نصب و راه اندازی ISA Server
اشاره :
ISA
Server از پیچیدگیهای بسیاری برخوردار بوده و استفاده از آن تنها در
صورتی امکانپذیر است که بر روی یک سرور نصب شده و قابلیتهای آن در یک
شبکه آزمایش شود بنابراین هدف ما در این مقاله تنها نزدیک کردن مفهوم به
واقعیت است چرا که درپی آشنائی مختصر در قسمت پیشین بهتر دیدیم نحوه پیاده
سازی سناریوهای مختلف را از طریق این نرم افزار نشان دهیم تا یک قدم هر
چند کوچک به سمت عملی شدن آنچه به صورت تئوری بیان کردهایم, برداشته
باشیم. لذا کسب اطلاعات جزئیتر را با معرفی منابع اطلاعاتی بر عهده
خوانندگان عزیز قرار میدهیم.
• برای نصب به چه امکاناتی نیازمندیم؟برای
نصب ISA Server و استفاده از تمامیقابلیتها بایستی آن را بر روی ویندوز
سرور نصب کنید, یکی از نسخههای قابل اطمینان موجود ISA، نسخه 2004 آن است
که بایستی بر روی Windows server نصب شود که میتواند ویندوز سرور 2003 یا
2000 باشد.نکاتی که بایستی در نصب بر روی ویندوز سرور 2000 به خاطر
بسپارید اینست که ویندوز بایستی سرویسپک نسخه 4 به بالا باشد یعنی
Windows Server 2000 SP4 و شایان ذکر است که میتوانید ISA را بر روی
ویندوز XP نیز نصب کنید اما به عنوان Firewall نمیتوانید از آن بهره
ببرید و در حقیقت تنها یک نوع ابزار در اختیار شما قرار میدهد که کنسول
مدیریتی محسوب میشود. که برخی از مدیران سیستم برای استفاده راه دور و یا
زمانی که به سرور اصلی دسترسی ندارند از آن استفاده میکنند.
• نکات امنیتی در ISA Serverاز مهمترین مسائلی که در نصب و استفاده از ISA باید مورد توجه قرار گیرد:1. مستحکم سازی سیستم عامل : به
لحاظ حساسیت سروری که برنامه ISA را نیز به یدک میکشد به روز بودن سیستم
عامل بسیار مهم است. بدین معنا که استفاده از وصلههای امنیتی مایکروسافت
روی سرور، یکی از ضروری ترین مسائل میباشد. 2. مدیریت Updateها : برای
امنیت و کارائی بهتر بایستی تمامی آپدیتها برای ویندوز, ISA Server و
اجزائی که توسط آن استفاده میشوند مانند: (OWC ( Office WEB Component، (MSDE 2000 (Microsoft SQL Server 2000 Desktop قبل از نصب و بعد از آن دائماً دریافت و نصب شوند. 3. موقعیت فیزیکی سرور :به لحاظ اهمیتی که ISA Server ایفا میکند از فایروال گرفته تا Cache کردن اطلاعات, کامپیوترمورد نظر بایستی در محل امنی قرار بگیرد.4. حفاظت اطلاعات : زمانی
که آرایهای از ISA Serverها وجود دارد هر عضو آرایه دارای اطلاعات مهم
رمزشدهای درباره دیگر اعضای آرایه و کلید رمزگشائی این اطلاعات میباشد
پس حفاظت اطلاعات بسیار مهم بوده و در صورت دسترسی غیرمجاز افراد دیگر به
یکی از سرورها سعی کنید تمام اطلاعات حیاتی مانند رمز عبورها را تغییر
دهید.5. مشخص کردن عضویت در Domain :مشخص کنید ISA Server شما
قرار است عضو Domain باشد یا درWorkgroup قرار گیرد یا به عنوان عضوی
خارجی از شبکه, حفاظت کل شبکه LAN را برعهده دارد. اگر ISA Server شما در
ایجاد Policyهای کاربری در یک دامین استفاده شود بهتر است عضوی از همان
Domain باشد , اگر وجود آن در شبکه برای حفاظت کلی از شبکه است بایستی آن
را در آرایهای خارج از شبکه نصب کنید تا از بیرون به حفاظت شبکه بپردازد,
اگر بنا بر هر دلیلی ترجیح میدهید که از دامین و Active directory
استفاده نکنید میتوانید ISA خود را عضوی از Workgroup تنظیم نمائید.6. از فعال بودن سرویسهایی که برای اجرای صحیح ISA Server مورد نیاز است اطمینان حاصل کنید.یک
سری از سرویسهای ویندوز بایستی در کنار ISA Server در وضعیت خاصی مانند
Automatic یا Manual فعال باشند, از ذکر نام و جزئیات این بخش به علت تعدد
سرویسها میپرهیزیم اما شما میتوانید با مراجعه به آدرس زیر اطلاعات
تکمیلی در این مورد را بیابید.http://www.microsoft.com/technet/isa/2004/plan/
• نصب ISA Serverنصب
ISA Server مانند بسیاری از نرمافزارهای دیگر در مراحل اولیه بسیار ساده
به نظر میرسد, اما دانستن جزئیات شبکهای که بایستی مورد حمایت ISA
Server قرار گیرد الزامی است بنابراین از پیچیدگیهای خاص خود برخوردار
است, پس از اجرای فایل اجرائی نصب برنامه صفحهای مانند شکل 1 ظاهر میشود.
شکل 1در
این صفحه به شما پیشنهاد میشود که به مطالعه راهنماها و متون همراه
نرمافزار بپردازید و یا نصب جدیدی را آغاز کنید, جهت نصب گزینه ISA
Server Install در اختیار شماست که مطابق معمول شما را به صفحاتی مانند
توافقنامه نرمافزار, وارد کردن نام و اطلاعات سازمانی و شماره سریال
نرمافزار هدایت میکند, سپس بایستی از بین سه حالت نصب Typical ,
Complete, Custom یکی را انتخاب کنید, توجه به این نکته ضروری است که
برنامه نصب, ویندوز و سرویسها را بررسی میکند و در صورتیکه ISA Server
را نتوان بر روی آن نصب کرد اعلام میکند؛ به طور مثال, پیامیکه در شکل 2
میبینید پس از اجرای برنامه نصب بر روی Windows XP مشاهده شده است که
بیان میدارد ویژگی فایروال را نمیتوان بر روی این ویندوز نصب نمود.
شکل 2در
هر حال زمانیکه ویندوز مورد نظرServer 2003 است به طور پیش فرض امکانات
firewall services , ISA Server Management , Advanced Logging نصب میشود
و ویژگی Message Screener نیز را میتوان به دلخواه نصب کرد این قابلیت
برای فیلترکردن اسپمها و ضمایم نامههای الکترونیکی استفاده میشود که
قبل از نصب آن بایستی سرویس SMTP از IIS نصب شده باشد.پس از طی مراحل اولیه نوبت به تعیین و معرفی شبکة داخلی میرسدبرای
ISA Server ضروری است که محدوده IP های موجود در شبکه را برای آن مشخص
کنیم و دقت در انجام این عمل از ضروریترین مسائلی است که باید در
تنظیمات ISA Server به آن توجه کرد مطابق شکل 3 بایستی محدودههای IP
مورد نظر را به لیست پائین صفحه اضافه کرد برای انجام این کار دکمه Add را
انتخاب و در پنجره جدید آدرس ابتدائی و انتهائی شبکه را وارد کرده سپس آن
را به لیست سمت راست Add میکنیــم و یا با انتخــــاب Select Network
Adapter به وســیله جدول مســیریـــابی (Routing Table) این کار را انجام
میدهیم.( به شکل 4 دقت نمایید.) .
شکل 3
شکل 4پس
از اینکه شبکه داخلی معین شد در مرحله بعد باید تعیین کنید که آیا Client
هائی که از نسخههای قدیمیتر فایروال ( مانندProxy Server 2.0 , Winsock
Proxy و ISA 2000 ) استفاده میکنند میتوانند به ISA Server متصل شوند یا
نه, البته همیشه پیشنهاد میشود که برای کارائی بهتر, تمامیکامپیوترها به
Client های ISA Server تبدیل شوند اما ممکن است در زمان نصب بنا به ضرورت
نیاز باشد که وضعیت قبلی حفظ شود. یکی از بزرگترین مزایای امنیتی
کلاینت فایروال ISA Server2004 این است که ارتباط بین ISA Server و
کلاینت زمانیکه کلاینت در حال آپدیت شدن به نرمافزار جدید است؛ به صورت
رمزنگاری شده انجام میپذیرد. جالب است بدانیم قبل از اینکه نصب واقعاً
شروع شود سرویسهای SNMP و IIS Admin متوقف میشوند و ICS ، ICF و سرویس
RRAS NAT غیر فعال میگردند. ICF , ICS, RRAS NAT, نمیتوانند با ISA Server کار کنند و با آن در تعارض خواهند بود.پس از اینکه این مراحل طی شد نصب کامل شده است و صفحهای مانند شکل 5 را خواهیم دید.
شکل 5
• تنظیمات پیش فرضپس
از اینکه ISA Server نصب شد دارای یک سری تنظیمات پیش فرض میباشد که تا
زمانی که آنها را تغییر ندهید فعال باقی خواهند ماند؛ این تنظیمات عباتند
از:• تنها یک قانون دسترسی ( Access Rule ) پیش فرض وجود دارد که از
نوع قوانین جلوگیری (Deny) است و به هیچ گونه ترافیکی از هیچ شبکهای
اجازه عبور به شبکه دیگر را نمیدهد این Rule برای تأمین امنیت بالا است
اما در صورتی که آن را تغییر ندهید ممکن است ISA Server برای شما بسیار
آزار دهنده به نظر برسد چرا که در این صورت هیچ کامپیوتری نمیتواند به
اینترنت متصل شود.
شکل 6•
SystemPolicy های پیشفرض که به ترافیکهای انتخاب شده اجازه عبور میدهند
در ابتدا تنها به سرویسهای مورد نیاز اجازه فعالیت میدهند.• یک ارتباط مسیریابی شده بین شبکههای VPN و VPN-Q و شبکه داخلی وجود دارد.• یک مجموعه ارتباطات NAT بین شبکه داخلی و شبکه خارجی پیش فرض وجود دارد.• Cache کردن غیرفعال است.
شکل 7توجه داشته باشید که تنها مدیر سیستم به صورت Locally میتواند در تنظیمات ISA Server تغییر ایجاد کند.
• منوهای برنامه ISA Server همانطور که شکلهای 6 یا 9 مشاهده مینمایید ISA Server از منوهای زیر تشکیل شده است:ـ Monitoringـ Firewall Policyـ Virtual Private Networks ) VPN )ـ Configuration که خود شامل موارد زیر میباشد:• Networks• Cache• Add-ins •Generalهمانطور
که میدانید توضیح تمامی منوهای فوق قابل توضیح دراین مقاله نمیباشد و
نیز با توجه به اینکه در شماره آینده قصد داریم یک پروژه عملی را حضورتان
تقدیم نماییم در ادامه این قسمت به توضیحی مختصر بعضی از موارد مهم اکتفا
شده است و از توضیح برخی ار منوهایی که کاربرد کمتری دارد صرفنظر شده است.Monitoring
:در این قسمت گزارشات کاملی از نرمافزار ISA و همچنین عملکرد برنامههایی
که در هنگام اجرای ISA در پس زمینه فعال هستند نمایش داده میشود که خود
دارای بخشهای زیر است:ـ Dashboard : این صفحه خلاصهای از قسمت های دیگر و نگاهی گذرا به آنها دارد. ( به شکل 8 دقت نمایید. )
شکل8ـ Alerts : اتفاقاتی که در برنامه میافتد در این قسمت نمایش داده میشود.ـ
Sessions : با کمک امکان نمایش همزمان (Real-Time) برنامه ISA Server در
این قسمت تمام کانکشن های فعال بصورت اتوماتیک و همزمان نمایش داده میشود.ـ Services : با نصب برنامه ISA سرویس های زیر نیز نصب میشود: Microsoft Firewall service Microsoft ISA Server Control service Microsoft ISA Server Job Scheduler service Microsoft Data Engine میتوانید سرویس های فوق را در این بخش Stop یا Start نمایید.ـ
Reports : این قسمت یکی از مهمترین قسمت های برنامه است چراکه به شما کمک
میکند با ایجاد گزارشات، فعالیتهای کاربران را از چندین روش که در شماره
بعدی توضیح داده خواهد شد، مانیتور و کنترل نمایید. همانطور که در شکل 9
ملاحظه مینمایید می توانید با انتخاب گزینه Create a New Report گزارش
دلخواه خود را ساخته و پس از ساختن آن با کمک گزینههای واقع در پانل سمت
راست , آن را Refresh یا Configure نمایید.
شکل 9ـ
Logs : با نصب ISA Server عمل ثبت وقایع (Logging) برای اکثر کامپوننت ها
فعال میگردد که میتوان هرکدام از آنها را مانند Web Proxy ، Microsoft
Firewall service و ... به دلخواه غیرفعال نمود. برنامه ISA Server از این
Log ها برای قسمت Report استفاده میکند. همچنین مدیر شبکه در هنگام رفع
ایرادات احتمالی ( Troubleshoot) از آن استفاده خواهد نمود. نکته قابل
توجه اینکه خواندن Logهای برنامه کار سادهای نمیباشد و گزارشاتی که از
این Logها بدست میآید در بعضی مواقع خواسته مدیر شبکه را برآورده
نمینماید برای این منظور میتوانید از برنامههایی جانبی مانند Internet
Access Monitor که از Logهای برنامه ISA Server استفاده نموده و گزارشات
جامع و کاملی را تهیه کنید.بازدن دکمه Start Query از پانل سمت راست میتوانید Logging را فعال نمایید. و اتفاقاتی که در برنامه میافتد را ثبت نمایید.ـ
Connectivity : با امکان Connectivity که در برنامه ISA Server قرار دارد
میتوانید ارتباط سیستم با دیگر کامپیوترها در شبکه را امتحان نمایید.برای
مثال با زدن دکمه Create New Connectivity Verifier که در پانل سمت راست
قرار داد، پنجره ای باز میشود که لازم است در این پنجره یک نام برای این
کانکشن در نظر بگیرید، سپس مطابق شکل 10 ، ابتدا آیپی آدرس مقصد و گزینه
Send a Ping request انتخاب میشود. با زدن دکمه Next در صفحه بعد
دکمه Finish و سپس دکمه Apply را میزنیم. حال با زدن دکمه refresh سیستم
آدرس 192.168.0.1 را Ping کرده و پاسخ را زیر فیلد Result نمایش میدهد.
شکل 10همانطور که در شکل 10 نیز میبینید میتوان به سه روش ارتباط را چک نمایید:TCP Connect PingHTTP Request
Firewall Policyاز
مهمترین قسمت های ISA Server است. با توجه به خواسته و نیاز خود از راه
اندازی برنامه ISA Server در این بخش میتوانید سیاست های امنیتی که شامل
سیاست های انتشار وب یا ایمیل (Web Publishing , Mail Publishing) یا
قواعد دسترسی به منابع داخلی یا خارجی باشد را تعریف کرد. همانطور که در
شکل 11 ملاحظه میکنید Firewall Policy خود از قسمتهای گوناگونی تشکیل
شده است که توضیح هرکدام خود نیاز به تعداد زیادی صفحه دارد. اما در شماره
آینده طریقه ساختن یک Access Rule که معمول ترین استفاده از ISA Server در
شرکت هاست را حضورتان تقدیم مینماییم.
شکل 11
Virtual Private Networkingدر
این قسمت از برنامه ISA میتوانید یک ارتباط امن و مجازی بین دو سیستمی که
در شبکههای داخلی وجود دارد برقرار نمایید. بعد از Enable کردن VPN
Client access لازم است سیاست (Policy) مناسبی برای VPN Clientها ایجاد و
پیکربندی گردد. همانطور که در شکل 12 ملاحظه مینمایید ایجاد و پیکربندی
VPN، تنظیمات کاربران راه دور (RADIUS Server) و ... از دیگر امکانات این
قسمت است.
شکل 12
Cofiguration برای
پیکربندی ISA Server ابتدا باید Network Ruleها را ساخته ، Network
Topolgy را انتخاب نمایید و چگونگی ترافیک بین نتورکها را تعیین نمود
بنابراین این قسمت وظیفه پیکربندی برنامه را دارد و همچنین راهاندازی و
تنظیم Cache را میتوان از این قسمت انجام داد.همانطور که از وظایف این بخش مشخص است زیر مجموعه این قسمت از بخشهای Networks, Cache, Add-ins, General تشکیل شده است.
سخن پایانیدر
شماره گذشته و این شماره تا حدودی با ISA Server آشنا شدیم, همانطوریکه
گفته شد به هیچ وجه نمیتوان در طی یک یا چند مقاله به یادگیری و بررسی آن
پرداخت اما هدف ما تنها ایجاد بستری برای انتقال بهتر مفاهیم تئوری بوده
است. در شماره آینده نیز مطالبی در مورد ISA Server خواهیم داشت بدین
ترتیب که چند نوع از تنظیمات مهم ISA Server را به صورت پروژههای عملی
کوچک بررسی خواهیم کرد, پس چنانچه منتظر آموختن نکات بیشتری درباره ISA
هستید در شماره آتی نیز با ما باشید.
۰۴ آذر ۹۰ ، ۰۳:۵۸