نصب و راه اندازی ISA Server

نصب و راه اندازی ISA Server اشاره : ISA Server از پیچیدگی‌های بسیاری برخوردار بوده و استفاده از آن تنها در صورتی امکانپذیر است که بر روی یک سرور نصب شده و قابلیت‌های آن در یک شبکه آزمایش شود بنابراین هدف ما در این مقاله تنها نزدیک کردن مفهوم به واقعیت است چرا که درپی آشنائی مختصر در قسمت پیشین بهتر دیدیم نحوه پیاده سازی سناریوهای مختلف را از طریق این نرم افزار نشان دهیم تا یک قدم هر چند کوچک به سمت عملی شدن آنچه به صورت تئوری بیان کرده‌ایم, برداشته باشیم. لذا کسب اطلاعات جزئی‌تر را با معرفی منابع اطلاعاتی بر عهده خوانندگان عزیز قرار می‌دهیم. • برای نصب به چه امکاناتی نیازمندیم؟برای نصب ISA Server و استفاده از تمامی‌قابلیت‌ها بایستی آن را بر روی ویندوز سرور نصب کنید, یکی از نسخه‌های قابل اطمینان موجود ISA، نسخه 2004 آن است که بایستی بر روی Windows server نصب شود که می‌تواند ویندوز سرور 2003 یا 2000 باشد.نکاتی که بایستی در نصب بر روی ویندوز سرور 2000 به خاطر بسپارید اینست که ویندوز بایستی سرویس‌پک نسخه 4 به بالا باشد یعنی Windows Server 2000 SP4 و شایان ذکر است که می‌توانید ISA را بر روی ویندوز XP نیز نصب کنید اما به عنوان Firewall نمی‌توانید از آن بهره ببرید و در حقیقت تنها یک نوع ابزار در اختیار شما قرار می‌دهد که کنسول مدیریتی محسوب می‌شود. که برخی از مدیران سیستم برای استفاده راه دور و یا زمانی که به سرور اصلی دسترسی ندارند از آن استفاده می‌کنند. • نکات امنیتی در ISA Serverاز مهم‌ترین مسائلی که در نصب و استفاده از  ISA باید مورد توجه قرار گیرد:1. مستحکم سازی سیستم عامل : به لحاظ حساسیت سروری که برنامه ISA را نیز به یدک می‌کشد به روز بودن سیستم عامل بسیار مهم  است. بدین معنا که استفاده از وصله‌های امنیتی مایکروسافت روی سرور، یکی از ضروری ترین مسائل می‌باشد. 2. مدیریت Update‌ها : برای امنیت و کارائی بهتر بایستی تمامی آپدیت‌ها برای ویندوز, ISA Server و اجزائی که توسط آن استفاده می‌شوند مانند:  (OWC ( Office WEB Component،  (MSDE 2000 (Microsoft SQL Server 2000 Desktop  قبل از نصب و بعد از آن دائماً دریافت و نصب شوند. 3. موقعیت فیزیکی سرور :‌به لحاظ اهمیتی که ISA Server ایفا می‌کند از فایروال گرفته تا Cache کردن اطلاعات, کامپیوترمورد نظر بایستی در محل امنی قرار بگیرد.4. حفاظت اطلاعات : زمانی که آرایه‌ای از  ISA Serverها وجود دارد هر عضو آرایه دارای اطلاعات مهم رمزشده‌ای درباره دیگر اعضای آرایه و کلید رمزگشائی این اطلاعات می‌باشد پس حفاظت اطلاعات بسیار مهم بوده و در صورت دسترسی غیرمجاز افراد دیگر به یکی از سرورها سعی کنید تمام اطلاعات حیاتی مانند رمز عبورها را تغییر دهید.5. مشخص کردن عضویت در Domain :مشخص کنید ISA Server شما قرار است عضو Domain باشد یا درWorkgroup  قرار گیرد یا به عنوان عضوی خارجی از شبکه, حفاظت کل شبکه LAN را برعهده دارد. اگر ISA Server شما در ایجاد Policyهای کاربری در یک دامین استفاده شود بهتر است عضوی از همان Domain باشد , اگر وجود آن در شبکه برای حفاظت کلی از شبکه است بایستی آن را در آرایه‌ای خارج از شبکه نصب کنید تا از بیرون به حفاظت شبکه بپردازد, اگر بنا بر هر دلیلی ترجیح می‌دهید که از دامین و Active directory استفاده نکنید می‌توانید ISA خود را عضوی از Workgroup تنظیم نمائید.6. از فعال بودن سرویس‌هایی که برای اجرای صحیح ISA Server  مورد نیاز است اطمینان حاصل کنید.یک سری از سرویس‌های ویندوز بایستی در کنار ISA Server در وضعیت خاصی مانند Automatic یا Manual فعال باشند, از ذکر نام و جزئیات این بخش به علت تعدد سرویس‌ها می‌پرهیزیم اما شما می‌توانید با مراجعه به آدرس زیر اطلاعات تکمیلی در این مورد را بیابید.http://www.microsoft.com/technet/isa/2004/plan/ • نصب ISA Serverنصب ISA Server مانند بسیاری از نرم‌افزارهای دیگر در مراحل اولیه بسیار ساده به نظر می‌رسد, اما دانستن جزئیات شبکه‌ای که بایستی مورد حمایت ISA Server قرار گیرد الزامی ‌است بنابراین از پیچیدگی‌های خاص خود برخوردار است, پس از اجرای فایل اجرائی نصب برنامه صفحه‌ای مانند شکل 1 ظاهر می‌شود.                                                   شکل 1در این صفحه به شما پیشنهاد می‌شود که به مطالعه راهنماها و متون همراه نرم‌افزار بپردازید و یا نصب جدیدی را آغاز کنید, جهت نصب گزینه ISA Server Install  در اختیار شماست که مطابق معمول شما را به صفحاتی مانند توافقنامه نرم‌افزار, وارد کردن نام و اطلاعات سازمانی و شماره سریال نرم‌افزار هدایت می‌کند, سپس بایستی از بین سه حالت نصب Typical , Complete, Custom یکی را انتخاب کنید, توجه به این نکته ضروری است که برنامه نصب, ویندوز و سرویس‌ها را بررسی می‌کند و در صورتیکه ISA Server را نتوان بر روی آن نصب کرد اعلام می‌کند؛ به طور مثال, پیامی‌که در شکل 2 می‌بینید پس از اجرای برنامه نصب بر روی Windows XP مشاهده شده است که بیان می‌دارد ویژگی فایروال را نمی‌توان بر روی این ویندوز نصب نمود.                                                   شکل 2در هر حال زمانی‌که ویندوز مورد نظرServer 2003 است به طور پیش فرض امکانات firewall services , ISA Server Management , Advanced Logging نصب می‌شود و ویژگی Message Screener نیز را می‌توان به دلخواه نصب کرد این قابلیت برای فیلترکردن اسپم‌ها و ضمایم نامه‌های الکترونیکی استفاده می‌شود که قبل از نصب آن بایستی سرویس SMTP از IIS  نصب شده باشد.پس از طی مراحل اولیه نوبت به تعیین و معرفی شبکة داخلی می‌رسدبرای ISA Server ضروری است که محدوده IP های موجود در شبکه را برای آن مشخص کنیم و دقت در انجام این عمل از ضروری‌ترین مسائلی است که باید  در تنظیمات ISA Server به آن توجه کرد مطابق شکل 3 بایستی محدوده‌‌های IP مورد نظر را به لیست پائین صفحه اضافه کرد برای انجام این کار دکمه Add را انتخاب و در پنجره جدید آدرس ابتدائی و انتهائی شبکه را وارد کرده سپس آن را به لیست سمت راست Add می‌کنیــم و یا با انتخــــاب Select Network Adapter به وســیله جدول مســیریـــابی (Routing Table) این کار را  انجام می‌دهیم.( به شکل 4 دقت نمایید.) .                                                    شکل 3                                                  شکل 4پس از اینکه شبکه داخلی معین شد در مرحله بعد باید تعیین کنید که آیا Client هائی که از نسخه‌های قدیمی‌تر فایروال ( مانندProxy Server 2.0 , Winsock Proxy و ISA 2000 ) استفاده می‌کنند می‌توانند به ISA Server متصل شوند یا نه, البته همیشه پیشنهاد می‌شود که برای کارائی بهتر, تمامی‌کامپیوترها به Client های ISA Server تبدیل شوند اما ممکن است در زمان نصب بنا به ضرورت نیاز باشد که وضعیت قبلی حفظ شود. یکی از بزرگترین مزایای امنیتی کلاینت فایروال   ISA Server2004 این است که ارتباط بین ISA Server و کلاینت زمانیکه کلاینت در حال آپدیت شدن به نرم‌افزار جدید است؛ به صورت رمزنگاری شده انجام می‌پذیرد. جالب است بدانیم قبل از اینکه نصب واقعاً شروع شود سرویس‌های SNMP و IIS Admin متوقف می‌شوند و ICS ، ICF و سرویس RRAS NAT غیر فعال می‌گردند. ICF , ICS, RRAS NAT, نمی‌توانند با ISA Server کار کنند و با آن در تعارض خواهند بود.پس از اینکه این مراحل طی شد نصب کامل شده است و صفحه‌ای مانند شکل 5 را خواهیم دید.                                                   شکل 5 • تنظیمات پیش فرضپس از اینکه ISA Server نصب شد دارای یک سری تنظیمات پیش ‌فرض می‌باشد که تا زمانی که آنها را تغییر ندهید فعال باقی خواهند ماند؛ این تنظیمات عباتند از:• تنها یک قانون دسترسی ( Access Rule ) پیش فرض وجود دارد که از نوع قوانین جلوگیری‌ (Deny) است و به هیچ گونه ترافیکی از هیچ شبکه‌ای اجازه عبور به شبکه دیگر را نمی‌دهد این Rule برای تأمین امنیت بالا است اما در صورتی که آن را تغییر ندهید ممکن است ISA Server برای شما بسیار آزار دهنده به نظر برسد چرا که در این صورت هیچ کامپیوتری نمی‌تواند به اینترنت متصل شود.                                                  شکل 6• SystemPolicy های پیش‌فرض که به ترافیک‌های انتخاب شده اجازه عبور می‌دهند در ابتدا تنها به سرویس‌های مورد نیاز اجازه فعالیت می‌دهند.• یک ارتباط مسیریابی شده بین شبکه‌های  VPN و VPN-Q و شبکه داخلی وجود دارد.• یک مجموعه ارتباطات NAT بین شبکه داخلی و شبکه خارجی پیش فرض وجود دارد.• Cache کردن غیرفعال است.                                                   شکل 7توجه داشته باشید که تنها مدیر سیستم به صورت Locally می‌تواند در تنظیمات ISA Server تغییر ایجاد کند. • منوهای برنامه ISA Server همانطور که شکل‌های 6 یا 9 مشاهده می‌نمایید ISA Server از منوهای زیر تشکیل شده است:ـ Monitoringـ Firewall Policyـ Virtual Private Networks ) VPN )ـ Configuration که خود شامل موارد زیر می‌باشد:• Networks• Cache• Add-ins •Generalهمانطور که می‌دانید توضیح تمامی ‌منوهای فوق قابل توضیح دراین مقاله نمی‌باشد و نیز با توجه به اینکه در شماره آینده قصد داریم یک پروژه عملی را حضورتان تقدیم نماییم در ادامه این قسمت به توضیحی مختصر بعضی از موارد مهم اکتفا شده است و از توضیح برخی ار منوهایی که کاربرد کمتری دارد صرفنظر شده است.Monitoring :در این قسمت گزارشات کاملی از نرم‌افزار ISA و همچنین عملکرد برنامه‌هایی که در هنگام اجرای ISA در پس زمینه فعال هستند نمایش داده می‌شود که خود دارای بخش‌های زیر است:ـ Dashboard : این صفحه خلاصه‌ای از قسمت های دیگر و نگاهی گذرا به آنها دارد. ( به شکل 8 دقت نمایید. )                                                  شکل8ـ Alerts : اتفاقاتی که در برنامه می‌افتد در این قسمت نمایش داده می‌شود.ـ Sessions : با کمک امکان نمایش همزمان (Real-Time) برنامه ISA Server در این قسمت تمام کانکشن های فعال بصورت اتوماتیک و همزمان نمایش داده می‌شود.ـ Services : با نصب برنامه ISA سرویس های زیر نیز نصب می‌شود:   Microsoft Firewall service    Microsoft ISA Server Control service    Microsoft ISA Server Job Scheduler service    Microsoft Data Engine          می‌توانید سرویس های فوق را در این بخش Stop یا Start نمایید.ـ Reports : این قسمت یکی از مهمترین قسمت های برنامه است چراکه به شما کمک می‌کند با ایجاد گزارشات، فعالیت‌های کاربران را از چندین روش که در شماره بعدی توضیح داده خواهد شد، مانیتور و کنترل نمایید. همانطور که در شکل 9 ملاحظه می‌نمایید می توانید با انتخاب گزینه Create a New Report گزارش دلخواه خود را ساخته و پس از ساختن آن با کمک گزینه‌های واقع در پانل سمت راست , آن را Refresh یا Configure نمایید.                                                    شکل 9ـ Logs : با نصب ISA Server عمل ثبت وقایع (Logging) برای اکثر کامپوننت ها فعال می‌گردد که می‌توان هرکدام از آنها را مانند Web Proxy ، Microsoft Firewall service و ... به دلخواه غیرفعال نمود. برنامه ISA Server از این Log ها برای قسمت Report استفاده می‌کند. همچنین مدیر شبکه در هنگام رفع ایرادات احتمالی ( Troubleshoot) از آن استفاده خواهد نمود. نکته قابل توجه اینکه خواندن Logهای برنامه کار ساده‌ای نمی‌باشد و گزارشاتی که از این Logها بدست می‌آید در بعضی مواقع خواسته مدیر شبکه را برآورده نمی‌نماید برای این منظور می‌توانید از برنامه‌هایی جانبی مانند Internet Access Monitor که از Logهای برنامه ISA Server استفاده نموده و گزارشات جامع و کاملی را تهیه کنید.بازدن دکمه Start Query از پانل سمت راست می‌توانید Logging را فعال نمایید. و اتفاقاتی که در برنامه می‌افتد را ثبت نمایید.ـ Connectivity : با امکان Connectivity که در برنامه ISA Server قرار دارد می‌توانید ارتباط سیستم با دیگر کامپیوترها در شبکه را امتحان نمایید.برای مثال با زدن دکمه Create New Connectivity Verifier که در پانل سمت راست قرار داد، پنجره ای باز می‌شود که لازم است در این پنجره یک نام برای این کانکشن در نظر بگیرید، سپس مطابق شکل 10 ،  ابتدا آیپی آدرس مقصد و  گزینه Send a Ping request انتخاب می‌شود. با زدن دکمه Next  در صفحه بعد دکمه Finish و سپس دکمه Apply را می‌زنیم. حال با زدن دکمه refresh سیستم آدرس 192.168.0.1  را Ping کرده و پاسخ را زیر فیلد Result نمایش می‌دهد.                                                  شکل 10همانطور که در شکل 10 نیز می‌بینید می‌توان به سه روش ارتباط را چک نمایید:TCP Connect PingHTTP Request Firewall Policyاز مهمترین قسمت های ISA Server است. با توجه به خواسته و نیاز خود از راه اندازی برنامه ISA Server در این بخش می‌توانید سیاست های امنیتی که شامل سیاست های انتشار وب یا ایمیل (Web Publishing , Mail Publishing) یا قواعد دسترسی به منابع داخلی یا خارجی باشد را تعریف کرد. همانطور که در شکل 11 ملاحظه می‌کنید Firewall Policy خود از قسمت‌های گوناگونی تشکیل شده است که توضیح هرکدام خود نیاز به تعداد زیادی صفحه دارد. اما در شماره آینده طریقه ساختن یک Access Rule که معمول ترین استفاده از ISA Server در شرکت هاست را حضورتان تقدیم می‌نماییم.                                                    شکل 11 Virtual Private Networkingدر این قسمت از برنامه ISA می‌توانید یک ارتباط امن و مجازی بین دو سیستمی که در شبکه‌های داخلی وجود دارد برقرار نمایید. بعد از Enable کردن VPN Client access لازم است سیاست (Policy) مناسبی برای VPN Clientها ایجاد و پیکربندی گردد. همانطور که در شکل 12 ملاحظه می‌نمایید ایجاد و پیکربندی VPN، تنظیمات کاربران راه دور (RADIUS Server) و ... از دیگر امکانات این قسمت است.                                                    شکل 12 Cofiguration برای پیکربندی ISA Server ابتدا باید Network Ruleها را ساخته ، Network Topolgy را انتخاب نمایید و چگونگی ترافیک بین نت‌ورک‌ها را تعیین نمود بنابراین این قسمت وظیفه پیکربندی برنامه را  دارد و همچنین راه‌اندازی و تنظیم Cache را می‌توان از این قسمت انجام داد.همانطور که از وظایف این بخش مشخص است زیر مجموعه این قسمت از بخش‌های Networks, Cache, Add-ins, General تشکیل شده است. سخن پایانیدر شماره گذشته و این شماره تا حدودی با ISA Server آشنا شدیم, همانطوریکه گفته شد به هیچ وجه نمی‌توان در طی یک یا چند مقاله به یادگیری و بررسی آن پرداخت اما هدف ما تنها ایجاد بستری برای انتقال بهتر مفاهیم تئوری بوده است. در شماره آینده نیز مطالبی در مورد ISA Server خواهیم داشت بدین ترتیب که چند نوع از تنظیمات مهم ISA Server را به صورت پروژه‌های عملی کوچک بررسی خواهیم کرد, پس چنانچه منتظر آموختن نکات بیشتری درباره ISA هستید در شماره آتی نیز با ما باشید.