ISA server: cache or Firewall

[sota]

کسی تا به حال ISA رو در مود فایروال تنها نصب کرده؟

من خیلی تعریف قدرت اون رو شنیدم ، اما این موضوع که کاربرها در واقع پشت یک پراکسی قرار میگیرند اصلا جالب نیست، همیشه یک برنامه ای هست که ممکنه کار نکنه و یه پورت خاصی رو استفاده کنه! کسی هستش که پیشنهاد کنه به عنوان فقط فایروال از اون استفاده کنم یا حتی این کار رو کرده باشه؟
البته لازمه بگم که میخوام تمام ترافیک رو از اون رد کنم و تمام کاربرها رو پشت اون بذارم.

ISA در مود cache (یا Integrated) :

در ضمن میشه از اساتید فن cache بپرسم چرا اینقدر از ISA بد میگن ، من نصبش کردم و hit ratio اون دور و بر 40-50% هستش ، خوب اینکه خیلی خوبه ! یا اینکه نه اون عددها الکی هستن؟

 

[aryagohar]

با مسنجر ياهو مشكل داره و باهاش حال نمي كنه.
همچنين پال تاك. پورت هاي اونم مي بنده. اگه مي خواي براي فاير وال چيزي داشته باشي من Black Ice رو پيشنهاد مي كنم.

 

[sota]

برای محافظت یک شبکه فکر نکنم BlackIce خیلی مناسب باشه ، ممکنه روی یه PC تنها خیلی خوب باشه اما من دنبال چیزی هستم که بتونه تمام ترافیک شبکه رو عبور بده و پکت های ناخواسته رو فقط بندازه، نه اینکه همه چیز بسته باشه الا اونهایی که باز میکنی! حتی نمیخوام NAT کنه(حتی المکان) !
ISA رو باهاش کار کردم به همین خاطره که مطرحش کردم ، نکته اینجور فایروالها اینه : سایتهایی که شما رو trace میکنن آی پی اون رو به دست میارن به عنوان مثال برید سایت www.serials.ws و یک سریال رو باز کنید، اون بالا آی پی شما رو در میاره ( که البته آی پی فایرواله ممکنه لو بره مثلا آی پی فایروال مخابرات اینطوری راحت درمیاد! ) خلاصه دنبال شفاف ترین فایروال ممکن هستم یعنی اصلا دیده نشه و حتی الامکان نرم افزاری باشه ، سخت افزاریش رو سراغ دارم!

البته سوال دوم هنوز به جای خودش باقیه.

 

[aryagohar]

من كه نفهميدم. مثل اينكه شما هم خدا مي خواي هم خرما.
من از BlackIce هيچ بدي نديدم. مثل توپ 3-4 ماه هست كه ترافيكم رو فيلتر مي كنه و الحمدلله تا حالا هيچ كدوم از اين ورم ها هم ازش رد نشده. خيلي هم ساده است.
در مورد نشون دادن IP اون بحثش جداست. ولي اگه بخواي كامپيوترت بصورت silent تو شبكه كار كنه يعني ICMP Packets رو جواب نده كه كارت خيلي راحتره اصلا نيازي به ISA نداري.
Transparent Firewall نداريم. بايد NAT بشه. يا بصورت پراكسي كار كنه. در ضمن راحت بگو از ماهواره استفاده مي كني مي خواي كسي IP شما رو نبينه. اين كه خجالت نداره.

 

[sota]

آقا ببخشید چرا میزنی حالا ؟
اتفاقا اصلا دیش برام مهم نیست! اینکار رو با دستگه دیگه ای انجام میدم یعنی سرویس پراکسی بیس و cache رو از ISA استفاده میکنم ( که نمیدونم چقدر کار درستیه) خجالت هم نداره! :blink:

بستن پینگ هم مهم نیست سیسکو که میتونه برای چی برم سراغ نرم افزار؟ GFI Download security هم فکر کنم جلوی ورم و اینها رو بگیره! من میخوام پورت اسکن و خلاصه انواع حملاتی که ممکنه رو شبکه ام حرکت کنه رو Drop کنم ، منظورم از شفافیت هم عبور همه چیه غیر از اونهایی که من میگم!

این واقعا خواسته زیادیه؟

 

[aryagohar]

شما Anti sniffer مي خواي . اگه شبكه شما خيلي بزرگ نيست نرم افزار Kerio winroute firewall همه اينها رو تو خودش داره با يه اينترفيس ساده.

 

[sota]

تقریبا با اون آشنام ، چیز جالبی باید باشه این آنتی اسنیفرش چون متوجه اون نشدم اما حمله های اکتیو (اسنیفر رو پسیو در نظر گرفتم) رو خوب جواب میده؟
منظورتون از شبکه نه خیلی بزرگ چند تا Pc یا چقدر پهنای باند هستش؟
آقا خیلی لطف میکنید وقت میگذاریدها ببخشید !

 

[koorosh]

از Kerio با 2 MB پهنای باند و 8 تا E1 استفاده کردم، بخوبی کار ميکنه و مشکلی هم نداره.

 

[aryagohar]

[محمد جون از كدوم Version اين نرم افزار استفاده كردي

 

[sota]

ممنون از راهنماییهای همه دوستان در مورد فایروال، اگر ممکنه در مورد سوال دوم هم میشه راهنمایی کنید، اگر درصد hit rate روی ISA Cache حول و حوش 40 -50 باشه خوب نیست؟ ، چون توی یه تاپیک دیگه همه ISA رو کوبیدند و رفتن سراغ Squid و cachexpress ، چرا همگی اساتید اون رو ترجیح میدن؟
بازم ممنون
مخلص همه هم هستیم

 

[alimonz]

سلام
من خودم حدوده سه ماه ISA داشتم . بدك نيست ولي همونطور كه اساتيد ميگن واقعا با yahoo و msn مشكل داره.
الان هم كه cachexpress دارم به نظر من كه سرعت cachexpress بيشتره.

راستي اينم ميخواستم بگم كه اي Kerio winroute firewall واقعا چيز توپيه من كه ازش راضيم.

 

[koorosh]

رضا جان من از نسخه 5.1.0 استفاده ميکنم.
و اما ISA
به قول دوستان مثل فيل ميمونه! شديدا خفن انگيزناک سنگين مينوازد!!!
Troubleshooting اش هم کار حضرت فيله! (ببخشيد ولی من تا بحال حتی يک نفر هم نديدم که بتونه راحت باهاش بازی کنه و از همه قابليتهاش استفاده کنه!)
برای همين من تا وقتی نياز پيدا نکنم سراغش نميرم.
شما اگه ميخوای CacheServer بذاری، بهتره از Squid يا CacheXpress استفاده کنی.
اگه خودت ميتونی Squid نصب کنی و Config کنی که فبها، در غير اينصورت بايد بدی يکی برات اين کار رو بکنه. کسانی که شبکه های کوچک دارن نميتونن برای اين چيزا هزينه کنن. (هزينه نصب و نگهداری)
گزينه بعدی CacheXpress است که همون Squid است که مثل هلو شده! نصب و تنظيم و مديريت و . . . اش خيلی راحته. با چند تا کليک نصب ميشه و تنظيماتش هم Webbase

 

[shap2001]

سلام
من با اجازتون با اينكه دير وارد بحث شدم ميخوام يه بار كامل جوابتونو بدم
من حدود 4 ساله كه با ISA و قبل از اونم با Microsoft Proxy Server ( نسل قديمي ) كار كردم و به جرات ميتونم بگم قويترين نرم افزار براي هم Firewall , Caching هستش اما به شرطها و شروطها :

1- اگر شما ميخاين كه ازش به عنوان cache استفاده كنين بهترين راه اينه كه تو اكسس سرورتون تعريف كنين كه فقط ترافيك پورت 80 بياد اين طرف و بقيه كارا از جمله NAT رو همون طرف اكسس سرور انجام بدين ( اگه خواستي يه config نمونه ميفرستم واست ) با اين كار هم مشكلات مسنجر ها ديگه عارض نميشه هم عاليترين cache نرم افزاري دنيا رو صاحبي كه ماكزيمم سازگاري رو با ويندوزت داره - پكت فيلتر ميكنه - Spoof بهش كارگر نيست ..... و هزار تا مورد ديگه كه مهمترينشون بنظرم طراحي Objective اون هست كه بنظرم كسي بغير از حضرت فيلم ميتونه انجامش بده

2- در مورد درصد ها . بله واقعيت همينه اما چيزي كه بايد بياد داشته باشيم اينه كه اين درصد نه درصد كل جوابدهي سرور بلكه ميانگين هيت هاي موفق تو كل سايت هاست. بعنوان مثال لگر يوزر هاي شما همش فقط صفحه اول ياهو رو ببينن ( فقط ) شما باز هم 100 درصد رو نخاهين داشت چون ISA هر دفعه با اينكه اينا رو داره تو خودش يا اينهمه هر بار وقوع يا عدم وقوع تغييرات رو تو ياهو رو چك ميكنه ( به تنظيمات Http تو Cache Configuration و Active caching دقت كن )

اين يه خلاصه اي بود باز بنده در خدمتم اگه موردي باشه


يا هووو

 

[sota]

آقا shap دمت گرم ، من همین کار رو میکنم فقط ترافیک پورت 80 رو میفرستم روش مثل هر cache دیگه ای !
اول سعی کردم تمام ترافیک رو ازش رد کنم بعد دیدم دونه دونه باید پورت باز کنی واسه هر نرم افزاری، خوب مسخره اس خصوصا برای یه جایی که میخوای همه چیز کار کنه!
ولی خدایی قابلیتهای packet filtering اون خیلی ماهه و بعضی قابلیتهاش در حد فایروالهای خیلی حرفه ای هستش مثل شناخت بعضی حملات DoS . ولی فکر کنم keiro همونی باشه که میخوام: یه روتر با قابلیت فیلترینگ، البته باید روی تواناییهاش بیشتر کار کنم.

در مورد cache اگه فقط اون نکته ای که شما میگین باشه که بهتر هم هست

یعنی واقعیت بیشتر از اونیه که میگه هست! cache hit ratio% رو میگم
به هر ترتیب باز از همه ممنون به خاطر راهنماییهاتون
مخلص همگی
یا علی

 

[aryagohar]

ولي خودمونيم . من 2 بار بهش حمله كردم ولي ناجور پوزم خورد. بي خيالش شدم. Cachexpress رو ترجيح ميدم. اگه يه روز بين ISA و بي كشي بمونم. بي كشي رو به ISA ترجيح مي دم.

 

[sota]

یه چیز جالبی بگم
یکی از دوستهای من شنا بلد نبود و از عمیق میترسید ، اما یه روز که خیلی از این قضیه لجش گرفته بود رفت و خودش رو مخصوصا انداخت تو عمیق، یه خورده که بال بال زد یاد گرفت!
البته ببخشید قبول دارم که یکم خرکیه ولی جواب میده، آدم هم تا مجبور نشه ( البته خودم بیشتر) یاد نمیگیره.
غرض اینکه آقای آریاگوهر عزیز ISA رو ما به لطف سرویس پراکسی بیس یاد گرفتیم، و خداییش دیگه یه جاهایی بد کم آورده بودم، اما الان باهاش خیلی حال میکنم.

حالا ایشاللا 2004 اش که بیاد بهتر میشه!

 

[shap2001]

سلام آفا رضاي عزيز

منم با سوتا موافقم . و ترجيح ميدم كه به عدد و رقم صخبت كنيم. بله cacheexpress خوبه ولي رو Application خودش . Squid عاليه ولي براي كسي كه خدا باشه تو لينوكس و اونهمه Option رو ست كنه. واسه ما كه ويندوز نونه شبمونه ISA خداست. اين تئوري منه تا عكسش ثابت بشه

يا هوووووو

 

[aryagohar]

Cachexpress رو ويندوز كار مي كنه عزيزم.

 

[shap2001]

Cachexpress رو ويندوز كار مي كنه عزيزم.

سلام
ببخشيد ها رضا جان يه سر به يه ديكشنري بزن يا راحتتر يه سر به سايت cacheXpress بزن تا معني Application رو بفهمي . ديگه اينقدرام گاگول نيستيم !!!

فدات

يا هوووو

 

[aryagohar]

ما كه نفهميديم. مگه من چي گفتم كه شما اينجور برداشت كردي. از قرار معلوم به بحث اينجا سر كش بود نه بر سر فايروال.
شما هم لطفا معني Application رو بگو تا من بي سواد حاليم شه.