Đề tài tốt nghiệp xây dựng hệ thống tường lữa để bảo mật mạng.

Tài liệu mô tả chi tiết về các loại tường lữa, cơ chế bảo mật mạng. Triển khai từ cơ bản đến nâng cao về bảo mật mạng bằng tường lữa MS ISA Server 2006 và nâng cấp lên TMG 2010. Trong này còn có các phương thức cân bằng tải giúp cho việc truy cập Internet nhanh chóng và chịu lỗi, đồng thời chống được virus, quản lý dc việc truy cập web site đồi trị và đồi bại.

KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ CƯƠNG ĐỀ TÀI TỐT NGHIỆP

Khoá:01

Lớp: 01CCHT01

Mã ĐT: HT501

Tên đề tài: XÂY DỰNG HỆ THỐNG TƯỜNG LỬA CHO DOANH NGHIỆP VỚI

MICROSOFT ISA SERVER 2006

I NHU CẦU VÀ SỰ PHÁT TRIỂN CỦA HỆ THỐNG TƯỜNG LỬA CHO DOANH NGHIỆP 1.1 Tổng quan về nhu cầu và hiểm họa từ Internet

Theo xu hướng phát triển của xã hội ngày nay,ngành công nghệ thông tin là một trong những ngành không thể thiếu, mạng lưới thông tin liên lạc trên thế giới ngày càng phát triển, mọi người ai cũng muốn cập nhật thông tin một cách nhanh nhất và chính xác nhất Dựa vào những nhu cầu thực tiễn đó, vì vậy chúng ta phát triển hệ thống mạng, nâng cấp hệ thống mạng cũ, đầu tư trang thiết bị tiên tiến để tối ưu hóa thông tin một cách nhanh nhất

Tuy nhiên, bên cạnh sự phát triển vượt bậc không ngừng của CNTT trên toàn thế giới và những lợi ích to lớn mà nó mang lại, thì cũng không ít phần tử lợi dụng những lỗ hổng trong hệ thốngcủa các tổ chức, doanh nghiệp thâm nhập cài mã độc, virus … vào để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho những mục đích không lành mạnh của mình

Chính vì vậy, vấn đề an ninh mạng là một chủ đề quan trọng cần phải được nghiên cứu và phát triển song song với sự phát triển kĩ thuật công nghệ Một giải pháp được đưa ra và được mọi người tin dùng trong thực tế, đó là hệ thống FireWall Mặc dù vẫn còn nhiều khuyết điểm, nhưng bên cạnh đó, Firewall đã mang lại những hiệu quả đáng quan tâm trong môi trường thực tế

Đề tài “Xây dựng hệ thống tường lửa cho doanh nghiệp với Microsoft ISA Server 2006” nghiên cứu về FireWall ISA 2006 sẽ cung cấp những hiểu biết chi tiết nhất về hệ thống FireWall này

1.2 Mục tiêu

Khảo sát về các vấn đề an ninh mạng, cơ chế bảo mật cũng như hiệu suất làm việc của ISA

2006 trong hệ thống mạng

Đáp ứng nhu cầu ngày càng gia tăng về bảo mật mạng

Giúp người quản trị nhận biết được tầm quan trọng của bảo mật hệ thống mạng Qua đó thiết lập một hệ thống bảo mật tối ưu để giảm thiểu những mối đe dọa từ mạng Internet

1.3 Ý nghĩa của đề tài

Đề tài giúp người quản trị hiểu được những gì đang đe dọa hệ thống mạng và giải pháp để ngăn ngừa những đe dọa đó, từ đó họ có thể tự bảo vệ hệ thống, giảm thiểu tối đa thiệt hại từ Internet

Đối với các công ty, doanh nghiệp giúp bảo mật tốt thông tin nội bộ, những số liệu mật của công ty đảm bảo sự cạnh tranh công bằng giữa các doanh nghiệp với nhau

1.4 Phạm vi nghiên cứu

Khoa CNTT - Đề cương đề tài tốt nghiệp

Cụ thể đề tài nêu tổng quan về mạng máy tính các mô hình mạng, giao thức mạng, hệ điều hành mạng và các dịch vụ hạ tầng trên Internet Giới thiệu về an toàn mạng, Firewall ISA 2006, đây

là những khái niệm hết sức cơ bản nhưng là nền tảng cho việc nghiên cứu bảo mật sao cho phù hợp với hệ thống

II GIỚI THIỆU TỔNG QUAN

1.6 Giới thiệu tổng quan về Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoảhoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng

để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted Network) khỏi các mạng không tin tưởng (Untrusted Network)

Thông thường Firewall đựơc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

1.7 Phân loại : Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm :

1.7.1 Firewall cứng : Là những firewall được tích hợp trên Router

• Firewall cứng không thể kiểm tra được nội dung của gói tin

1.7.2 Firewall mềm : Là những Firewall được cài đặt trên Server

1.7.2.1 Đặc điểm

• Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

• Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)

• Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).Khoa CNTT - Đề cương đề tài tốt nghiệp

1.8.1 Bộ lọc Packet (Packet-Filtering Router) điều khiển truy cập mạng bằng cách

phân tích gói tin đi vào/ra

1.8.1.1 Nguyên lý hoạt động

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch

vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các packet rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn

dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở packet header, dùng để cho phép truyềncác packet đó ở trên mạng Đó là:

 IP Source address

 IP Destination address

 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

 Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

 Dạng thông báo ICMP (ICMP message type)

 Giao diện packet đến (incomming interface of packet)

 Giao diện packet đi (outcomming interface of packet)

Nếu luật lệ lọc packet được thỏa mãn thì packet được chuyển qua firewall Nếu không packet

sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào

đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

1.8.1.2 Ưu điểm và hạn chế

 Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router Ngoài ra, bộ lọc packet ít ảnh hưởng đến hiệu suất làm việc của mạng

 Hạn chế

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi về sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mangtheo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

1.8.2 Cổng ứng dụng (Application-Level Gateway hay Proxy Server)

1.8.2.1 Nguyên lý hoạt động

Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác

Một cổng ứng dụng thường đợc coi như là một pháo đài (bastion host), bởi vì nó được thiết

kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là: Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch

vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩarằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn đề

1.8.2.2 Ưu điểm và hạn chế

Ưu điểm : Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên

mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy nhập

đư-ợc bởi các dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển đưđư-ợc những dịch vụ nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khoá.Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống Luật lệ lọc filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộlọc packet

Hạn chế : Yêu cầu các users thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt trên

máy client cho truy nhập vào các dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước thôi Tuy nhiên, cũng đã có một số phầnmềm client cho phép ứng dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng ứng dụng trên lệnh Telnet

1.8.3 Cổng mạch

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động xử

lý hay lọc packet nào

Hình dưới đây minh hoạ một hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào Cổng vòng làm việc như một sợi dây, sao chép các byte giữa kết nối bên trong và các kết nối bên ngoài Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống firewall, nó che dấu thông tin về mạng nội bộ

Khoa CNTT - Đề cương đề tài tốt nghiệp

inin

Circuit-level GatewayMinh họa nối Telnet qua cổng vòng đơn giản

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật

sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu

hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội

bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài

1.9 Firewall Client

Hiệu năng hoạt động của ISA server không chỉ phụ thuộc vào các cấu hình của riêng

nó mà còn chịu ảnh hưởng từ cách cấu hình của các máy khác trong hệ thống mạng - các ISA client Một ISA client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server Nhìn chung, các ISA client thường được đặt trong một Internal hay perimeter network –DMZ

và kết nối ra Internet qua ISA Server.

ISA client không nhất thiết phải được cài đặt một ứng dụng cụ thể nào và ứng dụng trên ISA client cũng không nhất thiết phải kết nối trực tiếp đến ISA server Nói ngắn gọn và cụ thể hơn, bất cứ máy tính nào kết nối đến tài nguyên mà nó cần dùng bằng cách thông qua ISA đều được xem là ISA client

Có 3 loại ISA Server 2006 client:

1.9.1 SecureNAT client

Không cần cài đặt ứng dụng nào cả Phải khai báo Default Gateway sao cho mọi thông tin

hướng ra internet phải được định tuyến đến ISA server Tuỳ theo cấu trúc mạng mà thiết lập các định tuyến (route) cần thiết trên các thiết bị định tuyến (router) nội bộ

Hệ điều hành: Bất cứ hệ điều hành nào hỗ trợ TCP/IP

Loại protocol: Chì có thể dùng các protocol multi-connections nếu ISA server kích hoạt bộ lọc ứng dụng (Application filter) tương ứng

Không thể chứng thực người dùng

Ưu điểm

• Không cần cấu hình gì cả vì thực ra cấu hình đã hoàn chỉnh khi xây dựng cơ sở hạ tầng mạng

• Triển khai trên các client không dùng hệ điều hành Windows

• Hỗ trợ các ứng dụng "non-TCP/UDP" như ICMP (Client cần dùng lệnh ping hoặc tracert ) hoặc PPTP (Client cần dùng PPTP để kết nối đến 01 VPN server ngoài internet - loại trừ trường hợp client dùng L2TP / IPSec NAT Traversal)

Nhước điểm

• SecureNAT client không có ứng dụng thực hiện việc gửi username và password đến firewall service trên ISA server, vì thế ISA không thể chứng thực user đối với thông tinphát sinh từ SecureNAt client và tất nhiên cũng không thể ghi nhận (log) các thông tintruy cập liên quan đến user

• Client không thể dùng các protocol đa kết nối (multi connection) nếu ISA không có loại bộ lọc ứng dụng thích hợp

• SecureNAT client không thể triển khai các trò chơi trên internet (internet game) và ứng dụng đa truyền thông (multi media: voice, video ) vì hầu hết các ứng dụng này đều dùng đa kết nối Chỉ có 01 ngoại lệ duy nhất là nếu các ứng dụng này được thiết

kế để hoạt động với proxy SOCKS 4 thì bộ lọc SOCKS 4 tích hợp trên ISA server sẽ

có khả năng hỗ trợ

• Client chỉ có thể dùng các protocol mà ISA server có thể nhận diện thông qua bảng

mô tả trên ISA server Khi 01 access rule cho phép SecureNAT client được truy cập bằng "All outbound traffic" thì không có nghĩa là mọi protocol "All outbound traffic" đốivới SecureNAT client chỉ là các loại protocol được định nghĩa trên ISA server mà thôi

1.9.2 Web proxy client

Không cần cài đặt ứng dụng nào cả Chỉ cần khai báo tên (hoặc địa chỉ IP) của ISA server và port 8080 trong phần cấu hình proxy server của trình duyêt web

Hệ điều hành: Bất cứ hệ điều hành nào có thể dùng trình duyệt web

Loại protocol: Chì có thể dùng HTTP, HTTPS, FTP và FTPS

Có thể chứng thực người dùng

• Web proxy client là các máy tính có trình duyệt web được cấu hình dùng ISA server làm web proxy server Tuy nhiên, không chỉ trình duyệt web mà một số ứng dụng khác cũng có thể được cấu hình dùng ISA server là web proxy server, ví dụ các chương trình instant messenger (chat) hoặc trình duyệt mail

• Khi client truy cập web, yêu cầu được chuyển đến firewall service trên ISA Firewall service lại chuyển yêu cầu đến bộ lọc web proxy Yêu cầu từ Web proxy client được chuyển trực tiếp đến port 8080 - port của bộ lọc web proxy - nhờ đó gia tăng tốc độ truy cập web một cách rõ rệt

• Quản trị viên có thể giới hạn số lượng kết nối đồng thời của các Web proxy client Cấu hình này rất hữu dụng khi băng thông truy cập bị hạn chế hoặc khi quản trị viên muốn duy trì một tỷ lệ nhất định lượng user truy cập web tại một thời điểm: Mở Properties của network chứa Web proxy client (thường là network Internal) > tab WebProxy > Advanced > chọn Maximum và nhập số kết nối đồng thời tối đa Trên hộp thoại này, còn có thể thiết lập các giới hạn thời gian kết nối

• Cho phép thẩm định dựa trên nhóm người dùng hoặc một người dùng riêng lẻ

cho tất cả các ứng dụng Winsock bằng sử dụng các giao thức TCP và UDP

• Cho phép người dùng và thông tin ứng dụng được ghi lại trong file bản ghi của tường lửa ISA

• Cung cấp hỗ trợ nâng cao cho các ứng dụng mạng gồm giao thức phức hợp có yêu cầu đến kết nối thứ cấp

• Cung cấp hỗ trợ “proxy” DNS cho tường lửa máy tính

• Cho phép bạn đưa ra các máy chủ yêu cầu giao thức phức hợp mà không cần sự

hỗ trợ của bộ lọc ứng dụng

• Cơ sở hạ tầng định tuyến mạng là trong suốt đối với tường lửa máy khách

• Cho phép thẩm định dựa trên nhóm người dùng hoặc người dùng riêng biệt đối với các ứng dụng Winsock bằng sử dụng giao thức TCP và UDP

Phần mềm Firewall client gửi thông tin người dùng một cách trong suốt đến tường lửa ISA Điều này cho phép bạn tạo các nguyên tắc truy cập để áp dụng cho nhóm hay người dùng riêng lẻ, hạn chế hay cho phép truy cập vào giao thức, trang, hoặc nội dung dựa vào tài khoản người dùng

Khoa CNTT - Đề cương đề tài tốt nghiệp

được phép truy cập vào giao thức, trang và nội dung mà họ yêu cầu để thực hiện công việc của họ.

1.10 Nguyên lý hoạt động

 Tạo các Rule để quản lý việc truy xuất mạng trong hệ thống

 Giám sát hoạt động của hệ thống đảm bảo an toàn cho hệ thống

 Firewall đáp ứng các yêu cầu an toàn dữ liệu

1.1 Mail Server

1.1.1 Khái quát

Mail server là một hệ thống làm nhiệm vụ gửi và nhận mail trên máy tính thông qua môi trường internet hay mạng nội bộ Mail server gồm một server(máy chủ) làm nhiệm vụ chạy những phần mềm ứng dụng cho một hệ thống mail và làm trung gian cho việc gửi và nhận mail của các clients Các clients là những người đã đăng kí tài khoản và sữ dụng những dịch vụ về mail mà máy chủ cung cấp

1.1.2 Các thành phần trong Mail Server

• Mail Transport Protocol (MTP) : truyển email giữa các mail server.

• Mail Access Protocol (MAP ) : lấy email từ các mail server.

• Mail Delivery Agent (MDA ) : nhận các email từ MTA và phân phối cho

mailbox của người nhận

• Mail User Agent (MUA) : là chương trình cho phép user đọc và soạn thảo các

email, quản lý mail box, gửi nhận mail của user

• Mail Transfer Agent (MTA) : truyền các email giữa các host dùng SMTP MTA

hay còn gọi là mail server, nó chính là Mail Exchange Server Đây là hệ thống có

2 nhiệm vụ chính:

o Nhận email mới từ user và phân phối tới các hệ thống ở xa

o Nhận các email từ các hệ thống khác, các message gửi tới các user trong nội bộ rồi phân phối tới nơi nhận trong mạng nội bộ

1.1.3 Phương thức check mail :

• Dùng trình duyệt web để vào trang chủ của hệ thống mail server Dùng username và pass được cung cấp để đăng nhập vào tài khoản của bạn Cách này mọi email mà bạn gửi và nhận cùng với những thay đồi về mail box, bookmark, theme đều dc lưu trữ trên server

• Dùng các chương trình ứng dụng có hỗ trợ giao thức SMTP và POP3 hay IMAP để đăng nhập, gửi nhận mail và quản lý hộp thư của bạn như Thunderbird, Microsoft Office Outlook, Outlook Express Cách này thuận tiện hơn, bởi những email của bạn

dc lưu trữ trên máy tính, dù server gặp sự cố thì nội dung email của bạn đã check vẫn giữ nguyên

1.1.4 Phương thức hoạt động của Mail Server

Khoa CNTT - Đề cương đề tài tốt nghiệp

pass do người dùng tự thiết lập hoặc do quản trị viên cung cấp Có một file văn bản tương ứng với mỗi tài khoản và pass trong danh sách.

Khi user1 gửi mail cho user2 thì mail user1 sẽ kết nối với server của nó Nếu user1 và user2 cùng nằm trong một server thì mail của user1 được chuyển cho user2 thông qua server đó Nếu user1 và user2 khác server thì mail user1 được chuyển cho server của user1 rồi mail dc chuyển cho server của user2, từ đó user2 sẽ nhận được mail từ server của nó

Dịch vụ FTP sử dụng hai loại chương trình: FTP Server và FTP Client

Chương trình FTP Server có chức năng quản lý tên đăng ký của người sử dụng (User

Account) và tổ chức quản lý các thư mục để người sử dụng dùng chương tình FTP Client truy nhập tớichúng Khi sử dụng người dùng sẽ kết nối tới FTP Server bằng chương trình FTP Client Để kết nối, người dùng phải thiết lập địa chỉ IP hoặc tên của máy chủ thực hiện chương trình FTP Server Máy tính chạy chương trình FTP Server được gọi là máy chủ hoặc, máy ở xa (Remove host), máy chủ chương tình FTP Client gọi là máy trạm hoặc máy cục bọ (Local Host)

Chương trình FTP bao gồm ba dạng :

• Dạng dòng lệnh (Command Line): người sử dụng phải nhập trực tiếp lệnh muốn thi hành từ dấu nhắc đợi lệnh ftp> (tương tự như cách nhập lệnh trong DOS)

• Dạng Web, gọi là dạng Web-FTP: người dùng sẽ dùng trình duyệt Web để kết nối đến máy chủ FTP và truy nhập các tập tin trên máy chủ

• Dạng giao diện đồ họa với người dùng (Graphic User Interface): người sử dụng truyền tập tin bằng các chương trình FTP Client theo giao diện đồ họa Khi muốn thi hành lệnh, chỉ cần nhấp vào nút lệnh tương ứng

1.2.3 FTP Server

Là máy chủ lưu trữ tập trung dữ liệu, cung cấp dịch vụ FTP để hỗ trợ cho người dùng có thể cung cấp, truy xuất tài nguyên qua mạng TCP/IP FTP là một trong các dịch vụ truyền file rất thông dụng, người dùng có thể upload và download thông tin một cách dễ dàng hơn

Cài đặt dịch vụ FTP :

- Chọn Start | Control Panel

- Bấm đôi vào Add or Remove Programs

- Từ ô vuông bên trái(pane) của cửa sổ “Add or Remove Programs” chọn Add/Remove Windows Components

- Từ danh sách Components, chọn Application Server và chọn nút Details

- Từ danh sách các Application Server chọn Internet Information Services và chọn nút Details

- Chọn mục File Transfer Protocol (FTP) Service

Bấm nút OK

- Click vào nút Next để hệ thống cài đặt dịch vụ FTP (đôi khi hệ thống yêu cầu chỉ bộ nguồn I386 hoặc đường dẫn có chứa thư mục này để hệ thống chép một số file cần thiết khi cài đặt).Bấm vào nút Finish để hoàn tất quá trình cài đặt

1.3 Dịch vụ DNS

Khoa CNTT - Đề cương đề tài tốt nghiệp

IP (Internet Protocol) Để thuận tiện cho việc sử dụng và dễ nhớ ta dùng tên (domain name) để xác định thiết bị đó Hệ thống tên miền (Domain Name System) được sử dụng để ánh xạ tên miền thành địa chỉ IP Vì vậy, khi muốn liên hệ tới các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ (domain name) như: www.microsoft.com,www.ibm.com , thay vì sử dụng địa chỉ IP là một dãy số dài khó nhớ.

Hệ thống tên miền này sữ dụng một file tên host.txt, lưu thông tin của tất cả các máy trong mạng, nhưng chỉ được đặt trên máy làm máy chủ tên miền (DNS) Khi đó, các Client trong mạng muốn truy xuất đến các Client khác, thì nó chỉ việc hỏi DNS

Như vậy, mục đích của DNS là :

• Phân giải địa tên máy thành địa chỉ IP và ngược lại

• Phân giải tên domain

DNS là Domain Name System, dns là Domain Name Server chạy Domain Name Service

1.3.2 DNS Server

Là một máy tính có nhiệm vụ làDNS Server, chạy dịch vụDNS service

DNS Server là một cơ sở dữ liệu chứa các thông tin về vị trí của các DNS domain và phân giảicác truy vấn xuất phát từ các Client

DNS Server có thể cung cấp các thông tin do Client yêu cầu, và chuyển đến một DNS Server khác để nhờ phân giải hộ trong trường hợp nó không thể trả lời được các truy vấn về những tên miềnkhông thuộc quyền quản lý và cũng luôn sẵn sàng trả lời các máy chủ khác về các tên miền mà nó quản lý DNS Server lưu thông tin của Zone, truy vấn và trả kết quả cho DNS Client

1.4 Web Server

Web Server là máy chủ có dung lượng lớn, tốc độ cao, được dùng để lưu trữ thông tin như một ngân hàng dữ liệu, chứa những website đã được thiết kế cùng với những thông tin liên quan khác (các mã Script, các chương trình, và các file Multimedia)

Web Server có khả năng gửi đến máy khách những trang Web thông qua môi trường

Internet (hoặc Intranet) qua giao thức HTTP - giao thức được thiết kế để gửi các file đến trình duyệt Web, và các giao thức khác

Web server là một phần mềm server đằng sau WWW Nó lắng nghe những yêu cầu từ phía client, chẳng hạn như một trình duyệt như Netscape hoặc Microsoft Internet Explorer Khi nhận được

một yêu cầu từ phía client, nó sẽ xử lý những yêu cầu đó và trả về một vài dữ liệu dưới dạng một form chứa các trang được định dạng dưới dạng văn bản hoặc hình ảnh Trình duyệt Web trả lại dữ liệu này với khả năng tốt nhất có thể và trình đến người sử dụng.

Khái niệm về Web server đơn giản chỉ là một chương trình mà chúng chờ đợi những yêu cầu

từ phía client và đáp ứng những yêu cầu đó khi nhận được Web server kết nối với các trình duyệt hoặc các client sử dụng giao thức HTTP, đó là một giao thức đã được chuẩn hóa các phương thức của các yêu cầu gửi đi và xử lý các yêu cầu đó Nó cho phép rất nhiều các client khác nhau kết nối với các server cung cấp mà không gặp bất kỳ một trở ngại nào trong vấn đề tương thích

Server phải hoạt động liên tục 24/24 giờ, 7 ngày một tuần và 365 ngày một năm, để phục vụcho việc cung cấp thông tin trực tuyến Vị trí đặt server đóng vai trò quan trọng trong chất lượng và tốc độ lưu chuyển thông tin từ server và máy tính truy cập

1.5 Demilitarized Zone (DMZ)

DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet, là nơi chứa các thôngtin cho phép người dùng từ internet truy xuất vào và chấp nhận các rủi ro tấn công từ internet Hệthống firewall này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application

Vùng DMZ được tách riêng với mạng nội bộ

• Ưu điểm:

Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong

Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thểnhìn thấy Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet quarouting table và DNS information exchange

Router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thểtruy nhập trực tiếp vào Internet Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy

1.6 RADIUS Server

Khoa CNTT - Đề cương đề tài tốt nghiệp

từ xa

Thông tin dùng để chứng thực được lưu tập trung ở RADIUS server Khi cần chứng thực người dùng và nếu được cấu hình sử dụng RADIUS, NAS (lúc này là RADIUS client) sẽ chuyển thông tin của người dùng đến RADIUS server để nhờ kiểm tra Kết quả sẽ được RADIUS server trả lại cho NAS Thông tin được trao đổi giữa RADIUS server và RADIUS client đều được mã hóa

Internet Authentication Service (IAS): là máy chủ Radius hỗ trợ thiết lập nhiều tên miền Nó hoạt động liên kết với Routing và Remote Access (RRAS) được sử dụng cho các doanh nghiệp

• Chứng thực ủy quyền kế toán (Authentication Authorization Accounting) (AAA) và lưu trữ thông tin trong Active Directory Active Directory cho phép các quản trị viên tạo và thiết lập các chính sách, chứng thực cho hàng ngàn máy tính và người sử dụng Nó có thể chuyển tiếpthẩm định và thông báo đến RADIUS server khác

• Hỗ trợ nhiều giao thức như PPP, PAP, CHAP, MS-CHAP, MS-CHAP v2

• IAS khi được triển khai trên một máy nằm trong Active Directory domain, có thể chứng thực người dùng của AD domain đó Tính năng này chỉ có trên AD domain hoạt động ở chế độ Windows 2003 domain functional level

1.6.2 Cơ chế hoạt động

Khi một client được định cầu hình để sử dụng Radius, thì bất cứ user nào của client đều giới thiệu những thông tin xác nhân quyền (Authentication information) với client Đó có thể là dấu nhắc lệnh đăng ký vào mạng (logon prompt) yêu cầu user nhập tên và mật khẩu vào User có thể lựa chọnviệc sử dụng protocol thích hợp để thực hiện giới thiệu những thông tin này bằng các gói dữ liệu (packets), chẳng hạn như PPP (Point to Point Protocol)

Mỗi lần client nhận được thông tin như vậy, nó có thể chọn dùng Radius để xác nhận quyền Client sẽ tạo ra một “yêu cầu truy nhập” (Access-Request) chứa các thuộc tính như tên, mật khẩu củauser, số hiệu (ID) mà user sẽ truy cập vào Mật khẩu khi nhập vào sẽ được ẩn (phương pháp dựa trên giải thuật RSA Message Digest Algorithm MD5)

Mỗi khi Radius server nhận được yêu cầu, nó sẽ xác nhận client gởi Những yêu cầu từ các client nào không chia sẻ thông tin bảo mật (share secret) với Radius sẽ không được xác nhận và trả lời (sliently discarded) Nếu client là hợp lệ, Radius server sẽ tìm kiếm trong cơ sở dữ liệu (CSDL) user

có cùng tên trong yêu cầu Chỉ mục của user (user entry) trong CSDL sẽ chứa danh sách các đòi hỏi cần thiét cho phép user truy cập vào mạng Radius luôn luôn xác nhận mật khẩu của user và có thể

cả số hiệu của client và port mà user được phép truy cập

Radius server có thể yêu cầu các server khác xác nhận Lúc đó Radius đóng vai trò của một client Nếu bất kì điều kiện nào không được thỏa, Radius server sẽ gởi một trả lời “từ chối truy cập” (Access-Reject) biểu thị rằng yêu cầu của user là không hợp lệ Server có thể kèm theo một thông báo dạng văn bản ( text message) trong Access-Reject để client có thể hiện thì cho user

Nếu tất cả các điều kiện đều được thỏa và Radius server muốn đưa ra một yêu cầu đòi hỏi user phải trả lời, thì Radius sẽ gởi một trả lời “đòi hỏi truy cập”(Access Challenge), nó có thể dưới dạng một thông báo dạng văn bản đươc hiển thị cho user Client sẽ nhận Access Challenge, và nếu

nó được trang bị challenge/response, nó sẽ hiện thị thông báo nhắc user trả lời yêu cầu Sau đó client

sẽ gửi lại (re-submit) “yêu cầu truy cập” gốc (original Access request) với một số hiệu yêu cầu: request ID mới, những thuộc tính tên - mật khẩu được lấy từ thông tin vừa mới nhập vào, và kèm luôn cả thuộc tính trạng thái từ Access-Challenge Radius server có thể trả lời “yêu cầu truy cập mới bằng “chấp nhận truy cập” ( Access Request) hay “từ chối truy cập“ (Access Reject) hoặc một “đòi hỏi truy cập” (Access unequal-cost load sharing Challenge) khác

Nếu cuối cùng tất cả các điều kiện được thỏa, thì danh sách các giá trị cấu hình cho user được đặt vào trả lời “chấp nhận truy cập” (Access Accept) Các giá tri này bao gồm kiểu của dịch vụ (ví dụ: SLIP, PPP, Login user) và các giá trị cần thiết để cấp phát dịch vụ này Ví dụ như đối với SLIP hay PPP, các giá trị này có thể là địa chỉ IP, địa chỉ mạng con (subnet mask), MTU, phương pháp nén

và số hiệu lọc gói (filtering packet ID) Ở chế độ ký tự (character mode), các giá trị này có thể là giaothức (protocol) và tên máy chủ (host)

1.6.3 Giao thức chứng thực mở rộng (Extensible Authentication Protocol )

Là giao thức cung cấp cơ cấu làm việc (framework) cho máy khách truy cập vào mạng và máy chủ chứng thực được miêu tả trong RFC 3748 Nó hỗ trợ việc sử dụng chứng thực đa phương tiện

Ngoài ra nó còn chỉ rõ các gói tin trao đổi giữa máy khách, việc chứng thực và máy chủ xác nhận (authenticator) được diễn ra như thế nào Thông thường nó được phát triển cho việc sử dụng giao thức PPP, nhưng bây giờ nó được sử dụng cho mạng Lan không dây IEEE 802.1x Trong hệ thống mạng này, máy khách có thể đăng nhập vào hệ thống mạng không dây

• EAP-MD5 ( Message-Digest 5): tên người dùng và mật khẩu để được sử dụng để xác nhận thông tin theo miêu tả trong RFC 1194 Đó là một giao thức đơn giản Máy chủ RADIUS xác nhận yêu cầu kết nối mật khẩu người bằng thuật toán băm MD5 Nó gửi một gói tin (challenge) ngẫu nhiên mà máy khách phản hồi lại mật khẩu bằng việc sửdụng MD5

• EAP-TLS (Transport Layer Security): nó cung cấp bảo mật mạnh mẽ bằng cách yêu cầu cả máy chủ lẫn máy khách xác nhận chứng thực bằng PKI Các gói tin EAP tươngtác với máy khách lẫn máy chủ được mã hóa và bảo vệ kết nối mạng bằng TLS Nhược điểm với giao thức này là sử dụng và cài đặt chứng thực luôn ở cả hai bên

MD5 có 2 ứng dụng quan trọng :

• MD5 được sử dụng rộng rãi trong thế giới phần mềm để đảm bảo rằng tập tin tải về không bị hỏng Người sử dụng có thể so sánh giữa thông số kiểm tra phần mềm bằng MD5 được công bố với thông số kiểm tra phần mềm tải về bằng MD5 Hệ điều hành Unix sử dụng MD5 để kiểm tra các gói mà nó phân phối, trong khi hệ điều hànhWindows sử dụng phần mềm của hãng thứ ba

• MD5 được dùng để mã hóa mật khẩu Mục đích của việc mã hóa này là biến đổi một chuổi mật khẩu thành một đoạn mã khác, sao cho từ đoạn mã đó không thể nào lần trở lại mật khẩu Có nghĩa là việc giải mã là không thể hoặc phải mất một khoảng thời gian vô tận (đủ để làm nản lòng các hacker

Giải thuật :

MD5 chuyển một đoạn thông tin chiều dài thay đổi thành một kết quả chiều dài không đổi

128 bit Mẩu tin đầu vào được chia thành từng đoạn 512 bit; mẩu tin sau đó được độn sao cho chiều dài của nó chia chẵn cho 512

Công việc độn vào như sau: đầu tiên một bit đơn, 1, được gắn vào cuối mẩu tin Tiếp theo là một dãy các số zero sao cho chiều dài của mẩu tin lên tới 64 bit ít hơn so với bội số của 512 Những bit còn lại được lấp đầy bằng một số nguyên 64 bit đại diện cho chiều dài của mẩu tin gốc

MD5 chính hoạt động trên trạng thái 128 bit, được chia thành 4 từ 32 bit, với ký hiệu A, B, C

và D Chúng được khởi tạo với những hằng số cố định Giải thuật chính sau đó sẽ xử lý các khối tin

Khoa CNTT - Đề cương đề tài tốt nghiệp

trái Hình dưới mô tả một tác vụ trong một vòng Có 4 khả năng cho hàm F; mỗi cái được dùng khác nhau cho mỗi vòng:

IV TÌM HIỄU VỀ MICROSOFT ISA SERVER 2006

1.1 Microsoft ISA Server 2006

1.1.1 Microsoft ISA Server 2006

Microsoft ISA Server 2006 là phần mềm được tạo ra nhằm vảo vệ hệ thống mạng nội bộ của bạn trước sự tấn công từ Internet, đồng thời giúp người sữ dụng trong mạng nội bộ truy cập các ứngdụng và dữ liệu trong và ngoài hệ thống một cách an toàn và nhanh chóng.

1.1.2 Vai trò : ISA Server 2006 được triển khai trên hệ điều hành Windows Server 2003,

có thể được cấu hình để đảm nhận các vai trò :

• Một firewall nhằm bảo vệ hệ thống mạng nội bộ trước các kết nối giả mạo, sự tấn công từ bên ngoài, đồng thời điều khiển quyền của người sử dụng trong mạng nội bộkhi truy cập vào các dịch vụ trên mạng Internet

• Một firewall có chức năng xuất bản một số dịch vụ trong mạng nội bộ nhằm giúp người dùng web truy cập các dịch vụ này một cách an toàn Chẳng hạn, nếu một tổ chức hay doanh nghiệp có Web Server hoặc Mail Server riêng, họ có thể triển khai ISA Server 2006 để tạo ra một môi trường an toàn để xuất bản các dịch vụ này ra Internet

• Một Proxy Server với chức năng Web Caching Bạn có thể cấu hình ISA Server để máy chủ này lưu trữ nội dung của các trang web được truy cập từ mạng nội bộ vào đĩa cứng của nó trong một khoảng thời gian xác định Nếu người sử dụng truy cập vào các trang web được lưu trử trên ISA Server trong khoảng thời gian nêu trên, họ

sẽ nhận được két quả một cách nhanh chóng Như vậy, chúng ta vừa tiết kiệm băng thông vừa tăng tốc độ truy cập web cho người dùng

• Một VPN Gateway cho các kết nối an toàn từ xa vào mạng nội bộ Những kết nối này

có thể được mã hóa nhằm tăng tính bảo mật Chẳng hạn, để kết nối một văn phòng chi nhánh vào trụ sở chính, chúng ta cần thiết lập một kết nối VPN site-to-site VPN Gateway có khả năng kết nối hai hay nhiều hệ thống mạng dựa trên hạ tầng Internet

1.2 Chức năng

ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổchức Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bêntrong tổ chức và Internet Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho người

Khoa CNTT - Đề cương đề tài tốt nghiệp

cho các user ở xa (remote user) một số cách thức truy cập đến các máy chủ trong mạng tổ chức Ví

dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nói đến máy chủ Mail trong mạng củacông ty để gửi e-mail ra Internet ISA Server được sử dụng để đảm bảo chắc chắn rằng những sựtruy cập như vậy được bảo mật

1.2.1 Bảo vệ mạng bên trong

Mô hình mạng ISA đơn giản

Mạng bên trong (interal network) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và có sự giám sát của nhân viên IT trong tổ chức Internal networt coi như đã được bảo mật một cách tương đối, tức là, thông thường những user đã được chứng thực mới có quyền truy cập vật

lý đến interal network Ngoài ra, Nhân viên IT có thể quyết định những loại traffic nào được cho phéptrên internal network

Tuy nhiên, cùng với sự phát triển của KH-KT, nhu cầu mở rộng địa bàn làm ăn, sự kết nối từ bên ngoài vào server chính phải được bảo mật và an toàn, các user bên ngoài truy xuất dữ liệu bên trong server phải được trong suốt và nhanh chóng, đã khiến cho mô hình mạng ngày càng phức tạp hơn với nhiều chức năng mở rộng

Áp đặt chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới

‘user’, và lọc từng ‘request’ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép

1.2.2 ISA Server là một tường lửa

Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng Firewall được cấu hình với những ‘rule’ lọc ‘traffic’, trong đó định nghĩa những loại ‘network traffic’ sẽ được phép đi qua Firewall có thể được bố trí và cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng

Về mặc chức năng ISA Server chính là một firewall Bởi mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các mạng mà nó làm Server, bao gồm ‘internal network’, vùng DMZ(*) và Internet ISA Server 2006 dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering, stateful filtering và application-layer filtering

1.2.2.1 Packet Filtering – Lọc gói tin

Packet filtering làm việc bằng cách kiểm tra thông tin ‘header’ của từng ‘network packet’ đi tới firewall Khi ‘packet’ đi tới giao tiếp mạng của ISA Server, ISA Server mở ‘header’ của ‘packet’ và

Khoa CNTT - Đề cương đề tài tốt nghiệp

cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua firewall để đến đích Nếu địa chỉ và ‘port’ không chính xác là những gì được cho phép, ‘packet’ sẽ bị đánh rớt và không được đi qua firewall.

1.2.2.2 Stateful Filtering – Lọc trạng thái

Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với ‘network packet’ để dẫn đến quyết định có cho qua hay là không Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các ‘header’ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP

Ví dụ, một ‘user’ trong ‘internal network’ có thể gửi một ‘request’ đến một Web Server ngoài Internet Web Server đáp lại ‘request’ đó Khi ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông tin ‘TCP session’ (là một phần của ‘packet’) Firewall sẽ xác định rằng ‘packet’ thuộc về một ‘session’ đang hoạt động mà đã được khởi tạo bởi một ‘user’ trong ‘internal network’, vì thế ‘packet’ được chuyển đến máy tính của ‘user’ đó Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một máy tínhbên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không thuộc về một ‘session’ hiện hành đang hoạt động thì ‘packet’ sẽ đị đánh rớt

1.2.2.3 Application-Layer Filtering – Lọc lớp ứng dụng

ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một ‘packet’ có được cho phép hay là không ‘Application-layer filtering’ kiểm tra nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua firewall hay không ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua

Các ‘firewall’ mềm hiện nay xử lý lọc ‘packet’ và ‘stateful’ Tuy nhiên, nhiều ‘firewall’ không cókhả năng thực hiện việc lọc lớp ứng dụng (‘application-layer’) Và ‘application-layer filtering’ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng

Ví dụ, giả định rằng tất cả các tổ chức đều cho phép ‘HTTP traffic (port 80)’ từ ‘internal network’ đến Internet Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức

‘HTTP’ Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ ‘file’ như KazaA ‘HTTP traffic’ cũng có thể chứa virus và mã độc (‘malicious code’) Cách ngăn chặn những

‘network traffic’ không mong muốn, trong khi vẫn cho phép sử dụng HTTP một cách phù hợp, chỉ có thể thực hiện được bằng việc triển khai một ‘firewall’ có khả năng lọc lớp ứng dụng ‘Application-layerfirewall’ có thể kiểm tra nội dung của các packet và ngăn traffic trên phương thức ‘HTTP’ (để ngăn ứng dụng) hoặc signature (để ngăn ‘virus’, mã độc hại, hoặc ứng dụng) ISA Server chính xác là một loại application-layer firewall tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo vệ mạng

1.2.3 Cơ chế ISA Server bảo mật truy cập internet

ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên internet Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server để kết nối internet Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một ‘proxy server’ giữa máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet

Điều này có nghĩa là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kết nối trực tiếp giữa máy trạm đó và Web Server Thành phần ‘proxy server’ trên ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trong mạng nội bộ)

Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài Và việc máy trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng được ISA Server kiểm soát.

1.2.4 ISA Server 'publishing' các nguồn tài nguyên trong mạng nội bộ

Một số tổ chức muốn người dùng trên internet có thể truy cập đến nguồn tài nguyên đặt trong mạng nội bộ của tổ chức Tối thiểu, hầu hết tổ chức đều muốn cung cấp khả năng truy cập tới Website của tổ chức, nhất là đối với các doanh nghiệp mà hoạt động kinh doanh của họ chủ yếu dựa trên nền Web Nhiều tổ chức cũng cần cung cấp khả năng truy cập đến những nguồn tài nguyên không dựa trên nền Web như DNS Server, hoặc Database Server

Cho phép tài nguyên trong mạng nội bộ có thể được truy cập thông qua internet sẽ làm tăng các nguy cơ về bảo mật cho một tổ chức Để giảm thiểu các nguy cơ đó, ‘firewall’ đặc ở vành đai mạng phải có khả năng chặn tất cả ‘traffic’ có hại đi vào mạng của tổ chức, và đảm bảo rằng người dùng trên internet chỉ có thể truy cập đến những máy chủ cho phép Để cấu hình việc ‘publish’ trong ISA Server, bạn cấu hình một ‘publishing rule’ để chỉ định cách thức mà ISA Server đáp lại những yêucầu từ internet ISA Server cung cấp 3 loại ‘publishing rule’ khác nhau: Web publishing rule, secure Web publishing rule, và Server publishing rule

1.2.5 ISA Server hoạt động như một VNP Server

Một VPN là một kết nối mạng bảo mật được tạo thông qua một mạng dùng chung như internet VPN được bảo mật bằng cách sử dụng chứng thực và mã hóa, vì thế, thậm chí nếu ‘network packet’ bị bắt lấy trên mạng dùng chung (internet) thì ‘packet’ đó cũng không thể mở ra hoặc đọc được VPN có thể được tạo ra giữa một người dùng với mạng nội bộ (Client-to-Site) hoặc giữa hai vănphòng của công ty với nhau (Site-to-Site)

ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trong firewall Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các máy trạm đó được đưa vào mạng

‘VPN Clients network’ Mạng này được xem như bất kỳ một mạng nào khác trên ISA Server, nghĩa là bạn có thể cấu hình ‘firewall rule’ để lộc tất cả ‘traffic’ từ các máy trạm VPN ISA Server còn cung cấp chức năng giám sát cách ly VPN (VPN quarantine control) ‘VPN quarantine control’ hoãn lại sự truy cập từ xa đến một mạng riêng cho đến khi cấu hình của máy trạm truy cập từ xa được kiểm định và công nhận bởi một ‘client-side-script’ Nếu bạn bậc ‘VPN quarantine control’, tất cả các máy trạm VPNđược cho là ‘Quarantined VPN Clients network’ cho đến khi họ vượt qua những sự kiểm tra bảo mật đặc biệt Bạn có thể cấu hình ‘firewall rule’ để lộc tất cả các ‘traffic’ từ các máy trạm trong

‘Quarantine VPN Clients network’ đến bất kỳ mạng nào khác

ISA Server cũng cho phép VPN site-to-site Trong kịch bản này, bạn cấu hình một ISA Server trong mỗi chi nhánh hoặc văn phòng ở xa nhau Khi ISA Server ở một nơi nhận ‘network traffic’ từ một nơi khác, ISA Server sẽ khởi tạo một kết nối VPN Site-to-Site và định tuyến ‘traffic’ thông qua nó đến các nơi khác Để cấu hình những kết nối VPN Site-to-Site, bạn tạo một ‘remote-site network’ trên ISA Server, và sau đó định nghĩa các ‘access rule’ để giám sát những loại ‘traffic’ được phép trao đổi giữa các mạng

1.3 Các phiên bản và cấu hình cài đặt

• Server đã cài đặt DNS và DHCP Server.

1.3.2 Các phiên bản

ISA Server 2006 có hai phiên bản:

• Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng

vừa và nhỏ Với phiên bản này ta có thể xây dựng firewall kiểm soát luồng dữ liệu vào ra của hệ thống, thiết lập các chính sách firewall ngăn chặn việc truy cập vào cácWebsite có nội dung không phù hợp

• Phiên bản ISA Enterprise Edition được thiết kế cho những hệ thống mạng tầm

trung trở lên với một hay vài nhóm firewall Với những hệ thống mạng phức tạp và đòi hỏi mức độ bảo mật cao, mỗi nhóm firewall có thễ được triển khai trong một phần riêng biệt của hệ thống mạng Đồng thời mỗi nhóm có thể bao gồm nhiều firewall với chức năng giống nhau nhằm mục đích cân bằng tải trong mạng

1.4 So sánh giữa các phiên bản

1.4.1 ISA Standard Edition

ISA Server Standard Edition đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty

có quy mô trung bình

Với phiên bản này chúng ta có thể xây dựng firewall để :

• Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty

• Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp

• Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh

• Đối với các công ty có những hệ thống máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA SERVER

2006 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa

sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống

• Ngoài các tính năng bảo mật thông tin trên, ISA SERVER 2006 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống Chính vì lý do

đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật

và tăng tốc Internet)

1.4.2 ISA Enterprise Edition

ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải)

Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard :

• Centralized storage of configuration data

Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt Khi bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage server) Các storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức ADAM có thể cùng

lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server.(Bạn có thể cài ADAM lên máy khác ko có ISA hay cài lên máy ISA cũng được) Dữ liệu trên các storage server này sẽ tự nhân bản (replicate) cho nhau theo chu kỳ Nhờ đó hỗ trợ tốt hơn cho người quản trị Ví dụ như bạn muốn thayđổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồi vào một trong những storage server mà làm Còn với bản Standard, bạn phải đến từng máy để cấu hình

• Support for Cache Array Routing Protocol – CARP

Bản Enterprise cho phép ta chia sẻ việc cache giữa một dãy các ISA với nhau Với bản Enterprise, một dãy gồm nhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn luận lý bằngcách kết nối khả năng cache của tất cả các ISA lại với nhau Để thực hiện tính năng này, ISA sử dụngCARP Cơ chế như sau : khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA trongdãy cache lại trang đó Khi một máy client khác đi trang web khác, CARP chỉ định tiếp một máy ISA khác cache lại trang web Cứ luân phiên như thế Khi một client bất kì đi một trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó để trả về cho máy client CARP giúp tối

ưu hóa khả năng cache

• Integration of Network Load Balancing - NLB

NLB là một thành phần network có sẵn trong Windows 2000 Server và Windows Server 2003

Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường truyền, tránh hiện tượng quá tải NLB cũng là một hình thức backup, vì nếu có một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trongthời gian phục hồi máy kia NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống

Với bản Standard, bạn phải cấu hình NLB bằng tay Còn với bản Enterprise, NLB được tích hợp vào ISA nên bạn có thể quản lý NLB từ ISA Bạn có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB

1.5 Đặc điểm nổi bật

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server Về giao diện thì ISA 2006 giống ISA 2004 đến 90% Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như :

• Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP pubishing

• Hổ trợ SharePoint Portal Server

• Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener

• Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

1.5.1 Khả năng Publishing Service

• ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based chống lại các người dùng bất hợp pháp vào trang web OWA tính năng này được phát triển dưới dạng Add-ins

• Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password)

• Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server

• Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn hỗ trợ cả các sản phẩm mới như Exchange 2007

1.5.2 Khả năng kết nối VPN

Khoa CNTT - Đề cương đề tài tốt nghiệp

• Backup và Restore đơn giản

• Cho phép ủy quyền quản trị cho các User/Group

• Log và Report cực tốt

• Cấu hình 1 nơi, chạy ở mọi nơi (cài ISA Enterprise)

• Khai báo thêm server vào array dễ dàng

• Tích hợp với giải pháp quản lý của Microsoft: MOM

• SDK

1.5.4 Một số đặc điểm khác

• Hỗ trợ nhiều CPU và RAM

• max 32 node Network Loadbalancing

• Hỗ trợ nhiều network

• Route/NAT theo từng networt

• Firewall rule đa dạng

1.1 Cấu hình Firewall theo template

Nhằm giúp người quản trị triển khai firewall một cách đơn giản và nhanh chóng, ISA Server

2006 cung cấp một số template Bằng một số thao tác đơn giản, các template sẽ giúp bạn tự động cấu hình ISA Server hoạt động một cách đúng đắn Trên ISA Server 2006, bạn có thể lựa chọn một trong các loại template sau:

1.1.1 Edge Firewall : template này được sử dụng khi máy chủ ISA Server có hai card

mạng Trong đó, cacrd mạng thứ nhất dùng để kết nối internet, và card mạng thứ hai dùng kết nối với mạng nội bộ

1.1.2 3-leg Perimeter template này được sử dụng khi máy chủ ISA Server có ba card

mạng Trong đó, card mạng thứ nhất dùng để kết nối internet, card mạng thứ hai đượckết nối với mạng nội bộ, và card mạng thứ ba dùng kết nối với vùng DMZ

1.1.3 Front/Back Firewall : template này giúp bạn cấu hình ISA Server trở thành

front-end firewall trong mô hình back-to-back firewall Back-to-back là mô hình cho phép bạnkết hợp hai firewall dưới dạng trước và sau Thông thường, phía trước front-end firewall

sẽ là mạng Internet, giữa front-end firewall và back-end firewall sẽ là vùng DMZ, và phía sau back-end firewall sẽ là mạng nội bộ

Khoa CNTT - Đề cương đề tài tốt nghiệp

1.1.4 Single Network Adapter : template được dùng khi ISA Server có duy nhất một

card mạng Khi đó, ISA Server sẽ không có khả năng đóng vai trò firewall trong mạng Khi đó ISA Server sẽ trở thành máy chủ với chức năng Web Caching

1.2 Firewall Policy

Trên ISA Server 2006, Firewall Policy là một chính sách, bao gồm một tập các luật (Access Rule và Publishing Rule) Các luật này kết hợp với các Netword Rule để định nghĩa cách thức các máytrạm truy cập tài nguyên mạng Trong đó :

1.1.1 Các thành phần

• Access Rule : là luật được tạo ra nhằm xác định cách thức các máy trạm trong

một mạng nguồn (suorce network) truy cập đến tài nguyên trong một mạng đích (destination network)

• Publishing Rule : là các luật được dùng để điều khiển các yêu cầu từ bên

ngoài (Internet) truy cập vào mạng nội bộ Chẳng hạn, Web Site Publishing Rule được sử dụng đề điều khiên sự truy cập đến Mail Server nội bộ

• Network Rule : là các luật dùng để thiết lập kết nối giữa các mạng nguồn và

đích Khi tạo một Network Rule, bạn có thể lựa chọn một trong hai loại quan hệ

là Network Address Translation (NAT) hay Route Trong đó, với quan hệ NAT, ISA Server sẽ ẩn máy tính trong mạng nội bộ bằng cách thay thế địa chỉ IP của máy tính đó bằng địa chỉ IP của card mạng ngoài trên ISA Server Với quan hệ Route, ISA Server sẽ định tuyến giữa các mạng nguồn và mạng đích

1.1.2 Các chính sách

a) Protocol ISA Firewall bao gồm một số giao thức có sẵn, có thể dùng để tạo Access Rules,

Web Publishing Rules và Server Publishing Rules Ngoài ra có thể tạo các giao thức riêng bằng cách sử dụng New Protocol Wizard của ISA Firewall Khi tạo một giao thức mới cần xác định các thông tin sau

 Protocol Type: TCP, UDP, ICMP, or IP-level protocol

 Direction: UDP bao gồm gửi, nhận,gửi nhận, nhận gửi TCP bao gồm Inbound vàOutbound ICMP và IP-levelbao gồm nhận và gửi

 Port range: khoảng port

 Protocol number: dùng cho giao thức IP-level

 ICMP properties: dùng cho giao thức ICMP Là mã và loại giao thức ICMP

 Secondary connections: đây là các port, các loại giao thức, và hướng sử dụng cho cáckết nối thêm hay các gói tin theo các kết nối ban đầu Có thể tạo một hoặc nhiều kết nối thứ cấp

b) User Set : Để kiểm soát việc truy cập ra bên ngoài, có thể tạo Access Rule áp dụng cho các

user hoặc nhóm user được chỉ định ISA Firewall cho phép tạo các user hoặc nhóm user trong User Set Ngoài ra, ISA firewall cũng tạo sẵn các user set như :

 All Authenticated Users: các user phải được xác thực

 All Users: tất cả các user xác thực và không xác thực

 System and Network Service

c) Content Types : Cho phép các ứng dụng và các tập tin khác được tổ chức theo loại nội

dung nhất định Ví dụ, một tập tin đó được tải về thông qua trang web có thể là một tập tin

âm thanh, hình ảnh, văn bản, video, hoặc bất kỳ Tập tin được nhóm lại theo kiểu nội dung

có thể được kiểm soát hơn một cách dễ dàng, tạo cho người quản trị ISA một cách dễ dàng

d) Schedules

 Work Hours: cho phép truy cập từ 9:00 đến 17:00 từ thứ hai đến thứ sáu

 Weekends: cho phép truy cập thứ bảy và chủ nhật

 Always: cho phép truy cập mọi lúc

Khoa CNTT - Đề cương đề tài tốt nghiệp

dữ liệu Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel Để bảo đảmtính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền

Một trong những cải tiến nâng cao ở phiên bản Enterprise Edition của ISA Firewall là chương trình Branch Office Connectivity Wizard (dùng để kết nối chi nhánh với trụ sở chính cho các công ty)

Branch Office Connectivity Wizard sử dụng thông tin nằm trong cấu hình Remote Site tại trụ

sở chính, giúp bạn dễ dàng hơn khi tạo mạng riêng ảo VPN Site to Site Khi làm việc với Wizard, một file sẽ được tạo giúp bạn có thể dùng ISA Firewall ở văn phòng chi nhánh trong việc hình thành mạngriêng ảo VPN site-to-site Wizard còn cung cấp tùy chọn tạo ISA Firewall Domain Member Branch Office (ISA Firewall cho văn phòng chi nhánh thành viên miền), là ISA Firewall thực tế nhất Vấn đề bảo mật của domain member ISA Firewall đã mạnh hơn rất nhiều, có thể đứng riêng thành một ISA Firewall độc lập

• Dedicated CSS (css2006.msfirewall.org): một CSS chuyên dụng sẽ được dùng

để cung cấp chỗ trú CSS cho các mảng tường lửa ISA Enterprise Edition Có hai

mảng ISA Firewall: một dành cho mảng ISA Firewall tại trụ sở chính và một dành chovăn phòng chi nhánh Hai firewall sẽ hoạt động độc lập với nhau, và có những policy riêng biệt.

• Domain Controller (dc.msfirewall.org): Tất cả các máy trong trường hợp này

đều thuộc cùng một domain, là msfirewall.org

• Main office ISA Firewall (isa2006se.msfirewall.org): máy này là ISA Firewall

ở trụ sở chính và thuộc về một mảng có tên Main Đây là một thành viên miền, có giao diện nội bộ và ngoại diên

• Branch office ISA Firewall (isa2006branch.msfirewall.org): Máy này là ISA

Firewall ở văn phòng chi nhánh, là thành viên của domain sử dụng Branch Office Connectivity Wizard Máy này sử dụng Windows Server 2003 và ban đầu là một server độc lập ISA 2006 sẽ được cài đặt trên máy khi nó là một server độc lập Wizard cũng sẽ kết nối ISA Firewall branch office vào mảng chi nhánh văn phòng cấuhình trên CSS tại trụ sở chính

• Branch office Domain Controller: Đây là máy chủ điều khiển miền (Domain

Controller - DC) ở chi nhánh văn phòng Người dùng ở các chi nhánh đó sẽ sử dụng

• Web publishing rules: Web Publishing Rules được dùng để publish trang web và

các dịch vụ Khi publish một trang web, ISA firewall's Web Proxy filter luôn luôn chặn nhữngyêu cầu và kiểm tra có thỏa Web Publishing Rule rồi chuyển đến trang web được publish bởiWeb Publishing Rule đó Web Publishing Rule có các đặc tính sau:

 Ủy quyền truy cập vào trang web được bảo vệ bởi ISA Firewall: Web Publishing Rulescung cấp quyền truy cập vào những trang web nằm trong mạng trên một ISAfirewall

 Kiểm soát nội dung các luồng dữ liệu và can thiệp sâu bên trong lớp ứng dụng: đặctính này cung cấp một mức độ bảo vệ cao chống lại các cuộc tấn công khai thác lỗhổng trong giao thức kiểm tra bao gồm các mã độc hại và các cuộc tấn công nhắmvào web server

Khoa CNTT - Đề cương đề tài tốt nghiệp

 Publish nhiều trang web trên cùng một địa chỉ IP

 Single Sign-On với ISA Server cho phép người dùng xác thực một lần để sử dụngnhiều ứng dụng web

 ISA firewall hỗ trợ xác thực SecureID cho các web server và các dịch vụ được publishqua Web Publishing Rules

 Hỗ trợ xác thực RADIUS

 Reverse Caching của Published Web Sites: Khi người sử dụng sau này có những yêucầu cho cùng một nội dung trên Web, mà nội dung có thể được lưu trữ trên ISAfirewall, nội dung sẽ được phục vụ từ bộ nhớ cache ISA firewall thay vì được lấy từweb server Caching làm giảm tải trên máy web server

 Hỗ trợ chuyển tiếp địa chỉ IP của ISA firewall đến trang web

 Quy định thời gian được phép truy cập đến trang web

 Chuyển hướng port và giao thức ISA firewall cho phép chấp nhận yêu cầu kết nối từmột port, sau đó chuyển yêu cầu này đến một port khác trên web server

• SSL Web publishing rules: Người quản trị có thể publish an toàn các web server bằngcách sử dụng SSL Web Publishing Rules Publishing Secure web server cần phải có được mộtcertificate cho các trang web được publish Điều này cho phép ISA firewall cung cấp bảo mậtrất cao cho SSL web được publish thông qua Web Publishing Rules

• Server publishing rules: Giống như Web Publishing Rules, người quản trị có thể sử dụng

Server Publishing Rules để cung cấp truy cập vào máy chủ và dịch vụ trong mạng ISA Firewall.Các tính năng của server Pubishing Rules :

 Server Publishing Rules là một hình thức NAT đảo ngược Server Publishing Rule cấuhình ISA firewall để lắng nghe trên một port được chỉ định và sau đó chuyển tiếpnhững yêu cầu kết nối tới server được publish trong mạng ISA firewall

 Hầu như tất cả các IP và TCP/UPD, các giao thức có thể được publish bằng cách sửdụng Server Publishing Rules

 Server Publishing Rules không hỗ trợ xác thực trên ISA Server

 Kiểm soát nội dung các luồng dữ liệu và can thiệp sâu bên trong lớp ứng dụng

Có thể hủy bỏ hoặc tùy chỉnh port lắng nghe hoặc port chuyển hướng và cũng có thểkhóa port mà client dùng để kết nối published server

 Có thể giới hạn địa chỉ IP kết nối với Publishing Server

 Hạn chế số lần và thời gian kết nối đến Publishing Server

 Hỗ trợ chuyển hướng port

1.1.2 Mail Server

Bảo vệ hệ thống Mail Server là một trong những tính năng chính của ISA Server 2006 Bộ phần mềm này cho phép ta thiết lập các rules quản lý việc đăng nhập và gửi nhận mail của các user trong mạng nội bộ lẫn mạng ngoài

ISA Firewall cho phép người quản trị có thể sử dụng Mail Server Publishing Wizard để publishcác dịch vụ mail sau

• Secure Exchange RPC

• IMAP4 và Secure IMAP4

• POP3 và Secure POP3

có một hoặc nhiều neighbors và parents, việc không tìm thấy thông tin sẽ được giải quyết thông qua parents Một yêu cầu cho một tài liệu không có trong cache sẽ được đưa đến các máy neighbors hoặcparents, sử dụng giao thức Internet Cache Protocol (ICP)

Có ba lợi ích quan trọng của web caching là:

• Giảm tải băng thông: bởi vì một số yêu cầu và đáp ứng cần phải thông qua mạng máy tính Mỗi đối tượng chỉ nhận được từ server khi có yêu cầu, web caching làm giảm một lương băngthông chiếm dụng bởi client Việc này giúp tiết kiệm tiền nếu client phải trả tiền cho băng thông, và giữ cho các như cầu về băng thông hạ xuống và dễ dàng quản lý

Khoa CNTT - Đề cương đề tài tốt nghiệp

• Giảm sự tiềm ẩn: bởi vì những đáp ứng có sẵn trực tiếp cho các yêu cầu đã được lưu trữ, và gần với client được phục vụ hơn Bởi vì ỵêu cầu được thỏa mãn tại cache (gần với client hơn) thay vì từ server chính, nó giảm được thời gian cho client để lấy và hiển thị đối tượng Nó làm cho các web sites dường như đáp ứng nhanh hơn.

Web caching có 2 loại: Forward caching và Reverse caching :

• Forward caching: Một cách để giảm tiêu thụ băng thông Internet là lưu trữ trang web

thường xuyên truy cập web trên Local Network, người dùng nội bộ có thể truy cập những trang web này mà không đi đến một máy chủ trên internet Điều này được gọi là chuyển tiếp web bộ nhớ đệm, và nó có lợi thế nhất của việc truy cập cho người dùng nội bộ nhanh hơn,

vì họ là lấy các đối tượng web (như trang, đồ họa, và âm thanh files) qua kết nối mạng LAN nhanh chóng, điển hình là 100Mbps hoặc nhiều hơn, thay vì một kết nối Internet chậm lúc có

lẽ 1.5Mbps

• Reverse caching: làm giảm lưu lượng truy cập trên mạng nội bộ và tốc độ truy cập của người

dùng bên ngoài vào web server Reverse caching làm giảm việc sử dụng băng thông trên mạng nội bộ và phép nội dung web sẽ được sẵn sàng khi các máy Ewb Server offline

1.6 Giám sát hoạt động của ISA Server 2006

Tạo Report Job

Chọn tất cả các mục cần báo cáo

Khoa CNTT - Đề cương đề tài tốt nghiệp

Hoàn thành cấu hình report

Xem báo cáo

1.7 Antivirus cho ISA

GFI Web monitor là chương trình Antivirus dành cho server được tích hợp trên ISA, có thể chạy trên ISA 2004/2006/2008 Chương trình được tích hợp nhiều tính năng ưu việt, cấu hình gọn nhẹ và hiệu quả hơn so với ISA

Khoa CNTT - Đề cương đề tài tốt nghiệp

Chống virus và các phần mềm gián điệp thông qua Norman Virus, BitDefender và Kaspersky được tíchhợp sẵn trong gói phần mềm.

Kiểm tra trình duyệt web và download từ FTP trong thời gian thực

Chặn các website không lành mạnh, cấu hình dễ dàng, quản lý việc truy cập internet của user một cách chi tiết và dễ dàng

Kiểm soát quyền truy cập cấu hình

Khoa CNTT - Đề cương đề tài tốt nghiệp

VI PHÂN TÍCH VÀ THIẾT KẾ

1.1 Cơ sở hạ tầng của doanh nghiệp

Công ty cổ phần chứng khoán Phú Gia hoạt động trong lĩnh vực Chứng Khoán có tên miền phugiasc.vn cung cấp các dịch vụ giao dịch trực tuyến qua internet cho phép khách hàng

có thể đặt lệnh tại bất kì thời điểm nào Ngoài ra công ty còn cung cấp các dịch vụ hỗ trợ quản lý

tà khoàn giao dịch ,bản tin chứng khoán ,bản phân tích chứng khoán Tổng công ty chứng khoán Phú Gia có trụ sở chính tại Q.1 Tp HCM và một chi nhánh tại Q.5 Tp HCM

Hạ tầng mạng Tổng công ty gồm có :

• Các máy chủ chuyên dụng

File Server chứa toàn bộ dữ liệu của công ty

FTP Server chia sẻ dữ liệu cho nhân viên

Mail Server dùng để trao đổi mail trong hệ thống mạng nội bộ

Web Server chứa website nội bộ của công tyDomain Controller quản trị tập trung hệ thống mạng của công ty Phú Gia với domain là phugiasc.vn Tất cả máy tính của nhân viên trong công ty đều gia nhập vào domain

1.2 Lập danh sách các yêu cầu cho hệ thống

 Đảm bảo an toàn và bảo mật cho hệ thống mạng công ty truy cập Internet, luôn được bảo vệ trong thời gian làm việc và có khả năng phát hiện các cuộc xâm nhập hệ thống mạng nếu có

 Áp dụng chính sách bảo mật dành cho Nhân viên (NV)

• Phòng Kinh Doanh được phép truy cập Internet trong giờ làm việc (giờ hành chánh) nhưng không được phép truy cập vào các trang web có nội dụng xấu và có tính chất giải trí , chat ,game

• Phòng Kế Toán , Nhân Sự không được phép truy cập Internet, nhưng vẫn sử dụng được các dịch vụ mạng trong nội bộ

• Tất cả nhân viên được truy cập Internet vào giờ nghỉ trưa 11h30 -> 13h30 , nhưng không được chơi game online, tải nhạc,gửi file,xem phim trên Internet

A Áp dụng chính sách bảo mật dành cho khách hàng truy cập mạng không dây tại Phòng Khách hàng

• Khách hàng không được truy cập vào hệ thống mạng nội bộ của công ty nhưng vẫn

• Đảm bảo khả năng phòng chống lây nhiễm virus và các phần mềm mã độc được tải

về máy tính trong hệ thống mạng Các file tải trên mạng về máy tính của NV phải được kiểm tra virus trước khi mở

• Các nhân viên làm việc bên ngoài có thể kết nối vào hệ thống mạng công ty thông qua kết nối VPN (Virtual Private Network) Mỗi ngày các NV tại phòng Quản lý ở chi nhánh Q.5 phải cập nhật dữ liệu về FileServer cho Tổng công ty một cách an toàn Public hệ thống web và mail server của công ty ra ngoài Internet với những cơ chế bảo mật

• Các NV của công ty có thể kiểm tra mail, truy cập được website công ty thông qua đường truyền Internet ở bất kỳ địa điểm nào Giám đốc có thể kiểm tra mail, truy cập được website nội bộ và kết nối vào File Server một cách an toàn khi đi công tác bên ngoài Giám đốc có thể biết được hiện tại NV nào đang truy cập trang web gì

• Thống kê lưu lượng sử dụng Internet và các hoạt động sử dụng hệ thống mạng và cuối mỗi tuần

1.3 Hướng phát triển hệ thống

 Xây dựng hệ thống máy tính và server cho công ty, máy Server sử dụng Windows Server 2003, máy client dùng Windows XP Hệ thống máy dùng làm ISA Server sử dụng Windows Server 2003 cùng ISA Server 2006

 Xây dựng domain tên phugiasc.vn trên máy chủ

 Cấu hình DHCP để các máy client được cấp IP Tất cả các máy con đều phải joint vàodomain

 Thiết lập Active Directory cho các OU, Group và các username cho các phòng ban

 Xây dựng thêm 1 Server chạy các dịch vụ : File Server, FTP Server, Web Server Cấu hình các dịch vụ trên máy Server vừa xây dựng

 Dưng thêm 2 máy chạy ISA Firewall, cấu hình cân bằng tải server, giảm thiểu rủi ro

và an toàn cho hệ thống trước các tác động ngoài ý muốn

 Xây dựng hệ thống mạng tại chi nhánh Q5 đơn giản hơn với 1 Domain, 1 ISA Firewallcùng hệ thống mạng

 Cấu hình VPN giữa trụ sở chính và chi nhánh

 Cấu hình VPN CLient để các nhân viên có thể truy cập vào mạng công ty ở bất cứ đâu

1.4 Lập kế hoạch triển khai hệ thống

Khoa CNTT - Đề cương đề tài tốt nghiệp

Máy DC, DNS Server : chạy hệ điều hành Window server 2003 và được cấu hình địa chỉ

IPv4 như sau:

IPv4 Address: 10.0.0.1Subnet Mask: 255.0.0.0Default Gateway: 10.0.0.2DNS Servers: 10.0.0.1Máy được nâng lên Domain Controller với tên miền phugiasc.vn Đồng thời máy ISA sẽ join domain vào máy Domain

Máy ISA Server : chạy hệ điều hành Window server 2003 Và có 3 card mạng như sau :

• Card thứ 1: LAN nối với các máy thuộc nhóm Internal Network ISA Server sẽ mở các Port Outbound tại Card này

IPv4 Address: 10.0.0.2Subnet Mask: 255.0.0.0DNS Servers: 10.0.0.1

• Card thứ 2: DMZ nối với các máy thuộc nhóm Perimeter Network ISA Server sẽ mởcác Port Outbound/Inbound tại Card này

IPv4 Address: 172.16.1.1Subnet Mask: 255.255.0.0

• Card thứ 3: WAN nối với các máy trong External Network ISA Server sẽ mở các Port Inbound tại Card này

IPv4 Address: 66.1.1.1Subnet Mask: 255.0.0.0

Máy DMZ Server : chạy hệ điều hành Window server 2003 và được cấu hình địa chỉ IPv4

như sau:

IPv4 Address: 172.16.1.2Subnet Mask: 255.255.0.0Default Gateway: 10.0.0.2DNS Servers: 10.0.0.1Máy được joint vào Domain Controller với tên miền phugiasc.vn Đồng thời máy tiến hành xâydựng web server, mail server và FTP server

Web Server : Để tạo thuận lợi cho việc truy xuất web server thông qua tên miền, nhóm

thực hiện tiến hành tạo DNS trên web server với mục đích phân giải địa chỉ IP thành tên miền, thuận tiện cho việc truy xuất web server

Nhóm thực hiện xây dựng DNS với zone phugiasc.vn phân giải cho địa chỉ 172.16.1.2 với alias là www trỏ đến địa chỉ 172.16.1.2