báo cáo thực tập isa server 2006

Access Rule DNS Query Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall Policy, chọn New chọn Access Rule Hộp thoại Access Rule Names, đặt tên rule là: DNS Query...

LỜI MỞ ĐẦU -ooOOoo -

Trước tiên em xin ch}n th{nh c|m ơn trung t}m Đ{o Tạo & Quản Trị Mạng Athena đ~ tạo điều kiện cho em thực tập Sau đ}y l{ b|o c|o về đề tài của em khi thực tập ở đ}y

ISA Server 2006 là hệ thống tường lửa được sử dụng trong hầu hết các hệ thống mạng doanh nghiệp vừa và nhỏ, phiên bản ISA Server 2006 có những điểm cải tiến so với phiên bản 2004, dưới đ}y l{ b|o c|o qu| trình thực hiện của em trên nền máy ảo VMWare WorkStation

Trong qu| trình thưc hiện không thể tránh khỏi sai sót, kính mong thầy cô góp ý,

em xin chân thành cảm ơn!

Mục lục

I Giới thiệu 3

A Mục đích phải sử dụng ISA 3

B Ưu điểm và hạn chế của ISA 3

1 Ưu điểm: 3

2 Hạn chế: 4

C So sánh các phiên bản ISA 4

II Cài đặt ISA Server 2006 5

III Access Rule 8

A Access Rule( DNS Query) 9

B Tình huống 2 17

C Tình huống 3 25

D Tình huống 3 37

E Tình huống 4 44

IV Application & web filter 50

V Server Publishing 55

D Publish Web server 103

VI VPN 109

VII CACHING 123

Vì vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống mạng của tổ chức đó

B Ưu điểm và hạn chế của ISA

1 Ưu điểm:

 Firewall được dùng để ngăn chặn các trang web xấu vào một quốc gia, tổ chức, doanh nghiệp Ngăn chặn các truy cập tr|i phép cũng như c|c cuộc tấn công lấy cắp dữ liệu, đ|nh sập mạng máy tính của hacker

 Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng máy tính một cách khá chắc chắn Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã nguy hiểm hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng

 Firewall có thể được cấu hình để khóa dữ liệu từ các vị trí cụ thể trong khi vẫn đảm bảo cho dữ liệu cần thiết có thể đi qua

2 Hạn chế:

 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Do đó Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải x|c định rõ các thông số địa chỉ

 Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không

đi qua nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp ph|p lên đĩa mềm

 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đ}y Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều c|ch để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall

ISA Server 2006 là phiên bản tiếp theo của sản phẩm Microsoft ISA Server Có

một số tính năng mới so với phiên bản ISA 2004 như :

+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP publishing

+ Hổ trợ SharePoint Portal Server

+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener

+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

Hiện nay ISA 2006 có 2 phiên bản Standard và Enterprise

- Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng vừa và nhỏ

- Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng lớn, đ|p ứng được nhu cầu trao đổi thông tin lớn giữa mạng nội bộ và bên ngoài Ngoài những tính năng đ~ có trên ISA Standard Edition, ưu điểm chính của Enterprise là hỗ trợ CPU không giới hạn, quản lý tập trung cấu hình và cân bằng tải tối đa 32 Server

Những chức năng được thực hiện:

II Cài đặt ISA Server 2006

Chúng ta sẽ xây dựng và sử dụng 3 máy tính ảo theo mô hình sau :

Máy tên ISA Server sẽ cài đặt ISA Server 2006, máy này sẽ có 2 interface Ta đặt tên

cho 2 interface này như sau :

 LAN : kết nối tới các traffict trong Internal

 WAN : kết nối tới các traffict ở External

Cấu hình thông số Ip trên 2 interface này :

Máy tên DC là máy đại diện cho các traffic từ Internal đến máy ISA Tại máy này ta sẽ

nâng

cấp thành Domain Controller, Mail Server, Web Server Cấu hình thông số Ip trên máy

này

- Nâng cấp m|y DC lên Domain Controller v{ đặt tên domain: athena.com.vn

- Join máy ISA server vào domain

Sau đó chúng ta sẽ kiểm tra kết nối từ m|y DC đến máy ISA, từ ISA đến DC, từ ISA đến internet

Tiếp theo, trên máy DC ta sẽ tạo c|c đối tượng sau :

Cài đặt ISA server 2006:

- Trên m|y c{i đặt ISA server: Log on vào máy ISA2k6 với User Administrator

vào chạy chương trình Setup ISA Server -> chọn Install ISA Server 2006

- Chọn Add Adapter

- Kế tiếp ta check vào card mạng mà ta muốn ISA Server quản lý -> chọn OK Chú ý:

Sau qu| trình c{i đặt, ISA sẽ khóa tất cả cổng ra vào của hệ thống mạng Vì vậy máy DC và Client không thể truy cập Internet v{ ping m|y ISA server được Tuy nhiên từ máy ISA Server ping tới các máy phía trong vẫn bình thường

III Access Rule

Quy định những traffict nào sẽ được đi qua ISA Server Đ}y l{ th{nh phần quan trọng của ISA Server Chúng ta sẽ tìm hiểu về Access Rule thông qua những tình huống được nêu ra ở các mục bên dưới

Default Rule đ~ cấm mọi traffic ra vào thông qua ISA Server Như vậy, để các

máy trong Internal truy cập ra ngoài bằng domain name, cần phải có DNS Server

phân giải các domain name này Ở đây ta sẽ sử dụng DNS Server của ISP

Nếu chúng ta không sử dụng DNS sever của ISP thì cúng ta có thể tạo Access Rule cho phép chúng ta phân giải tên miền bên ngoài không cần đến DNS sever của ISP

Chúng ta cấu hình như sau:

A Access Rule( DNS Query)

Tại máy ISA Server, mở ISA Server Management, phải chuột vào Firewall Policy, chọn New chọn Access Rule

Hộp thoại Access Rule Names, đặt tên rule là: DNS Query

Hộp thoại Rule Action, chọn Allow

Hộp thoại Protocols, chọn Selected Protocols và nhấn Add

Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn DNS, nhấn Add, nhấn Next

Hộp thoại Access Rule Sources, Add : Internal và Local Host Thực tế thì ta không nên chọn Local Host

Hộp thoại Access Rule Destinaton, Add : External, nhấn Next

Hộp thoại User Sets, chọn All Users, nhấn Next

Hộp thoại Completing the New Access Rule Wizard, kiểm tra lại thông tin về

Rule lần cuối, sau đó nhấn Finish Nhấn chọn Apply, Ok

Trong cửa sổ ISA Server Management, tại cửa sổ thứ 3, chọn tab Toolbox, bung mục Users, chọn New, hộp thoại User set name, đặt tên là Maketing rồi nhấn Next

Hộp thoại Users, nhấn Add, chọn Windows users and groups…

Add 2 users Man1 và Man2 vào hộp thoại Users

Trong hộp thoại Completing, chọn Finish Nhấn Apply

Thực hiện tương tự cho c|c đối tượng còn lại

Bước tiếp theo ta sẽ tạo access rule theo yêu cầu trên Chuột phải Firewall Policy, chọn New, chọn Access Rule

Hộp thoại Access Rule Names, đặt tên rule là: Allow Maketing – Full Access

Hộp thoại Rule Action, chọn Allow

Hộp thoại Protocols, chọn All outbound traffic

Hộp thoại Access Rule Sources, add Internal, chọn Next

Hộp thoại Access Rule Destinaton, add External, chọn Next

Hộp thoại User Sets, remove group All Users, và add group Maketing vào, chọn Next

Hộp thoại Completing the New Access Rule Wizard, chọn Finish

Nhấn chọn Apply, chọn OK

Kiểm tra kết quả

Logon user athena\Ma1

Mở Command Prompt gõ lệnh nslookup Phân giải các tên miền ở External

http://www.nhatrang-Giờ làm việc được quy định : 8h-12h sáng và 14h – 18h chiều

Ta sẽ định nghĩa c|c trang Web được phép truy cập như sau:

Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Network Objects, nhấn New, chọn URL Set

Trong hộp thoại New URL Set Ô Name , nhập tên: Allow Web, nhập các trang web

mà bạn cho phép

Tương tự như vậy, ta định nghĩa luôn c|c trang Web không cho phép với tên là Restrict Web

Tiếp theo, ta sẽ định nghĩa khoảng giờ làm việc của cty như sau :

Trong cửa sổ ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung mục Schedules, chọn New

Trong ô Name, nhập tên Work Time Bên dưới chọn từ (8h - 12h) và từ (2h – 6h)

Tương tự, chúng ta tạo thêm Rest time từ 12h-2h

Cuối cùng, ta sẽ định nghĩa rule cho tình huống này

Chuột phải Firewall Policy, chọn New, chọn Access Rule Hộp thoại Access Rule Names, đặt tên rule là: Users on Work Time

Hộp thoại Rule Action, chọn Allow

Hộp thoại Protocols, chọn Selected Protocols và nhấn Add Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add Nhấn Next

Hộp thoại Access Rule Sources, add Internal

Hộp thoại Access Rule Destinaton, nhấn Add Bung URL Sets, chọn Allow Web Nhấn Next

Hộp thoại User Sets, chọn All Users, nhấn Next

Hộp thoại Completing the New Access Rule Wizard, nhấn Finish Chuột phải lên rule Users on Work Time, chọn Properties

Kiểm tra kết quả

Log user athena\t1 kiểm tra

Truy cập trang http://www.vnexpress.net

Hộp thoại Rule Action, chọn Allow

Hộp thoại Protocols, chọn Selected Protocols và nhấn Add Trong hộp thoại Add Protocols, bung mục Common Protocols, chọn HTTP và HTTPS, nhấn Add Nhấn Next

Hộp thoại Access Rule Sources, add Internal, nhấn Next

Hộp thoại Access Rule Destinaton, add External, nhấn Next

Hộp thoại User Sets, chọn All Users, nhấn Next

Hộp thoại Completing the New Access Rule Wizard, nhấn Finish

Chuột phải lên rule Users on Rest Time, chọn Properties

Qua Tab Schedule, trong mục Schedule, chọn Rest Time Qua tab To, khung Exceptions, nhấn Add Bung mục URL Sets, chọn Restrict Web

Nhấn Apply, chọn OK

Tương tự qua tab Schedule chọn Rest time

Kiểm tra kết quả

Log on user athena\man1 kiểm tra

Truy cập các trang http://24h.com.vn/ và http://bongdaso.com; http://google.com

E Tình huống 4

Công ty cho phép các nhân viên được phép gởi mail trong giờ làm việc

Ta thiết lập rule như sau :

Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn New, chọn Access Rule Hộp thoại Access Rule Names, đặt tên rule là: Allow Send Mail on Work

Time

Hộp thoại Rule Action, chọn Allow

Hộp thoại Protocols, chọn Selected Protocol, nhấn Add

Trong hộp thoại Add Protocols, bung mục Mail, chọn SMTP, POP3, SMTPS, POP3S, IMAP4, IMAPS nhấn Add Nhấn Next

Hộp thoại Access Rule Sources, Add Internal, nhấn Next

Hộp thoại Access Rule Destinaton, add External, nhấn Next

Hộp thoại User Sets, bạn chọn All Users

Hộp thoại Completing the New Access Rule Wizard, Finish

Nhấn chọn Apply, nhấn OK

Chuột phải lên rule Allow send mail on Work Time, chọn Properties Qua Tab Schedule, trong mục Schedule, chọn Work Time

Nhấn Apply, chọn OK

User dùng Outlook Express gởi mail để kiểm tra kết quả

IV Application & web filter

Application Filter là phần mở rộng của Microsoft cho phép các hãng thứ 3 có thể phát triển các ứng dụng tích hợp vào ISA Server Một trong các hãng phát triển Add‐

in cho ISA Server là GFI Tham khảo GFI tại trang web : www.gfi.com GFI hỗ trợ ISA Server phần HTTP Filtering khá tốt Web Filter cho phép ISA Server quản lý được Packet Data ở tầng Application Web Application Filter được sử dụng nhiều nhất trên c|c Application Firewall vì liên quan đến Web Traffic

Yêu cầu của cty Athena đặt ra cho các nhân viên của phòng ban Maketing trong giờ làm việc không được nghe nhạc trực tuyến, không được down load các file

có phần mở rộng là *.mp3, *.exe, *.avi Ngoài ra, cũng không được chat bằng Yahoo Messenger Ta sẽ thiết lập yêu cầu này như sau :

Tại máy ISA Server, trong cửa sổ ISA Server Management, chuột phải lên rule

Maketing, chọn Configure HTTP

Qua tab Extensions, trong khung Specify the action taken for HTTP methods, chọn Block specified methods (allow all others)

Nhập vào những định dạng file mà bạn muốn cấm : *.mp3, *.exe, *.avi

Chuột phải lên rule Maketing, chọn Properties, qua tab Content Types, khung This rule applies to, chọn Selected content types

Trong khung Content Types bỏ dấu chọn ô Audio v{ Video (để user không nghe nhạc trực tuyến) Nhấn Apply, chọn OK

Đối với Yahoo Messenger, ta sẽ chặn bằng Signatures Chuột phải lên rule Maketing, chọn Configure HTTP Qua tab Signatures, nhấn Add Ở khung Name, nhập tên: Deny Yahoo Messenger

Khung Search in, chọn tùy chọn: Request headers

Khung HTTP Header, nhập: Host:

Khung Signature, nhập: msg.yahoo.com chọn OK

Nhấn Apply, chọn OK

- Máy ISA : logon athena/administrator cài thêm dịch vụ DNS tại đ}y

Tại Forward lookup zone, tạo New Zone, chọn Primary Zone với tên athena.edu.vn

Cửa sổ Dynamic update chọn “ do not allow …”

Xóa host được tạo ra ứng với interface Local

Tương tự tại mục Reverse lookup zone tạo New Zone, chọn Primary Zone

Chỉnh DNS trên máy ISA chỉ lắng nghe về phía card Lan Bằng cách phải chuột lên

PC ISA, chọn properties

Chọn only the following IP …, v{ Remove ip 192.168.2.111

Sau đó Restar lại dịch vụ DNS

Kiểm tra phân giải DNS trên máy ISA

Tiếp theo, trên máy ISA tạo rule publish DNS

Chọn non-web server …, đặt tên rule l{ “ publish DNS “

Điền Ip trên card Lan

Mục Select Protocol, chọn DNS server

Mục Network Listener Ip Address, chọn External

Kiểm tra trên máy Internet

Chỉnh Preferer DNS về IP của card ngoài máy ISA

Vào Run gõ cmd kiểm tra bằng nslookup

Publish Mail Exchange Server :

Trên ISA tạo rule “ Allow send mail “ cho phép Internal được phép gởi mail ra ngoài

External

Chọn protocol : POP3, POP3S, IMAP, IMAPS, SMTP, SMTPS

Mục Access Rule Source chọn Internal

Mục Access Rule Source chọn External

Mục Users set chọn All users Nhấn Next, kiểm ta và chọn Finish

Tại ISA Management, chuột phải vào Firewall Policy chọn mail server publishing rule

Tại giao diện Welcome, đặt tên publish Exchange

Giao diện Select Access Type, chọn Client access …

Mục Select Services, chọn standard & secure port như hình

Điền IP của máy DC

Mục Network Listener Ip Address, chọn external

Nhấn Next, kiểm tra lại và nhấn Finish

Trên máy DC , vào All Program chọn OE , phải chuột chọn Run as …

Logon với tên u1, Display Name điền vào tên u1

Nhập vào Email Address : u1@athena.edu.vn

Incoming & outgoing : mail.athena.edu.vn

Nhập User & pass đ~ tạo trên máy DC Rồi nhấn Next

Account mail của u1 vừa tạo, chọn properties

Tab server, check vào mục “ My Server Require … “

Tab advanced, check vào 2 mục Outgoing và Incoming, mục “ Leave a … “

Nhấn Send & Receive kiểm tra

Nhấn Create Mail, tạo mail gởi cho u2

Mail đ~ gởi thành công

Tại máy Internet mở OE tạo tài khoản u2

Tài khoản mail : u2@athena.edu.vn

Incoming & outgoing : mail.athena.edu.vn

Nhập vào Tên và Pass của user u2 đ~ tạo trên máy DC

Tab Server

Reply mail lại cho u1

Đ~ gởi thành công

U1 nhận được mail từ u2

Publish OWA

Tại máy DC Mở IIS và bỏ check “ require secure channel SSL “

Tại máy ISA 1 tạo rule để publish OWA, chuột phải vào Firewall Policy chọn Exchange

Web Client …

Chọn phiên bản là exchange 2007, check vào mục OutLook Web Access

Mục Publishing Type, chọn Publish a single web

Mục Server Publishing Security, chọn use non secure …