آموزش تنظیم ISA Server
ارسال شده توسط علیرضا نگهداری
آموزش شبکه >> شبکه پیشرفته

ISA Server ( قسمت دوم تنظیم سرور پس از نصب)

نصب ISA SERVER لینک مرتبط "

وضعيت سرور پس از نصب ISA Server

پس از نصب ISA Server بر روي سرور شبکه (چه در دامين و چه به عنوان عضوي از يک Workgrouop ) رفتار آن در شبکه به کلي تغيير خواهد کرد, همانمطوريکه در شماره پيشين به آن اشاره شد؛ در بدو نصب تنها يک Rule از نوع Deny وجود دارد که جلوي تمام ترافيک‌هاي ورودي به سرور را مي‌گيرد, پس اگر کامپيوترها نتوانستند ماشين ISA Server را Ping کنند شوکه نشويد, حالا نوبت مدير شبکه است که تنظيمات لازم را اعمال کند. اما بعد از نصب برنامه ISA‌ روي Server 2000 يا Server2003 کارهائي که بايد براي يک مثال عملي انجام شود به ترتيب شامل موارد زير است:
l تنظيم مرورگر سيستم‌ها براي اتصال به اينترنت از طريق کامپيوتر
l تعريف قوانين مناسب جهت تعيين دسترسي‌ها

تنظيم مرورگر

ابتدا بايد مروگرهاي سيستم‌هاي کلاينت براي اتصال به اينترنت تنظيم شوند که خود lتنظيم دستي يا Manual
در اين روش، مدير شبکه بايد تنظيمات مروگر را براي تک تک کامپيوترها بصورت زير انجام دهد.
ابتدا به مسير Tool - - > Internet Option - - > Connection - - > LanSetting برويد و از آنجا مطابق شکل 1 ابتدا آيپي آدرس ماشين ISA Server را وارد نموده و سپس پورت را برابر 8080 قرار دهيد.

شکل 1

شايان ذکر است اين روش معمولا در شبکه‌هايي که تعداد کاربران محدود و شبکه بصورت Workgroup است استفاده مي‌شود.

تنظيم اتوماتيک توسط Group Policy
اين روش عمدتا براي شبکه با تعداد کاربر زياد و همچنين شبکه‌اي که معمولا در آن Active Directory فعال شده است مناسب است. چراکه در اين روش مدير شبکه توسطActive Directory Users and Computers  يکOrganization Unit‌ ( OU ) ايجاد مي‌کند و کاربراني که مجوز استفاده از اينترنت دارند را عضو آن OU خواهد کرد. سپس با تعريف Policy جديد براي آن OU مي‌توان بصورت اتوماتيک آيپي آدرس و شماره پورت را براي کاربران ارسال نمايد بدون اينکه لازم باشد تک تک کامپيوترها را تنظيم نماييم.

بعد از تنظيم مرورگر و درخواست يک وب سايت مانند google ، اگر هيچ Access Rule اي تعريف نکرده باشيد سيستم پيغامي مانند شکل 2 را ظاهر مي‌کند ( به شکل 2 دقت کنيد. ) که حکايت از عدم دسترسي به اينترنت دارد.

شکل2

نکته : در حال حاضر ماشيني که برنامه ISA Server روي آن نصب است و Access Ruleاي هم براي آن تعريف نشده است براي کسي در دسترس نيست و هيچ کامپيوتري نمي‌تواند در شبکه آن را Ping کند. اما همه Resourceهاي شبکه از ديد آن قابل نمايش و در دسترس بوده و از روي آن دستگاه همه کامپيوترها را مي‌توان Ping نمود. دليل اين امر نيز در شماره قبل توضيح داده شد چراکه بصورت پيش فرض بعد از نصب ISA Server يک Rule کلي وجود دارد و آن هم Deny‌ است. يعني هيچ ماشيني نمي‌تواند با هيچ پورتي از آن ماشين ارتباط برقرار نمايد.


تعريف Access Rule

در اين بخش چند نوع قانون دسترسي ( Access Rule) را به صورت گام به گام خواهيم ديد؛ براي اينکه بتوان نحوه کار ISA‌ را به راحتي و به صورت نوشتاري آموزش داد از يک مثال ساده آغاز مي‌کنيم. بدين ترتيب که يک AccessRule‌تعريف مي‌شود که مجوز ورود به همه پورت‌هاي سرور را فراهم مي‌کند.

براي اين منظور مراحل زير در برنامه ISA Server را انجام دهيد:
1 ـ از منوي Firewall Policy ابتدا New و سپس Access Rule را انتخاب نماييد.
2 ـ در پنجره New Access Rule Wizard‌ يک نام با معني ( مانند AllowedAll ) براي آن بگذاريد.
3 ـ مطابق در صفحه Rule Action گزينه Allow را انتخاب نماييد.
4 ـ در صفحه Protocols و مطابق با شکل 3 گزينه All outbound traffic را انتخاب نماييد.

شکل3

نکته :در اين قسمت بنابر سياست مدير شبکه مي‌توانيد Protocolهاي مختلفي را مجوز عبور بدهيد يا برعکس. بعنوان مثال اگر بخواهيم کامپيوترهاي شبکه بتوانند سرور را Ping کنند بايد گزينه Selected protocol انتخاب شده و سپس دکمه Add را بزنيم از آنجا گزينه Common Protocols را مطابق با شکل 4 انتخاب و گزينه Ping را Add مي‌کنيم.

شکل4

5 ـ مرحله بعد؛ در پنجره Access Rule Source‌ ابتدا گزينه Add را مي‌زنيم سپس گزينه Networks را باز کرده و از آنجا مطابق با شکل 5 گزينه Internal را انتخاب و ابتدا دکمه Add و سپس Close را مي‌زنيم.

شکل5

6 ـ در صفحه Access Rule Destinations مانند مرحله قبل عمل مي‌کنيم فقط اين بار به جاي گزينه Internal گزينه External را انتخاب مي‌کنيم.
7 ـ همانطور که اشاره شد با توجه اينکه مي‌خواهيم مثال ساده‌اي را در اين مقاله اجرا نماييم در صفحه User Sets گزينه All Users‌ را انتخاب سپس دکمه Next و در انتها نيز دکمه Finish‌ را بزنيد.
8 ـ همانطور که در شکل 6 مشاهده مي‌کنيد يک Rule‌ با Action از نوع Allow ايجاد شده است. در اين قسمت به محض زدن دکمه Apply پيغامي مبني بر ذخيره شدن تغييرات دريافت خواهيد نمود و از حالا به بعد اين Rule‌براي کاربراني که تعريف نموده‌ايد (در اينجا همه) اعمال مي‌شود.

شکل 6

نکته :حالا مرورگر خود را باز کنيد و بعنوان مثال آدرس سايت  google را تايپ کنيد, بدين ترتيب کامپيوتري که تا چند لحظه پيش با پيغام شکل 2 روبرو شده بود مي تواند به اينترنت متصل شود.

زمانيکه چنين قانوني اعمال شود کامپيوتر سرور خود از اين قاعده مستثناست, يعني از طريق سيستمي که ISA Server بر روي آن نصب است نمي‌توان به اينترنت متصل شد اما اتصال ديگر کلاينت‌ها ر ا به عنوان يک دروازه (  Gateway) با اينترنت برقرار مي‌سازد حال اگر بخواهيم اتصال همين کامپيوتر به اينترنت را فراهم کنيم بايستي قانون جديدي را تعريف کنيم در مرحله بعد به نحوه تعريف اين قانون مي پردازيم و در حين آموزش با User Set نيز آشنا مي شويم.
lبراي تعريف Access Ruleي که به وسيله آن بتوان از خود سرور نيز به اينترنت متصل شد مراحل زير را طي مي‌کنيم: (مراحل اول مانند مثال قبل است.‌)
1- از منوي Firewall Policy ابتدا New و سپس Access Rule را انتخاب نماييد.
2 ـ در پنجره New Access Rule Wizard‌ يک نام با معني ( مانند Server to External ) براي آن بگذاريد.
3 ـ در صفحه Rule Action گزينه Allow را انتخاب نماييد.
4 ـ در صفحه Protocols ؛ گزينه All outbound traffic را انتخاب نماييد.
5- در پنجره Access Rule Source‌ پس از زدن گزينه Add و انتخاب Networks مطابق با شکل 5 گزينه Internal را انتخاب و ابتدا دکمه Add و سپس Close را مي‌زنيم.
6 ـ در صفحه بعد يا  Access Rule Destinations مانند مرحله 5 گزينه External را انتخاب مي‌کنيم. ( به شکل 5 نيز دقت نماييد)
7 ـ در پنجره بعد و در صفحه User Sets گزينه All Users‌ را انتخاب نمي کنيم بلکه سطح دسترسي افراد را بوسيله انتخاب دکمه Add مشخص مي کنيم در پنجره‌اي که باز مي‌شود سه گروه وجود دارند ؛ All Authenticated Users , All Users , System and Network Services, با انتخاب گزينه New در بالا , در قسمت User Set Name براي مجموعه کاربري جديد نامي ( مانند ISAOperators ) را انتخاب کرده و  سپس با زدن دکمه Next و انتخاب Add در قسمت بعد با توجه به شکل 7 مي‌توان از ميان کاربران دامين يا Local به انتخاب و اضافه کردن کاربران جديد به اين گروه پرداخت در انتها نيز دکمه Finish‌ مجموعه جديد را به سه گروه قبلي مي افزايد (شکل 7 ، 8 ).

شکل 7


شکل 8

پس از تعريف User Set و انتخاب کاربراني که در اين مجموعه قرار خواهند گرفت با زدن دکمه Finish در صفحه بعد اين Access Rule جديد ساخته مي‌شود و پس از Apply کردن آن در پنجره Firewall Policy اين قانون فعال مي‌شود. حالا از طريق همين کامپيوتر نيز مي‌توان به اينترنت متصل شد(شکل 9).

شکل 9

نکته:همانطوريکه در شکل 9 ديده مي شود قانون پيش‌فرض ISA Server از نوع Deny و دو قانون جديد ساخته شده از نوع Allow هستند که در بخش Action مي توان نوع عمل آنها را ديد, قانون Deny تمام ترافيک ها را مسدود مي‌کند؛ ممکن است در اينجا اين سوال مطرح شود که آيا حضور اين قانون مانعي براي دو قانون ديگر نيست؟ در جواب بايد گفت که در ابتدا قانون‌هاي Allow چک و اجرا مي‌شوند و سپس به قانون آخر Deny پرداخته مي‌شود. به عبارت ديگر قوانين از بالا به پايين اجرا مي‌شوند.


تنظيمات Rule ها

در نوار ابزار پنجره اصلي سرور در بخش Firewall Policy آيکوني به نام Show/Hide System Policy Rules وجود دارد که در صورت فعال بودن آن, قوانين از پيش تعيين شدة ISA Server نمايش داده مي‌شوند همانطوريکه در شکل 10 مي‌بينيد اين قوانين شامل يک سري ( System Policy ) Access Rule ها از نوع Allow هستند که متضمن ارتباط صحيح و عملکرد مناسب ISA Server با پروتوکل هاي مختلف است تعداد اينPolicy System ها 30 عدد است و از 1 تا  30 شماره‌گذاري شده‌اندکه در شکل  10 تعدادي از آنها را در کنار FirewallPolicyها مي‌بينيد.

شکل 10

در صورتي که بر روي هر يک از اين 30 عددAccess rule  کليک راست کنيد تنها دو گزينه در اختيار خواهيد داشت؛ گزينه‌هاي Properties وSystem Policy  Editکه  جهت ويرايش اين Policyها استفاده مي‌شوند که البته در کار با آنها بايد دقت عمل لازم وجود داشته باشد. اما با کليک راست بر روي هر يک از Firewall Policy هاي تعريفي کاربر ( در اينجا شماره‌هاي 1 و 2 ) در منوي بازشده امکان حذف, کپي, Import , Export , غيرفعال سازي (Disable) و تغيير ترتيب فراهم مي‌شود, با کليک بر روي Properties پنجره اي مانند شکل 11 باز مي شود که بخش‌هاي متعددي براي ويرايش تنظيمات در آن وجود دارد به همان دلايل که قبلاً ذکر شد نمي‌توان به تمامي آنها پرداخت ولي بيان دو بخش ضروري به نظر مي‌رسد:

شکل 11

l بخش Content Type

همانطور که در شکل 11 مي‌بينيد, در اين بخش نوع محتواي ترافيک عبوري مشخص مي‌شود يعني مي‌توان مشخص کرد که جلوي چه نوع ترافيکي گرفته شود و چه نوع ترافيکي عبور داده شود. چنانچه گزينه اول يعني All Content Type فعال باشد هر نوع ترافيک قابل عبور است در صورتي که نياز باشد تا تنها انواع مشخصي از اطلاعات عبور کنند گزينه دوم يعني Selected content Type…. را تيک زده و در قسمت پائين نوع داده‌هاي مورد نظر را انتخاب مي کنيم مثلا ما در اينجا براي قانون دسترسي AllowedAll که در بخش پيشين آن را ساختيم اين طور مشخص کرديم که همه نوع ترافيکي اجازه عبور دارد به استثناء محتويات صوتي و تصويري. با زدن دکمه New مي‌توان انواع جديدي را نيز ساخت.

l بخش Schedule

در اين بخش براي هر يک از قوانين مي‌توان برنامه زمانبندي ساخت تا تنها در محدوده Active فعال باشند و کار خود را انجام دهند و در محدوده Inactive که با رنگ سفيد مشخص مي‌شود عملاً غير فعال شوند. تنظيم Schedule بدين ترتيب است:  با زدن دکمه New در اين بخش پنجره جديدي مانند شکل 12 باز مي‌شود , در قسمت Name يک نام براي آن در نظر گرفته و در قسمت Description توضيحات مربوط به آن را مي‌دهيم سپس در بازه زماني مشخص شده در قسمت پائين محدوده زماني مورد نظر را انتخاب وآن را Active يا Inactive مي‌کنيم. به عنوان نمونه در قانون دسترسي AllowedAll تصميم گرفتيم که به افراد تنها در محدوده زماني 9 صبح تا 5 بعد از ظهر اجازه اتصال به اينترنت را بدهيم بنابراين محدوده قبل از ساعت 9 صبح و محدوده بعد از ساعت 5 بعد از ظهر را انتخاب و آنها را Inactive کرديم بدين ترتيب اتصال به اينترنت تنها در در زمان بين اين دو تايم ممکن است.

شکل 12

همانطوريکه در شکل 13 مي‌بينيد کليه اعمال ممکن در هر بخش از ISA Server در قسمت سمت راست ليست شده است اين Task Pane در بخش‌هاي مختلف متفاوت است.

شکل 13

گزارش‌گيري با ISA
يکي از اصلي‌ترين وظايف ISA Server تهيه گزارش‌هاي مختلف از نحوه دسترسي کاربران به اينترنت مي‌باشد. گزارش‌هايي که ISA مي‌تواند براي مديران شبکه فراهم نمايد براساس پارامترهاي زيادي مي‌باشد. بعنوان مثال مي‌توان به موارد زير اشاره نمود:
ـ Traffic by protocols‌: همانطور که در شکل‌هاي 14 و 15 مشاهده مي‌کنيد در اين گزاش‌ها مقاديري که کل کاربران پروتوکل‌ها را درخواست کرده‌اند نشان مي‌دهد.

شکل 14


شکل 15

ـTraffic by Users : در اين گزارش ليست کاربراني که بيشترين مقدار استفاده از پهناي باند را داشته‌اند نشان مي دهد. آنها را مانند شکل 14 و 15 بصورت گرافيکي نمايش خواهد داد.
ـTraffic by Website : در اين گزارش وب سايتهايي که بيشتر مورد بازديد قرار گرفته‌اند را بصورت چارت و جدول نشان مي‌دهد.
ـTraffic by date : مقدار ترافيک را در بين چند روز گذشته نمايش مي‌دهد.
ـTraffic by time of day : مقدار ترافيک را در ساعات مختلف روز نمايش مي‌دهد.

شکل 16

ـWeb traffic by users : گزارشي از صفحات وبي که کاربران مشاهده کرده‌اند را بصورت گرافيکي نمايش مي‌دهد.
ـWeb traffic by object type‌ : گزارش Object هايي که توسط کاربران مشاهده شده است را نشان مي‌دهد.

شکل 17

و ديگر گزارش‌هايي که در اينجا فقط از آنها نام مي‌بريم:
ـWeb traffic by browser
ـ Web traffic by operating system
ـ Traffic by application protocols‌
ـ Application traffic by users
و ....


سخن پاياني

همانطور که وعده کرده بوديم در اين مقاله يکي دو کاربرد عملي و مهم ISA Server را حضورتان تقديم نموديم. لازم است اشاره کنيم که کاربردهاي ISA بسيار فراتر از اين چند نکته کوچک است اما براي آشنايي آکادميک و بهتر با آنها مي‌توانيد دوره‌هاي مرتبط با آن را در آموزشگاه‌هاي معتبر بگذرانيد و گواهينامه بين‌المللي آن را دريافت نماييد. ولي پيشنهاد مي‌کنيم يک شبکه خانگي حتي با دو کامپيوتر راه‌‌اندازي کنيد و موارد فوق را بصورت عملي امتحان کنيد.ر

  لینک مرتبط 

نصب ISA SERVER