تعریف سیاست های امنیتی در فایروال ISA Server 2006

تعريف سياست در فايروال:
براي تعريف سياست هاي امنيتي در فايروال و اجاره عبور ترافيك شبكه مي‌بايست با كليك راست بر روي قسمت Firewal Policy از Console اصلي فايروال و انتخاب گزينه New… و سپس انتخاب گزينه Policy متناسب براي كنترل ترافيك انجام شود.
انواع سياست هاي امنيتي قابل تعريف در فايروال ISA عبارتند از :

• سياست Exchange Web Client Access Publishing Rule:
از اين Policy براي معرفي سرورهاي Web نرم افزار Exchange براي دسترسي كاربران به اين سرورها استفاده مي شود. هنگامي شما از اين سياست استفاده مي كنيد كه مي خواهيد سرور Exchange داخل شبكه را براي استفاده كاربران در اينترنت محيا كنيد.

• سياست Mail Server Publishing Rule:
اگر در شبكه داخلي خود يك سرور پست الكترونيكي(Mail)به غير از سرور هاي Exchange داريد و مي خواهيد آن را براي كاربران اينترنتي خود در دسترس قرار داريد از اين Policy براي انتشار ايميل سرور استفاده كنيد.

• سياست SharePoint Site Publishing Rule:
از اين سياست براي انتشار وب سايت هاي نرم افزار SharePoint در صورت وجود سرور فوق در شبكه داخلي استفاده مي شود.

• سياست Web Site Publishing Rule:
از اين Policy براي انتشار يك وب سايت داخلي موجود در شبكه با استفاده از فايروال ISA در شبكه اينترنت استفاده مي شود. معمولاً وب سايت ها براساس پروتكل http و https استفاده مي شود و درخواست ها از طريق پورت ۸۰ به سرور منتقل مي شود.تمامي اين تنظيمات و تنظيمات بيشتر براي ايجاد امنيت بيشتر وب سايت امكان پذير است.

• سياست Non-Web Server Protocol Publishing Rule:
از اين Policy براي انتشار سرورهاي غير وب سايتي از طريق فايروال ISA استفاده مي شود.براي مثال مي توان ارسال درخواست هاي سرور نام دامنه اينترنتي داخلي را (Internal DNS) را به شبكه اينترنت بطور مستقيم ، مستقل و بي واسطه انجام داد.

• سياست Access Rule:
از اين Policy براي دسترسي هاي شبكه و ترافيك هاي شبكه به اينترنت استفاده مي شود. اين Policy يكي از عمومي ترين و متداول ترين سياست هاي امنيتي قابل تعريف در فايروال ISA مي باشد.

معمولاً جريان حركت ترافيك از داخل به بيرون است و ترافيك از بيرون به داخل در شرايط خاصي اجازه عبور داده مي شود. در اكثر فايروال ها تعريف سياست امنيتي يا از بالا به پايين و از جزء به كل و يا بصورت شماره اولويت اجراء تعريف مي شود. ترافيك شبكه يا اجازه عبور دارد كه در اين حالت Allow بوده و يا اجاره عبور ندارد كه در اين حالت Deny مي باشد.

معمولاً براي تعريف يك سياست دسترسي به ترافيك شبكه مراحل زير انجام مي شود:
١) ابتدا براي Acees Rule يك نام معين مي شود. معمولاً اين نام بايد با موضوع سياست همخواني و با معني باشد تا مدير شبكه براي عيب يابي با مشكل مواجه نشود.

٢) سپس وضعيت عبور “Allow” يا عدم عبور“Deny” ترافيك مشخص مي شود. اين امكان وجود دارد تا در شرايط خاص شما به عنوان مدير شبكه بتوانيد ترافيك خاصي را Deny كنيد.اگر در شبكه اي لازم نباشد ترافيك خاصي اجازه عبور نداشته باشد ، با ايجاد Rule مورد نياز مابقي ترافيك باقيمانده شبكه بصورت اتوماتيك توسط ”Default  Rule“ فايروال ISA كه داراي اولويت آخرين ”Last“ است و دسترسي تمامي ترافيك ، كاربران ، شبكه را به شبكه داخلي بصورت كلي قطع مي كند انجام مي شود.

٣) پس از آن پروتكل هاي مورد نياز يا كل ترافيك خروجي مشخص مي شود.در اين قسمت شما مي توانيد با توجه به نوع سياست از پروتكل خاص (Selected Protocols) و يا از تمامي ترافيك شبكه (All Outbound Traffic)باشد يا از همه به جزء بعضي ها (All Outbound Traffic Except Selected) استفاده نماييد.در اين بخش ، امكان تعريف مدخل (Port) خاصي بر روي پروتكل انتخاب شده نيز ميسر مي باشد. اين امكان به مدير شبكه داده شده تا جزئيات يك ترافيك در حد Port پروتكل نيز انتخاب شود تا امنيت در شبكه جندين برابر افزايش يابد.

٤) مبداء(Source)ترافيك مشخص شود.كه معمولاً اين ترافيك شبكه هاي داخلي مي باشند.

٥) مقصد (Destination) ترافيك مشخص مي شود ، كه معمولاً مي تواند شبكه اينترنت يا ساير شبكه هاي داخلي و خارجي باشد. در صورت تعريف شبكه هاي داخلي بصورت مستقل و جداشده در فايروال ISA امكان تعريف و كنترل ترافيك نيز بين شبكه‌هاي داخلي فراهم مي‌شود كه اين امر باعث افزايش ضريب امنيت شبكه داخلي و كاربران اين شبكه ها در انتقال ترافيك مي باشد.

٦) در اين قسمت كاربراني كه اجازه دارند ترافيك به شبكه ارسال و يا ترافيك شبكه اينترنت را دريافت نمايند، مشخص مي شود.معمولاً اگر ترافيك بصورت عمومي براي كل كاربران باشد گزينه “All User” انتخاب مي‌شود و اگر قرار باشد فقط كاربران خاصي به اين Policy دسترسي داشته و از آن استفاده نمايند گزينه All Authentication User (كاربران احراز هويت شده) و يا گروه كاربراني كه قبلاً در فايروال تعريف شده انتخاب مي شوند.