conectan o desconectan del equipo servidor ISA. La red de clientes de VPN no se puede eliminar.

Las redes del host local, de clientes de VPN y externas son redes integradas, que el usuario no puede eliminar ni crear. La red interna es una red predefinida, que se crea durante el proceso de instalación y se puede modificar o eliminar.

Los conjuntos de redes se pueden configurar para incluir redes específicas. Como alternativa, estos conjuntos se pueden definir para que no incluyan (es decir, excluyan) redes específicas.

Estas reglas se pueden aplicar a redes, a conjuntos de redes o a objetos de red:

● Reglas de red



● Reglas de acceso

● Reglas de publicación

En lo que respecta a las reglas de acceso, especifique una red de destino y una de origen a las que se va a aplicar la regla. La red de origen indica las redes que tienen acceso o no a las redes de destino especificadas. Por lo que respecta a las reglas de publicación, especifique una red de origen con acceso a un equipo específico.

2.1.2 Reglas de red

Las reglas de red definen y describen una topología de red. Estas reglas determinan si existe conectividad entre dos redes, así como el tipo de conectividad definido. Las redes se pueden conectar de una de estas formas:

● Traducción de direcciones de red (NAT). Al especificar este tipo de conexión, el servidor ISA reemplaza la dirección IP del cliente en la red de origen por su propia dirección IP. Las reglas de red NAT se pueden utilizar al definir una relación entre las redes interna y externa.

● Ruta. Al especificar este tipo de conexión, las peticiones de clientes de la red de origen se retransmiten directamente a la red de destino. La dirección de cliente de origen se incluye en la petición. Una regla de red de enrutamiento se puede utilizar al publicar un servidor ubicado en la red perimetral.

Las relaciones de redes de enrutamiento son bidireccionales. Si una relación de enrutamiento se define desde la red A a la B, también existe una relación de enrutamiento desde la red B a la A. A la inversa, las relaciones NAT son únicas y unidireccionales. Si se define una relación NAT desde la red A a la B, no se puede definir ninguna relación de red desde B a A. Puede crear una regla de red que defina ambas relaciones, pero el servidor ISA omitirá la segunda regla de red en la lista de reglas ordenadas.

Durante el proceso de instalación, se crean las siguientes reglas predeterminadas:

● Acceso a host local. Esta regla define una relación de enrutamiento entre la red del host local y el resto de las redes.

● De clientes de VPN hacia la red interna. Esta regla define una relación de enrutamiento entre las dos redes de clientes de VPN (clientes de VPN y clientes de VPN en cuarentena) y la red interna.

● Acceso a Internet. Esta regla define una relación NAT entre la red interna y la externa.

Las reglas de red se procesan en orden y para cada red.

Volver a Contenido

2.2 Directiva del sistema

Al instalar el servidor ISA se crea una directiva del sistema predeterminada. La directiva del sistema define las reglas de acceso entre el equipo servidor ISA y las redes conectadas a él para el acceso de recursos específicos.

Nota: Todas las categorías de la directiva del sistema están habilitadas de forma predeterminada al instalar el servidor ISA y la directiva se aplica específicamente a la red interna. Puede modificar la configuración de la directiva del sistema. Se recomienda deshabilitar las categorías de esta directiva que no sean necesarias en la configuración del servidor ISA.

La directiva del sistema contiene las siguientes categorías:

● Servicios de red

● Servicios de autenticación

● Administración remota

● Cliente del servidor de seguridad

● Servicios de diagnóstico

● Registro

● Supervisión remota

● Varios

Al habilitar o deshabilitar un grupo de configuración de la directiva del sistema o un elemento de un grupo de configuración, el servidor ISA habilita o deshabilita las reglas de acceso de la directiva del sistema.

Volver a Contenido

2.3 Integración de VPN

El servidor ISA le ayuda a configurar y proteger una red privada virtual (VPN). Una red VPN es un conjunto de equipos conectados a la red corporativa de forma segura desde ubicaciones remotas de Internet. Con una red privada virtual, puede enviar datos entre dos equipos a través de una red compartida o pública de forma que emula un vínculo privado punto a punto.

Las conexiones VPN permiten que los usuarios que trabajan en casa o que están en otros sitios remotos puedan obtener conexión de acceso remoto al servidor de una organización mediante la infraestructura que proporciona una red pública como Internet. Desde la perspectiva del usuario, la red privada virtual es una conexión punto a punto entre el equipo (el cliente de VPN) y el servidor de la organización (el equipo



servidor ISA). La infraestructura exacta de la red compartida o pública es irrelevante, ya que parece como si los datos se enviaran a través de un vínculo privado dedicado.

Las conexiones VPN también permiten que las organizaciones dispongan de conexiones enrutadas con otras organizaciones a través de una red pública como Internet, a la vez que mantienen una comunicación segura; por ejemplo, entre las oficinas que están separadas geográficamente. Una conexión VPN enrutada a través de Internet funciona lógicamente como vínculo de red de área extensa (WAN, Wide Area Network) dedicada.

Hay dos tipos de conexiones VPN:

● Conexión VPN de acceso remoto. Un cliente realiza una conexión VPN de acceso remoto que se conecta a una red privada. El servidor ISA proporciona acceso a toda la red a la que está conectado el servidor VPN.

● Conexiones VPN de sitio a sitio. Un servidor VPN realiza una conexión VPN de sitio a sitio que conecta dos partes de una red privada de forma segura. El servidor ISA proporciona una conexión a la red a la que está conectado el equipo servidor ISA.

Mediante el uso del equipo servidor ISA como servidor VPN, se beneficia de la protección de la red corporativa contra conexiones VPN malintencionadas. Puesto que el servidor VPN está integrado en la funcionalidad del servidor de seguridad, los usuarios de VPN están sujetos a la directiva de acceso del servidor ISA definida para la red de clientes de VPN preconfigurada. Todos los clientes de VPN pertenecen a la red de clientes de VPN y tienen acceso a los recursos de la red interna de acuerdo con una directiva predefinida.

Aunque los usuarios de VPN forman parte virtualmente del intervalo de direcciones de la red interna, no están sujetos necesariamente a la directiva de acceso de esta red, y se puede configurar específicamente en el servidor ISA. Se pueden configurar reglas especiales para permitir el acceso a los usuarios a los recursos de la red.

Puesto que se puede configurar una directiva de acceso para la red de clientes de VPN, estos clientes están sujetos a los mismos mecanismos de inspección completa que cualquier cliente que se comunica entre redes mediante el servidor ISA.

Todas las conexiones VPN al equipo servidor ISA están conectadas al registro del servidor de seguridad. De esta forma puede auditar las conexiones VPN.

Al configurar la red VPN, puede reservar un grupo de direcciones IP estáticas para los equipos de los usuarios de VPN. Cuando un cliente de VPN se conecta a la red local, se le asigna una dirección IP de este grupo de direcciones. Como alternativa, quizá prefiera tener direcciones IP asignadas dinámicamente a los clientes de VPN, mediante un servidor de protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol). La dirección IP se agrega a la red de clientes de VPN.

Además, puede habilitar el modo de cuarentena para la red VPN. De esta forma, se asegura que se comprueba el cumplimiento de la directiva de software corporativa por parte de un cliente antes de que se pueda unir a la red de clientes de VPN, normalmente con acceso ilimitado a la red interna. El control de cuarentena proporciona acceso posible a la red a los clientes de (VPN) remotos y restringe su acceso a un modo de cuarentena antes de permitirles tener acceso a la red realmente. Una vez que la configuración del equipo cliente cumple o se tiene intención de que cumpla las restricciones de cuarentena específicas de la organización, se aplica la directiva estándar de VPN a la conexión en función del tipo de cuarentena especificado. Por ejemplo, las restricciones de la cuarentena pueden especificar que determinado software antivirus se instale y se habilite mientras está conectado a la red. Aunque el control de cuarentena no ofrece protección contra los intrusos, sí puede comprobar las configuraciones de los equipos de usuarios autorizados y, en caso necesario, corregirlas antes de que puedan tener acceso a la red. También está disponible una opción de temporizador, que se puede usar para especificar un intervalo con el fin de finalizar la conexión en caso de que el cliente no cumpla los requisitos de configuración. Para obtener más información, vea el documento Clientes de VPN móviles en ISA Server 2004.

Puede crear dos directivas distintas para cada una de las redes de clientes de VPN:

● Red de clientes de VPN en cuarentena. Restrinja el acceso a los servidores desde los que el cliente puede descargar las actualizaciones necesarias para cumplir con la directiva de software.

● Red de clientes de VPN. Puede permitir el acceso a todos los recursos corporativos (red interna) o restringirlo cuando lo considere oportuno. La red de clientes de VPN tendrá una relación NAT con la red externa. Se configurará una regla de red que defina la relación NAT entre las redes VPN y externa.

Volver a Contenido

2.4 Usuarios y autenticación

Con la nueva funcionalidad del servidor ISA, puede aplicar la directiva de acceso a los usuarios de Windows o a usuarios autenticados mediante los distintos mecanismos de autenticación (espacios de nombres), como el servicio de usuario de marcado con autenticación remota (RADIUS, Remote Authentication Dial-In User Service). El servidor ISA admite los mecanismos de autenticación siguientes:

● Clientes proxy Web. Autenticación básica, mediante los servicios de directorio de Active Directory® o RADIUS, autenticación implícita, autenticación Windows integrada o certificados.

● Clientes de VPN. Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol), Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol), MS-CHAP versión 2, Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) y RADIUS.

● Clientes del servidor de seguridad. Kerberos o NTLM.

El servidor ISA presenta un mecanismo de extensibilidad de autenticación que permite que los proveedores de terceros implementen esquemas de autenticación adicionales.

Puede utilizar el servidor ISA para aplicar las directivas de acceso o de publicación a usuarios o direcciones IP específicos. Los usuarios se pueden agrupar en conjuntos de usuarios y se pueden aplicar las reglas a los conjuntos de usuarios. Al crear un conjunto de usuarios, puede agregar los usuarios de Windows, RADIUS y SecurID al conjunto. Después puede aplicar las reglas de acceso a este conjunto.

Volver a Contenido


http://go.microsoft.com/fwlink/?LinkId=20612


2.5 Caché

Mediante las reglas de caché, puede especificar los tipos de contenido almacenados en caché, así como la forma en que se atienden los objetos desde ella. En función de las necesidades de la organización, las reglas de caché se pueden aplicar al contenido de todos los sitios o al que procede de sitios específicos, así como a todos los tipos de contenidos o a tipos específicos. Además, se puede limitar la cantidad de tiempo que los objetos se consideran válidos y la forma en que las reglas de caché controlan los objetos caducados.

De forma predeterminada, un objeto se almacena en la caché sólo si sus encabezados del origen y de la petición así lo indican. Sin embargo, puede especificar los objetos que se almacenan en función de las siguientes opciones:

● Nunca, ningún contenido se almacenará en caché. Esta opción deshabilita el almacenamiento en caché para esta regla.

● Si los encabezados del origen y la petición indican que debe almacenarse. Un objeto se almacena en caché si así lo indican los encabezados.

Si selecciona la segunda opción, también puede elegir almacenar en caché lo siguiente:

● Contenido dinámico. Si el contenido es dinámico, los objetos se almacenarán en caché, independientemente de los encabezados de respuesta.

● Contenido para exploración sin conexión. Incluye las respuestas 302 y 307.

● Contenido que requiere autenticación de usuario para recuperarse. Se requiere la autenticación del usuario.

Mediante la configuración de las reglas de caché, puede definir si se habilitará el almacenamiento en caché para las respuestas del protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol), del protocolo de transferencia de archivos (FTP, File Transfer Protocol) y de la capa de sockets seguros (SSL, Secure Sockets Layer). Además, puede configurar la regla de caché para limitar el contenido almacenado en caché en función del tamaño del archivo.

Los objetos HTTP y FTP almacenados en caché caducan en función de la configuración del periodo de vida (TTL, Time to Live). Por lo que respecta a los objetos HTTP, la caducidad se configura en función del TTL, definido en el encabezado de respuesta, y de los límites de TTL definidos en la regla de caché. Los límites de TTL se calculan como porcentaje de edad de contenido, que es la cantidad de tiempo transcurrido desde la creación o modificación de un objeto. Los objetos FTP caducan según el TTL definido para los objetos FTP en la regla de caché.

Como parte de la configuración de las reglas de caché, puede definir la forma en que los objetos almacenados en caché se recuperan y se atienden desde ésta. Antes de que el servidor ISA determine cómo se enrutará la petición, como se define en las reglas de enrutamiento de red, el servidor ISA comprueba si existe una copia válida del objeto en la caché. Un objeto se considera válido si su periodo TTL no ha caducado, como se especifica en las propiedades de almacenamiento en caché de HTTP o en el propio objeto. En función de la configuración de las propiedades de caché de la regla de enrutamiento, el servidor ISA recuperará el objeto de la caché. Puede configurar el servidor ISA para que realice una de las acciones siguientes:

● Recuperar un objeto de la caché, sólo si el objeto sigue allí. Si un objeto no es válido, la petición se enruta al servidor y se recupera.

● Recuperar un objeto de la caché, independientemente de que siga siendo válido o no. Si no hay ninguna versión del objeto en la caché, la petición se enruta al servidor.

● No enrutar nunca la petición. Si no se encuentra ninguna versión del objeto en la caché, se devuelve una página de error.

Las reglas de caché tienen un orden, y la regla de caché predeterminada es la última que se procesa. Para cada nueva conexión, el equipo servidor ISA procesa las reglas de caché por orden (es decir, la primera regla es la que se procesa primero). Si la petición cumple las condiciones especificadas por la regla, la petición se enruta, redirige y almacena en la caché según sea necesario. De lo contrario, se procesa la regla siguiente. Este proceso continúa hasta que se procesa y aplica a la petición la última regla predeterminada.

Al instalar el servidor ISA, éste configura una regla de caché predeterminada. La regla predeterminada se configura inicialmente de forma que sólo se pueden recuperar de la caché del servidor ISA los objetos que sean válidos. Si el objeto de la caché no es válido, se recuperará directamente de Internet. No es posible modificar la forma en que la regla de caché predeterminada recupera los objetos.

Volver a Contenido

2.6 Exportación e importación de configuración

El servidor ISA incluye una característica de exportación e importación que puede utilizar para guardar los parámetros de configuración del servidor en un archivo .xml y, a continuación, importar la información desde el archivo a otro servidor. Puede guardar la configuración en cualquier directorio y con cualquier nombre de archivo para el que tenga permisos de escritura.

Al exportar una configuración, se exporta toda la información de configuración general de forma predeterminada. Se incluyen las reglas de directivas de acceso y de publicación, los elementos de regla, la configuración de alertas, la configuración de la caché y las propiedades del servidor ISA. Se puede exportar parte de la información de configuración específica del servidor, si lo selecciona así. Además, puede decidir exportar la configuración de permisos de usuario y la información confidencial, como las contraseñas de usuario. Se cifra la información confidencial incluida en el archivo exportado. Al importar el archivo, se requiere una contraseña para abrir y descifrar esta información. Esta contraseña se establece durante el proceso de exportación.

Al exportar un objeto específico, se exportan los siguientes elementos:

● El objeto especificado, incluidos todos los valores de propiedades.

● Todos los objetos descendientes contenidos en la jerarquía, empezando por el objeto especificado.

Por ejemplo, si exporta una regla de acceso, también se exportan los conjuntos de objetos y de usuarios de la red utilizados en la creación de



dicha regla, y se importarán al importar posteriormente la regla.

Volver a Contenido


Antes de instalar este software, consulte las notas sobre la versión incluidas en el CD.

Antes de instalar el servidor ISA, debe instalar el hardware y configurar el software del equipo en el que se ejecutará este servidor.

3.1 Requisitos de instalación

Para utilizar el servidor ISA, necesita:

● Un PC con una CPU a 550 MHz o más velocidad, compatible con Pentium II

● El sistema operativo Microsoft Windows Server™ 2003 o Windows® 2000 Server.

Nota: Si instala un servidor ISA en un equipo en el que se ejecute Windows 2000 Server, tenga en cuenta los siguientes requisitos adicionales: debe estar instalado el Service Pack 4 de Windows 2000 o posterior. Debe estar instalado Internet Explorer 6 o posterior. Si utiliza el slipstream de Windows 2000 SP4, también debe instalar la revisión (hotfix) especificada en el artículo821887, "Events for Authorization Roles Are Not Logged in the Security Log When You Configure Auditing for Windows 2000 Authorization Manager Runtime," de Microsoft Knowledge Base. Para obtener información actualizada sobre la instalación y los requisitos del sistema para ISA Server 2004, vea ISA Server Setup and System Requirements.

● 256 megabytes (MB) de memoria

● 150 MB de espacio en disco duro disponible. Este espacio en disco excluye el que pueda necesitar el almacenamiento en caché.

● Un adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna

● Un adaptador de red adicional para cada red conectada al equipo servidor ISA

● Una partición del disco duro local con el formato del sistema de archivos NTFS.

Nota Puede utilizar el servidor ISA en un equipo que sólo tenga un adaptador de red. Normalmente, llevará a cabo esta tarea cuando otro servidor de seguridad se encuentre en los límites de la red, conectando los recursos de la empresa a Internet. En este escenario de un adaptador único, el servidor ISA suele proporcionar una capa adicional de protección de filtrado de aplicaciones a los servidores publicados, o bien para almacenar en caché el contenido de Internet. Para obtener más información, vea Equipos servidor ISA con un único adaptador de red.

Advertencia: No instale el servidor ISA en un equipo multiprocesador con más de cuatro procesadores.

Volver a Contenido

3.2 Requisitos de red

El servidor ISA necesita tanto un servidor de sistema de nombres de dominio (DNS, Domain Name System) como un servidor de protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol). Recomendamos tener ambos instalados en un equipo en que se ejecute Windows Server 2003 o Windows 2000 Server en la red interna. Si es necesario, puede alojar los servidores DNS y DHCP en el equipo servidor ISA.

3.2.1 Servidor DNS

DNS es el protocolo de resolución de nombres para redes TCP/IP, como Internet. Los servidores DNS incluyen la información que permite a los equipos cliente resolver nombres DNS alfanuméricos y fáciles de recordar para las direcciones IP que los equipos utilizan a fin de comunicarse entre sí.

3.2.2 Servidor DHCP

Los servidores DHCP administran de forma centralizada las direcciones IP y la información relacionada que proporcionan a los clientes automáticamente. De esta forma, se puede configurar la red del cliente en un servidor en lugar de hacerlo en cada equipo cliente.

3.2.3 Configuración de los servidores DNS y DHCP

Para abrir el Asistente para configurar su servidor, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Asistente para configurar su servidor. Deberá ejecutar el asistente dos veces: una para configurar el servidor DNS y la otra, el servidor DHCP.

Al configurar el servidor para que incluya un servidor DNS, cuando finaliza el Asistente para configurar su servidor, aparece el Asistente para configurar un servidor DNS. Revise las listas de comprobación DNS, haciendo clic en Listas de comprobación DNS y después siga las instrucciones del asistente para configurar el servidor DNS.





Al configurar el servidor para que incluya un servidor DHCP, el Asistente para configurar su servidor inicia el Asistente para ámbito nuevo. Siga las instrucciones de este asistente con el fin de definir el ámbito del servidor DHCP.

Volver a Contenido


Para instalar el software del servidor ISA, siga estos pasos:

1. Inserte el CD del servidor ISA en la unidad de CD o ejecute ISAautorun.exe desde la unidad de red compartida.

2. En Instalación de Microsoft ISA Server, haga clic en Instalar el servidor ISA.

3. Después de que el programa de instalación indique que ha terminado de determinar la configuración del sistema, en la página Bienvenido, haga clic en Siguiente.

4. Si acepta los términos y condiciones indicados en el contrato de licencia de usuario, haga clic en Acepto los términos del contrato de licencia, y, a continuación, en Siguiente.

5. Escriba la información del cliente y haga clic en Siguiente.

6. Haga clic en Instalación típica, Instalación completa o Instalación personalizada.

Se pueden instalar cuatro componentes.

❍ Servicios del servidor ISA. Los servicios que constituyen el servidor ISA.

❍ Administración del servidor ISA. La interfaz de usuario de Administración del servidor ISA.

❍ Recurso compartido de instalación de cliente firewall. Ubicación desde la que los equipos cliente pueden instalar el software de cliente del servidor de seguridad. Se suele instalar en un equipo distinto al del equipo servidor ISA y, por tanto, no forma parte de la opción Instalación típica. Firewall Client Share se puede instalar en equipos que utilicen Windows Server 2003, Windows 2000 Server o Windows XP.

❍ Filtro de mensajes. Un componente que se configura para filtrar las palabras clave y los datos adjuntos de los mensajes de correo electrónico. Este componente se debe instalar en un servidor de protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol)

Instalación típica instala los servicios del servidor ISA y la administración del servidor ISA. Instalación completa instala los cuatro componentes. Instalación personalizada permite seleccionar los componentes que se van a instalar.

7. Haga clic en Siguiente.

8. Configure la red interna. Para ello, siga estos pasos:

a. Haga clic en Agregar.

b. Haga clic en Seleccionar adaptador de red.

c. Seleccione Agregar los intervalos de dirección basados en la Tabla de enrutamiento de Windows.

d. Seleccione uno o varios adaptadores que estén conectados a la red interna. Estas direcciones se incluirán en la red interna que se define de forma predeterminada para el servidor ISA.

e. Borre la selección de Agregar los siguientes intervalos privados, a menos que desee agregar dichos intervalos a su red interna.

f. Haga clic en Aceptar. Lea el mensaje del programa de instalación, haga clic en Aceptar, vuelva a hacer clic en Aceptar para finalizar la configuración de la red interna y, a continuación, haga clic en Siguiente.

9. En la página Configuración de conexión de cliente firewall, indique si desea permitir conexiones no cifradas entre los clientes del servidor de seguridad y el equipo servidor ISA. El software de cliente del servidor de seguridad de ISA Server 2004 utiliza cifrado, pero las versiones anteriores no. Además, algunas versiones de Windows no admiten el cifrado. Puede seleccionar las siguientes opciones:

❍ Permitir conexiones de cliente firewall no cifradas. Para los clientes del servidor de seguridad que se ejecuten en versiones de Windows no compatibles con el cifrado a fin de que se conecten al equipo servidor ISA.

❍ Permitir que los clientes firewall que ejecutan versiones anteriores del software de cliente firewall se conecten al servidor ISA. Esta opción sólo está disponible si se selecciona la primera opción.

10. En la página Servicios, revise la lista de los servicios que se interrumpirán o deshabilitarán durante la instalación del servidor ISA. Para continuar con el proceso de instalación, haga clic en Siguiente.

11. Haga clic en Instalar.

12. Una vez completada la instalación, si desea iniciar Administración del servidor ISA de inmediato, active la casilla de verificación Invocar la administración de ISA Server y haga clic en Finalizar.

Volver a Contenido



3.4 Configuración predeterminada

Una vez realizada la instalación, el servidor ISA utiliza la configuración predeterminada de la tabla siguiente.

Característica Configuración predeterminada

Permisos de usuario Los miembros del grupo Administradores del equipo local pueden configurar la directiva de servidor de seguridad.

Configuración de red Se crean las reglas de red siguientes:

● Acceso a host local. Define una relación de red enrutada entre la red del host local y todas las redes. Se define una relación de red con el resto de redes. Los servicios que se ejecutan en el equipo servidor ISA necesitan esta relación.

● Acceso a Internet. Define una relación NAT desde la red interna, la red de clientes de VPN en cuarentena y la red de clientes de VPN hacia la red externa. El acceso se permite solamente si se configura la directiva de acceso adecuada.

● De clientes de VPN hacia la red interna. Define una relación de red de ruta entre la red de clientes de VPN y la red interna. El acceso se permite únicamente si se habilita el acceso de clientes de VPN.

Reglas de acceso Se crean las reglas predeterminadas siguientes:

● Regla predeterminada. Esta regla deniega todo el tráfico entre todas las redes.

● Reglas de directiva del sistema. Se trata de una serie de reglas que permiten que el equipo servidor ISA interactúe con otros recursos de la red.

Publicación Los clientes externos no pueden obtener acceso a ningún servidor interno.

Encadenamiento de Web Regla predeterminada. Esta regla especifica que se recuperen todas las peticiones de clientes proxy Web directamente de Internet.

Almacenamiento en caché El tamaño de la caché se establece en 0. Por lo tanto, todo el almacenamiento en caché queda deshabilitado.

Volver a Contenido

3.5 Formas nuevas de realizar tareas habituales

La siguiente tabla muestra las tareas habituales que puede realizar mediante ISA Server 2004 y las compara con la forma de llevarlas a cabo en ISA Server 2000.

Si desea En ISA Server 2000 En ISA Server 2004

Publicar servidores co-ubicados. Cree un filtro de paquetes estáticos que permita el acceso al servidor específico ubicado en el equipo servidor ISA.

Cree una regla de publicación de servidor.

Habilite una aplicación en el equipo servidor ISA para tener acceso a Internet.

Cree un filtro de paquetes estáticos que permita el acceso al puerto específico del equipo servidor ISA.

Compruebe que la regla de red predeterminada, que se crea durante la instalación, define con precisión una relación entre la red de host local y la red externa. A continuación, cree una regla de acceso que permita el acceso al protocolo específico.

Configurar la tabla de direcciones locales (LAT).

Haga clic en la tabla de direcciones locales en las propiedades de cualquier servicio.

La red interna reemplaza la tabla de direcciones locales y se configura como parte del proceso de instalación. Posteriormente, puede volver a configurar la red interna.

Configurar la compatibilidad de protocolos basados en IP.

Los protocolos basados en IP se admitían de forma limitada.

Cree una definición de protocolo en la que especifique cualquiera de los protocolos siguientes: TCP, UDP, ICMP o protocolo de nivel de IP. Si selecciona el nivel de IP, puede especificar cualquier protocolo de nivel inferior.

Configurar redes privadas virtuales. Utilice los asistentes de VPN para configurar redes privadas virtuales de cliente a enrutador o de enrutador a enrutador.

Configure y habilite las propiedades de VPN y supervise las conexiones VPN.

Configurar las propiedades de peticiones de Web salientes.

En las propiedades de la matriz, haga clic en la ficha Peticiones de web salientes y configure las propiedades de la escucha.

Cada red tiene su propia escucha, el adaptador de red responsable de la escucha de las peticiones pertenecientes a dicha red.

Configurar propiedades de peticiones de Web entrantes.

En las propiedades de la matriz, haga clic en la ficha Peticiones de Web entrantes y configure las propiedades de la escucha.

Las escuchas de web se utilizan como parte de cada regla de publicación de Web. Al configurar una regla de este tipo, se especifica qué escucha de web se utiliza para ella.



Volver a Contenido

3.6 Equipos servidor ISA con un único adaptador de red

Puede instalar el servidor ISA en equipos con un adaptador de red único. Normalmente, llevará a cabo esta tarea cuando otro servidor de seguridad se encuentre en los límites de la red, conectando los recursos de la empresa a Internet. En este escenario de un adaptador único, el servidor ISA se suele utilizar para almacenar en caché el contenido de Internet a fin de que lo usen los clientes de la red corporativa.

3.6.1 Red interna

Una de las características fundamentales del servidor ISA es su capacidad para conectarse a varias redes. Al instalar el servidor ISA en un equipo con un adaptador único, sin embargo, reconoce sólo una red: la red interna. La red interna está formada por todas las direcciones IP, con las siguientes excepciones: 0.0.0.0, 255.255.255.255 y el intervalo de direcciones 127.0.0.0-127.255.255.255.

3.6.2 Instalación del servidor ISA en un equipo con un solo adaptador

Como parte del proceso de instalación, especifique las direcciones de la red interna. Al instalar el servidor ISA en un equipo con un solo adaptador de red, asegúrese de incluir todas las direcciones menos 0.0.0.0, 255.255.255.255, tampoco incluya el intervalo de direcciones 127.0.0.0-127.255.255.255.

Puede utilizar la plantilla de red de adaptador de red único para configurar el equipo servidor ISA con adaptador único. Para utilizar la plantilla, en Administración del servidor ISA, expanda el nodo Configuración y seleccione Redes. En el panel de tareas, en la ficha Plantillas, seleccione Adaptador de red único para iniciar el Asistente para plantillas de red. Siga los pasos del asistente para completar la configuración. Le recomendamos que utilice los valores predeterminados proporcionados por este asistente.

3.6.3 Almacenamiento en caché

Puede implementar el servidor ISA en un equipo con un adaptador único como un proxy directo y un servidor de almacenamiento en caché, que proporciona a los clientes un acceso optimizado a Internet. En este entorno, puede configurar el servidor ISA para mantener una caché centralizada de objetos de Internet solicitados con frecuencia, accesible para todos los clientes del explorador Web, y que utiliza reglas de administración de caché. En este entorno, podrá modificar la directiva de servidor de seguridad predeterminada para permitir el acceso interno de clientes a Internet. Aunque todas las direcciones IP se consideran que están en la misma red interna, el servidor ISA denegará el tráfico Web debido a la regla predeterminada Deny All (denegar todas). Por tanto, debe crear una regla que permita que el tráfico Web pase entre las redes. Para habilitar este escenario de almacenamiento en caché, debe crear una regla de acceso que permita que todos los clientes utilicen HTTP, así como HTTPS y FTP, según convenga. Como la red interna está definida exclusivamente para incluir todas las direcciones, las redes de origen y de destino de esta regla deberían ser internas.

3.6.4 Funcionalidad del modo de adaptador único

Al instalar el servidor ISA en un equipo con un adaptador único, no pueden utilizarse las siguientes características del servidor ISA:

● Clientes del servidor de seguridad

● Redes privadas virtuales

● Filtrado de paquetes IP

● Directiva de servidor de seguridad de redes múltiples

● Publicación del servidor

● Filtrado del nivel de aplicación

Esto puede producir que la función de seguridad del servidor ISA se vea limitada.

Volver a Contenido

4.0 Tutorial acerca de las características

El servidor ISA admite un entorno muy adaptable de múltiples redes y permite conectar de forma segura muchas redes con permisos de acceso que pueden variar. En las siguientes secciones, se describen algunos escenarios de ejemplo que muestran el entorno y la funcionalidad de múltiples redes. Observe que los escenarios no muestran el ámbito completo de las nuevas características incluidas en esta versión. Más bien, muestran algunos de los escenarios de servidor de seguridad más habituales que puede implementar mediante el servidor ISA. Al llevar a cabo los pasos del tutorial en un entorno de laboratorio sencillo, puede familiarizarse y sentirse cómodo con algunas de las características de ISA Server 2004 y con la interfaz de usuario.

Le aconsejamos que siempre cree la configuración del servidor ISA en un entorno de laboratorio antes de probarla en producción.

En los escenarios se supone una configuración de laboratorio que conecta una red interna con Internet. Se publican varios servidores en una red perimetral, también denominada DMA, zona desmilitarizada o subred protegida. Los clientes de la red privada virtual (VPN) pueden tener acceso a los recursos de la red interna. Le recomendamos que configure tres redes aisladas en un entorno de laboratorio antes de implementar una solución en un entorno de producción. El laboratorio utilizado en este tutorial de características está formado por los siguientes elementos:

● Una red que simula la red corporativa, denominada RedCorp. En el tutorial, RedCorp incluye este intervalo de direcciones: de 10.0.0.0 a



10.255.255.255.

● Una red que simula Internet, denominada InternetSimul. En el tutorial, InternetSimul incluye este intervalo de direcciones: de 192.168.0.0 a 192.168.255.255.

● Una red perimetral, denominada RedPerimetral. En el tutorial, RedPerimetral incluye este intervalo de direcciones: de 172.16.0.0 a 172.31.255.255.

En la siguiente ilustración se muestra el entorno del escenario.

La ilustración muestra los siguientes equipos:

● Dos equipos cliente, a los que se hace referencia como ClienteInterno1 y ClienteInterno2, con Windows® XP instalado. Hay tres equipos en el dominio RedCorp.

● Un servidor, al que se hace referencia como ServidorWebInterno, con Windows Server 2003 y Servicios de Internet Information Services (IIS) instalados. Este equipo está en el dominio RedCorp.

● Se supone que un controlador de dominio está ubicado en RedCorp. El controlador de dominio se utiliza para la autenticación de clientes.

● Hay un equipo, al que se hace referencia como Perímetro_IIS, con Windows Server 2003 instalado. IIS también está instalado en este equipo. El equipo está en el dominio RedPerimetral.

● Hay un equipo, al que se hace referencia como Externo1, con Windows Server 2003 e IIS instalados. Este equipo está en InternetSimul.

● Un servidor Web, al que se hace referencia como ServidorWebExterno. Este equipo está en InternetSimul.

● Hay un equipo, al que se hace referencia como ISA_1, con Windows Server 2003 e ISA Server 2004 instalados. Tiene tres adaptadores de red instalados:

❍ La dirección IP del adaptador conectado a RedCorp es 10.0.0.1.

❍ La dirección IP del adaptador conectado a RedPerimetral es 172.16.0.1.

❍ La dirección IP del adaptador conectado a InternetSimul es 192.168.0.1.

Nota: No hay servidores DNS descritos en la configuración. En el escenario, se supone que está instalado un servidor DNS en el controlador de dominio de RedCorp. Asimismo, se supone que existe una resolución de nombres en cada red, pero no entre las redes.

La configuración sería parecida en un entorno de producción. Las diferencias radicarían en el uso de la red externa definida del servidor ISA predeterminado, que representa Internet, en vez de en InternetSimul, y en el uso de los intervalos de direcciones IP reales de las redes interna y perimetral.

Se necesitan distintos equipos para probar los diversos escenarios. En la siguiente tabla se muestran los equipos necesarios para cada escenario.

Escenario Equipos necesarios

4.1 Exportar una configuración ISA_1

4.2 Obtener acceso a Internet desde la red interna ISA_1, ClienteInterno1, ServidorWebExterno

4.3 Crear y configurar un conjunto de equipos restringido ISA_1, ClienteInterno2, Externo1

4.4 Crear una red perimetral mediante el Asistente para plantillas de red ISA_1

4.5 Publicar un servidor Web en la red perimetral ISA_1, Externo1, Perímetro_IIS

4.6 Publicar un servidor Web en la red interna ISA_1, ServidorWebInterno, Externo1

4.7 Configurar redes privadas virtuales ISA_1, Externo1, ClienteInterno1

4.8 Modificar la directiva del sistema ISA_1

4.9 Importar una configuración ISA_1



Antes de que empiece a configurar los siguientes escenarios, compruebe que las tablas de enrutamiento de los equipos están configuradas adecuadamente. En cada red, la puerta de enlace predeterminada se debe establecer en la dirección IP del adaptador del equipo servidor ISA para dicha red. Por ejemplo, para establecer la puerta de enlace predeterminada de Perímetro_IIS, escriba lo siguiente en el símbolo del sistema del equipo de Perímetro_IIS:

route add 0.0.0.0 MASK 0.0.0.0 172.16.0.1

Volver a Contenido

4.1 Escenario 1: exportar una configuración

En este escenario se muestra la característica de exportación del servidor ISA. Puede guardar toda la configuración del equipo servidor ISA, o partes de ella, en un archivo .xml. De esta forma, puede duplicar toda o parte de una configuración de un equipo servidor ISA a otro, o bien preservar una configuración antes de realizar cambios sustanciales, para poder revertir a una configuración anterior.

En este escenario, exportará la configuración del equipo servidor ISA a un archivo .xml antes de efectuar alguno de los cambios asociados a los escenarios siguientes. Para exportar la configuración, realice los siguientes pasos:

1. Abra Microsoft ISA Server Management y haga clic en ISA_1.

2. En el panel de tareas, en la ficha Tareas, haga clic en Exportar la configuración del servidor ISA a un archivo. De esta forma exportará la configuración de ISA_1, tal y como está en el momento de la exportación.

3. En Exportar configuración, en Guardar, seleccione la ubicación en la que desee guardar el archivo de exportación. En Nombre de archivo, escriba el nombre de archivo del archivo .xml al que desee exportar la configuración, como MiConfigPred.xml, y haga clic en Exportar.

Notas Puede decidir exportar la configuración de los permisos de usuario seleccionando Exportar configuración de permisos de usuario. Esta configuración contiene las funciones de seguridad de los usuarios del servidor ISA, por ejemplo, que indican los usuarios con permisos administrativos.

Si desea exportar información confidencial, seleccione Exportar información confidencial. Si lo hace, la información confidencial se cifrará durante el proceso de exportación. Si exporta información confidencial, se le indicará que proporcione una contraseña durante el proceso de exportación. Necesitará esta contraseña cuando importe la configuración de la directiva de servidor de seguridad.

4. Una vez finalizada la operación de exportación, haga clic en Aceptar para cerrar el cuadro de diálogo de estado.

Volver a Contenido

4.2 Escenario 2: obtener acceso a Internet desde la red interna

En este escenario, los clientes internos necesitan una conectividad segura a Internet. Se necesitan los siguientes equipos:

● ISA_1, con dos adaptadores de red como mínimo

● ClienteInterno1, en RedCorp, para probar el escenario

● ServidorWebExterno, en InternetSimul, para probar el escenario

El objetivo es tener acceso a ServidorWebExterno desde ClienteInterno1 a través de ISA_1.

La tabla de enrutamiento de ClienteInterno1 enruta todas las peticiones de direcciones externas a la dirección IP interna del equipo servidor ISA, la dirección IP de la tarjeta adaptadora de red que está conectada a la red interna. El equipo servidor ISA actúa como la puerta de enlace predeterminada para todas las peticiones que desde la red interna solicitan direcciones IP externas.

En las siguientes secciones se describe la configuración de la solución:

● 4.2.1 Configurar la red interna

● 4.2.2 Crear reglas de red

● 4.2.3 Crear reglas de directiva

● 4.2.4 Probar el escenario

4.2.1 Configurar la red interna

Como parte del proceso de instalación, especificó el intervalo de direcciones en la red interna y, por tanto, configuró esta red. Compruebe que la configuración es válida y que la red interna contiene sólo las direcciones de RedCorp. En ISA_1, realice los pasos siguientes:

1. Inicie Microsoft ISA Server Management, expanda ISA_1, expanda el nodo Configuración y, a continuación, haga clic en Redes.

2. En el panel de detalles, en la ficha Redes, se muestran los intervalos de direcciones incluidos en cada red.



3. Compruebe que sólo están incluidas las direcciones IP de los equipos de la red corporativa en la red interna.

Nota: Si es necesario, puede volver a configurar la red interna haciendo doble clic en Interna en la ficha Redes para abrir el cuadro de diálogo Propiedades internas Seleccione la ficha Direcciones y, a continuación, utilice los botones Agregar y Quitar para agregar o quitar los intervalos de direcciones de la red. También puede usar el botón Agregar adaptador para agregar todos los intervalos de direcciones IP asociados a un adaptador de red en particular, o el botón Agregar privado con el fin de agregar intervalos de direcciones privados.

4. Haga doble clic en Interna en la ficha Redes para abrir el cuadro de diálogo Propiedades internas. En la ficha Proxy Web, compruebe que están seleccionadas las opciones Habilitar clientes proxy web y Habilitar HTTP, que está especificada la opción Puerto HTTP, 8080 y, a continuación, haga clic en Aceptar .

4.2.2 Crear reglas de red

Como parte del proceso de instalación, se ha creado una regla de red de acceso a Internet predeterminada. Esta regla define una relación entre las redes interna y externa. Para comprobar la configuración de la regla, realice los siguientes pasos:

1. Expanda el nodo Configuración y después haga clic en Redes.

2. En la ficha Reglas de red, haga doble clic en la regla Acceso a Internet para que se muestre el cuadro de diálogo Propiedades de acceso a Internet .

3. En la ficha Redes de origen, compruebe que aparece Interna. De lo contrario, haga lo siguiente:


b. En Agregar entidades de red, haga clic en Redes, en Interna, en Agregar y, a finalmente, en Cerrar.

4. En la ficha Redes de destino, compruebe que aparece Externa. De lo contrario, haga lo siguiente:


b. En Agregar entidades de red, haga clic en Redes, en Externa, en Agregar y, a finalmente, en Cerrar.

5. En la ficha Relación de redes, seleccione Traducción de direcciones de red (NAT).

6. Haga clic en Aceptar.

7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios, en caso de haber realizado alguno.

4.2.3 Crear reglas de directiva

Para permitir el acceso de los clientes internos a Internet, debe crear una regla de acceso para que estos clientes puedan utilizar los protocolos HTTP y HTTPS. Realice los pasos siguientes:

1. Haga clic en Directiva de firewall. En el panel de tareas, seleccione la ficha Tareas y haga clic en Crear nueva regla de acceso para iniciar el Asistente para nueva regla de acceso.

2. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Permitir a los clientes internos acceso HTTP y HTTPS a Internet. A continuación, haga clic en Siguiente.

3. En la página Acción de la regla, seleccione Permitir y después haga clic en Siguiente.

4. En la página Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuación, haga clic en Agregar.

5. En el cuadro de diálogo Agregar protocolos, expanda Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, en Agregar y, finalmente, haga clic en Cerrar. A continuación, haga clic en Siguiente.

6. En la página Orígenes de regla de acceso, haga clic en Agregar.

7. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Interna. Haga clic en Agregar y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.

8. En la página Destinos de regla de acceso, haga clic en Agregar.

9. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Externa. Haga clic en Agregar y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.

10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. A continuación, haga clic en Siguiente.

11. Revise la página de resumen y después haga clic en Finalizar.

12. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados. Observe que pueden pasar unos segundos antes de que se apliquen los cambios.

4.2.4 Probar el escenario

Para comprobar que el escenario funciona, ClienteInterno1 tendrá acceso a ServidorWebExterno en la red externa (InternetSimul).



En ClienteInterno1, realice los siguientes pasos:

1. En ClienteInterno1, abra Internet Explorer 6.0.

2. En Internet Explorer, haga clic en el menú Herramientas y, a continuación, en Opciones de Internet.

3. En la ficha Conexiones, haga clic en Configuración de LAN.

4. En Servidor proxy, active la casilla de verificación Utilizar un servidor proxy para su LAN.

5. En Dirección, escriba el nombre de equipo de ISA_1 y, en Puerto, escriba 8080. Si no hay ningún servidor DNS en la configuración de laboratorio, utilice la dirección IP de ISA_1 en vez de su nombre.

6. Compruebe que no está activada la casilla Detectar la configuración automáticamente.

7. Cierre Internet Explorer. Después vuelva a iniciarlo.

8. En Internet Explorer, en Dirección, escriba la dirección IP de ServidorWebExterno.Observe que si está disponible un servidor DNS para la resolución de nombres en InternetSimul, puede escribir el nombre de dominio completo (FQDN) de ServidorWebExterno.

Si el explorador muestra la página Web publicada en ServidorWebExterno, ClienteInterno1 obtuvo acceso a ServidorWebExterno y ha configurado correctamente este escenario.

Volver a Contenido

4.3 Escenario 3: crear y configurar un conjunto de equipos restringido

En este escenario creará un conjunto de equipos en la red interna y le denegará el acceso a Internet. Se necesitan los siguientes equipos:

● ISA_1 con dos adaptadores de red como mínimo.

● ClienteInterno2 en RedCorp.

● ServidorWebExterno, en InternetSimul, para probar el escenario.

En las siguientes secciones se describe la configuración de la solución:

● 4.3.1 Configurar el conjunto de equipos restringido

● 4.3.2 Restringir el acceso a Internet


4.3.1 Configurar el conjunto de equipos restringido

En el siguiente ejemplo se utilizan las direcciones IP asociadas a la red interna de implementación del laboratorio: de 10.0.0.0 a 10.255.255.255. En el ejemplo, creará un conjunto de equipos que contienen las direcciones IP 10.54.0.0–10.55.255.255, lo que incluye ClienteInterno2. Realice los pasos siguientes:

1. Abra Microsoft ISA Server Management, expanda ISA_1 y haga clic en Directiva de firewall.

2. En el panel de tareas, seleccione la ficha Herramientas, elija Objetos de red, haga clic en Nuevo y después seleccione Conjunto de equipos.

3. En Nombre, escriba el nombre del nuevo conjunto de equipos, como Conjunto de equipos restringido.

4. Haga clic en Agregar y seleccione Intervalo de direcciones.

5. En el cuadro de diálogo Nuevo elemento de regla de intervalo de direcciones, proporcione un nombre para el intervalo de direcciones, como Intervalo de conjunto de equipos restringido. Proporcione un intervalo de direcciones IP que incluya la dirección de ClienteInterno2, como 10.54.0.0–10.55.255.255 y, a continuación, haga clic en Aceptar.

6. Haga clic en Aceptar para cerrar el cuadro de diálogo Nuevo elemento de regla de conjunto de equipos.

7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.

8. Guarde la configuración de la red en un archivo .xml, de forma que si efectúa un cambio en la configuración que cambie o destruya este objeto de red, pueda recuperar su configuración. En el panel de tareas, en la ficha Herramientas, seleccione Objetos de red, expanda Conjuntos de equipos, haga clic con el botón secundario del mouse (ratón) en el conjunto de equipos que acaba de definir y seleccione Exportar lo seleccionado. Elija una ubicación en la que guardar el archivo que contiene la información de configuración y un nombre que describa su contenido, como Archivo de exportación de conjunto de equipos restringido. Haga clic en Exportar para exportar la configuración.


4.3.2 Restringir el acceso a Internet

Ya puede crear una regla de acceso que deniegue el acceso a Internet al conjunto de equipos. Observe que el orden de las reglas de acceso influirá en la posibilidad de que el conjunto de equipos pueda tener acceso a Internet. El servidor ISA lee las reglas de acceso en orden y



permitirá el acceso si lee la regla de permitir de la red interna antes de leer la regla de denegación de conjunto de equipos restringido.

Para crear una regla de acceso que deniegue el acceso desde el conjunto de equipos restringido a la red externa, realice los siguientes pasos:

1. Haga clic en Directiva de firewall. En el panel de tareas, seleccione la ficha Tareas y haga clic en Crear nueva regla de acceso para iniciar el Asistente para nueva regla de acceso.

2. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Denegar el acceso HTTP y HTTPS a Internet al conjunto de equipos restringido. A continuación, haga clic en Siguiente.

3. En la página Acción de la regla, seleccione Denegar y después haga clic en Siguiente.

4. En la página Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuación, haga clic en Agregar.

5. En el cuadro de diálogo Agregar protocolos, haga clic en Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, en Agregar y, finalmente, haga clic en Cerrar. A continuación, haga clic en Siguiente.


7. En el cuadro de diálogo Agregar entidades de red, haga clic en Conjunto de equipos y, a continuación, seleccione Conjunto de equipos restringido Haga clic en Agregar y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.


9. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Externa. Haga clic en Agregar y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.

10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. A continuación, haga clic en Siguiente.



13. Guarde la regla en un archivo .xml por si efectúa un cambio básico, como ejecutar un Asistente para plantillas de red, para que pueda importar la regla. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la regla que acaba de definir y seleccione Exportar lo seleccionado. Elija una ubicación en la que guardar el archivo que contiene la información de regla y un nombre que describa su contenido, como Regla denegar Internet a conjunto de equipos restringido.xml. Haga clic en Exportar para exportar la regla.



Para comprobar que el escenario funciona, ClienteInterno2 en Conjunto restringido de equipos tratará de obtener acceso a ServidorWebExterno en la red externa, InternetSimul.

En ClienteInterno2, realice los siguientes pasos:

1. En ClienteInterno2, abra Internet Explorer 6.0.

2. En Internet Explorer, haga clic en el menú Herramientas y, a continuación, en Opciones de Internet.

3. En la ficha Conexiones, haga clic en Configuración de LAN.

4. En Servidor proxy, active la casilla de verificación Utilizar un servidor proxy para su LAN.

5. En Dirección, escriba el nombre del equipo (o la dirección IP, si no tiene ningún servidor DNS configurado) de ISA_1 y en Puerto, escriba 8080.

6. Compruebe que no está activada la casilla Detectar la configuración automáticamente.

7. Cierre Internet Explorer. Después vuelva a iniciarlo.

8. En Internet Explorer, en Dirección, escriba la dirección IP de ServidorWebExterno.Nota Si dispone de un servidor DNS para la resolución de nombres en InternetSimul, puede escribir el FQDN de ServidorWebExterno.

Si el explorador muestra una página de denegación de acceso, ha configurado el conjunto de equipos y la regla de denegación correctamente.

La regla de denegación de acceso creada aparece primero en la lista de reglas de acceso en el panel de detalles Directiva de firewall. Si la coloca debajo de la regla Permitir a los clientes internos acceso HTTP y HTTPS a Internet (creada en el escenario anterior), el servidor ISA evaluará primero esta regla y los equipos de Conjunto de equipos restringido obtendrán acceso a Internet. Para cambiar el orden de la regla de denegación, haga clic con el botón secundario del mouse (ratón) en la regla y seleccione Bajar. Después de bajar esta regla de denegación colocándola debajo de la regla de permitir y aplicar los cambios haciendo clic en el botón Aplicar en el panel de detalles, vuelva a probar el acceso a Internet. Ahora ClienteInterno2 debe tener acceso a Internet.

Si el explorador muestra la página Web publicada en ServidorWebExterno, ClienteInterno2 obtuvo acceso a ServidorWebExterno y ha configurado correctamente este escenario.

Volver a Contenido



4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red

En este escenario, utilizará el Asistente para plantillas de red con el fin de crear una red perimetral.

Para configurarlo, realizará los siguientes pasos:

● 4.4.1 Crear una red perimetral

● 4.4.2 Restaurar una regla de acceso de conjunto de equipos restringido

4.4.1 Crear una red perimetral

Usará el Asistente para plantillas de red con el fin de crear una red perimetral y establecer un acceso a Internet desde la red interna a Internet.

Para crear una red perimetral, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1, haga clic en Configuración y, a continuación, haga clic en Redes.

2. En el panel de tareas, en la ficha Plantillas, seleccione Perímetro de 3 secciones. De esta forma se inicia el Asistente para plantillas de red.

3. En la página Bienvenido, haga clic en Siguiente.

4. En la página Exportar la configuración del servidor ISA, haga clic en Exportar si desea conservar la configuración actual. Con este paso, puede revertir a la configuración actual importándola del archivo guardado. Si hace clic en Exportar, proporcione una ubicación y un nombre de archivo descriptivo como Configuración anterior al perímetro de 3 secciones y haga clic en Exportar.

5. En la página Exportar la configuración del servidor ISA, haga clic en Siguiente.

6. En la página Direcciones IP de red interna, utilice los botones Agregar y Quitar para asegurarse de que sólo se muestran las direcciones IP de la red interna. Entre ellas se incluirían las direcciones IP de ClienteInterno1 y de la tarjeta adaptadora de red de ISA_1 que conecta a la red interna. Haga clic en Siguiente.

7. En la página Direcciones IP de red perimetral, utilice los botones Agregar y Quitar para asegurarse de que sólo se muestran las direcciones IP de la red perimetral. Entre ellas se incluirían las direcciones IP de Perímetro_IIS y de la tarjeta adaptadora de red de ISA_1 que conecta a la red perimetral. Haga clic en Siguiente.

8. En la página Seleccione una directiva de firewall, seleccione Permitir acceso a Web limitado para crear una regla de acceso desde la red interna a la externa (cuando haya finalizado el asistente) y, a continuación, haga clic en Siguiente.

9. En la página de resumen, revise la configuración de la red y después haga clic en Finalizar.

10. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados mediante el asistente.

Nota: El Asistente para plantillas de red crea dos reglas de red: una que crea una relación de enrutamiento entre las redes perimetral y externa (la regla Acceso a perímetro) y otra que crea una relación NAT entre las redes interna y perimetral (la regla Configuración de perímetro). Compruebe que se crearon las reglas seleccionando la ficha Reglas de red del panel de detalles Redes.

Las relaciones de enrutamiento son bidireccionales. Es decir, el enrutamiento va de origen a destino y viceversa. Las relaciones NAT son unidireccionales. Es decir, el enrutamiento va de origen a destino.

4.4.2 Restaurar una regla de acceso de conjunto de equipos restringido

Cuando ejecutó el Asistente para plantillas de red y aplicó los cambios, quitó el conjunto de equipos restringido y la regla de acceso de denegación de acceso al conjunto de equipos restringido a Internet. Podría volver a crearlos o importarlos desde los archivos .xml guardados al crear el conjunto de equipos restringido y su regla de acceso.

Para importar la configuración, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1, haga clic con el botón secundario del mouse (ratón) en Directiva de firewall y seleccione Importar.

2. Proporcione la ubicación y el nombre de archivo de la regla de acceso exportada, como Regla denegar Internet a conjunto de equipos restringido.xml creado en el escenario 3 y, a continuación, haga clic en Importar. Cuando termine la importación, haga clic en Aceptar.


Nota Al importar una regla de acceso, también importa los elementos de regla a los que hace referencia, por lo que no hay necesidad de importar el conjunto de equipos por separado. Puede importar estos elementos por separado si hace clic con el botón secundario del mouse (ratón) en el tipo de elemento de regla del panel de tareas, en la ficha Herramientas y selecciona Importar todos .

Volver a Contenido

4.5 Escenario 5: publicar un servidor Web en la red perimetra

En este escenario, se pondrá a disposición de los usuarios de Internet un servidor Web ubicado en la red perimetral.



Utilice las reglas de publicación de Web para publicar servidores Web. Estas reglas requieren escuchas de web, que atienden las peticiones de Web.

Se necesitan los siguientes equipos:

● ISA_1, con tres adaptadores de red como mínimo.

● Perímetro_IIS, en RedPerimetral, para probar el escenario.

● Externo1, en InternetSimul, para probar el escenario.


● 4.5.1 Crear una regla de publicación de Web


4.5.1 Crear una regla de publicación de Web

Para crear una regla de publicación de Web que permita al equipo cliente de Internet (Externo1) tener acceso a un servidor Web de la red perimetral (Perímetro_IIS), realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Directiva de firewall.

2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla de publicación de web.

3. En la página Bienvenido, en Nombre de la regla de publicación de Web, escriba el nombre de la regla: Allow External to Perimeter_IIS. Haga clic en Siguiente.

4. En la página Seleccionar acción de regla, seleccione Permitir y después haga clic en Siguiente.

5. En la página Definir sitio Web para publicar, en Dirección IP o nombre del equipo, escriba la dirección IP o el nombre del equipo del servidor Web que se va a publicar y, a continuación, haga clic en Siguiente.

Nota: en la página Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta específica para publicar.

6. En la página Detalles de nombre público, compruebe que está seleccionada la opción Este nombre de dominio. En el cuadro de texto situado debajo de Este nombre de dominio, escriba el nombre de dominio público o la dirección IP del sitio Web publicado. Es lo que escribirá el usuario en el campo de dirección del explorador para tener acceso al sitio Web. En una configuración de laboratorio donde no hay ningún nombre que se resuelva, utilice la dirección IP del adaptador de red externo del equipo servidor ISA. Puede especificar una carpeta, que se anexará al nombre y que se muestra en Sitio. Haga clic en Siguiente.

7. En la página Seleccionar escucha de Web, haga clic en Nueva para iniciar el Asistente para nueva escucha de web.

8. En la página Bienvenido de este asistente, en Nombre de la escucha web, escriba el nombre de la escucha de web: Listen on Port 80 of External Network. A continuación, haga clic en Siguiente.

9. En la página Direcciones IP, seleccione Externa y después haga clic en Siguiente. Esta escucha atenderá las peticiones de la red externa.

10. En la página Especificación de puerto, en Puerto HTTP, escriba 80. También puede seleccionar Habilitar SSL y un puerto SSL si desea publicar en HTTPS. En este caso, deberá seleccionar un certificado en esta página mediante el botón Seleccionar. Haga clic en Siguiente.

11. Revise la página de resumen y, a continuación, haga clic en Finalizar para cerrar el asistente.

12. En la página Seleccionar escucha de web, haga clic en Siguiente.

13. En la página Conjuntos de usuarios, compruebe que aparece Todos los usuarios en Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios. Haga clic en Siguiente.



Nota: Puede crear y modificar las escuchas de web independientemente de las reglas de publicación de Web. El acceso a las escuchas de web existentes se realiza mediante la carpeta Escuchas de Web de la ficha Herramientas del panel de tareas Directiva de firewall. Para crear una nueva escucha de web, en el panel de tareas Directiva de firewall, en la ficha Herramientas, haga clic en Nueva y, a continuación, seleccione Escucha de web.


Para comprobar que el escenario funciona, el cliente externo, Externo1, obtendrá acceso a Perímetro_IIS, el servidor HTTP ubicado en la red perimetral, RedPerimetral. En Externo1, realice los siguientes pasos:

1. Abra Internet Explorer.

2. Compruebe que no está configurado ningún cliente proxy. Para ello, en el menú Herramientas, seleccione Opciones de Internet. En la ficha Conexiones, haga clic en Configuración de LAN. Compruebe que no está activada ninguna de las siguientes casillas de verificación: Detectar la configuración automáticamente, Usar secuencia de comandos de configuración automática ni Usar un servidor proxy para su LAN. Haga clic en Aceptar para cerrar Opciones de Internet.



3. En Dirección, escriba la dirección IP del adaptador de red externo del equipo servidor ISA.

Si el cliente obtuvo acceso al sitio Web predeterminado en Perímetro_IIS, ha configurado correctamente este escenario.

Volver a Contenido

4.6 Escenario 6: publicar un servidor Web en la red interna

En este escenario, se pondrá a disposición de los usuarios de Internet un servidor Web ubicado en la red interna. Se necesitan los siguientes equipos:

● ISA_1, con dos adaptadores de red disponibles como mínimo.

● ServidorWebInterno como el servidor Web, para probar el escenario.

● Externo1 en InternetSimul como el cliente externo, para probar el escenario.


● 4.6.1 Crear reglas de red

● 4.6.2 Publicar el servidor Web


4.6.1 Crear reglas de red

Antes de comprobar la regla de red que define la relación de red entre las redes interna y externa, consulte la sección 4.2.1 para obtener instrucciones sobre validación de la configuración de la red interna.

Al instalar, se creó una regla de red predeterminada, que define la relación NAT de la red interna a la externa. En ISA_1, para comprobar que la regla de red está configurada correctamente, realice estos pasos:

1. En Microsoft ISA Server Management, expanda ISA_1, expanda el nodo Configuración y, a continuación, haga clic en Redes para ver el panel de detalles Redes.

2. En el panel de detalles, haga clic en la ficha Reglas de red. Puede comprobar la regla en el panel de detalles o abrir las propiedades de la regla de la forma descrita en los siguientes pasos.

3. Haga doble clic en la regla Acceso a Internet para abrir Propiedades de acceso a Internet.

4. En la ficha General, compruebe que está habilitada la regla.

5. En la ficha Redes de origen, asegúrese de que aparece la red interna.

6. En la ficha Redes de destino, asegúrese de que aparece la red externa.

7. En la ficha Relación de redes, asegúrese de que está seleccionada la opción Traducción de direcciones de red.

4.6.2 Publicar el servidor Web

Utilice las reglas de publicación de Web para que los clientes externos puedan tener acceso al servidor Web ubicado en la red interna.

La publicación del servidor Web requiere que cree una regla de publicación de Web. Durante el proceso de creación de esta regla, también creará una escucha de web que especifique las direcciones IP en las que el servidor ISA atenderá las peticiones del sitio Web interno. Si aún tiene la escucha creada para el escenario de publicación de Web, debe utilizarlo en este escenario, en vez de crear uno nuevo.

Nota: Puede crear y modificar las escuchas de web independientemente de las reglas de publicación de Web. El acceso a las escuchas de web existentes se realiza mediante la carpeta Escuchas de Web de la ficha Herramientas del panel de tareas Directiva de firewall. Para crear una nueva escucha de web, en el panel de tareas Directiva de firewall, en la ficha Herramientas, haga clic en Nueva y, a continuación, seleccione Escucha de web.

Para crear una regla de publicación de Web que permita al equipo cliente de Internet (Externo1) tener acceso a un servidor Web de la red interna (ServidorWebExterno), realice los siguientes pasos:


2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla de publicación de Web.

3. En la página Bienvenido, en Nombre de la regla de publicación de Web, escriba el nombre de la regla: Allow External to InternalWebServer. Haga clic en Siguiente.

4. En la página Seleccionar acción de regla, seleccione Permitir y después haga clic en Siguiente.

5. En la página Define sitio Web para publicar, en Dirección IP o nombre del equipo, escriba la dirección IP o el nombre del equipo del servidor Web que se va a publicar. En una configuración de laboratorio donde no hay ningún nombre que se resuelva, utilice la dirección IP del adaptador de red externo del equipo servidor ISA. Haga clic en Siguiente.

Nota: en la página Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta específica para publicar. En una configuración de laboratorio en la que no hay ningún servidor DNS, utilizaría las mismas direcciones IP para identificar los



servidores Web tanto perimetral como interno, de tal forma que sólo habrá uno disponible a la vez, basándose en la regla que aparece primero en el orden de reglas. En un entorno de producción, o en una implementación de laboratorio con un servidor DNS, el uso de nombres que se resuelven mediante un servidor DNS eliminaría este problema.

6. En la página Detalles de nombre público, compruebe que está seleccionada la opción Este nombre de dominio. En el cuadro de texto situado debajo de Este nombre de dominio, escriba el nombre de dominio público o la dirección IP del sitio Web publicado. Es lo que escribe el usuario en el campo de dirección del explorador para tener acceso al sitio Web. Puede especificar una carpeta, que se anexará al nombre y que se muestra en Sitio. Haga clic en Siguiente.

7. En la página Seleccionar escucha de web, haga clic en Nueva para iniciar el Asistente para nueva escucha de web.

8. En la página Bienvenido de este asistente, en Nombre de la escucha web, escriba el nombre de la escucha de web: Listen on Port 80 of External Network. A continuación, haga clic en Siguiente.

9. En la página Direcciones IP, seleccione Externa y después haga clic en Siguiente. Esta escucha atenderá las peticiones de la red externa.

10. En la página Especificación de puerto, en Puerto HTTP, escriba 80. También puede seleccionar Habilitar SSL y un puerto SSL si desea publicar en HTTPS. En este caso, deberá seleccionar un certificado en esta página mediante el botón Seleccionar. Haga clic en Siguiente.


12. En la página Seleccionar escucha de web, haga clic en Siguiente.

13. En la página Conjuntos de usuarios, compruebe que aparece Todos los usuarios en Esta regla se aplica a las solicitudes de los siguientes conjuntos de usuarios. Haga clic en Siguiente.




Para comprobar que el escenario funciona, el cliente externo, Externo1, obtendrá acceso a ServidorWebInterno, el servidor HTTP ubicado en la red interna (RedCorp). ISA_1 atenderá las peticiones en nombre de ServidorWebInterno y las enviará de acuerdo con la regla de publicación de Web a ServidorWebInterno.

En Externo1, realice los siguientes pasos:

1. Abra Internet Explorer.

2. En Dirección, escriba la dirección IP del adaptador externo de ISA_1.

Si el cliente obtuvo acceso al sitio Web predeterminado en ServidorWebInterno, ha configurado correctamente este escenario.

Volver a Contenido

4.7 Escenario 7: configurar redes privadas virtuales

En este escenario, el servidor ISA actúa como el servidor de VPN para los clientes remotos que se conectan a la red corporativa (interna). Se necesitan los siguientes equipos:

● ISA_1, con dos adaptadores de red disponibles como mínimo.

● Externo1 en InternetSimul, el cliente de VPN, para probar el escenario.

● ClienteInterno1, en RedCorp, para probar el escenario.

En las siguientes secciones se describe la configuración del escenario:

● 4.7.1 Habilitar el acceso de clientes de VPN

● 4.7.2 Crear reglas de acceso

● 4.7.3 Crear un usuario de Windows con permisos de acceso telefónico

● 4.7.4 Crear una conexión de acceso telefónico a redes


4.7.1 Habilitar el acceso de clientes de VPN

En este paso, habilitará el acceso de clientes de VPN. Para permitir las conexiones VPN, debe habilitar redes privadas virtuales. El resto de las propiedades de clientes de VPN asumirán los valores predeterminados. Entre los que se incluye la configuración predeterminada del grupo de direcciones IP asignadas dinámicamente a la red interna, que estará disponible para los clientes que se conecten al servidor ISA. En esta solución también se supone un servidor de resolución de nombres asignados dinámicamente que puedan utilizar los clientes de VPN para resolver los nombres de la red interna.



Para configurar las propiedades de VPN, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Redes privadas virtuales (VPN).

2. En el panel de tareas, en la ficha Tareas, haga clic en Habilitar acceso de clientes de VPN.


Note: Durante la instalación, el servidor ISA crea una regla de red que establece una relación de enrutamiento entre los clientes de VPN y la red interna. Si desea que algunos clientes de VPN puedan tener acceso a otras redes, debe crear una regla de red adicional. La relación entre el cliente de VPN y la red interna es una relación de enrutamiento, ya que el objetivo es que el cliente de VPN se convierta de forma transparente en parte de la red interna y que pueda ver los equipos de esta red.

Si la configuración de laboratorio no incluye ningún servidor DHCP que asigne direcciones IP a los clientes de VPN, para crear un grupo de direcciones estáticas desde el que se asignarán las direcciones, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Redes privadas virtuales (VPN).

2. En el panel de tareas, en la ficha Tareas, debajo del título Configuración de VPN general, haga clic en Definir asignación de direcciones. De esta forma se abre la ficha Asignación de direcciones de la página Propiedades de las redes privadas virtuales (VPN).

3. Seleccione Grupo de direcciones estáticas.

4. Haga clic en Agregar. En el cuadro de diálogo Propiedades del intervalo de direcciones IP, proporcione un intervalo de direcciones IP que se asignarán a los clientes de VPN. Observe que estas direcciones no pertenecen al intervalo de direcciones incluidas en la red interna.

5. Haga clic en Aceptar.


4.7.2 Crear reglas de acceso

Para permitir el acceso de los clientes de VPN a los recursos de la red interna, debe crear una regla de acceso. Realice los pasos siguientes:


2. En el panel de tareas, en la ficha Tareas, haga clic en Crear nueva regla de acceso para iniciar el Asistente para nueva regla de acceso.

3. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Permitir acceso de clientes de VPN a interna. A continuación, haga clic en Siguiente.

4. En la página Acción de la regla, seleccione Permitir y después haga clic en Siguiente.

5. En la página Protocolos, en Esta regla se aplica a, seleccione Todos los protocolos salientes, para que los clientes de VPN puedan tener acceso a la red interna en cualquier protocolo. Haga clic en Siguiente.


7. En Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Clientes de VPN. Haga clic en Agregar y, a continuación, en Cerrar. En la página Orígenes de regla de acceso, haga clic en Siguiente.


9. En Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Interna. Haga clic en Agregar y, a continuación, en Cerrar. En la página Destinos de regla de acceso, haga clic en Siguiente.

10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. Haga clic en Siguiente.



Note: Puede restringir los protocolos que los clientes de VPN pueden utilizar al comunicarse con la red interna seleccionando Protocolos seleccionados en el paso 5. En este caso, asegúrese de incluir el protocolo Consulta DNS, para que los clientes de VPN puedan resolver los nombres de la red interna.

También podría crear una regla que permitiera que sólo algunos usuarios tuvieran acceso a equipos específicos, o a partes de la red corporativa definidas por separado desde la red interna.

4.7.3 Crear un usuario de Windows con permisos de acceso telefónico

Para que un cliente de VPN realice una llamada a la red, debe crear un usuario con permisos de acceso telefónico en RedCorp. El usuario puede ser un usuario de dominio o un usuario local del equipo servidor ISA. El cliente de VPN se autenticará como este usuario. Realice los pasos siguientes:

1. En ISA_1, abra Administración de equipos haciendo clic con el botón secundario del mouse (ratón) en Mi PC en el escritorio y seleccionando Administrar.

2. En Administración de equipos, haga clic en Administración del equipo (local), expanda Herramientas del sistema y haga clic en Usuarios locales y grupos.



3. En el panel de detalles, haga clic con el botón secundario del mouse en Usuarios y, a continuación, haga clic en Usuario nuevo.

4. Escriba los detalles del usuario y, a continuación, haga clic en Crear.

5. En el panel de detalles, haga doble clic en Usuarios para mostrar la lista de usuarios, haga clic con el botón secundario del mouse en Usuario nuevo y después haga clic en Propiedades.

6. En la ficha Marcado, seleccione Permitir acceso y, a continuación, haga clic en Aceptar.

4.7.4 Crear una conexión de acceso telefónico a redes

El cliente de VPN crea una nueva conexión que se puede utilizar para marcar en la RedCorp. En Externo1, realice los siguientes pasos:

1. Haga clic en Inicio, seleccione Panel de control y, a continuación, haga doble clic en Conexiones de red.

2. En el menú Archivo, seleccione Nueva conexión con el fin de iniciar el Asistente para conexión nueva.

3. En la pantalla Bienvenido, haga clic en Siguiente.

4. En la página Tipos de conexión de red, seleccione Conectarse a la red de mi lugar de trabajo y, a continuación, haga clic en Siguiente.

5. En la página Conexión de red, seleccione Conexión de red privada virtual y después haga clic en Siguiente.

6. En la página Nombre de conexión, en Nombre de la organización, escriba Conectar a ISA_1y, a continuación, haga clic en Siguiente.

7. En la página Red pública, seleccione si desea que Windows marque automáticamente la conexión inicial a la red, así como la conexión que se va a marcar y, a continuación, haga clic en Siguiente.

8. En la página Selección de servidor VPN, en Nombre de host o dirección IP, proporcione la dirección IP de la tarjeta adaptadora de red externa de ISA_1 y, a continuación, haga clic en Siguiente.

9. En la página Disponibilidad de conexión, seleccione Sólo para mi uso para asegurarse de que la conexión VPN sólo se usará cuando esté conectado al equipo cliente y, a continuación, haga clic en Siguiente.



Para comprobar que el escenario funciona, el cliente de VPN, Externo1, tendrá acceso a un equipo de la red interna. En Externo1, realice los siguientes pasos:

1. Haga clic en Inicio, en Conectar a y después en Conectar a ISA_1.

2. En ISA_1\Nombre de usuario, escriba el nombre del usuario creado en la sección 4.7.4. A continuación, haga clic en Conectar.

Si se crea la conexión, ha configurado correctamente este escenario.

Volver a Contenido

4.8 Escenario 8: modificar la directiva del sistema

Le aconsejamos que deshabilite los elementos de la directiva del sistema que no va a utilizar. En este escenario se muestra cómo deshabilitar la administración remota de Terminal Server del servidor ISA.

Para deshabilitarla, realice los siguientes pasos:

1. En Microsoft ISA Server Management, expanda el nodo del equipo servidor ISA y haga clic en Directiva de firewall.

2. En el panel de tareas, en la ficha Tareas, haga clic en Editar directiva del sistema para abrir el Editor de directivas del sistema.

3. En Grupos de configuración, busque Administración remota y seleccione Terminal Server.

4. En la ficha General, desactive la casilla de verificación Habilitar y después haga clic en Aceptar.

5. En el panel de detalles, haga clic en Aplicar para aplicar los cambios.

Volver a Contenido

4.9 Escenario 9: importar una configuración

En este escenario se muestra la característica de exportación e importación del servidor ISA. Este escenario está relacionado con el Escenario 1, Exportar una configuración.

Llevará a cabo los siguientes procedimientos:

1. 4.9.1 Exportar la configuración actual



2. 4.9.2 Importar configuraciones antiguas y nuevas

4.9.1 Exportar la configuración actual

Para exportar la configuración actual a un archivo .xml, realice los siguientes pasos:


2. En el panel de tareas, en la ficha Tareas, haga clic en Exportar la configuración del servidor ISA a un archivo. De esta forma exportará la configuración de ISA_1, tal y como está en el momento de la exportación.

3. En Exportar configuración, en Guardar, seleccione la ubicación en la que desee guardar el archivo de exportación. En Nombre de archivo, escriba el nombre de archivo del archivo .xml al que desee exportar la configuración, como MiConfigNueva.xml, y haga clic en Exportar.

Notas: Puede decidir exportar la configuración de los permisos de usuario seleccionando Exportar configuración de permisos de usuario. Esta configuración contiene las funciones de seguridad de los usuarios del servidor ISA, por ejemplo, que indican los usuarios con permisos administrativos.

Si desea exportar información confidencial, seleccione Exportar información confidencial. Si lo hace, la información confidencial se cifrará durante el proceso de exportación. Si exporta información confidencial, se le indicará que proporcione una contraseña durante el proceso de exportación. Necesitará esta contraseña cuando importe la configuración de la directiva de servidor de seguridad.


4.9.2 Importar configuraciones antiguas y nuevas

Para importar configuraciones, realice los siguientes pasos:


2. En el panel de tareas, en la ficha Tareas, haga clic en Importar de un archivo de configuración de servidor ISA.

3. En Importar configuración, en Nombre de archivo, escriba o busque el nombre de archivo del archivo .xml creado en el escenario 1 (MiConfigPred.xml) y, a continuación, haga clic en Importar. Si va a importar información confidencial, se le indicará que proporcione una contraseña en el cuadro de diálogo Escriba la contraseña para abrir el archivo.

Nota: Puede decidir importar la configuración de los permisos de usuario seleccionando Importar configuración de permisos de usuario. También puede decidir importar la configuración de la unidad de caché y la de uso de certificados SSL seleccionando Importar configuración de la unidad de caché y certificados SSL. Puede que este procedimiento no sea correcto al copiar una directiva a otro servidor, ya que estas selecciones tienden a ser específicas de un servidor en particular.

4. Compruebe en el panel de detalles de los nodos Directiva de firewall y Redes que ya no están la red perimetral ni las reglas creadas en los escenarios 2 a 7. Si es así, la importación se realizó correctamente y el equipo servidor ISA ya está configurado como lo estaba antes de finalizar los escenarios 2 a 7.

5. Repita el procedimiento; esta vez importe la configuración guardada a MiConfigNueva.xml. Ahora aparecerán la red perimetral y las reglas creadas en los escenarios 2 a 7.

6. En el panel de detalles, haga clic en Aplicar para aplicar los cambios, si desea que se apliquen los cambios realizados mediante la operación de restauración.

Volver a Contenido

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, las empresas, organizaciones, productos, personas y eventos descritos en el presente documento son ficticios y no se pretende relacionarlos con ninguna empresa, organización, producto, persona o evento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los derechos de propiedad industrial o intelectual.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual sobre el contenido de este documento La entrega de este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en un contrato escrito de licencia de Microsoft.

© 2004 Microsoft Corporation. Reservados todos los derechos.

Microsoft, Active Directory, NetMeeting, Outlook, Windows, Windows Media® y Windows NT® son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros países o regiones.

Volver a Contenido


Manual de introducción de Microsoft ISA Server 2004

Documents

Transcript of Manual de introducción de Microsoft ISA Server 2004