ISA Server 2006 là hệ thống tường lửa được sử dụng trong hầu hết các hệ thống mạng doanh nghiệp vừa và nhỏ, phiên bản ISA Server 2006 có những điểm cải tiến so với phiên bản 2004, dưới đ
Trang 2LOI MO’ DAU
-OoOQoo -
Trước tiên em xin chân thành cám ơn trung tâm Đào Tạo & Quản Trị Mạng Athena đã tạo điều kiện cho em thực tập Sau đây là báo cáo về đề tài của em khi thực tập ở đây
ISA Server 2006 là hệ thống tường lửa được sử dụng trong hầu hết các hệ thống
mạng doanh nghiệp vừa và nhỏ, phiên bản ISA Server 2006 có những điểm cải tiến so với phiên bản 2004, dưới đây là báo cáo quá trình thực hiện của em trên
nền máy ảo VMWare WorkStation
Trong quá trình thưc hiện không thể tránh khỏi sai sót, kính mong thầy cô góp ý,
em xin chân thành cảm ơn|
Trang 3Muc luc
F029) (-10 ~ 3
A Muc dich phai Str Aung ISA :cccesssssseessseeeeeeeeeceeeeceeeeeeeeseeeeaaaaaaassssseeeeeees 3
B Uu diém va han ché cla ISA .2:-ccccccceccceecceecccesceceececeecesececeececsececeaceceneeeeseess 3
V Server PublishindQ - SH TK khi 55
D Publish Web SerV©r LQQ nh kh 103
Trang 4A Mục đích phải sử dung ISA
+ Nếu máy tính của một cá nhân không được bảo vệ bởi Firewall thì khi máy
tính đó kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép
Vì vậy hacker, trojan, virus có thể truy cập và lấy cắp thông tin trên máy tính
đó
+ Ngoài ra Hacker còn có thể cài đặt các đoạn mã để tấn công file dữ liệu trên
máy tính cũng như có thể sử dụng máy tính đó để tấn công các máy tính khác
Điều này là cực kỳ huy hiểm với các máy tính trong một tổ chức
Vi vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống
w Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng máy tính một cách khá
chắc chắn Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn
các mã nguy hiểm hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng
Trang 5VY Firewall cé thé duoc cau hình để khóa dữ liệu từ các vị trí cụ thể trong khi vẫn đảm bảo cho dữ liệu cần thiết có thể đi qua
2 Hạn chế:
w Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Do đó Firewall chỉ có thể
ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng
phải xác định rõ các thông số địa chỉ
Y Firewall khéng thé ngan chan m6t cuéc tấn công nếu cuộc tấn công này không
đi qua nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ
một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp
pháp lên đĩa mềm
w Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả
năng kiểm soát của Firewall
C So sánh các phiên bản ISA
ISA Server 2006 là phiên bản tiếp theo của sản phẩm Microsoft ISA Server Có một số tính năng mới so với phiên bản ISA 2004 như :
+ Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/HTTP publishing
+ Hổ trợ SharePoint Portal Server
+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener
+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules
Hiện nay ISA 2006 có 2 phiên bản Standard và Enterprise
Trang 6Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng vừa và nhỏ
Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng lớn, đáp ứng được nhu cầu trao đổi thông tin lớn giữa mạng nội bộ và bên ngoài Ngoài những tính năng đã có trên ISA Standard Edition, ưu điểm chính của Enterprise là hỗ trợ CPU không giới hạn, quản lý tập trung cấu hình và cân
bằng tải tối đa 32 Server
Những chức năng được thực hiện:
Cài đặt ISA Server 2006
Chúng ta sẽ xây dựng và sử dụng 3 máy tính ảo theo mô hình sau :
Trang 7May tén ISA Server sé cai dat ISA Server 2006, may nay sé co 2 interface Ta dat tén
cho 2 interface nay nhu sau :
e LAN : kết nối tới các traffict trong Internal
e WAN: két ndi toi cac traffict & External
Cấu hinh théng sé Ip trén 2 interface nay :
Network Connection Details "| x| Network Connection Details
Network, Connection D etals: Network Connection Details:
Physical Address OOIC-29-60-2E C9 Prusical Address (0-00 -29-60-26 BF
IP Address 1721Ê |] IP Address 192.168.2111
Subnet Magk 255,255,010) Subnet Mask 255 255.255.0
Default Gateway Chel aul b alewayy 192,168.21
Network Connection Details ?)x
Network Connection Details:
- Nang cap may DC én Domain Controller va dat ten domain: athena.com.vn
- Join may ISA server vao domain
Trang 8Sau đó chúng ta sẽ kiểm tra kết nối từ máy DC đến máy ISA, từ ISA đến DC, từ ISA đến internet
Tiếp theo, trên máy DC ta sẽ tạo các đối tượng sau :
Lser Mal\ l23abe!!!) | S1\ 123abe!!!) | T1\ 123abe!!!) | Man1]\123abc!!!
Ma2\ 123abc!!! S2\ 123abc!!T | T2\ 123abc!!! Man2`\ 123abe!!!
Cai dat ISA server 2006:
- Trên máy cài đặt ISA server: Log on vao may ISA2k6 voi User Administrator vào chạy chương trình Setup ISA Server -> chọn Install ISA Server 2006
El Microsoft 154 Server 27006 Setup = a [oj >~Í |
Read Release Hotes Install S48, Server 2006
Read Installation Guide Read Upgrade Guide Read Guick Start Guide Exit
& BOG6 tMicrsott Corporation AI rights resenred., Microsoft
- Chon Add Adapter
Trang 9III Access Rule
Quy định những traffict nào sẽ được đi qua ISA Server Day là thành phần quan trọng của ISA Server Chúng ta sẽ tìm hiểu về Access Rule thông qua những tình huống
được nêu ra ở các mục bên dưới
Default Rule đã cấm mọi traffic ra vào thông qua ISA Server Như vậy, để các máy trong Internal truy cập ra ngoài bằng domain name, cần phải có DNS Server phân giải các domain name này Ở đây ta sẽ sử dụng DNS Server của ISP
Nếu chúng ta không sử dụng DNS sever của ISP thì cúng ta có thể tạo Access
Rule cho phép chúng ta phân giải tên miền bên ngoài không cần đến DNS sever của
ISP
Chúng ta cấu hình như sau:
Trang 10A Access Rule( DNS Query)
Tai may ISA Server, mo’ ISA Server Management, phai chu6t vao Firewall Policy, chon New chon Access Rule
Microsoft Internet Security and Acceleration Server 2006
JS) Microsoft Internet Securty and acceie + bers nae ty h
‘Sj Publsh Mail Servers
°5) Publsh SharePoint Sites
ty Publish Web Sites
5) Publsh Non-Web Server
Protonols
"Sj Create Access Rule
Policy Editing Tasks ˆ
a Edit Selected Rule
System Policy Tasks
oF Edit System Policy
Trang 11New Access Rule Wizard
Access rule name:
Trang 12New Access Rule Wizard xi
Rule Action
Select how cent requests for content from the specihed destinabon are dealt wath
if the conditions specified in the rule are met
4 ction to take when rule conditions are met:
Xã r ngan
‹ Hack Next > | Cancel
H6p thoai Protocols, chon Selected Protocols va nhan Add
Trong hộp thoai Add Protocols, bung muc Common Protocols, chon DNS, nhan
Add, nhan Next
Trang 13T System Policy Tasks
3Ị (ap Edit 5ycLam Poicy
Hộp thoại Access Rule Sources, Add : Internal và Local Host Thực tế thì ta không
nên chọn Local Host
Trang 14
New Access Rule Wizard
Access Rule Sources
This rule will apply to traffic originating from the sources specified in this page
Trang 15New Access Rule Wizard
Access Rule Destinations
This rule will apply to traffic sent from the rule sources to the destinations specified
Trang 16New Access Rule Wizard 4Í
User Sets
You can apply the rule to requests from all users Or, you can limit access to
[IETTIOVE
H6p thoai Completing the New Access Rule Wizard, kiém tra lai théng tin vé
Rule lần cuối, sau đó nhấn Finish Nhấn chọn Apply, Ok
Trang 17New Access Rule Wizard
Completing the New Access Rule
Micrasoft Wizard
Acceleration Setver 20
‘You have successfull: completed the New Access Rule Wizard, The new 4ccess Rule vill have the following configuration:
DNS quaiy Aclion:
Allow Traffic:
“5 Publish Exchange \i!s5
Chart Access
Trang 18System Properties k ?| xỊ
Advanced | Automatic Updates | Aemote
General C EemulaNam “| Hardware |
Windows uses the following information to identity pour computer
Full computer name: ISA athena.edu.v
Doman athena edu vn
To rename this computer or join a damain, click Change Change |
Trong cửa sổ ISA Server Management, tại cửa số thứ 3, chọn tab Toolbox, bung mục
Ủsers, chọn New, hộp thoại User set name, đặt tên là Maketing rồi nhấn Next
Trang 19“rama og Firewall om CS 0<: 7 : lle
| “5 Mirhiial PrirEe Metevorkes (4 Hew Liser 5L Wizard
This wizard helps pou create a nev user et A user set is
Soups ders, whether Windows or non-Windowe (6
RADIUS) ues, defined together ax 3 single tet
Whon you crate Web publishing, probocel, and accecs policy rules, pou can apply the rule to ore or more weer sets
User set namec
eB ats Nex! > Cancel
H6p thoai Users, nhan Add, chon Windows users and groups
Trang 21New! ea al
Completing the New User Set Wizard
You have successfully completed the New User Set Wizard
‘You created a new user set yuth the following configuration:
To dose the wizard, click Finish
¢ Back Finish Cancel | Thực hiện tương tự cho các đối tượng con lai
Trang 22Bước tiếp theo ta sé tao access rule theo yéu cầu trên Chuột phải Firewall Policy,
chon New, chon Access Rule
Hop thoai Access Rule Names, dat tén rule la: Allow Maketing — Full Access
New Access Rule Wizard
Welcome to the New Access Rule
Microsoft xu ng Wizard
This wizard helps you create a new access rule, Access
rules detine the action that is taken, and the protocols that
may be used, when specihed clents from one network attempt to access speciic destinations or content on
Trang 23New tae ee (Ree) x]
Rule Action
Select how chent requests for content from the speciied destination are dealt vith
i the conditions specitied in the rule are met
Trang 24New Access Rule Wizard
Access Rule Sources
This rule wall apply to traffic onginating from the sources specihed in this page
do | a Access Rule Destinations
aa Thi eval apply bo balhic sent hom tne rule sources bo the deslnabons speched
(24) Microsoft Inher in thes page:
YOu can 4pply the rule to requests from all users Or you can limit access to
epecihc user seks
This rule applies to requests trom the following user sets
Trang 25
Hop thoai Completing the New Access Rule Wizard, chon Finish
‘You have successtully completed the New Access Rule
Wired The new Access Rule ral have the bolovang contiquratiarr:
Mame: sử
Allow maketngtul access:
clip Aller Trafic
ll outbound batlic Source
Nhan chon Apply, chon OK
Kiém tra két qua
Logon user athena\Ma1
Trang 26Mo Command Prompt go lệnh nslookup Phân giải các tên mién & External
c+ Efiwnạid Pramipt = nslaakut
Microsoft Windows [Uersion 5.2 3798]
€C? Copyright 1785-2663 Hicrosoft Corp
C:\Documents and Sett ings mal ons Lookup
Default Server: exchange.athena.edu.vn Address: 1°72.16.1.2
fa Internet By Documents Server: exchange athena.edu.un
Internet Explorer c2 BL Address: 172.16.1.2
Z1 Email L3 My Rerent Documents | (6 in nhàng vị AC
Gutloak utlook Express 3 My Fomputes : Hamrc z Addpess: Oe Racers OO ree eee 283 162.57.28
Log OFF fo) Shut Dewn
[Micenen | Fick 4 [amend Beamnt e nclan |
C Tình huống 3
Để tăng tính hiệu quả trong giờ làm việc, cty Athena yêu cầu các nhân viên
trong giờ làm việc chỉ được truy cập một số trang Web như :
http://athena.edu.vn, http: //forum.athena.edu.vn, http://www.nhatrang-
itt.vn
Giờ làm việc được quy định : 8h-12h sáng và 14h - 18h chiều
Ta sẽ định nghĩa các trang Web được phép truy cập như sau:
Trong ctra s6 ISA Server Management, chon Firewall Policy, qua cửa sổ thứ 3, tại tab Toolbox, bung muc Network Objects, nhan New, chon URL Set
Trang 27_[ | Lal Computer Sets
sdị| i+] Gin Dormain Mame Sets
Trong hộp thoại New URL Set Ô Name, nhập tên: Allow Web, nhập các trang web
mà bạn cho phép
Trang 28ew URL Set Rule 'Elemermt
Trang 29New URL Set Rule Element
$ + Tf the DNS is mot configured correctly, rules using UPL sets may
-/ not be apolied as expected,
URLS included in this set (applicable for HTTP traffic only):
Example: htto: /{microsoft, com /somepath*
Tiếp theo, ta sé định nghĩa khoảng giờ làm việc của cty như sau :
Trong cửa số ISA Server Management, chọn Firewall Policy, qua cửa sổ thứ 3, tại tab
Toolbox, bung muc Schedules, chon New
ra _ đ , fetal Work Boure
Trong ô Name, nhập tên Work Time Bên dưới chọn từ (8h - 12h) và từ (2h - 6h)
Trang 30
Tương tự, chúng ta tạo thêm Rest time từ 12h-2h
Trang 31Cuối cùng, ta sẽ định nghĩa rule cho tình huống này
Chuột phải Firewall Policy, chon New, chọn Access Rule Hộp thoại Access Rule Names, đặt tên rule là: Users on Work Time.
Trang 32New Access Rule Wizard
Welcome to the New Access Rule
2006
This wizard helps you create a new access tle Access rules define the action thal ic taken, and the protocols that may be used when specified chents from one network
altempt to access speciic destinations or content on
another network
Access rule name
allow user on work tinned
Trang 33Hộp thoại Protocols, chọn Selected Protocols và nhấn Add Trong hộp thoại Add
Protocols, bung muc Common Protocols, chon HTTP va HTTPS, nhan Add Nhan
Next.
Trang 34New Access Rule Wizard
Select the protocols this tule apples to,
Trang 35
H6p thoai Access Rule Sources, add Internal New Ãccess REulE Wizard
Access Rule Sources
This rule will apply to traffic originating from the sources specified in this page
H6p thoai Access Rule Destinaton, nhan Add Bung URL Sets, chon Allow Web Nhan Next.
Trang 36‘You can apply the rule to requests from all users Or, you can limit access to
Trang 38T Log on using dial-up connection
L OK | Cancel | Shut Down | _ Options << |
Truy cap trang http://www.vnexpress.net
Lẻ œ TllaeecÏlí &jmel Ílingg: CÏae=rkz that you typed the Treb page
ey EL Ieee address correctly The address may howe been mrstyped
ein Lay Docunrvenits: * Access frome 5 links If there iz 5 link te the page you are
-_ Internet Explorer — looking for, try socessing the page from that link,
Ỉ ~*~ „ oe 2) My Rett Bacumicnte &
ane amy Conputer
| — nice! Information (fer support personnel)
| EP cewiteat pane
_ : = Efrrer Code: 409 Forbidden, The [S4 Server denied the
1 Primers and Fees specified Uniform Resource Locator (URL) {LEZ0zZ}
Trong cửa sổ ISA Server Management, chuột phải Firewall Policy, chọn New, chọn
Access Rule Hộp thoại Access Rule Names, đặt tên rule là: Users on Rest Time
Trang 39ew Access Rule Wizard
Welcome to the New Access Rule
Microsotr TH Wizard Ỉ
Acceleration 2006
This wizard helps you create a new access mule, Access
rules define the action that ic taken and the protocols that
may be used, when specified clents from one network
attempl to acoess specic destinations or content on