مروزه اینترنت یکی از پر کاربردترین سرویس ها در سازمانها ، اداره جات ، شرکتها و … می باشد، در این حالت باید یک نظارت و مدیریت کلی ای نسبت به این موضوع داشته باشیم بدین صورت که آیا کارمندان و کاربران اینترنت در این سازمانها استفاده بهینه در جهت وظیفه محولشان انجام می دهند یا استفاده از نوع تفریحی از این سرویس می کنند و وظیفه محولشان را فراموش می کنند.

ظارت و مدیریت اینترنت سازمانها و اداره جات باعث بالا رفتن راندمان کاری کاربران و نیز ایجاد امنیت در شبکه مورد استفاده در آن اداره و یا سازمان می باشد.

این نوع نظارت و مدیریت هم بصورت نرم افزاری می تواند باشد و هم بصورت سخت افزاری که اصطلاحاْ به آنها firewall های سخت افزاری و نرم افزاری گفته می شود.

نرم افزارها و سخت افزارهای فایروالی متنوعی جهت نظارت و مدیریت اینترنت سازمانها واداره جات وجود دارد که از آن جمله می توان به نرم افزارهای ISA Server و Kerio Control اشاره کرد و از سخت افزارها نیز می توان Cisco ASA را نام برد. به فایروالهای سخت افزاری UTM گفته میشود.

در این مقاله قصد داریم که یک آموزش کاربردی ای نسبت سرور کنترل ارتباط شبکه ای یعنی فایروال نرم افزاری ISA Server 2006 داشته باشیم امید هست که مورد قبول دوستان قرار گیرد.

Vahidmasume64[at]gmail.com

ISA Server  چیست؟

Internet Security & Acceleration Server  که مخفف ISA Server  هست، نرم افزار محصول شرکت مایکروسافت می باشد که به منظور افزایش امنیت در ارتباطات اینترنتی و دسترسی سریع تر به شبکه تحت وب طراحی و پیاده سازی شده است. به عبارتی دیگر این نرم افزار یک دروازه امنیتی هست که شبکه را از دسترسی هکرها و کرم های مزاحم موجود که به طرق مختلف به شبکه دسترسی دارند مصون می دارد و این کار، از طریق فیلتر کردن در سطح Application و پکت های داده انجام می شود. درشبکه داده ها برای انتقال به بخش های کوچکتری شکسته می شوندکه در اصطلاح به آنها پکت گفته می شود.

ISA Server در محیط هایی با سیستم عاملهای مختلف کار می کند ولی در عین حال بیشترین بهره وری را در کار با سیستم عامل ویندوز دارد. ISA Server در کنار امکانات موجود در سیستم عامل ویندوز از قبیل Active Directory و  Virtual Private Network ( VPN ) و در اجتماع با آنها به کارایی بالاتر و مدیریت بهتر در شبکه کمک می کند. Cache کردن یا به عبارتی ذخیره سازی داده ها از طریق ISA Server و پاسخ دادن به درخواستهایی که داده های آنها در Web Cache موجود هست، ترافیک در شبکه اینترنت را کاهش داده که این باعث کاهش ازدحام در شبکه و افزایش میزان پهنای باند برای پاسخ دهی بهتر به دیگر درخواستها در شبکه می شود. ISA Server دسترسی به شبکه را در موارد مختلف از قبیل زمان ، دسترسی کاربران ، نوع Application ها و … محدود می کند و این کار کیفیت مدیریت در شبکه را ارتقاء می دهد در نهایت ISA Server محصول قابل توجهی از سوی شرکت مایکروسافت است که در زمینه امنیت در شبکه ها ارائه شده است.

مایکروسافت Microsoft Proxy را بعنوان اولین نرم افزار Firewall مطرح نمود.پس از آن و همزمان با ارائه Win 2000 در سال ۲۰۰۰ و معرفی Active Directory نرم افزار دیواره آتش  ISA SERVER 2000 که با Microsoft Proxy متفاوت بود ارائه داد . سپس به دلیل باگ ها و اشکالات امنیتی نرم افزار فوق نسخه ارتقاء یافته آن را بنام ISA SERVER 2004 با امکانات بیشتر ، قویتر و کنسول آسانتری بهمراه ۳ عدد Service Pack در اختیار کاربران قرار گرفت.
شرکت مایکروسافت در سال ۲۰۰۶ نرم افزار ISA Server 2006 را با پلتفرم جدید ، قابلیت های کاربردی و جذاب ، امکانات بیشتر امنیتی را برای استفاده مدیران شبکه تولید نمود. و در ادامه در سال ۲۰۰۸ میلادی با معرفی ویندوز سرور ۲۰۰۸ نرم افزار ISA Server 2008 خود را با نام جدیدMicrosoft Forefront TMG  معرفی نمود که این نرم افزار امنیتی با ترکیب چندین بخش مختلف به وجود آمده که یکی از منسجم ترین و قدرتمندترین نرم افزارهای مدیریت و حفاظت از شبکه (Firewall)  است و توانسته پاسخگوی طیف گسترده ای از نیازهای کاربران و مدیران شبکه های کوچک ، متوسط و بزرگ باشد.

یک سوال: آیا ISA Server پایدارتر و خطا ناپذیرتر می باشد یا Kerio Control ؟

جواب:  مطمئنا ISA Server پایدارتر از Kerio هست ولی با توجه به عدم آپدیت ساختار ISA Server  و همچنین Forefront TMG، نقاط ضعف ISA رو بیشتر از Kerio لمس میکنیم، لذا گزینه Kerio Control بدلیل Up to date بودن و امکانات زیاد و جدید در اولویت بالاتری قرار میگیرد.

شرکت مایکروسافت نرم افزارهای متعددی را تحت عنوان Microsoft Server System در کنار سیستم عامل اصلی سرور خود یعنی ویندوز عرضه کرده که وظیفه ارائه سرویس های متعددی را از انواع شبکه ای گرفته تا امنیت وغیره را بر عهده دارند.

ISA Server با استفاده از سرویس ها ، سیاست ها ، و امکاناتی که در اختیار کاربران قرار می دهد قادر است بعنوان راه حلی در شبکه های مجازی ( VPN ) و یا پر کردن فضای حایل به عنوان Cache جهت دسترسی سریع تر به صفحات وب مورد استفاده قرار گیرد. همچنین این برنامه قادر است با ایجاد یک دیواره آتش در لایه Application شبکه، فعالیت سرویس های مختلف یک شبکه ویندوزی مثل وب سرور IIS ، سرویس های دسترسی از راه دور (Routing And Remote Access) را از طریق فیلتر گذاری و کنترل پورت ها تحت نظر گرفته و فضای امنی را برای آنها فراهم می کند. این برنامه با استفاده از نظارت دائمی خود بر پروتکل امنیتی SSL و فیلتر کردن درخواستهای HTTP که به سرور می رسد وب سرور و ایمیل را از خطر حمله هکرها دور نگه می دارد. به همین ترتیب کلیه ارتباطات شبکه ای که با یک سرور برقرار می شود از ارتباط Dial up ساده گرفته تا ارتباط با سرور Exchange و یا IIS مشکوک با سرور باید مسدود گردد.

ISA Server در حالت کلی در دو نسخه Enterprise و Standard Edition ارائه شده است.

فرق بین این دو بدین صورت می باشد که اگر در یک شبکه سازمانی دارای مثلاً سه ISA Server باشیم که دوتای آنها برای شعبات باشد و یکی نیز برای دفتر مرکزی و بخواهیم آن دو ISA Server شعبات را بوسیله ISA Server دفتر مرکزی مدیریت کنیم بهتر است که از نسخه Enterprise استفاده کنیم ولی اگر در شبکه سازمانی دارای یک دفتر و یک ISA Server باشیم بهتر است که از نسخه Standard Edition استفاده کنیم.

در بین نسخه های Enterprise و Standard Edition یک تفاوت اصلی وجود دارد، بدین صورت هست که اگر از نسخه Enterprise استفاده کنیم می توانیم یک دستگاه جداگانه بعنوان Configuration Storage داشته باشیم، بطور مثال در یک سناریویی قرار هست که از چندین ISA Server استفاده کنیم در این حالت می توانیم از یک دستگاه به عنوان Configuration Storage Server استفاده کنیم که تمامی کانفیگ های مربوطه به ISA Server ها در داخل آن ذخیره می شود یعنی به عبارتی تمامی کانفیگ های این ISA Server ها یکی می شود. اما نسخه Standard Edition دارای چنین قابلیتی نمی باشد یعنی اگر سناریویی دارای یک ISA Server  باشدServer  Configuration Storage نیز همان سرور خواهد بود.

مایکروسافت برای بررسی اهمیت وجود ISA در شبکه راه حلهای این برنامه را که با استفاده از سرویس ها و امکانات ویژه موجود در آن  ارائه گشته است به چندین سناریو با وضعیت های مختلف تقسیم کرده که به تعدادی از آنها می پردازیم :

یک شرکت قصد دارد به عنوان مثال تعدادی از کارمندان خود را قادر به کار کردن با سیستم‌های درونی شرکت از طریق یک ارتباط VPN اختصاصی بنماید. در این حالت برای دسترسی این قبیل کارمندان به سرور شرکت و عدم دسترسی به سرورهای دیگر یا جلوگیری از ارسال ویروس و چیزهای مشابه آن، یک سد محکم به نام ISA ترافیک اطلاعات ارسالی و یا درخواستی را بررسی نموده و درصورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب آن ارتباط را مسدود می‌کند.سناریوی بعدی زمانی مطرح می‌شود که یک شرکت قصد دارد با برپایی یک سیستم مرکزی در محل اصلی شرکت، سایر شعبات خود را تحت پوشش یک سیستم (مثلاً یک بانک‌اطلاعاتی) متمرکز درآورد. از این رو باز هم در اینجا مسأله اتصال شعبات شرکت از طریق VPN مطرح می‌شود. در این صورت ISA با قرار داشتن در سمت هر شعبه و همچنین دفتر مرکزی به صورت آرایه‌ای از دیواره‌های آتش (Array of Firewall) می‌تواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مرکزی شرکت و بالعکس را زیرنظر داشته باشد. این مسأله باعث می‌شود تا هر کدام از شعبات و دفتر مرکزی به منابع محدودی از یکدیگر دسترسی داشته باشند. در ضمن با وجود امکان مدیریت و پیکربندی متمرکز کلیه سرورهای ISA نیازیبه مسؤولین امنیتی برای هر شعبه نیست و تنها یک مدیر امنیت، از طریق ISA سرور موجود در دفتر مرکزی می‌تواند کلیه ISA سرورهای شعبات را تنظیم و پیکربندی کند.

کنترل دسترسی کاربران داخل دفتر مرکزی به سایت‌های اینترنتی، سناریوی بعدی کاربرد ISA  محسوب می‌شود. در این جا ISA می‌تواند به کمک مدیر سیستم آمده، سایت‌ها، لینک‌های URL و یا انواع فایل‌هایی که از نظر وی نامناسب تشخیص داده شده، را مسدود کند. در همین هنگام فایروال نیز کار خود را انجام می‌دهد و با استفاده از سازگاری مناسبی که بین ISA و Active Directory ویندوز وجود دارد، اولاً از دسترسی افراد غیرمجاز یا افراد مجاز در زمان‌های غیرمجاز به اینترنت جلوگیری شده و ثانیاً می‌توان از اجراشدن برنامه‌هایی که پورت‌های خاصی از سرور را مثلاً جهت استفاده برنامه‌های Instant Messaging  مورد استفاده قرار می‌دهند، جلوگیری نمود تا بدین‌وسیله ریسک ورود انواع فایل‌های آلوده به ویروس کاهش یابد.

در سناریوهای قبلی که ISA در برقراری ارتباط مناسب و امن بین سایت‌های اینترنت، کاربران یا شعبات شرکت نقش مهمی را ایفا می‌کرد، یک سناریوی دیگر نیز نهفته است و آن افزایش سرعت انتقال اطلاعات بین تمام موارد فوق از سایت‌های اینترنتی گرفته تا اطلاعات سازمانی است. سیستم cache Array موجود در این برنامه باعث می‌شود تا هر کدام از کاربران چه در محل اصلی شرکت و چه از محل شعبات بتوانند برای دیدن اطلاعات یا سایت‌های مشابه راه میان‌بر را رفته و آن را از هر کدام از ISAهای موجود در شبکه VPN یا LAN دریافت کنند و بدین‌وسیله حجم انتقال اطلاعات با محیط خارج را تا حدود زیادی در سیستم متوازن نمایند.

در این سناریو، دو شبکه LAN مجزا متعلق به دو شرکت مختلف که در برخی موارد همکاری اطلاعاتی دارند، توسط فضای اینترنت و از طریق سرورها و دروازه‌های VPN با یکدیگر در ارتباط هستند. به عنوان مثال یکی از شرکای یک شرکت تجاری، محصولات آن شرکت را به فروش رسانده و درصدی از سود آن را از آن خود می‌کند. در این روش به صورت مداوم و یا در ساعات معینی از شبانه‌روز، امکان ردوبدل اطلاعات بین دو شرکت مذکور وجود دارد. در این زمان ISA می‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری کند، در حالی که هیچکدام از دو طرف احساس نمی‌کنند که فضای حایلی در این VPN مشغول کنترل ارتباط بین آن‌هاست. به علاوه این‌که با وجود ISA ، کاربران برای اتصال به سایت یکدیگر باید از دو مرحله Authentication (احراز هویت) یکی برای سرور یا دروازه VPN طرف مقابل و دیگری برای ISA عبور کنند که این حالت یکی از بهترین شیوه‌های برقراری امنیت در شبکه‌های VPN است. در این سناریو، وجود یک ISA Server تنها در طرف سایت اصلی یک شرکت می‌تواند، مدیریت برقراری امنیت در کل فضای VPN هر دو طرف را به‌عهده گیرد و با استفاده از دیواره آتش لایه Application  از عبور کدهای مشکوک جلوگیری کند.

ISA Server  را نمی توان بر روی ویندوز Server 2008 R2 نصب کرد به همین دلیل آن را بر روی ویندوز Server 2003 SP2 نصب می کنیم، بدین علت که مایکروسافت یک نسخه جدیدی از ISA Server 2006  به نام Forefront TMG داد که در اصل می توان گفت ISA Server 2010 می باشد و  ISA Server 2006 به همراه ویندوز سرور ۲۰۰۳ به علت قدیمی بودن به تاریخ پیوستن، اما متأسفانه نه بصورت کامل چونکه امروزه هم از ISA Server 2006 و ویندوز سرور ۲۰۰۳  استفاده می شود.

برای اینکه این مقاله یک مقاله کاربردی و قابل فهم باشد آن را براساس یک سناریو پیش می بریم که به مرور به آن اشاره خواهیم کرد. در داخل این سناریو علاوه بر ویندوز Server 2003 SP2 یک ویندوز Server 2008 R2 نیز خواهیم داشت که نقش Domain Control را ایفا می کند و بر روی آن Active Directory  نصب می کنیم ، همانطور که در توضیحات بالا اشاره شد ISA Server اگر با Active Directory همراه باشد مدیریت و کارایی شبکه بهتر خواهد شد.

توضیحات کامل و جامع در داخل فایل دانلود میباشد.

:: برچسب‌ها: آی زا سرور فایروال نرم افزاری , آموزش ISA , SOFTWARE FIREWALL , ISA SERVER 2006 , ISA SERVER ,
:: بازدید از این مطلب : 82

|

امتیاز مطلب : 0

|

تعداد امتیازدهندگان : 0

|

مجموع امتیاز : 0