maniei.ir

یاد من باشد فردا حتما باور این را بکنم، که دگر فرصت نیست و بدانم که اگر دیر کنم ،مهلتی نیست مرا و بدانم که شبی خواهم رفت و شبی هست، که نیست، پس از آن فردایی

maniei.ir

یاد من باشد فردا حتما باور این را بکنم، که دگر فرصت نیست و بدانم که اگر دیر کنم ،مهلتی نیست مرا و بدانم که شبی خواهم رفت و شبی هست، که نیست، پس از آن فردایی

انواع کلاینت های ISA

کلاینت هایی که از آیزا برای ارتباط با اینترنت استفاده میکنند 3 نوع هستند :

1- Web Proxy

2- SecureNAT

3- Firewall Client

 

 

کلاینت های Web Proxy :
کلاینت هایی که برای اتصال به اینترنت، سرور آیزا را به عنوان سرور Proxy استفاده مینمایند در این گروه قرار میگیرند .
یعنی در قسمت Proxy مربوط به Web Browser ها آدرس سرور آیزا و در قسمت پورت شماره 8080 (یا هر پورت دیگری را که در آیزا تعریف شده است) را قرار میدهند .
این کلاینت ها برای اتصال به اینترنت نیازی به نصب نرم افزار یا تنظیمات اضافی مثل ست کردن Gateway روی کارت شبکه ندارند .

مزایا


- اکثر Web Browser ها مطابق با HTTP 1.1 میباشند و دیگر نیاز به نصب نرم افزار برای اتصال به اینترنت ندارند و تنها کاری که کاربر می بایست انجام دهد این است که در Web Browser تنظیمات Proxy را انجام دهد.


- این کلاینت ها از authentication پشتیبانی کرده ، بنابراین میتوان محدودیت دسترسی به منابع را بر اساس نام کاربران و گروه ها تعیین نمود . یعنی در رول های آیزا میتوان کاربران و گروههای خاصی را به جای انتخاب All User ، انتخاب نمود .


- تمامی درخواست های این کلاینتها به سرویس Web Proxy Filter موجود در روی سرور آیزا تحویل داده میشود . بنا بر این میتوان ترافیک انتقالی بین این کاربران و اینترنت را بررسی و کنترل نمود .


معایب


این کلاینت ها برای برقراری ارتباط با اینترنت از فقط پروتکل های HTTP,HTTPS,FTP over HTTP استفاده مینماید .

بنابراین نرم افزارهایی که از سایر پروتکل ها استفاده میکنند قادر به برقراری ارتباط با اینترنت نمی باشند مثل Outlook که از POP3,SMTP استفاده میکند یا حتی دستور Ping که از پروتکل ICMP استفاده میکند .

بعضا مشاهده میگردد که کاربرانی که از این نوع کلاینت استفاده میکنند با اینکه اینترنت دارند و صفحات Web را باز مینمایند اما نمیتوانند هیچ آدرسی در اینترنت رو Ping کنند ، که علت این قضیه همانطور که در بالا اشاره شد ، عدم پشتیبانی کلاینت های Web Proxy از پروتکل ICMP میباشد .

کلاینت های SecureNAT :


کامپیوترهایی که نرم افزار Firewall Client بر روی آنها نصب نیست و تنظیمات Proxy هم در Browser آنها انجام نشده جزء این گروه کلاینت ها قرار میگیرند . این نوع کلاینت ها باید قادر به هدایت ترافیک به سمت سرور آیزا باشن که برای این کار باید آدرس Default Gateway کلاینت های داخلی را برابر آدرس کارت شبکه داخلی سرور آیزا قرار دهیم . (البته در شرایطی که چند سگمنت در شبکه وجود داره میبایست به جای آدرس سرور آیزا از آدرس روتر ارتباط دهنده بین سگمنتها استفاده کرد )
هنگامی که این کلاینت ها درخواستی را برای دسترسی به اینترنت ارسال میکنند درایور NAT موجود در سرور آیزا اقدام به تعویض آدرس کلاینت داخلی با آدرس کارت شبکه خارجی سرور ISA کرده و پیام را تحویل سرویس فایروال میدهد ، سرویس فایروال بعد از بررسی پیام با استفاده از Rule ها و نیز Application Filter ها اقدام به هدایت ترافیک به طرف اینترنت میکند . سرویس فایروال در این بین اقدام به کش کردن اطلاعات رسیده از اینترنت نیز خواهد کرد .


مزایا
- به دلیل عدم نیاز به نصب نرم افزار به روی این کلاینت ها استفاده از این نوع کلاینت ها آسان میباشد .

-سرویس فایروال قادر به بررسی درخواسته ای این کاربران نیز میباشد . همچنین بسیاری از امکاناتی که برای فیلتر کردن پیام ها در کاربران Firewall  مورد استفاده قرار میگیرد ، در این کلاینت ها نیز در دسترس میباشد . مثل محدود کردن دسترسی به یک وب سایت یا عدم استفاده از برخی پروتکل ها و ...


-کلاینت های SecureNAT توانایی استفاده از سرویس Web Proxy روی آیزا را دارند که باعث میگردد بتوانند از خصوصیات Caching استفاده نمایند .

-هر نوع سیسیتم عاملی که از TCP/IP پشتیبانی مینماید میتواند به عنوان کلاینت SecureNAT مورد ستفاده قرار بگیرد .

-این کلاینت ها تقریبا از تمام پروتکل ها پشتیبانی مینمایند . ضمنا با توجه به وجود دو فیلتر به نام FTP Application , H.323 میتوانند از پروتکل یا نرم افزارهایی که از اتصالات ثانویه استفاده مینماید نیز پشتیبانی نماید . (برای مثال در مورد پروتکل FTP کاربران اقدام به برقراری یک ارتباط اولیه با سرور FTP نموده و سپس سرور FTP نیز یک اتصال ثانویه را با کلاینت برقرار مینماید)


معایب
این کلاینت ها نمیتوانند دسترسی به منابع را بر حسب نام کاربران و یا گروهای کاربری انجام دهند یعنی این کلاینت ها اطلاعات امنیتی خود را نمیتوانند برای سرور آیزا ارسال نمایند . بنا بر این اگر رول های آیزا بر حسب کاربران خاصی ایجاد شده باشد (به جای All User) این کلاینت ها قادر به استفاده از این رول ها نمیباشند در نتیجه دسترسی به اینترنت برایشان مقدور نمیباشد .


لازم به ذکر میباشد اگر در یک شبکه وب سروری را با استفاده از آیزا Publish مینمایید از این کلاینت استفاده کنید یعنی آن سرور را به عنوان کلاینت SecureNAT برای آیزا قرار دهید چون احتمال بروز تداخل میان کلاینت های Firewall Client و عملیات Publishing وجود دارد .

نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد