Nghiên cứu phần mềm ISA SERVER 2006

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vững cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, vv..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối đó. Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình. Tiếp theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế lực trên. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức. Và Microsoft ISA Server 2006 là một Enterprise Firewall như thế Một sản phẩm tốt và là người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin.

LUẬN VĂN TỐT NGHIỆP NGHIÊN CỨU PHẦN MỀM

ISA SERVER 2006

Lời mở đầu

Trong thời đại ngày này Internet đã không ngừng phát triển và vươn xa,đáp ứng các nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tưvấn Y tế, mua hàng trực tuyến,…vv… Không còn là những khái niệm trừutượng nữa Với Internet mọi thứ “trong mơ” đã trở thành hiện thực Trongnhững năm gần đây vài trò của Công nghệ thông tin (CNTT) đã và đang đượckhẳng định một cách rõ nét Sự phát triển của CNTT đã tác động tích cực đếnmọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội của loài người, tạo ra sựphát triển vượt bậc chưa từng có trong lịch sử Ưng dụng CNTT có hiệu quả vàbền vững đang là tiêu chí hàng đầu của nhiều quốc gia CNTT giúp con ngườixích lại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn tại là lựcđẩy cho mọi hoạt động trên mọi lĩnh vực của Quốc gia

Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc vàbền vững cũng là tất yếu Dưới góc nhìn của một chuyên gia về bảo mật hệthống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệchặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thốngthông tin của doanh nghiệp đó Và tất cả chúng ta đều hiểu rằng giá trị thông tincủa doanh nghiệp là tài sản vô giá Không chỉ thuần túy về vật chất, những giátrị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếunhững thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng vớinhững mục đích khác nhau Hacker, attacker, virus, worm, phishing, những kháiniệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cảcác hệ thống thông tin (PCs, Enterprise Networks, Internet, vv ) Và chính vìvậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểucách xử lý để đối phó với những thế lực đen tối đó Trước hết với vai trò của

một quản trị viên chúng ta cần xây dựng ý thức sử dụng máy tính cho các nhânviên trong tổ chức doanh nghiệp mình Tiếp theo là cần một công tụ đắc lực đủmạnh để cùng chúng ta chống lại các thế lực trên Đó là các Firewall, từPersonal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall cókhả năng bảo vệ toàn hệ thống Network của một Tổ chức Và Microsoft ISAServer 2006 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là ngườibạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin

Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao?Chức năng của ISA như thế nào? Tác dụng của ISA trong môi trườngnetwork vv vv Chuyên đề này sẽ giải đáp những câu hỏi đó Và sẽ cung cấpmột cái nhìn chi tiết, rõ nét về ISA server

CHƯƠNG I:

TỔNG QUAN VỀ ISA SERVER 2006

1 Giới thiệu về ISA server 2006

Microsoft Internet Security and Acceleration Sever (ISA Server) là phầnmềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổbiến của hãng phần mềm Microsoft Có thể nói đây là một phần mềm shareinternet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng chophép bạn cấu hình sao cho tương thích với mạng LAN của bạn Tốc độ nhanhnhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (RandomAccess Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng ScheduleCache (Lập lịch cho tự động download thông tin trên các WebServer lưu vàoCache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạngLAN) Ngoài ra còn rất nhiều các tính năng khác nữa

2 Các phiên bản của ISA server 2006

 Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻbăng thông cho các công ty có quy mô trung bình

 Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hìnhmạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong vàngoài hệ thống Ngoài những tính năng đã có trên ISA Server 2006, bảnEnterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sửdụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tínhnăng Load Balancing (cân bằng tải)

3 Tính năng chính của ISA server 2006

ISA server là một trong các phần mềm máy chủ thuộc dòng .NETEnterprise Server Các sản phẩm thuộc dòng NET Enterprise Server là cácserverứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quản lý,

tích hợp, các giải pháp dựa trên web và các dịch vụ ISA server mang lại một sốcác lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lý

 Truy cập Web nhanh với cache hiệu suất cao:

o Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tạichỗ trong cache so với việc phải kết nối vào Internet lúc nào cũngtiềm tàng nguy cơ tắc nghẽn

o Giảm giá thành băng thông nhờ giảm lưu lượng internet

o Phân tán nội dung của các Web server và cácứng dụng thươngmạiđiện tử một cách hiệu quả,đápứngđược nhu cầu khách hàng trêntoàn cầu (khả năng phân phối nội dung web chỉ có trên phiên bảnISA server Enterprise)

 Kết nối Internet an toàn nhờ nhiều lớp

o Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sátlưu lượng mạng tại nhiều lớp

o Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấncông từ bên ngoài bằng việc sử dụng web và server quảng bá để xử

lý một cách an toàn các yêu cầu đến

o Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn

o Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tớimạng nội tại nhờ sử dụng mạng riêngảo (VPN)

 Quản lý thống nhất với sự quản trị tích hợp

o Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huyhiệu lực của các chính sách vận hành

o Tăng hiệu xuất nhờ việc giới hạn truy cập tới internet của một sốcác ứng dụng và đích đến

o Cấp phát băng thông để phù hợp với các ưu tiên

o Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được

o Chưc năng mở rộng an toàn cho các sản xuất thứ ba

o Tự động các tác vụ quản trị với các đối tượng script COM

CHƯƠNG II: Cài đặt ISA Server 2006

1 Yêu cầu cấu hình cơ bản

Internet link

bandwidth

Up to 5 T1 7.5 megabits per second (Mbps)

Up to 25 Mbps Up to T3

45 Mbps

Up to 90 Mbps

Xeon Dual Core AMD Dual Core 2.0–3.0 GHz

Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006

Trong cửa sổ Setup type chọn Typical nếu bạn muốn cài đặt theo chế độ mặc

định và chọn Custom nếu muốn cài đặt bằng tay dưới đây tôi chọn Custom 

Next

Sau đó chúng ta nhấp Next

Tại cửa sổ Internal Network nhấp Add

Chọn tiếp Add Adapter

Trong Select Network Adapter, chọn card mang nào trực tiếp nối vào LAN 

OK

Nhấp Next

Nhấp Next  Install Finish

Đây là giao diện của ISA server 2006 sau khi chúng ta cài thành công

CHƯƠNG III:

PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS

Một ISA Server 2006 client là máy tính kết nối đến các nguồn tài nguyênkhác thông qua ISA Server 2006 firewall Nhìn chung, các ISA Server 2006client thường được đặt trong một Internal hay perimeter network DMZ và kếtnối ra Internet qua ISA Server 2006

1 Phân loại

Có 3 loại ISA Server 2006 client:

 SecureNAT client là máy tính được cấu hình với thông số chính Default

gateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall.Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server

2006 firewall, thông số default gateway của SecureNAT client chính là IPaddress của network card trên ISA Server 2006 firewall gắn với Network

đó Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2006firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là

IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin

từ SecureNAT client đến ISA Server 2006 firewall ra Internet

 Web Proxy client là máy tính có trình duyệt internet (vd:Internet

Explorer) được cấu hình dùng ISA Server 2006 firewall như một WebProxy server của nó Web browser có thể cấu hình để sử dụng IP addresscủa ISA Server 2006 firewall làm Web Proxy server của nó cấu hình thủcông, hoặc có thể cấu hình tự động thông qua các Web Proxyautoconfiguration script của ISA Server 2006 firewall Cácautoconfiguration script cung cấp mức độ tùy biến cao trong việc điềukhiển làm thế nào để Web Proxy clients có hể kết nối Internet Tên củaUser (User name) được ghi nhận trong các Web Proxy logs khi máy tínhđược cấu hình như một Web Proxy client

 Firewall client là máy tính có cài Firewall client software Firewall client

software chặn tất cả các yêu cầu thuộc dạng Winsock application (thôngthường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầunày trực tiếp đến Firewall service trên ISA Server 2006 firewall Usernames sẽ tự động được đưa vào Firewall service log khi máy tình Firewallclient thực hiện kết nối Internet thông qua ISA Server 2006 firewall

Dươi đây là bảng so sánh các dạng ISA server 2006 Client

Feature SecureNAT client Firewall client Web Proxy

client

Cần phải cài

đặt

Không, chỉ cần xác lậpthông số default gateway

Yes Cần cài đặtsoftware

Không, chỉ cầncấu hình cácthông số phùhợp tại trìnhduyệt Web-Web browser

Hỗ trợ Hệ

điều hành nào

Bất cứ OS nào hỗ trợTCP/IP

Chỉ Windows Bất kì OS nào

có hỗ trợ cácWeb application

Protocol

Nhờ có bộ lọc ứng dụng-Application filters cóthể hỗ trợ các ứng dụngchạy kết hợp nhiều

HTTP, SecureHTTP

(HTTPS), vàFTP

 Trong Network and Dial-up Connections, right click Local Area

Connection và click Properties.

 Trong Local Area Connection Properties dialog box, click Internet

Protocol (TCP/IP) , click Properties.

 Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai

báo IP, Subnet mask, DNS, quan trọng nhất là khai báo Default Gatewaysao cho mọi thông tin hướng ra internet phải được định tuyến đến ISAserver

Mô hình SecureNAT Client

b Web Proxy Client

Chúng ta cấu hình trên Internet Explorer

 Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties.

 Trong Internet Properties dialog box, click Connections tab trên

Connections tab, click LAN Settings button.

 Trong Local Area Network (LAN) Settings dialog box Tại Proxy server

chúng ta điền IP của ISA server và port 8080

c Firewall Client

Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe

Chọn option I accept the terms in the licene agreement  Next  Next.

Chọn option Connect ti this ISA server computer, nhập vào IP internal của máyISA  Next  Install

Sau đó của sổ New Access Rule wizard hiện ra chúng ta gõ tên cho Rule chẳng

hạn như Allow Internal to Internet vào ô Access Rule Name  Next

Sau đó chúng ta chọn hành động cho rule là Allow ( cho phép) hay Deny ( cấm )

và click next

Sau đó chúng ta sẽ chọn Protocol cho rule, nếu chúng ta cho máy trạm truy cập

Internet và Email thì chúng ta chỉ chọn các giao thức như DNS, http, https,

POP3,SMTP để chọn rule ta click Add  Next

Bước tiếp theo chúng ta chọn Source cho rule click Add sau đó chon cái bạn

muốn add ở đây tôi chọn Internal và Local Host Đây là nguồn là những manghay máy tính bạn muốn cho phép hay cấm

Tiếp theo chúng ta sẽ chon Destination click Add  chọn điểm đến

Chọn Next  sau đó chúng ta chọn User cho rule

Sau đó chúng ta có thể xem lại các option chúng ta đã chọn và finish để kết thúc

việc tạo rule

Cuối cùng chúng ta chọn Apply để thực thi Rule

2 Publish Web

Tại máy ISA Server bật chương trình ISA lên tiếp tục trong Firewall

Policy tạo một Rule mới bằng cách chọn New  Web Site Publishing Rule

Sau đó chúng ta đặt tên cho Rule ( vd như Publish wed )

Trong Rule Action chọn Allow  Next

Chọn Publish a single Web site or load balancer trong Publishing Type 

Next

Với Rule này chúng ta sẽ Publish dịch vụ HTTP trước nên trong Server

Connection Sercurity tôi chọn lựa chọn Use non-secured connections to conect the published Web server or server farm  Next

Internal site name bạn nhập tên của Wed server và click vào ô “ Use a

computer name or IP address to connect to the published server” sau đó điền IP

của Wed server vào ô  Next

Trong Internal Publishing Details bạn chừa trống ô Path  Next

Trong tab Accept requests for chúng ta chon Any domain name  Next

Trong cửa sổ Select Web Listener chưa tồn tại các Web Listener nào cả vì vậy

ta phải tạo các Listener mới cho nó Nhấp New

Sau đó chúng ta đặt tên cho Web Listener  Next

Tiếp tục chọn tùy chọn là Do not require SSL secured connections with

clients để chỉ Publish dịch vụ HTTP mà thôi  Next

Chọn External trong Web Listener IP Address  Next

Tại Authentications Settings chọn No Authentication  Next

Nhấp  Next  Finish

Nhấp  Next

Chọn tùy chọn No delegation, and cliecnt cannot authenticate directly trong

Authentication Delegation  Next

Chọn All Users trong User Sets

Màn hình tạo Rule Publish Web sau khi hoàn tất

a VPN Client to Site

Trước tiên để cho các Client truy cập được vào mạng thông qua VPN chúng ta phải tạo một User trên ISA server, click chuột phải vào User chọn Properties, chọn thẻ Dial-in, chọn option Allow access  ok, Tạo 1 Group và add User trên vào Group này

Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab

VPN Clients

Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN

Client trong Static address pool, dải IP này không được trùng với bất kỳ dải

nào trong mạng

Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính

năng này

Check vào tùy chọn Enable VPN client access

Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dải IP mà ta gán cho các VPN Clients

Sang tab Group add Group chúng ta đã tạo trước đó

Tại tab protocols chọn giao thức bảo mật ở đây là PPTP

Tiếp tục chúng ta chọn mục Firewall Policy để tạo một Rule mới cho phép các

VPN Clients được phép truy cập vào bên trong Internal Network  đặt tên

cho Rule

Rule Action: Allow

Protocol: All outbound traffic

Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN

Clients

Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta chọn là Internal

Màn hình sau khi hoàn tất

b VPN Site to Site

Trước tiên để HCM và HANOI có thể truy cập được với nhau thông qua VPN chúng ta phải tạo User trên mỗi ISA Server

Tại máy ISA HCM tạo User/Pass là HCM/123

Tại máy ISA HANOI tạo User/Pass là HANOI/123

Sau đó Double click vào User HCM chọn Tab Dial-in

Check tùy chọn Allow Access trong Remote Access Permission

Làm tương tự cho User HANOI

Trên máy ISA server HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites

Tiếp tục nhấp vào Create VPN Site-to-Site Connection

Sau đó nhập VPN User vừa được tạo ra trong mạng của mình ( HCM ) Next

Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)  Next

Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy

VPN Client trong Static address pool ở ví dụ này là dãy số

11.0.0.1->11.0.0.100 ( dãy IP này không được trùng với bất kỳ dải IP nào trong mang )

 Next

Trong Remote Site Gateway bạn nhập IP Enternal của mạng HANOI  Next