نرم افزار isa

[Sohan Roh]

بخش اول:


نرم افزار ISA يا Internet Security and Acceleration توسط شرکت Microsoft براي Windows عرضه گرديده است. اين نرم افزار که در حقيقت نسخه جديدي از MS***** است داراي قابليتها و تواناييهاي جالبي است. اما متأسفانه هنوز هيچ کتابي در اين مورد به زبان فارسي نوشته نشده است. حتي اکثر کساني که از اين نرم افزار استفاده مي کنند با بسياري از قابليتهاي ISA آشنا نيستند. در سايتها و وب لاگهاي کامپيوتري هم کمتر کسي پيدا مي شود که حتي اشاره اي به ISA کرده باشد.

نرم افزار ISA (بخش1)

نرم افزار ISA داراي دو قابليت اصلي است.
1- Firewall - 2 Cache
با استفاده از قابليت Caching مي توان Request هاي Http و Ftp کاربران شبکه را Cache کرد تا در هنگام درخواستهاي تکراري با صرفه جويي در زمان و پهناي باند بتوان به آن درخواستها از طريق اطلاعات Cache Server پاسخ گفت.

Cache
بخش Caching خود، داراي قابليتهاي زير است:
1) Automatic & Scheduled Caching : در اين قابليت ISA بطور هوشمندانه در ساعات مشخصي (ساعاتي که ترافيک شبکه کم است) به سراغ سايتهايي که قبلا Cache شده اند اما زمان TTL آنها تمام شده است و Expire شده اند رفته و بطور اتوماتيک آنها را Update مي کند. ISA اين عمل را با اولويت سايتهاي محبوب (سايتهايي که بيش از ساير سايتها توسط کاربران درخواست شده اند) انجام مي دهد. نتيجه اين کار اين است که سايتهاي محبوب کاربران همواره بصورت Update شده در ISA براي تحويل به کاربران فراهم است. ضمن اينکه ما بصورت دستي نيز مي توانيم ساعاتي را براي Update کردن سايتهاي دلخواهمان تعيين کنيم.

2) Reverse Caching : با استفاده از اين قابليت ISA مي تواند اطلاعاتي را که بر روي Web Server داخلي شبکه قرار دارند را پس از آنکه يکبار در اختيار کاربران موجود در اينترنت قرار داد بر روي خود Cache نموده و در صورت تقاضاي مجدد بدون مراجعه به Web Server اطلاعات Cache شده را در اختيار کاربران Internet قرار دهد. اين خاصيت موجب کاسته شده ترافيک بر روي Web Server مي شود.

3) Transparent Cache: يکي از قابليتهاي ISA اين است که هم بصورت ***** Base و هم بصورت Transparent قابليت Cache کردن را دارد. در جلسات بعد در اين مورد بيشتر صحبت خواهيم کرد.

4) Distributed and Hierarchical Caching : مي توان بجاي يک ISA Cache از چند ISA Cache در شبکه استفاده کرد. سپس همه آنها را بصورت يک Array درآورد. در اين حالت تمام ISAها دست به دست هم داده و يک Cache يکپارچه را تشکيل مي دهند. درصورتيکه Objectهاي Cache شده از لحاظ فيزيکي بر روي اين ISA Server ها توزيع شده است و هر کدام قسمتي از اطلاعات را Cache نموده اند. ضمنا" ما مي توانيم از يک Root System نيز استفاده کنيم بگونه اي که يک يا چند ISA Server به اينترنت مستقيما" وصل بوده و Object هاي مورد نياز خود را از طريق ISA Serverهاي بالاتر تأمين نمايد. در اين حالت با استفاده از پروتکلCARP يا Cache Array Routing Protocol اطلاعات مورد نياز Clientها از روي يک Array جمع آوري شده و در اختيار آنها قرار مي گيرد.


Firewall
امروزه Firewallها در دو نوع سخت افزاري و نرم افزاري وجود دارند. مزيت عمده Firewallهاي سخت افزاري در سرعت آنهاست. از نمونه هاي سخت افزاري مي توان به Cisco PIX Firewall اشاره کرد که MicroSoft ادعا مي کند تمامي قابليتهاي يک Firewall سخت افزاري در ISA گنجانده شده است و بدليل قيمت بسيار کمتر براي استفاده اقتصادي تر است.

بطور کلي مي توان گفت قابليتهاي نرم افزار ISA در زمينه Firewall عبارتند از:

1- کنترل استفاده از اينترنت: در ISA مي توان با استفاده از Policyها ترافيک ورودي و خروجي را بر مبناي سايتها , Protocolها و محتويات Packetها Filter کرد.

2- مي توان Packetها را بر اساس لايه ها (از لايه Network تا Application) فيلتر نموده و حتي ترافيک هاي مربوط به DNS را کنترل کرد.

3- ISA با استفاده از قابليت Intrusion Detection مي تواند جلوي نفوذ هکرها را بگيرد. بر روي ISA روشهاي معروف Hack تعريف شده است و در صورتيکه فردي اقدام به استفاده از اين روشها نمايد ISA جلوي او را خواهد گرفت. به عنوان مثال ISA مي تواند Scan شدن Portها را تشخيص داده و جلوي آنرا بگيرد.

[Sohan Roh]

بخش دوم

و اما ادامه بحث:

ISA داراي قابليتهاي مختلفي است که مي توان آنها را بصورت زير خلاصه کرد:

1- قابليت اعمال Policy هاي مختلف.
2- امکان کنترل Bandwidth (Qos).

توجه: در Linux و يا Cisco Routers شما مي توانيد Bandwidth کاربران را به يک سقف معين محدود کنيد. (بعدها در اين مورد بيشتر صحبت خواهيم کرد.)

3- امکان پشتيباني از ***.
4- امکان Publish کردن Webserverهاي داخلي شبکه.

پس از Publish کردن Webserverهاي داخلي هرگاه يک کاربر از طريق Intenet بخواهد به Webserver ما دسترسي پيدا کند اطلاعات مورد نياز او از طريق ISA در اختيارش قرار مي گيرد. در نتيجه هيچکس از طريق Internet نمي تواند مستقيما" به Webserver هاي ما دسترسي داشته باشد.
5- H.323 GateKeeper: ويژه برنامه هايي است که از IP تلفني استفاده مي نمايند. (مثل NetMeeting)
6- Monitoring & Alerts.

نکته: ذکر اين نکته لازم است که هر سيستم عاملي که Http (ver 1.1) را پشتيباني کند مي تواند به عنوان يک Web*****Client عمل نمايد. اگر بخواهيم از ISA به عنوان يک Firewall استفاده نماييم بايد Clientها داراي Win95 به بعد باشند. Clientها مي توانند به عنوان SecureNAT Client عمل کرده و از خيلي از قابليتهاي ISA بهره مند شوند.

ISA Server مي تواند در دو حالت زير نصب شود:

1- Stand-alone : در اين حالت ISA Server ها مستقل از يکديگر عمل کرده و به يکديگر متصل نمي شوند.
مزاياي اين روش عبارت است از:
- هزينه کمترو تنظيمات کمتري نياز دارد.
- تمام قابليتهاي Caching و Firewall را داراست.
- از هرنوع Connection حتي Dialup مي تواند استفاده کند.
معايب اين روش هم عبارت است از:
- داراي Enterprise Policy نيست. بنابراين اگر از چند Stand-alone استفاده کنيم بايد هرکدام را جداگانه کنترل کنيم.
- Single Point of Failure: در حالت Stand alone همه چيز وابسته به ISA است و اگر ISA دچار مشکل گردد Internet قطع خواهد شد.

2- Enterprise Array: پياده سازي اين روش فقط بر روي Active Directory امکان پذير است. در اين روش يک Array مرکب از چندين ISA Server تشکيل مي شود که همگي بصورت منطقي از يک نقطه کنترل مي گردند. ضمنا" هر کدام از اعضاي Array قسمتي از اطلاعات را Cache مي کنند. در صورت نياز مي توان Array را گسترش داد. نکته قابل توجه اين است که يک Array فقط تحت يک Domain واحد قابل پياده سازي است. يعني اعضاي يک Array بايد همگي عضو يک Domain باشند.
مزاياي اين روش:
- امکان اعمال Enterprise Policy.
- امکان مديريت متمرکز
- No Single Point of Failure: در اين حالت اگر يک يا چند ISA Server دچار اختلال شود اختلالي در شبکه بوجود نمي آيد.
معايب اين روش:
- نيازمند ايجاد تغييراتي در توپولوژي شبکه است.
- از نظر هزينه نسبت به روش قبلي گرانتر است.
- در ابتداي کار نياز به مطالعه , تحقيق , برنامه ريزي و صرف وقت بيشتري براي پياده سازي دارد.

قابليت Array Chains: اين قابليت (Hierarchical Caching) اجازه مي دهد که يک ISA Server بدون آنکه مستقيما" به اينترنت متصل باشد از طريق Cache يک ISA Server ديگر به تعدادي Client سرويس دهد.

Publishing: در اين حالت تمام کساني که بخواهند از طريق اينترنت به WebServer ما دسترسي پيدا کنند مستقيما" با آن ارتباط ندارند بلکه ISA اين اطلاعات را در اختيار کاربران قرار مي دهد.

مزاياي Publish کردن:
- بالا رفتن Security شبکه درحالي که اطلاعات سرورهاي ما بدون هيچ مشکلي از طريق اينترنت قابل دريافت است.
- امکان Reverse Caching به کمک Publish کردن فراهم مي شود.
معايب Publish کردن:
- اگر طراحي را به دقت انجام ندهيم بار زيادي بر روي ISA Server اعمال مي شود.
- نياز به انجام تنظيمات دقيق داريم در نتيجه هنگام بروز مشکل براي رديابي آن به مدت زمان بيشتري نياز داريم.