شركت مایكروسافت نرم افزارهای متعددی را تحت عنوانMICROSOFT SERVER SYSTEM
در كنار سیستم عامل اصلی سرور خود یعنی ویندوز 2000 تا 2003 عرضه كرده كه
وظیفه ارایه سرویس های متعددی را از انواع شبكه ای گرفته تا امنیت وغیره
به عهده دارند در شماره گذشته با سرور بانك اطلاعات مایكروسافت یعنی SQL
SERVER آشنا شدیم و در این شماره قصد داریم به سرور كنترل ارتباط شبكه
یعنی ISA SERVER بپردازیم.
آشنایی
برنامه قدرتمند ارتقاء و امنیت شبكه مایكروسافت ISA SERVER نام دارد این برنامه با استفاده از
سرویس های و سیاست های وامكاناتی كه در اختیار كاربران قرار می دهد قادر
است به عنوان راه حلی در شبكه های مجازی (VPN)و یا برپا كردن فضای حایل به
عنوان CACHE جهت دسترسی سریع تر به صفحات وب مورد استفاده قرار گیرد.
همچین این برنامه قادر است با ایجاد یك دیواره آتش در لایه APPLICATION
شبكه فعالیت سرویس هایمختلف یك شبكه ویندوزی مثل وب سرور IIS سرویس های
دسترسی از راه دور (ROUTING AND REMOTE ACCESS) را از طریق فیلترگذاری و
كنترل پورت ها تحت نظر گرفته و فضای امنی را برای آن ها فراهم كند. این
برنامه با اسنفاده از نظارت دایمی خود بر پروتكل امنیتی SSI و فیلتر كردن
درخواست های HTTP كه به سرور می رسد وب سرور و ایمیل را از خطر حمله هكر
ها دور نگه می دارد .به همین ترتیب كلیه ارتباطات شبكه ای كه با یك سرور
بر قرار
می شود از ارتباط DIA UP ساده گرفته ا ارتباط با سرور EXCHANGE و یا IIS باید مشكوك با سرور مسدود گردد.
سایت مایكروسافت برای بررسی اهمیت وجود ISA ذر یك شبكه كلیه راه حل های
این برنامه را كه با استفاده از سرویس ها و امكانات ویژه موجود در آن
ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم كرده كه به آن ها می
پردازیم.
سناریوی اول
از ISA برای تأمین امنیت ایمیل ها استفاده می شود .ISA SERVER با استفاده
از دو روش استاندارد یعنی SSL DECRYOTION و همچنین HTTP FILTERING اولا از
ورود كد های مشهور به MALICIOUS كه عمدتا بدنه انواع كرم ها و ویروس ها را
می سازند جلوگیری به عمل می آورد و ثانیا محتوای در خواست های HTTP را
برای بررسی مجوز دسترسی آن ها و صلاحیت دریاف و ارسال اطلاعات مورد كنكاش
قرار می دهد .در این حالت,ISA همچنین از هر نوع اتصال افراد با اسم
كاربردی ANONYMOUS كه می تواند منشأ شكستن رمز عبور های مجازی یك سرویس
دهنده ایمیل شود,جلوگیری می كند. به هر حال با وجود این كه یك ایمیل سرور
مثلEXCHANGE راه حل های امنیتی مخصوص به خود را دارد.اما وجود ISA به
عنوان دیواره آتش یك نقطه قوت برای شبكه به حساب می آید.
ضمن این كه در نسخه های جدید ISA امكان ایجاد زنجیره ای از سرور های ISA
كه بتوانند با یك سرور EXCHANGE در تماس بوده و در خواست های كاربرانرا با
سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اكنون به ISA عنوان
فایروالی كه با قدرت انجام توازن بار ترافیكی,سرعت بیشتری را در اختیار
كاربران قرار می دهد در نظر گرفته شود.(شكل 1)
سناریوی دوم
ISA می تواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفادهقرار
گیرد.در این سناریو,یك شركت برخی از اطلاعات سازمان خود را برای استفاده
عموم در معرض دید و یا استفاده كاربران خارج از سازمان قرار می
دهد.بهعنوان مثال بسیاری از شركت ها مسایل تبلیغاتی و گاهی اوقات سیستم
سفارش دهی خود را در قالب اینترنت و یا اینترانت برای كاربران باز می
گذارند تا آن ها بتوانند از این طریق با شركت ارتباط برقرار نمایند.در این
شورتISA می تواند به صورت واسط بین كاربران و سرویس های ارایه شده توسط وب
سرور یا بانك اطلاعاتی SQL SERVER كه مشغول ارایه سرویس به محیط خارج
است,قرار گرفته و بدین وسیله امنیت دسترسی كاربران به سرویس های مجاز و
حفاظت از منابع محرمانه موجود در سیستم را فراهم آورد.(شكل2)
سناریوی سوم
در این سناریو,دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخی موارد
همكاری اطلاعاتی دارند,توسط فضای اینترنت و از طریق سرور ها و دروازه های
VPN با یكدیگر در ارتباط هستند.به عنوان مثال یكی از شركای یك شركت
تجاری,محصولات آن شركت را به فروش رسانده و درصدی از سود آن را از آن خود
می كند.در این روش به صورت مداوم و یا در ساعات معینی از شبانه روز,امكان
ردوبدل اطلاعات بین دو شركت مذكور وجود دارد.در این زمانISA می تواند با
استفاده از روش ENCRYPTION از به سرقت رفتن اطلاعات ارسالی و دریافتی در
حین مبادله جلوگیری كند.در حالی كه هیچكدام از دو طرف احساس نمی كنند كه
فضای حایلی ذر این VPN مشغول كنترل ارتباط بین آنهاست.به علاوه این كه با
وجود ISA ,كاربران برای اتصال به سایت یكدیگر باید از دو مرحله
AUTHENTICATION (احراز هویت) یكی برای سرور یا دروازه VPN طرف مقابل و
ذیگری برای ISA عبور كنند كه در این حالت یكی از بهترین شیوه های بر قراری
امنبت در شبكه های VPNاست.
در این سناریو,وجود یك ISA SERVER تنها در طرف سایت اصلی یك شركت می
تواند,مدیریت برقراری امنیت در كل فضای VPN هر دو طرف را به عهده می گیرد
و با استفاده از دیواره آتش لایه APPLICATION از عبور كد های مشكوك
جلوگیری كند.(شكل3)
سناریوی چهارم
در سناریوی چهارم ,یك شدكت قصد دارد به عنوان مثال تعدادی از كارمندان خود
را قادر به كار كردن با سیستم های درونی شركت از طریق یك ارتباط VPN
اختصاصی بنماید.در این حالت برای دسترسی این قبیل كارمندان به سروس شركت
وعدم دسترسی به سرورهای دیگریا جلوگیری از ارسال ویروس و چیزهای مشابه آن
,یك سد محكم به نام ISA ترافیكاطلاعات ارسالی و یا درخواستی را بررسی
نموده و در صورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب آن ارتباط را
مسدود می كند.(شكل 4)
سناریوی پنجم
سناریوی بعدی زمانی,مطرح می شود كه یك شئكت قصد دارد با بر پایی یك سیستم
مركزی ذر محل اصلی شركت , سایر شعبات خود را تحت پوشش یك سیستم (مثلا یك
بانك اطلاعاتی) متمركز درآورد. از این رو باز هم در اینجا مسأله اتصال
شعبات شركت از طریق VPN مطرح می شود.در این صورت ISA با قرار ذاشتن در سمت
هر شعبه و همچنین دفتر مركزی به صورت آرایه ای از دیوارهای آتش (ARRAY OF
FIREWALL) می تواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مركزی شركت
و بالعكس را زیر نظر داشته باشد . این مسأله بهعث می شود تا هر كدام از
شعبات و دفتر مركزی به منابع محدودی از یكدیگر دسترسی داشته باشند . در
ضمن با وجود امكان مدیریت و پیكربندی متمركز كلیه سرورهای ISA , نیهزی به
مسولین امنیتی برای هر شعبه نیست و تنها یك مدیر امنیت , از طریق ISA سرور
موجود در دفتر مركزی می تواند كلیه ISA سرورهای شعبات را تنظیم و پیكربندی
كند.(شكل 5)
سناریوی ششم
كنترل ذسترسی كاربران داخل دفتر مركزی به سایت های اینترنتی , سناریوی ششم كاربرد ISA محسوب
می شود. در این جا ISA می تواند به كمك مدیر سیستم آمده , سایت ها , لینك ها ی URL و یا انواع
فایل ها یی كه از نظر وی نامناسب تشخیص داده شده , را مسدود كند. در همین
هنگام فایروال نیز كار خود را انجام می دهد و با استفاذه از سازگاری
مناسبی كه بین ISA و ACTIVE MESSING ویندوز وجود
دارد , اولا از دسترسی افراد غیر مجاز یا افراد مجاز ذر زمان هایغیر محاز
به اینترنت جلوگیری شده و ثانیا می توان از اجرا شدن برنامه هایی كه پورت
های خاصی از سرور را مثلا جهت استفاده برنامه های INSTANT MESSAGING مورد
استفاده قرار می دهند , جلوگیری نمود تا بدین وسیله ریسك ورود انواع فایل
های آلوده به ویروس كاهش یابد . (شكل 6)
سناریوی هفتم
در تمام سناریوی قبلی كه ISA در بر قراری ارتباط مناسب و امن بین سایت های
اینترنت , كاربران یا شعبات شركت نقش مهمی را ایفا می كرد , یك سناریوی
دیگر نیز نهفته است و آن سرعت انتقال اطلاعات بین تمام موارد فوق از سایت
های اینترنتی گرفته تا اطلاعات سازمانی است. سیستم ARRAY CACHE موجود در
این برتامه باعث می شود تا هركدام از كاربران چه در محل اصلی شركت و چه از
محل شعبات بتوانند برای دیدن اطلاعات یا سایت های مشابه راه میان بر را
رفته و آن را از هر كدام از ISA های موجود در شبكه VPN یا LAN دریافت كنند
و بدین وسیله حجم انتقال اطلاعات با با محیط خارج را تا حدود زیادی در
سیستم متوازن نمایند .
عملكرد
ISA SERVER كلیه سناریوهای تعیین شده را بر اساس سه قاعده مختلف یعنی
سیستم, شبكه و دیواره آتش محقق می سازد كه در ایتجا به این سه قاعده اشاره
می كنیم.
1-NETWORK RULE
ISA SERVER با استفاده از قوانین شبكه ای موجود و تعریف شده در بانك
اطلاعاتی خودش نحوی ارتباط دو یا چند شبكه را به یكدیگر در یك فضای معین ,
مشخص می سازد. در این قاعده كه توسط مدیر سیستم قابل تنظیم است مشخص می
گردد كه شبكه های مورد نظرطبق كدام یك از دو روش قابل طرح , به یكدیگر
متصل می شوند . این دو روش عبارتند از :
الف-NAT (Network Address Translation )
این روش , یك ارتباط یك طرفه و منحصر به فرد است. بدین معنی كه همیشه یكی
از شبكه ها نقش شبكه اصلی و داخلی (INTERMAL) و بقیه شبكه ها نقش شبكه های
خارجی (EXTERMAL) را بازی می كنند. در این روش شبكه داخلی می تواند قمانین
و شیوه دسترسی به اطلاعات و ردوبذل شدن آن ها در فضای بین شبكه ها را
تعیین كند ولی این امكان از سایر شبكه های خارجی سلب گردیده و آن ها تابع
قوانین تعریف شده درشیكه داخلی هستند. در این روش همچنین ISA آدرس IP
كامپیوترهای مبدأ یك ارتباط NAT را به وسیلهعوض كردن آن ها در IP خارجی
خودش , از دید كامپیوترهای یك شبكه (چه كامپیوترهای متصل از طریق LAN و چه
كامپیوترهای خارجی ) مخفی می كند . به عنوان مثال , مدیر یك شبكه می تواند
از ارتباط بین كامپیوترهای متصل شده از طریق VPN را با ضای اینترنت از نوع
یك رابطه NAT تعریف كند تا ضریب امنبت را ذر این ارتباطات بالا ببرد.
ب-ROUT
این نوع ارتباط یك ارتباط , دو طرفه است. بدین معنی كه هر دو طرف می تونند
قواعد امنیتی خاصی را برای دسترسی شبكه های دیگر به شبكه محلی خود تعریف
كنند. به عنوان مثال ارتباط بین شبكه های متصل شده به یكدیگر در فضای VPN
می توند یك ارتباط از نوع ROUT باشد.
با توجه به ین مسایل ارتباطات فابل اطمینان یك شبكه با شبكه های مجاور
(مثل شعبات شركت ) می تواند از ROUT و ارتباطات مختاطانه شبكه با كاربران
خارجی و كسانی كه از طریقRADIUS یا وب به شبكه دسترسی ذارند می تئاند از
نوع NAT تعریف شود .
2-Firewall Rule
علاوه بر نقش مستقیمی كه سیاست های تعریف شده در قواعد دیواره آتش در نخوه
ارتباط بین شبكه ها بازی می كند و می توند موجب مسدود شدن ارتباطات خرج از
قواعد تعریف شده در NETWORK RULE شود , این قواعد همچنین می تواند با
تعریف دقیقی كه از پروتكل های HTTP , FTP , ONS , RPC و ........
انجام دهند , كلیه درخواست های ازانواع مذكور را زیر نظر گرفته و به
عبارتی فیلتر نمایند. در این روش مدیر امنیت شبكه می تواند امكان دسترسی
تعدادی از كاربران را در ساعات خاص و به محتوای مشخص مجاز یا غیر مجاز
كند. به عنوان مثال وی میتواند تصاویر موجود بر روی صفحات وب را از طریق
فیلتر كردن فهرستی از پسوندهای انواع فایل های گرافیكی در یك قاعده از نوع
HTTP , مسدود كند در حالی كه كاربران همچنان بتوانند آن فایل ها را از
طریق پروتكل دیگری مثل FTP دریافت یا ارسال كنند.
همچنین در قواعد مربوطه به فایروال می توان دسترسی كاربران و یا گروه های
كاربری را به تعدادی از آدرس های URL یا IP های مشخص مسدود كرد. ضمن آنكه
قواعد مربوط به نخوه دسترسی كاربران برای انجام اموری مثل انتشار صفحات وب
(WEB PUBLISHING ) و امثال آن هم در همین جا تعریف می گردد.
3-SYSTEM RULE
در این قسمت بیش از سی قاعده مربوط به دسترسی وجود دارد كه قابل انتساب به
شبكه محلی می باشند. این قواعد نحوه ارتباط سرویس های یك شبكه را با
یكدیگر و همچنین با ISA مشخص می نماید. به عنوان مثال سرویس DHCP كه كلیه
درخواست ها و پاسخ های مربوط به انتساب دینامیك آدس IP به كامپیوترهای یك
شبكه را مدیریت می كند , یا سرویس DSN كه وظیفه ترجمه اسامی و آدرس های
شبكه را انجام می دهد , مورد استفاده ISA قرار گرفته تا بتواند هم موقعیت
خود در شبكه و با سرورهایی كه سرویس های فوق را ارایه می دهند تشخیص دهد و
هم با اطلاع از نحوه پیكربندی شبكه و ارتباط آن با مخیط خارج اقدام به
كنتذل آن از طریق قواعد مربوطبه شبكه و دیواره آتش بنماید. به طور كلی
سیاست های موجود در قواعد سیستمی روابط میان ISA و سایر منابع و سرورهای
موجود در شبكه را مشخص می نمایند
مطالب و نظرات 
نظرات()
![[i]](http://payeganltd.com/pubimages/g.gif)
![[i]](http://payeganltd.com/pubimages/b.gif)
