eslam2000
11-01-2006, 12:33 PM
________________________________________
بسم الله الرحمن الرحيم
إن شاء الله سأقوم فى هذه السلسة بشرح بعض التطبيقات على الأيزا2000 ونعتمد إن شاء الله على التطبيق أكثر من الشرح حيث سأقوم بإنتقاء الحلول العمليه لبعض المشاكل التى تواجهنا فى التعامل مع الأيزا ...
الدرس الأول: شرح تنصيب الأيزا 2000
أول شئ يجب أن ننتبه إليه قبل تنصيب الأيزا هى متطلبات الأيزا للتنصيب وهذا متوفر فى الصورة التاليه
طبعا نركز على أن هناك 2 كارت شبكه سيتخدم لأن هناك كارت سيتخدم للأتصال بالأنترنت مباشرة والأخر سيكون مختص بالشبكه الداخليه وهذا ماسنتعرض له فى الدروس القادمة بالتفصيل .....
نبدأ عملية التنصيب الأن
firewall mode : وهنا يقوم الأيزا بكونه جدار نارى حول الشبكه الداخليه ولانستفيد منه فى عملية ال caching
cache mode : وهنا نستفيد من الأيزا فى عملية الكاش فقط ولاتعتبر الأيزا فى هذه الحاله بمثابة فايرول حقيقى
integrated mode : وهنا يجمع بين مميزات الكاش والفايروول فى نفس الوقت
من هنا نحدد حج الكاش ولابد أن تكون على بارتشن NTFS
من هنا نحدد LOCAL ADDRESS TABLE وهى الشبكه الداخليه لنا والتى ستكون متصله بالكارت التانى (INTERNAL ) للجهاز المنصب عليه الأيزا
ملحوظه : لابد من ان يكون الشبكه الداخليه والكارت التانى للأيزا INTERNAL لابد ان يكون فى نفس SUBNET
طبعا التحديد هنا مهم لكى تتعرف الأيزا على الشبكه الداخليه وتفرق بينها وبين PERIMETER NETWORK
والأن قد انتهينا بفضل الله من تنصيب الأيزا 2000
ملحوظه: إذا كنت تستخدم ويندوز سيرفر 2003 يجب عليك تنصيب ISASP1.EXER كى تعمل الأيزا2000
الدرس الثاني
بسم الله الرحمن الرحيم
إن شاء اليوم سنتعرف فى هذا الدرس على أنواع الكلاينت للأيزا
1 - FIREWALL CLIENT
2 - SECURE NAT
3 - WEB PROXY
الأن نشاهد هذا الجدول والذى يوضح الفرق بين كل نوع من هذه الأنواع ثم بعد ذلك نعلق عليه إن شاء الله
1 - FIREWALL CLIENT
-----------------------------------
هذا النوع من الكلاينت يحتاج إلى تنصيب سوفت وير على جهاز الكلاينت كى يستطيع اليوزر التعامل مع الأيزا واستخدام الأنترنت عبر الأيزا ومن مميزات هذا النوع أنه يقوم بدعم تطبيقات WINSOCK مثل SMTP POP3 وغيرها...
كما أنه لايعمل إلا بيئة الويندوز فقط
طريقة إعداده
---------------
نستطيع تنصيب هذا السوفت وير FIREWALL CLIENT من على الجهاز المنصب عليه الأيزا وستجده SHARE تلقائيا.... انظر الى الملف فى الصوره
2 - SECURE NAT CLIENT
--------------------------------------
هذا النوع من الكلاينت لاتحتاج فيه الى تنصيب اى سوفت وير ولكن المطلوب منك هو اعداد الأتصال الخاص بك TCP/IP فقط وهذا يسير جدا كما أنه يسمح ب Outbound PPTP Access كما أنك تحتاج هذا النوع من الكلاينت فى عمل ping على شبكه خارجيه أو على الأنترنت هذه من مميزاته ولكنه لايدعم AUTHENTICATION أى انك لاتستطيع وضع سياسه حجب بروتوكول مثلا أو موقع فلانى على أساس يوزر معين أو GROUP بعينها ولكن تستطيع تطبيق السياسه على IP معين مثلا وهذا ماسنتطرق اليه بالتفصيل ان شاء الله لاحقا .....
طريقة إعداده
--------------
عن طريق ضبط اعدادات tcp/ip الخاص بك ووضع gateway هو رقم ip الخاص بالكارت الداخلى للجهاز المنصب عليه الأيزا
3 - web proxy client
------------------------------
هذا النوع من الكلاينت لايحتاج إلى تنصيب أى سوفت وير ولكنه يحتاج الى اعدادات بالمتصفح الخاص بك فقط من مميزاته أنه يدعم الأستفاده من cache الخاصه بالأيزا......
كما أنه يدعم هذه البرتوكولات HTTP HTTPS FTP
كما أنه يدعم ال AUTHENTICATION على عكس ال SECURE NAT
يمكن استخدامه مع اللينوكس
طريقة إعداده
--------------
نفتح المتصفح الخاص بنا وندخل على TOOLS ثم INTERNET CONNECTION ثم تابع الصور....
لاحظ معى أنه 192.168.2.1 هو ال IP الخاص بكارت الشبكه الداخى INTERNAL للجهاز المنصب عليه الأيزا
البورت 8080 وهو افتراضى فى الأيزا ونستطيع تغيره كما سنعلم بعد إن شاء الله
انتهى الشرح
عسى أن أكون وفقت
الدرس الثالث
بسم الله الرحمن الرحيم
إن شاءالله فى هذا الدرس سنتعلم كيفية تمرير النت إلى الشبكة الداخلية الكلاينت عن طريق فتح البرتوكولات الازمة والسماح لكافة المواقع وذلك من خلال التعامل مع ...
1 - SITES AND CONTENT RULES
2 - PROTOCOL RULES
------------------------------------------------------------------------------------------------------------------
site and content rules : - وهى المسئوله عن التحكم فى المواقع التى يسمح لها بالمرور من الأيزا من عدمه .... حيث تستطيع ان تطبق سياسه تمنع موقع بعينه أو تمنع مجموعة مواقع معينه وتستطيع أيضا تطبيق هذه السياسه على مجموعة من اليوزر دون أخرى....
protocol rules : - وهى المسئوله عن تمرير بعض البرتوكولات دون أخرى عن طريق تكوين سياسة للسماح أو حجب بعض البرتكولات على يوزرز معين فى أوقات معينه وسنتطرق إلى ذلك بالتفصيل ان شاء الله فى الدروس المقبلة
--------------------------------------------------------------------------------------------------------
الأن نبدأ خطوات تمريرالنت للكلاينت
1 - تكوين سياسة site and content rule للسماح لكافة المواقع للمرور من الأيزا
من هنا نقوم بعمل اسم لهذه السياسة
من هنا نختار نهج السياسة على انها سياسة سماح
من هذا الخيار نريد ان تطبق السياسة للسماح لكافة المواقع بالمرور عبر الأيزا وليس موقع بعينه
هذا الخيار يعنى تطبيق السياسة دائما وليس فى وقت محدد بذاته
هذا الخيار يؤدى الى تطبيق السياسه على كافة اليوزر(الكلاينت) جميعا دون استثناء اى يوزر
الأن قد انتهينا من المرحلة الأولى
2 - نبدأ المرحلة التاليه ألا وهى تكوين protocol rules للسماح للبرتكولات المطلوبة لتمرير النت وجعل الكلاينت قادرين على التصفح فقط
نختار اسم لهذه السياسه
نختار ان هذه السياسة هذه سياسة سماح وليس حجب
نختار البرتوكولات المراد تمريرها عبر الأيزا
السياسة تطبق على كل الكلاينت دون استثناء
الأن قد انتهينا من المرحلة الثانيه
ملاحظة: يجب عمل restart لل services كما هو موضح فى الصورة التالية
وهكذا نكون انتهينا من تمرير النت إلى اجهزة الكلاينت
الدرس الرابع
بسم الله الرحمن الرحيم
Controlling Outgoing Requests
وهذا إن شاء الله سيكون موضوع درس اليوم
وللتحكم فى outgoing request لابد من إعداد ...
1 - sites and content rules
2 - protocol rules
3 - ip packet filter
4 - Routing rules or Firewall Chaining configuration
site and content rules : - وهى المسئوله عن وضع سياسة السماح أو الحجب لجميع المواقع كلها أو جميع المواقع ماعدا موقع بعينه أو منع جميع المواقع وذلك السياسة يمكن تطبيقها على مجموعه من اليوزر بعينها أو كل اليوزرز الموجودين فى الشبكه الداخليه
ملحوظة : - نفترض مثلا أننا وضعنا سياسة سماح لكل المواقع ثم قمنا بوضع سياسة حجب لموقع معين مثل YAHOO.COM تكون النتيجة أن الكلاينت يقدر الولوج الى كل المواقع على الشبكة العنكبوتيه عدا موقع الياهو
protocol rules : - وهو المسؤل عن وضع السياسات الخاصه بالسماح والمنع للبروتوكولات التى تمر عبر الأيزا ويمكن تطبيق هذه السياسه على يوزر بعينه أو على جروب بعينها أو على كل اليوزرز
ملحوظه:- تتحكم فى البرتكولات التى تتكون من TCP أو UDP فقط ومثال على ذلك ( HTTP -- HTTPS -- FTP )
ip packet filter : - وهى سياسه تطبق على الكارت الخارجى external وتسمح أو تحجب البروتوكولات عبر الأيزا ... كما أنها تسمح بالتحكم فى inbound traffic مثلا عند عمل puplish لموقع من الشبكه الداخليه أومن DMZ
متى نستخدم ip packet filter ؟
1 - فى حالة عمل نشر puplish سيرفر من الشبكة الداخلية أو DMZ
2 - تشغيل برنامج أو خدمة تحتاج للولوج الى الأنترنت مثل برامج p2p
3 - التحكم فى جميع البروتوكولات التى لاتعتمد على TCP أو UDP
routing rules : - وهى عملية يتم فيها اعادة توجية ال query الموجه لللأيزا من الكلاينت سواء ان يثم توجيه الأستعلام مباشرة الى الموقع المطلوب أو توجيه الى سيرفر ايزا آخر أو اعادة التوجيه الى موقع آخر
Retrieved directly from the specified destination
Sent to an upstream server
Redirected to an alternate site
انتهى الدرس
الدرس الخامس
بسم الله الرحمن الرحيم
فى هذا الدرس إن شاء الله سنقوم بتمرير النت على جهاز سيرفر الأيزا نفسه
من المعلوم أنه عندما نقوم بتنزيل أو تنصيب الأيزا على جهاز معين فإن هذا الجهاز لايستطيع الولوج إلى الشبكة العنكبوتية ومن ثم سنتعلم فى هذا الدرس كيفية تمرير النت الى الجهاز المنصب عليه سيرفر الأيزا
كل ماعلينا هو إنشاء ip packet filter جديدة ثم تابع الصور
الدرس السادس
إن شاء الله سنتكلم فى هذا الدرس عن كيفية تحديد أوقات تفعيل السياسة المطبقة لدينا سواء كانت sites and content rules أو protocol rules وذلك عن طريق إنشاء جدول يوضح الأوقات الذى ستطبق فيه هذه السياسة schedule
schedule : - هو الوقت الذى ستكون فيه السياسة فعالة سواء كانت سياسة سماح أو حجب وهذا مفيد جدا ..... وذلك عندما تريد منع الأنترنت فى أوقات العمل مثلا
الأن معا نبدأ بالتطبيق العملى ولكن نريد معرفة مانريد تطبيقه :
نحن نريد أن نقوم بإنشاء 2 جدول مختلفين
ونريد عمل سياسة سماح للبرتوكولات لتمرير الأنترنت للكلاينت من الساعه 12 الى الساعه 2 ظهرا يوميا وهذا مانشاهده بالصور .........
من هنا سنقوم بإنشاء أول جدول
هذا هو التحديد الأفتراضى للجدول
اللون الأزرق: - يشير إلى الأوقات التى يكون فيه تطبيق السياسة فعالا
اللون الأبيض : - يشير إلى الأوقات التى يكون فيها تطبيق السياسه غير فعالا
نحدد اسم لهذا الجدول ويستحسن تحديد اسم مناسب يدل على محتوى هذا الجدول كما يمكن كتابة وصف لهذا الجدول ........
نحدد باللون الأزرق الوقت الذى نريد أن تكون فيه السياسة فعالة
الأن أصبح لدينا جدول اسمه friday مهمته هو جعل السياسة المطبقة فعالة يوم الجمعه فقط ...
----------------------------------------------------------------------------------------------------------------------------
سنشرع فى تكوين جدول آخر بنفس الطريقه الماضيه مع تغير الأوقات التى نريد فيها أن يكون السياسة المطبقه فعاله
الأن أصبح عندنا جدول آخر اسمه test1--yasser هذا الجدول يكون نشط أى تكون السياسة قابلة للتطبيق كل يوم من الساعه 12 ظهرا الى الساعه 2 ظهرا...
--------------------------------------------------------------------------------------------------------------------------------
الأن نحن بصدد تكون سياسة protocol rules للسماح بمرور البرتكولات الازمة لتمرير النت للكلاينت مع العلم أنه مكون عندنا سياسة site and content rules تسمح بمرور كافة المواقع كما تم شرحه من قبل
من هنا نختار أى من الجدولين اللذين أنشأناهم ......
----------------------------------------------------------------------------------------------------------------------------
الأن لدينا سياسة protocol rules تسمح بمرور النت للكلاينت كل يوم من الساعه 12 الى 2 ظهرا
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم فى هذا الدرس عن client address sets وما هو فائدته
client address sets : -هو أحد مكونات policy elements وعن طريقه يمكن تحديد ip الجهاز الذى سوف يتم تطبيق عليه السياسة المحددة سواء حجب أو سماح سواء كانت هذه السياسة sites and content rules أو protocol rules أو bandwith priority وهذا ما سيتم شرحه بالتفصيل إن شاء الله فى التطبيق العملى
مانريد تطبيقه : -
-------------------------------------
1 - إنشاء client address set تشير إلى هذا ip : 192.168.0.5
2 - إنشاء client address set تشير إلى مجموعة عنواين ip على الشبكة الداخلية ابتداء
من 192.168.0.30 الى 192.138.0.40
من 192.168.0.70 الى 192.168.0.85
3 - إنشاء سياسة sites and content rules لحجب موقع الياهو عن الip 192.168.0.5
4 - طبعا يجب أن نكون عندنا destination set جاهزه لموقع الياهو كما تعلمنا من قبل
-----------------------------------------------------------------------------------------------------------------------------
أولا : نبدأ بتكوين client address set تشير الى 192.168.0.5
نقوم بتسمية client address كما فى الصورة
من هنا نقوم بإضاقة العنوان المطلوب الإشارة إليه
الأن قد انتهينا من تكوين أول client address والتى تشير الى العنوان 192.168.0.5
------------------------------------------------------------------------------------------------------------------------
ثانيا: نقوم بإنشاء client addtess set تشير إلى مجموعة عنواين
من 192.168.0.30 الى 192.138.0.40
من 192.168.0.70 الى 192.168.0.85
انتهينا من إضافة أول مجموعة عناوين... نعاود إضافة المجموعة الأخرى
الأن قد أصبح لدينا مجموعتان من العناوين فى client address set واحده
-----------------------------------------------------------------------------------------------------------------------------
ثالثا : المطلوب منا الأن هو حجب الموقع الياهو عن الزبون الذى يملك العنوان 192.168.0.5
تابع بالصور وستجد الأمر ميسور إن شاء الله
سنقوم بإنشاء sites and content rule لحجب هذا الموقع (الياهو) عن هذا العنوان المحدد
طبعا نختار من destination set المكونه مسبقا .... ونختار الموقع الذى نريد حجبه
هذا الموقع محظور على هذا العنوان طول الوقت
من هنا نختار أى عنوان أو مجموعة عنواين نريد تطبيق السياسة عليها
طبعا نحن هنا اخترنا test----1 لأنها تمثل العنوان المطلوب ألا وهو 192.168.0.5
الأن اصبح لدينا سياسة تحجب موقع الياهو عن العنوان 192.168.0.5 طوال الوقت طول الأسبوع
------------------------------------------------------------------------------------------------------------------------
انتهى الشرح
بسم الله الرحمن الرحيم
إن شاء الله فى درس اليوم سنتكلم عن موضوع bandwidth priority ونتعرف على فائدتها وكيفية تطبيقها عمليا إن شاء الله
bandwidth priority:- وهى التى تحدد الرتبة أو الأفضليه وذلك بالنسبه لبرتوكول معين أو موقع معين أو يوزر معين أو مجموعة عنواين محدده...... وهى عبارة عن وحدات تقيمية تبدأ من 1 الى 200 لبيان رتبة كل برتوكول بالنسه للأخر مثلا.... قد نستخدمها فى تحديد رتبة أعلى لمدير العمل عن باقى الموظفين لجعل سرعة النت على جهازه أسرع من أى يوزر مثلا..
ملحوظة : - لاتعتبر bandwidth priority تقسيم لخط النت الموجود عندى أبدا فهذا مفهوم خاطئ وإنما هى رتبه لجعل اليوزر الفلانى أسرع من اليوزر العلانى أو البروتوكول هذا يتدفق الى الزبائن أسرع من تدفق البروتوكول ذاك وذلك حسب الرتبه المحدده لكل منهما والتى تأخذ وحدات من 1 الى 200
الأن نتوجه على التطبيق العملى
مانريده هو جعل الزبائن تتصفح النت بسرعه أكبر من سرعة الدون لوود أو الولوج الى صفحات ال ftp
يتوجب علينا الأن عمل 2 bandwidth priority احده تشير إلى http protocol وتكون قيمتها كبيره مقارنة بال bandwidth priority الأخرى التى تشير الى ftp protocol
----------------------------------------------------------------------------------------------------------------------------
الأن نتوجه الى policiy elements ونقوم بالأتى
1 - إنشاء bandwidth priority الخاصه ب http protocol
نقوم بعمل تسمية تدل على محتوى bandwidth priority
وعندنا خيارين
outbound bandwidth : - بالنسبة لهذا المثال الخاص ب http protocol فإن هذا الرقم يمثل الرتبه فى حالة الكلاينت يطلبون برتوكول http مثل طلب تصفح مواقع الأنترنت مثلا
inbound bandwidth : - فهو يمثل قيمة الرتبه بالنسبة لل query الوارد الذى يسأل عن هذا البروتوكول وفى حالتنا هذه مثلا عندما يكون عندنا iis server وعندنا موقع خلف الأيزا والناس يتصفحون هذا الموقع فيعتبر هذا http inbound request
2 - إنشاء ال bandwidth priority الخاص ب ftp protocol
الأن قد انتهينا من تكوين bandwidth priorites
----------------------------------------------------------------------------------------------------------------------------
الأن نقوم بتكوين bandwidth rule
1 - سنقوم بتطبيق هذه السياسه على بروتوكول http على كل الزبائن وعلى كل المواقع التى تطلب من الأيزا طوال ايام الأسبوع
من هنا نختار bandwidth priority الخاصه ب http
1 - سنقوم بتطبيق هذه السياسه على بروتوكول ftp على كل الزبائن وعلى كل المواقع التى تطلب من الأيزا طوال ايام الأسبوع
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء اليوم سنتكلم عن content groups وكيفية الإستفاده منها
content groups : - هى عبارة عن مجموعة من الإمتدادت التى يسمح أو تحجب من المرور عبر الأيزا ويمكن التحكم فيها بسهوله كما يمكن إضافة امتدادت جديدة لها........ مثال على ذلك : عندما نريد أن نسمح للكلاينت بالولج لموقع الياهو مثلا ولكن نريد حجب الكلاينت عن مشاهدة الصور الموجود فيه ونستطيع أن نزيد من التحكم عن طريق اختيار نوع الصورة وامتدادها مثلا قد نريد ان نحجب جميع الصور ماعدا الصور التى لها امتداد jpg أو العكس........مثال آخر قد نريد أن نسمح للكلاينت بالولوج لموقع به مواد صوتيه ولكننا نريد أن نحجب عنهم المواد الصوتيه التى لها امتداد mp3 نستطيع فعل ذلك عن طريق content groups ...... وهى أحد أعضاء مجموعة policy elements ويسهل التعامل معها كما سنرى فى التطبيق العملى إن شاء الله
نتوجه إلى التطبيق العملى : -
الأن نريد تكوين سياسة تحجب الكلاينت من مشاهدة الصور الموجود بكافة المواقع والتى تحتوى على صور لها امتداد .gif
نقوم بعمل جروب جديده
نختار من القائمة المنسدلة available types الأمتدادات التى نريد تطبيق السياسة عليها سواء كانت سماح أو حجب
ونقوم بتسمية الجروب
كما نرى لقد انتهينا من تكوين الجروب الجديده ---------------------------------------------------------------------------------------------------------------------------
نذهب بعد ذلك إلى sites and content rules ثم نكون السياسة المطلوبه
من هنا نختار الجروب الذى قد أنشأناها من قبل
الأن أصبح لدينا السياسة التى تمنع الكلاينت من مشاهدة أى صورة على أى موقع فى أى وقت من أيام الأسبوع وتكون هذه الصورة من ذوى الأمتداد gif
هذه هى النتيجة لانرى أى صور لها أمتداد من النوع gif
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم فى هذا الدرس عن dial up entry ونتعرف عليها وعلى الفائده المرجوه منها إن شاء الله
dial up entry : - وهى تحدد الوسيله التى ستتصل بها الأيزا بالأنترنت أو بمزود الخدمه isp : كما أنها تفيد فى حالة أنها تعمل كا back up للأتصال الأساسى فى حالة فشله الولوج للنت
سنرى فى هذا المثال إعداد DIAL UP ENTRU
يجب اعداد اتصال CONNECTION عن طريق الموديم مثلا
تابع الشرح بالصور
انتهينا من المرحله الأولى ألا وهى تكوين اتصال عبر الموديم
------------------------------------------------------------------------------------------------------------------------
نتوجه الأن إلى إعدادات الأيزا
من هنا نكتب اسم لهذا DIAL كمان نقدر نكتب وصف له
ومن SELECT نستطيع إضافة الأتصال الذى سبقنا وقمنا بإعداده
من SELECT ACCOUNT نستطيع إضافة اليوزر والباسورد هما نفسهما الذى أضفناهما ونحن نجهز هذا الأتصال
الأن تكونت لدينا DIAL UP ENTRY التى نستخدمها فى حالة حدوث انقطاع الأتصال الأساسى من مزود الخدمه مثلا
إذا كان لدينا اكثر من dial up entry نستطيع جعل أيهما هو النشط عن طريق هذا الخيار set as active entry
انتهى الشرح
أرجو الدعاااااااااء
بسم الله الرحمن الرحيم
أن شاء الله : اليوم سنتعلم كيفية السماح للكلاينت باستخدام برنامج edonkey
كل ماعليك هو إتباع الصور والقيام بفتح البورتات كما هو موضح
طبعا كما هو موضح أننا سنقوم فى كل مره بإنشاء packet filter جديد ونقوم عن طريقه بفتح وتمرير البورتات المطلوبه
قد يتطرق إلى بعض الأذهان سؤال ألا وهو أننا لماذا استخدمنا packer filter ولم نستخدم protocol rules ؟؟؟؟؟؟
ليس هناك فرق ....... وذلك أن كل البورتات التى اعتمدنا عليها كانت معتمدين على بروتوكول tcp ---- udp فقط ومن هذا المنطلق وارد أننا نقوم بتكوين prtocol rules بدلا من ip packet filter ......
حيث أنه تتمثل حتمية استخدام packet filter فى تمرير بعض ال services او البرامج الى تعتمد على بروتكولات غير tcp -- udp
انتهى الدرس .... تستطيع استخدام edonkey بدون أى مشاكل مع الأيزا الأن
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم فى هذا الدرس عن كيفية جعل الكلاينت يستطيعون عمل PING خلف الأيزا
يجب أن يكون نوع الكلاينت SECURE NAT حتى يستطيع بعمل PING على اى عناوين على الأنترنت (موقع الياهو كما فى الصورة )
لاحظ معى أننا قمنا الأن بتجهيز كلاينت من النوع SECURE NAT ثم قمنا بعمل PING كانت النتيجه كما تشاهد
طيب ماهو الحل ؟؟؟؟
كل ماعلينا هو تفعيل IP PACKET ومن ثم تفعيل IP ROUTING فقط
تابع الصــور
ثم تكون النتـــــــيجة كالأتى
انتهى الدرس
بسم الله الرحمن الرحيم
فى هذا الدرس إن شاء الله سنتعلم كيفية نشر موقع تم إنشاءه على الجهاز المنصب عليه الأيزا باستخدام ip packet filter
طبعا من المعروف أنه فى هذه الحاله سيكون الأيزا متلقى requests من الأنترنت : إذا يجب علينا فتح البورتات الازمه لكى تمر الطلبات عبر الأيزا ويتم فتح الموقع المطلوب
ستواجهنا مش أخرى يجب التعرف عليها :نعرف أن الأيزا تتسمع للطلبات الواردة إليها من الأنترنت عبر البورت 80 : كما أنه عند نشر موقع باستخدام iis نجد أن البورت الأعتيادى لهذا السيرفر هو tcp 80 والذى من خلاله يتم الأتصال بالموقع عبر الأنترنت مما يؤدى إلى حدوث تعارض لذا وجب علينا تقديم حل مناسب لهذه المشكله : يجب علينا عند إعداد الموقع بإستخدام سيرفر iis تغيير البورت من 80 إلى أى بورت آخر حتى لايتعارض مع بورت التسمع فى الأيزا أو تغيير بورت التسمع فى الأيزا إلى أى بورت آخر ماعدا 80 وبهذا نكون قد تلافينا هذه المشكله
لاحظ مع الصور
شاهد مع بورت التسمع فى الأيزا tcp 80 وهذا هو البورت الأعتيادى للتسمع فى الأيزا والذى يوجب علينا تغييره .....
وهذا سيرفر iis ونرى فيه بورت tcp 80 وهذا بورت اعتيادى
الأن بعد تجاوز هذه المشكله وتغير port tcp 80 فى الأيزا أو سيرفر iis نتوجه إلى فتح البورتات المعنيه بمرور الطلبات عبر الأيزا
نقوم بإنشاء packet filter جديده
نقوم بإجراء تسمية مناسبة
نجعل هذا الفلتر للسماح لبروتوكولات محدده على بورتات بعينها
نقوم بفتح البورت 80 للبروتوكول tcp وهذا هو المعنى بفتح المواقع وصفحات النت عبر الأنترنت معنى هذا أنه قد تم ترك اعدادت سيرفر iis كما هى وترك البورت الأعتيادى tcp 80 له كما هو وان التغير قد يتم على الأيزا
هنا نكتب العنوان الخارجى للأيزا والذى سيكون متاح على الأنترنت لكل المتصفحين لهذا الموقع والذى عن طريقه يتم الأتصال بالموقع
من هنا نحدد ما إذا كنا نريد أن نسمح لكل الأشخاص بالأتصال بهذا الموقع أو يوزرز معينين
انتهينا من إعداد الفلتر الأن
------------------------------------------------------------------------------------------------------------
بقى عندنا شئ واحد ألا وهو تغير بورت الأستماع عند الأيزا
الأن أصبحت جاهزا لكى يتصفح الناس موقعك الذى أنشأته على الجهاز المنصب عليه الأيزا بعد تغيير بورت الأستماع للأيزا وترك البورت الأعتيادى لسيرفر iis كما هو والذى يتم الأتصال عن طريقه بالموقع الذى أنشأته :كما أنه تم إنشاء فلتر لفتح البورتات المناسبه لتلقى طلبات التصفح من الأشخاص الذين يريدون تصفح موقعك
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم اليوم عن publishing web rule
فى هذا الدرس سنتعلم كيفية استضافة موقع webserver على الشبكه الداخليه خلف الأيزا
ويتم ذلك عن طريق عمل publishing rule وهى تقوم بإعادة توجيه الطلبات التى يتلقاها الأيزا الى الجهاز المنصب عليه webserver
يجب علينا أولا إعداد destination set تحمل اسم الموقع أو عنوان الأيزا الخارجى external
بذلك نكون قد انتهينا من اعدادا destination set والتى سوف نحتاجها فى اعداد publishing rule
----------------------------------------------------------------------------------------------------------
الأن نقوم بإلقاء نظره على خصائص web server الذى أنشأناه على أحد أجهزة الكلاينت فى الشبكة الداخليه والذى يكون من النوع secure nat
لاحظ معى أننا قمنا بتغيير البورت الأفتراضى لل web server الى tcp 9995
وبالإطلاع على الدرس السابق لمعرفة ماهية هذا التغيير
-------------------------------------------------------------------------------------------------------
نشرع الأن فى تكوين web publishing rule
نقوم بوضع إسم مناسب يدل على اسم الموقع الذى نريد نشره خلف الأيزا
من هنا نقوم باختيار destination set الذى سبق وان اعددناه من قبل
1 - من هنا يتم رفض اى طلب ولايتم اعادة التوجيه للويب السيرفر
2 - من هنا يتم اعادة التوجيه : هنا نريد أن نفهم الأيزا انه عند تلقى اى طلب عن الموقع الذى تم اعداده وتم تسميته والإشاره اليه عن طريق destination set يتم اعادة التوجيه هذا الطلب الى الجهاز المنصب عليه الويب سيرفروالذى هو موجود بالشبكه الداخليه فنكتب هنا العنوان الخاص بهذا الويب سيرفر
3 - هذا الأختيار نستخدمه عندما يكون هنا نشر لأكثر من موقع على ويب سيرفر
4 - نلاحظ هنا أننا قمنا بتغيير البورت الخاص بالأتصال بالويب سيرفر وذلك طبقا لإعدادت الويب السيرفر الذى قمنا بإنشاءه .......
5 - البورت الخاص ب ssl
6 - البورت الخاص بالأتصال ب ftp
الأن انتهينا بإعداد web publishing rule
الأن أى شخص يقوم بطلب هذا الموقع ( www.mydomain.com ) مثلا والذى يمثل external ip للأيزا .. يقوم الأيزا بإعادة توجيه هذا الطلب إلى ويب سيرفر فى الشبكة الداخليه lat للأجابه عن هذا الطلب وفتح هذا الموقع من هذا الجهاز المنصب عليه الويب سيرفر
-------------------------------------------------------------------------------------------------------
هناك مسأله أخرى نفترض أننا نريد عمل publishing rule لنشر موقع منصب على الجهاز المنصب عليه الأيزا الخطوات ستبقى كما هى لاتغيير إلا فى خطوه واحده
ألا وهى عندما نكتب اعادة التوجيه لجهاز على الشبكة الداخليه المنصب عيها الويب سيرفر كم فى الشكل
بدلا من هذا سنكتب internal ip الخاص بجهاز الأيزا وبذلك سيتم إعادة التوجيه إلى جهاز الأيزا نفسه
طبعا قد تعلمنا فى الدرس السابق أنه ممكن عمل هذا ( نشر ويب سيرفر على جهاز الأيزا ) باستخدام ip packet filter
----------------------------------------------------------------------------------------------------------
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء الله سنتعلم فى هذا الدرس كيفية فتح البورتات المناسبه لكى نستطيع استضافة ftp server على الجهاز المنصب عليه الأيزا ....
كل المطوب : هو اعداد ftp سيرفر وبعد ذلك نتجه إلى الأيزا فى ip packet filter لكى نفتح البورتات الازمه
تابع الصور ....
الأن قد تم فتح جميع البورتات الازمه لكى يستطيع اليوزر فتح ال ftp المنصب على الأيزا
________________________________________
بسم الله الرحمن الرحيم
إن شاء الله فى هذا الدرس سنتعلم كيفية استضافة ftp server خلف الأيزا وذلك عن طريق إنشاء server publishing rule
مفترض أننا قمنا بإعداد سيرفر ftp خلف الأيزا على أحد أجهزة الشبكة الداخلية ونريد أن يقوم اى شخص على الأنترنت بالولوج لهذا ftp server علينا الأتى :
نقوم بإنشاء server publishing جديده
ثم نطلق عليها تسمية مناسبه
بعد ذلك نجد أمامنا خيارين كما هو موضح فى الصوره
1 - نضع عنوان الجهاز الموجود فى الشبكه الداخليه والذى قمنا بإعداد ftp server عليه
2 - نقوم بوضع عنوان الأيزا الخارجى external
بعد ذلك نحدد نوع السيرفر الذى قمنا بإعداده على أحد أجهزة الشبكة الداخليه والذى نيرد عمل له نشر خلف الأيزا ألا وهو ftp كما فى حالتنا هذه
من هنا نحدد ما إذا كانت هذه ال rule ستطبق على جهاز بعينه أو اى جهاز على الانترنت اى كافة الأشخاص يستطيعون الدخول لهذا ftp
كما نرى انتهى الدرس
الأن يستطيع أى شخص الولوج الى سيرفر ftp الموجود على أحد أجهزة الشبكة الداخلية خلف الأيزا
بسم الله الرحمن الرحيم
إن شاء الله سأقوم فى هذه السلسة بشرح بعض التطبيقات على الأيزا2000 ونعتمد إن شاء الله على التطبيق أكثر من الشرح حيث سأقوم بإنتقاء الحلول العمليه لبعض المشاكل التى تواجهنا فى التعامل مع الأيزا ...
الدرس الأول: شرح تنصيب الأيزا 2000
أول شئ يجب أن ننتبه إليه قبل تنصيب الأيزا هى متطلبات الأيزا للتنصيب وهذا متوفر فى الصورة التاليه
طبعا نركز على أن هناك 2 كارت شبكه سيتخدم لأن هناك كارت سيتخدم للأتصال بالأنترنت مباشرة والأخر سيكون مختص بالشبكه الداخليه وهذا ماسنتعرض له فى الدروس القادمة بالتفصيل .....
نبدأ عملية التنصيب الأن
firewall mode : وهنا يقوم الأيزا بكونه جدار نارى حول الشبكه الداخليه ولانستفيد منه فى عملية ال caching
cache mode : وهنا نستفيد من الأيزا فى عملية الكاش فقط ولاتعتبر الأيزا فى هذه الحاله بمثابة فايرول حقيقى
integrated mode : وهنا يجمع بين مميزات الكاش والفايروول فى نفس الوقت
من هنا نحدد حج الكاش ولابد أن تكون على بارتشن NTFS
من هنا نحدد LOCAL ADDRESS TABLE وهى الشبكه الداخليه لنا والتى ستكون متصله بالكارت التانى (INTERNAL ) للجهاز المنصب عليه الأيزا
ملحوظه : لابد من ان يكون الشبكه الداخليه والكارت التانى للأيزا INTERNAL لابد ان يكون فى نفس SUBNET
طبعا التحديد هنا مهم لكى تتعرف الأيزا على الشبكه الداخليه وتفرق بينها وبين PERIMETER NETWORK
والأن قد انتهينا بفضل الله من تنصيب الأيزا 2000
ملحوظه: إذا كنت تستخدم ويندوز سيرفر 2003 يجب عليك تنصيب ISASP1.EXER كى تعمل الأيزا2000
الدرس الثاني
بسم الله الرحمن الرحيم
إن شاء اليوم سنتعرف فى هذا الدرس على أنواع الكلاينت للأيزا
1 - FIREWALL CLIENT
2 - SECURE NAT
3 - WEB PROXY
الأن نشاهد هذا الجدول والذى يوضح الفرق بين كل نوع من هذه الأنواع ثم بعد ذلك نعلق عليه إن شاء الله
1 - FIREWALL CLIENT
-----------------------------------
هذا النوع من الكلاينت يحتاج إلى تنصيب سوفت وير على جهاز الكلاينت كى يستطيع اليوزر التعامل مع الأيزا واستخدام الأنترنت عبر الأيزا ومن مميزات هذا النوع أنه يقوم بدعم تطبيقات WINSOCK مثل SMTP POP3 وغيرها...
كما أنه لايعمل إلا بيئة الويندوز فقط
طريقة إعداده
---------------
نستطيع تنصيب هذا السوفت وير FIREWALL CLIENT من على الجهاز المنصب عليه الأيزا وستجده SHARE تلقائيا.... انظر الى الملف فى الصوره
2 - SECURE NAT CLIENT
--------------------------------------
هذا النوع من الكلاينت لاتحتاج فيه الى تنصيب اى سوفت وير ولكن المطلوب منك هو اعداد الأتصال الخاص بك TCP/IP فقط وهذا يسير جدا كما أنه يسمح ب Outbound PPTP Access كما أنك تحتاج هذا النوع من الكلاينت فى عمل ping على شبكه خارجيه أو على الأنترنت هذه من مميزاته ولكنه لايدعم AUTHENTICATION أى انك لاتستطيع وضع سياسه حجب بروتوكول مثلا أو موقع فلانى على أساس يوزر معين أو GROUP بعينها ولكن تستطيع تطبيق السياسه على IP معين مثلا وهذا ماسنتطرق اليه بالتفصيل ان شاء الله لاحقا .....
طريقة إعداده
--------------
عن طريق ضبط اعدادات tcp/ip الخاص بك ووضع gateway هو رقم ip الخاص بالكارت الداخلى للجهاز المنصب عليه الأيزا
3 - web proxy client
------------------------------
هذا النوع من الكلاينت لايحتاج إلى تنصيب أى سوفت وير ولكنه يحتاج الى اعدادات بالمتصفح الخاص بك فقط من مميزاته أنه يدعم الأستفاده من cache الخاصه بالأيزا......
كما أنه يدعم هذه البرتوكولات HTTP HTTPS FTP
كما أنه يدعم ال AUTHENTICATION على عكس ال SECURE NAT
يمكن استخدامه مع اللينوكس
طريقة إعداده
--------------
نفتح المتصفح الخاص بنا وندخل على TOOLS ثم INTERNET CONNECTION ثم تابع الصور....
لاحظ معى أنه 192.168.2.1 هو ال IP الخاص بكارت الشبكه الداخى INTERNAL للجهاز المنصب عليه الأيزا
البورت 8080 وهو افتراضى فى الأيزا ونستطيع تغيره كما سنعلم بعد إن شاء الله
انتهى الشرح
عسى أن أكون وفقت
الدرس الثالث
بسم الله الرحمن الرحيم
إن شاءالله فى هذا الدرس سنتعلم كيفية تمرير النت إلى الشبكة الداخلية الكلاينت عن طريق فتح البرتوكولات الازمة والسماح لكافة المواقع وذلك من خلال التعامل مع ...
1 - SITES AND CONTENT RULES
2 - PROTOCOL RULES
------------------------------------------------------------------------------------------------------------------
site and content rules : - وهى المسئوله عن التحكم فى المواقع التى يسمح لها بالمرور من الأيزا من عدمه .... حيث تستطيع ان تطبق سياسه تمنع موقع بعينه أو تمنع مجموعة مواقع معينه وتستطيع أيضا تطبيق هذه السياسه على مجموعة من اليوزر دون أخرى....
protocol rules : - وهى المسئوله عن تمرير بعض البرتوكولات دون أخرى عن طريق تكوين سياسة للسماح أو حجب بعض البرتكولات على يوزرز معين فى أوقات معينه وسنتطرق إلى ذلك بالتفصيل ان شاء الله فى الدروس المقبلة
--------------------------------------------------------------------------------------------------------
الأن نبدأ خطوات تمريرالنت للكلاينت
1 - تكوين سياسة site and content rule للسماح لكافة المواقع للمرور من الأيزا
من هنا نقوم بعمل اسم لهذه السياسة
من هنا نختار نهج السياسة على انها سياسة سماح
من هذا الخيار نريد ان تطبق السياسة للسماح لكافة المواقع بالمرور عبر الأيزا وليس موقع بعينه
هذا الخيار يعنى تطبيق السياسة دائما وليس فى وقت محدد بذاته
هذا الخيار يؤدى الى تطبيق السياسه على كافة اليوزر(الكلاينت) جميعا دون استثناء اى يوزر
الأن قد انتهينا من المرحلة الأولى
2 - نبدأ المرحلة التاليه ألا وهى تكوين protocol rules للسماح للبرتكولات المطلوبة لتمرير النت وجعل الكلاينت قادرين على التصفح فقط
نختار اسم لهذه السياسه
نختار ان هذه السياسة هذه سياسة سماح وليس حجب
نختار البرتوكولات المراد تمريرها عبر الأيزا
السياسة تطبق على كل الكلاينت دون استثناء
الأن قد انتهينا من المرحلة الثانيه
ملاحظة: يجب عمل restart لل services كما هو موضح فى الصورة التالية
وهكذا نكون انتهينا من تمرير النت إلى اجهزة الكلاينت
الدرس الرابع
بسم الله الرحمن الرحيم
Controlling Outgoing Requests
وهذا إن شاء الله سيكون موضوع درس اليوم
وللتحكم فى outgoing request لابد من إعداد ...
1 - sites and content rules
2 - protocol rules
3 - ip packet filter
4 - Routing rules or Firewall Chaining configuration
site and content rules : - وهى المسئوله عن وضع سياسة السماح أو الحجب لجميع المواقع كلها أو جميع المواقع ماعدا موقع بعينه أو منع جميع المواقع وذلك السياسة يمكن تطبيقها على مجموعه من اليوزر بعينها أو كل اليوزرز الموجودين فى الشبكه الداخليه
ملحوظة : - نفترض مثلا أننا وضعنا سياسة سماح لكل المواقع ثم قمنا بوضع سياسة حجب لموقع معين مثل YAHOO.COM تكون النتيجة أن الكلاينت يقدر الولوج الى كل المواقع على الشبكة العنكبوتيه عدا موقع الياهو
protocol rules : - وهو المسؤل عن وضع السياسات الخاصه بالسماح والمنع للبروتوكولات التى تمر عبر الأيزا ويمكن تطبيق هذه السياسه على يوزر بعينه أو على جروب بعينها أو على كل اليوزرز
ملحوظه:- تتحكم فى البرتكولات التى تتكون من TCP أو UDP فقط ومثال على ذلك ( HTTP -- HTTPS -- FTP )
ip packet filter : - وهى سياسه تطبق على الكارت الخارجى external وتسمح أو تحجب البروتوكولات عبر الأيزا ... كما أنها تسمح بالتحكم فى inbound traffic مثلا عند عمل puplish لموقع من الشبكه الداخليه أومن DMZ
متى نستخدم ip packet filter ؟
1 - فى حالة عمل نشر puplish سيرفر من الشبكة الداخلية أو DMZ
2 - تشغيل برنامج أو خدمة تحتاج للولوج الى الأنترنت مثل برامج p2p
3 - التحكم فى جميع البروتوكولات التى لاتعتمد على TCP أو UDP
routing rules : - وهى عملية يتم فيها اعادة توجية ال query الموجه لللأيزا من الكلاينت سواء ان يثم توجيه الأستعلام مباشرة الى الموقع المطلوب أو توجيه الى سيرفر ايزا آخر أو اعادة التوجيه الى موقع آخر
Retrieved directly from the specified destination
Sent to an upstream server
Redirected to an alternate site
انتهى الدرس
الدرس الخامس
بسم الله الرحمن الرحيم
فى هذا الدرس إن شاء الله سنقوم بتمرير النت على جهاز سيرفر الأيزا نفسه
من المعلوم أنه عندما نقوم بتنزيل أو تنصيب الأيزا على جهاز معين فإن هذا الجهاز لايستطيع الولوج إلى الشبكة العنكبوتية ومن ثم سنتعلم فى هذا الدرس كيفية تمرير النت الى الجهاز المنصب عليه سيرفر الأيزا
كل ماعلينا هو إنشاء ip packet filter جديدة ثم تابع الصور
الدرس السادس
إن شاء الله سنتكلم فى هذا الدرس عن كيفية تحديد أوقات تفعيل السياسة المطبقة لدينا سواء كانت sites and content rules أو protocol rules وذلك عن طريق إنشاء جدول يوضح الأوقات الذى ستطبق فيه هذه السياسة schedule
schedule : - هو الوقت الذى ستكون فيه السياسة فعالة سواء كانت سياسة سماح أو حجب وهذا مفيد جدا ..... وذلك عندما تريد منع الأنترنت فى أوقات العمل مثلا
الأن معا نبدأ بالتطبيق العملى ولكن نريد معرفة مانريد تطبيقه :
نحن نريد أن نقوم بإنشاء 2 جدول مختلفين
ونريد عمل سياسة سماح للبرتوكولات لتمرير الأنترنت للكلاينت من الساعه 12 الى الساعه 2 ظهرا يوميا وهذا مانشاهده بالصور .........
من هنا سنقوم بإنشاء أول جدول
هذا هو التحديد الأفتراضى للجدول
اللون الأزرق: - يشير إلى الأوقات التى يكون فيه تطبيق السياسة فعالا
اللون الأبيض : - يشير إلى الأوقات التى يكون فيها تطبيق السياسه غير فعالا
نحدد اسم لهذا الجدول ويستحسن تحديد اسم مناسب يدل على محتوى هذا الجدول كما يمكن كتابة وصف لهذا الجدول ........
نحدد باللون الأزرق الوقت الذى نريد أن تكون فيه السياسة فعالة
الأن أصبح لدينا جدول اسمه friday مهمته هو جعل السياسة المطبقة فعالة يوم الجمعه فقط ...
----------------------------------------------------------------------------------------------------------------------------
سنشرع فى تكوين جدول آخر بنفس الطريقه الماضيه مع تغير الأوقات التى نريد فيها أن يكون السياسة المطبقه فعاله
الأن أصبح عندنا جدول آخر اسمه test1--yasser هذا الجدول يكون نشط أى تكون السياسة قابلة للتطبيق كل يوم من الساعه 12 ظهرا الى الساعه 2 ظهرا...
--------------------------------------------------------------------------------------------------------------------------------
الأن نحن بصدد تكون سياسة protocol rules للسماح بمرور البرتكولات الازمة لتمرير النت للكلاينت مع العلم أنه مكون عندنا سياسة site and content rules تسمح بمرور كافة المواقع كما تم شرحه من قبل
من هنا نختار أى من الجدولين اللذين أنشأناهم ......
----------------------------------------------------------------------------------------------------------------------------
الأن لدينا سياسة protocol rules تسمح بمرور النت للكلاينت كل يوم من الساعه 12 الى 2 ظهرا
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم فى هذا الدرس عن client address sets وما هو فائدته
client address sets : -هو أحد مكونات policy elements وعن طريقه يمكن تحديد ip الجهاز الذى سوف يتم تطبيق عليه السياسة المحددة سواء حجب أو سماح سواء كانت هذه السياسة sites and content rules أو protocol rules أو bandwith priority وهذا ما سيتم شرحه بالتفصيل إن شاء الله فى التطبيق العملى
مانريد تطبيقه : -
-------------------------------------
1 - إنشاء client address set تشير إلى هذا ip : 192.168.0.5
2 - إنشاء client address set تشير إلى مجموعة عنواين ip على الشبكة الداخلية ابتداء
من 192.168.0.30 الى 192.138.0.40
من 192.168.0.70 الى 192.168.0.85
3 - إنشاء سياسة sites and content rules لحجب موقع الياهو عن الip 192.168.0.5
4 - طبعا يجب أن نكون عندنا destination set جاهزه لموقع الياهو كما تعلمنا من قبل
-----------------------------------------------------------------------------------------------------------------------------
أولا : نبدأ بتكوين client address set تشير الى 192.168.0.5
نقوم بتسمية client address كما فى الصورة
من هنا نقوم بإضاقة العنوان المطلوب الإشارة إليه
الأن قد انتهينا من تكوين أول client address والتى تشير الى العنوان 192.168.0.5
------------------------------------------------------------------------------------------------------------------------
ثانيا: نقوم بإنشاء client addtess set تشير إلى مجموعة عنواين
من 192.168.0.30 الى 192.138.0.40
من 192.168.0.70 الى 192.168.0.85
انتهينا من إضافة أول مجموعة عناوين... نعاود إضافة المجموعة الأخرى
الأن قد أصبح لدينا مجموعتان من العناوين فى client address set واحده
-----------------------------------------------------------------------------------------------------------------------------
ثالثا : المطلوب منا الأن هو حجب الموقع الياهو عن الزبون الذى يملك العنوان 192.168.0.5
تابع بالصور وستجد الأمر ميسور إن شاء الله
سنقوم بإنشاء sites and content rule لحجب هذا الموقع (الياهو) عن هذا العنوان المحدد
طبعا نختار من destination set المكونه مسبقا .... ونختار الموقع الذى نريد حجبه
هذا الموقع محظور على هذا العنوان طول الوقت
من هنا نختار أى عنوان أو مجموعة عنواين نريد تطبيق السياسة عليها
طبعا نحن هنا اخترنا test----1 لأنها تمثل العنوان المطلوب ألا وهو 192.168.0.5
الأن اصبح لدينا سياسة تحجب موقع الياهو عن العنوان 192.168.0.5 طوال الوقت طول الأسبوع
------------------------------------------------------------------------------------------------------------------------
انتهى الشرح
بسم الله الرحمن الرحيم
إن شاء الله فى درس اليوم سنتكلم عن موضوع bandwidth priority ونتعرف على فائدتها وكيفية تطبيقها عمليا إن شاء الله
bandwidth priority:- وهى التى تحدد الرتبة أو الأفضليه وذلك بالنسبه لبرتوكول معين أو موقع معين أو يوزر معين أو مجموعة عنواين محدده...... وهى عبارة عن وحدات تقيمية تبدأ من 1 الى 200 لبيان رتبة كل برتوكول بالنسه للأخر مثلا.... قد نستخدمها فى تحديد رتبة أعلى لمدير العمل عن باقى الموظفين لجعل سرعة النت على جهازه أسرع من أى يوزر مثلا..
ملحوظة : - لاتعتبر bandwidth priority تقسيم لخط النت الموجود عندى أبدا فهذا مفهوم خاطئ وإنما هى رتبه لجعل اليوزر الفلانى أسرع من اليوزر العلانى أو البروتوكول هذا يتدفق الى الزبائن أسرع من تدفق البروتوكول ذاك وذلك حسب الرتبه المحدده لكل منهما والتى تأخذ وحدات من 1 الى 200
الأن نتوجه على التطبيق العملى
مانريده هو جعل الزبائن تتصفح النت بسرعه أكبر من سرعة الدون لوود أو الولوج الى صفحات ال ftp
يتوجب علينا الأن عمل 2 bandwidth priority احده تشير إلى http protocol وتكون قيمتها كبيره مقارنة بال bandwidth priority الأخرى التى تشير الى ftp protocol
----------------------------------------------------------------------------------------------------------------------------
الأن نتوجه الى policiy elements ونقوم بالأتى
1 - إنشاء bandwidth priority الخاصه ب http protocol
نقوم بعمل تسمية تدل على محتوى bandwidth priority
وعندنا خيارين
outbound bandwidth : - بالنسبة لهذا المثال الخاص ب http protocol فإن هذا الرقم يمثل الرتبه فى حالة الكلاينت يطلبون برتوكول http مثل طلب تصفح مواقع الأنترنت مثلا
inbound bandwidth : - فهو يمثل قيمة الرتبه بالنسبة لل query الوارد الذى يسأل عن هذا البروتوكول وفى حالتنا هذه مثلا عندما يكون عندنا iis server وعندنا موقع خلف الأيزا والناس يتصفحون هذا الموقع فيعتبر هذا http inbound request
2 - إنشاء ال bandwidth priority الخاص ب ftp protocol
الأن قد انتهينا من تكوين bandwidth priorites
----------------------------------------------------------------------------------------------------------------------------
الأن نقوم بتكوين bandwidth rule
1 - سنقوم بتطبيق هذه السياسه على بروتوكول http على كل الزبائن وعلى كل المواقع التى تطلب من الأيزا طوال ايام الأسبوع
من هنا نختار bandwidth priority الخاصه ب http
1 - سنقوم بتطبيق هذه السياسه على بروتوكول ftp على كل الزبائن وعلى كل المواقع التى تطلب من الأيزا طوال ايام الأسبوع
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء اليوم سنتكلم عن content groups وكيفية الإستفاده منها
content groups : - هى عبارة عن مجموعة من الإمتدادت التى يسمح أو تحجب من المرور عبر الأيزا ويمكن التحكم فيها بسهوله كما يمكن إضافة امتدادت جديدة لها........ مثال على ذلك : عندما نريد أن نسمح للكلاينت بالولج لموقع الياهو مثلا ولكن نريد حجب الكلاينت عن مشاهدة الصور الموجود فيه ونستطيع أن نزيد من التحكم عن طريق اختيار نوع الصورة وامتدادها مثلا قد نريد ان نحجب جميع الصور ماعدا الصور التى لها امتداد jpg أو العكس........مثال آخر قد نريد أن نسمح للكلاينت بالولوج لموقع به مواد صوتيه ولكننا نريد أن نحجب عنهم المواد الصوتيه التى لها امتداد mp3 نستطيع فعل ذلك عن طريق content groups ...... وهى أحد أعضاء مجموعة policy elements ويسهل التعامل معها كما سنرى فى التطبيق العملى إن شاء الله
نتوجه إلى التطبيق العملى : -
الأن نريد تكوين سياسة تحجب الكلاينت من مشاهدة الصور الموجود بكافة المواقع والتى تحتوى على صور لها امتداد .gif
نقوم بعمل جروب جديده
نختار من القائمة المنسدلة available types الأمتدادات التى نريد تطبيق السياسة عليها سواء كانت سماح أو حجب
ونقوم بتسمية الجروب
كما نرى لقد انتهينا من تكوين الجروب الجديده ---------------------------------------------------------------------------------------------------------------------------
نذهب بعد ذلك إلى sites and content rules ثم نكون السياسة المطلوبه
من هنا نختار الجروب الذى قد أنشأناها من قبل
الأن أصبح لدينا السياسة التى تمنع الكلاينت من مشاهدة أى صورة على أى موقع فى أى وقت من أيام الأسبوع وتكون هذه الصورة من ذوى الأمتداد gif
هذه هى النتيجة لانرى أى صور لها أمتداد من النوع gif
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم فى هذا الدرس عن dial up entry ونتعرف عليها وعلى الفائده المرجوه منها إن شاء الله
dial up entry : - وهى تحدد الوسيله التى ستتصل بها الأيزا بالأنترنت أو بمزود الخدمه isp : كما أنها تفيد فى حالة أنها تعمل كا back up للأتصال الأساسى فى حالة فشله الولوج للنت
سنرى فى هذا المثال إعداد DIAL UP ENTRU
يجب اعداد اتصال CONNECTION عن طريق الموديم مثلا
تابع الشرح بالصور
انتهينا من المرحله الأولى ألا وهى تكوين اتصال عبر الموديم
------------------------------------------------------------------------------------------------------------------------
نتوجه الأن إلى إعدادات الأيزا
من هنا نكتب اسم لهذا DIAL كمان نقدر نكتب وصف له
ومن SELECT نستطيع إضافة الأتصال الذى سبقنا وقمنا بإعداده
من SELECT ACCOUNT نستطيع إضافة اليوزر والباسورد هما نفسهما الذى أضفناهما ونحن نجهز هذا الأتصال
الأن تكونت لدينا DIAL UP ENTRY التى نستخدمها فى حالة حدوث انقطاع الأتصال الأساسى من مزود الخدمه مثلا
إذا كان لدينا اكثر من dial up entry نستطيع جعل أيهما هو النشط عن طريق هذا الخيار set as active entry
انتهى الشرح
أرجو الدعاااااااااء
بسم الله الرحمن الرحيم
أن شاء الله : اليوم سنتعلم كيفية السماح للكلاينت باستخدام برنامج edonkey
كل ماعليك هو إتباع الصور والقيام بفتح البورتات كما هو موضح
طبعا كما هو موضح أننا سنقوم فى كل مره بإنشاء packet filter جديد ونقوم عن طريقه بفتح وتمرير البورتات المطلوبه
قد يتطرق إلى بعض الأذهان سؤال ألا وهو أننا لماذا استخدمنا packer filter ولم نستخدم protocol rules ؟؟؟؟؟؟
ليس هناك فرق ....... وذلك أن كل البورتات التى اعتمدنا عليها كانت معتمدين على بروتوكول tcp ---- udp فقط ومن هذا المنطلق وارد أننا نقوم بتكوين prtocol rules بدلا من ip packet filter ......
حيث أنه تتمثل حتمية استخدام packet filter فى تمرير بعض ال services او البرامج الى تعتمد على بروتكولات غير tcp -- udp
انتهى الدرس .... تستطيع استخدام edonkey بدون أى مشاكل مع الأيزا الأن
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم فى هذا الدرس عن كيفية جعل الكلاينت يستطيعون عمل PING خلف الأيزا
يجب أن يكون نوع الكلاينت SECURE NAT حتى يستطيع بعمل PING على اى عناوين على الأنترنت (موقع الياهو كما فى الصورة )
لاحظ معى أننا قمنا الأن بتجهيز كلاينت من النوع SECURE NAT ثم قمنا بعمل PING كانت النتيجه كما تشاهد
طيب ماهو الحل ؟؟؟؟
كل ماعلينا هو تفعيل IP PACKET ومن ثم تفعيل IP ROUTING فقط
تابع الصــور
ثم تكون النتـــــــيجة كالأتى
انتهى الدرس
بسم الله الرحمن الرحيم
فى هذا الدرس إن شاء الله سنتعلم كيفية نشر موقع تم إنشاءه على الجهاز المنصب عليه الأيزا باستخدام ip packet filter
طبعا من المعروف أنه فى هذه الحاله سيكون الأيزا متلقى requests من الأنترنت : إذا يجب علينا فتح البورتات الازمه لكى تمر الطلبات عبر الأيزا ويتم فتح الموقع المطلوب
ستواجهنا مش أخرى يجب التعرف عليها :نعرف أن الأيزا تتسمع للطلبات الواردة إليها من الأنترنت عبر البورت 80 : كما أنه عند نشر موقع باستخدام iis نجد أن البورت الأعتيادى لهذا السيرفر هو tcp 80 والذى من خلاله يتم الأتصال بالموقع عبر الأنترنت مما يؤدى إلى حدوث تعارض لذا وجب علينا تقديم حل مناسب لهذه المشكله : يجب علينا عند إعداد الموقع بإستخدام سيرفر iis تغيير البورت من 80 إلى أى بورت آخر حتى لايتعارض مع بورت التسمع فى الأيزا أو تغيير بورت التسمع فى الأيزا إلى أى بورت آخر ماعدا 80 وبهذا نكون قد تلافينا هذه المشكله
لاحظ مع الصور
شاهد مع بورت التسمع فى الأيزا tcp 80 وهذا هو البورت الأعتيادى للتسمع فى الأيزا والذى يوجب علينا تغييره .....
وهذا سيرفر iis ونرى فيه بورت tcp 80 وهذا بورت اعتيادى
الأن بعد تجاوز هذه المشكله وتغير port tcp 80 فى الأيزا أو سيرفر iis نتوجه إلى فتح البورتات المعنيه بمرور الطلبات عبر الأيزا
نقوم بإنشاء packet filter جديده
نقوم بإجراء تسمية مناسبة
نجعل هذا الفلتر للسماح لبروتوكولات محدده على بورتات بعينها
نقوم بفتح البورت 80 للبروتوكول tcp وهذا هو المعنى بفتح المواقع وصفحات النت عبر الأنترنت معنى هذا أنه قد تم ترك اعدادت سيرفر iis كما هى وترك البورت الأعتيادى tcp 80 له كما هو وان التغير قد يتم على الأيزا
هنا نكتب العنوان الخارجى للأيزا والذى سيكون متاح على الأنترنت لكل المتصفحين لهذا الموقع والذى عن طريقه يتم الأتصال بالموقع
من هنا نحدد ما إذا كنا نريد أن نسمح لكل الأشخاص بالأتصال بهذا الموقع أو يوزرز معينين
انتهينا من إعداد الفلتر الأن
------------------------------------------------------------------------------------------------------------
بقى عندنا شئ واحد ألا وهو تغير بورت الأستماع عند الأيزا
الأن أصبحت جاهزا لكى يتصفح الناس موقعك الذى أنشأته على الجهاز المنصب عليه الأيزا بعد تغيير بورت الأستماع للأيزا وترك البورت الأعتيادى لسيرفر iis كما هو والذى يتم الأتصال عن طريقه بالموقع الذى أنشأته :كما أنه تم إنشاء فلتر لفتح البورتات المناسبه لتلقى طلبات التصفح من الأشخاص الذين يريدون تصفح موقعك
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء الله سنتكلم اليوم عن publishing web rule
فى هذا الدرس سنتعلم كيفية استضافة موقع webserver على الشبكه الداخليه خلف الأيزا
ويتم ذلك عن طريق عمل publishing rule وهى تقوم بإعادة توجيه الطلبات التى يتلقاها الأيزا الى الجهاز المنصب عليه webserver
يجب علينا أولا إعداد destination set تحمل اسم الموقع أو عنوان الأيزا الخارجى external
بذلك نكون قد انتهينا من اعدادا destination set والتى سوف نحتاجها فى اعداد publishing rule
----------------------------------------------------------------------------------------------------------
الأن نقوم بإلقاء نظره على خصائص web server الذى أنشأناه على أحد أجهزة الكلاينت فى الشبكة الداخليه والذى يكون من النوع secure nat
لاحظ معى أننا قمنا بتغيير البورت الأفتراضى لل web server الى tcp 9995
وبالإطلاع على الدرس السابق لمعرفة ماهية هذا التغيير
-------------------------------------------------------------------------------------------------------
نشرع الأن فى تكوين web publishing rule
نقوم بوضع إسم مناسب يدل على اسم الموقع الذى نريد نشره خلف الأيزا
من هنا نقوم باختيار destination set الذى سبق وان اعددناه من قبل
1 - من هنا يتم رفض اى طلب ولايتم اعادة التوجيه للويب السيرفر
2 - من هنا يتم اعادة التوجيه : هنا نريد أن نفهم الأيزا انه عند تلقى اى طلب عن الموقع الذى تم اعداده وتم تسميته والإشاره اليه عن طريق destination set يتم اعادة التوجيه هذا الطلب الى الجهاز المنصب عليه الويب سيرفروالذى هو موجود بالشبكه الداخليه فنكتب هنا العنوان الخاص بهذا الويب سيرفر
3 - هذا الأختيار نستخدمه عندما يكون هنا نشر لأكثر من موقع على ويب سيرفر
4 - نلاحظ هنا أننا قمنا بتغيير البورت الخاص بالأتصال بالويب سيرفر وذلك طبقا لإعدادت الويب السيرفر الذى قمنا بإنشاءه .......
5 - البورت الخاص ب ssl
6 - البورت الخاص بالأتصال ب ftp
الأن انتهينا بإعداد web publishing rule
الأن أى شخص يقوم بطلب هذا الموقع ( www.mydomain.com ) مثلا والذى يمثل external ip للأيزا .. يقوم الأيزا بإعادة توجيه هذا الطلب إلى ويب سيرفر فى الشبكة الداخليه lat للأجابه عن هذا الطلب وفتح هذا الموقع من هذا الجهاز المنصب عليه الويب سيرفر
-------------------------------------------------------------------------------------------------------
هناك مسأله أخرى نفترض أننا نريد عمل publishing rule لنشر موقع منصب على الجهاز المنصب عليه الأيزا الخطوات ستبقى كما هى لاتغيير إلا فى خطوه واحده
ألا وهى عندما نكتب اعادة التوجيه لجهاز على الشبكة الداخليه المنصب عيها الويب سيرفر كم فى الشكل
بدلا من هذا سنكتب internal ip الخاص بجهاز الأيزا وبذلك سيتم إعادة التوجيه إلى جهاز الأيزا نفسه
طبعا قد تعلمنا فى الدرس السابق أنه ممكن عمل هذا ( نشر ويب سيرفر على جهاز الأيزا ) باستخدام ip packet filter
----------------------------------------------------------------------------------------------------------
انتهى الدرس
بسم الله الرحمن الرحيم
إن شاء الله سنتعلم فى هذا الدرس كيفية فتح البورتات المناسبه لكى نستطيع استضافة ftp server على الجهاز المنصب عليه الأيزا ....
كل المطوب : هو اعداد ftp سيرفر وبعد ذلك نتجه إلى الأيزا فى ip packet filter لكى نفتح البورتات الازمه
تابع الصور ....
الأن قد تم فتح جميع البورتات الازمه لكى يستطيع اليوزر فتح ال ftp المنصب على الأيزا
________________________________________
بسم الله الرحمن الرحيم
إن شاء الله فى هذا الدرس سنتعلم كيفية استضافة ftp server خلف الأيزا وذلك عن طريق إنشاء server publishing rule
مفترض أننا قمنا بإعداد سيرفر ftp خلف الأيزا على أحد أجهزة الشبكة الداخلية ونريد أن يقوم اى شخص على الأنترنت بالولوج لهذا ftp server علينا الأتى :
نقوم بإنشاء server publishing جديده
ثم نطلق عليها تسمية مناسبه
بعد ذلك نجد أمامنا خيارين كما هو موضح فى الصوره
1 - نضع عنوان الجهاز الموجود فى الشبكه الداخليه والذى قمنا بإعداد ftp server عليه
2 - نقوم بوضع عنوان الأيزا الخارجى external
بعد ذلك نحدد نوع السيرفر الذى قمنا بإعداده على أحد أجهزة الشبكة الداخليه والذى نيرد عمل له نشر خلف الأيزا ألا وهو ftp كما فى حالتنا هذه
من هنا نحدد ما إذا كانت هذه ال rule ستطبق على جهاز بعينه أو اى جهاز على الانترنت اى كافة الأشخاص يستطيعون الدخول لهذا ftp
كما نرى انتهى الدرس
الأن يستطيع أى شخص الولوج الى سيرفر ftp الموجود على أحد أجهزة الشبكة الداخلية خلف الأيزا