5,272 بازدید

آشنایی با isa server و ویژگی های آن

Firewall Server

چکیده:

برنامه قدرتمند امنیت شبکه مایکروسافت ISA Server نام دارد که با استفاده از سرویس‌ها، سیاست‌ها و امکاناتی که در اختیار مدیران شبکه قرار می‌دهد، قادر است به عنوان راه‌حلی در ایجاد شبکه‌های مجازی (VPN) و یا برپا کردن فضای حایل به عنوان cache جهت دسترسی سریع‌تر به صفحات وب، مورد استفاده قرار گیرد. همچنین این برنامه قادر است با ایجاد یک دیواره آتش ،فعالیت سرویس‌های مختلف یک شبکه ویندوزی مثل وب سرور IIS، سرویس‌های دسترسی از راه‌دور (Routing and Remote Access) وسرور های موجود در شبکه و.. را از طریق فیلترگذاری و کنترل پورت‌ها، تحت نظر گرفته و فضای امنی را برای کاربران و شبکه در استفاده از فضای ناامن اینترنت فراهم کند.

 

کلمات کلیدی: Firewall Server ،Microsoft Forefront Management Gateway ، ISA Server 2006، Bandwidth Splitter،نصب ایزا سرور ،

 

 

downloadButton

دانلود مقاله دیواری از جنس ماکروسافت -اشنایی با isa server

 

مقدمه

راه اندازی سروری به عنوان گیت وی که به عنوان خروجی تعیین شده و کاربران بدون هیچگونه کنترل و محدودیتی از اینترنت استفاده خواهند کرد . این روش مشکلاتی دارد که در زیر به آن اشاره میکنیم :

استفاده بی جای پهنای باند توسط یک کاربر با استفاده از نرم افزارهای مخصوص دانلود و مختل کردن کار بقیه اعضا

عدم توانایی محدود یا مسدود کردن سایتهایی که کاربران وقت خود را در آن می گذرانند

عدم توانایی تقسیم بندی پهنای باند بصورت مکانیزه برای هر کاربر

دریافت ویروس و تروجان از اینترنت بدون هیچگونه کنترلی که نتیجه ی آن آلوده شدن شبکه می باشد .

عدم توانایی گزارش گیری در مورد سایتهای باز شده , پهنای باند مصرفی برای هر کاربر یا به طور کلی

عدم توانایی در محدود کردن عده ای از کاربران و آزاد گذاشتن عده ی دیگر

عدم توانایی در محدود کردن یا زمانبندی اینترنت در ساعت کاری , غیر کاری و یا روزهای تعطیل

عدم امنیت کاربران در فضای ناامن اینترنت و …

اما راه حلی که شرکت ماکروسافت ارایه کرده است و ان محصول قدرتمندش ISA Server است .

راه حلی از جنس ماکروسافت !

ISA یک پروکسی سرور می باشد که می توان از آن برای کنترل تمامی خروجی های اینترنت و پرت ها استفاده کرد و کلاینتها از طریق آن با اینترنت ارتباط برقرار می کنند و هر قانونی که روی آن اعمال شود بر روی تمامی کلاینتها اجرا می شود . در آیزا سرور هیچ ارتباطی بدون تعریف قانون از آن عبور نمیکند.

گاهی در یک شبکه بر اساس نیازها باید قوانینی برای هر کاربر مشخص شود . اما سوالی که اینجا مطرح می شود این است که آیزا سرور چطور تشخیص می دهد که یک قانون بر روی چه کسی باید اعمال شود و بر روی چه کسی نباید اعمال شود .

که در ادامه به این بخش خواهیم پرداخت .

 

معرفی نقش های قابل ایفا توسط ISA Server

ISA Server می تواند نقش های متفاوتی را درشبکه ایفا کند از جمله

Firewall Server

Internet sharing Server (NAT)

Proxy Server

Cache Server

VPN Server

که در ادامه به بررسی تعدادی از نقش های زیر خواهیم پرداخت .

Firewall Server : مکانیسمی است که ترافیک ورودی و خروجی مربوط به شبکه را مورد بررسی قرا می دهد و بر اساس معیارهایی اجازه ورود و خارج شدن ترافیک مورد نظر را در یک شبکه صادر می کند .

Firewall Server از تکنیک های زیر استفاده می کند

Packet Filtering

State Full Filtering

Aplication Filtering

در عملکرد مربوط به Packet Filtering بر اساس مدل OSI معیارهایی که در لایه سه و چهار مدل وجود دارد از جمله پورت و پروتوکل در لایه چهار و ای پی ادرس ان در لایه ۳.

مثلا Packet مورد نظر باید از پروتوکل های HTTP;HTTPS FTP; باید استفاده کند و فقط از پورت های مربوط به خودش باز باشد.

در عملکرد مربوط به State Full Filtering از معیارهایی استفاده می شود که در لایه چهار و هفت مدل OSI وجود دارند .

در این مدل عمکرد اعمال فیلترینگ بر اساس Session های ارتباطی صورت می گیرد ، مثلا packet که از شبکه خارجی به شبکه داخلی وارد می شود مربوط به در خواستی است که یکی از کلاینت های داخلی شبکه فرستاده است و مشخصاتی که ان Packet دارد عینا همان در خواستی است و یا خیر ؟

در عملکرد مربوط به Aplication Filtering ،از یک سری مشخصات مربوط به برنامه ها استفاده می شود تا دسترسی انان و ترافیک مورد استفاده برنامه ها استفاده شود تا دسترسی انان و ترافیک مورد استفاده برنامه ها را کنترل کند .

مثلا می توانید نرم افراز Yahoo Messenger را بر همین اساس محدود کرده و اجازه ارتباط ان با شبکه را ندهید.

در این شرایط به جای اینکه فعالیت نرم افزار را از طریق بستن پورت جلوگیری کنید، از مشخصه های مربوط به این نرم افزار در لایه Aplication و تعریف ان در ایزا استفاده می کنید و ترافیک مربوط به نرم افزار Yahoo Messenger را کنترل کنید .

بسیاری از پروتوکل های مهم و حساس نظیر HTTP ،FTP ،SMTP در لایه Aplicaton کار می کنند و بسیاری از حملات از این لایه انجام می گیرد ،بنابراین با فیلترینگ قوی در این لایه امنیت شبکه را می توان بهبود بخشید.

 

Internet sharing Server (NAT):

ISA server می تواند با استفاده از منطق کاری NAT اینترنت را در کامیوترهای شبکه به اشتراک بگذارد .

به این ترتیب که می توانید دسترسی کلاینت ها را بر اساس برنامه زمانبندی مشخص نمایید و تعیین نمایید که چه مقدار کلاینت ها بتوانند از پهنای باند اینترنت استفاده نمایند و بسیاری از سیاست هاو محدویت هایی دیگر که می توان برای کاربران اعمال نمود.

 

Proxy Server : ISA server هنگامی که در نقش Proxy در شبکه فعالیت می کند می تواند دسترسی کاربران و کامپیوترهای شبکه را به سایت ها ومنابع اینترنتی را کنترل و محدود نمایید مثلا می توانید به یکسری از سایت ها رار بر اساس موضوع و یا کلمه خاص در ادرس ان و یا لیست دستی از ادرس ها و یا موارد مشابه مسدود نمایید .

معیارهای مورد نظر را می توانید بر اساس تک تک کاربران یا گروهی از کاربران ازاد باشد و برای گروهی دیگر محدود شده باشد.

موارد مورد نظر را می توانید با استفاده از access Rule ها در ISA Server تعریف نمایید .

 

Cache Server :  یکی از ویژگی هایی که باعث افزایش سرعت دسترسی به اینترنت می شود نقش Cache Server در ISA می باشد

بر اساس منطق کار کرد Cache Server هر درخواستی که کلاینت ها به دسترسی به اینترنت فرستاده می شود به ISA Server فرستاده می شود بعد از اینکه درخواست کاربر از وب سرور دریافت نمود ابتدا یک نسخه از درخواست را برای خود Cache می کند تا در صورت درخواست های بعدی از ان استفاده کند و سپس به در خواست کلاینت پاسخ می دهد.

این عمل Cache باعث می شود تا اگر کاربر دیگری درخواست همان صفحه را نمود با سرعت بیشتری محتویات سایت را برای ان نمایش دهد.

 

VPN Server: در واقع ISA server شرایطی را فراهم می کند که بر اساس ان کاربران از کامپیوترهایی خارج از سازمان یا شرکت و از طریق ارتباط امن VPN به شبکه داخلی مختص به سازمان یا شرکت متصل شوند . و بتوانند در محیطی امن به کامپیوترهای موجود در شبکه سازمان متصل شوند و از خدمات انها استفاده نمایند.

نصب و پیکربندی ISA Server

قبل از نصب نخست انواع نگارش های مربوط به این نرم افزار اشنا شوید .

ISA Server 2004

دانلود نسخه ISA Server 2006 –

 – دانلود نسخه و اموزش TMG Server 2010

نگارش های ۲۰۰۴ و ۲۰۰۶ را می توانید بر روی windows server 2003 نصب نمایید اما نگارش TMG Server 2010بر روی سیستم عامل های ۶۴ بیتی Server 2008 ,R2 ,قابل نصب می باشد.

ISA Server را می توانید در هر دو حالت Domain و workgroup نصب نمایید اما در حالت workgroup قابلیت های کاری ان محدود می شود .

در حالت Domain مدیریت بهتری وجود دارد چون برای تایید هویت کاربران از Active Directory استفاده می شود .

برای نصب ISA Server 2006 موارد زیر را نیاز دارید :

Windows server 2003 SP2-(R2)

CPU(P4)

RAM(512)

HDD(150MB)

NIC(2 ) کارت شبکه

Partion With NTFS Format

پیشنهاد شده که حداقل ۲ GB RAM داشته باشد تا در زمان پردازش ترافیک شبکه مشکلی نداشته باشد و همچنین دو کارت شبکه یکی برای ارتباط با شبکه داخلی و دیگری تامین کننده اینترنت که می تواند از طریق USB و یا یک connection نیز باشد .

بعد از فراهم نمودن مقدمات نصب و نصب ISA Server 2006 و نصب نسخه Enterprise ان و تعریف نمودن یک Access Roul برای اجازه عبور ترافیک شبکه از ISA باید مشخص کنید که کلاینت های موجود در شبکه به چه صورتی در ISA متصل شوند شما سه انتخاب دارید :

۱-secure NAT clinets

۲-Web proxy

۳-Firewall clinets

می توان با یکی از سه روش فوق می تواند به اینترنت دسترسی پیدا کند

۱-secure NAT clinets

کافی است Default Gateway را برای تمامی کلاینت های داخل شبکه تنظیم نمایید که این IP Adress کارت شبکه ISA server است که به شبکه داخلی وصل شده است .

نکته جالب توجه ان است که تمامی سیستم عامل هایی که از TCP/IP addressing پشتیبانی می کنند می توانند به ISA server متصل شوند از جمله UNIX،LINUX ، MAC ، WINDOWS می توانند اتصال پیدا کنند.

عدم کنترل به اینترنت بر اساس کاربران(کاربران تایید هویت ندارند و با تنظیم نمودن Default Gateway می توانند به اینترنت دسترسی پیدا کنند ) و گروه ها و پشتیبانی کمتر از پروتوکل ها از معایب این روش است.

۲-Web proxy

این قابلیت به صورت پیش فرض بر روی ISA فعال می باشد و بر روی پورت ۸۰۸۰ درخواست های کلاین ت ها را پاسخ می دهد.

کلاینت های فوق می بایست دارای internet browser سازگار با ISA server بر روی خود باشند .

به عنوان مثال Internet Explorer Mozilla Firefox, ,chrome و..

از ضعف های Web proxy پشتیبانی محدود از پروتوکل ها می باشد به نحوی که فقط از پروتوکل های زیز پشتیبانی می کندHTTP, HTTPS,FTP over HTTP

برای تنظیمات Web proxy می توان هم به صورت دستی این کار را نمود هم در Policy GPO با اعمال تنظیمات به صورت اتوماتیک در internet browser کلاینت ها تنظیمات دلخواه را اعمال نمود .

۳-Firewall clinets

این روش در واقع کامل ترین و مناسب ترین اتصال به ISA و اینترنت است .

امکان مدیریت دسترسی کاربران و گروه های مختلف به اینترت از این طریق قابل انجام است .

برای نصب Firewall clinets هم می توانید به ۲ صورت دستی و یا از GPO با داشتن فرمت مناسب MSI Pakage برنامه Firewall clinets را نصب کنید .

نقاط منفی Firewall clinets می توان سازگاری ان فقط با سیستم عامل های ماکروسافتی و همچنین نصب Firewall clinets ان اشاره نمود .

برنامه کمکی در کنار ISA Server

یکی از قابلیت های ISA Server نصب نمودن برنامه های کمکی در داخل ان است این دست از نرم افزارها به صورت مکمل بوده و به ISA کمک می کند تا قابلیت های بیشتری داشته باشد .

Bandwidth Splitter : یکی از این نرم افزارها است که می توانید پهنای باند کاربران و کامپیوترهای شبکه داخلی را مدیریت نمایید که می تواند محدودیت سرعت دانلود را بر روی کاربران اعمال نمود . بخش دیگر ان مانیتورینگ مشاهده حجم مصرفی پهنای باند کاربران است . از جمله مزایای ان اعمال سرعت دانلود و اپلود مشخص برای کاربران و حجمی نمودن پهنای باند کاربران است .

GFI Web monitor : یکی دیگر از برنامه های کاربردی مختص به ISA server است که قابل نصب بر روی نسخه های ۲۰۰۴ و ۲۰۰۶ است از جمله قابلیت های ان می توان به :

مشاهده زنده ترافیک و دانلود سایت های بازدید شده کاربران و مسدود کردن دسترسی به صورت انی

به دست اوردن امار بازدید سایت ها

مدیریت دانلود فایل های کاربران از اینترنت

تعریف سایت ها در لیست های سیاه و سفید

امکان بررسی فایل های دانلود شده توسط کاربران توسط انتی ویروس می توان اشاره کرد .

مراجع :

[۱] http://technet.microsoft.com/en-us/forefront/bb758895.aspx

http://www.isaserver.org[2]

http://www.chmag.com[3]

http://farzantech.com/[4]

http://modir-shabake.com/[5]

http://www.gfi.com/internet-monitoring-software[6]

http://www.bsplitter.com[7]

 

downloadButton

دانلود مقاله دیواری از جنس ماکروسافت -اشنایی با isa server

 

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

* پاسخ به پرسش امنیتی ! * Time limit is exhausted. Please reload the CAPTCHA.