تبلیغات
دنیای تجارت الکترونیک - ایجاد یك كافی نت با روش dial-up ( بخش هشتم )
ایجاد یك كافی نت با روش dial-up ( بخش هشتم )

-          آشنایی با ISA Server 2004

شركت مایكروسافت نرم‌افزارهای متعددی را تحت عنوان Microsoft Server Systems در كنار سیستم‌عامل اصلی سرور خود یعنی ویندوز 2000 تا 2003 عرضه كرده كه وظیفه ارایه سرویس‌های متعددی را از انواع ارتباطات شبكه‌ای گرفته تا امنیت و غیره به عهده دارند. در این شماره قصد داریم به معرفی سرور كنترل ارتباط شبكه‌ای یعنی ISA Server بپردازیم. ‌برنامه قدرتمند ارتقاء و امنیت شبكه مایكروسافت ISA Server نام دارد. این برنامه با استفاده از سرویس‌ها، سیاست‌ها و امكاناتی كه در اختیار كاربران قرار می‌دهد قادر است به عنوان راه‌حلی در ایجاد     شبكه‌های مجازی(VPN) و یا برپا كردن فضای حایل به عنوان cache جهت دسترسی سریع‌تر به صفحات وب، مورد استفاده قرار گیرد. همچنین این برنامه قادر است با ایجاد یك دیواره آتش در لایه Application شبكه،  فعالیت سرویس‌های مختلف یك شبكه ویندوزی مثل وب سرور IIS، سرویس‌های دسترسی از راه‌دور (Routing and Remote Access) را از طریق فیلترگذاری و كنترل پورت‌ها، تحت نظر گرفته و فضای امنی را برای آن‌ها فراهم كند. این برنامه با استفاده از نظارت دایمی خود بر پروتكل امنیتی SSL و فیلتر كردن درخواست‌های Http كه به سرور می‌رسد، وب سرور و ایمیل سرور را از خطر حمله هكرها دور نگه می‌دارد. به همین ترتیب، كلیه ارتباطات شبكه‌ای كه با یك سرور برقرار می‌شود، از ارتباط Dial up ساده گرفته تا ارتباط با سرورExchange و یا IIS، باید از سد محكم ISA عبور كنند تا درخواست‌ها و ارتباطات مشكوك با سرور مسدود گردد.

سایت مایكروسافت برای بررسی اهمیت وجود ISA در یك شبكه، كلیه راه‌حل‌های این برنامه را كه با استفاده از سرویس‌ها و امكانات ویژه موجود در آن، ارایه گشته است به هفت سناریو یا وضعیت مختلف تقسیم كرده كه به آن‌ها می‌پردازیم.

● سناریوی اول‌

از ISA برای تأمین امنیت ایمیل‌ها استفاده می‌شود. ISA Server با استفاده از دو روش استاندارد یعنی SSL decryption وهمچنین Http Filtering اولاً از ورود كدهای مشهور به malicious كه عمدتاً بدنه انواع كرم‌ها و ویروس‌ها رامی‌سازند جلوگیری به عمل می‌آورد و ثانیاً محتوای درخواست‌های Http را برای بررسی مجوز دسترسی آن‌ها و صلاحیت دریافت و ارسال اطلاعات مورد كنكاش قرار می‌دهد. در این حالت، ISA همچنین از هر نوع اتصال افراد با اسم كاربری anonymous كه می‌تواند منشأ شكستن رمزعبورهای مجاز یك سرویس‌دهنده ایمیل شود، جلوگیری می‌كند. به هر حال با وجود این كه یك ایمیل سرور مثل Exchange راه‌حل‌های امنیتی مخصوص به خود را دارد، اما وجود ISA به‌عنوان دیواره آتش یك نقطه قوت برای شبكه به حساب می‌آید. ضمن این‌كه در نسخه‌های جدید ISA امكان ایجاد زنجیره‌ای از سرورهای ISA كه بتوانند با یك سرورExchange در تماس بوده و درخواست‌های كاربران را با سرعت چند برابر مورد بررسی قرار دهد باعث شده تا اكنون به ISA عنوان فایروالی كه با قدرت انجام توازن بار ترافیكی، سرعت بیشتری را در اختیار كاربران قرار می‌دهد در نظر گرفته شود.

 

● سناریوی دوم‌

ISA می‌تواند در تأمین امنیت و دسترسی از راه دور نیز مورد استفاده قرار گیرد. در این سناریو، یك شركت برخی از اطلاعات سازمان خود را برای استفاده عموم در معرض دید و یا استفاده كاربران خارج از سازمان قرار می‌دهد. به عنوان مثال بسیاری از شركت‌ها مسایل تبلیغاتی و گاهی اوقات سیستم سفارش‌دهی خود را در قالب اینترنت و یا اینترانت برای كاربران باز می‌گذارند تا آن‌ها بتوانند از این طریق با شركت ارتباط برقرار نمایند. در این صورتISA   می‌تواند به صورت واسط بین كاربران و سرویس‌های ارایه شده توسط وب سرور یا بانك‌اطلاعاتیSQLServer   كه مشغول ارایه سرویس به محیط خارج است، قرار گرفته و بدین‌وسیله امنیت دسترسی كاربران به سرویس‌های مجاز و حفاظت از منابع محرمانه موجود در سیستم‌ را فراهم آورد.                                               

 

● سناریوی سوم‌

در این سناریو،  دو شبكه LAN مجزا متعلق به دو شركت مختلف كه در برخی موارد همكاری اطلاعاتی دارند، توسط فضای اینترنت و از طریق سرورها و دروازه‌های VPN با یكدیگر در ارتباط هستند. به عنوان مثال یكی از شركای یك شركت تجاری، محصولات آن شركت را به فروش رسانده و درصدی از سود آن را از آن خود می‌كند. در این روش به صورت مداوم و یا در ساعات معینی از شبانه‌روز، امكان ردوبدل اطلاعات بین دو شركت مذكور وجود دارد. در این زمان ISA می‌تواند با استفاده از روش Encryption از به سرقت رفتن اطلاعات ارسالی و دریافتی در حین مبادله جلوگیری كند، در حالی كه هیچكدام از دو طرف احساس نمی‌كنند كه فضای حایلی در این VPN مشغول كنترل ارتباط بین آن‌هاست. به علاوه این‌كه با وجود ISA، كاربران برای اتصال به سایت یكدیگر باید از دو مرحله Authentication (احراز هویت) یكی برای سرور یا دروازه VPN طرف مقابل و دیگری برای ISA عبور كنند كه این حالت یكی از بهترین شیوه‌های برقراری امنیت در شبكه‌های VPN است. در این سناریو، وجود یك ISA Server تنها در طرف سایت اصلی یك شركت می‌تواند، مدیریت برقراری امنیت در كل فضای VPN هر دو طرف را به‌عهده گیرد و با استفاده از دیواره آتش لایه Application از عبور كدهای مشكوك جلوگیری كند.

● سناریوی چهارم‌

در سناریوی چهارم، یك شركت قصد دارد به عنوان مثال تعدادی از كارمندان خود را قادر به كار كردن با سیستم‌های درونی شركت از طریق یك ارتباط VPN اختصاصی بنماید. در این حالت برای دسترسی این قبیل كارمندان به سرور شركت و عدم دسترسی به سرورهای دیگر یا جلوگیری از ارسال ویروس و چیزهای مشابه آن، یك سد محكم به نام ISA ترافیك اطلاعات ارسالی و یا درخواستی را بررسی نموده و درصورت عدم وجود مجوز دسترسی یا ارسال اطلاعات مخرب آن ارتباط را مسدود می‌كند.

● سناریوی پنجم‌

سناریوی بعدی زمانی مطرح می‌شود كه یك شركت قصد دارد با برپایی یك سیستم مركزی در محل اصلی شركت، سایر شعبات خود را تحت پوشش یك سیستم (مثلاً یك بانك‌اطلاعاتی) متمركز درآورد. از این رو باز هم در اینجا مسأله اتصال شعبات شركت از طریق VPN مطرح می‌شود. در این صورت ISA با قرار داشتن در سمت هر شعبه و همچنین دفتر مركزی به صورت آرایه‌ای از دیواره‌های آتش (Array of Firewall) می‌تواند نقل و انتقال اطلاعات از سوی شعبات به دفتر مركزی شركت و بالعكس را زیرنظر داشته باشد. این مسأله باعث می‌شود تا هر كدام از شعبات و دفتر مركزی به منابع محدودی از یكدیگر دسترسی داشته باشند. در ضمن با وجود امكان مدیریت و پیكربندی متمركز كلیه سرورهای ISA نیازی به مسؤولین امنیتی برای هر شعبه نیست و تنها یك مدیر امنیت، از طریق ISA سرور موجود در دفتر مركزی می‌تواند كلیه ISA سرورهای شعبات را تنظیم و پیكربندی كند.

● سناریوی ششم‌

كنترل دسترسی كاربران داخل دفتر مركزی به سایت‌های اینترنتی، سناریوی ششم كاربرد ISA محسوب می‌شود. در این جا ISA می‌تواند به كمك مدیر سیستم آمده، سایت‌ها، لینك‌های URL و یا انواع فایل‌هایی كه از نظر وی نامناسب تشخیص داده شده، را مسدود كند. در همین هنگام فایروال نیز كار خود را انجام می‌دهد و با استفاده از سازگاری مناسبی كه بین ISA و Active Directory ویندوز وجود دارد، اولاً از دسترسی افراد غیرمجاز یا افراد مجاز در زمان‌های غیرمجاز به اینترنت جلوگیری شده و ثانیاً می‌توان از اجراشدن برنامه‌هایی كه پورت‌های خاصی از سرور را مثلاً جهت استفاده برنامه‌های Instant Messaging مورد استفاده قرار می‌دهند، جلوگیری نمود تا بدین‌وسیله ریسك ورود انواع فایل‌های آلوده به ویروس  كاهش یابد.

● سناریوی هفتم‌

در تمام سناریوهای قبلی كه ISA در برقراری ارتباط مناسب و امن بین سایت‌های اینترنت، كاربران یا شعبات شركت نقش مهمی را ایفا می‌كرد، یك سناریوی دیگر نیز نهفته است و آن افزایش سرعت انتقال اطلاعات بین تمام موارد فوق از سایت‌های اینترنتی گرفته تا اطلاعات سازمانی است. سیستم cache Array موجود در این برنامه باعث می‌شود تا هر كدام از كاربران چه در محل اصلی شركت و چه از محل شعبات بتوانند برای دیدن اطلاعات یا سایت‌های مشابه راه میان‌بر را رفته و آن را از هر كدام از ISAهای موجود در شبكه VPN یا LAN دریافت كنند و بدین‌وسیله حجم انتقال اطلاعات با محیط خارج را تا حدود زیادی در سیستم متوازن نمایند.