(ISA) آموزش نرم افزار سیستم امنیتی شبکه

نرم افزار ISA يا Internet Security and Acceleration توسط شرکت Microsoft براي Win2k عرضه گرديده است. اين نرم افزار که در حقيقت نسخه جديدي از   MSProxy  است داراي قابليتها و تواناييهاي جالبي است. اما متأسفانه هنوز هيچ کتابي در اين مورد به زبان فارسي نوشته نشده است. حتي اکثر کساني که از اين نرم افزار استفاده مي کنند با بسياري از قابليتهاي ISA آشنا نيستند. در سايتها و وبلاگهاي کامپيوتري هم کمتر کسي پيدا مي شود که حتي اشاره اي به ISA کرده باشد.
با توجه به اين نياز تصميم دارم در چند قسمت مختلف به بررسي ISA بپردازم.

نرم افزار ISA داراي دو قابليت اصلي است.
1- Firewall - 2         Cache
با استفاده از قابليت Caching مي توان Request هاي Http و Ftp کاربران شبکه را Cache کرد تا در هنگام درخواستهاي تکراري با صرفه جويي در زمان و پهناي باند بتوان به آن درخواستها از طريق اطلاعات Cache Server پاسخ گفت.

Cache
بخش Caching خود، داراي قابليتهاي زير است:
1) Automatic & Scheduled Caching:  در اين قابليت ISA بطور هوشمندانه در ساعات مشخصي (ساعاتي که ترافيک شبکه کم است) به سراغ سايتهايي که قبلا Cache شده اند اما زمان TTL آنها تمام شده است و Expire شده اند رفته و بطور اتوماتيک آنها را  Update  مي کند.  ISA  اين عمل را با اولويت سايتهاي محبوب (سايتهايي که بيش از ساير سايتها توسط کاربران درخواست شده اند) انجام مي دهد. نتيجه اين کار اين است که سايتهاي محبوب کاربران همواره بصورت Update شده در ISA براي تحويل به کاربران فراهم است. ضمن اينکه ما بصورت دستي نيز مي توانيم ساعاتي را براي Update کردن سايتهاي دلخواهمان تعيين کنيم.
2) Reverse Caching:  با استفاده از اين قابليت ISA مي تواند اطلاعاتي که بر روي Web Server  داخلي شبکه قرار دارند را پس از آنکه يکبار در اختيار کاربران موجود در اينترنت قرار داد بر روي خود Cache نموده و در صورت تقاضاي مجدد بدون مراجعه به Web Server اطلاعات Cache شده را در اختيار کاربران Internet قرار دهد. اين خاصيت موجب کاسته شدن ترافيک بر روي Web Server مي شود.
3) Transparent Cache:  يکي از قابليتهاي ISA اين است که هم بصورت Proxy Base و هم بصورت Transparent قابليت Cache کردن را دارد.
4) Distributed and Hierarchical Caching:  مي توان بجاي يک ISA Cache از چند ISA Cache در شبکه استفاده کرد. سپس همه آنها را بصورت يک Array درآورد. در اين حالت تمام ISAها دست به دست هم داده و يک Cache يکپارچه را تشکيل مي دهند. درصورتيکه Objectهاي Cache شده از لحاظ فيزيکي بر روي اين ISA Server ها توزيع شده است و هر کدام قسمتي از اطلاعات را Cache نموده اند. ضمنا" ما مي توانيم از يک Root System نيز استفاده کنيم بگونه اي که يک يا چند ISA Server به اينترنت مستقيما" وصل بوده و Object هاي مورد نياز خود را از طريق ISA Serverهاي بالاتر تأمين نمايد. در اين حالت با استفاده از پروتکلCARP  يا Cache Array Routing Protocol اطلاعات مورد نياز  Clientها از روي يک Array جمع آوري شده و در اختيار آنها قرار مي گيرد.

 Firewall
امروزه Firewallها در دو نوع سخت افزاري و نرم افزاري وجود دارند. مزيت عمده Firewallهاي سخت افزاري در سرعت آنهاست. از نمونه هاي سخت افزاري مي توان به Cisco PIX Firewall اشاره کرد
جالب اينجاست که MicroSoft ادعا مي کند تمامي قابليتهاي يک Firewall سخت افزاري در ISA گنجانده شده است و بدليل قيمت بسيار کمتر براي استفاده اقتصادي تر است.

بطور کلي مي توان گفت قابليتهاي نرم افزار ISA در زمينه Firewall عبارتند از:
1) کنترل استفاده از اينترنت: در ISA مي توان با استفاده از Policyها ترافيک ورودي و خروجي را بر مبناي سايتها , Protocolها و محتويات Packetها Filter کرد.
2) مي توان Packetها را بر اساس لايه ها (از لايه Network  تا  Application) فيلتر نموده و حتي ترافيک هاي مربوط به DNS را کنترل کرد.
3) با استفاده از قابليت Intrusion Detection مي تواند جلوي نفوذ هکرها را بگيرد. بر روي ISA  روشهاي معروف Hack تعريف شده است و در صورتيکه فردي اقدام به استفاده از اين روشها نمايد ISA جلوي او را خواهد گرفت. به عنوان مثال ISA مي تواند Scan شدن Portها را تشخيص داده و جلوي آنرا بگيرد.

1)    قابلیت اعمال Policyهای مختلف

2)    امکان کنترل پهنای باند یا BandWidth (Oos)

توجه: در Windows امکان کنترل Bandwidth وجود ندارد. در اينجا تصريح مي کنيم که امکان کنترل Bandwidth در ISA بر اساس اولويت است. در صورتيکه در Linux و يا Cisco Routers شما مي توانيد Bandwidth کاربران را به يک سقف معين محدود کنيد.

3)    امکان پشتیبانی از VPN

4)    امکان Publishکردن Web Serverهای داخلی شبکه

نکته: پس از Publish کردن Web serverهاي داخلي هرگاه يک کاربر از طريق Internet بخواهد به Web server ما دسترسي پيدا کند اطلاعات مورد نياز او از طريق ISA در اختيارش قرار مي گيرد. در نتيجه هيچکس از طريق Internet نمي تواند مستقيما" به Web server هاي ما دسترسي داشته باشد.

5)    Gate Keeper

توضیح: ويژه برنامه هايي است که از IP تلفني استفاده مي نمايند. مثل NetMeeting

Monitoring & Alerts    (6
نکته: ذکر اين نکته لازم است که هر سيستم عاملي که Http (ver 1.1) را پشتيباني کند مي تواند به عنوان يک Web Proxy Client عمل نمايد. اگر بخواهيم از ISA به عنوان يک Firewall  استفاده نماييم بايد  Clientها داراي Win95 به بعد باشند.   Clientها مي توانند به عنوان Secure NAT Client عمل کرده و از خيلي از قابليتهاي ISA بهره مند شوند.

ISA Server مي تواند در دو حالت زير نصب شود:
1)Stand - alone :  در اين حالت ISA Server ها مستقل از يکديگر عمل کرده و به يکديگر متصل نمي شوند.
مزاياي اين روش عبارت است از:
-  هزينه کمترو تنظيمات کمتري نياز دارد.
-  تمام قابليتهاي Caching و Firewall را داراست.
-  از هرنوع Connection حتي Dialup مي تواند استفاده کند.
معايب اين روش هم عبارت است از:
-  داراي Enterprise Policy نيست. بنابراين اگر از چند Stand-alone استفاده کنيم بايد هرکدام را جداگانه کنترل کنيم.
 - Single Point of Failure: در حالت Stand-alone همه چيز وابسته به ISA است و اگر ISA  دچار مشکل گردد Internet قطع خواهد شد.

2)Enterprise Array :  پياده سازي اين روش فقط بر روي Active Directory امکان پذير است. در اين روش يک Array مرکب از چندين ISA Server تشکيل مي شود که همگي بصورت منطقي از يک نقطه کنترل مي گردند. ضمنا" هر کدام از اعضاي Array قسمتي از اطلاعات را Cache مي کنند. در صورت نياز مي توان Array را گسترش داد. نکته قابل توجه اين است که يک Array فقط تحت يک Domain واحد قابل پياده سازي است. يعني اعضاي يک Array بايد همگي عضو يک Domain باشند.
مزاياي اين روش:
-  امکان اعمال Enterprise Policy
-  امکان مديريت متمرکز
 - No Single Point of Failure: در اين حالت اگر يک يا چند ISA Server دچار اختلال شود اختلالي در شبکه بوجود نمي آيد.
معايب اين روش:
-  نيازمند ايجاد تغييراتي در توپولوژي شبکه است.
-  از نظر هزينه نسبت به روش قبلي گرانتر است.
-  در ابتداي کار نياز به مطالعه , تحقيق , برنامه ريزي و صرف وقت بيشتري براي پياده سازي دارد.

قابليت Array Chains: اين قابليت (Hierarchical Caching) اجازه مي دهد که يک ISA Server بدون آنکه مستقيما" به اينترنت متصل باشد از طريق Cache يک ISA Server ديگر به تعدادي Client سرويس دهد.

قابليت Publishing: در اين حالت تمام کساني که بخواهند از طريق اينترنت به Web Server ما دسترسي پيدا کنند مستقيما" با آن ارتباط ندارند بلکه ISA اين اطلاعات را در اختيار کاربران قرار مي دهد.

مزاياي Publish کردن:
 - بالا رفتن Security شبکه درحالي که اطلاعات سرورهاي ما بدون هيچ مشکلي از طريق اينترنت قابل دريافت است.

 - امکان Reverse Caching به کمک Publish کردن فراهم مي شود.
معايب Publish کردن:
 - اگر طراحي را به دقت انجام ندهيم بار زيادي بر روي ISA Server اعمال مي شود.
 - نياز به انجام تنظيمات دقيق داريم در نتيجه هنگام بروز مشکل براي رديابي آن به مدت زمان بيشتري نياز داريم.

ISA Server  داراي دو نسخه Enterprise و Standard Edition است. هنگام نصب بايد يکي از حالتهاي Caching, Firewall و يا Integrated را انتخاب نماييم.

در حالت Caching فقط  Requestهاي FTP و HTTP کاربران Cache مي شود تا سرعت دسترسي کاربران به اينترنت افزايش يابد.
در حالت Firewall دسترسي کامپيوترها و کاربران به منابع مختلف کنترل گرديده و نظارت مي شود.
در حالت Integrated هر دو حالت فوق باهم بصورت تلفيقي وجود دارند.

نکته: اگر بخواهيم از Caching استفاده کنيم حداقل به يک پارتيشن NTFS نياز داريم. البته جهت بالا بردن Security پيشنهاد مي شود که تمام Driveها به NTFS فرمت شوند.

هنگام نصب ISA بصورت پيش فرض به ميزان 100MB از فضاي بزرگترين پارتيشن NTFS جهت استفاده Cache انتخاب مي شود. به شرطي که حداقل150MB فضا بر روي آن وجود داشته باشد. ضمنا" حداقل اندازه Cache برابر با 5MB است.

ميزان ظرفيت Cache چقدر باشد؟
در همه  Cacheها يک نقطه مشترک وجود دارد و آن هم تعيين Cache Size است.
تعيين اندازه Cache Size به تعداد  Requestهاي کاربران در واحد زمان بستگي دارد. همچنين نوع کاربران (Lan یا Dialup) هم در تعيين ميزان Cache Size مؤثر است. به طور تقريبي مي توان گفت که يک کاربرDialup  معمولا" در 90% زمان اتصال به شبکه Browse انجام مي دهد. و بطور متوسط در هرثانيه به ميزان 0.02 Request دارد. بنابراين از فرمول زير مي توان Peak Request Rate را براي کاربران Dialup بدست آورد.

Peak Request Rate = (Number of Lines) X 0.02

کاربران Lan  هم هرکدام معمولا" فقط در 10% زمان کار خود Browse انجام مي دهند و بطور متوسط در هرثانيه به ميزان 0.002 Request دارند. بنابراين از فرمول زير مي توان Peak Request Rate را براي کاربران  Lan  بدست آورد.

Peak Request Rate = (Number of  Lan  Users) X 0.002

براي تعيين اندازه Cache Size دو مقدار فوق را باهم جمع کنيد تا Request Rate بدست آيد. اينک مطابق فرمول زير ميزان Cache Size بدست مي آيد.

Cache Size(MB) = (request rate) X 432

مثلا" اگر شما 10 کاربر Lan  و 30 کاربر Dialup داشته باشيد ميزان Cache Size شما بايد تقريبا" برابر با 268MB باشد! با اين مقدار بطور تقريبي Cache Server شما بهترين Performance  را خواهد داشت.
البته شرکت Microsoft درباره ISA فرمول زير را توصيه کرده است:

(Cache Size = 100 MB + (n/2

که در آن n تعداد  Clientها است. طبق اين فرمول اگر ما 40 کاربر داشته باشيم بايد ميزان  Cache Size را معادل 120MB قرار دهيم. مجددا" تأکيد مي کنم که بالا بردن بي رويه رقم   Cache Size اثر منفي در نتيجه کار خواهد داشت.

 نکته: فايلهاي مربوط به Cache را در داخل شاخه اي با نام URL Cache ذخيره مي کند. اگر بخواهيم بيش از 10GB در يک درايو Cache کنيم تعداد فايلهاي ما بيش از يک فايل خواهد بود. زيرا هرکدام از فايلهاي Cache حداکثر مي توانند 10GB باشند.

LAT يا (Local Address Table)
شامل فهرست IPهاي شبکه داخلي است. ISA  با استفاده ازIP،  LAT هاي داخل و خارج از شبکه را تشخيص مي دهد. در هنگام نصب ISA مي توان IPهاي LAT را معرفي کرد.

 Administrator با استفاده از Policy مي تواند با توجه به سياستهايش دسترسي افراد را به Internet کنترل نمايد. براي مثال مي تواند فرد و يا گروهي از افراد را در ساعات مشخصي از روز به يک سايت معين محدود کند. و يا مي تواند پهناي باند معيني به آنها بدهد و يا ...
براي پياده سازي يک Policy ابتدا بايد عناصر اصلي يا پايه يک Policy را تنظيم نماييم و با ترکيب آنها يک Policy نهايي ايجاد نماييم.

مهمترين Policyهاي قابل تنظيم در ISA عبارتند از:

 1) Schedules: با استفاده از اين پارامتر مي توان زمان (روز و ساعت) اعمال يک Policy را تعيين کرد.

 2) Destination Sets: با استفاده از اين قسمت مي توانيم يک IP Range يا Host Name مشخص را مشخص نماييم و از دسترسي شبکه داخلي (يا برخي از اعضا) به اين آدرسها جلوگيري نماييم. در اين قسمت علائم Wild Cards ( * و ؟ ) هم قابل استفاده هستند.

 3) Configure Client Address Sets: با استفاده از اين قسمت مي توان يک يا تعدادي از کامپيوترهاي داخل شبکه را انتخاب کرد تا محدوديتهاي تعيين شده بر روي آنها اعمال شود.

 4) Protocol Definition: با استفاده از اين قسمت مي توانيم استفاده از پروتکلهاي معين از اينترنت را Allow و يا Deny نماييم. در ISA اکثر پروتکلهاي معروف و رايج تعريف شده اند و قابل استفاده اند. مانند Http , FTP, MSN, Telnet , SMTP و ... .

همچنين شما مي توانيد به تعريف پروتکلهاي دلخواه خود بپردازيد. 

 5) Bandwidth Priorities: با استفاده از اين قسمت مي توانيم اولويتهاي مختلفي را براي استفاده از پهناي باند تنظيم نماييم تا با استفاده از آنها در يک Policy , پهناي باندي را که به يک پروتکل يا افراد مي خواهيم اختصاص دهيم مشخص نماييم.

 6) Content Groups: با استفاده از اين قسمت مي توانيم مجوز دسترسي به يکسري فايل مشخص و معلوم را صادر و يا رد کنيم.

 7) Dialup Entries: در اين قسمت مي توانيم با استفاده از Dialup Connectionهايي که قبلا" تعريف نموده ايم امکان استفاده از آنها را Allow يا Deny کنيم.

Array & Enterprise Policy:

بر روي يک Array مي توان Enterprise Policy وPolicy Array را اعمال نمود. اما براي پياده سازي بايد به نکات زير توجه کرد:
 1-  يک Enterprise Policy  ا  (EP) را مي توان بر روي چندين Array اعمال نمود.
 2-  يک Array Policy نمي تواند مجوزهاي دسترسي را گسترش دهد بلکه فقط مي تواند دسترسي هاي افراد را محدودتر کند.
 3-  Userهايي که عضو Enterprise Admins و يا Domain Admins هستند مي توانند EP ها را تعريف کرده و يا تغيير دهند.
 4-  در صورت نياز مي توان جلوي تعريف Array Policy را گرفت تا Administratorهاي Arrayها نتوانند دسترسي ها را محدودتر نمايند.
 5-  تا جايي که ممکن است  Policyها بايد کم و ساده باشند و بدون دليل دسترسي افراد را محدود نکنند.
 6-  هيچ ترتيبي در اعمال  Policyها وجود ندارد. همواره Policyهايي که دسترسي ها را  deny  مي کنند بر روي  Policyهايي که Allow مي کنند Override مي نمايند.

وقتي يک Client درخواستي را جهت دريافت Data از اينترنت به ISA ارسال نمايد به ترتيب مراحل زير رخ مي دهند:
 1-ISA  ابتدا Enterprise Policy و  Array Policyها را چک مي کند تا ببيند درخواست انجام شده مجاز است يا خير.
 2-  اگر مجوز دسترسي وجود داشته باشد ISA در Cache خود بررسي مي کند تا اگر مورد درخواست شده در آن موجود باشد آنها را به سرعت در اختيار Client قرار دهد.
 3-  اگر مورد درخواستي در Cache وجــود نــداشته باشند ISA آنها را از ايــنــتــرنــت دريـــافـــت مي کـــنـــد و يــک   TTLا(Time to Live)   به آنها اختصاص مي دهد و پس از Cache  نمودن , آنها را در اختيار Client قرار مي دهد.
 4-  اگر باز هم قبل از آنکه موارد Cache شده Expire شوند دوباره درخواست شوند , ISA بدون مراجعه به اينترنت آنها را از طريق Cache خود در اختيار Client ها قرار مي دهد.

 CARP يا (Cache Array Routing Protocol)
با استفاده از اين پروتکل مواردي که قرار است Cache شوند بر روي ISA Serverهاي عضو Array  ذخيره مي گردند. جالب اينجاست که از ديد  Clientها فضاي تک تک  ISAهاي عضو Array  کلا" بصورت يک Cache منطقي و واحد تلقي مي شود! اين پروتکل داراي الگوريتمي مي باشد که موارد Cache شده را بر روي ISA Server ها ذخيره مي کند. هرگاه يک Client از يک ISA که داخل Array باشد چيزي را درخواست کند آن ISA Server با استفاده از پروتکل CARP محل دقيق آنرا بر روي ISA Server هاي ديگر تشخيص داده و پس از دريافت آن موارد آنها را در اختيار Client مربوطه قرار مي دهد. در گذشته از پروتکل ICP (Internet Cache Protocol) بجاي CARP استفاده مي شد. درICP  هرگاه درخواستي از Proxy Server  مي شد ابتدا آن سرور مورد جستجو قرار مي گرفت و درصورت پيدا نشدن مورد درخواست شده از Cache Serverهاي ديگر وجود و يا عدم وجود آن مورد را بررسي قرار مي داد.

مزاياي CARP به ICP
 1-  سرعت در اختيار قرار دادن موارد درخواست شده در CARP بيشتر است. چون در CARP دقيقا" محل URL مورد تقاضا مشخص بوده و ديگر نيازي به جستجو نيست.
 2-  ترافيک ايجاد شونده توسط پروتکل CARP در شبکه LAN بسيار کمتر است. چون جهت يافتن موارد Cache شده در نيازي به Search نيست.

نکته: با استفاده از Chains که ترکيبي از دو يا چند Array مي باشد مي توانيم يک Hierarchical Caching  بوجود بياوريم.

Negative Caching
وقتي زمانTTL  (زمان حيات)  يک Object در Cache به پايان برسد آن مورد Expire مي شود. اما اگر ISA از نظر فضاي فيزيکي دچار محدوديت نشده باشد موارد Expire شده را پاک نمي کند. به اين ترتيب هرگاه يک کاربر درخواستي انجام دهد و اين درخواست از جمله همان مواردي باشد که Cache گرديده و Expire شده اند, ISA  ابتدا سعي مي کند با مراجعه به اينترنت آنها را دوباره Cache کرده و Update نمايد. اما اگر به هردليلي امکان برقراري ارتباط با اينترنت و يا Server مربوط به Object درخواستي فراهم نشود با توجه به تنظيماتي که در قسمت Advanced واقع در Cache Configuration Properties انجام داده ايم ISA مي تواند از همان موارد Expire شده در Cache در اختيار Client قرار دهد.
Active Caching
يکي از قابليتهاي جالب ISA است. با فعال شدن Active Caching بطور هوشمندانه سايتهايي که مراجعه کننده و متقاضي زيادي دارند قبل از اينکه TTL آنها به پايان برسد و Expire شوند دوباره Cache مي شوند تا دسترسي کاربران به آنها سريعتر باشد.
Scheduled Content Download
با استفاده از اين قابليت مي توانيم از ISA بخواهيم تا صفحات و سايتهايي را که مراجعه کنندگان زيادي دارند در ساعات و تاريخهاي مشخصي Download نموده و Cache نمايد تا در هنگام نياز به سرعت در اختيار کاربران قرار گيرد.
توجه: بهتر است زماني را براي اجراي اين Jobها انتخاب کنيم که در در آن ساعات ترافيک شبکه پايين باشد. (مثل ساعات اوليه صبح)

همانطور که قبلا"  هم گفتيم ISA شامل يک Firewall چندلايه مي باشد که مي تواند Data ی رد و بدل شده از حالت Packet تا لايه Application را کنترل نمايد. شما با توجه به سياستهاي حفاظتي خود مي توانيد از قابليتهايي مثل Access Policy , IP Packet Filtering , Intrusion Detection , Application Filters , LAT , LDT  و ...  استفاده کنيد.

Application Filters
ISA  مي تواند با تمام برنامه هاي سازگار با Winsock کار کند. بدين معنا که با استفاده از Firewall  مي توانيم تبادل Data بين دو کامپيوتر مختلف را که در دوطرف ISA قرار داشته و از يک Winsock استفاده مي نمايند , امکانپذير ساخته و کنترل نماييم.

LDT يا Local Domain Table
در اين قسمت مي توانيم نام Domain هايي را که در شبکه داخلي ما قرار دارند وارد نموده و با اين کار Domainهاي Local را به ISA معرفي کنيم. هرگاه يک Client بخواهد نام يک Client ديگر را به IPآن Resolve کند پس از آنکه ISA, DNS Query آن Client را دريافت کرد با بررسي LDT تشخيص مي‌دهد که آن درخواست را بايد به يک DNS داخلي و يا يک DNS موجود در Internet ارجاع دهد. LDT را مي توانيم در قسمت Network Configuration تنظيم کنيم.

نکته: هنگام اضافه کردن يک مورد جديد به LDT اگر قصد اضافه کردن تمام کامپيوترهاي عضو يک Domain را داشته باشيم مي توانيم از فرمت domainname.* استفاده کنيم.

System Hardening
با استفاده از اين قابليت مي توانيم سرويسهايي را که يک ISA در اختيار ديگران قرار مي دهد مشخص و معلوم نماييم تا Security سيستم افزايش يابد. تنظيم اين قابليت در سه حالت است:
 1) Secure:  در اين حالت علاوه بر آنکه ISA سرويسهاي Firewall و Caching را ارائه مي کند, مي تواند سرويسهاي مربوط به برنامه هاي ديگر را نيز ارائه کند.
 2) Limited Services:  دراين حالت ISA فقط به عنوان Firewall و Caching ايفاي نقش مي کند.
 3) Dedicated:  در اين حالت فقط Firewall فعال مي باشد.

براي انجام System Hardening بايد IP Packet Filter را در قسمت Access Policy ها انتخاب کرده و در پنجره سمت راست Secure your ISA Server , Computer را انتخاب مي کنيم. از اين روش زماني استفاده مي شود که نمايش Consol در حالت View/Taskpad باشد. راه ديگر انجام اين کار کليک راست بر روي کامپيوتر مربوطه در قسمت Computers و انتخاب Secure مي باشد.

ISA
ISA Authentication
قبل از آنکه يک Client بتواند از ISA درخواستي کند بايد Authenticate شود.
در ISA روشهاي زير براي Authenticate کردن وجود دارد:
 1) Basic:  در اين روش Username و Password بصورت Clear text ارسال مي گردد.
 2) Digested:  در اين روش يکسري Data به Username و Password اضافه مي گردد تا تشخيص آن براحتي انجام نپذيرد. اگرچه در اين روش Password ها Encrypt نمي شوند ولي داراي Security بيشتري نسبت به روش قبل است.
 3) Windows Integrated:  در اين روش از Kerberos V.5 استفاده مي شود.

علاوه بر روشهاي فوق ISA داراي قابليت Pass through Authentication  نيز مي باشد. با استفاده از اين قابليت يک Client داخل شبکه مي تواند بر روي يک WebServer در اينترنت Authenticate شود. اين قابليت Kerberos را پشتيباني نمي کند. يکي ديگر از مزاياي اين قابليت اين است که اگر يک Client از طريق يک Downstream موجود در يک Chain بخواهد به اينترنت متصل شود کافيست که فقط بر روي همان Downstream شناسايي گردد. شناسايي شدن آن با استفاده از اين قابليت به Upstream Array موجود در Chain نيز ارسال مي شود.

Application Filters
در قسمت Extensions واقع در يک Array با انتخاب Application Filter مي توانيم از Filterهايي که قبلا" بر روي ISA تعريف شده اند استفاده کنيم.

ISA Array Chain
اگر شما در شبکه خود دو Array داشته باشيد مي توانيد يکي را به‌ديگري Chain کنيد. به اين ترتيب يک Array Chain بوجود مي آيد. اگر از يک Array در قسمت Properties , Network Configuration  بگيريم مي توانيم از آن بخواهيم تا جهت اتصال به اينترنت از يک Array  ديگر استفاده کند و بدين ترتيب يک Chain ايجاد کنيم. در پنجره باز شده Chain to this computer  را انتخاب کرده و در آن قسمت يکي از اعضاي Upstream Array مورد نظر را مشخص مي کنيم.

Setting Up ISA Clients
ISA به سه روش مي تواند از Clientها پشتيباني کند:
 1) Firewall Clients:  در اين حالت يک برنامه مخصوص بر روي Client ها نصب مي گردد و امکان استفاده از تمام قابليتهاي ISA Server را به آن Clientها مي دهد. اين برنامه مخصوص Winsock Compatible مي باشد و فقط مي تواند بر روي OSهاي Win9x , Me, NT4.0 و Win2k نصب گردد. اين برنامه شامل dll هايي مي باشد که درخواستهاي برنامه هاي ديگري را که بر روي Firewall Clients نصب بوده و با Winsock , Compatible مي باشند, دريافت کرده و به Redirect , ISA مي نمايد بگونه اي که آن برنامه ها متوجه دخالت ISA در اتصال به اينترنت نشوند.
 2) Client  :Secure NATهايي را که نمي توان به عنوان Firewall Client تنظيم نمود به Secure NAT Client  تبديل مي کنيم. مانند Linux , Macintash و ... .  در اين حالت تقريبا" تمام قابليتهاي Firewall وجود دارد. اما High Level Protocols و User Level Authentication  پشتيباني نمي شود.
 3) WebProxy:  هر Client که از يک Web Browser که HTTP 1.1 را Support کند استفاده نمايد مي تواند WebProxy Client شود. در اين حالت فقط مي توان از قابليت  Caching  بهره برداري نمود.

نکته:IE 3.0  و Netscape 3.0 به بعد HTTP 1.1 را Support مي کنند.

توضیحی در مورد نصب Firewall Client

بصورت Default برنامه Firewall Client در شاخه MSPClient بر روي ISA Server ها Share مي باشد. Client ها بايد به اين Folder متصل شده و آنرا Setup کنند.
نکته مهم: اين برنامه را نبايد بر روي ISA Serverها نصب کرد!
فايلهايي که پس از نصب Firewall Client در محل نصب شده اين برنامه وجود مي آيد عبارتند از:
 1) Firewall.txt:  در اين فايل عملياتي که در هنگام Setup رخ داده است به ثبت مي رسد.
 2) شاخه Setupbin:  در اين Folder فايلهاي مخصوص نصب برنامه Firewall Client کپي مي گردند که از آنها مي توانيم جهت Remove کردن برنامه استفاده کنيم.
 3) MSPLAT.txt :  در داخل اين فايل تنظيمات موجود در LAT موجود مي باشند. اين فايل هرچند وقت يکبار توسط سرويس MSPAdmin بطور خودکار Update مي شود.
 4)MSPClient.ini :  در داخل اين فايل تنظيمات مربوط به Firewall Clientها (که ميتوان از طريق کنسول ISA و در قسمت Client Configuration انجام داد) موجود مي باشد. در هنگام نصب Firewall Client اين فايل ايجاد گرديده و هر بار Client دوباره Start مي گردد اين فايل Update مي شود. ضمنا" هر 6 ساعت يکبار نيز در صورت روشن بودن Client و اتصال آن به شبکه عمل Updating انجام مي گيرد.
 5) Chkwsp32:  اين فايل يک Utility تحت Dos جهت بررسي وضعيت Winsock Application هاي موجود بر روي Firewall Client مي باشد.

نکته : براي آنکه هرکدام از Clientهاي ISA Server بتوانند با استفاده از Web Server خود از طريق ISA به اينترنت متصل شوند بايد در Browser آنها تنظيماتي انجام گيرد که در Firewall Clientها نيازي به تنظيم اين پارامتر بصورت Manually وجود ندارد. زيرا مي توانيم اين تنظيمات را درقسمت Client Configuration از طريق کنسول ISA انجام دهيم و در نتيجه با تغييري که در فايل MSPClient.ini ايجاد مي گردد Clientها از اين تنظيم با خبر مي شوند.

Secure NAT Client:  براي پياده سازي آن فقط کافيست که IP يک ISA Server را براي اين Clientها به عنوان Default Gateway تعريف نماييم.

Client Web Proxy:  براي پياده سازي آن کافيست که در Web Browser اين  Clientها آدرس ISA را به عنوان Proxy تعريف نماييم.

نكاتي كه بايد بدانيم

پياده سازي Automatic Discovery
يکي از دغدغه هاي مديران شبکه هايي که از روش Client Web Proxy استفاده مي کنند اين است که همواره بايد به کاربران ناوارد خود يادآوري کنند که در Browserهاي خود بايد تنظيمات Proxy را Set کنند. در اينجا يک روش ابتکاري را براي حل اين مشکل معرفي مي کنيم.
براي آنکه نيازي به تنظيم آدرس Proxy در Browser کاربران بصورت Manually نباشد مي توانيم در DHCP Server يک Option تنظيم نماييم تا Clientهايي که IP اتوماتيک دريافت مي نمايند علاوه بر IP , Subnet Mask و ... , تنظيمات لازم جهت Web Proxy را نيز دريافت کنند. براي انجام اينکار در کنسول DHCP بر روي Server خود R-Click نموده و Set Predefined Options را انتخاب مي کنيم. سپس در پنجره باز شده Add را زده و يک Option  با تنظيمات زير اضافه مي کنيم:

(Name: WPAD (Web Proxy Automatic Discovery

Data Type: String
Code: 252

پس از وارد نمودن موارد فوق Ok را مي زنيم. سپس در قسمت Value آدرس زير را وارد مي کنيم:

http://wpad/wpad.dat

البته در صورت استفاده از wpad در آدرس فوق(wpad اول) بايد از قبل در DNS Server خود يک Alias براي ISA Server تعريف نماييم در غير اينصورت بايد بجاي استفاده از wpad از نام و يا IP مربوط به ISA Server استفاده نماييم.
نکته: پس از پارامتر wpad در آدرس تعريف شده بايد Port ي را که Automatic Discovery بر روي آن Publish مي گردد مشخص نماييم. براي مثال:

http://wpad:80/wpad.dat

Publishing Automatic Discovery: براي آنکه از wpad استفاده نماييم بايد بر روي Server يا Array مورد نظرمان Publish شدن Automatic Discovery را تنظيم نماييم. براي اينکار در کنسول ISA از Server يا Array مورد نظرمان Properties گرفته و در قسمت Automatic Discovery تنظيمات لازم را انجام مي دهيم.

نکته: اگر بخواهيم در LAT يک Client ( يعني فايل MSPLat.txt) تغييراتي ايجاد نماييم اين امر عملا" امکان پذير نمي باشد. زيرا پس از مدتي دوباره بر روي آن فايل Overwrite مي شود. بنابراين راه حل اين است که تنظيمات مورد نظرمان را در فايلي با نام LocalLat.txt انجام دهيم تا تنظيمات موجود در آن در صورتيکه با تنظيمات MSPLat.txt داراي اختلاف باشد بر روي آن Overwrite نمايد.

 Packet Filtering
اگر در Enterprise Policy به Arrayها اجازه استفاده از Packet Filtering داده شود در قسمت Access Policy هر Array مي توانيم با استفاده از قسمت Packet Filteringا, Packet هاي مورد نظرمان را Filter نماييم. مزيت اين Filtering نسبت به Filteringي که به صورت Default در Win2k وجود دارد در اين است که مي تواند Portها را به صورت Dynamic باز و بسته کند. در مشخصات Packet Filtering هر Array و در Tab مربوط به Packet Filters  تنظيمات زير وجود دارد:

1) Enable filtering of IP fragments:
بعضي از Hacker ها براي آنکه  Packetهايشان شناسايي نشوند آنها را Fragment (تکه تکه) نموده و به کامپيوتر مقصدشان ارسال مي کنند.  Packetهاي ارسالي پس از عبور از Firewall  در مقصد مربوطه به يکديگر متصل شده و به کامپيوتر مقصد حمله کرده و صدمه وارد مي کنند.

با استفاده از اين Option مي توانيم از ISA بخواهيم تا جلوي اين نوع از Packetها را بگيرد.

توجه: دقت کنيد که با اين عمل جلوي تبادل Streamهاي Media نيز گرفته مي شود.

2) Enable IP Filtering Options:
در Header هر Packet مي توان Optionهايي را استفاده نمود که با استفاده از آنها دستوراتي به کامپيوتر مقصد داده مي شود. بعضي از Hacker ها از اين قابليت استفاده کرده و به کامپيوتر مقصد صدمه مي زنند. با استفاده از اين گزينه مي توانيم جلوي عبور چنين Packetهايي را بگيريم.

3) Log packets from ‘allow’ Filters:
با استفاده از اين قابليت مي توانيم از ISA بخواهيم تا از تمام  Packetهايي که اجازه عبور به آنها داده شده است Log تهيه شود و با استفاده از اين Log اشکالهايي را که احيانا" در سيستمها رخ داده است تشخيص دهد.

Static Filter  براي DMZ
براي آنکه کامپيوترهاي موجود در اينترنت بتوانند به  Serverهاي موجود در DMZ متصل شوند بايد با Static Filter هايي که تعريف مي کنيم اجازه عبور  Packetهاي مربوطه را که به Server هاي Publish شده موجود در DMZ ارسال شده اند صادر نماييم. براي اينکار بر روي IP Packet Filters کليک راست کرده و New و سپس Filter را انتخاب مي کنيم و Filter  مربوطه را تعريف مي کنيم.

Intrusion Detection

بر روي ISA قابليت جلوگيري از 6 روش Hacking بصورت Builtin پيش بيني شده است که در قسمت Intrusion Detection (براي ديدن آن از IP Packet Filtering يک Properties بگيريد.) مي توانيم آنها را فعال کنيم. 

۱) Windows out of band:
در اين روش Hacker ها به پورت 139 TCP متصل مي شوند. (اين پورت مخصوص NetBIOS Session Service  است.) سپس Hacker با ارسال Packetهاي بيخود و مبهم يک شکاف امنيتي در Windows ايجاد کرده و Networking آنرا از کار مي اندازد!

2) Land:
در اين روش Hacker ها   Packetهايي را ارسال مي کنند که در آن بگونه اي تغيير ايجاد کرده اند که کامپيوتر مقصد گمان مي کند که  Packetها را خودش ارسال مي کند! و در اين ميان Hacker روزنه اي باز کرده و از آن نفوذ مي کند.

3) Ping of Death:

در اين روش Hacker کامپيوتر مقصد را با ارسال حجم زيادي از  Packetهاي مخصوص Pingی (Echo ICMP)  تحت تأثير قرار مي دهد و از آنجا که حجم اين  Packetها زياد مي باشد، (مثلا" بجاي آنکه 64Byte  باشد، 65536Byte  است) Kernel buffer overflow شده و سيستم Crash مي کند!

4) IP half scan:
در اين روش کامپيوتر Hackکننده Ack کامپيوتر مبدأ را ارسال نمي کند. در عوض به آن پورتي از کامپيوتر مبدأ که در انتظار دريافت Ack مي باشد،  Packetي ارسال مي کند که سبب باز شدن پورتهاي ديگر جهت سوء استفاده Hacker مي شود.

5) UDP Bomb:
در اين روش Hackerها   Packetهاي UDP ارسال مي کنند که در آن  Packetها اطلاعات غير منطقي وجود دارد و اين سبب ايجاد اشکال در کامپيوتر مقصد مي شود.

6) Port Scan:

براي آنکه يک Hacker بتواند  Packetهايي را که حامل اطلاعات مخصوص Hacking مي باشد را به يک کامپيوتر ارسال نمايد بايد آنها را به Portهايي ارسال نمايد که کامپيوتر مقصد به آنها گوش مي کند. (منظور همان پورتهاي باز است.) براي اين منظور Hacker با استفاده از الگوريتمهايي پورتهاي کامپيوتر را Scan مي کند. در صورت فعال بودن اين گزينه ISA  بطور خودکار Scan شدن  Portها را تشخيص داده و جلو آنرا مي گيرد.

Creating & Managing Routing Rules

با استفاده از Rule Routing ها مي توانيم مسيرهايي را كه مي خواهيم با استفاده از آنها Client ها بتوانند به Data مورد نيازشان دست يابند، مشخص نماييم.

به صـورت Default يك Rule وجود دارد كه تمام درخـواسـتـها را به Internet ارسـال مي كـنـد ( اين Rule را نمي توان Delete كرد ). در صورت نياز مي توان Rule هاي بيشتري را نيز معرفي نمود. مثلاً مي توانيم يك Rule تعريف نماييم تا درخواست بعضي از Client ها جهت اتصال به بعضي از Site ها فقط با استفاده از Cache پاسخ داده شود و يا بعضي از درخواستها به يك ISA Upstream ارجاع شود.

ترتيب Ruleهاي اعمال شده بسيار مهم مي باشد. هرگاه درخواستي از يك ISA انجام شود، Rule ها به ترتيب الويت بررسي شده و مسير مشخص مي گردد.Rule Default همواره آخرين Rule خواهد بود. 

Bandwidth Rules & Application Filters
با استفاده از Bandwidth Rules مي توانيم ميزان پهناي باند اختصاص داده شده به User ها جهت استفاده از Protocol هاي دلخواه را در هنگام اتصال به Site هاي مورد نظرشان كنترل نماييم. حتي مي توانيم اين تنظيمات را در ساعات خاصي اعمال نماييم.
اين عمليات با استفاده از Qosر( Quality of Service ) انجام مي گيرد.
بصورت Default يك Rule وجود دارد كه نمي توان آن را Delete يا Edit نمود. در صورت نياز مي توانيمRule هاي مختلفي را تعريف كنيم كه هر كدام از آنها مي توانند شامل پارامترهاي زير باشند:

1)  Destination Set
2)  Schedule
3)  Specific users or groups
4) Protocol
5) Content Rule
6)  Priority


Bandwidth Priorities
در Elements Policy مي توانيم اولويتهايي را جهت استفاده از پهناي باند بين 1 الي 200 تعريف نموده، و از آنها درRules Bandwidth  استفاده نماييم.

الويتهاي تعيين شده با در نظرگرفتن Bandwidth Effective ميزان پهناي باند مورد نظرمان را مشخص مي كند. براي مثال اگر پهناي باند مؤثرمان 100 kbps باشد با توجه به اين مقدار و Priority هاي تنظيم شده، ميزان پهناي باند اختصاص داده شده مشخص مي گردد.

Bandwidth Effective
براي آنكه ISA بتواند با توجه به Priority هاي تعريف شده درRule Bandwidth ها پهناي باندي را كه بايد اختصاص دهد، تشخيص دهد بايد پهناي باند مؤثري را كه با استفاده از آن مي توانيم به Internet متصل شويم برايش تعريف نمائيم.

اگر Connection ما از طريق كارت شبكه است براي تعيين اين مقدار از قسمت Bandwith Rules يك Properties گرفته و ميزان پهناي باند مؤثر را تنظيم مي كنيم. اگر براي اتصال به Internet از خطوط Dial-up استفاده كنيم اين مقدار را در Properties هر Dial-up واقع در Elements Policy  مشخص مي نمائيم.

نكته: همواره پهناي باند مؤثر قدري كمتر از آن مقداري است كه بنظرمان مي رسد. بعنوان مثال اگر با يك خط Dial-up با سرعت 33.600 به Internet متصل هستيم، پهناي باند مؤثر ما تقريباً 28 الي 30 kbps مي باشد.

ISA Application & Web Filters
در قسمت Extentions مي توانيم Packet ها را با توجه به برنامه اي كه از آنها استفاده مي نمايد، فيلتر نمائيم. در قسمت Application Filters بصورت default تعدادي فيلتر تعبيه گرديده است كه با استفاده از آنها مي توانيم امكان تبادل Packet هايي را كه مخصوص RPC , FTP , HTTP  و... هستند برقرار سازيم.
در قسمت Web Filters بصـورت Default فيلتـري وجود ندارد. ولي در صورت نيـاز مي توانيم از برنامه هاي Third-Party استفاده كرده و پس از نصب آن از فيلترهـاي اضافه شده در اين قسمت استفاده كنيم.

Publishing
براي آنكه كامپيوترهاي موجود در اينترنت بتوانند به كامپيوترهاي موجود در شبكه داخلي ما منتقل گردند، از Publishing استفاده مي كنيم كه داراي مزاياي امنيتي و Rceverse Caching مي باشد. براي انجام اينكار ابتدا در Server properties يا Array در Tab مربوط به Incomming  امكان برقراري ارتباط از خارج به داخل را فراهم مي كنيم وسپس با استفاده ازقسمت Publishing ، Webserver  ياApplication Server هايمان را Publish مي كنيم.
با استفاده از قسمت Web Rublishing Rules مي توانيم Web Server هايمان را كه در شبكه داخلي قرار دارند، براي افراد و كامپيوترهاي مورد نظرمان Publish نمائيم بصورت Default  يك Rule وجود دارد كه هرگونه دسترسي را منع مي نمايد.

نكته:  ISA از  Portهاي 8443 ، 8080 جهت Outgoing Connection و از  Portهاي 443 ، 80 جهت Incoming Connection كه به ترتيب براي SSL و HTTP مي باشند، استفاده مي كند. 

 چگونگي اتصال يك كامپيوتر داخلي به Internet
زمانيكه يك Client تقاضاي اتصال به اينترنت مي نمايد، پس از آنكه درخواستش را به ISA ارسال نمود، ISA  ابتدا Access Policy ها را جهت اجازه يا رد درخواست مربوطه بررسي مي نمايد. بدين ترتيب كه تمام Rule هاي موجود در Site & Content و Protocol Rules را كه Allow مي باشند با هم جمع كرده و سپس Rule هاي Deny را بر روي آنها اعمال مي كند. سپس درخواست انجام شده را با قوانين باقيمانده مقايسه مي كند. اگر اجازه داده شده باشد، درخواست مربوطه را انجام مي دهد. براي انجام درخواست مربوطه Bandwidth Rule  و Routing Rule ها را استفاده مي نمايد، و در هنگام انجام درخواست فرستاده شده Rule هاي فوق تأثير مي گذارند.