BÁO cáo đề tài ISA SERVER (internet security and acceleration server)

Điều này xuất phát từ tính đa dạng của các hệ thống thiết bị và các đặc tính quản l của các loại thiết bị, và xa hơn nữa là chiến lược quản l phải phù hợp với kiến trúc mạng và đáp ứng y

Trang 1

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

-o0o -

BÁO CÁO ĐỀ TÀI ISA SERVER

(Internet Security and Acceleration Server)

MÔN: QUẢN TRỊ HỆ THỐNG MẠNG Download tài liệu miễn phí tại IKIDOC.COM

Trang 2

Trang 2

MỤC LỤC:

I/ Giới thiệu:

1.1/G ớ ệ tổng quan ề ả ệ ạ : 6

1.2/Mục đíc bà báo cáo: .7

II/ ISA server: 2.1/ Giới thiệu: 8

2.2/ Chức ă của phần mềm 9

2.3/Cà đặt ISA Server 2006 9

Bước 1: Nâng cấp DC cho ISA2 ( isa.local ), ISA1 join domain 10

Bước 2: Cài “ISA 2006” lên ISA1 10

Bước 3: Cài đặt SP1 cho ISA Server 15

Bước 4: Tạo Rule kiểm tra đường chuyền 17

Bước 5: Cấu hình Automatic Discovery 22

Bước 6: Cấu hình Remote Management 35

Một s ứng dụng thực tế: 1 Tạo rule cho phép traffic DNS Query để phân giải tên miền 38

2 Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net trong giờ làm việc 44

3 Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế

52

4 Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao 53

5 Chỉ cho xem “chữ” 55

6 Cấm xem trang www.kenh14.vn –Redirect về vnexpress.net: 56

7 Cấm chat yahoo 59

8 Cấm down file có đuôi exe 64

9 Monitoring 66

LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com

Trang 3

10 Caching 76

Triển khai Mô hình VPN TO GATEWAY 1 Tạo domain user u1/123, Properties Allow acess 84

2 Xác đinh Pool số IP được gắn 84

3 Bật tính năng VPN client access, xác định số VPN kết nối tối đa, đồng thời .86

4 Định nghĩa nhóm VPN client 88

5 Tạo Rule cho phép kết nối VPN 89

6 Kiểm tra 89

2.4/ Đá á cô cụ ISA server 2006: 2.4.1/ Điểm yếu của của ISA server so với Forefront TMG 94

2.4.2/ Ưu điểm của ISA server 2006 so với ISA server 2004 96

2.5/ Lời khuyên dành cho nhà quản trị ISA server 98

III/ Kết luận 98

IV/ Tài liệu tham khảo 99

Trang 4

c u từ phía người sử dụng dịch vụ Mặt khác các nhà khai thác mạng, nhà cung cấp thiết bị và người sử dụng thường áp dụng các phương pháp chiến lược khác nhau cho việc quản l mạng

và thiết bị của mình Mỗi nhà cung cấp thiết bị thường đưa ra giải pháp quản l mạng riêng cho sản phẩm của mình Trong bối cảnh hội tụ mạng hiện nay, số lượng thiết bị và dịch vụ rất

đa dạng và phức tạp đ tạo ra các thách thức lớn trong vấn đề quản l mạng

Nhiệm vụ của quản l mạng rất rõ ràng về mặt nguyên tắc chung, nhưng các bài toán quản l cụ thể lại có độ phức tạp rất lớn Điều này xuất phát từ tính đa dạng của các hệ thống thiết bị và các đặc tính quản l của các loại thiết bị, và xa hơn nữa là chiến lược quản l phải phù hợp với kiến trúc mạng và đáp ứng yêu c u của người sử dụng Một loạt các thiết bị điển hình c n được quản l gồm: Máy tính cá nhân, máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, các thiết bị đ u cuối, thiết bị đo kiểm, máy điện thoại, tổng đài điện thoại nội bộ, các thiết bị truyền hình, máy quay, modem, bộ ghép kênh, bộ chuyển đổi giao thức,

CSU/DSU, bộ ghép kênh thống kê, bộ ghép và giải gói, thiết bị tương thích ISDN, card NIC, các bộ mã hoá và giải mã tín hiệu, thiết bị nén dữ liệu, các gateway, các bộ xử lý front-end,

Trang 5

các đường trung kế, DSC/DAC, các bộ lặp, bộ tái tạo tín hiệu, các thiết bị chuyển mạch, các bridge, router và switch, tất cả mới chỉ là một ph n của danh sách các thiết bị sẽ phải được quản l

Toàn cảnh của bức tranh quản l phải bao gồm quản l các tài nguyên mạng cũng như các tài nguyên dịch vụ, người sử dụng, các ứng dụng hệ thống, các cơ sở dữ liệu khác nhau trong các loại môi trường ứng dụng Về mặt kĩ thuật, tất cả thông tin trên được thu thập, trao đổi và được kết hợp với hoạt động quản l mạng dưới dạng các số liệu quản l bởi các kĩ thuật tương tự như các kĩ thuật sử dụng trong mạng truyền số liệu Tuy nhiên sự khác nhau căn bản giữa truyền thông số liệu và trao đổi thông tin quản l là việc trao đổi thông tin quản

l đ i hỏi các trường dữ liệu chuyên biệt, các giao thức truyền thông cũng như các mô hình thông tin chuyên biệt, các kỹ năng chuyên biệt để có thể thiết kế, vận hành hệ thống quản l cũng như biên dịch các thông tin quản l về báo lỗi, hiện trạng hệ thống, cấu hình và độ bảo mật

 Mục đích và t m bao quát của bài viết:

Bài viết tập trung nói về công cụ quản lý mạng (ở đây là ISA server) Giúp người quản trị quản lý mạng một cách an toàn

1.2/Mục đíc bài báo cáo:

ISA Server là ph n mềm chia sẻ Internet của h ng Microsoft Đây là một trong những ph n mềm tường lửa (Firewall) được ưa chuộng trên thị trường hiện nay nhờ vào khả năng bảo vệ

hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt

Nội dung của bài báo cáo gói gọn trong các vấn đề cấu hình hệ thống ISA SERVER trở thành một Firewall mạnh mà vẫn đáp ứng được các yêu c u sử dụng các dịch vụ từ xa, phục vụ cho

cả các Client bên trong truy cập các dịch vụ bên ngoài (internet), lẫn các Client bên ngoài

Trang 6

Trang 6

(Internet Clients) c n truy cập các dịch vụ bên trong Mạng tổ chức

Firewalls luôn giữ truyền thống là một trong các loại thiết bị Mạng cấu hình phức tạp nhất

và duy trì hoạt động của nó để bảo vệ Network cũng gặp không ít thử thách cho các Security Admin C n có những kiến thức cơ bản về TCP/IP và các Network Services để hiểu rõ một Firewall làm việc như thế nào Tuy nhiên cũng không nhất thiết phải trở thành một chuyên gia về hạ t ng Mạng (network infrastructure ) mới có thể sử dụng được ISA SERVER như một Network Firewall

Bài báo cáo mô tả các vấn đề:

 Giúp bạn hiểu các tính năng có mặt trên ISA Server

 Cung cấp những lời khuyên cụ thể khi dùng tài liệu để cấu hình ISA Server

 Mô tả chi tiết thực hành triển khai (ISA SERVER)

 Mục đích của đề tài là hướng dẫn cài đặt và cấu hình ISA server Cách sử dụng công cụ ISA server, giúp người quản trị hệ thống mạng nắm bắt, hiểu rõ cách triển khai 1 hệ thống mạng an toàn

II/ ISA server:

2.1/ Giới thiệu:

Microsoft Internet Security and Acceleration Sever (ISA Server) là ph n mềm share internet của hãng ph n mềm nổi tiếng Microsoft Có thể nói đây là một ph n mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn

ISA Server là một ph n quan trọng trong một kế hoạch tổng thể để bảo mật mạng

Trang 7

trong một tổ chức

ISA Server thông thường được lắp đặt tại vành đai mạng và được sử dụng để ngăn chặn các truy cập trái phép vào một mạng nội bộ, cũng như giới hạn cho phép truy cập từ mạng nội bộ đến Internet

2.2/ Chức ă của phần mềm:

ISA Server cung cấp các tính năng tường lửa Như:

 Lọc gói tin(packet filtering)

 Lọc trạng thái(stateful filtering)

 Lọc t ng ứng dụng(application-layer filtering)

ISA Server cho phép truy cập an toàn vào Internet bằng cách đảm bảo rằng khách hàng có thể truy cập chỉ những tài nguyên c n thiết trên Internet, và bằng cách đảm bảo rằng việc kết nối và truyền dữ liệu cả đến và đi từ Inernet được an toàn

ISA Server cho phép truy cập an toàn từ Internet vào tài nguyên mạng cục bộ thông qua việc sử dụng Web publishing rules, secure Web publishing rules và server publishing rules Những nguyên tắc publishing này giới hạn người có thể truy cập vào mạng cục bộ và những gì có thể được xem cùng một lúc được truy cập mạng cục bộ

ISA Server có thể cho phép truy cập an toàn đến máy chủ E-mail bằng việc ngăn chặn các cuộc tấn công máy chủ, lọc thư rác đến và file đính kèm ISA Server cũng cho phép client kết nối an toàn đến Exchange Server sử dụng một loạt các giao thức client

ISA Server có thể cho phép kết nối an toàn đến tài nguyên mạng cục bộ bằng các kết nối VPN được kích hoạt cho các client từ xa và các trang web

Trang 8

Trang 8

2.3/Cà đặt ISA Server Standard:

Mô hình triển khai:

Bước 1: Nâng cấp DC cho ISA2 ( isa.local ), ISA1 join domain

Bước 2: Cài “ISA 2006” lên ISA1

Trang 9

- Chạy file autorun trong bộ cài đặt

Chọn Intall ISA Server 2006

Trang 10

Trang 10

- Trả lời các câu hỏi bản quyền, serial …

- Setup type chọn: Typical

Trang 11

- Hộp thoại Internal Network -> Add ->khai báo range IP internal -> OK-> next

Trang 12

Trang 12

- Chọn các giá trị mặc định -> Finish

Trang 13

Bước 3: Cài đặt SP1 cho ISA Server

Trang 14

Trang 14

Trang 15

- Restart lại máy

Bước 4: Tạo Rule kiểm tra đường chuyền

- Mở ISA Management và chọn như hình dưới

Trang 17

- Protocol chọn All outbound Traffice -> Next

- Access Rule Source -> Add -> chọn “Internal”&”Localhost”

Trang 18

Trang 18

- Access Rule Destinations -> Add -> External

- User Set -> All Users -> Next

Trang 19

- Finish

- Apply

Trang 20

Trang 20

Kiểm tra truy cập vào Internet ( từ ISA2 ):

Trang 21

Bước 5: Cấu hình Automatic Discovery

+ Tại ISA1:

ISA Server Management -> Configuration -> Network -> Properties Internal ->

Publish automatic discovery information

+ Tại ISA2:

- 1 Cài đặt DHCP:

Control Panel > Add or Remove Programs > Chọn Add/Remove Windows Component > Networking Services > chọn details

Trang 22

Trang 22

Chọn “Dynamic Host Configuration Protocol (DHCP)” > Ok > Next

Trang 23

Start > Program > Administrative tools > DHCP

Chuột phải lên isa2.isa.local > Chọn Authorise

Chuột phải isa2.isa.local > Chọn New scope >

Trang 24

Trang 24

Màn hình welcome > Next > Scope name : đặt tên scope : ISA Scope > Next

Trang 25

Điền dãy IP sẽ cấp cho mạng lan

( Không chọn 172.16.1.3 đến 172.16.1.9 vì để dành cho trường hợp hệ thống phát sinh thêm

Trang 26

Trang 26

server và không chọn cấp dãy IP 172.16.1.1 & 172.16.1.2 )

Add Excutions ( dùng khi không muốn cấp 1 IP nào đó trong d y IP của scope )

Ở đây để mặc định vì không loại bỏ IP nào trong dãy IP này cả

Màn hình lease Duration ( thời gian sử dụng 1 IP ) > chọn Next

Trang 27

Màn hình Configure DHCP Options : chọn “Yes , I want to configure these option now” >

chọn Next

Màn hình Router (default gateway ) :

Trong ô

Trang 28

Trang 28

Parent Domain : isa.local Server name : isa.local > chọn Resolve Trong ô IP address đ nhận đúng IP server > chọn Add

Màn hình Wins > Điền trong ô server name : isa.local > Chọn resolve > Trong ô IP address

đ nhận đúng IP server > chọn Add > Next

Trang 29

Màn hình Activate > Chọn “Yes, I want to activate this scope now”

> Next > Finish

Trang 30

Trang 30

- 2 DHCP > Set Predefined options

Chọn Add để khai báo option mới

Trang 31

Chọn Option Name: 252 WPAD

Nhập Valule: http://isa1.isa.local:80/WPAD.DAT

Trang 33

Bước 6: Cấu hình Remote Management

Tại máy ISA1:

Mở ISA Server Management > Firewall Policy > Toolbox > Network Objects > Computer Sets > Remote Management Computer >Double click

Add > Computer > khai báo tên & địa chỉ máy chẳn (172.16.1.2) > OK ->Trở về cửa

sổ chính > Apply

Trang 34

Trang 34

Tại máy ISA2:

Chạy AutoRun của bộ Software ISA 2006 è Chọn cấu hình mặc định èChương trình

tự động gợi ý chọn ISA Management è chọn các thông số mặc định để hoàn tất việc cài đặt

Chạy ISA Management c click nút phải chuột trên ISA Management è Connect

Trang 35

to è Nhập tên máy lẻ

Trang 36

Trang 36

Lúc này có thể thực hiện các thao tác trên ISA 2006 như tại máy lẻ

MỘT SỐ ỨNG DỤNG THỰC TẾ

1 Tạo rule cho phép traffic DNS Query để phân giải tên miền:

ISA Management > Firewall Policy > New > Access Rule

Trang 37

Gõ “DNS Query” vào ô Access Rule Name > Next

Trang 38

Trang 38

Action chọn “Allow” > Next

Trong “This Rule Apply to:” chọn “Selected Protocols” Add > Common Protocol > DNS >

Trang 39

OK > Next

Trang 40

Trang 40

Trong “Access Rule Source” > Add > Networks > Internal > Add > Close > Next

Trong “Access Rule Destination” > Add > Networks > External > Close > Next

Trang 41

Trong “User Sets” chọn giá trị mặc định “All Users” > Next > Finish

Trang 42

Trang 42

Apply > OK

Kiểm tra tại ISA2:

Dùng lệnh NSLOOKUP để phân giải tên miền bất kỳ

Trang 43

2 Tạo rule cho phép các User thuộc nhóm “Nhân Viên” xem trang vnexpress.net

trong giờ làm việc

a – Định nghĩa nhóm “NhanVien”

b – Định nghĩa URL Set chứa trang vnexpress.net

c – Định nghĩa “giờ làm việc”

Tạo Group “NhanVien”

Đưa 2 user nv1, nv2 vào Group “NhanVien”

ISA Server Management > Firewall Policy > Toolbox > Users > New

Trang 44

Trang 44

Nhập chuỗi “Nhan Vien ” vào ô User set name > Next

Trang 45

Add > Windows User and Group

Chọn Group “Nhan Vien” > Next > Finish

Trang 46

Trang 46

b- Định nghĩa URL Set chứa trang vnexpress.net + ISA Server Management > Firewall Policy > Toolbox > Network Objects > New > URL Set

Trang 47

D ng name đặt tên “vnexpress” > New, khai 2 dòng http://vnexpress.net

http://*.vnexpress.net

> OK

Trang 48

Trang 48

c- Định nghĩa giờ làm việc

ISA Server Management > Firewall Policy > Toolbox > Schedule > New

Name: Gio Lam Viec Chọn Active từ 8am ->12pm & 2pm ->6 pm > OK

Trang 49

d- Tạo Access rule theo các thông số sau:

Rule Name: Nhan Vien – Gio lam viec Action: Allow

Protocols: HTTP + HTTPS Source: Internal

Destination: URL Set > vnexpress User: NhanVien

(Các thao tác làm tương tự như phần 1)

Click nút phải chuột trên rule vừa tạo > Properties

Chọn Schedule > Gio lam viec > OK > Apply Rule

Trang 50

Trang 50

Kiểm tra:

Disable rule Internet:

Trang 51

Logon nv1, kiểm tra giờ của máy: trong giờ làm việc, mở thử vnexpress, mở thử google

Logon User khác (không phải nv1, nv2), mở thử vnexpress, mở thử google

( xem clip demo kết quả Nhan Vien - Gio lam viec.avi )

3- Tạo rule cho phép các User thuộc nhóm “Sếp” sử dụng Internet không hạn chế

a- Định nghĩa nhóm “Sếp”

b- Tạo rule c- Kiểm tra

a- Định nghĩa nhóm “Sếp”:

Dùng chương trình “Active Directory User and Computer” tạo 2 user s1, s2 (password 123) Tạo Group “Sep”

Đưa 2 user s1, s2 vào Group “Sep”

Các bước còn lại làm tương tự ph n 2a( định nghĩa nhóm NhanVien)

b- Tạo rule

Trang 52

Trang 52

Tạo Access rule theo các thông số sau:

Rule Name: Sep Action: Allow Protocols: All Outbound Traffic Source: Internal

Destination: External User: Sep

Các thao tác làm tương tự như ph n 1

c- Kiểm tra

Logon s1, thử truy cập internet ….( xem clip demo ket qua Sep.avi )

4 - Tạo rule cho phép sử dụng Internet không hạn chế trong giờ giải lao

Tiêu đề	Báo Cáo Đề Tài ISA Server (Internet Security And Acceleration Server)
Trường học	Đại Học Quốc Gia Thành Phố Hồ Chí Minh
Chuyên ngành	Quản Trị Hệ Thống Mạng
Thể loại	báo cáo
Thành phố	Thành Phố Hồ Chí Minh

Định dạng
Số trang	101
Dung lượng	2,85 MB