Отличные новости от команды ISA Server. Летом ожидается выход Service Pack 1 для ISA Server. Я убежден в том, что ISA Server является лучшим средством для публикации сервисов в интернет, и прежде всего Exchange. И конечно, эти изменения касаются и администраторов Exchange. На форумах Technet постоянно возникают смежные обсуждения, которые касаются как Exchange, так и ISA Server. Что ж, тогда для всех нас это отличная новость!
Список основных изменений
Configuration change tracking — позволяет отслеживать изменения конфигурации и просматривать истурию этих изменений, а также использовать комментарии при внесении того или иного изменения в конфигурацию
Web publishing rule test — позволяет проверить правила веб-публикации, в том числе и отключенные
Traffic Simulator — появляется возможность задать параметры, запустить тест и посмотреть как трафик обрататывается Firewall Policy
Но я бы хотел уделить больше внимания 2-м другим улучшениям
Наконец то ISA Server 2006 будет нормально поддерживать сертификаты c несколькими SAN (Subject Alternative Names). Как вы знаете, использование таких сертификатов для Exchange 2007 является общей практикой. Однако такие сертификаты не поддерживались или их поддержка была условной для ISA Server. Подробнее об этой проблеме можно прочитать здесь. Теперь ситуация меняется и можно использовать один сертификат для публикации необходимых сервисов
Возможности NLB Cluster. Ранее ISA Server поддерживал только режим unicast (в отличие от Windows NLB). Теперь же поддерживается и режим multicast, в том числе multicast with IGMP. Несомненно это расширяет возможности отказустойчивых решений на базе массива серверов ISA 2006.
Более подробно обо всех этих и многих других изменениях можно прочитать в блоге команды разработчиков
Коллеги, вопрос в область ISA. Прошу прощения за оффтоп. Есть ли средство для нагрузочного тестирования HTTP? Что-то типа LoadSim для Exchange? В Интернете ничего путного не нашел((((
Sadok
Я убежден в том, что ISA Server является лучшим средством для публикации сервисов в интернет.
Улыбнуло. Я не спорю, Павел, что ты крупный спец по Эксчу, но вот в таких виражах, извини, надо бы полегче…
и прежде всего Exchange
Ну, тут — не исключено. Хотя на той же FreeBSD (от 4.4 до 6.3) все публиковалось и работало без проблем (2007-ой Эксч не пробовал выставлять, честно признаюсь).
Sadok
Олег, в Гугле поиск по "webserver stress" должен дать искомое, как мне кажется.
http://www.samarasoft.ru Oleg Krylov
Оп. Thank’s =)
По поводу ISA, как средства публикации можно спорить бесконечно. Но. У людей работающих с продуктами Microsoft складывается определенный стереотип мышления. Я не могу понять логики линуксовых и им подобных продуктов. Хоть тресни. И не говорите о необходимости читать мануалы и документацию. Прикручивать на Ubuntu пакетик для чтения CHM-файлов в течение четырех часов, играя с параметрами и ключами менеджера пакетов — это выше моих сил. Я не спорю, что это классные продукты, и т.д. и т.п., но если мне нужен будет корпоративный файрвол — это однозначно будет ISA. Не iptables, не Cisco PIX, не Kerio, а именно ISA. Уговорить себя не дам =)
kkv
все хорошо всегда в меру.
Разные продукты для разных целей, и по разной цене.
конкуренция и как следствие новые возможности. Буду использовать и то и другое
http://www.exchangerus.ru Pavel Nagaev
Вера не требует доказательств 🙂
http://www.samarasoft.ru Oleg Krylov
Шутники! 😀 Дело не в вере, а в моей "тупизне". Не могу я работать с Никсами. Не получается. И мануалов тонну перечитал в свое время. И все равно никак. Там наверное нужно быть слегка программером. А с ISA все интуитивно понятно. Документация отличная, поддержка адекватная. Что еще нужно человеку, чтобы спокойно встретить старость? 🙂
orangeudav
Если под публикацией подразумевается пробросить пару портов на хост за фаерволом то с этим справится даже домашний говнороутер за 30 баксов. А вот с аутентификацией веб-формами я других готовых решений действительно не нашел.
Pavel Dugaev
Задачи, которые приходится решать, зачастую не связаны просто с тупым пробросом портов. Дело не в сложности настройки никсов, а в том, что некоторые вещи там тупо не реализованы. Я говорю прежде всего о нормальных корпортативных решениях — отказоустойчивых, масштабируемых. Kerberos Constrained Delegation, опять же. Для кого то это просто рюшечки. А нам прихоится работать с реальными заказчиками, которым это нужно. Что касается надежности, то ISA — один из самых надежных продуктов Microsoft. Поэтому я говорю то, о чем знаю. И моя убежденность основывается на реальной практике внедрений
http://www.exchangerus.ru Pavel Nagaev
За слова "надежность ISA" cейчас получишь 842 коммента, что *nix файерволы лучше, а ISA отстой 🙂
http://www.samarasoft.ru Oleg Krylov
Шиндер хорошо об этом пишет. И нет оснований ему не верить. Microsoft совершил просто гигантский скачок в качестве корпоративных файрволов. И вообще компания, изначально специализирующаяся на сегменте Desktop, огромными шагами завоевывает рынок серверных и интернет-приложений. За что ей огромный респект. Ошибки у нее есть, это естественно. Но это нормальная ситуация. Ошибки даже у Бога есть. (Только не говорите, что я одна из них :-D)
P.S. Это не дифирамбы Microsoft. Это личное отношение. Имею право на такое мнение. Я не всегда доволен ценовыми политиками, политиками лицензирования. Но качество продуктов — это отдельная история. И к ценам не имеет отношения. А качество впечатляет, и растет. Все! Теперь можете бить!
Pavel Shumarov
Очень хотелось бы увидеть в ISA сервере, шейпер.
Pavel Dugaev
Это по прежнему остается 3-rd party
http://komatozo.blogspot.com Alexander Trofimov
To Pavel Shumarov: потерпите еще немного — надобность такая отпадет =)
На самом деле скоро даже в дальних регионах народ начнет привыкать к тому, что в Москве (я даже не заикаюсь о забугорщине) является нормой — платить за канал, а не за траффик. В этих обстоятельствах шейпер уже не так нужен будет. А приоретизацию трафика лучше делать другими средствами, нежели файрвол.
Так что шейпера, по моим сведениям, в ISA (то есть ForeFront Threat Management Gateway) не будет.
Sadok
Очень хотелось бы увидеть в ISA сервере, шейпер.
Хе-хе. Очень хотелось бы увидеть в этой поделке много чего. Например, работу на уровне ядра, а не приложений. Впрочем, подождем хотя бы внятного биллинга…
Полностью согласен с Павлом насчет "лучшего средства для публикации". Даже добавлю "и самого безопасного". И на виражах у нас тут все нормально. Как только упертые юниксоиды начинают активно вращать глазами, им задаются простые вопросы… как насчет поддержки SSL bridging? как насчет stateful packet inspection? не просто убедиться, что под слоем SSL передаваемый пакет — действительно HTTP, но и что он содержит то, что нужно, а не линк на трояна на порносайте? как насчет разнообразных методов аутентификации? KCD тут уже упоминали, я еще добавлю FBA к списку… Продолжать можно долго. ISA Server — на удивление надежный firewall, за все время неизвестно ни одного случая публичного взлома в реальном production. Юниксоиды тут упираются просто по инерции… ну им просто надо дать пообщаться со Стивом Райли, и дольше пяти-десяти минут никто не продержится 🙂
Sadok
Тащ, Джокер! Фраза "передаваемый пакет — действительно HTTP" — суть полный бред, ибо это разные уровни OSI. А если я могу со стороны "убедиться, что под слоем SSL" что-то есть — то на**р мне такое шифрование нужно? Это либо MitM, либо идиотский алгоритм.
Godhand
У вы и ах. Каждый продукт имеет свою нишу использования. ISA все таки пока продукт не Enterprise уровня. В больших распределенных сетях используется продукция все таки других вендоров, Cisco, Check Point, Jumper и т.д
Sadok
2 Goodhand
Тут мы переходим на другой уровень 🙂 ИСА не пригодна для больших сетей — безусловно. Вменяемые крупные — в т.ч. моя — используют "железные" решения. А спор выше идет о всяких SOHO и т.п.
http://www.samarasoft.ru Oleg Krylov
To Sadok: Ответ на фразу на**р мне такое шифрование. А на**р тогда на прослушивателе ISA вешают сертификат публикуемого веб-сервера? Проверка — суть дешифровка на лету.
Sadok
Олег, я даже не знаю.. Ну, отключите шифрование тогда — смысла в нем нет. Такую фишку я проделывал и на FreeBSD. Только вопрос "зачем". Если админ пытается стать "богом сети" — гнать, стреляя в спину трассерами. Если начальник требует — полоний в кофе или увольняться.
Да. Проделывал только для тренировки 🙂
http://www.samarasoft.ru Oleg Krylov
😀 Что конкретно? Стрельбу в спину трассерами или упаивание шефа кофе с полонием? 😀
Sorry! Сорвалось:) На самом деле тогда и антивирь почтовый не должен лазить в архивы… Просто в ISA неплохо реализовано сканирование входящего траффика. Вот правда мониторинг меня не порадовал. Как то в ISA 2000 комфортнее я себя чувствовал.
Sadok
Олег, что-то мы куда-то в сторону поплыли. Антивирь должен лазать везде. Но это функции не фаера (ISA и иже с ними). На клиенте есть параболический конь в вакууме некий агент — пусть разбирается.
Pavel Dugaev
Насчет не-Enterprise решения — это смешно. 2000 пользователей, 8000 пользователей — это не Enterprise?
А насчет checkpoint — просто сравните количество уязвимостей. В ISA начная с 2004 их ни одного
Sadok
Павел, да не вопрос. В рунете правило простое — ссылку в в студию. Особенно про непогрешимость ИСЫ хотелось бы увидеть. Про эксплойты к циско сам знаю.
Sadok
Пыдыщь!!! Закрывайте скорее. А то мы так до посинения бодаться будем.
http://www.samarasoft.ru Oleg Krylov
To Sadok: поплыли в правильную сторону. ISA проверяет траффик, и облегчает нам с Вами жизнь. Не мониторить кучу клиентов, а централизовано отслеживать и принимать меры. В конце концов сейчас все решения стремятся к централизации операций, и на мой взгляд — это гуд.
Еще вот о чем подумал. Бодаться на тему что лучше: железки, никсы, Microsoft — бездарное времяпрепровождение. У каждого производителя своя идеология, и если вас всю жизнь Вас учили русскому, очень трудно начать думать по-французски. Так и с программными продуктами. Железки менее гибки, никсы сложны в настройке, Microsoft стоит денег. У всех есть свои достоинства и недостатки. Продукты Microsoft выдержаны в одном ключе. И это-то мне и нравится. По поводу сложности настроек:
Был у меня коллега, умный парень. Но! То, что я делал за 2 часа, из них потратив 1 час 20 мин на чтение документации по сабжу, и 40 мин на настройку и тестирование, он делал за 3 дня, с бесконечным ковырянием в настройках, протяжными матерными воплями и т.п. Естественно у него все получалось через rectum и абсолютно невоспроизводимое решение. Так же он работал и с никсами, и с Циской. Вот пример админа- для которого все ГОВНО! А потому что подход не тот.
Но есть один момент: Беру инструкцию по настройке какого-то сервиса в винде. Все делаю по шагам, вуаля все работает! Ну почти всегда, за редким исключением. Беру мануал по никсам (FreeBSD) делаю — не работает. Переделываю — не работает. Сношу систему с матюгами дня за три поднимаю все, что мне нужно, настраиваю сервис- неработает. Лезу в форум. Задаю вопрос. Ответ: "Фу лошара! RTFM! и т.п." В итоге, нахожу что надо подставить какой-то мифический аргумент, упоминания о котором не было НИГДЕ. Вот такой веселый процесс.
По поводу безопасности — мы все знаем что винда маст дай, дырявое ведро, никс-рулез.
Коллеги, это малолетки на форумах орут, которые мечтают кул-хацкерами прослыть. А в их субкультуре — это признак крутизны.
Очень на мой взгляд, аторитетные перцы в нашем андеграунде — ЗаРаЗа (http://securityvulns.ru/) и OffTopic (http://securityfocus.ru) как то раз конкурс объявили — взлом Windows 2000 + IIS 5 непатченный. Приз остался в студии. Ибо правильные настройки — рулят. А не никс, циска или винда. Давайте я уже закрою это бодание. Порадуемся долгожданному обновлению одного из лучших продуктов! 🙂
О! Холивар пошел… =0)
Да еще меня и обвинили в неотличении шейпера от QoS =)
Точно закрывать пора =)
Char
Судя по описанию поддержки Win 2008 этот SP не принесет. А жаль…учитывая что они выпускают SP следующая версия ISA (которая вроде как станет Forefront что-то там) будет еще не скоро.
http://www.samarasoft.ru Oleg Krylov
У меня друг работает в очень серьезной компании. Они уже вовсю тестируют ISA 2008. Бету. Судя по названию ждать видимо в течение этого года.
А дистрибутив гад, так и не дал. И пиво не помогло. 🙂
P.S. в моём предыдущем комментарии почему-то были съедены два перевода строки. После смайлика и после второй ссылки. Буду благодарен, если кто-нибудь поправит.
http://pronichkin.com Артём Проничкин
Олег, следующая версия ISA Server будет называться «Forefront Threat Management Gateway». По состоянию на сегодня она ожидается летом следующего года. Так что цифры «2008» в названиях ранних бета-версий явно лишние =)
Публичная бета-версия уже доступна. Информация тут. Правда, ссылка на загрузку битая — должна вести вот сюда.
Удачи в тестировании!
P.S. А SP1 для ISA 2006 ждём уже с недели на неделю.