آموزش نصب ISA Server
ارسال شده توسط علیرضا نگهداری
آموزش شبکه >> شبکه پیشرفته

لینک مرتبط  :

تنظیم ISA SERVER 

اشاره :
ISAServer از پيچيدگي‌هاي بسياري برخوردار بوده و استفاده از آن تنها در صورتي امکانپذير است که بر روي يک سرور نصب شده و قابليت‌هاي آن در يک شبکه آزمايش شود بنابراين هدف ما در اين مقاله تنها نزديک کردن مفهوم به واقعيت است چرا که درپي آشنائي مختصر در قسمت پيشين بهتر ديديم نحوه پياده سازي سناريوهاي مختلف را از طريق اين نرم افزار نشان دهيم تا يک قدم هر چند کوچک به سمت عملي شدن آنچه به صورت تئوري بيان کرده‌ايم, برداشته باشيم. لذا کسب اطلاعات جزئي‌تر را با معرفي منابع اطلاعاتي بر عهده خوانندگان عزيز قرار مي‌دهيم.

• براي نصب به چه امکاناتي نيازمنديم؟
براي نصب ISA Server و استفاده از تمامي‌قابليت‌ها بايستي آن را بر روي ويندوز سرور نصب کنيد, يکي از نسخه‌هاي قابل اطمينان موجود ISA، نسخه 2004 آن است که بايستي بر روي Windows server نصب شود که مي‌تواند ويندوز سرور 2003 يا 2000 باشد.
نکاتي که بايستي در نصب بر روي ويندوز سرور 2000 به خاطر بسپاريد اينست که ويندوز بايستي سرويس‌پک نسخه 4 به بالا باشد يعني Windows Server 2000 SP4 و شايان ذکر است که مي‌توانيد ISA را بر روي ويندوز XP نيز نصب کنيد اما به عنوان Firewall نمي‌توانيد از آن بهره ببريد و در حقيقت تنها يک نوع ابزار در اختيار شما قرار مي‌دهد که کنسول مديريتي محسوب مي‌شود. که برخي از مديران سيستم براي استفاده راه دور و يا زماني که به سرور اصلي دسترسي ندارند از آن استفاده مي‌کنند.

• نکات امنيتي در ISA Server
از مهم‌ترين مسائلي که در نصب و استفاده از  ISA بايد مورد توجه قرار گيرد:
1. مستحکم سازي سيستم عامل :
به لحاظ حساسيت سروري که برنامه ISA را نيز به يدک مي‌کشد به روز بودن سيستم عامل بسيار مهم  است. بدين معنا که استفاده از وصله‌هاي امنيتي مايکروسافت روي سرور، يکي از ضروري ترين مسائل مي‌باشد.

2. مديريت Update‌ها :
براي امنيت و کارائي بهتر بايستي تمامي آپديت‌ها براي ويندوز, ISA Server و اجزائي که توسط آن استفاده مي‌شوند مانند:  (OWC ( Office WEB Component، 
 (MSDE 2000 (Microsoft SQL Server 2000 Desktop  قبل از نصب و بعد از آن دائماً دريافت و نصب شوند.

3. موقعيت فيزيکي سرور :‌
به لحاظ اهميتي که ISA Server ايفا مي‌کند از فايروال گرفته تا Cache کردن اطلاعات, کامپيوترمورد نظر بايستي در محل امني قرار بگيرد.

4. حفاظت اطلاعات :
زماني که آرايه‌اي از  ISA Serverها وجود دارد هر عضو آرايه داراي اطلاعات مهم رمزشده‌اي درباره ديگر اعضاي آرايه و کليد رمزگشائي اين اطلاعات مي‌باشد پس حفاظت اطلاعات بسيار مهم بوده و در صورت دسترسي غيرمجاز افراد ديگر به يکي از سرورها سعي کنيد تمام اطلاعات حياتي مانند رمز عبورها را تغيير دهيد.

5. مشخص کردن عضويت در Domain :
مشخص کنيد ISA Server شما قرار است عضو Domain باشد يا درWorkgroup  قرار گيرد يا به عنوان عضوي خارجي از شبکه, حفاظت کل شبکه LAN را برعهده دارد. اگر ISA Server شما در ايجاد Policyهاي کاربري در يک دامين استفاده شود بهتر است عضوي از همان Domain باشد , اگر وجود آن در شبکه براي حفاظت کلي از شبکه است بايستي آن را در آرايه‌اي خارج از شبکه نصب کنيد تا از بيرون به حفاظت شبکه بپردازد, اگر بنا بر هر دليلي ترجيح مي‌دهيد که از دامين و Active directory استفاده نکنيد مي‌توانيد ISA خود را عضوي از Workgroup تنظيم نمائيد.

6. از فعال بودن سرويس‌هايي که براي اجراي صحيح ISA Server  مورد نياز است اطمينان حاصل کنيد.
يک سري از سرويس‌هاي ويندوز بايستي در کنار ISA Server در وضعيت خاصي مانند Automatic يا Manual فعال باشند, از ذکر نام و جزئيات اين بخش به علت تعدد سرويس‌ها مي‌پرهيزيم اما شما مي‌توانيد با مراجعه به آدرس زير اطلاعات تکميلي در اين مورد را بيابيد.
http://www.microsoft.com/technet/isa/2004/plan/

• نصب ISA Server
نصب ISA Server مانند بسياري از نرم‌افزارهاي ديگر در مراحل اوليه بسيار ساده به نظر مي‌رسد, اما دانستن جزئيات شبکه‌اي که بايستي مورد حمايت ISAServer قرار گيرد الزامي ‌است بنابراين از پيچيدگي‌هاي خاص خود برخوردار است, پس از اجراي فايل اجرائي نصب برنامه صفحه‌اي مانند شکل 1 ظاهر مي‌شود.

                                                  شکل 1

در اين صفحه به شما پيشنهاد مي‌شود که به مطالعه راهنماها و متون همراه نرم‌افزار بپردازيد و يا نصب جديدي را آغاز کنيد, جهت نصب گزينه ISAServer Install  در اختيار شماست که مطابق معمول شما را به صفحاتي مانند توافقنامه نرم‌افزار, وارد کردن نام و اطلاعات سازماني و شماره سريال نرم‌افزار هدايت مي‌کند, سپس بايستي از بين سه حالت نصب Typical , Complete, Custom يکي را انتخاب کنيد, توجه به اين نکته ضروري است که برنامه نصب, ويندوز و سرويس‌ها را بررسي مي‌کند و در صورتيکه ISA Server را نتوان بر روي آن نصب کرد اعلام مي‌کند؛ به طور مثال, پيامي‌که در شکل 2 مي‌بينيد پس از اجراي برنامه نصب بر روي Windows XP مشاهده شده است که بيان مي‌دارد ويژگي فايروال را نمي‌توان بر روي اين ويندوز نصب نمود.

                                                  شکل 2

در هر حال زماني‌که ويندوز مورد نظرServer 2003 است به طور پيش فرض امکانات firewall services , ISA Server Management , Advanced Logging نصب مي‌شود و ويژگي Message Screener نيز را مي‌توان به دلخواه نصب کرد اين قابليت براي فيلترکردن اسپم‌ها و ضمايم نامه‌هاي الکترونيکي استفاده مي‌شود که قبل از نصب آن بايستي سرويس SMTP از IIS  نصب شده باشد.
پس از طي مراحل اوليه نوبت به تعيين و معرفي شبکة داخلي مي‌رسد
براي ISA Server ضروري است که محدوده IP هاي موجود در شبکه را براي آن مشخص کنيم و دقت در انجام اين عمل از ضروري‌ترين مسائلي است که بايد  در تنظيمات ISA Server به آن توجه کرد مطابق شکل 3 بايستي محدوده‌‌هاي IP مورد نظر را به ليست پائين صفحه اضافه کرد براي انجام اين کار دکمه Add را انتخاب و در پنجره جديد آدرس ابتدائي و انتهائي شبکه را وارد کرده سپس آن را به ليست سمت راست Add مي‌کنيــم و يا با انتخــــاب Select NetworkAdapter به وســيله جدول مســيريـــابي (Routing Table) اين کار را  انجام مي‌دهيم.( به شکل 4 دقت نماييد.) .

                                                   شکل 3

                                                 شکل 4

پس از اينکه شبکه داخلي معين شد در مرحله بعد بايد تعيين کنيد که آيا Client هائي که از نسخه‌هاي قديمي‌تر فايروال ( مانندProxy Server 2.0 , WinsockProxy و ISA 2000 ) استفاده مي‌کنند مي‌توانند به ISA Server متصل شوند يا نه, البته هميشه پيشنهاد مي‌شود که براي کارائي بهتر, تمامي‌کامپيوترها به Client هاي ISA Server تبديل شوند اما ممکن است در زمان نصب بنا به ضرورت نياز باشد که وضعيت قبلي حفظ شود.
يکي از بزرگترين مزاياي امنيتي کلاينت فايروال   ISA Server2004 اين است که ارتباط بين ISA Server و کلاينت زمانيکه کلاينت در حال آپديت شدن به نرم‌افزار جديد است؛ به صورت رمزنگاري شده انجام مي‌پذيرد. جالب است بدانيم قبل از اينکه نصب واقعاً شروع شود سرويس‌هاي SNMP و IIS Admin متوقف مي‌شوند و ICS ، ICF و سرويس RRAS NAT غير فعال مي‌گردند. ICF , ICS, RRAS NAT, نمي‌توانند با
ISA Server کار کنند و با آن در تعارض خواهند بود.
پس از اينکه اين مراحل طي شد نصب کامل شده است و صفحه‌اي مانند شکل 5 را خواهيم ديد.

                                                  شکل 5

• تنظيمات پيش فرض
پس از اينکه ISA Server نصب شد داراي يک سري تنظيمات پيش ‌فرض مي‌باشد که تا زماني که آنها را تغيير ندهيد فعال باقي خواهند ماند؛ اين تنظيمات عباتند از:
• تنها يک قانون دسترسي ( Access Rule ) پيش فرض وجود دارد که از نوع قوانين جلوگيري‌ (Deny) است و به هيچ گونه ترافيکي از هيچ شبکه‌اي اجازه عبور به شبکه ديگر را نمي‌دهد اين Rule براي تأمين امنيت بالا است اما در صورتي که آن را تغيير ندهيد ممکن است ISA Server براي شما بسيار آزار دهنده به نظر برسد چرا که در اين صورت هيچ کامپيوتري نمي‌تواند به اينترنت متصل شود.

                                                 شکل 6

• SystemPolicy هاي پيش‌فرض که به ترافيک‌هاي انتخاب شده اجازه عبور مي‌دهند در ابتدا تنها به سرويس‌هاي مورد نياز اجازه فعاليت مي‌دهند.
• يک ارتباط مسيريابي شده بين شبکه‌هاي  VPN و VPN-Q و شبکه داخلي وجود دارد.
• يک مجموعه ارتباطات NAT بين شبکه داخلي و شبکه خارجي پيش فرض وجود دارد.
• Cache کردن غيرفعال است.

                                                  شکل 7

توجه داشته باشيد که تنها مدير سيستم به صورت Locally مي‌تواند در تنظيمات ISA Server تغيير ايجاد کند.

• منوهاي برنامه ISA Server
همانطور که شکل‌هاي 6 يا 9 مشاهده مي‌نماييد ISA Server از منوهاي زير تشکيل شده است:
ـ Monitoring
ـ Firewall Policy
ـ Virtual Private Networks ) VPN )
ـ Configuration که خود شامل موارد زير مي‌باشد:
• Networks
• Cache
• Add-ins
•General
همانطور که مي‌دانيد توضيح تمامي ‌منوهاي فوق قابل توضيح دراين مقاله نمي‌باشد و نيز با توجه به اينکه در شماره آينده قصد داريم يک پروژه عملي را حضورتان تقديم نماييم در ادامه اين قسمت به توضيحي مختصر بعضي از موارد مهم اکتفا شده است و از توضيح برخي ار منوهايي که کاربرد کمتري دارد صرفنظر شده است.

Monitoring :در اين قسمت گزارشات کاملي از نرم‌افزار ISA و همچنين عملکرد برنامه‌هايي که در هنگام اجراي ISA در پس زمينه فعال هستند نمايش داده مي‌شود که خود داراي بخش‌هاي زير است:

ـ Dashboard : اين صفحه خلاصه‌اي از قسمت هاي ديگر و نگاهي گذرا به آنها دارد. ( به شکل 8 دقت نماييد. )

                                                 شکل8

ـ Alerts : اتفاقاتي که در برنامه مي‌افتد در اين قسمت نمايش داده مي‌شود.

ـ Sessions : با کمک امکان نمايش همزمان (Real-Time) برنامه ISA Server در اين قسمت تمام کانکشن هاي فعال بصورت اتوماتيک و همزمان نمايش داده مي‌شود.

ـ Services : با نصب برنامه ISA سرويس هاي زير نيز نصب مي‌شود:
   Microsoft Firewall service 
   Microsoft ISA Server Control service 
   Microsoft ISA Server Job Scheduler service
   Microsoft Data Engine   
      
مي‌توانيد سرويس هاي فوق را در اين بخش Stop يا Start نماييد.

ـ Reports : اين قسمت يکي از مهمترين قسمت هاي برنامه است چراکه به شما کمک مي‌کند با ايجاد گزارشات، فعاليت‌هاي کاربران را از چندين روش که در شماره بعدي توضيح داده خواهد شد، مانيتور و کنترل نماييد. همانطور که در شکل 9 ملاحظه مي‌نماييد مي توانيد با انتخاب گزينه Create a New Report گزارش دلخواه خود را ساخته و پس از ساختن آن با کمک گزينه‌هاي واقع در پانل سمت راست , آن را Refresh يا Configure نماييد.

                                                   شکل 9

ـ Logs : با نصب ISA Server عمل ثبت وقايع (Logging) براي اکثر کامپوننت ها فعال مي‌گردد که مي‌توان هرکدام از آنها را مانند Web Proxy ، MicrosoftFirewall service و ... به دلخواه غيرفعال نمود. برنامه ISA Server از اين Log ها براي قسمت Report استفاده مي‌کند. همچنين مدير شبکه در هنگام رفع ايرادات احتمالي ( Troubleshoot) از آن استفاده خواهد نمود. نکته قابل توجه اينکه خواندن Logهاي برنامه کار ساده‌اي نمي‌باشد و گزارشاتي که از اين Logها بدست مي‌آيد در بعضي مواقع خواسته مدير شبکه را برآورده نمي‌نمايد براي اين منظور مي‌توانيد از برنامه‌هايي جانبي مانند InternetAccess Monitor که از Logهاي برنامه ISA Server استفاده نموده و گزارشات جامع و کاملي را تهيه کنيد.
بازدن دکمه Start Query از پانل سمت راست مي‌توانيد Logging را فعال نماييد. و اتفاقاتي که در برنامه مي‌افتد را ثبت نماييد.

ـ Connectivity : با امکان Connectivity که در برنامه ISA Server قرار دارد مي‌توانيد ارتباط سيستم با ديگر کامپيوترها در شبکه را امتحان نماييد.
براي مثال با زدن دکمه Create New Connectivity Verifier که در پانل سمت راست قرار داد، پنجره اي باز مي‌شود که لازم است در اين پنجره يک نام براي اين کانکشن در نظر بگيريد، سپس مطابق شکل 10 ،  ابتدا آيپي آدرس مقصد و  گزينه
Send a Ping request انتخاب مي‌شود. با زدن دکمه Next  در صفحه بعد دکمه Finish و سپس دکمه Apply را مي‌زنيم. حال با زدن دکمه refresh سيستم آدرس 192.168.0.1  را Ping کرده و پاسخ را زير فيلد Result نمايش مي‌دهد.

                                                 شکل 10

همانطور که در شکل 10 نيز مي‌بينيد مي‌توان به سه روش ارتباط را چک نماييد:
TCP Connect
Ping
HTTP Request

Firewall Policy
از مهمترين قسمت هاي ISA Server است. با توجه به خواسته و نياز خود از راه اندازي برنامه ISA Server در اين بخش مي‌توانيد سياست هاي امنيتي که شامل سياست هاي انتشار وب يا ايميل (Web Publishing , Mail Publishing) يا قواعد دسترسي به منابع داخلي يا خارجي باشد را تعريف کرد. همانطور که در شکل 11 ملاحظه مي‌کنيد Firewall Policy خود از قسمت‌هاي گوناگوني تشکيل شده است که توضيح هرکدام خود نياز به تعداد زيادي صفحه دارد. اما در شماره آينده طريقه ساختن يک Access Rule که معمول ترين استفاده از ISA Server در شرکت هاست را حضورتان تقديم مي‌نماييم.

                                                   شکل 11

Virtual Private Networking
در اين قسمت از برنامه ISA مي‌توانيد يک ارتباط امن و مجازي بين دو سيستمي که در شبکه‌هاي داخلي وجود دارد برقرار نماييد. بعد از Enable کردن VPNClient access لازم است سياست (Policy) مناسبي براي VPN Clientها ايجاد و پيکربندي گردد. همانطور که در شکل 12 ملاحظه مي‌نماييد ايجاد و پيکربندي VPN، تنظيمات کاربران راه دور (RADIUS Server) و ... از ديگر امکانات اين قسمت است.

                                                   شکل 12

Cofiguration
براي پيکربندي ISA Server ابتدا بايد Network Ruleها را ساخته ، NetworkTopolgy را انتخاب نماييد و چگونگي ترافيک بين نت‌ورک‌ها را تعيين نمود بنابراين اين قسمت وظيفه پيکربندي برنامه را  دارد و همچنين راه‌اندازي و تنظيم Cache را مي‌توان از اين قسمت انجام داد.
همانطور که از وظايف اين بخش مشخص است زير مجموعه اين قسمت از بخش‌هاي Networks, Cache, Add-ins, General تشکيل شده است.

سخن پاياني
در شماره گذشته و اين شماره تا حدودي با ISA Server آشنا شديم, همانطوريکه گفته شد به هيچ وجه نمي‌توان در طي يک يا چند مقاله به يادگيري و بررسي آن پرداخت اما هدف ما تنها ايجاد بستري براي انتقال بهتر مفاهيم تئوري بوده است. در شماره آينده نيز مطالبي در مورد ISA Server خواهيم داشت بدين ترتيب که چند نوع از تنظيمات مهم ISA Server را به صورت پروژه‌هاي عملي کوچک بررسي خواهيم کرد, پس چنانچه منتظر آموختن نکات بيشتري درباره ISA هستيد در شماره آتي نيز با ما باشيد.

لینک مرتبط  :

تنظیم ISA SERVER