برنامه قدرتمند ارتقاء و امنیت شبکه مایکروسافت ISA Server نام دارد. این برنامه با استفاده از سرویس‌ها، سیاست‌ها و امکاناتی که در اختیار کاربران قرار می‌دهد قادر است به عنوان راه‌حلی در ایجاد شبکه‌های مجازی(VPN) و یا برپا کردن فضای حایل به عنوان cache جهت دسترسی سریع‌تر به صفحات وب، مورد استفاده قرار گیرد. همچنین این برنامه قادر است با ایجاد یک دیواره آتش در لایه Application شبکه، فعالیت سرویس‌های مختلف یک شبکه ویندوزی مثل وب سرور IIS، سرویس‌های دسترسی از راه‌دور (Routing and Remote Access) را از طریق فیلترگذاری و کنترل پورت‌ها، تحت نظر گرفته و فضای امنی را برای آن‌ها فراهم کند. این برنامه با استفاده از نظارت دایمی خود بر پروتکل امنیتی SSL و فیلتر کردن درخواست‌های Http که به سرور می‌رسد، وب سرور و ایمیل سرور را از خطر حمله هکرها دور نگه می‌دارد. به همین ترتیب، کلیه ارتباطات شبکه‌ای که با یک سرور برقرار می‌شود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و یا IIS، باید از سد محکم ISA عبور کنند تا درخواست‌ها و ارتباطات مشکوک با سرور مسدود گردد. سایت مایکروسافت برای بررسی اهمیت وجود ISA در یک شبکه، کلیه راه‌حل‌های این برنامه را که با استفاده از سرویس‌ها و امکانات ویژه موجود در آن، ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم کرده که به آن‌ها می‌پردازیم.

● سناریوی اول‌

از ISA برای تأمین امنیت ایمیل‌ها استفاده می‌شود. ISA Server با استفاده از دو روش استاندارد یعنی SSL decryption وهمچنین Http Filtering اولاً از ورود کدهای مشهور به malicious که عمدتاً بدنه انواع کرم‌ها و ویروس‌ها را می‌سازند جلوگیری به عمل می‌آورد و ثانیاً محتوای درخواست‌های Http را برای بررسی مجوز دسترسی آن‌ها و صلاحیت دریافت و ارسال اطلاعات مورد کنکاش قرار می‌دهد. در این حالت، ISA همچنین از هر نوع اتصال افراد با اسم کاربری anonymous که می‌تواند منشأ شکستن رمزعبورهای مجاز یک سرویس‌دهنده ایمیل شود، جلوگیری می‌کند. به هر حال با وجود این که یک ایمیل سرور مثل Exchange راه‌حل‌های امنیتی مخصوص به خود را دارد، اما وجود ISA به‌عنوان دیواره آتش یک نقطه قوت برای شبکه به حساب می‌آید. ضمن این‌که در نسخه‌های جدید ISA امکان ایجاد زنجیره‌ای از سرورهای ISA که بتوانند با یک سرورExchange در تماس بوده و درخواست‌های کاربران را با سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اکنون به ISA عنوان فایروالی که با قدرت انجام توازن بار ترافیکی، سرعت بیشتری را در اختیار کاربران قرار می‌دهد در نظر گرفته شود.

● سناریوی دوم‌

ISA می‌تواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفاده قرار گیرد. در این سناریو، یک شرکت برخی از اطلاعات سازمان خود را برای استفاده عموم در معرض دید و یا استفاده کاربران خارج از سازمان قرار می‌دهد. به عنوان مثال بسیاری از شرکت‌ها مسایل تبلیغاتی و گاهی اوقات سیستم سفارش‌دهی خود را در قالب اینترنت و یا اینترانت برای کاربران باز می‌گذارند تا آن‌ها بتوانند از این طریق با شرکت ارتباط برقرار نمایند. در این صورتISA می‌تواند به صورت واسط بین کاربران و سرویس‌های ارایه شده توسط وب سرور یا بانک‌اطلاعاتیSQLServer که مشغول ارایه سرویس به محیط خارج است، قرار گرفته و بدین‌وسیله امنیت دسترسی کاربران به سرویس‌های مجاز و حفاظت از منابع محرمانه موجود در سیستم‌ را فراهم آورد.

● سناریوی سوم‌

در این سناریو، دو شبکه LAN مجزا متعلق به دو شرکت مختلف که در برخی موارد همکاری اطلاعاتی دارند، توسط فضای اینترنت و از طریق سرورها و دروازه‌های VPN با یکدیگر در ارتباط هستند. به عنوان مثال یکی از شرکای یک شرکت تجاری، محصولات آن شرکت را به فروش رسانده و درصدی از سود آن را از آن خود می‌کند. در این روش به صورت مداوم و یا در ساعات معینی از شبانه‌روز، امکان ردوبدل اطلاعات بین دو شرکت مذکور وجود دارد. در این زمان ISA می‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری کند، در حالی که هیچکدام از دو طرف احساس نمی‌کنند که فضای حایلی در این VPN مشغول کنترل ارتباط بین آن‌هاست. به علاوه این‌که با وجود ISA، کاربران برای اتصال به سایت یکدیگر باید از دو مرحله Authentication (احراز هویت) یکی برای سرور یا دروازه VPN طرف مقابل و دیگری برای ISA عبور کنند که این حالت یکی از بهترین شیوه‌های برقراری امنیت در شبکه‌های VPN است. در این سناریو، وجود یک ISA Server تنها در طرف سایت اصلی یک شرکت می‌تواند، مدیریت برقراری امنیت در کل فضای VPN هر دو طرف را به‌عهده گیرد و با استفاده از دیواره آتش لایه Application از عبور کدهای مشکوک جلوگیری کند.

● سناریوی چهارم‌

در سناریوی چهارم، یک شرکت قصد دارد به عنوان مثال تعدادی از کارمندان خود را قادر به کار کردن با سیستم‌های درونی شرکت از طریق یک ارتباط VPN اختصاصی بنماید. در این حالت برای دسترسی این قبیل کارمندان به سرور شرکت و عدم دسترسی به سرورهای دیگر یا جلوگیری از ارسال ویروس و چیزهای مشابه آن، یک سد محکم به نام ISA ترافیک اطلاعات ارسالی و یا درخواستی را بررسی نموده و درصورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب آن ارتباط را مسدود می‌کند.

● سناریوی پنجم‌

سناریوی بعدی زمانی مطرح می‌شود که یک شرکت قصد دارد با برپایی یک سیستم مرکزی در محل اصلی شرکت، سایر شعبات خود را تحت پوشش یک سیستم (مثلاً یک بانک‌اطلاعاتی) متمرکز درآورد. از این رو باز هم در اینجا مسأله اتصال شعبات شرکت از طریق VPN مطرح می‌شود. در این صورت ISA با قرار داشتن در سمت هر شعبه و همچنین دفتر مرکزی به صورت آرایه‌ای از دیواره‌های آتش (Array of Firewall) می‌تواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مرکزی شرکت و بالعکس را زیرنظر داشته باشد. این مسأله باعث می‌شود تا هر کدام از شعبات و دفتر مرکزی به منابع محدودی از یکدیگر دسترسی داشته باشند. در ضمن با وجود امکان مدیریت و پیکربندی متمرکز کلیه سرورهای ISA نیازی به مسؤولین امنیتی برای هر شعبه نیست و تنها یک مدیر امنیت، از طریق ISA سرور موجود در دفتر مرکزی می‌تواند کلیه ISA سرورهای شعبات را تنظیم و پیکربندی کند.

● سناریوی ششم‌

کنترل دسترسی کاربران داخل دفتر مرکزی به سایت‌های اینترنتی، سناریوی ششم کاربرد ISA محسوب می‌شود. در این جا ISA می‌تواند به کمک مدیر سیستم آمده، سایت‌ها، لینک‌های URL و یا انواع فایل‌هایی که از نظر وی نامناسب تشخیص داده شده، را مسدود کند. در همین هنگام فایروال نیز کار خود را انجام می‌دهد و با استفاده از سازگاری مناسبی که بین ISA و Active Directory ویندوز وجود دارد، اولاً از دسترسی افراد غیرمجاز یا افراد مجاز در زمان‌های غیرمجاز به اینترنت جلوگیری شده و ثانیاً می‌توان از اجراشدن برنامه‌هایی که پورت‌های خاصی از سرور را مثلاً جهت استفاده برنامه‌های Instant Messaging مورد استفاده قرار می‌دهند، جلوگیری نمود تا بدین‌وسیله ریسک ورود انواع فایل‌های آلوده به ویروس کاهش یابد.

● سناریوی هفتم‌

در تمام سناریوهای قبلی که ISA در برقراری ارتباط مناسب و امن بین سایت‌های اینترنت، کاربران یا شعبات شرکت نقش مهمی را ایفا می‌کرد، یک سناریوی دیگر نیز نهفته است و آن افزایش سرعت انتقال اطلاعات بین تمام موارد فوق از سایت‌های اینترنتی گرفته تا اطلاعات سازمانی است. سیستم cache Array موجود در این برنامه باعث می‌شود تا هر کدام از کاربران چه در محل اصلی شرکت و چه از محل شعبات بتوانند برای دیدن اطلاعات یا سایت‌های مشابه راه میان‌بر را رفته و آن را از هر کدام از ISAهای موجود در شبکه VPN یا LAN دریافت کنند و بدین‌وسیله حجم انتقال اطلاعات با محیط خارج را تا حدود زیادی در سیستم متوازن نمایند.

● عملکرد

ISA Server کلیه سناریوهای تعیین شده را براساس سه قاعده مختلف یعنی سیستم، شبکه و دیواره آتش محقق می‌سازد که در این‌جا به این سه قاعده اشاره می‌کنیم.

۱- Network Rule

ISA Server با استفاده از قوانین شبکه‌ای موجود و تعریف‌شده در بانک‌اطلاعاتی خودش نحوه ارتباط دو یا چند شبکه را به یکدیگر در یک فضای معین، مشخص می‌سازد. در این قاعده که توسط مدیر سیستم قابل تنظیم است مشخص می‌گردد که شبکه‌های موردنظر طبق کدام یک از دو روش قابل‌طرح، به یکدیگر متصل می‌شوند. این دو روش عبارتند از:

الف- Network Address Translation) NAT)

این روش، یک ارتباط یک طرفه منحصربه‌فرد است. بدین معنی که همیشه یکی از شبکه‌ها نقش شبکه اصلی و داخلی (Internal) و بقیه شبکه‌ها نقش شبکه‌های خارجی (External) را بازی می‌کنند. در این روش شبکه داخلی می‌تواند قوانین و شیوه دسترسی به اطلاعات و ردوبدل شدن آن‌ها در فضای بین شبکه‌ها را تعیین کند ولی این امکان از سایر شبکه‌های خارجی سلب گردیده و آن‌ها تابع قوانین تعریف شده در شبکه داخلی هستند. در این روش همچنین ISA آدرس IP کامپیوترهای مبدا یک ارتباطNAT را به وسیله عوض کردن آن‌ها درIP خارجی خودش، از دید کامپیوترهای یک شبکه (چه کامپیوترهای متصل از طریق LAN و چه کامپیوترهای خارجی) مخفی می‌کند. به عنوان مثال، مدیر یک شبکه می‌تواند از ارتباط بین کامپیوترهای متصل شده از طریق VPN را با فضای اینترنت از نوع یک رابطه NAT تعریف کند تا ضریب امنیت را در این ارتباطات بالا ببرد.

ب - Rout

این نوع ارتباط یک ارتباط، دو طرفه است. بدین معنی که هر دو طرف می‌توانند قواعد امنیتی خاصی را برای دسترسی شبکه‌های دیگر به شبکه محلی خود تعریف کنند. به‌عنوان مثال ارتباط بین شبکه‌های متصل شده به یکدیگر در فضای VPN می‌تواند یک ارتباط از نوع Rout باشد.

با توجه به این مسایل ارتباطات قابل اطمینان یک شبکه با شبکه‌های مجاور (مثل شعبات شرکت) می‌تواند از نوع Rout و ارتباطات محتاطانه شبکه با کاربران خارجی و کسانی که از طریق RADIUS یا وب به شبکه دسترسی دارند می‌تواند از نوع NAT تعریف شود.

۲- Firewall Rule

علاوه بر نقش مستقیمی که سیاست‌های تعریف‌شده در قواعد دیواره آتش در نحوه ارتباط بین شبکه‌ها بازی می‌کند و می‌تواند موجب مسدود شدن ارتباطات خارج از قواعد تعریف شده درNetwork Rule شود، این قواعد همچنین می‌توانند با تعریف دقیقی که از پروتکل‌های Http ،FTP، DNS،RPC و ... انجام ‌دهند، کلیه درخواست‌ها از انواع مذکور را زیرنظر گرفته و به عبارتی فیلتر نمایند. در این روش مدیر امنیت شبکه می‌تواند امکان دسترسی تعدادی از کاربران را در ساعات خاص و به محتوای مشخص مجاز یا غیرمجاز کند. به عنوان مثال وی می‌تواند نمایش تصاویر موجود برروی صفحات وب را از طریق فیلترکردن فهرستی از پسوندهای انواع فایل‌های گرافیکی در یک قاعده از نوع Http ، مسدود کند در حالی که کاربران همچنان بتوانند آن فایل‌ها را از طریق پروتکل دیگری مثلFTP دریافت یا ارسال کنند.همچنین در قواعد مربوط به فایروال می‌توان دسترسی کاربران و یا گروه‌های کاربری را به تعدادی از آدرس‌های URL یا IPهای مشخص مسدود کرد. ضمن آن‌که قواعد مربوط به نحوه دسترسی کاربران برای انجام اموری مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همین جا تعریف می‌گردد.

۳- System Rule

در این قسمت بیش از سی قاعده مربوط به دسترسی وجود دارد که قابل انتساب به شبکه محلی می‌باشند. این قواعد نحوه ارتباط سرویس‌های یک شبکه را با یکدیگر و همچنین با ISA مشخص می‌نماید. به عنوان مثال سرویسDHCP که کلیه درخواست‌ها و پاسخ‌های مربوط به انتساب دینامیک آدرسIP به کامپیوترهای یک شبکه را مدیریت می‌کند، یا سرویس DSN که وظیفه ترجمه اسامی و آدرس‌های شبکه را انجام می‌دهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعیت خود در شبکه و با سرورهایی که سرویس‌های فوق را ارایه می‌دهند تشخیص دهد و هم با اطلاع از نحوه پیکربندی شبکه و ارتباط آن با محیط خارج اقدام به کنترل آن از طریق قواعد مربوط به شبکه و دیواره آتش بنماید. به طور کلی سیاست‌های موجود در قواعد سیستمی روابط میان ISA و سایر منابع و سرورهای موجود در شبکه را مشخص می‌نمایند.

ارسال شده در مورخه : يكشنبه، 12 ارديبهشت ماه ، 1389   

مرتبط با موضوع :

 مروری بر نیازمندی های سیستمی جهت نصب و راه اندازی ISA سرور 2006  [سه شنبه، 24 خرداد ماه ، 1390]
 چرا جاوا زبانی جالب است؟ - بخش دوم  [دوشنبه، 10 اسفند ماه ، 1388]
 آشنایی با ISA SERVER 2004  [يكشنبه، 17 آبان ماه ، 1388]

آشنایی با ISA Server 2004 شرکت مایکروسافت نرم‌افزارهای متعددی را تحت عنوان Microsoft Server Systems در کنار سیستم‌عامل اصلی سرور خود یعنی ویندوز ۲۰۰۰ تا ۲۰۰۳ عرضه کرده که وظیفه ارایه سرویس‌های متعددی را از انواع ارتباطات شبکه‌ای گرفته تا امنیت و غیره به عهده دارند. در اینجا قصد داریم به معرفی سرور کنترل ارتباط شبکه‌ای یعنی ISA Server بپردازیم.
		تبلیغات چپ آخرین مقالات · لپ تاپ های Samsung Series 7 Game 3D · پرطرفدارترین موبایل های هوشمند تا بهار ۲۰۱۲ · Sony Unveila Xperia Sola و صفحه نمایش شناور · کنترل دستگاه اندرویدی توسط دسکتاپ · 10 تبلت برتر بهار سال 2012 · Optimus 3D Max دومین گوشی سه بعدی ال جی به عنوان محصولی بی همتا · G6-1160EE لپ تاپ باقابلیت و پرمخاطب HP · راه های افزایش امنیت در اینترنت · آموزش مراحل پاک کردن آرشیو یاهو مسنجر · مانیتورهایی مخصوص بازی های ویدئویی و گیمرها · نکات مهم در مورد سرچ گوگل · معرفی بهترین تبلت های بازار از نظر کیفیت نمایشگر · معرفی رایانه ها و تبلت های سازگار با ویندوز ۸ · ویژگی های Galaxy note 10.1 شرکت سامسونگ · مهمترین دلایل خرابی سریع لپ تاپ ها · معرفی ۶ لپ تاپ برتر مخصوص گیمرهای حرفه ای · نصب مجدد ویندوز ۸ با یک کلیک ساده توسط مایکروسافت! · وای-گیگ چیست؟ · هر آنچه باید در مورد اولترابوک ها بدانیم · معرفی Google Cloud Print و آموزش راه اندازی این سرویس · بررسی تلفن هوشمند HTC One X · فوجیتسو اولین سری از اولترابوک های خود را معرفی کرد · هر آنچه که لازم است از Galaxy S III سامسونگ بدانید · راهنمای گام به گام اشتراک گذاری فایل های بزرگ در SkyDrive · 15 روش برای سرعت بخشیدن به کندترین بخش کامپیوتر [ موارد بیشتر در بخش اخبار و تازه ها ] پربیننده ترین مقالات · استاندارد های ISO/IEC 17799 و BS7799-2 · توصیه های مهم امنیتی در مورد لینوکس و یونیکس · گرما در cpuها · معماری client/Server در اینترنت · آشنایی با سیستم فایل GNU/Linux · یک MAC BOOK PRO جدید در بازار ایران · معرفی دو مدل لپ تاپ با قابلیت سونی سری F · F137HG/B، لپ تاپ سایز بزرگ سونی در بازار داخلی · اندر احوالات کرک و کپی رایت · EE31FX/BJ، لپ تاپ ارزان قیمت سونی در بازار داخلی · معرفی z216 FX/L از لپ تاپ های سونی · مدل MD313LL/A ، Macbook ارزان قیمت در بازار داخل · تاریخچه کامپیوتر · مشاهده آنلاین سوابق بیمه شدگان · چگونگی اختصاص دادن یک آدرس IP استاتیک به یک رایانه در شبکه در ویندوز Xp ، Vista یا Seven · آشنایی با روتر و سوئیچ(router and switch) · تاریخچه ی پیدایش زبان های برنامه نویسی شی گرا · الگوریتم های مرتب سازی آرایه ها · GPS چیست؟ · به روز رسانی ویندوز 7 با نرم افزار Windows Update · پایگاه داده های سیار Mobile database · بازیابی رمز عبور در ویندوز 7 · معماری سرویس گرا Service Oriented Architecture چیست؟ · انتقال اطلاعات با Replication در SQL Server · آموزش نرم افزار Virtual Box [ موارد بیشتر در بخش اخبار و تازه ها ] مقالات تصادفی · پشتیبانی ویندزو ۸ از iso و VHD · باطرز کار مانیتورهای کریستال مایع آشنا شوید · epu چیست ؟ · معرفی دو مدل لپ تاپ با قابلیت سونی سری F · چگونه در جی میل به صورت خودکار ایمیل های مشخصی را به اکانت دیگری فوروارد کنیم؟ · مراحل اولیه ایجاد امنیت در شبکه · ترکیب تبلت و نت بوک Samsung Sliding PC 7 · آخرالزمان آدرس های اینترنتی · معرفی رشته فناوری رسانه ای ( Media Technology ) · موارد قانونی در تجارت الکترونیکی · آموزش Asp.net (بخش دوم) · Optimus 3D Max دومین گوشی سه بعدی ال جی به عنوان محصولی بی همتا · تعمير ويندوز معيوب با یک ترفند ساده · کاربران ماهانه 700 میلیارد دقیقه در فیس بوک فعالیت می کنند! · فهرست نویسی منابع اینترنت · گوگل به دنبال شناسایی جوانان مستعد · ثبت سایت در موتورهای جستجوگر · کامپیوتر قهوه خور · چند توصیه برای یادگیری نرم افزارهای مختلف · لپ تاپ سه بعدی · در مورد گوگل ایرانی چه می دانید؟ · ترفندهای جستجو در ویندوز ۷: باز هم آموزشی دیگر در زمینه یافتن آسان تر فایل ها · چگونگی پاک کردن دائمی فایل ها در دراپ باکس · آدرس های مخفی فایرفاکس با بهره گیری از پروتکل about · ۵عامل کلیدی در نامگذاری روابط تجاری [ موارد بیشتر در بخش اخبار و تازه ها ] امتیاز دهی به مطلب امتیاز متوسط : 3 تعداد آراء: 1 لطفا رای مورد نظرتان را در مورد این مطلب ارائه نمائید : انتخاب ها   گرفتن پرينت از اين مطلب