ایجاد قدم به قدم ارتباط  SITE TO SITE VPN  بين دو سرور ISA 2006

دوستان سلام.چند وقتيه كه صابون بي كفايتي مخابرات و اداره ديتا به تن همه ما داره ماليده ميشه و هر كس دنبال يك راهكار براي ارتباط پشتيبان مي گرده.بدين منظور كافيه بطور  دقيق دستور العمل زير را براي دو ISA SERVER  خود انجام دهيد.يك نكته اينكه بايد اينترنت شما VALID IP‌داشته باشه يا حداقل در زمان استفاده از اين راهكار مودم ADSL شما ريست نشه چون خودتون بهتر ميدونيد كه در اينصورت IP شما عوض ميشه و اين يعني اينكه يا بايد قيد ارتباط رو بزنيد يا در كانفيگ يكطرف وارد شده و IP‌طرف ديگر رو مجددا وارد كنيد.

 

سناريوي مااستفاده از ISA SERVER 2006  ‌در دو طرف است.هر ISA SERVER  يك كارت شبكه براي شبكه INTERNAL‌خود و يك كارت شبكه هم براي شبكه EXTERNAL ‌خود دارد.

الف) ايجاد يك اكانت براي برقراري اتصال در ISA SERVER 1

  1. اگر از اكتيو ‌دايركتوري جهت  AUTHENTICATE  استفاده مي كنيد در DOMAIN SERVER و اگر بصورت LOCAL  اين كار را انجام ميدهيد در USER AND GROUPS كامپيوتر ISA و اگر از يك RADIUS‌ مانند NTTACPLUSاستفاده مي كنيد در NTTACPLUS  يك يوزر با نام BRANCHOFFICEVPN‌  ايجاد نماييد.در ويندوز بايد گزينه USER MUST CHANGE PASS AT NEXT LOG ON ‌را غير فعال نماييد.در NTTacplus نيز بايد user شما بصورت fulltime ‌و با گروه ppp‌و standard توانايي دسترسي داشته باشد.همچنين هيچ گونه محدودديت كيلو بايتي به يوزر وارد نكنيد.
  2. در ويندوز بايد در properties يوزر مربوطه در تب remote user access‌و در بخش dial-in گزينهallow access‌را فعال نماييم.
  3. با توجه به همين دوبند گفته شده نام كاربري HEADOFFICEVPN   را در ISASERVER2‌ايجاد نماييد.

تبريك ميگم بخش اول تمام شد.به همين راحتي.

ب)ايجاد PPTP VPN

در ۱ ISA SERVER  در بخش VIRTUAL PRIVATE NETWORKS  به بخش REMOTE SITE TAB برويد.

  1. از بخش TASK TAB گزينه ADD REMOTE SITE NETWORK را كليك كنيد.
  2. در صفحه خوش آمد گويي عبارت BRANCHOFFICEVPN را وارد كنيد.دقت كنيد نام كانكشن را برابر با نام ايجادي در ISASERVER1 گرفتيم.اين خيلي مهم است و اگر رعايت نشود تونل لايه 3 شما كار نخواهد كرد.
  3. در صفحه بعد گزينه PPTP‌را فعال نماييد.
  4. در پنجره   REMOTE SITE GATEWAYآدرس IP سرور VPN طرف ديگر را (مربوط به ISASERVER1 را ) ئارد نماييد.اين ادرس مشخصا ادرس كارت شبكه eXTERNAL‌يا همان VALID IP طرف ديگر ميباشد.
  5. در پنجره REMOTE AUTHENTICATION اقدام به فعال ساختن  گزينه    LOCAL SITE CAN INITIATE CONNECTIONS TO REMOTE SITE USING THESE CREDENTIALS را وارد نماييد.مانند زير:
    HEADOFFICEVPN نام كاربري با توجه به بخش الف - مشخصا با توجه به بندالف اين نام بايد در سرور طرف ديگر ايجاد شده باشد زيرا توسط اين نام مي خواهيم اين كانكشن به طرف ديگر وصل شود.همچنين نام كانكشني كه در طرف ديگر خواهيم ساخت بايد به همين نام باشد. USERNAME
    نام FQDN سرور آيزا  اگر در DOMAIN قرار دارد يا بدون نام اگر سرور شما از NTTACPLUS استفاده مي كند يا فقط اسم تنهاي سرور مثلا ISASERVER2 اگر مثلا سرور طرف ديگر شما از خود كاربران ويندوز سرور ISA‌استفاده مي كند. DOMAIN NAME
    وارد كردن پسورد يوزر HEADOFFICEVPN PASSWORD
    وارد كردن مجدد پسورد يوزر HEADOFFICEVPN CONFIRM PASSWORD
              
  6. در پنجره بعدي در بخش NETWORK ADDRESS‌بر روي ADD كليك كرده و آدرس رنج داخلي  را وارد نماييد. اين آدرس در حقيقت رنج آدرس طرف ديگر ميباشد كه در اين قسمت تعريف ميگردد.
  7. در پايان مرور اطلاعات و Finish را داريم.

البته در نگارش 2006 در مورد rule‌هاي دسترسي نيز سوال مي كند كه باتوجه به آشنايي شما اين بخش را صرف نظر مي كنيم.

--------------------

ج) ايجاد PPTP VPN

با اين فرض كه كاربر HEADOFFICEVPN را اينجا در ISASERVER2ساخته ايد شروع مي كنيم.اين نام بايد برابر با نام كانكشني باشد كه اينجا مي سازيم.همچنين در هنگام تكميل جدول در نسرور قبل به اين نام اشاره نموديم.

در 2 ISA SERVER  در بخش VIRTUAL PRIVATE NETWORKS  به بخش REMOTE SITE TAB برويد.

  1. از بخش TASK TAB گزينه ADD REMOTE SITE NETWORK را كليك كنيد.
  2. در صفحه خوش آمد گويي عبارت HEADOFFICEVPN را وارد كنيد.دقت كنيد نام كانكشن را برابر با نام ايجادي در ISASERVER1 گرفتيم.اين خيلي مهم است و اگر رعايت نشود تونل لايه 3 شما كار نخواهد كرد.
  3. در صفحه بعد گزينه PPTP‌را فعال نماييد.
  4. در پنجره   REMOTE SITE GATEWAYآدرس IP سرور VPN طرف ديگر را (مربوط به ISASERVER1 را ) ئارد نماييد.اين ادرس مشخصا ادرس كارت شبكه eXTERNAL‌يا همان VALID IP طرف ديگر ميباشد.
  5. در پنجره REMOTE AUTHENTICATION اقدام به فعال ساختن  گزينه    LOCAL SITE CAN INITIATE CONNECTIONS TO REMOTE SITE USING THESE CREDENTIALS را وارد نماييد.مانند زير:
    BRANCHOFFICEVPN نام كاربري با توجه به بخش الف - مشخصا با توجه به بندالف اين نام بايد در سرور طرف ديگر ايجاد شده باشد زيرا توسط اين نام مي خواهيم اين كانكشن به طرف ديگر وصل شود.همچنين نام كانكشني كه در طرف ديگر خواهيم ساخت بايد به همين نام باشد. USERNAME
    نام FQDN سرور آيزا  اگر در DOMAIN قرار دارد يا بدون نام اگر سرور شما از NTTACPLUS استفاده مي كند يا فقط اسم تنهاي سرور مثلا ISASERVER1 اگر مثلا سرور طرف ديگر شما از خود كاربران ويندوز سرور ISA‌استفاده مي كند. DOMAIN NAME
    وارد كردن پسورد يوزر BRANCHOFFICEVPN  PASSWORD
    وارد كردن مجدد پسورد يوزر BRANCHOFFICEVPN  CONFIRM PASSWORD
              
  6. در پنجره بعدي در بخش NETWORK ADDRESS‌بر روي ADD كليك كرده و آدرس رنج داخلي  را وارد نماييد. اين آدرس در حقيقت رنج آدرس طرف ديگر ميباشد كه در اين قسمت تعريف ميگردد.
  7. در پايان مرور اطلاعات و Finish را داريم.

البته در نگارش 2006 در مورد rule‌هاي دسترسي نيز سوال مي كند كه باتوجه به آشنايي شما اين بخش را صرف نظر مي كنيم.

--------------------

خلاصه------- چه كار كرديم:

ما از هر طرف يك كانكشن دقيقا به نام "نام كاربري" ايجاد شده و با AUTHENTICATE نام كاربري طرف ديگر به طرف ديگر متصل مي نماييم.

يعني اگر من از روي سرور اول خود بخواهم يك تونل به سرور طرف ديگر بزنم ابتدا يك نام كاربري با نام مثلا ALI  روي اين سرور ايجاد و نام كانكشن PPTP CONNECTION‌خود را نيز دقيقا ALI مي گذارم اما در كانكشم خود هنگام وارد كردن مشخصات در جدول بايد نام كاربري مجاز در طرف ديگر مثلا REZA را وارد كنم.

اين دقيقا يعني اينكه بايد عكس اينكار روي سرور 2 براي USER و نام كانكشن REZA‌انجام شود.

نكته 1: در PROPERTIES تونل خود ENCRIPTION ‌را درست انتخاب كنيد.مثلا اگر نام كاربري خود را از  NTTACPLUS   ميگيريد و انجا با PAP‌و  CHAP عمل  AUTHENTICATE را انجام ميدهيد بايد حتما در PROPETIES‌كانكشن خود نيز همين دو متد را انتخاب كنيد.

نكته 2:بهتر است در INTERNAL NETWORK ‌دو طرف براي WEB PROXY‌ها عمل AUTHENTICATE‌را غير فعال كنيد يا كلا قيد اينكار را بزنيد يا آدرس كليه سرورهاي WEB BASE هر طرف را در اين كلاينتها و يا INTERNAL NETWORK ‌هر سرور در طرف ديگر تونل EXCEPTION ‌نماييد.

نكته 3:براي راهاندازي هر دو ISA SERVER بايد يكبار RESET شوند.

نكته 4:از هر طرف PING‌ طرف ديگر را ميگذاريم تا پس از چند REQUEST TIME OUT فعال شوند.

نكته 5: بايد در سوئيچ مركزي خود ROUTE ‌را به كارت شبكه  HSA ‌همان طرف بدهيم.يا   در همه كلاينتها GATEWAY‌را كارت شبكه  INTERNAL مربوط‌ به  ISA ‌همان طرف بگذاريم.

موفق باشيد و نظر هم بدهيد خوشحال ميشيم .

خواهشا جواد بازي در نياريد و تقاضاي تبادل لينك نكنيد.

 

+ نوشته شده در ۱۳۹۰/۰۷/۲۳ ساعت توسط هومن عزیزی  | 

آشنایی با ISA Server 2004

 


ISA Server 2004

مترجم : مهیار داعی الحق
ماهنامه شبکه - خرداد ۱۳۸۴ شماره 54

اشاره :
شركت مایكروسافت نرم‌افزارهای متعددی را تحت عنوان Microsoft Server Systems در كنار سیستم‌عامل اصلی سرور خود یعنی ویندوز 2000 تا 2003 عرضه كرده كه وظیفه ارایه سرویس‌های متعددی را از انواع ارتباطات شبكه‌ای گرفته تا امنیت و غیره به عهده دارند. در این شماره قصد داریم به معرفی سرور كنترل ارتباط شبكه‌ای یعنی ISA Server بپردازیم.






آشنایی‌
برنامه قدرتمند ارتقاء و امنیت شبكه مایكروسافت ISA Server نام دارد. این برنامه با استفاده از سرویس‌ها، سیاست‌ها و امكاناتی كه در اختیار كاربران قرار می‌دهد قادر است به عنوان راه‌حلی در ایجاد شبكه‌های مجازی
(VPN) و یا برپا كردن فضای حایل به عنوان cache جهت دسترسی سریع‌تر به صفحات وب، مورد استفاده قرار گیرد. همچنین این برنامه قادر است با ایجاد یك دیواره آتش در لایه Application شبكه،  فعالیت سرویس‌های مختلف یك شبكه ویندوزی مثل وب سرور IIS، سرویس‌های دسترسی از راه‌دور (Routing and Remote Access) را از طریق فیلترگذاری و كنترل پورت‌ها، تحت نظر گرفته و فضای امنی را برای آن‌ها فراهم كند. این برنامه با استفاده از نظارت دایمی خود بر پروتكل امنیتی SSL و فیلتر كردن درخواست‌های Http كه به سرور می‌رسد، وب سرور و ایمیل سرور را از خطر حمله هكرها دور نگه می‌دارد. به همین ترتیب، كلیه ارتباطات شبكه‌ای كه با یك سرور برقرار می‌شود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و یا IIS، باید از سد محكم ISA عبور كنند تا درخواست‌ها و ارتباطات مشكوك با سرور مسدود گردد.
سایت مایكروسافت برای بررسی اهمیت وجود ISA در یك شبكه، كلیه راه‌حل‌های این برنامه را كه با استفاده از سرویس‌ها و امكانات ویژه موجود در آن، ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم كرده كه به آن‌ها می‌پردازیم. (تصاویر مقاله از سایت مایکروسافت برداشته شده اند)

 سناریوی اول‌







شكل 1

از ISA برای تأمین امنیت ایمیل‌ها استفاده می‌شود. ISA Server با استفاده از دو روش استاندارد یعنی SSL decryption وهمچنین Http Filtering اولاً از ورود كدهای مشهور به malicious كه عمدتاً بدنه انواع كرم‌ها و ویروس‌ها را می‌سازند جلوگیری به عمل می‌آورد و ثانیاً محتوای درخواست‌های Http را برای بررسی مجوز دسترسی آن‌ها و صلاحیت دریافت و ارسال اطلاعات مورد كنكاش قرار می‌دهد. در این حالت، ISA همچنین از هر نوع اتصال افراد با اسم كاربری anonymous كه می‌تواند منشأ شكستن رمزعبورهای مجاز یك سرویس‌دهنده ایمیل شود، جلوگیری می‌كند. به هر حال با وجود این كه یك ایمیل سرور مثل Exchange راه‌حل‌های امنیتی مخصوص به خود را دارد، اما وجود ISA به‌عنوان دیواره آتش یك نقطه قوت برای شبكه به حساب می‌آید. ضمن این‌كه در نسخه‌های جدید ISA امكان ایجاد زنجیره‌ای از سرورهای ISA كه بتوانند با یك سرورExchange در تماس بوده و درخواست‌های كاربران را با سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اكنون به ISA عنوان فایروالی كه با قدرت انجام توازن بار ترافیكی، سرعت بیشتری را در اختیار كاربران قرار می‌دهد در نظر گرفته شود. (شكل 1) 


سناریوی دوم






                      شكل 2
ISA می‌تواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفاده قرار گیرد. در این سناریو، یك شركت برخی از اطلاعات سازمان خود را برای استفاده عموم در معرض دید و یا استفاده كاربران خارج از سازمان قرار می‌دهد. به عنوان مثال بسیاری از شركت‌ها مسایل تبلیغاتی و گاهی اوقات سیستم سفارش‌دهی خود را در قالب اینترنت و یا اینترانت برای كاربران باز می‌گذارند تا آن‌ها بتوانند از این طریق با شركت ارتباط برقرار نمایند. در این صورتISA   می‌تواند به صورت واسط بین كاربران و سرویس‌های ارایه شده توسط وب سرور یا بانك‌اطلاعاتیSQLServer   كه مشغول ارایه سرویس به محیط خارج است، قرار گرفته و بدین‌وسیله امنیت دسترسی كاربران به سرویس‌های مجاز و حفاظت از منابع محرمانه موجود در سیستم‌ را فراهم آورد.
(شكل 2)

سناریوی سوم‌






                      شكل 3
در این سناریو،  دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخی موارد همكاری اطلاعاتی دارند، توسط فضای اینترنت و از طریق سرورها و دروازه‌های VPN با یكدیگر در ارتباط هستند. به عنوان مثال یكی از شركای یك شركت تجاری، محصولات آن شركت را به فروش رسانده و درصدی از سود آن را از آن خود می‌كند. در این روش به صورت مداوم و یا در ساعات معینی از شبانه‌روز، امكان ردوبدل اطلاعات بین دو شركت مذكور وجود دارد. در این زمان ISA می‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری كند، در حالی كه هیچكدام از دو طرف احساس نمی‌كنند كه فضای حایلی در این VPN مشغول كنترل ارتباط بین آن‌هاست. به علاوه این‌كه با وجود ISA، كاربران برای اتصال به سایت یكدیگر باید از دو مرحله Authentication (احراز هویت) یكی برای سرور یا دروازه VPN طرف مقابل و دیگری برای ISA عبور كنند كه این حالت یكی از بهترین شیوه‌های برقراری امنیت در شبكه‌های VPN است. در این سناریو، وجود یك ISA Server تنها در طرف سایت اصلی یك شركت می‌تواند، مدیریت برقراری امنیت در كل فضای VPN هر دو طرف را به‌عهده گیرد و با استفاده از دیواره آتش لایه Application از عبور كدهای مشكوك جلوگیری كند. (شكل 3)



سناریوی چهارم‌






                       شكل 4
در سناریوی چهارم، یك شركت قصد دارد به عنوان مثال تعدادی از كارمندان خود را قادر به كار كردن با سیستم‌های درونی شركت از طریق یك ارتباط VPN اختصاصی بنماید. در این حالت برای دسترسی این قبیل كارمندان به سرور شركت و عدم دسترسی به سرورهای دیگر یا جلوگیری از ارسال ویروس و چیزهای مشابه آن، یك سد محكم به نام ISA ترافیك اطلاعات ارسالی و یا درخواستی را بررسی نموده و درصورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب آن ارتباط را مسدود می‌كند. (شكل 4)






سناریوی پنجم‌







شكل 5

سناریوی بعدی زمانی مطرح می‌شود كه یك شركت قصد دارد با برپایی یك سیستم مركزی در محل اصلی شركت، سایر شعبات خود را تحت پوشش یك سیستم (مثلاً یك بانك‌اطلاعاتی) متمركز درآورد. از این رو باز هم در اینجا مسأله اتصال شعبات شركت از طریق VPN مطرح می‌شود. در این صورت ISA با قرار داشتن در سمت هر شعبه و همچنین دفتر مركزی به صورت آرایه‌ای از دیواره‌های آتش (Array of Firewall) می‌تواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مركزی شركت و بالعكس را زیرنظر داشته باشد. این مسأله باعث می‌شود تا هر كدام از شعبات و دفتر مركزی به منابع محدودی از یكدیگر دسترسی داشته باشند. در ضمن با وجود امكان مدیریت و پیكربندی متمركز كلیه سرورهای ISA نیازی به مسؤولین امنیتی برای هر شعبه نیست و تنها یك مدیر امنیت، از طریق ISA سرور موجود در دفتر مركزی می‌تواند كلیه ISA سرورهای شعبات را تنظیم و پیكربندی كند. (شكل 5)

سناریوی ششم‌







شکل 6

كنترل دسترسی كاربران داخل دفتر مركزی به سایت‌های اینترنتی، سناریوی ششم كاربرد ISA محسوب می‌شود. در این جا ISA می‌تواند به كمك مدیر سیستم آمده، سایت‌ها، لینك‌های URL و یا انواع فایل‌هایی كه از نظر وی نامناسب تشخیص داده شده، را مسدود كند. در همین هنگام فایروال نیز كار خود را انجام می‌دهد و با استفاده از سازگاری مناسبی كه بین ISA و Active Directory ویندوز وجود دارد، اولاً از دسترسی افراد غیرمجاز یا افراد مجاز در زمان‌های غیرمجاز به اینترنت جلوگیری شده و ثانیاً می‌توان از اجراشدن برنامه‌هایی كه پورت‌های خاصی از سرور را مثلاً جهت استفاده برنامه‌های Instant Messaging مورد استفاده قرار می‌دهند، جلوگیری نمود تا بدین‌وسیله ریسك ورود انواع فایل‌های آلوده به ویروس  كاهش یابد.
(شكل 6)


سناریوی هفتم‌






در تمام سناریوهای قبلی كه ISA در برقراری ارتباط مناسب و امن بین سایت‌های اینترنت، كاربران یا شعبات شركت نقش مهمی را ایفا می‌كرد، یك سناریوی دیگر نیز نهفته است و آن افزایش سرعت انتقال اطلاعات بین تمام موارد فوق از سایت‌های اینترنتی گرفته تا اطلاعات سازمانی است. سیستم cache Array موجود در این برنامه باعث می‌شود تا هر كدام از كاربران چه در محل اصلی شركت و چه از محل شعبات بتوانند برای دیدن اطلاعات یا سایت‌های مشابه راه میان‌بر را رفته و آن را از هر كدام از ISAهای موجود در شبكه VPN یا LAN دریافت كنند و بدین‌وسیله حجم انتقال اطلاعات با محیط خارج را تا حدود زیادی در سیستم متوازن نمایند.


عملكرد
ISA Server كلیه سناریوهای تعیین شده را براساس سه قاعده مختلف یعنی سیستم، شبكه و دیواره آتش محقق می‌سازد كه در این‌جا به این سه قاعده اشاره می‌كنیم.


1- Network Rule  
ISA Server با استفاده از قوانین شبكه‌ای موجود و تعریف‌شده در بانك‌اطلاعاتی خودش نحوه ارتباط دو یا چند شبكه را به یكدیگر در یك فضای معین، مشخص می‌سازد. در این قاعده كه توسط مدیر سیستم قابل تنظیم است مشخص می‌گردد كه شبكه‌های موردنظر طبق كدام یك از دو روش قابل‌طرح، به یكدیگر متصل می‌شوند. این دو روش عبارتند از:


الف- Network Address Translation) NAT)
این روش، یك ارتباط یك طرفه منحصربه‌فرد است. بدین معنی كه همیشه یكی از شبكه‌ها نقش شبكه اصلی و داخلی (Internal) و بقیه شبكه‌ها نقش شبكه‌های خارجی (External) را بازی می‌كنند. در این روش شبكه داخلی می‌تواند قوانین و شیوه دسترسی به اطلاعات و ردوبدل شدن آن‌ها در فضای بین شبكه‌ها را تعیین كند ولی این امكان از سایر شبكه‌های خارجی سلب گردیده و آن‌ها تابع قوانین تعریف شده در شبكه داخلی هستند. در این روش همچنین ISA   آدرس IP كامپیوترهای مبدا یك ارتباطNAT را به وسیله عوض كردن آن‌ها درIP خارجی خودش، از دید كامپیوترهای یك شبكه (چه كامپیوترهای متصل از طریق LAN و چه كامپیوترهای خارجی) مخفی می‌كند. به عنوان مثال، مدیر یك شبكه می‌تواند از ارتباط بین كامپیوترهای  متصل شده از طریق VPN را با فضای اینترنت از نوع یك رابطه NAT  تعریف كند تا ضریب امنیت را در این ارتباطات بالا ببرد.


ب - Rout  
این نوع ارتباط یك ارتباط، دو طرفه است. بدین معنی كه هر دو طرف می‌توانند قواعد امنیتی خاصی را برای دسترسی شبكه‌های دیگر به شبكه محلی خود تعریف كنند. به‌عنوان مثال ارتباط بین شبكه‌های متصل شده به یكدیگر در فضای VPN می‌تواند یك ارتباط از نوع Rout باشد.
با توجه به این مسایل ارتباطات قابل اطمینان یك شبكه با شبكه‌های مجاور (مثل شعبات شركت) می‌تواند از نوع Rout   و ارتباطات محتاطانه شبكه با كاربران خارجی و كسانی كه از طریق RADIUS یا وب به شبكه دسترسی دارند می‌تواند از نوع NAT تعریف شود. 


2- Firewall Rule 






علاوه بر نقش مستقیمی كه سیاست‌های تعریف‌شده در قواعد دیواره آتش در نحوه ارتباط بین شبكه‌ها بازی می‌كند و می‌تواند موجب مسدود شدن ارتباطات خارج از قواعد تعریف شده درNetwork Rule  شود، این قواعد همچنین می‌توانند با تعریف دقیقی كه از پروتكل‌های Http ،FTP، DNS،RPC و ... انجام ‌دهند، كلیه درخواست‌ها از انواع مذكور را زیرنظر گرفته و به عبارتی فیلتر نمایند. در این روش مدیر امنیت شبكه می‌تواند امكان دسترسی تعدادی از كاربران را در ساعات خاص و به محتوای مشخص مجاز  یا غیرمجاز  كند. به عنوان مثال وی می‌تواند نمایش تصاویر موجود برروی صفحات وب را از طریق فیلتركردن فهرستی از پسوندهای انواع فایل‌های گرافیكی در یك قاعده از نوع Http ، مسدود كند در حالی كه كاربران همچنان بتوانند آن فایل‌ها را از طریق پروتكل دیگری مثلFTP دریافت یا ارسال كنند.
همچنین در قواعد مربوط به فایروال می‌توان دسترسی كاربران و یا گروه‌های كاربری را به تعدادی از آدرس‌های URL یا IPهای مشخص مسدود كرد. ضمن آن‌كه قواعد مربوط به نحوه دسترسی كاربران برای انجام اموری مثل انتشار صفحات وب (Web Publishing) و امثال آن هم در همین جا تعریف می‌گردد.


3- System Rule  
در این قسمت بیش از سی قاعده مربوط به دسترسی وجود دارد كه قابل انتساب به شبكه محلی می‌باشند. این قواعد نحوه ارتباط سرویس‌های یك شبكه را با یكدیگر و همچنین با ISA مشخص می‌نماید. به عنوان مثال سرویسDHCP كه كلیه درخواست‌ها و پاسخ‌های مربوط به انتساب دینامیك آدرسIP به كامپیوترهای یك شبكه را مدیریت می‌كند، یا سرویس DSN كه وظیفه ترجمه اسامی و آدرس‌های شبكه را انجام می‌دهد، مورد استفاده ISA قرار گرفته تا بتواند هم موقعیت خود در شبكه و با سرورهایی كه سرویس‌های فوق را ارایه می‌دهند تشخیص دهد و هم با اطلاع از نحوه پیكربندی شبكه و ارتباط آن با محیط خارج اقدام به كنترل آن از طریق قواعد مربوط به شبكه و دیواره آتش بنماید. به طور كلی سیاست‌های موجود در قواعد سیستمی روابط میان ISA و سایر منابع و سرورهای موجود در شبكه را مشخص می‌نمایند (با تشکر از سایت ictna.ir)

 

با تشکر از سایت

+ نوشته شده در ۱۳۸۷/۰۳/۱۲ ساعت توسط هومن عزیزی  |