آشنایی با Isa Server
Internet Security And Acceleration Server که مخفف ISA Server است. نرم افزاری محصول شرکت Microsoftاست که به منظور افزایش امنیت در ارتباطات اینترنتی و دسترسی سریعتر به شبکه وب طراحی و پیاده سازی شده است.

به عبارتی دیگر این نرم افزار یک دروازه امنیتی است که شبکه را از دسترسی هکرها و کرمهای مزاحم موجود که به طرق مختلف به شبکه دسترسی دارند.مصون میدارد و این کار را از طریق فیلتر کردن در سطحapplication و پاکتهای داده انجام میشود. در شبکه دادها برای انتقال به بخشهای کوچکتری شکسته میشوند که در اصطلاح به آنها پاکت گفته میشود.آمارها نشان میدهد که این نسخه ISA Server، يازده بار سریعتر از نسخه پیشین خود یعنیMicrosoft proxy server است.

ISA Server در محیط هایی با سیستم عامل های مختلف کار میکند;ولی در عین حال بیشترین بهره وری را در کار با سیستم عامل ویندوز دارد.ISA Serverدر کنار امکانات موجود در سیستم عامل ویندوز از قبیلMicrosoft active directory و ---(Virtual Private Network) و در اجتماع با آنها به کارایی بالاتر و مدیریت بهتر در شبکه کمک می کند. cache کردن یا به عبارتی ذخیره سازی دادها از طریقISA Serverو پاسخ دادن به درخواست های که دادهای آنها در Web cache موجود است.
ترافیک در شبکه اینترنت را کاهش داده که این باعث کاهش ازدحام در شبکه و افزایش میزان پهنای باند برای پاسخ دهی بهتر به دیگر درخواست ها در شبکه میشود.ISA Serverدسترسی به شبکه را در موارد مختلف از قبیل زمان,دسترسی کاربران,نوعapplicationها و.... محدود میکند و این کار کیفیت مدیریت در شبکه را ارتقا میدهد در نهایت ISA Server محصول قابل توجهی از سوی شرکت مایکروسافت است که در زمینه امنیت در شیکه ها ارائه شده است.

آشنايي با ISA Server 2004

[براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]


    اره :
    شركت مايكروسافت نرمافزارهاي متعددي را تحت عنوان Microsoft Server Systems در كنار سيستمعامل اصلي سرور خود يعني ويندوز 2000 تا 2003 عرضه كرده كه وظيفه ارايه سرويسهاي متعددي را از انواع ارتباطات شبكهاي گرفته تا امنيت و غيره به عهده دارند. در اين شماره قصد داريم به معرفي سرور كنترل ارتباط شبكهاي يعني ISA Server بپردازيم.

    آشنايي
    برنامه قدرتمند ارتقاء و امنيت شبكه مايكروسافت ISA Server نام دارد. اين برنامه با استفاده از سرويسها، سياستها و امكاناتي كه در اختيار كاربران قرار ميدهد قادر است به عنوان راهحلي در ايجاد شبكههاي مجازي
    (---) و يا برپا كردن فضاي حايل به عنوان cache جهت دسترسي سريعتر به صفحات وب، مورد استفاده قرار گيرد. همچنين اين برنامه قادر است با ايجاد يك ديواره آتش در لايه Application شبكه، فعاليت سرويسهاي مختلف يك شبكه ويندوزي مثل وب سرور IIS، سرويسهاي دسترسي از راهدور (Routing and Remote Access) را از طريق فيلترگذاري و كنترل پورتها، تحت نظر گرفته و فضاي امني را براي آنها فراهم كند. اين برنامه با استفاده از نظارت دايمي خود بر پروتكل امنيتي SSL و ----- كردن درخواستهاي Http كه به سرور ميرسد، وب سرور و ايميل سرور را از خطر حمله هكرها دور نگه ميدارد. به همين ترتيب، كليه ارتباطات شبكهاي كه با يك سرور برقرار ميشود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و يا IIS، بايد از سد محكم ISA عبور كنند تا درخواستها و ارتباطات مشكوك با سرور مسدود گردد.
    سايت مايكروسافت براي بررسي اهميت وجود ISA در يك شبكه، كليه راهحلهاي اين برنامه را كه با استفاده از سرويسها و امكانات ويژه موجود در آن، ارايه گشته است به هفت سناريو يا وضعيت مختلف تقسيم كرده كه به آنها ميپردازيم. (تصاوير مقاله از سايت مايکروسافت برداشته شده اند)

    سناريوي اول





    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]






    شكل 1


    از ISA براي تأمين امنيت ايميلها استفاده ميشود. ISA Server با استفاده از دو روش استاندارد يعني SSL decryption وهمچنين Http Filtering اولاً از ورود كدهاي مشهور به malicious كه عمدتاً بدنه انواع كرمها و ويروسها را ميسازند جلوگيري به عمل ميآورد و ثانياً محتواي درخواستهاي Http را براي بررسي مجوز دسترسي آنها و صلاحيت دريافت و ارسال اطلاعات مورد كنكاش قرار ميدهد. در اين حالت، ISA همچنين از هر نوع اتصال افراد با اسم كاربري anonymous كه ميتواند منشأ شكستن رمزعبورهاي مجاز يك سرويسدهنده ايميل شود، جلوگيري ميكند. به هر حال با وجود اين كه يك ايميل سرور مثل Exchange راهحلهاي امنيتي مخصوص به خود را دارد، اما وجود ISA بهعنوان ديواره آتش يك نقطه قوت براي شبكه به حساب ميآيد. ضمن اينكه در نسخههاي جديد ISA امكان ايجاد زنجيرهاي از سرورهاي ISA كه بتوانند با يك سرورExchange در تماس بوده و درخواستهاي كاربران را با سرعت چند برابر مورد بررسي قرار دهد باعث شده تا اكنون به ISA عنوان فايروالي كه با قدرت انجام توازن بار ترافيكي، سرعت بيشتري را در اختيار كاربران قرار ميدهد در نظر گرفته شود. (شكل 1)



    سناريوي دوم




    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]


    شكل 2




    ISA ميتواند در تأمين امنيت و دسترسي از راه دور نيز مورد استفاده قرار گيرد. در اين سناريو، يك شركت برخي از اطلاعات سازمان خود را براي استفاده عموم در معرض ديد و يا استفاده كاربران خارج از سازمان قرار ميدهد. به عنوان مثال بسياري از شركتها مسايل تبليغاتي و گاهي اوقات سيستم سفارشدهي خود را در قالب اينترنت و يا اينترانت براي كاربران باز ميگذارند تا آنها بتوانند از اين طريق با شركت ارتباط برقرار نمايند. در اين صورتISA ميتواند به صورت واسط بين كاربران و سرويسهاي ارايه شده توسط وب سرور يا بانكاطلاعاتيSQLServer كه مشغول ارايه سرويس به محيط خارج است، قرار گرفته و بدينوسيله امنيت دسترسي كاربران به سرويسهاي مجاز و حفاظت از منابع محرمانه موجود در سيستم را فراهم آورد.

    (شكل 2)

    سناريوي سوم




    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]


    شكل 3

    در اين سناريو، دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخي موارد همكاري اطلاعاتي دارند، توسط فضاي اينترنت و از طريق سرورها و دروازههاي --- با يكديگر در ارتباط هستند. به عنوان مثال يكي از شركاي يك شركت تجاري، محصولات آن شركت را به فروش رسانده و درصدي از سود آن را از آن خود ميكند. در اين روش به صورت مداوم و يا در ساعات معيني از شبانهروز، امكان ردوبدل اطلاعات بين دو شركت مذكور وجود دارد. در اين زمان ISA ميتواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالي و دريافتي در حين مبادله جلوگيري كند، در حالي كه هيچكدام از دو طرف احساس نميكنند كه فضاي حايلي در اين --- مشغول كنترل ارتباط بين آنهاست. به علاوه اينكه با وجود ISA، كاربران براي اتصال به سايت يكديگر بايد از دو مرحله Authentication (احراز هويت) يكي براي سرور يا دروازه --- طرف مقابل و ديگري براي ISA عبور كنند كه اين حالت يكي از بهترين شيوههاي برقراري امنيت در شبكههاي --- است. در اين سناريو، وجود يك ISA Server تنها در طرف سايت اصلي يك شركت ميتواند، مديريت برقراري امنيت در كل فضاي --- هر دو طرف را بهعهده گيرد و با استفاده از ديواره آتش لايه Application از عبور كدهاي مشكوك جلوگيري كند. (شكل 3)


    سناريوي چهارم




    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]


    شكل 4
    در سناريوي چهارم، يك شركت قصد دارد به عنوان مثال تعدادي از كارمندان خود را قادر به كار كردن با سيستمهاي دروني شركت از طريق يك ارتباط --- اختصاصي بنمايد. در اين حالت براي دسترسي اين قبيل كارمندان به سرور شركت و عدم دسترسي به سرورهاي ديگر يا جلوگيري از ارسال ويروس و چيزهاي مشابه آن، يك سد محكم به نام ISA ترافيك اطلاعات ارسالي و يا درخواستي را بررسي نموده و درصورت عدم وجود مجوز دسترسي يا ارسال اطلاعات مخرب آن ارتباط را مسدود ميكند. (شكل 4)

    سناريوي پنجم


    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]


    شكل 5




    سناريوي بعدي زماني مطرح ميشود كه يك شركت قصد دارد با برپايي يك سيستم مركزي در محل اصلي شركت، ساير شعبات خود را تحت پوشش يك سيستم (مثلاً يك بانكاطلاعاتي) متمركز درآورد. از اين رو باز هم در اينجا مسأله اتصال شعبات شركت از طريق --- مطرح ميشود. در اين صورت ISA با قرار داشتن در سمت هر شعبه و همچنين دفتر مركزي به صورت آرايهاي از ديوارههاي آتش (Array of Firewall) ميتواند نقل و انتقال اطلاعات از سوي شعبات به دفتر مركزي شركت و بالعكس را زيرنظر داشته باشد. اين مسأله باعث ميشود تا هر كدام از شعبات و دفتر مركزي به منابع محدودي از يكديگر دسترسي داشته باشند. در ضمن با وجود امكان مديريت و پيكربندي متمركز كليه سرورهاي ISA نيازي به مسؤولين امنيتي براي هر شعبه نيست و تنها يك مدير امنيت، از طريق ISA سرور موجود در دفتر مركزي ميتواند كليه ISA سرورهاي شعبات را تنظيم و پيكربندي كند. (شكل 5)


    سناريوي ششم




    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]


    شکل 6

    كنترل دسترسي كاربران داخل دفتر مركزي به سايتهاي اينترنتي، سناريوي ششم كاربرد ISA محسوب ميشود. در اين جا ISA ميتواند به كمك مدير سيستم آمده، سايتها، لينكهاي URL و يا انواع فايلهايي كه از نظر وي نامناسب تشخيص داده شده، را مسدود كند. در همين هنگام فايروال نيز كار خود را انجام ميدهد و با استفاده از سازگاري مناسبي كه بين ISA و Active Directory ويندوز وجود دارد، اولاً از دسترسي افراد غيرمجاز يا افراد مجاز در زمانهاي غيرمجاز به اينترنت جلوگيري شده و ثانياً ميتوان از اجراشدن برنامههايي كه پورتهاي خاصي از سرور را مثلاً جهت استفاده برنامههاي Instant Messaging مورد استفاده قرار ميدهند، جلوگيري نمود تا بدينوسيله ريسك ورود انواع فايلهاي آلوده به ويروس كاهش يابد.

    (شكل 6)



    سناريوي هفتم




    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]



    در تمام سناريوهاي قبلي كه ISA در برقراري ارتباط مناسب و امن بين سايتهاي اينترنت، كاربران يا شعبات شركت نقش مهمي را ايفا ميكرد، يك سناريوي ديگر نيز نهفته است و آن افزايش سرعت انتقال اطلاعات بين تمام موارد فوق از سايتهاي اينترنتي گرفته تا اطلاعات سازماني است. سيستم cache Array موجود در اين برنامه باعث ميشود تا هر كدام از كاربران چه در محل اصلي شركت و چه از محل شعبات بتوانند براي ديدن اطلاعات يا سايتهاي مشابه راه ميانبر را رفته و آن را از هر كدام از ISAهاي موجود در شبكه --- يا LAN دريافت كنند و بدينوسيله حجم انتقال اطلاعات با محيط خارج را تا حدود زيادي در سيستم متوازن نمايند.

    عملكرد


    ISA Server كليه سناريوهاي تعيين شده را براساس سه قاعده مختلف يعني سيستم، شبكه و ديواره آتش محقق ميسازد كه در اينجا به اين سه قاعده اشاره ميكنيم.

    1- Network Rule
    ISA Server با استفاده از قوانين شبكهاي موجود و تعريفشده در بانكاطلاعاتي خودش نحوه ارتباط دو يا چند شبكه را به يكديگر در يك فضاي معين، مشخص ميسازد. در اين قاعده كه توسط مدير سيستم قابل تنظيم است مشخص ميگردد كه شبكههاي موردنظر طبق كدام يك از دو روش قابلطرح، به يكديگر متصل ميشوند. اين دو روش عبارتند از:


    الف- Network Address Translation) NAT)
    اين روش، يك ارتباط يك طرفه منحصربهفرد است. بدين معني كه هميشه يكي از شبكهها نقش شبكه اصلي و داخلي (Internal) و بقيه شبكهها نقش شبكههاي خارجي (External) را بازي ميكنند. در اين روش شبكه داخلي ميتواند قوانين و شيوه دسترسي به اطلاعات و ردوبدل شدن آنها در فضاي بين شبكهها را تعيين كند ولي اين امكان از ساير شبكههاي خارجي سلب گرديده و آنها تابع قوانين تعريف شده در شبكه داخلي هستند. در اين روش همچنين ISA آدرس IP كامپيوترهاي مبدا يك ارتباطNAT را به وسيله عوض كردن آنها درIP خارجي خودش، از ديد كامپيوترهاي يك شبكه (چه كامپيوترهاي متصل از طريق LAN و چه كامپيوترهاي خارجي) مخفي ميكند. به عنوان مثال، مدير يك شبكه ميتواند از ارتباط بين كامپيوترهاي متصل شده از طريق --- را با فضاي اينترنت از نوع يك رابطه NAT تعريف كند تا ضريب امنيت را در اين ارتباطات بالا ببرد.


    ب - Rout

    اين نوع ارتباط يك ارتباط، دو طرفه است. بدين معني كه هر دو طرف ميتوانند قواعد امنيتي خاصي را براي دسترسي شبكههاي ديگر به شبكه محلي خود تعريف كنند. بهعنوان مثال ارتباط بين شبكههاي متصل شده به يكديگر در فضاي --- ميتواند يك ارتباط از نوع Rout باشد.
    با توجه به اين مسايل ارتباطات قابل اطمينان يك شبكه با شبكههاي مجاور (مثل شعبات شركت) ميتواند از نوع Rout و ارتباطات محتاطانه شبكه با كاربران خارجي و كساني كه از طريق RADIUS يا وب به شبكه دسترسي دارند ميتواند از نوع NAT تعريف شود.

    2- Firewall Rule



    [براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد براي عضويت در سايت اينجا کليک کنيد]
  • و در صورتي که شما عضو سايت هستيد و لينكها مخفي هستند
    براي ديدن لينکها و تصاوير بايد عضو سايت و يا كاربر-VIP باشيد]



    علاوه بر نقش مستقيمي كه سياستهاي تعريفشده در قواعد ديواره آتش در نحوه ارتباط بين شبكهها بازي ميكند و ميتواند موجب مسدود شدن ارتباطات خارج از قواعد تعريف شده درNetwork Rule شود، اين قواعد همچنين ميتوانند با تعريف دقيقي كه از پروتكلهاي Http ،FTP، DNS،RPC و ... انجام دهند، كليه درخواستها از انواع مذكور را زيرنظر گرفته و به عبارتي ----- نمايند. در اين روش مدير امنيت شبكه ميتواند امكان دسترسي تعدادي از كاربران را در ساعات خاص و به محتواي مشخص مجاز يا غيرمجاز كند. به عنوان مثال وي ميتواند نمايش تصاوير موجود برروي صفحات وب را از طريق فيلتركردن فهرستي از پسوندهاي انواع فايلهاي گرافيكي در يك قاعده از نوع Http ، مسدود كند در حالي كه كاربران همچنان بتوانند آن فايلها را از طريق پروتكل ديگري مثلFTP دريافت يا ارسال كنند.

    همچنين در قواعد مربوط به فايروال ميتوان دسترسي كاربران و يا گروههاي كاربري را به تعدادي از آدرسهاي URL يا IPهاي مشخص مسدود كرد. ضمن آنكه قواعد مربوط به نحوه دسترسي كاربران براي انجام اموري مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همين جا تعريف ميگردد.


    3- System Rule
    در اين قسمت بيش از سي قاعده مربوط به دسترسي وجود دارد كه قابل انتساب به شبكه محلي ميباشند. اين قواعد نحوه ارتباط سرويسهاي يك شبكه را با يكديگر و همچنين با ISA مشخص مينمايد. به عنوان مثال سرويسDHCP كه كليه درخواستها و پاسخهاي مربوط به انتساب ديناميك آدرسIP به كامپيوترهاي يك شبكه را مديريت ميكند، يا سرويس DSN كه وظيفه ترجمه اسامي و آدرسهاي شبكه را انجام ميدهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعيت خود در شبكه و با سرورهايي كه سرويسهاي فوق را ارايه ميدهند تشخيص دهد و هم با اطلاع از نحوه پيكربندي شبكه و ارتباط آن با محيط خارج اقدام به كنترل آن از طريق قواعد مربوط به شبكه و ديواره آتش بنمايد. به طور كلي سياستهاي موجود در قواعد سيستمي روابط ميان ISA و ساير منابع و سرورهاي موجود در شبكه را مشخص مينمايند


    موضوعات مشابه: