شرح طريقة تنزيل Isa 2004

تنصيب ISA SERVER 2004 STANDARD EDITION

من الافضل تنصيب ISA Server على Windows 2000/2003 Server وان يكون السيرفر مخصص له وان لا يكون فيه ::
• Domain controller
• ********* Server
• FTP Server
• Certificate Server
• NNTP (NEWS) Server
• Exchange Server
• Sharepoint Server
يجب ان يكون في السيرفر كرتا (2 network cards ) شبكة احدهما متصل بالشبكة الداخلية والآخر بالإنترنت ,,, أو كرت شبكة و DSL cable
لن نناقش اين نضع ISA Server في الشبكة ولكن نفترض انه بالشكل التالي:

شرح طريقة تنزيل Isa 2004 Asi1

شغل السي دي او برنامج التشغيل التلقائي ISAAutorun.exe
اقرا جيدا release notes و Getting started guide

شرح طريقة تنزيل Isa 2004 Asi2

عندما تكون جاهزا اضغط علىٍ 2004 Install ISA

شرح طريقة تنزيل Isa 2004 Asi3

ختار Custom من خيارات التنصيب حتى يقوم برنامج الإعداد بعمل مجلد مشاركة ل Firewall Client

شرح طريقة تنزيل Isa 2004 Asi005

لخطوة القادمة هي اضافة عناوين الشبكة الداخلية ,, لو كانت لديك اكثر من شبكة قم باضافتها تباعا عن طريق تحديد مجال العناوين او عن طريق اختيار كرت الشبكة ولكني انصحك في حالتنا هذه ان تضيف العناوين يدويا

شرح طريقة تنزيل Isa 2004 Asi6

تابع عملية الإعداد الى نهايتها

ملاحظة:
ان كانت شبكتك تحتوي على DNS وآكتف دايريكتوري فعليك ان تستخدم الطريقة المناسبة سواء بإضافة DNS الى ISA Server وتعمل Forward للطلبات التي لا يستطيع DNS الشبكة تلبيتها الى ISA Server DNS ,,, الغالب ان الـ DNS الموجود أصلا لا يكون متصلا إتصالا مباشرا مع الإنترنت بعد تنصيب ISA .
ينصح بتركيب DNS في ISA Server وعمل Forward وإضافة اعدادات DNS مزود الخدمة في خانة Forwarders مع حذف كرت الشبكة المتصل بالإنترنت من الـ DNS ما لم تكن هناك ضرورة.
إعدادات كرت الشبكة الداخلي في ISA Server يجب ان لا تحتوي Default Gateway وإنما تحتوي DNS والذي عادة يتم تركيبه في نفس الجهاز
إعدادات اجهزة الكمبيوتر يتم توجيه الـ DNS الى عنوان كرت الشبكة الداخلية في ISA Server

,,, اذا لم يفتح معك البرنامج قم بفتحه Programs/ Microsoft ISA Server/ ISA Server Management
سيفتح معك على الشكل التالي

شرح طريقة تنزيل Isa 2004 Asi9

تابع

الآن نحتاج الى تعريف او اعادة تعريف اجزاء الشبكة الداخلية والخارجية واضافة اي نتوورك لم نقم بإضافته اثناء عملية الإعداد ,,, اضغط علامة + على اسم الكمبيوتر ثم على configuration ثم على networks
ستجد هناك :
External وهي نتوورك ترمز الى الشبكة الخارجية او الى الإنترنت ولا يمكنك التعديل فيها لأنها إفتراضية ولكن يمكنك عند اضافة شبكة جديدة ان تحدد ان كانت هذه الشبكة تنتمي للإنترنت او للشبكة الداخلية Internal
ستجد ايضا Local Host وهو الجهاز الذي عليه ISA Server ,,, اما الشبكتين الباقيتين فيتعلقان بـ VPN
قمنا اثناء الإعداد بإضافة مجال الشبكة الداخلية يمكننا اضافة اي عدد من ال Subnet ويمكننا هنا ان نضيف اي نتوورك للشبكة الخارجية External وتتم العملية عن طريق اضافة كرت الشبكة او تحديد مجال العناوين
اضغط بزر الماوس الإيمن على Networks / New /Network واختر اسما للنتوورك وليكن معبرا عن نوعها مثل INRENET_ACCESS ثم بعد ذلك ستظهر نافذة يمكنك من خلالها تحديد ما ان كانت External او Internal
اضف مجال العناوين IP range او اختار كرت الشبكة ليتم اضافة العناوين اتوماتيكيا ولكني افضل لك ان تحدد انت مجال العناوين حيث انك ستكون اكثر دقة
بعد اضافة او تعديل اي شيئ عليك بالضغط على زر Apply

شرح طريقة تنزيل Isa 2004 Asi10

إعداد الجدار الناري
عند اعداد ISA Server 2004 لأول مرة فإنه يحجب أي حركة للبيانات وذلك بسبب الـ Firewall Policy او الجدار الناري ,,, وحتى نستطيع تمرير اي Traffic لا بد ان نفتح فتحة في هذا الجدار وهذه الثغرات الجدارية التي نفتحها تعمل كالصمام ولا تنقل الحركة إلا في إتجاه واحد وتنقسم الى قسمين أساسيين :
1 –Access-Rules
ومهمتها اعطاء صلاحيات للمستخدم او الجهاز في الشبكة الداخلية للوصول للشبكات الخارجية أو الإنترنت وتسمى Access Rule وهي التي تهمنا أكثر في حالتنا
2 – Publishing
وهي على اربع انواع مهمتها إتاحة *** Server او Emil Server او بصورة عامة اتاحة اي خدمة في الشبكة الداخلية لمستخدمي الإنترنت

انشاء Firewall Plolicy

يتم اضافة الـ Firewall Policy عن بالضغط على تبويب Firewall Policy /New /Access Rule
نعطي اسما معبرا للـ Rule التي انشأناها ,وليكن NetAccess وفي النافذة التالية نحدد ما اذا كنا سنختار Allow/Deny حسب الحاجة
النافذة التي بعدها سنختار بين :
All outbound traffic/Selected protocol / All outbound accept selected
ارشح لك ان تختار الخيار الاوسط حتى تستطيع تحديد البرتوكولات والبورتات التي تريد
في حال انك اخترت Selected protocol عليك ان تضيف البرتوكولات التي تريد ان تسمح بها وكما ترى ادناه فأنني اضفت HTTP/HTTPS/MSN Messenger / Pop3 عن طريق الضغط على Add ستجد تقريبا اغلب البرتوكولات وهي مبوبة على حسب نوعها وان لم تجد البرتوكول الذي تريده بينها فيمكنك الضغط على زر New أعلى القائمة واعطاء اسم جديد للبرتكول وتحديد البورتات اللتي يعمل عليها مثلا :
Portocol:YahooMSG
TCP:5050
سيتم وضع البرتكول في User Defined ومن ثم يمكنك استخدامه كل مرة
عند الإنتها أضغط الى Next

تابع

بعد ان أضفنا الشبكة الداخلية او مصدر طلب البيانات علينا ان نضيف الـ Destination او الشبكات او العناوين الخارجية وهي عادة الإنترنت وفي العادة هنا نضيف External او اي شبكة أخرى حددناها على انها External

شرح طريقة تنزيل Isa 2004 Asi16

الخطوة التالية هي اضافة المتستخدمين الذي تشملهم السياسة

شرح طريقة تنزيل Isa 2004 Asi17

بعد الإنتهاء نضغط على Apply
يمكنك تعديل NetAccess فيما بعد بالضغط عليها في اي وقت ,,, كما يمكنك إضافة Policy جديدة في كل وقت مع مراعاة الترتيب والغرض من ال Policy

ماذا لو اردنا ان نضيف Access Rule جديدة

فمثلا للسماح بطلبات DHCP لأهميتها وخصوصا ان أغلب الشبكات تعتمد على مزود dhcp إضافة الى مزود الخدمة الذي غالبا ما يتطلب ان تكون اعادادت الإنترنت على الوضع الإفتراضي

شرح طريقة تنزيل Isa 2004 Asi18

وبنفس الطريقة يمكنك اعداد DHCP (reply)

ملاحظة :
انا هنا لا أقوم بإعدادت يمكن إتباعها كوقع الحافر على الحافر ولكني فقط اوضح نقاطا قد تفيدك في أعداد خادم إيزا.

وعليك مراعاة خانتي To/From وهي خانات Access Rule Sources /Access Rule Destinations وكما في كل الحالات السابقة تركت لك الامر حسب إعداداتك
في حال انك تستخدم dhcp مزود الخدمة لإعدادات الإنترنت External Interface يمكنك االضغط بزر الماوس الايمن على

Firewall Policy/Edit System Policy وتحت Networks
ستجد DHCP ومن هناك يمكنك تفعيل الخدمة وإضافة Network Interfaces بالإضافة الى العديد من الخدمات الهامة هناك
ارجو توضيح الإخطاء التي قد اكون ارتكبتها
نواصل في مرة قادمة مع وضع بعض المراجع التي استندنا البها

في السابق قمنا بإعداد External/Internal -Network وعملنا Firewall Policy او Access Rule للسماح بتصفح الإنترنت والمسنجر
يمكنك أيضا ان استعصى عليك تتبع الصور التي وردت أعلاه ان تقوم بهاتين العمليتين بالضغط على الأزرار كما يلي:
Networks:

تابع

ِAccess Rule

شرح طريقة تنزيل Isa 2004 Asi24

كيف تمنع الملفات التنفيذية والملفات المضغوطة وملفات الفيدو وغيرها

لعمل ذلك نقوم بعمل Access Rule جديدة ولنسمها Block_files

شرح طريقة تنزيل Isa 2004 Asi25

نتختار Deny في خانة Rule Action لاننا نريد منع اي ملفات تحمل الإمتدادات التي سنحددها فيما بعد وفي الصورة التالية اخترت Allow فقط لكي لا اعمل صورة جديدة

شرح طريقة تنزيل Isa 2004 Asi26

نقوم باختيار Selected Protocols ونضيف برتكول HTTP و FTP لأننا سنقوم بعمل تصفية للبيانات التي تحملها هذه البرتوكولات ويمكنك إضافة MMS و RTSP لأن بعض برامج الصوت تعمل عليها

شرح طريقة تنزيل Isa 2004 Asi27

تابع

نتابع الى نهاية العملية وبذلك تكون لدينا Access Rule اسمها Block_Files نفتحها بالضغط عليها مرتين بالفأرة

شرح طريقة تنزيل Isa 2004 Asi28

الصورة التالية بعد ان ضغطنا على ******* Types وقمنا بتحديد المجموعات التي نريد عمل تصفيه لها (بمكنك منع المجموعة كاملة او جزءا منها)

شرح طريقة تنزيل Isa 2004 Asi29

يمكنك تعديل محتويات كل مجموعة اخترتها بالإضافة اليها او بالحذف منها يالضغط على زر Details

شرح طريقة تنزيل Isa 2004 Asi30

ISA FIREWALL CLIENTS

شكرا لكل من reagnet - younis - Hazem_salaita وانتظر مشاركاتكم في هذا الموضوع فقد فتحت هذا الموضوع ولا اعرف من اين أبدا وكيف انتهي وارجو من كل من لديه معلومة ان يضيفها

لكي تتمكن الأجهزة داخل الشبكة من تصفح الإنترنت لا بد ان تمر عبر خادم إيزا سيرفر الذي يتحقق من صلاحية الطلبات وفق السياسات المعدة فيه ,,, لا نريد ان نرجع الى السياسات التي تكلمنا عنها سابقا ولكن نريد ان نعرف كيف يعترض ايزا هذه الطلبات,,,
هناك ثلاث انواع للـ Clients في الشبكة التي تستفيد من خدمات إيزا :

1- The SecureNAT client
2- The *** Proxy client
3- The Firewall client

لنفهم الفرق بين هذه الإنواع علينا ان نفهم ما هو LAT او Local Address Table وهو عبارة عن جدول شبيه بـ Routing Table يستخمه أيزا للعناوين الداخلية في الشبكة ,,,,

SecureNAT client

هو اي جهاز وضع له Default Gateway لتوجيه طلبات الأنترنت -routing- عبر ايزا سيرفر ولا يفرق هنا ان كان الجهاز في نفس النتوورك مع أيزا سيرفر , او كان في نتوورك آخر ومزود بـ Default Gateway لراوتر هو الآخر يوجه طلباته لإيزا سيرفر

*** Proxy client

هو اي جهاز تم إعداد مستعرضه ليستخدم إيزا سيرفر كـ بروكسي سواء عن طريق Automatic Configuration او عن طريق كتابة عنوان أيزا سيرفر

Firewall client

كل جهاز انزل فيه Firewall Client

الفيروول كلاينت هو برنامج يستخدم Winsock يستقبل الطلبات من الكمبيوتر ويرسلها بدوره الى Firewall Service في خادم إيز
الجدول التالي يوضح اهم مميزات هذه الأنواع:

شرح طريقة تنزيل Isa 2004 Asi31

قبل ان إنزال الفيروول كلاينت نريد ان نضبط بعض الإعدادات في DNS / DHCP والغرض منها استخدام خدمة Automatic Proxy Discovery التي تتوفر في المستعرضات الحديثة حتى نيسر عملية إعداد إجهزة الكلاينت ونجعلها قادرة على اكتشاف إيزا سيرفر بنفسها

يمكنك تجاوز هه الخطوة ان كنت تريد وضع الإعدادات يدويا

افتح ال dhcp وعلى القائمة اليسرى اختر Set Predefined Options
اضغط زر Add
شرح طريقة تنزيل Isa 2004 Asi32

ادخل القيم التالية:
في خانة Name ادخل wpad
في خانة Data type اختار String
في خانة Code اكتب 252
في خانة De******ion اكتب Automatic Proxy Discovery
اضغط على OK

شرح طريقة تنزيل Isa 2004 Asi33

اضغط على OK لتغادر القائمة ثم اذهب الى اعدادات Scope Option وتأكد من اختيار Wpad

شرح طريقة تنزيل Isa 2004 Asi34

» طريقة كشف البلوك في الماسنجر
» طريقة لمعرفة أستقبال أميلك من الطرف الآخر ؟