ISA Server چیست؟

Techno2005 · Friday 10 March 2006, 04:00 PM

Internet Security And Acceleration Server که مخفف ISA Server است. نرم افزاری محصول شرکت Microsoftاست که به منظور افزایش امنیت در ارتباطات اینترنتی و دسترسی سریعتر به شبکه وب طراحی و پیاده سازی شده است.

به عبارتی دیگر این نرم افزار یک دروازه امنیتی است که شبکه را از دسترسی هکرها و کرمهای مزاحم موجود که به طرق مختلف به شبکه دسترسی دارند.مصون میدارد و این کار را از طریق فیلتر کردن در سطحapplication و پاکتهای داده انجام میشود. در شبکه دادها برای انتقال به بخشهای کوچکتری شکسته میشوند که در اصطلاح به آنها پاکت گفته میشود.آمارها نشان میدهد که این نسخه ISA Server، يازده بار سریعتر از نسخه پیشین خود یعنیMicrosoft proxy server است.

ISA Server در محیط هایی با سیستم عامل های مختلف کار میکند;ولی در عین حال بیشترین بهره وری را در کار با سیستم عامل ویندوز دارد.ISA Serverدر کنار امکانات موجود در سیستم عامل ویندوز از قبیلMicrosoft active directory و VPn(Virtual Private Network) و در اجتماع با آنها به کارایی بالاتر و مدیریت بهتر در شبکه کمک می کند. cache کردن یا به عبارتی ذخیره سازی دادها از طریقISA Serverو پاسخ دادن به درخواست های که دادهای آنها در Web cache موجود است.
ترافیک در شبکه اینترنت را کاهش داده که این باعث کاهش ازدحام در شبکه و افزایش میزان پهنای باند برای پاسخ دهی بهتر به دیگر درخواست ها در شبکه میشود.ISA Serverدسترسی به شبکه را در موارد مختلف از قبیل زمان,دسترسی کاربران,نوعapplicationها و.... محدود میکند و این کار کیفیت مدیریت در شبکه را ارتقا میدهد در نهایت ISA Server محصول قابل توجهی از سوی شرکت مایکروسافت است که در زمینه امنیت در شیکه ها ارائه شده است.

- بر گرفته از : Iritn

Techno2005 · Friday 10 March 2006, 04:10 PM

آشنايي با ISA Server 2004

مترجم : مهيار داعي الحق
ماهنامه شبکه - خرداد ۱۳۸۴
اره :
شركت مايكروسافت نرم‌افزارهاي متعددي را تحت عنوان Microsoft Server Systems در كنار سيستم‌عامل اصلي سرور خود يعني ويندوز 2000 تا 2003 عرضه كرده كه وظيفه ارايه سرويس‌هاي متعددي را از انواع ارتباطات شبكه‌اي گرفته تا امنيت و غيره به عهده دارند. در اين شماره قصد داريم به معرفي سرور كنترل ارتباط شبكه‌اي يعني ISA Server بپردازيم.

● آشنايي‌
برنامه قدرتمند ارتقاء و امنيت شبكه مايكروسافت ISA Server نام دارد. اين برنامه با استفاده از سرويس‌ها، سياست‌ها و امكاناتي كه در اختيار كاربران قرار مي‌دهد قادر است به عنوان راه‌حلي در ايجاد شبكه‌هاي مجازي
(VPN) و يا برپا كردن فضاي حايل به عنوان cache جهت دسترسي سريع‌تر به صفحات وب، مورد استفاده قرار گيرد. همچنين اين برنامه قادر است با ايجاد يك ديواره آتش در لايه Application شبكه، فعاليت سرويس‌هاي مختلف يك شبكه ويندوزي مثل وب سرور IIS، سرويس‌هاي دسترسي از راه‌دور (Routing and Remote Access) را از طريق فيلترگذاري و كنترل پورت‌ها، تحت نظر گرفته و فضاي امني را براي آن‌ها فراهم كند. اين برنامه با استفاده از نظارت دايمي خود بر پروتكل امنيتي SSL و فيلتر كردن درخواست‌هاي Http كه به سرور مي‌رسد، وب سرور و ايميل سرور را از خطر حمله هكرها دور نگه مي‌دارد. به همين ترتيب، كليه ارتباطات شبكه‌اي كه با يك سرور برقرار مي‌شود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و يا IIS، بايد از سد محكم ISA عبور كنند تا درخواست‌ها و ارتباطات مشكوك با سرور مسدود گردد.
سايت مايكروسافت براي بررسي اهميت وجود ISA در يك شبكه، كليه راه‌حل‌هاي اين برنامه را كه با استفاده از سرويس‌ها و امكانات ويژه موجود در آن، ارايه گشته است به هفت سناريو يا وضعيت مختلف تقسيم كرده كه به آن‌ها مي‌پردازيم. (تصاوير مقاله از سايت مايکروسافت برداشته شده اند)

● سناريوي اول‌

شكل 1

از ISA براي تأمين امنيت ايميل‌ها استفاده مي‌شود. ISA Server با استفاده از دو روش استاندارد يعني SSL decryption وهمچنين Http Filtering اولاً از ورود كدهاي مشهور به malicious كه عمدتاً بدنه انواع كرم‌ها و ويروس‌ها را مي‌سازند جلوگيري به عمل مي‌آورد و ثانياً محتواي درخواست‌هاي Http را براي بررسي مجوز دسترسي آن‌ها و صلاحيت دريافت و ارسال اطلاعات مورد كنكاش قرار مي‌دهد. در اين حالت، ISA همچنين از هر نوع اتصال افراد با اسم كاربري anonymous كه مي‌تواند منشأ شكستن رمزعبورهاي مجاز يك سرويس‌دهنده ايميل شود، جلوگيري مي‌كند. به هر حال با وجود اين كه يك ايميل سرور مثل Exchange راه‌حل‌هاي امنيتي مخصوص به خود را دارد، اما وجود ISA به‌عنوان ديواره آتش يك نقطه قوت براي شبكه به حساب مي‌آيد. ضمن اين‌كه در نسخه‌هاي جديد ISA امكان ايجاد زنجيره‌اي از سرورهاي ISA كه بتوانند با يك سرورExchange در تماس بوده و درخواست‌هاي كاربران را با سرعت چند برابر مورد بررسي قرار دهد باعث شده تا اكنون به ISA عنوان فايروالي كه با قدرت انجام توازن بار ترافيكي، سرعت بيشتري را در اختيار كاربران قرار مي‌دهد در نظر گرفته شود. (شكل 1)

● سناريوي دوم‌

شكل 2

ISA مي‌تواند در تأمين امنيت و دسترسي از راه دور نيز مورد استفاده قرار گيرد. در اين سناريو، يك شركت برخي از اطلاعات سازمان خود را براي استفاده عموم در معرض ديد و يا استفاده كاربران خارج از سازمان قرار مي‌دهد. به عنوان مثال بسياري از شركت‌ها مسايل تبليغاتي و گاهي اوقات سيستم سفارش‌دهي خود را در قالب اينترنت و يا اينترانت براي كاربران باز مي‌گذارند تا آن‌ها بتوانند از اين طريق با شركت ارتباط برقرار نمايند. در اين صورتISA مي‌تواند به صورت واسط بين كاربران و سرويس‌هاي ارايه شده توسط وب سرور يا بانك‌اطلاعاتيSQLServer كه مشغول ارايه سرويس به محيط خارج است، قرار گرفته و بدين‌وسيله امنيت دسترسي كاربران به سرويس‌هاي مجاز و حفاظت از منابع محرمانه موجود در سيستم‌ را فراهم آورد.

(شكل 2)

● سناريوي سوم‌

شكل 3

در اين سناريو، دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخي موارد همكاري اطلاعاتي دارند، توسط فضاي اينترنت و از طريق سرورها و دروازه‌هاي VPN با يكديگر در ارتباط هستند. به عنوان مثال يكي از شركاي يك شركت تجاري، محصولات آن شركت را به فروش رسانده و درصدي از سود آن را از آن خود مي‌كند. در اين روش به صورت مداوم و يا در ساعات معيني از شبانه‌روز، امكان ردوبدل اطلاعات بين دو شركت مذكور وجود دارد. در اين زمان ISA مي‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالي و دريافتي در حين مبادله جلوگيري كند، در حالي كه هيچكدام از دو طرف احساس نمي‌كنند كه فضاي حايلي در اين VPN مشغول كنترل ارتباط بين آن‌هاست. به علاوه اين‌كه با وجود ISA، كاربران براي اتصال به سايت يكديگر بايد از دو مرحله Authentication (احراز هويت) يكي براي سرور يا دروازه VPN طرف مقابل و ديگري براي ISA عبور كنند كه اين حالت يكي از بهترين شيوه‌هاي برقراري امنيت در شبكه‌هاي VPN است. در اين سناريو، وجود يك ISA Server تنها در طرف سايت اصلي يك شركت مي‌تواند، مديريت برقراري امنيت در كل فضاي VPN هر دو طرف را به‌عهده گيرد و با استفاده از ديواره آتش لايه Application از عبور كدهاي مشكوك جلوگيري كند. (شكل 3)

● سناريوي چهارم‌

شكل 4

در سناريوي چهارم، يك شركت قصد دارد به عنوان مثال تعدادي از كارمندان خود را قادر به كار كردن با سيستم‌هاي دروني شركت از طريق يك ارتباط VPN اختصاصي بنمايد. در اين حالت براي دسترسي اين قبيل كارمندان به سرور شركت و عدم دسترسي به سرورهاي ديگر يا جلوگيري از ارسال ويروس و چيزهاي مشابه آن، يك سد محكم به نام ISA ترافيك اطلاعات ارسالي و يا درخواستي را بررسي نموده و درصورت عدم وجود مجوز دسترسي يا ارسال اطلاعات مخرب آن ارتباط را مسدود مي‌كند. (شكل 4)

● سناريوي پنجم‌

شكل 5

سناريوي بعدي زماني مطرح مي‌شود كه يك شركت قصد دارد با برپايي يك سيستم مركزي در محل اصلي شركت، ساير شعبات خود را تحت پوشش يك سيستم (مثلاً يك بانك‌اطلاعاتي) متمركز درآورد. از اين رو باز هم در اينجا مسأله اتصال شعبات شركت از طريق VPN مطرح مي‌شود. در اين صورت ISA با قرار داشتن در سمت هر شعبه و همچنين دفتر مركزي به صورت آرايه‌اي از ديواره‌هاي آتش (Array of Firewall) مي‌تواند نقل و انتقال اطلاعات از سوي شعبات به دفتر مركزي شركت و بالعكس را زيرنظر داشته باشد. اين مسأله باعث مي‌شود تا هر كدام از شعبات و دفتر مركزي به منابع محدودي از يكديگر دسترسي داشته باشند. در ضمن با وجود امكان مديريت و پيكربندي متمركز كليه سرورهاي ISA نيازي به مسؤولين امنيتي براي هر شعبه نيست و تنها يك مدير امنيت، از طريق ISA سرور موجود در دفتر مركزي مي‌تواند كليه ISA سرورهاي شعبات را تنظيم و پيكربندي كند. (شكل 5)

● سناريوي ششم‌

شکل 6

كنترل دسترسي كاربران داخل دفتر مركزي به سايت‌هاي اينترنتي، سناريوي ششم كاربرد ISA محسوب مي‌شود. در اين جا ISA مي‌تواند به كمك مدير سيستم آمده، سايت‌ها، لينك‌هاي URL و يا انواع فايل‌هايي كه از نظر وي نامناسب تشخيص داده شده، را مسدود كند. در همين هنگام فايروال نيز كار خود را انجام مي‌دهد و با استفاده از سازگاري مناسبي كه بين ISA و Active Directory ويندوز وجود دارد، اولاً از دسترسي افراد غيرمجاز يا افراد مجاز در زمان‌هاي غيرمجاز به اينترنت جلوگيري شده و ثانياً مي‌توان از اجراشدن برنامه‌هايي كه پورت‌هاي خاصي از سرور را مثلاً جهت استفاده برنامه‌هاي Instant Messaging مورد استفاده قرار مي‌دهند، جلوگيري نمود تا بدين‌وسيله ريسك ورود انواع فايل‌هاي آلوده به ويروس كاهش يابد.

(شكل 6)

● سناريوي هفتم‌

در تمام سناريوهاي قبلي كه ISA در برقراري ارتباط مناسب و امن بين سايت‌هاي اينترنت، كاربران يا شعبات شركت نقش مهمي را ايفا مي‌كرد، يك سناريوي ديگر نيز نهفته است و آن افزايش سرعت انتقال اطلاعات بين تمام موارد فوق از سايت‌هاي اينترنتي گرفته تا اطلاعات سازماني است. سيستم cache Array موجود در اين برنامه باعث مي‌شود تا هر كدام از كاربران چه در محل اصلي شركت و چه از محل شعبات بتوانند براي ديدن اطلاعات يا سايت‌هاي مشابه راه ميان‌بر را رفته و آن را از هر كدام از ISAهاي موجود در شبكه VPN يا LAN دريافت كنند و بدين‌وسيله حجم انتقال اطلاعات با محيط خارج را تا حدود زيادي در سيستم متوازن نمايند.

● عملكرد

ISA Server كليه سناريوهاي تعيين شده را براساس سه قاعده مختلف يعني سيستم، شبكه و ديواره آتش محقق مي‌سازد كه در اين‌جا به اين سه قاعده اشاره مي‌كنيم.

1- Network Rule

ISA Server با استفاده از قوانين شبكه‌اي موجود و تعريف‌شده در بانك‌اطلاعاتي خودش نحوه ارتباط دو يا چند شبكه را به يكديگر در يك فضاي معين، مشخص مي‌سازد. در اين قاعده كه توسط مدير سيستم قابل تنظيم است مشخص مي‌گردد كه شبكه‌هاي موردنظر طبق كدام يك از دو روش قابل‌طرح، به يكديگر متصل مي‌شوند. اين دو روش عبارتند از:

الف- Network Address Translation) NAT)

اين روش، يك ارتباط يك طرفه منحصربه‌فرد است. بدين معني كه هميشه يكي از شبكه‌ها نقش شبكه اصلي و داخلي (Internal) و بقيه شبكه‌ها نقش شبكه‌هاي خارجي (External) را بازي مي‌كنند. در اين روش شبكه داخلي مي‌تواند قوانين و شيوه دسترسي به اطلاعات و ردوبدل شدن آن‌ها در فضاي بين شبكه‌ها را تعيين كند ولي اين امكان از ساير شبكه‌هاي خارجي سلب گرديده و آن‌ها تابع قوانين تعريف شده در شبكه داخلي هستند. در اين روش همچنين ISA آدرس IP كامپيوترهاي مبدا يك ارتباطNAT را به وسيله عوض كردن آن‌ها درIP خارجي خودش، از ديد كامپيوترهاي يك شبكه (چه كامپيوترهاي متصل از طريق LAN و چه كامپيوترهاي خارجي) مخفي مي‌كند. به عنوان مثال، مدير يك شبكه مي‌تواند از ارتباط بين كامپيوترهاي متصل شده از طريق VPN را با فضاي اينترنت از نوع يك رابطه NAT تعريف كند تا ضريب امنيت را در اين ارتباطات بالا ببرد.

ب - Rout

اين نوع ارتباط يك ارتباط، دو طرفه است. بدين معني كه هر دو طرف مي‌توانند قواعد امنيتي خاصي را براي دسترسي شبكه‌هاي ديگر به شبكه محلي خود تعريف كنند. به‌عنوان مثال ارتباط بين شبكه‌هاي متصل شده به يكديگر در فضاي VPN مي‌تواند يك ارتباط از نوع Rout باشد.

با توجه به اين مسايل ارتباطات قابل اطمينان يك شبكه با شبكه‌هاي مجاور (مثل شعبات شركت) مي‌تواند از نوع Rout و ارتباطات محتاطانه شبكه با كاربران خارجي و كساني كه از طريق RADIUS يا وب به شبكه دسترسي دارند مي‌تواند از نوع NAT تعريف شود.

2- Firewall Rule

علاوه بر نقش مستقيمي كه سياست‌هاي تعريف‌شده در قواعد ديواره آتش در نحوه ارتباط بين شبكه‌ها بازي مي‌كند و مي‌تواند موجب مسدود شدن ارتباطات خارج از قواعد تعريف شده درNetwork Rule شود، اين قواعد همچنين مي‌توانند با تعريف دقيقي كه از پروتكل‌هاي Http ،FTP، DNS،RPC و ... انجام ‌دهند، كليه درخواست‌ها از انواع مذكور را زيرنظر گرفته و به عبارتي فيلتر نمايند. در اين روش مدير امنيت شبكه مي‌تواند امكان دسترسي تعدادي از كاربران را در ساعات خاص و به محتواي مشخص مجاز يا غيرمجاز كند. به عنوان مثال وي مي‌تواند نمايش تصاوير موجود برروي صفحات وب را از طريق فيلتركردن فهرستي از پسوندهاي انواع فايل‌هاي گرافيكي در يك قاعده از نوع Http ، مسدود كند در حالي كه كاربران همچنان بتوانند آن فايل‌ها را از طريق پروتكل ديگري مثلFTP دريافت يا ارسال كنند.

همچنين در قواعد مربوط به فايروال مي‌توان دسترسي كاربران و يا گروه‌هاي كاربري را به تعدادي از آدرس‌هاي URL يا IPهاي مشخص مسدود كرد. ضمن آن‌كه قواعد مربوط به نحوه دسترسي كاربران براي انجام اموري مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همين جا تعريف مي‌گردد.

3- System Rule

در اين قسمت بيش از سي قاعده مربوط به دسترسي وجود دارد كه قابل انتساب به شبكه محلي مي‌باشند. اين قواعد نحوه ارتباط سرويس‌هاي يك شبكه را با يكديگر و همچنين با ISA مشخص مي‌نمايد. به عنوان مثال سرويسDHCP كه كليه درخواست‌ها و پاسخ‌هاي مربوط به انتساب ديناميك آدرسIP به كامپيوترهاي يك شبكه را مديريت مي‌كند، يا سرويس DSN كه وظيفه ترجمه اسامي و آدرس‌هاي شبكه را انجام مي‌دهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعيت خود در شبكه و با سرورهايي كه سرويس‌هاي فوق را ارايه مي‌دهند تشخيص دهد و هم با اطلاع از نحوه پيكربندي شبكه و ارتباط آن با محيط خارج اقدام به كنترل آن از طريق قواعد مربوط به شبكه و ديواره آتش بنمايد. به طور كلي سياست‌هاي موجود در قواعد سيستمي روابط ميان ISA و ساير منابع و سرورهاي موجود در شبكه را مشخص مي‌نمايند

MCSEMCSE · Tuesday 25 July 2006, 08:18 AM

سلام و تشکر از مطالب مفیدتون
می خواستم ببینم آیا یه فیلم آموزشی در مورد نصب و کانفیگ کردن ISA SERVER سراغ ندارید
حالا اگه در مورد Ras یا Nat هم داشته باشید ممنون میشم

taba53 · Monday 16 October 2006, 08:14 AM

من يك فيلم آموزشي ديديم البته اگه هنوز روي سرور شركتمون باشه ميتونم بردارم ولي بگو چطوري برات بفرستم كه بتوني برداري .
اگه اطلاعات كاربردي تري هم در مورد isa دارين براي من بفرستين .

royal · Saturday 3 February 2007, 05:20 PM

دوستان محترم اگر از نرم افزار ISA اطلاعاتي داريد به ماهم بفرستيد؟
متشكرم.

rozblog · Saturday 17 February 2007, 09:27 PM

":cool1:"دوستان سلام
من براي تنظيم كارت شبكه در كافي نت براي نصب isa server مشكل دارم .كسي ميتونه راهنماييم كنه؟ plz

در ضمن من از adsl استفاده ميكنم
rozblog@yahoo.com

ILovelinux · Sunday 25 February 2007, 12:52 PM

نقل قول:

نوشته اصلی توسط royal

دوستان محترم اگر از نرم افزار ISA اطلاعاتي داريد به ماهم بفرستيد؟
متشكرم.

انجمن ISA Server محیطی برای بحث و تبادل نظر در مورد مسائل مختلف شبکه های کامپیوتری ، مخابراتی وخصوصا نرم افزار مایکروسافت ISA Server است.

در این انجمن می توانید پرسشهای خودرا مطرح نمایید و در مورد آنها با دیگران به تبادل نظر بپردازید ، از تجربیات دیگران استفاده کنید و تجربیات و دانش خود را با دیگران به اشتراک بگذارید.
http://www.isaserver.ir

adversys · Monday 26 February 2007, 04:56 PM

سلام به همه
بنده سعید اسماعیلزایی مدیر انجمن رسمی ISA Server فارسی هستم ، تقریبا یک ماه ما شروع به کار کردیم
از تمامی دوستانی که در زمینه شبکه، آیزا و دیگر نرم افزارها و سخت افزارهای شبکه تخصص دارن صمیمانه دعوت میکنم تا در انجمن حضور فعال داشته باشن تا همگی از اطلاعاتشوت استفاده کنیم و در زمانی که از لحاظ معنوی و مادی انجمن سود آور شد . تمام دوستانی فعال انجمن رو در این منابع شریک خواهم کرد .
دوستانی که میخوان همکاری کنن به بنده از طریق ایمایل اعلام بفرمایند.
ممنونم
info@isaservere.ir
www.isaserver.ir

adversys · Monday 26 February 2007, 04:58 PM

نقل قول:

نوشته اصلی توسط ILovelinux

انجمن ISA Server محیطی برای بحث و تبادل نظر در مورد مسائل مختلف شبکه های کامپیوتری ، مخابراتی وخصوصا نرم افزار مایکروسافت ISA Server است.

در این انجمن می توانید پرسشهای خودرا مطرح نمایید و در مورد آنها با دیگران به تبادل نظر بپردازید ، از تجربیات دیگران استفاده کنید و تجربیات و دانش خود را با دیگران به اشتراک بگذارید.
http://www.isaserver.ir

از شما دوست عزیز ، جناب ILovelinux بابت معرفی انجمن سپاسگذارم و منتظر دیدار شما در انجمن
موفق باشین

yousefifar · Thursday 26 July 2007, 01:32 PM

خیل خوب بود

Friday 10 March 2006, 04:00 PM	#1
Techno2005 كاربر عادي تاریخ عضویت: Wednesday 31 August 2005 نوشته ها: 82 با تشکر: 0 تشکر شده 118 بار 18 پست	ISA Server چیست؟ Internet Security And Acceleration Server که مخفف ISA Server است. نرم افزاری محصول شرکت Microsoftاست که به منظور افزایش امنیت در ارتباطات اینترنتی و دسترسی سریعتر به شبکه وب طراحی و پیاده سازی شده است. به عبارتی دیگر این نرم افزار یک دروازه امنیتی است که شبکه را از دسترسی هکرها و کرمهای مزاحم موجود که به طرق مختلف به شبکه دسترسی دارند.مصون میدارد و این کار را از طریق فیلتر کردن در سطحapplication و پاکتهای داده انجام میشود. در شبکه دادها برای انتقال به بخشهای کوچکتری شکسته میشوند که در اصطلاح به آنها پاکت گفته میشود.آمارها نشان میدهد که این نسخه ISA Server، يازده بار سریعتر از نسخه پیشین خود یعنیMicrosoft proxy server است. ISA Server در محیط هایی با سیستم عامل های مختلف کار میکند;ولی در عین حال بیشترین بهره وری را در کار با سیستم عامل ویندوز دارد.ISA Serverدر کنار امکانات موجود در سیستم عامل ویندوز از قبیلMicrosoft active directory و VPn(Virtual Private Network) و در اجتماع با آنها به کارایی بالاتر و مدیریت بهتر در شبکه کمک می کند. cache کردن یا به عبارتی ذخیره سازی دادها از طریقISA Serverو پاسخ دادن به درخواست های که دادهای آنها در Web cache موجود است. ترافیک در شبکه اینترنت را کاهش داده که این باعث کاهش ازدحام در شبکه و افزایش میزان پهنای باند برای پاسخ دهی بهتر به دیگر درخواست ها در شبکه میشود.ISA Serverدسترسی به شبکه را در موارد مختلف از قبیل زمان,دسترسی کاربران,نوعapplicationها و.... محدود میکند و این کار کیفیت مدیریت در شبکه را ارتقا میدهد در نهایت ISA Server محصول قابل توجهی از سوی شرکت مایکروسافت است که در زمینه امنیت در شیکه ها ارائه شده است. - بر گرفته از : Iritn

Friday 10 March 2006, 04:10 PM	#2
Techno2005 كاربر عادي تاریخ عضویت: Wednesday 31 August 2005 نوشته ها: 82 با تشکر: 0 تشکر شده 118 بار 18 پست	آشنايي با ISA Server 2004 مترجم : مهيار داعي الحق ماهنامه شبکه - خرداد ۱۳۸۴ اره : شركت مايكروسافت نرم‌افزارهاي متعددي را تحت عنوان Microsoft Server Systems در كنار سيستم‌عامل اصلي سرور خود يعني ويندوز 2000 تا 2003 عرضه كرده كه وظيفه ارايه سرويس‌هاي متعددي را از انواع ارتباطات شبكه‌اي گرفته تا امنيت و غيره به عهده دارند. در اين شماره قصد داريم به معرفي سرور كنترل ارتباط شبكه‌اي يعني ISA Server بپردازيم. ● آشنايي‌ برنامه قدرتمند ارتقاء و امنيت شبكه مايكروسافت ISA Server نام دارد. اين برنامه با استفاده از سرويس‌ها، سياست‌ها و امكاناتي كه در اختيار كاربران قرار مي‌دهد قادر است به عنوان راه‌حلي در ايجاد شبكه‌هاي مجازي (VPN) و يا برپا كردن فضاي حايل به عنوان cache جهت دسترسي سريع‌تر به صفحات وب، مورد استفاده قرار گيرد. همچنين اين برنامه قادر است با ايجاد يك ديواره آتش در لايه Application شبكه، فعاليت سرويس‌هاي مختلف يك شبكه ويندوزي مثل وب سرور IIS، سرويس‌هاي دسترسي از راه‌دور (Routing and Remote Access) را از طريق فيلترگذاري و كنترل پورت‌ها، تحت نظر گرفته و فضاي امني را براي آن‌ها فراهم كند. اين برنامه با استفاده از نظارت دايمي خود بر پروتكل امنيتي SSL و فيلتر كردن درخواست‌هاي Http كه به سرور مي‌رسد، وب سرور و ايميل سرور را از خطر حمله هكرها دور نگه مي‌دارد. به همين ترتيب، كليه ارتباطات شبكه‌اي كه با يك سرور برقرار مي‌شود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و يا IIS، بايد از سد محكم ISA عبور كنند تا درخواست‌ها و ارتباطات مشكوك با سرور مسدود گردد. سايت مايكروسافت براي بررسي اهميت وجود ISA در يك شبكه، كليه راه‌حل‌هاي اين برنامه را كه با استفاده از سرويس‌ها و امكانات ويژه موجود در آن، ارايه گشته است به هفت سناريو يا وضعيت مختلف تقسيم كرده كه به آن‌ها مي‌پردازيم. (تصاوير مقاله از سايت مايکروسافت برداشته شده اند) ● سناريوي اول‌ شكل 1 از ISA براي تأمين امنيت ايميل‌ها استفاده مي‌شود. ISA Server با استفاده از دو روش استاندارد يعني SSL decryption وهمچنين Http Filtering اولاً از ورود كدهاي مشهور به malicious كه عمدتاً بدنه انواع كرم‌ها و ويروس‌ها را مي‌سازند جلوگيري به عمل مي‌آورد و ثانياً محتواي درخواست‌هاي Http را براي بررسي مجوز دسترسي آن‌ها و صلاحيت دريافت و ارسال اطلاعات مورد كنكاش قرار مي‌دهد. در اين حالت، ISA همچنين از هر نوع اتصال افراد با اسم كاربري anonymous كه مي‌تواند منشأ شكستن رمزعبورهاي مجاز يك سرويس‌دهنده ايميل شود، جلوگيري مي‌كند. به هر حال با وجود اين كه يك ايميل سرور مثل Exchange راه‌حل‌هاي امنيتي مخصوص به خود را دارد، اما وجود ISA به‌عنوان ديواره آتش يك نقطه قوت براي شبكه به حساب مي‌آيد. ضمن اين‌كه در نسخه‌هاي جديد ISA امكان ايجاد زنجيره‌اي از سرورهاي ISA كه بتوانند با يك سرورExchange در تماس بوده و درخواست‌هاي كاربران را با سرعت چند برابر مورد بررسي قرار دهد باعث شده تا اكنون به ISA عنوان فايروالي كه با قدرت انجام توازن بار ترافيكي، سرعت بيشتري را در اختيار كاربران قرار مي‌دهد در نظر گرفته شود. (شكل 1) ● سناريوي دوم‌ شكل 2 ISA مي‌تواند در تأمين امنيت و دسترسي از راه دور نيز مورد استفاده قرار گيرد. در اين سناريو، يك شركت برخي از اطلاعات سازمان خود را براي استفاده عموم در معرض ديد و يا استفاده كاربران خارج از سازمان قرار مي‌دهد. به عنوان مثال بسياري از شركت‌ها مسايل تبليغاتي و گاهي اوقات سيستم سفارش‌دهي خود را در قالب اينترنت و يا اينترانت براي كاربران باز مي‌گذارند تا آن‌ها بتوانند از اين طريق با شركت ارتباط برقرار نمايند. در اين صورتISA مي‌تواند به صورت واسط بين كاربران و سرويس‌هاي ارايه شده توسط وب سرور يا بانك‌اطلاعاتيSQLServer كه مشغول ارايه سرويس به محيط خارج است، قرار گرفته و بدين‌وسيله امنيت دسترسي كاربران به سرويس‌هاي مجاز و حفاظت از منابع محرمانه موجود در سيستم‌ را فراهم آورد. (شكل 2) ● سناريوي سوم‌ شكل 3 در اين سناريو، دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخي موارد همكاري اطلاعاتي دارند، توسط فضاي اينترنت و از طريق سرورها و دروازه‌هاي VPN با يكديگر در ارتباط هستند. به عنوان مثال يكي از شركاي يك شركت تجاري، محصولات آن شركت را به فروش رسانده و درصدي از سود آن را از آن خود مي‌كند. در اين روش به صورت مداوم و يا در ساعات معيني از شبانه‌روز، امكان ردوبدل اطلاعات بين دو شركت مذكور وجود دارد. در اين زمان ISA مي‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالي و دريافتي در حين مبادله جلوگيري كند، در حالي كه هيچكدام از دو طرف احساس نمي‌كنند كه فضاي حايلي در اين VPN مشغول كنترل ارتباط بين آن‌هاست. به علاوه اين‌كه با وجود ISA، كاربران براي اتصال به سايت يكديگر بايد از دو مرحله Authentication (احراز هويت) يكي براي سرور يا دروازه VPN طرف مقابل و ديگري براي ISA عبور كنند كه اين حالت يكي از بهترين شيوه‌هاي برقراري امنيت در شبكه‌هاي VPN است. در اين سناريو، وجود يك ISA Server تنها در طرف سايت اصلي يك شركت مي‌تواند، مديريت برقراري امنيت در كل فضاي VPN هر دو طرف را به‌عهده گيرد و با استفاده از ديواره آتش لايه Application از عبور كدهاي مشكوك جلوگيري كند. (شكل 3) ● سناريوي چهارم‌ شكل 4 در سناريوي چهارم، يك شركت قصد دارد به عنوان مثال تعدادي از كارمندان خود را قادر به كار كردن با سيستم‌هاي دروني شركت از طريق يك ارتباط VPN اختصاصي بنمايد. در اين حالت براي دسترسي اين قبيل كارمندان به سرور شركت و عدم دسترسي به سرورهاي ديگر يا جلوگيري از ارسال ويروس و چيزهاي مشابه آن، يك سد محكم به نام ISA ترافيك اطلاعات ارسالي و يا درخواستي را بررسي نموده و درصورت عدم وجود مجوز دسترسي يا ارسال اطلاعات مخرب آن ارتباط را مسدود مي‌كند. (شكل 4) ● سناريوي پنجم‌ شكل 5 سناريوي بعدي زماني مطرح مي‌شود كه يك شركت قصد دارد با برپايي يك سيستم مركزي در محل اصلي شركت، ساير شعبات خود را تحت پوشش يك سيستم (مثلاً يك بانك‌اطلاعاتي) متمركز درآورد. از اين رو باز هم در اينجا مسأله اتصال شعبات شركت از طريق VPN مطرح مي‌شود. در اين صورت ISA با قرار داشتن در سمت هر شعبه و همچنين دفتر مركزي به صورت آرايه‌اي از ديواره‌هاي آتش (Array of Firewall) مي‌تواند نقل و انتقال اطلاعات از سوي شعبات به دفتر مركزي شركت و بالعكس را زيرنظر داشته باشد. اين مسأله باعث مي‌شود تا هر كدام از شعبات و دفتر مركزي به منابع محدودي از يكديگر دسترسي داشته باشند. در ضمن با وجود امكان مديريت و پيكربندي متمركز كليه سرورهاي ISA نيازي به مسؤولين امنيتي براي هر شعبه نيست و تنها يك مدير امنيت، از طريق ISA سرور موجود در دفتر مركزي مي‌تواند كليه ISA سرورهاي شعبات را تنظيم و پيكربندي كند. (شكل 5) ● سناريوي ششم‌ شکل 6 كنترل دسترسي كاربران داخل دفتر مركزي به سايت‌هاي اينترنتي، سناريوي ششم كاربرد ISA محسوب مي‌شود. در اين جا ISA مي‌تواند به كمك مدير سيستم آمده، سايت‌ها، لينك‌هاي URL و يا انواع فايل‌هايي كه از نظر وي نامناسب تشخيص داده شده، را مسدود كند. در همين هنگام فايروال نيز كار خود را انجام مي‌دهد و با استفاده از سازگاري مناسبي كه بين ISA و Active Directory ويندوز وجود دارد، اولاً از دسترسي افراد غيرمجاز يا افراد مجاز در زمان‌هاي غيرمجاز به اينترنت جلوگيري شده و ثانياً مي‌توان از اجراشدن برنامه‌هايي كه پورت‌هاي خاصي از سرور را مثلاً جهت استفاده برنامه‌هاي Instant Messaging مورد استفاده قرار مي‌دهند، جلوگيري نمود تا بدين‌وسيله ريسك ورود انواع فايل‌هاي آلوده به ويروس كاهش يابد. (شكل 6) ● سناريوي هفتم‌ در تمام سناريوهاي قبلي كه ISA در برقراري ارتباط مناسب و امن بين سايت‌هاي اينترنت، كاربران يا شعبات شركت نقش مهمي را ايفا مي‌كرد، يك سناريوي ديگر نيز نهفته است و آن افزايش سرعت انتقال اطلاعات بين تمام موارد فوق از سايت‌هاي اينترنتي گرفته تا اطلاعات سازماني است. سيستم cache Array موجود در اين برنامه باعث مي‌شود تا هر كدام از كاربران چه در محل اصلي شركت و چه از محل شعبات بتوانند براي ديدن اطلاعات يا سايت‌هاي مشابه راه ميان‌بر را رفته و آن را از هر كدام از ISAهاي موجود در شبكه VPN يا LAN دريافت كنند و بدين‌وسيله حجم انتقال اطلاعات با محيط خارج را تا حدود زيادي در سيستم متوازن نمايند. ● عملكرد ISA Server كليه سناريوهاي تعيين شده را براساس سه قاعده مختلف يعني سيستم، شبكه و ديواره آتش محقق مي‌سازد كه در اين‌جا به اين سه قاعده اشاره مي‌كنيم. 1- Network Rule ISA Server با استفاده از قوانين شبكه‌اي موجود و تعريف‌شده در بانك‌اطلاعاتي خودش نحوه ارتباط دو يا چند شبكه را به يكديگر در يك فضاي معين، مشخص مي‌سازد. در اين قاعده كه توسط مدير سيستم قابل تنظيم است مشخص مي‌گردد كه شبكه‌هاي موردنظر طبق كدام يك از دو روش قابل‌طرح، به يكديگر متصل مي‌شوند. اين دو روش عبارتند از: الف- Network Address Translation) NAT) اين روش، يك ارتباط يك طرفه منحصربه‌فرد است. بدين معني كه هميشه يكي از شبكه‌ها نقش شبكه اصلي و داخلي (Internal) و بقيه شبكه‌ها نقش شبكه‌هاي خارجي (External) را بازي مي‌كنند. در اين روش شبكه داخلي مي‌تواند قوانين و شيوه دسترسي به اطلاعات و ردوبدل شدن آن‌ها در فضاي بين شبكه‌ها را تعيين كند ولي اين امكان از ساير شبكه‌هاي خارجي سلب گرديده و آن‌ها تابع قوانين تعريف شده در شبكه داخلي هستند. در اين روش همچنين ISA آدرس IP كامپيوترهاي مبدا يك ارتباطNAT را به وسيله عوض كردن آن‌ها درIP خارجي خودش، از ديد كامپيوترهاي يك شبكه (چه كامپيوترهاي متصل از طريق LAN و چه كامپيوترهاي خارجي) مخفي مي‌كند. به عنوان مثال، مدير يك شبكه مي‌تواند از ارتباط بين كامپيوترهاي متصل شده از طريق VPN را با فضاي اينترنت از نوع يك رابطه NAT تعريف كند تا ضريب امنيت را در اين ارتباطات بالا ببرد. ب - Rout اين نوع ارتباط يك ارتباط، دو طرفه است. بدين معني كه هر دو طرف مي‌توانند قواعد امنيتي خاصي را براي دسترسي شبكه‌هاي ديگر به شبكه محلي خود تعريف كنند. به‌عنوان مثال ارتباط بين شبكه‌هاي متصل شده به يكديگر در فضاي VPN مي‌تواند يك ارتباط از نوع Rout باشد. با توجه به اين مسايل ارتباطات قابل اطمينان يك شبكه با شبكه‌هاي مجاور (مثل شعبات شركت) مي‌تواند از نوع Rout و ارتباطات محتاطانه شبكه با كاربران خارجي و كساني كه از طريق RADIUS يا وب به شبكه دسترسي دارند مي‌تواند از نوع NAT تعريف شود. 2- Firewall Rule علاوه بر نقش مستقيمي كه سياست‌هاي تعريف‌شده در قواعد ديواره آتش در نحوه ارتباط بين شبكه‌ها بازي مي‌كند و مي‌تواند موجب مسدود شدن ارتباطات خارج از قواعد تعريف شده درNetwork Rule شود، اين قواعد همچنين مي‌توانند با تعريف دقيقي كه از پروتكل‌هاي Http ،FTP، DNS،RPC و ... انجام ‌دهند، كليه درخواست‌ها از انواع مذكور را زيرنظر گرفته و به عبارتي فيلتر نمايند. در اين روش مدير امنيت شبكه مي‌تواند امكان دسترسي تعدادي از كاربران را در ساعات خاص و به محتواي مشخص مجاز يا غيرمجاز كند. به عنوان مثال وي مي‌تواند نمايش تصاوير موجود برروي صفحات وب را از طريق فيلتركردن فهرستي از پسوندهاي انواع فايل‌هاي گرافيكي در يك قاعده از نوع Http ، مسدود كند در حالي كه كاربران همچنان بتوانند آن فايل‌ها را از طريق پروتكل ديگري مثلFTP دريافت يا ارسال كنند. همچنين در قواعد مربوط به فايروال مي‌توان دسترسي كاربران و يا گروه‌هاي كاربري را به تعدادي از آدرس‌هاي URL يا IPهاي مشخص مسدود كرد. ضمن آن‌كه قواعد مربوط به نحوه دسترسي كاربران براي انجام اموري مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همين جا تعريف مي‌گردد. 3- System Rule در اين قسمت بيش از سي قاعده مربوط به دسترسي وجود دارد كه قابل انتساب به شبكه محلي مي‌باشند. اين قواعد نحوه ارتباط سرويس‌هاي يك شبكه را با يكديگر و همچنين با ISA مشخص مي‌نمايد. به عنوان مثال سرويسDHCP كه كليه درخواست‌ها و پاسخ‌هاي مربوط به انتساب ديناميك آدرسIP به كامپيوترهاي يك شبكه را مديريت مي‌كند، يا سرويس DSN كه وظيفه ترجمه اسامي و آدرس‌هاي شبكه را انجام مي‌دهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعيت خود در شبكه و با سرورهايي كه سرويس‌هاي فوق را ارايه مي‌دهند تشخيص دهد و هم با اطلاع از نحوه پيكربندي شبكه و ارتباط آن با محيط خارج اقدام به كنترل آن از طريق قواعد مربوط به شبكه و ديواره آتش بنمايد. به طور كلي سياست‌هاي موجود در قواعد سيستمي روابط ميان ISA و ساير منابع و سرورهاي موجود در شبكه را مشخص مي‌نمايند ویرایش توسط Techno2005 : Friday 10 March 2006 در ساعت 04:20 PM.

Monday 16 October 2006, 08:14 AM	#4
taba53 كاربر عادي تاریخ عضویت: Sunday 17 September 2006 نوشته ها: 2 با تشکر: 0 تشکر شده 0 بار 0 پست	isa film من يك فيلم آموزشي ديديم البته اگه هنوز روي سرور شركتمون باشه ميتونم بردارم ولي بگو چطوري برات بفرستم كه بتوني برداري . اگه اطلاعات كاربردي تري هم در مورد isa دارين براي من بفرستين .

ابزارهای موضوع
پرینت این صفحه / حالت نمایش بصورت پرینت شده ارسال این صفحه به ایمیل یک دوست یا خودتان
نحوه نمایش
حالت خطی تعویض به حالت ترکیبی تعوض به حالت رشته ای

Tuesday 25 July 2006, 08:18 AM	#3
MCSEMCSE كاربر عادي تاریخ عضویت: Tuesday 27 June 2006 نوشته ها: 6 با تشکر: 1 تشکر شده 1 بار 1 پست	سلام و تشکر از مطالب مفیدتون می خواستم ببینم آیا یه فیلم آموزشی در مورد نصب و کانفیگ کردن ISA SERVER سراغ ندارید حالا اگه در مورد Ras یا Nat هم داشته باشید ممنون میشم

Saturday 3 February 2007, 05:20 PM	#5
royal كاربر عادي تاریخ عضویت: Saturday 3 February 2007 نوشته ها: 1 با تشکر: 0 تشکر شده 0 بار 0 پست	دوستان محترم اگر از نرم افزار ISA اطلاعاتي داريد به ماهم بفرستيد؟ متشكرم.

Saturday 17 February 2007, 09:27 PM	#6
rozblog كاربر عادي تاریخ عضویت: Saturday 17 February 2007 نوشته ها: 1 با تشکر: 0 تشکر شده 0 بار 0 پست	":cool1:"دوستان سلام من براي تنظيم كارت شبكه در كافي نت براي نصب isa server مشكل دارم .كسي ميتونه راهنماييم كنه؟ plz در ضمن من از adsl استفاده ميكنم rozblog@yahoo.com

Monday 26 February 2007, 04:56 PM	#8
adversys كاربر عادي تاریخ عضویت: Sunday 25 February 2007 نوشته ها: 2 با تشکر: 1 تشکر شده 0 بار 0 پست	سلام به همه بنده سعید اسماعیلزایی مدیر انجمن رسمی ISA Server فارسی هستم ، تقریبا یک ماه ما شروع به کار کردیم از تمامی دوستانی که در زمینه شبکه، آیزا و دیگر نرم افزارها و سخت افزارهای شبکه تخصص دارن صمیمانه دعوت میکنم تا در انجمن حضور فعال داشته باشن تا همگی از اطلاعاتشوت استفاده کنیم و در زمانی که از لحاظ معنوی و مادی انجمن سود آور شد . تمام دوستانی فعال انجمن رو در این منابع شریک خواهم کرد . دوستانی که میخوان همکاری کنن به بنده از طریق ایمایل اعلام بفرمایند. ممنونم info@isaservere.ir www.isaserver.ir

Thursday 26 July 2007, 01:32 PM	#10
yousefifar كاربر عادي تاریخ عضویت: Thursday 26 July 2007 نوشته ها: 1 با تشکر: 1 تشکر شده 0 بار 0 پست	خیل خوب بود

.......