نمایش نتایج: از شماره 1 تا 12 از مجموع 12
سپاس ها 1سپاس

موضوع: آشنايي با ISA Server 2004

  
  1. #1
    نام حقيقي: محمد رسول راستی

    مدیر عمومی شناسه تصویری M-r-r
    تاریخ عضویت
    Feb 2004
    محل سکونت
    تهران
    نوشته
    9,486
    سپاسگزاری شده
    4309
    سپاسگزاری کرده
    2706

    آشنايي با ISA Server 2004

    متن زیر صرفا یک کپی از مقاله اصلی بوده و منتقل کننده (که بنده باشم !‌) هیچ دخل و تصرفی در آن ندارد .
    آدرس اولیه مقاله : http://www.shabakeh-mag.com/Articles...aspx?n=1001312
    با تشکر از جناب ps_win_inc که لینک این مطلب رو برای من ارسال کردند .
    فقط خدا کنه تکراری نباشه !



    آشنايي با ISA Server 2004
    مترجم : مهيار داعي الحق
    ماهنامه شبکه - خرداد ۱۳۸۴ شماره 54

    اشاره :
    شركت مايكروسافت نرم‌افزارهاي متعددي را تحت عنوان Microsoft Server Systems در كنار سيستم‌عامل اصلي سرور خود يعني ويندوز 2000 تا 2003 عرضه كرده كه وظيفه ارايه سرويس‌هاي متعددي را از انواع ارتباطات شبكه‌اي گرفته تا امنيت و غيره به عهده دارند. در اين شماره قصد داريم به معرفي سرور كنترل ارتباط شبكه‌اي يعني ISA Server بپردازيم.




    ● آشنايي‌
    برنامه قدرتمند ارتقاء و امنيت شبكه مايكروسافت ISA Server نام دارد. اين برنامه با استفاده از سرويس‌ها، سياست‌ها و امكاناتي كه در اختيار كاربران قرار مي‌دهد قادر است به عنوان راه‌حلي در ايجاد شبكه‌هاي مجازي
    (VPN) و يا برپا كردن فضاي حايل به عنوان cache جهت دسترسي سريع‌تر به صفحات وب، مورد استفاده قرار گيرد. همچنين اين برنامه قادر است با ايجاد يك ديواره آتش در لايه Application شبكه، فعاليت سرويس‌هاي مختلف يك شبكه ويندوزي مثل وب سرور IIS، سرويس‌هاي دسترسي از راه‌دور (Routing and Remote Access) را از طريق فيلترگذاري و كنترل پورت‌ها، تحت نظر گرفته و فضاي امني را براي آن‌ها فراهم كند. اين برنامه با استفاده از نظارت دايمي خود بر پروتكل امنيتي SSL و فيلتر كردن درخواست‌هاي Http كه به سرور مي‌رسد، وب سرور و ايميل سرور را از خطر حمله هكرها دور نگه مي‌دارد. به همين ترتيب، كليه ارتباطات شبكه‌اي كه با يك سرور برقرار مي‌شود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و يا IIS، بايد از سد محكم ISA عبور كنند تا درخواست‌ها و ارتباطات مشكوك با سرور مسدود گردد.
    سايت مايكروسافت براي بررسي اهميت وجود ISA در يك شبكه، كليه راه‌حل‌هاي اين برنامه را كه با استفاده از سرويس‌ها و امكانات ويژه موجود در آن، ارايه گشته است به هفت سناريو يا وضعيت مختلف تقسيم كرده كه به آن‌ها مي‌پردازيم. (تصاوير مقاله از سايت مايکروسافت برداشته شده اند)

    ● سناريوي اول‌

    شكل 1

    از ISA براي تأمين امنيت ايميل‌ها استفاده مي‌شود. ISA Server با استفاده از دو روش استاندارد يعني SSL decryption وهمچنين Http Filtering اولاً از ورود كدهاي مشهور به malicious كه عمدتاً بدنه انواع كرم‌ها و ويروس‌ها را مي‌سازند جلوگيري به عمل مي‌آورد و ثانياً محتواي درخواست‌هاي Http را براي بررسي مجوز دسترسي آن‌ها و صلاحيت دريافت و ارسال اطلاعات مورد كنكاش قرار مي‌دهد. در اين حالت، ISA همچنين از هر نوع اتصال افراد با اسم كاربري anonymous كه مي‌تواند منشأ شكستن رمزعبورهاي مجاز يك سرويس‌دهنده ايميل شود، جلوگيري مي‌كند. به هر حال با وجود اين كه يك ايميل سرور مثل Exchange راه‌حل‌هاي امنيتي مخصوص به خود را دارد، اما وجود ISA به‌عنوان ديواره آتش يك نقطه قوت براي شبكه به حساب مي‌آيد. ضمن اين‌كه در نسخه‌هاي جديد ISA امكان ايجاد زنجيره‌اي از سرورهاي ISA كه بتوانند با يك سرورExchange در تماس بوده و درخواست‌هاي كاربران را با سرعت چند برابر مورد بررسي قرار دهد باعث شده تا اكنون به ISA عنوان فايروالي كه با قدرت انجام توازن بار ترافيكي، سرعت بيشتري را در اختيار كاربران قرار مي‌دهد در نظر گرفته شود. (شكل 1)

    ● سناريوي دوم‌

    شكل 2

    ISA مي‌تواند در تأمين امنيت و دسترسي از راه دور نيز مورد استفاده قرار گيرد. در اين سناريو، يك شركت برخي از اطلاعات سازمان خود را براي استفاده عموم در معرض ديد و يا استفاده كاربران خارج از سازمان قرار مي‌دهد. به عنوان مثال بسياري از شركت‌ها مسايل تبليغاتي و گاهي اوقات سيستم سفارش‌دهي خود را در قالب اينترنت و يا اينترانت براي كاربران باز مي‌گذارند تا آن‌ها بتوانند از اين طريق با شركت ارتباط برقرار نمايند. در اين صورتISA مي‌تواند به صورت واسط بين كاربران و سرويس‌هاي ارايه شده توسط وب سرور يا بانك‌اطلاعاتيSQLServer كه مشغول ارايه سرويس به محيط خارج است، قرار گرفته و بدين‌وسيله امنيت دسترسي كاربران به سرويس‌هاي مجاز و حفاظت از منابع محرمانه موجود در سيستم‌ را فراهم آورد.
    (شكل 2)

    ● سناريوي سوم‌

    شكل 3


    در اين سناريو، دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخي موارد همكاري اطلاعاتي دارند، توسط فضاي اينترنت و از طريق سرورها و دروازه‌هاي VPN با يكديگر در ارتباط هستند. به عنوان مثال يكي از شركاي يك شركت تجاري، محصولات آن شركت را به فروش رسانده و درصدي از سود آن را از آن خود مي‌كند. در اين روش به صورت مداوم و يا در ساعات معيني از شبانه‌روز، امكان ردوبدل اطلاعات بين دو شركت مذكور وجود دارد. در اين زمان ISA مي‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالي و دريافتي در حين مبادله جلوگيري كند، در حالي كه هيچكدام از دو طرف احساس نمي‌كنند كه فضاي حايلي در اين VPN مشغول كنترل ارتباط بين آن‌هاست. به علاوه اين‌كه با وجود ISA، كاربران براي اتصال به سايت يكديگر بايد از دو مرحله Authentication (احراز هويت) يكي براي سرور يا دروازه VPN طرف مقابل و ديگري براي ISA عبور كنند كه اين حالت يكي از بهترين شيوه‌هاي برقراري امنيت در شبكه‌هاي VPN است. در اين سناريو، وجود يك ISA Server تنها در طرف سايت اصلي يك شركت مي‌تواند، مديريت برقراري امنيت در كل فضاي VPN هر دو طرف را به‌عهده گيرد و با استفاده از ديواره آتش لايه Application از عبور كدهاي مشكوك جلوگيري كند. (شكل 3)


    ● سناريوي چهارم‌

    شكل 4

    در سناريوي چهارم، يك شركت قصد دارد به عنوان مثال تعدادي از كارمندان خود را قادر به كار كردن با سيستم‌هاي دروني شركت از طريق يك ارتباط VPN اختصاصي بنمايد. در اين حالت براي دسترسي اين قبيل كارمندان به سرور شركت و عدم دسترسي به سرورهاي ديگر يا جلوگيري از ارسال ويروس و چيزهاي مشابه آن، يك سد محكم به نام ISA ترافيك اطلاعات ارسالي و يا درخواستي را بررسي نموده و درصورت عدم وجود مجوز دسترسي يا ارسال اطلاعات مخرب آن ارتباط را مسدود مي‌كند. (شكل 4)





    ● سناريوي پنجم‌

    شكل 5



    سناريوي بعدي زماني مطرح مي‌شود كه يك شركت قصد دارد با برپايي يك سيستم مركزي در محل اصلي شركت، ساير شعبات خود را تحت پوشش يك سيستم (مثلاً يك بانك‌اطلاعاتي) متمركز درآورد. از اين رو باز هم در اينجا مسأله اتصال شعبات شركت از طريق VPN مطرح مي‌شود. در اين صورت ISA با قرار داشتن در سمت هر شعبه و همچنين دفتر مركزي به صورت آرايه‌اي از ديواره‌هاي آتش (Array of Firewall) مي‌تواند نقل و انتقال اطلاعات از سوي شعبات به دفتر مركزي شركت و بالعكس را زيرنظر داشته باشد. اين مسأله باعث مي‌شود تا هر كدام از شعبات و دفتر مركزي به منابع محدودي از يكديگر دسترسي داشته باشند. در ضمن با وجود امكان مديريت و پيكربندي متمركز كليه سرورهاي ISA نيازي به مسؤولين امنيتي براي هر شعبه نيست و تنها يك مدير امنيت، از طريق ISA سرور موجود در دفتر مركزي مي‌تواند كليه ISA سرورهاي شعبات را تنظيم و پيكربندي كند. (شكل 5)

    ● سناريوي ششم‌

    شکل 6

    كنترل دسترسي كاربران داخل دفتر مركزي به سايت‌هاي اينترنتي، سناريوي ششم كاربرد ISA محسوب مي‌شود. در اين جا ISA مي‌تواند به كمك مدير سيستم آمده، سايت‌ها، لينك‌هاي URL و يا انواع فايل‌هايي كه از نظر وي نامناسب تشخيص داده شده، را مسدود كند. در همين هنگام فايروال نيز كار خود را انجام مي‌دهد و با استفاده از سازگاري مناسبي كه بين ISA و Active Directory ويندوز وجود دارد، اولاً از دسترسي افراد غيرمجاز يا افراد مجاز در زمان‌هاي غيرمجاز به اينترنت جلوگيري شده و ثانياً مي‌توان از اجراشدن برنامه‌هايي كه پورت‌هاي خاصي از سرور را مثلاً جهت استفاده برنامه‌هاي Instant Messaging مورد استفاده قرار مي‌دهند، جلوگيري نمود تا بدين‌وسيله ريسك ورود انواع فايل‌هاي آلوده به ويروس كاهش يابد.
    (شكل 6)

    ● سناريوي هفتم‌


    در تمام سناريوهاي قبلي كه ISA در برقراري ارتباط مناسب و امن بين سايت‌هاي اينترنت، كاربران يا شعبات شركت نقش مهمي را ايفا مي‌كرد، يك سناريوي ديگر نيز نهفته است و آن افزايش سرعت انتقال اطلاعات بين تمام موارد فوق از سايت‌هاي اينترنتي گرفته تا اطلاعات سازماني است. سيستم cache Array موجود در اين برنامه باعث مي‌شود تا هر كدام از كاربران چه در محل اصلي شركت و چه از محل شعبات بتوانند براي ديدن اطلاعات يا سايت‌هاي مشابه راه ميان‌بر را رفته و آن را از هر كدام از ISAهاي موجود در شبكه VPN يا LAN دريافت كنند و بدين‌وسيله حجم انتقال اطلاعات با محيط خارج را تا حدود زيادي در سيستم متوازن نمايند.


    ● عملكرد
    ISA Server كليه سناريوهاي تعيين شده را براساس سه قاعده مختلف يعني سيستم، شبكه و ديواره آتش محقق مي‌سازد كه در اين‌جا به اين سه قاعده اشاره مي‌كنيم.

    1- Network Rule
    ISA Server با استفاده از قوانين شبكه‌اي موجود و تعريف‌شده در بانك‌اطلاعاتي خودش نحوه ارتباط دو يا چند شبكه را به يكديگر در يك فضاي معين، مشخص مي‌سازد. در اين قاعده كه توسط مدير سيستم قابل تنظيم است مشخص مي‌گردد كه شبكه‌هاي موردنظر طبق كدام يك از دو روش قابل‌طرح، به يكديگر متصل مي‌شوند. اين دو روش عبارتند از:

    الف- Network Address Translation) NAT)
    اين روش، يك ارتباط يك طرفه منحصربه‌فرد است. بدين معني كه هميشه يكي از شبكه‌ها نقش شبكه اصلي و داخلي (Internal) و بقيه شبكه‌ها نقش شبكه‌هاي خارجي (External) را بازي مي‌كنند. در اين روش شبكه داخلي مي‌تواند قوانين و شيوه دسترسي به اطلاعات و ردوبدل شدن آن‌ها در فضاي بين شبكه‌ها را تعيين كند ولي اين امكان از ساير شبكه‌هاي خارجي سلب گرديده و آن‌ها تابع قوانين تعريف شده در شبكه داخلي هستند. در اين روش همچنين ISA آدرس IP كامپيوترهاي مبدا يك ارتباطNAT را به وسيله عوض كردن آن‌ها درIP خارجي خودش، از ديد كامپيوترهاي يك شبكه (چه كامپيوترهاي متصل از طريق LAN و چه كامپيوترهاي خارجي) مخفي مي‌كند. به عنوان مثال، مدير يك شبكه مي‌تواند از ارتباط بين كامپيوترهاي متصل شده از طريق VPN را با فضاي اينترنت از نوع يك رابطه NAT تعريف كند تا ضريب امنيت را در اين ارتباطات بالا ببرد.

    ب - Rout
    اين نوع ارتباط يك ارتباط، دو طرفه است. بدين معني كه هر دو طرف مي‌توانند قواعد امنيتي خاصي را براي دسترسي شبكه‌هاي ديگر به شبكه محلي خود تعريف كنند. به‌عنوان مثال ارتباط بين شبكه‌هاي متصل شده به يكديگر در فضاي VPN مي‌تواند يك ارتباط از نوع Rout باشد.
    با توجه به اين مسايل ارتباطات قابل اطمينان يك شبكه با شبكه‌هاي مجاور (مثل شعبات شركت) مي‌تواند از نوع Rout و ارتباطات محتاطانه شبكه با كاربران خارجي و كساني كه از طريق RADIUS يا وب به شبكه دسترسي دارند مي‌تواند از نوع NAT تعريف شود.

    2- Firewall Rule


    علاوه بر نقش مستقيمي كه سياست‌هاي تعريف‌شده در قواعد ديواره آتش در نحوه ارتباط بين شبكه‌ها بازي مي‌كند و مي‌تواند موجب مسدود شدن ارتباطات خارج از قواعد تعريف شده درNetwork Rule شود، اين قواعد همچنين مي‌توانند با تعريف دقيقي كه از پروتكل‌هاي Http ،FTP، DNS،RPC و ... انجام ‌دهند، كليه درخواست‌ها از انواع مذكور را زيرنظر گرفته و به عبارتي فيلتر نمايند. در اين روش مدير امنيت شبكه مي‌تواند امكان دسترسي تعدادي از كاربران را در ساعات خاص و به محتواي مشخص مجاز يا غيرمجاز كند. به عنوان مثال وي مي‌تواند نمايش تصاوير موجود برروي صفحات وب را از طريق فيلتركردن فهرستي از پسوندهاي انواع فايل‌هاي گرافيكي در يك قاعده از نوع Http ، مسدود كند در حالي كه كاربران همچنان بتوانند آن فايل‌ها را از طريق پروتكل ديگري مثلFTP دريافت يا ارسال كنند.
    همچنين در قواعد مربوط به فايروال مي‌توان دسترسي كاربران و يا گروه‌هاي كاربري را به تعدادي از آدرس‌هاي URL يا IPهاي مشخص مسدود كرد. ضمن آن‌كه قواعد مربوط به نحوه دسترسي كاربران براي انجام اموري مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همين جا تعريف مي‌گردد.


    3- System Rule
    در اين قسمت بيش از سي قاعده مربوط به دسترسي وجود دارد كه قابل انتساب به شبكه محلي مي‌باشند. اين قواعد نحوه ارتباط سرويس‌هاي يك شبكه را با يكديگر و همچنين با ISA مشخص مي‌نمايد. به عنوان مثال سرويسDHCP كه كليه درخواست‌ها و پاسخ‌هاي مربوط به انتساب ديناميك آدرسIP به كامپيوترهاي يك شبكه را مديريت مي‌كند، يا سرويس DSN كه وظيفه ترجمه اسامي و آدرس‌هاي شبكه را انجام مي‌دهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعيت خود در شبكه و با سرورهايي كه سرويس‌هاي فوق را ارايه مي‌دهند تشخيص دهد و هم با اطلاع از نحوه پيكربندي شبكه و ارتباط آن با محيط خارج اقدام به كنترل آن از طريق قواعد مربوط به شبكه و ديواره آتش بنمايد. به طور كلي سياست‌هاي موجود در قواعد سيستمي روابط ميان ISA و ساير منابع و سرورهاي موجود در شبكه را مشخص مي‌نمايند.



    موضوعات مشابه:
    Mohammad Rasoul Rasti
    There's no place like 127.0.0.1
    m.rasti [@] outlook.com

  2. #2
    nkm
    nkm آنلاین نیست.
    نام حقيقي: Ali, Niknam

    مدیر بازنشسته شناسه تصویری nkm
    تاریخ عضویت
    Mar 2003
    محل سکونت
    Iran - Fars - Shiraz
    نوشته
    2,552
    سپاسگزاری شده
    519
    سپاسگزاری کرده
    197
    ممنونم محمد جان
    من یک کپی میزارم توی بخش بحث مقالات
    اگه محمد صلاح دانست
    به عنوان مقاله ازش استفاده کنه


    بزودی دوباره برمیگردم!
    ------
    علی نیکنام
    ali { a@t } niknam.ir

  3. #3
    نام حقيقي: محمد رسول راستی

    مدیر عمومی شناسه تصویری M-r-r
    تاریخ عضویت
    Feb 2004
    محل سکونت
    تهران
    نوشته
    9,486
    سپاسگزاری شده
    4309
    سپاسگزاری کرده
    2706
    متشکرم .


    Mohammad Rasoul Rasti
    There's no place like 127.0.0.1
    m.rasti [@] outlook.com

  4. #4


    عضو غیر فعال
    تاریخ عضویت
    Aug 2005
    محل سکونت
    KARAJ- TEHRAN-IRAN
    نوشته
    40
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    14
    خیلی عالی توضیح دادین اما کاش طریقه نصب و پیکربندی و همچنین نرم افزار کرک شده را هم گذاشته بودین



  5. #5
    نام حقيقي: هاشم سکاکی

    عضو عادی شناسه تصویری milad22
    تاریخ عضویت
    May 2005
    محل سکونت
    iran
    نوشته
    2,050
    سپاسگزاری شده
    320
    سپاسگزاری کرده
    197
    روش نصب و پیکر بندی به همراه لینک داونلود نرم افزار در همین انجمن پیدا می شه.


    akbarei سپاسگزاری کرده است.

  6. #6
    نام حقيقي: سام قراچه

    عضو غیر فعال شناسه تصویری matrixco.sec
    تاریخ عضویت
    Aug 2005
    محل سکونت
    ایران - خوزستان
    نوشته
    419
    سپاسگزاری شده
    5
    سپاسگزاری کرده
    23
    رسول جان جالب بود دستت درد نکنه ، باز هم مثل همیشه گل کاشتی



  7. #7
    نام حقيقي: محمد مهری

    عضو غیر فعال شناسه تصویری مهر
    تاریخ عضویت
    Nov 2005
    محل سکونت
    Iran-ilam
    نوشته
    13
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    0
    سلام دوستان عزيز

    من در يك مركز تحقيقاتي كار مي كنم و يك خط lease 256 از مخابرات اجاره كرديم و فعلاً دو IP Valid را بهمون دادن و از طريق ICS براي بقيه دستگاهها اينترنت را share كردم. مدتي است NAT را فعال كردم و ISA2004 را رو دستگاهي كه ويندوز 2003 روشه انداختم و با راهنمايي برخي از دوستان تونستم برخي از تنظيمات رو انجام بدم اما حالا بقيه دستگاهها به اينترنت وصل نيستند خوشحال ميشم در اين ضمينه راهنمايي بفرمائيد كه چگونه مي تونم آنها را به اينترنت وصل كنم.





  8. #8
    نام حقيقي: هاشم سکاکی

    عضو عادی شناسه تصویری milad22
    تاریخ عضویت
    May 2005
    محل سکونت
    iran
    نوشته
    2,050
    سپاسگزاری شده
    320
    سپاسگزاری کرده
    197
    منظورتون از بقیه دستگاهها چیه؟
    اگه شکبه LAN رو می گین که طبیعتا باید یه آی پی از همون رنج Invalid که تو ISA تعریف کردین بهش بدین و Gateway اون رو هم بذارین IP کارت شبکه Internal سرور ISA.



  9. #9
    نام حقيقي: محمد مهری

    عضو غیر فعال شناسه تصویری مهر
    تاریخ عضویت
    Nov 2005
    محل سکونت
    Iran-ilam
    نوشته
    13
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    0
    ميلاد جان ممنونم از پاسخت

    دقيقاً پاسختو نگرفتم. بله منم منظورم شبكه lan است آنها را چه جوري به اينترنت وصل كنم آخه من تازه كارم.



  10. #10


    عضو غیر فعال شناسه تصویری aspakho
    تاریخ عضویت
    Sep 2005
    نوشته
    19
    سپاسگزاری شده
    1
    سپاسگزاری کرده
    0
    منم يه مشكلي مثل همين رو پيدا كردم اگه بتونين اطلاعات بيتشري رو بدين ممنون مي شم



  11. #11
    نام حقيقي: هاشم سکاکی

    عضو عادی شناسه تصویری milad22
    تاریخ عضویت
    May 2005
    محل سکونت
    iran
    نوشته
    2,050
    سپاسگزاری شده
    320
    سپاسگزاری کرده
    197
    شما برای ISA از دو تا کارت شبکه استفاده کردی. درسته؟
    یکی به عنوان Internal و دیگری External.
    طبیعتا IP کارت شبکه Internal شما Invalid می باشد.
    شما باید بعد از تنظیمات فایروال به سیستمهای LAN خود یک آی پی از همان رنج کارت شبکه Internal سرور ISA داده و Gateway آنها را همان IP کارت شبکه Internal قرار دهید.
    برای DNS هم می توانید هم از DNS های جهانی و یا DNS سرور خود استفاده کنید و هم می توانید همان IP کارت شبکه Internal سرور ISA را بدهید.
    موفق باشید



  12. #12
    نام حقيقي: سام قراچه

    عضو غیر فعال شناسه تصویری matrixco.sec
    تاریخ عضویت
    Aug 2005
    محل سکونت
    ایران - خوزستان
    نوشته
    419
    سپاسگزاری شده
    5
    سپاسگزاری کرده
    23
    میلاد این کار من انجام دادم و تنظیمات فایروال هم انجام دادم .
    ولی فقط بصورت پروکسی جواب می ده و البته من از ISA 2000 استفاده کردم .



کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •