أقدم لكم شرح تنصيب ISA server 2004 standard EDITION
لن نناقش اين نضع الــ ISA server في الشبكة ولكن نفترض انه بالشكل التالي:
شغل السي دي او برنامج التشغيل التلقائي ISAAutorun.exe
اقرا جيدا release notes و Getting started guide
عندما تكون جاهزا اضغط علىٍ 2004 Install ISA
اختار Custom من خيارات التنصيب حتى يقوم برنامج الإعداد بعمل مجلد مشاركة ل Firewall Client
لخطوة القادمة هي اضافة عناوين الشبكة الداخلية ,, لو كانت لديك اكثر من شبكة قم باضافتها تباعا عن طريق تحديد مجال العناوين او عن طريق اختيار كرت الشبكة ولكني انصحك في حالتنا هذه ان تضيف العناوين يدويا
ملاحظة:
ان كانت شبكتك تحتوي على DNS وآكتف دايريكتوري فعليك ان تستخدم الطريقة المناسبة سواء بإضافة DNS الى ISA server وتعمل Forward للطلبات التي لا يستطيع DNS الشبكة تلبيتها الى ISA server DNS ,,, الغالب ان الـ DNS الموجود أصلا لا يكون متصلا إتصالا مباشرا مع الإنترنت بعد تنصيب ISA .
ينصح بتركيب DNS في ISA server وعمل Forward وإضافة اعدادات DNS مزود الخدمة في خانة Forwarders مع حذف كرت الشبكة المتصل بالإنترنت من الـ DNS ما لم تكن هناك ضرورة.
إعدادات كرت الشبكة الداخلي في ISA server يجب ان لا تحتوي Default Gateway وإنما تحتوي DNS والذي عادة يتم تركيبه في نفس الجهاز
إعدادات اجهزة الكمبيوتر يتم توجيه الـ DNS الى عنوان كرت الشبكة الداخلية في ISA Server
,,, اذا لم يفتح معك البرنامج قم بفتحه Programs/ Microsoft ISA Server/ ISA server Management
سيفتح معك على الشكل التالي
الآن نحتاج الى تعريف او اعادة تعريف اجزاء الشبكة الداخلية والخارجية واضافة اي نتوورك لم نقم بإضافته اثناء عملية الإعداد ,,, اضغط علامة + على اسم الكمبيوتر ثم على configuration ثم على networks
ستجد هناك :
External وهي نتوورك ترمز الى الشبكة الخارجية او الى الإنترنت ولا يمكنك التعديل فيها لأنها إفتراضية ولكن يمكنك عند اضافة شبكة جديدة ان تحدد ان كانت هذه الشبكة تنتمي للإنترنت او للشبكة الداخلية Internal
ستجد ايضا Local Host وهو الجهاز الذي عليه ISA server ,,, اما الشبكتين الباقيتين فيتعلقان بـ VPN
قمنا اثناء الإعداد بإضافة مجال الشبكة الداخلية يمكننا اضافة اي عدد من ال Subnet ويمكننا هنا ان نضيف اي نتوورك للشبكة الخارجية External وتتم العملية عن طريق اضافة كرت الشبكة او تحديد مجال العناوين
اضغط بزر الماوس الإيمن على Networks / New /Network واختر اسما للنتوورك وليكن معبرا عن نوعها مثل INRENET_ACCESS ثم بعد ذلك ستظهر نافذة يمكنك من خلالها تحديد ما ان كانت External او Internal
اضف مجال العناوين IP range او اختار كرت الشبكة ليتم اضافة العناوين اتوماتيكيا ولكني افضل لك ان تحدد انت مجال العناوين حيث انك ستكون اكثر دقة
بعد اضافة او تعديل اي شيئ عليك بالضغط على زر Apply
إعداد الجدار الناري
عند اعداد ISA server 2004 لأول مرة فإنه يحجب أي حركة للبيانات وذلك بسبب الـ Firewall Policy او الجدار الناري ,,, وحتى نستطيع تمرير اي Traffic لا بد ان نفتح فتحة في هذا الجدار وهذه الثغرات الجدارية التي نفتحها تعمل كالصمام ولا تنقل الحركة إلا في إتجاه واحد وتنقسم الى قسمين أساسيين :
ومهمتها اعطاء صلاحيات للمستخدم او الجهاز في الشبكة الداخلية للوصول للشبكات الخارجية أو الإنترنت وتسمى Access Rule وهي التي تهمنا أكثر في حالتنا
وهي على اربع انواع مهمتها إتاحة Web server او Emil server او بصورة عامة اتاحة اي خدمة في الشبكة الداخلية لمستخدمي الإنترنت
انشاء Firewall Plolicy
يتم اضافة الـ Firewall Policy عن بالضغط على تبويب Firewall Policy /New /Access Rule
نعطي اسما معبرا للـ Rule التي انشأناها ,وليكن NetAccess وفي النافذة التالية نحدد ما اذا كنا سنختار Allow/Deny حسب الحاجة
النافذة التي بعدها سنختار بين :
All outbound traffic/Selected protocol / All outbound accept selected
ارشح لك ان تختار الخيار الاوسط حتى تستطيع تحديد البرتوكولات والبورتات التي تريد
في حال انك اخترت Selected protocol عليك ان تضيف البرتوكولات التي تريد ان تسمح بها وكما ترى ادناه فأنني اضفت HTTP/HTTPS/MSN Messenger / Pop3 عن طريق الضغط على Add ستجد تقريبا اغلب البرتوكولات وهي مبوبة على حسب نوعها وان لم تجد البرتوكول الذي تريده بينها فيمكنك الضغط على زر New أعلى القائمة واعطاء اسم جديد للبرتكول وتحديد البورتات اللتي يعمل عليها مثلا :
TCP:5050
سيتم وضع البرتكول في User Defined ومن ثم يمكنك استخدامه كل مرة
عند الإنتها أضغط الى Next
الخطوة التاليه هي تحديد أي نتورك وأي مستخدم ستنطبق عليه السياسة التي أنشأناها
اضغط على Add
ستجد العديد من تبويبات Networks بما فيها Network Set ان كنت قد انشأتها سابقا بالإضافة ال computers و Address Range و Subnet
هنا عليك الحذر فنحن نتكلم عن الطلبات التي يتم إنشاؤها إبتداءا من الشبكة الداخلية وليس عليك ان تضيف الشبكة الخارجية External هنا ,,, عليك ان تختار المناسب من هذه التبويبات اما Networks او Network Set او IP Range او غير ذلك حسب إعداداتك
عند الإنتها اضغط على Next
الخطوة التالية
1 –Access-Rules
2– Publishing Portocol:YahooMSG
بعد ان أضفنا الشبكة الداخلية او مصدر طلب البيانات علينا ان نضيف الـ Destination او الشبكات او العناوين الخارجية وهي عادة الإنترنت وفي العادة هنا نضيف External او اي شبكة أخرى حددناها على انها External
الخطوة التالية هي اضافة المتستخدمين الذي تشملهم السياسة
بعد الإنتهاء نضغط على Apply
يمكنك تعديل NetAccess فيما بعد بالضغط عليها في اي وقت ,,, كما يمكنك إضافة Policy جديدة في كل وقت مع مراعاة الترتيب والغرض من ال Policy
ماذا لو اردنا ان نضيف Access Rule جديدة
فمثلا للسماح بطلبات DHCP لأهميتها وخصوصا ان أغلب الشبكات تعتمد على مزود dhcp إضافة الى مزود الخدمة الذي غالبا ما يتطلب ان تكون اعادادت الإنترنت على الوضع الإفتراضي
وبنفس الطريقة يمكنك اعداد DHCP (reply)
ملاحظة :
انا هنا لا أقوم بإعدادت يمكن إتباعها كوقع الحافر على الحافر ولكني فقط اوضح نقاطا قد تفيدك في أعداد خادم إيزا.
وعليك مراعاة خانتي To/From وهي خانات Access Rule Sources /Access Rule Destinations وكما في كل الحالات السابقة تركت لك الامر حسب إعداداتك
في حال انك تستخدم dhcp مزود الخدمة لإعدادات الإنترنت External Interface يمكنك االضغط بزر الماوس الايمن على
ستجد DHCP ومن هناك يمكنك تفعيل الخدمة وإضافة Network Interfaces بالإضافة الى العديد من الخدمات الهامة هناك
ارجو توضيح الإخطاء التي قد اكون ارتكبتها
في السابق قمنا بإعداد External/Internal -Network وعملنا Firewall Policy او Access Rule للسماح بتصفح الإنترنت والمسنجر
يمكنك أيضا ان استعصى عليك تتبع الصور التي وردت أعلاه ان تقوم بهاتين العمليتين بالضغط على الأزرار كما يلي:
Networks:
كيف تمنع الملفات التنفيذية والملفات المضغوطة وملفات الفيدو وغيرها
لعمل ذلك نقوم بعمل Access Rule جديدة ولنسمها Block_files
نختار Deny في خانة Rule Action لاننا نريد منع اي ملفات تحمل الإمتدادات التي سنحددها فيما بعد وفي الصورة التالية اخترت Allow فقط لكي لا اعمل صورة جديدة
نقوم باختيار Selected Protocols ونضيف برتكول HTTP و FTP لأننا سنقوم بعمل تصفية للبيانات التي تحملها هذه البرتوكولات ويمكنك إضافة MMS و RTSP لأن بعض برامج الصوت تعمل عليها
نتابع الى نهاية العملية وبذلك تكون لدينا Access Rule اسمها Block_Files نفتحها بالضغط عليها مرتين بالفأرة
الصورة التالية بعد ان ضغطنا على Content Types وقمنا بتحديد المجموعات التي نريد عمل تصفيه لها (بمكنك منع المجموعة كاملة او جزءا منها)
يمكنك تعديل محتويات كل مجموعة اخترتها بالإضافة اليها او بالحذف منها يالضغط على زر
Details
ISA FIREWALL CLIENTS
شكرا لكل من reagnet - younis - Hazem_salaita وانتظر مشاركاتكم في هذا الموضوع فقد فتحت هذا الموضوع ولا اعرف من اين أبدا وكيف انتهي وارجو من كل من لديه معلومة ان يضيفها
لكي تتمكن الأجهزة داخل الشبكة من تصفح الإنترنت لا بد ان تمر عبر خادم إيزا سيرفر الذي يتحقق من صلاحية الطلبات وفق السياسات المعدة فيه ,,, لا نريد ان نرجع الى السياسات التي تكلمنا عنها سابقا ولكن نريد ان نعرف كيف يعترض ايزا هذه الطلبات,,,
هناك ثلاث انواع للـ Clients في الشبكة التي تستفيد من خدمات إيزا :
2- The Web Proxy client
3- The Firewall client
لنفهم الفرق بين هذه الإنواع علينا ان نفهم ما هو LAT او Local Address Table وهو عبارة عن جدول شبيه بـ Routing Table يستخمه أيزا للعناوين الداخلية في الشبكة ,,,,
SecureNAT client
هو اي جهاز وضع له Default Gateway لتوجيه طلبات الأنترنت -routing- عبر ايزا سيرفر ولا يفرق هنا ان كان الجهاز في نفس النتوورك مع أيزا سيرفر , او كان في نتوورك آخر ومزود بـ Default Gateway لراوتر هو الآخر يوجه طلباته لإيزا سيرفر
Web Proxy client
هو اي جهاز تم إعداد مستعرضه ليستخدم إيزا سيرفر كـ بروكسي سواء عن طريق Automatic Configuration او عن طريق كتابة عنوان أيزا سيرفر
Firewall client
كل جهاز انزل فيه Firewall Client
الفيروول كلاينت هو برنامج يستخدم Winsock يستقبل الطلبات من الكمبيوتر ويرسلها بدوره الى Firewall Service في خادم إيز
الجدول التالي يوضح اهم مميزات هذه الأنواع:
قبل ان إنزال الفيروول كلاينت نريد ان نضبط بعض الإعدادات في DNS / DHCP والغرض منها استخدام خدمة Automatic Proxy Discovery التي تتوفر في المستعرضات الحديثة حتى نيسر عملية إعداد إجهزة الكلاينت ونجعلها قادرة على اكتشاف إيزا سيرفر بنفسها
يمكنك تجاوز هه الخطوة ان كنت تريد وضع الإعدادات يدويا
افتح ال dhcp وعلى القائمة اليسرى اختر Set Predefined Options
اضغط زر Add
ادخل القيم التالية:
في خانة Name ادخل wpad
في خانة Data type اختار String
في خانة Code اكتب 252
في خانة Description اكتب Automatic Proxy Discovery
اضغط على OK
اضغط على OK لتغادر القائمة ثم اذهب الى اعدادات Scope Option وتأكد من اختيار Wpad
Firewall Policy/Edit System Policy وتحت Networks ِAccess Rule 1- The SecureNAT client
من الافضل تنصيب ISA server على Windows 2000 أو 2003 server وان يكون السيرفر مخصص له وان لا يكون فيه :-
. Domain controller
· Web Server
· FTP Server
· Certificate Server
· NNTP (NEWS) Server
· Exchange Server
· Sharepoint Server
يجب ان يكون في السيرفر كرتا (2 Network cards ) شبكة احدهما متصل بالشبكة الداخلية والآخر بالإنترنت ,,, أو كرت شبكة و DSL cable · Web Server
· FTP Server
· Certificate Server
· NNTP (NEWS) Server
· Exchange Server
· Sharepoint Server
لن نناقش اين نضع الــ ISA server في الشبكة ولكن نفترض انه بالشكل التالي:
شغل السي دي او برنامج التشغيل التلقائي ISAAutorun.exe
اقرا جيدا release notes و Getting started guide
عندما تكون جاهزا اضغط علىٍ 2004 Install ISA
اختار Custom من خيارات التنصيب حتى يقوم برنامج الإعداد بعمل مجلد مشاركة ل Firewall Client
لخطوة القادمة هي اضافة عناوين الشبكة الداخلية ,, لو كانت لديك اكثر من شبكة قم باضافتها تباعا عن طريق تحديد مجال العناوين او عن طريق اختيار كرت الشبكة ولكني انصحك في حالتنا هذه ان تضيف العناوين يدويا
ملاحظة:
ان كانت شبكتك تحتوي على DNS وآكتف دايريكتوري فعليك ان تستخدم الطريقة المناسبة سواء بإضافة DNS الى ISA server وتعمل Forward للطلبات التي لا يستطيع DNS الشبكة تلبيتها الى ISA server DNS ,,, الغالب ان الـ DNS الموجود أصلا لا يكون متصلا إتصالا مباشرا مع الإنترنت بعد تنصيب ISA .
ينصح بتركيب DNS في ISA server وعمل Forward وإضافة اعدادات DNS مزود الخدمة في خانة Forwarders مع حذف كرت الشبكة المتصل بالإنترنت من الـ DNS ما لم تكن هناك ضرورة.
إعدادات كرت الشبكة الداخلي في ISA server يجب ان لا تحتوي Default Gateway وإنما تحتوي DNS والذي عادة يتم تركيبه في نفس الجهاز
إعدادات اجهزة الكمبيوتر يتم توجيه الـ DNS الى عنوان كرت الشبكة الداخلية في ISA Server
,,, اذا لم يفتح معك البرنامج قم بفتحه Programs/ Microsoft ISA Server/ ISA server Management
سيفتح معك على الشكل التالي
الآن نحتاج الى تعريف او اعادة تعريف اجزاء الشبكة الداخلية والخارجية واضافة اي نتوورك لم نقم بإضافته اثناء عملية الإعداد ,,, اضغط علامة + على اسم الكمبيوتر ثم على configuration ثم على networks
ستجد هناك :
External وهي نتوورك ترمز الى الشبكة الخارجية او الى الإنترنت ولا يمكنك التعديل فيها لأنها إفتراضية ولكن يمكنك عند اضافة شبكة جديدة ان تحدد ان كانت هذه الشبكة تنتمي للإنترنت او للشبكة الداخلية Internal
ستجد ايضا Local Host وهو الجهاز الذي عليه ISA server ,,, اما الشبكتين الباقيتين فيتعلقان بـ VPN
قمنا اثناء الإعداد بإضافة مجال الشبكة الداخلية يمكننا اضافة اي عدد من ال Subnet ويمكننا هنا ان نضيف اي نتوورك للشبكة الخارجية External وتتم العملية عن طريق اضافة كرت الشبكة او تحديد مجال العناوين
اضغط بزر الماوس الإيمن على Networks / New /Network واختر اسما للنتوورك وليكن معبرا عن نوعها مثل INRENET_ACCESS ثم بعد ذلك ستظهر نافذة يمكنك من خلالها تحديد ما ان كانت External او Internal
اضف مجال العناوين IP range او اختار كرت الشبكة ليتم اضافة العناوين اتوماتيكيا ولكني افضل لك ان تحدد انت مجال العناوين حيث انك ستكون اكثر دقة
بعد اضافة او تعديل اي شيئ عليك بالضغط على زر Apply
إعداد الجدار الناري
عند اعداد ISA server 2004 لأول مرة فإنه يحجب أي حركة للبيانات وذلك بسبب الـ Firewall Policy او الجدار الناري ,,, وحتى نستطيع تمرير اي Traffic لا بد ان نفتح فتحة في هذا الجدار وهذه الثغرات الجدارية التي نفتحها تعمل كالصمام ولا تنقل الحركة إلا في إتجاه واحد وتنقسم الى قسمين أساسيين :
ومهمتها اعطاء صلاحيات للمستخدم او الجهاز في الشبكة الداخلية للوصول للشبكات الخارجية أو الإنترنت وتسمى Access Rule وهي التي تهمنا أكثر في حالتنا
وهي على اربع انواع مهمتها إتاحة Web server او Emil server او بصورة عامة اتاحة اي خدمة في الشبكة الداخلية لمستخدمي الإنترنت
انشاء Firewall Plolicy
يتم اضافة الـ Firewall Policy عن بالضغط على تبويب Firewall Policy /New /Access Rule
نعطي اسما معبرا للـ Rule التي انشأناها ,وليكن NetAccess وفي النافذة التالية نحدد ما اذا كنا سنختار Allow/Deny حسب الحاجة
النافذة التي بعدها سنختار بين :
All outbound traffic/Selected protocol / All outbound accept selected
ارشح لك ان تختار الخيار الاوسط حتى تستطيع تحديد البرتوكولات والبورتات التي تريد
في حال انك اخترت Selected protocol عليك ان تضيف البرتوكولات التي تريد ان تسمح بها وكما ترى ادناه فأنني اضفت HTTP/HTTPS/MSN Messenger / Pop3 عن طريق الضغط على Add ستجد تقريبا اغلب البرتوكولات وهي مبوبة على حسب نوعها وان لم تجد البرتوكول الذي تريده بينها فيمكنك الضغط على زر New أعلى القائمة واعطاء اسم جديد للبرتكول وتحديد البورتات اللتي يعمل عليها مثلا :
TCP:5050
سيتم وضع البرتكول في User Defined ومن ثم يمكنك استخدامه كل مرة
عند الإنتها أضغط الى Next
الخطوة التاليه هي تحديد أي نتورك وأي مستخدم ستنطبق عليه السياسة التي أنشأناها
اضغط على Add
ستجد العديد من تبويبات Networks بما فيها Network Set ان كنت قد انشأتها سابقا بالإضافة ال computers و Address Range و Subnet
هنا عليك الحذر فنحن نتكلم عن الطلبات التي يتم إنشاؤها إبتداءا من الشبكة الداخلية وليس عليك ان تضيف الشبكة الخارجية External هنا ,,, عليك ان تختار المناسب من هذه التبويبات اما Networks او Network Set او IP Range او غير ذلك حسب إعداداتك
عند الإنتها اضغط على Next
الخطوة التالية
1 –Access-Rules
2– Publishing Portocol:YahooMSG
بعد ان أضفنا الشبكة الداخلية او مصدر طلب البيانات علينا ان نضيف الـ Destination او الشبكات او العناوين الخارجية وهي عادة الإنترنت وفي العادة هنا نضيف External او اي شبكة أخرى حددناها على انها External
الخطوة التالية هي اضافة المتستخدمين الذي تشملهم السياسة
بعد الإنتهاء نضغط على Apply
يمكنك تعديل NetAccess فيما بعد بالضغط عليها في اي وقت ,,, كما يمكنك إضافة Policy جديدة في كل وقت مع مراعاة الترتيب والغرض من ال Policy
ماذا لو اردنا ان نضيف Access Rule جديدة
فمثلا للسماح بطلبات DHCP لأهميتها وخصوصا ان أغلب الشبكات تعتمد على مزود dhcp إضافة الى مزود الخدمة الذي غالبا ما يتطلب ان تكون اعادادت الإنترنت على الوضع الإفتراضي
وبنفس الطريقة يمكنك اعداد DHCP (reply)
ملاحظة :
انا هنا لا أقوم بإعدادت يمكن إتباعها كوقع الحافر على الحافر ولكني فقط اوضح نقاطا قد تفيدك في أعداد خادم إيزا.
وعليك مراعاة خانتي To/From وهي خانات Access Rule Sources /Access Rule Destinations وكما في كل الحالات السابقة تركت لك الامر حسب إعداداتك
في حال انك تستخدم dhcp مزود الخدمة لإعدادات الإنترنت External Interface يمكنك االضغط بزر الماوس الايمن على
ستجد DHCP ومن هناك يمكنك تفعيل الخدمة وإضافة Network Interfaces بالإضافة الى العديد من الخدمات الهامة هناك
ارجو توضيح الإخطاء التي قد اكون ارتكبتها
في السابق قمنا بإعداد External/Internal -Network وعملنا Firewall Policy او Access Rule للسماح بتصفح الإنترنت والمسنجر
يمكنك أيضا ان استعصى عليك تتبع الصور التي وردت أعلاه ان تقوم بهاتين العمليتين بالضغط على الأزرار كما يلي:
Networks:
كيف تمنع الملفات التنفيذية والملفات المضغوطة وملفات الفيدو وغيرها
لعمل ذلك نقوم بعمل Access Rule جديدة ولنسمها Block_files
نختار Deny في خانة Rule Action لاننا نريد منع اي ملفات تحمل الإمتدادات التي سنحددها فيما بعد وفي الصورة التالية اخترت Allow فقط لكي لا اعمل صورة جديدة
نقوم باختيار Selected Protocols ونضيف برتكول HTTP و FTP لأننا سنقوم بعمل تصفية للبيانات التي تحملها هذه البرتوكولات ويمكنك إضافة MMS و RTSP لأن بعض برامج الصوت تعمل عليها
نتابع الى نهاية العملية وبذلك تكون لدينا Access Rule اسمها Block_Files نفتحها بالضغط عليها مرتين بالفأرة
الصورة التالية بعد ان ضغطنا على Content Types وقمنا بتحديد المجموعات التي نريد عمل تصفيه لها (بمكنك منع المجموعة كاملة او جزءا منها)
يمكنك تعديل محتويات كل مجموعة اخترتها بالإضافة اليها او بالحذف منها يالضغط على زر
Details
ISA FIREWALL CLIENTS
شكرا لكل من reagnet - younis - Hazem_salaita وانتظر مشاركاتكم في هذا الموضوع فقد فتحت هذا الموضوع ولا اعرف من اين أبدا وكيف انتهي وارجو من كل من لديه معلومة ان يضيفها
لكي تتمكن الأجهزة داخل الشبكة من تصفح الإنترنت لا بد ان تمر عبر خادم إيزا سيرفر الذي يتحقق من صلاحية الطلبات وفق السياسات المعدة فيه ,,, لا نريد ان نرجع الى السياسات التي تكلمنا عنها سابقا ولكن نريد ان نعرف كيف يعترض ايزا هذه الطلبات,,,
هناك ثلاث انواع للـ Clients في الشبكة التي تستفيد من خدمات إيزا :
2- The Web Proxy client
3- The Firewall client
لنفهم الفرق بين هذه الإنواع علينا ان نفهم ما هو LAT او Local Address Table وهو عبارة عن جدول شبيه بـ Routing Table يستخمه أيزا للعناوين الداخلية في الشبكة ,,,,
SecureNAT client
هو اي جهاز وضع له Default Gateway لتوجيه طلبات الأنترنت -routing- عبر ايزا سيرفر ولا يفرق هنا ان كان الجهاز في نفس النتوورك مع أيزا سيرفر , او كان في نتوورك آخر ومزود بـ Default Gateway لراوتر هو الآخر يوجه طلباته لإيزا سيرفر
Web Proxy client
هو اي جهاز تم إعداد مستعرضه ليستخدم إيزا سيرفر كـ بروكسي سواء عن طريق Automatic Configuration او عن طريق كتابة عنوان أيزا سيرفر
Firewall client
كل جهاز انزل فيه Firewall Client
الفيروول كلاينت هو برنامج يستخدم Winsock يستقبل الطلبات من الكمبيوتر ويرسلها بدوره الى Firewall Service في خادم إيز
الجدول التالي يوضح اهم مميزات هذه الأنواع:
قبل ان إنزال الفيروول كلاينت نريد ان نضبط بعض الإعدادات في DNS / DHCP والغرض منها استخدام خدمة Automatic Proxy Discovery التي تتوفر في المستعرضات الحديثة حتى نيسر عملية إعداد إجهزة الكلاينت ونجعلها قادرة على اكتشاف إيزا سيرفر بنفسها
يمكنك تجاوز هه الخطوة ان كنت تريد وضع الإعدادات يدويا
افتح ال dhcp وعلى القائمة اليسرى اختر Set Predefined Options
اضغط زر Add
ادخل القيم التالية:
في خانة Name ادخل wpad
في خانة Data type اختار String
في خانة Code اكتب 252
في خانة Description اكتب Automatic Proxy Discovery
اضغط على OK
اضغط على OK لتغادر القائمة ثم اذهب الى اعدادات Scope Option وتأكد من اختيار Wpad
Firewall Policy/Edit System Policy وتحت Networks ِAccess Rule 1- The SecureNAT client
بما
انه أكتشف ان الكثير من الرولز و الغالبية لا تعمل ان هناك امور اساسيه
يجب عملها في ايزا قبل التفكير في توزيع الانترنت وغيرها.
هنا سأقوم بتوضيح كيفية تمرير ال DHCP Requests & Reply خلال أيزا ... وأيضا تمرير DNS Protocol لأغراض ال Name Resolution ....
نبدأ مع ال DHCP:
من المعروف ان ال Client عندما يكون مهيء ليرسل طلب لل DHCP لحجز IP حتى يستطيع الاتصال مع الشبكه ... فالكلاينت يرسل ما يسمى ب DHCP Request.
في حال وجود ISA وكما يعلم الأغلبيه بأن الوضع الافتراضي هو البلوك لاي شيء في كل اتجاه, فيفشل الكلاينت في ارسال ال DHCP Request لأنها تمر على الأيزا ... يفحص الايزا ال Internal Rules لديه ... حضرتك معاك تصريح دخول !! لأ !! شرفتنا وما تورينيش وشك تاني
الان سنقوم بإنشاء رول عشان ال ISA أفندي نمر من خلاله غصب عن عينه (طبعا بعد اذنه :)
اختار Task Tab ومن ثم Create New Access Rule.
3- في Welcome Screen ضع اسم معبر عن الرول, كمثال DHCP Request Rule, واديلو Next.
4- في صفحة ال Action Page ... قم باختيار Allow واديلو Next.
5- الان ستظهر لك ال Protocols Page, من القائمة المنسدله ل This Rules Applies To اختار Selected Protocols, ثم اضغط على زر Add كما في الصوره:
واديلو Close ... واديلو Next.
10- Access Rule Destinations Window, اضغط على Add.
11- في Add Network Entities ... اختار Local Host كما في الصوره.
اديلو Close واديلو Next.
12- في ال User Set Window ... نبقى على All Users ونديلو Next ونديلو Finish:
الان ... نفس الخطوات السابقه سنقوم بها لعمل DHCP Reply ...
ما سيختلف فقط هو اختيار ال Protocol وال Source وال Destination.
سأوضح الإختلافات:
طبعا تبدأ بعمل Rule جديده وتسميها DHCP Reply Rule ...
عندما تصل الى Add Protocol ... قم بإضافة DHCP Reply هذه المره كما في الصوره:
في ال Access Rule Sources سنغير على ال Source وال Destination ...
ال Source سيكون: Local Host ...
ال Destination سيكون: Internal Network ...
هكذا نكون انتهينا من موضوع ال DHCP ...
نأتي لل DNS:
1- ال Management Console ل ISA 2004 أو 2006, نقوم بالضغط على Firewall Policy Node تحت ال Server Name (اللذي هو اسم جهاز ال ISA لديك).
اختار Task Tab ومن ثم Create New Access Rule.
3- في Welcome Screen ضع اسم معبر عن الرول, كمثال DNS Forwarder, واديلو Next.
4- في صفحة ال Action Page ... قم باختيار Allow واديلو Next.
5- الان ستظهر لك ال Protocols Page, من القائمة المنسدله ل This Rules Applies To اختار Selected Protocols, ثم اضغط على زر Add
6- في Add Protocol قم بإضافة ال DNS كما في الصورة:
9- ستظهر لك قائمة Add Network Entities .. نقوم بعمل New Computer كما في الصوره:
واديلو أوكي.
سيصبح هذا هو ال Source كما في الصور:
بهكذا نكون انتهينا من إعداد الأيزا تماما ليعمل على الشبكه الداخليه مع الكلاينتس بدون أي مشاكل.
هنا سأقوم بتوضيح كيفية تمرير ال DHCP Requests & Reply خلال أيزا ... وأيضا تمرير DNS Protocol لأغراض ال Name Resolution ....
نبدأ مع ال DHCP:
من المعروف ان ال Client عندما يكون مهيء ليرسل طلب لل DHCP لحجز IP حتى يستطيع الاتصال مع الشبكه ... فالكلاينت يرسل ما يسمى ب DHCP Request.
في حال وجود ISA وكما يعلم الأغلبيه بأن الوضع الافتراضي هو البلوك لاي شيء في كل اتجاه, فيفشل الكلاينت في ارسال ال DHCP Request لأنها تمر على الأيزا ... يفحص الايزا ال Internal Rules لديه ... حضرتك معاك تصريح دخول !! لأ !! شرفتنا وما تورينيش وشك تاني
الان سنقوم بإنشاء رول عشان ال ISA أفندي نمر من خلاله غصب عن عينه (طبعا بعد اذنه :)
اختار Task Tab ومن ثم Create New Access Rule.
3- في Welcome Screen ضع اسم معبر عن الرول, كمثال DHCP Request Rule, واديلو Next.
4- في صفحة ال Action Page ... قم باختيار Allow واديلو Next.
5- الان ستظهر لك ال Protocols Page, من القائمة المنسدله ل This Rules Applies To اختار Selected Protocols, ثم اضغط على زر Add كما في الصوره:
واديلو Close ... واديلو Next.
10- Access Rule Destinations Window, اضغط على Add.
11- في Add Network Entities ... اختار Local Host كما في الصوره.
اديلو Close واديلو Next.
12- في ال User Set Window ... نبقى على All Users ونديلو Next ونديلو Finish:
الان ... نفس الخطوات السابقه سنقوم بها لعمل DHCP Reply ...
ما سيختلف فقط هو اختيار ال Protocol وال Source وال Destination.
سأوضح الإختلافات:
طبعا تبدأ بعمل Rule جديده وتسميها DHCP Reply Rule ...
عندما تصل الى Add Protocol ... قم بإضافة DHCP Reply هذه المره كما في الصوره:
في ال Access Rule Sources سنغير على ال Source وال Destination ...
ال Source سيكون: Local Host ...
ال Destination سيكون: Internal Network ...
هكذا نكون انتهينا من موضوع ال DHCP ...
نأتي لل DNS:
1- ال Management Console ل ISA 2004 أو 2006, نقوم بالضغط على Firewall Policy Node تحت ال Server Name (اللذي هو اسم جهاز ال ISA لديك).
اختار Task Tab ومن ثم Create New Access Rule.
3- في Welcome Screen ضع اسم معبر عن الرول, كمثال DNS Forwarder, واديلو Next.
4- في صفحة ال Action Page ... قم باختيار Allow واديلو Next.
5- الان ستظهر لك ال Protocols Page, من القائمة المنسدله ل This Rules Applies To اختار Selected Protocols, ثم اضغط على زر Add
6- في Add Protocol قم بإضافة ال DNS كما في الصورة:
9- ستظهر لك قائمة Add Network Entities .. نقوم بعمل New Computer كما في الصوره:
واديلو أوكي.
سيصبح هذا هو ال Source كما في الصور:
بهكذا نكون انتهينا من إعداد الأيزا تماما ليعمل على الشبكه الداخليه مع الكلاينتس بدون أي مشاكل.
ليست هناك تعليقات:
إرسال تعليق