SO WIRD'S GEMACHT: Sicheres Verbinden des Unternehmens mit dem Internet

Dieser Artikel mit schrittweisen Anleitungen beschreibt, wie kleine Unternehmen mit weniger als 255 Arbeitsstationen Computer in einem vorhandenen Windows-basierten Netzwerk mit dem Internet über firewallgesicherte ISA-Dienste (Microsoft Internet Security Acceleration) verbinden können.

1. Installieren des ISA-Servers

Ein ISA-Firewall erfordert einen Computer mit zwei Netzwerkadaptern. Sie müssen einen dieser Adapter mit Ihrem internen Netzwerk verbinden. Sie verbinden den anderen Adapter mit Ihrem Internetdienstanbieter. Ihr Internetdienstanbieter kann Sie beim Herstellen dieser Verbindung unterstützen. Ein Firewall fungiert als Sicherheitsbarriere zwischen dem Intranet und dem Internet. Er verhindert, dass andere Internetbenutzer auf vertrauliche Informationen in Ihrem internen Netzwerk oder auf Ihrem Computer zugreifen können.

So planen Sie die Installation

• Sie können ISA Server Standard Edition auf einem eigenständigen Computer, auf einem Computer, der Mitglied einer Windows NT-Domäne ist, oder auf einem Computer ausführen, der Mitglied einer Windows 2000 Active Directory-Domäne ist.
• Führen Sie ISA Server auf einem eigenständigen Computer aus, um maximale Sicherheit zu erzielen.
• Die Konfiguration der Netzwerkadapter umfasst das Einrichten der externen Schnittstelle zum Internet sowie das Einrichten der internen Schnittstelle zu Ihrem Windows-basierten Netzwerk.
• Ihr Internetdienstanbieter sollte eine statische IP-Adresse, eine Subnetzmaske, ein Standardgateway sowie einen oder mehrere DNS-Server bereitstellen. Geben Sie diese Informationen in den TCP/IP-Einstellungen des Adapters ein, der mit Ihrem Internetdienstanbieter verbunden ist. Einige Internetdienstanbieter ziehen es vor, diese Informationen mit DHCP (Dynamic Host Configuration Protocol) zuzuweisen. Diese Vorgehensweise ist ebenfalls zulässig.

So konfigurieren Sie die Netzwerkadapter des Servers

1. Klicken Sie auf dem Desktop mit der rechten Maustaste auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften.
2. Klicken Sie mit der rechten Maustaste auf Ihre Internetverbindung, klicken Sie auf Umbenennen, und geben Sie dann Folgendes ein: Internetverbindung . Auf diese Weise können Sie sich besser merken, welche Netzwerkkarte mit dem Internet verbunden ist.
3. Klicken Sie mit der rechten Maustaste auf die Internetverbindung, und klicken Sie dann auf Eigenschaften.
4. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Symbol bei Verbindung in der Taskleiste anzeigen. Wenn diese Schnittstelle Daten überträgt, blinkt ein kleines Symbol auf der Taskleiste.
5. Deaktivieren Sie die Kontrollkästchen Client für Microsoft-Netzwerke und Datei- und Druckerfreigabe für Microsoft-Netzwerke. ISA Server blockiert diese Protokolle automatisch. Wenn Sie diese Kontrollkästchen deaktivieren, sparen Sie Speicher.
6. Doppelklicken Sie auf Internetprotokoll (TCP/IP), und führen Sie dann einen der folgenden Schritte aus:
   • Wenn Ihr Internetdienstanbieter DHCP zum Zuweisen von IP-Adressen verwendet, aktivieren Sie im Dialogfeld Internetprotokolleigenschaften (TCP/IP) die Kontrollkästchen IP-Adresse automatisch beziehen und DNS-Serveradresse automatisch beziehen. Fahren Sie anschließend mit Schritt 7 fort.
   • Wenn Sie die IP-Adressinformationen von Ihrem Internetdienstanbieter manuell eingeben müssen, aktivieren Sie im Dialogfeld Internetprotokolleigenschaften (TCP/IP) das Kontrollkästchen Folgende IP-Adresse verwenden, und geben Sie dann die Adresse, die Subnetzmaske und die Standardgatewayinformationen ein, die Ihr Internetdienstanbieter bereitstellt. Aktivieren Sie das Kontrollkästchen Folgende DNS-Serveradressen verwenden, und geben Sie dann den Namen des oder der vom Internetdienstanbieter bereitgestellten DNS-Server ein.
7. Klicken Sie auf Erweitert und dann auf die Registerkarte DNS. Deaktivieren Sie das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren.

HINWEIS: Sie müssen eine permanente Adresse und eine entsprechende Subnetzmaske für Ihr internes Netzwerk auf dem internen Adapter eingeben (verwenden Sie für diese Schnittstelle nicht DHCP). Lassen Sie das Feld für das Standardgateway leer. Der ISA Server-Computer benötigt nur ein Standardgateway: das Gateway, das für die externe Schnittstelle konfiguriert ist. Wenn Sie ein Standardgateway für den internen Adapter konfigurieren, funktioniert ISA nicht mehr.

So konfigurieren Sie die interne Schnittstelle zu Ihrem Netzwerk

1. Klicken Sie mit der rechten Maustaste auf Netzwerkumgebung, und klicken Sie dann auf Eigenschaften. Klicken Sie mit der rechten Maustaste auf Ihre LAN-Verbindung, klicken Sie auf Umbenennen, und geben Sie dann Folgendes ein: Lokales Netzwerk .
2. Klicken Sie mit der rechten Maustaste auf Lokales Netzwerk, und klicken Sie dann auf Eigenschaften.
3. Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Symbol bei Verbindung in der Taskleiste anzeigen.
4. Aktivieren Sie das Kontrollkästchen Client für Microsoft-Netzwerke und Datei- und Druckerfreigabe für Microsoft-Netzwerke, wenn diese nicht bereits aktiviert sind.
5. Doppelklicken Sie auf Internetprotokoll (TCP/IP), und aktivieren Sie dann das Kontrollkästchen Folgende IP-Adresse verwenden.
6. Geben Sie im Feld IP-Adresse eine interne IP-Adresse und eine Subnetzmaske ein, die im Adressierungsschema Ihres internen Netzwerkes sinnvoll sind. Lassen Sie das Feld Standardgateway leer. Geben Sie unter Bevorzugter DNS-Server die IP-Adresse des oder der DNS-Server Ihres Netzwerkes ein.
   
   HINWEIS: In sehr kleinen Netzwerken mit weniger als 255 Computern verwenden diese APIPA (Automatic Private IP Address Assignment), wenn Sie die TCP/IP-Standardkonfiguration von Windows 2000 verwenden und nicht über einen DNS-Server im Netzwerk verfügen. Sie sollten aus APIPA migrieren und mit dem Verwenden statischer Adressen auf den Clientarbeitsstationen beginnen. Jeder Computer im Netzwerk benötigt eine eindeutige IP-Adresse. Wenn Sie die interne Schnittstelle von ISA Server konfigurieren, müssen Sie eine statische Adresse eingeben. Verwenden Sie die Adresse 192.168.0.254 und die Subnetzmaske 255.255.255.0. Lassen Sie das Feld Standardgateway leer. Geben Sie den DNS-Server Ihres Internetdienstanbieters in die Felder DNS-Server ein.
   
   Konfigurieren Sie nun statische Adressen auf allen Clients:
   • Verwenden Sie auf dem ersten Computer die Adresse 192.168.0.1, die Subnetzmaske 255.255.255.0 und das Standardgateway 192.168.0.254. Geben Sie für DNS den DNS-Server (oder die Server) Ihres Internetdienstanbieters ein.
   • Verwenden Sie auf dem zweiten Computer die Adresse 192.168.0.2, und verwenden Sie dann die gleichen Werte wie im vorangegangenen Schritt. Im Gegensatz zur Adresse bleiben diese anderen Werte immer gleich, inkrementieren jedoch die Adresse für jeden zusätzlichen Computer. Verwalten Sie eine Liste der Computer und ihrer Adressen.
7. Starten Sie den Computer neu, sobald Sie dazu aufgefordert werden.

2. Installieren von Microsoft Internet Security and Acceleration Server 2000 Standard Edition

Wenn Sie Windows 2000 Service Pack 1 (SP1) und die Hotfixes von der Microsoft ISA Server 2000 Standard Edition-CD noch nicht installiert haben, installieren Sie diese jetzt.

So installieren Sie das Service Pack

1. Legen Sie die Windows 2000 SP1-CD in das CD-ROM-Laufwerk ein.
2. Schließen Sie das Dialogfeld Microsoft ISA Server Setup, das angezeigt wird (wenn Sie das Feature Automatische Benachrichtigung beim Wechsel deaktiviert haben, wird dieses Dialogfeld nicht angezeigt).
3. Doppelklicken Sie auf dem Desktop auf das Symbol Arbeitsplatz.
4. Klicken Sie mit der rechten Maustaste auf das CD-ROM-Laufwerk, und klicken Sie dann auf Durchsuchen. Navigieren Sie zum Ordner \Support\Windows2000_SP1.
5. Doppelklicken Sie auf die Programmdatei Sp1network.exe, um das Service Pack zu installieren.
6. Nach dem Installieren des Service Packs müssen Sie den Computer neu starten.

So installieren Sie die Hotfixes

1. Legen Sie die Microsoft Internet Security and Acceleration Server 2000 Standard Edition-CD in das CD-ROM-Laufwerk ein.
2. Navigieren Sie zum Ordner \Support\Hotfixes\Win2000.
3. Doppelklicken Sie auf die Datei Q275286_W2K_SP2_x86_en.exe.
4. Starten Sie nach dem Anwenden der Hotfixes den Computer neu.

Nun können Sie Microsoft ISA Server 2000 Standard Edition installieren. Der Installer stellt Ihnen mehrere Fragen.

So verwenden Sie den ISA Server-Setup-Assistenten

1. Doppelklicken Sie auf dem Desktop auf Arbeitsplatz. Doppelklicken Sie auf das CD-ROM-Laufwerk, um dieses zu öffnen.
   
   HINWEIS: Der ISA Server-Setup-Assistent startet automatisch, wenn das Feature Automatische Benachrichtigung beim Wechsel nicht deaktiviert ist. Wenn der Assistent nicht automatisch gestartet wird, navigieren Sie zum Stammverzeichnis der CD, und doppelklicken Sie dann auf die Datei ISAAutorun.exe, um sie auszuführen. Klicken Sie auf ISA Server installieren, um mit der Installation zu beginnen.
2. Klicken Sie auf dem Begrüßungsbildschirm Willkommen auf Weiter. Geben Sie die Product ID in das entsprechende Feld ein. Sie finden diese Nummer auf der Rückseite der CD-Hülle.
3. Lesen Sie den Lizenzvertrag, und klicken Sie dann auf Ich stimme zu.
4. Klicken Sie auf Standardinstallation, um die Installationsart anzugeben. Diese Option installiert die ISA-Dienste und die Verwaltungsprogramme.
5. Klicken Sie auf Firewallmodus. ISA beendet relevante Dienste auf dem Computer.
6. Konfigurieren Sie die lokale Adresstabelle (Local Address Table, LAT) für ISA. Das Konfigurieren der LAT muss mit Sorgfalt durchgeführt werden. Sie besitzen zwei Wahlmöglichkeiten: Erstellen der LAT oder Verwenden des Setup-Assistenten. Treffen Sie Ihre Entscheidung auf der folgenden Grundlage:
   • Wenn Sie das oder die Subnetze kennen, die das interne Netzwerk verwendet, geben Sie diese(s) an dieser Stelle ein. Vorsicht: Klicken Sie nicht auf die Schaltfläche Tabelle erstellen! Andernfalls werden die von Ihnen eingegebenen LAT-Informationen überschrieben.
   • Wenn Sie die lokalen Subnetze nicht kennen, klicken Sie auf die Schaltfläche Tabelle erstellen. Der ISA-Setup-Assistent ermittelt die lokalen Subnetze basierend auf der Routingtabelle des Computers.
     • Aktivieren Sie das Kontrollkästchen Fügen Sie die folgenden privaten Bereiche hinzu, wenn dieses nicht bereits aktiviert ist.
     • Aktivieren Sie das Kontrollkästchen Adressbereiche basierend auf der Windows 2000-Routingtabelle hinzufügen, wenn dieses nicht bereits aktiviert ist.
     • Deaktivieren Sie das Kontrollkästchen, das das Subnetz enthält, das der externen Schnittstelle (Internetverbindung) des Servers entspricht.
     • Aktivieren Sie das Kontrollkästchen, das das Subnetz enthält, das der internen Schnittstelle (LAN-Verbindung) des Servers entspricht.
7. Wenn Setup abgeschlossen ist, starten Sie den Verwaltungs-Assistent "Erste Schritte", und lesen Sie dann den nächsten Abschnitt, bevor Sie mit dem Assistenten fortfahren.

Der Zustand von ISA Server nach der Installation blockiert jeglichen Zugriff auf das und aus dem Internet. Dies ist sinnvoll! Denken Sie daran, dass Sie einen Firewall einrichten. Die Hauptaufgabe eines Firewalls besteht in seiner Funktion als Prüfpunkt zwischen zwei Netzwerken. Das Verhalten von ISA Server blockiert alle Zugriffe, die durch eine Richtlinie nicht ausdrücklich erlaubt sind.

So konfigurieren Sie den Zustand nach der Installation von ISA

Sie müssen die folgenden beiden Komponenten einer Zugriffsrichtlinie konfigurieren, damit die Clients auf das Internet zugreifen können:

• Sie müssen mindestens eine Site- und Inhaltsregel konfigurieren, in der Sie angeben, wohin Benutzer navigieren und welche Inhalte sie abrufen dürfen.
• Sie müssen mindestens eine Protokollregel konfigurieren, die die Datenverkehrsarten angibt, die über ISA Server zulässig sind.

Nach der Installation erstellt ISA eine Site- und Inhaltsstandardregel, die allen Clients jederzeit Zugriff auf beliebige Inhalte in allen Sites erlaubt. Dies reicht jedoch nicht aus, damit Benutzer mit dem Surfen im Internet beginnen können: Es wurde noch keine Protokollregel definiert. Ohne diese Regel ist kein Verkehr über ISA zulässig.

Erste Schritte

1. Klicken Sie in Erste Schritte auf Protokollregeln konfigurieren. Die Liste der Protokollregeln wird in MMC (Microsoft Management Console) angezeigt.
2. Klicken Sie auf Protokollregel erstellen. Geben Sie einen Namen ein, z. B. "Alle Protokolle".
3. Klicken Sie auf Zulassen, um die Aktion der Regel festzulegen (dies ist die Standardeinstellung).
4. Klicken Sie auf Gesamter IP-Verkehr, um die Protokollliste festzulegen (dies ist die Standardeinstellung).
5. Klicken Sie auf Immer, um den Zeitplan festzulegen (dies ist die Standardeinstellung).
6. Klicken Sie auf Any Request(bzw. die entsprechende deutschsprachige Schaltfläche), um den Clienttyp festzulegen (dies ist die Standardeinstellung).
7. Klicken Sie auf Fertig stellen.

So erstellen Sie Richtlinien für das Herstellen von Verbindungen mit dem Internet durch Benutzer

ISA Server umfasst weitaus mehr als das Zulassen des jederzeitigen Zugriffs auf beliebigen Inhalt in allen Sites mit allen (definierten) Protokollen für alle Clients. In ISA können Sie Zugriffsrichtlinien erstellen, die Sie zum genauen Definieren des Zugriffs auf das Internet durch Benutzer verwenden können.

ISA-Zugriffsrichtlinien bestehen aus den folgenden drei Elementen:

• Site- und Inhaltsregeln
• Protokollregeln
• IP-Paketfilter

Die Regeln selbst bestehen aus den folgenden Richtlinienelementen:

• Zeitpläne
• Zielmengen
• Clientadressmengen
• Protokolldefinitionen
• Inhaltsgruppen

Zwischen den einzelnen Elementen bestehen Abhängigkeiten, die Sie verstehen müssen, bevor Sie komplexe Funktionen mit den ISA-Richtlinien durchführen können. Die folgende Tabelle beschreibt die Zugehörigkeit von Richtlinienelementen zu Richtlinienregeln:

So greifen Sie vom ISA-Computer aus auf das Internet zu

Was gilt für den Zugriff auf das Internet vom ISA-Computer selbst aus? Wenn Sie physisch am ISA-Computer arbeiten und auf eine bestimmte Website zugreifen möchten, gelten die von Ihnen erstellten Protokoll- sowie Site- und Inhaltsregeln nur für Clients, die sich hinter dem ISA-Server befinden. Wenn ein Client auf das Internet zugreifen möchte, erstellt ISA einen dynamischen Paketfilter für diese Verbindungsanforderung, wenn die Anforderung gemäß den Regeln zulässig ist. Wenn Sie jedoch am ISA-Computer arbeiten und auf das Internet zugreifen möchten, müssen Sie statische Paketfilter entsprechend den Datenverkehrsarten erstellen, die Sie generieren. Um z. B. auf eine Website zuzugreifen, führen Sie die folgenden Schritte aus:

1. Erweitern Sie in ISA-Verwaltung Server, erweitern Sie dann Servername, klicken Sie auf Zugriffsrichtlinie, und klicken Sie dann auf IP-Paketfilter.
2. Klicken Sie auf Paketfilter erstellen, um einen Assistenten zu starten.
3. Benennen Sie den Paketfilter folgendermaßen:
   Webzugriff
4. Klicken Sie auf Paketübertragung zulassen, und klicken Sie dann auf Benutzerdefiniert.
5. Klicken Sie auf TCP als IP-Protokoll, klicken Sie auf Ausgehend, um die Richtung anzugeben, klicken Sie auf Alle Ports, um den lokalen Port anzugeben, und klicken Sie dann auf Fester Port, um den Remoteport anzugeben. Geben Sie 80 in das Feld Portnummer ein.
6. Wählen Sie IP-Standardadressen für jede externe Schnittstelle aus, die sich auf dem ISA-Server befindet.
7. Klicken Sie auf Alle Remotecomputer.

Nun können Sie vom ISA-Server aus auf Websites zugreifen. Es wird empfohlen, diese Schritte unter Angabe des SSL-Zugriffs in Schritt 3 und von Port 443 (statt Port 80) in Schritt 6 zu wiederholen, weil viele Webserver das SSL-Protokoll verwenden. Wenn Sie weitere Protokolle zulassen möchten, verwenden Sie die gleichen Schritte unter Angabe eines entsprechenden Namens in Schritt 3 und der erforderlichen Einträge in Schritt 6.

3. Fehler

Die meisten Probleme entstehen, weil die Interaktionen zwischen Richtlinienelementen, Richtlinienregeln und Paketfiltern nicht in vollem Umfang verstanden wurden. Wenn Sie weitergehende Aufgaben als das Verwenden der generischen Zugriffsrichtlinie durchführen möchten, die Sie anfangs erstellt haben (durch Befolgen der Anleitung in Abschnitt 3.4), sollten Sie sicherstellen, dass Sie Abschnitt 4 in allen Punkten verstanden haben. Lesen Sie außerdem die Onlinehilfe zu Microsoft Internet Security and Acceleration Server 2000 Standard Edition. Erstellen Sie einige Richtlinien, und führen Sie dann Tests durch. Das Verstehen von Zugriffsrichtlinien wird außerdem durch Kenntnis des ISA Server-Vokabulars und der Komponenteninteraktionen vereinfacht.

HINWEIS: ISA Server ermöglicht keine direkten Verbindungen zwischen Computern in der LAT und der Außenwelt. Sie müssen eine Richtlinie erstellen, die den Zugriff beschreibt, den Sie erlauben möchten.

4. VERWEISE

Hilfe zur Problembehandlung von ISA Server finden Sie in der Onlinehilfe zu Microsoft Internet Security and Acceleration Server 2000 Standard Edition.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.