Niên luận 2 ISA 2006 1

 Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạnglớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống.Ngoài những tính năng đã có t

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC PHAN CHÂU TRINH KHOA CÔNG NGHỆ THÔNG TIN

BÀI BÁO CÁO NIÊN LUẬN 2

ĐỀ TÀI: TÌM HIỂU VỀ FIREWALL

Giảng Viên Hướng Dẫn: Nguyễn Trần Hữu Bách Sinh viên thực hiện: Đinh Lang Việt

Phan Thanh Hải

Lê Đắc Bảo Thiệu

HỘI AN – 04 - 2013

Phần đánh giá:

Ý thức thực hiện:

Nội dung thực hiện:

Hình thức trình bày:

Tổng hợp kết quả:

Tp.Hội An, ngày , tháng , năm 2011

NGƯỜI HƯỚNG DẪN ( ghi rõ họ, tên)

[TÌM HI U FIREWALL] ỂU FIREWALL]

LỜI MỞ ĐẦU 4

CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006 5

1 Giới thiệu về ISA server 2006 5

2 Các phiên bản của ISA server 2006 5

3 Tính năng chính của ISA server 2006 5

CHƯƠNG 2: CÀI ĐẶT ISA 2006 7

1 Yêu cầu cấu hình cơ bản 8

2 Tiến trình cài đặt 8

CHƯƠNG 3: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS 14

1 Phân loại 14

2 Cấu hình 15

2.1 SecureNAT Client 15

2.2 Web Proxy Client 15

2 3.Firewall Client 16

CHƯƠNG IV: TRIỂN KHAI ISA 2006 18

1 Thiết lập chính sách Firewall trên ISA Server 2006 18

2 Publish Web 27

CHƯƠNG V TỔNG KẾT 37

DANH MỤC TÀI LIỆU THAM KHẢO 38

LỜI MỞ ĐẦU

Trong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đáp ứngcác nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế, mua hàngtrực tuyến,…vv… Không còn là những khái niệm trừu tượng nữa Với Internet mọi thứ

“trong mơ” đã trở thành hiện thực Trong những năm gần đây vài trò của Công nghệthông tin (CNTT) đã và đang được khẳng định một cách rõ nét Sự phát triển của CNTT

đã tác động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội của loàingười, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử Ưng dụng CNTT có hiệuquả và bền vững đang là tiêu chí hàng đầu của nhiều quốc gia CNTT giúp con ngườixích lại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn tại là lực đẩy cho mọihoạt động trên mọi lĩnh vực của Quốc gia

Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vững cũng làtất yếu Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệthống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phầnduy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó Và tất cả chúng tađều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá Không chỉ thuần túy vềvật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ

ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụngvới những mục đích khác nhau Hacker, attacker, virus, worm, phishing, những khái niệmnày giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thốngthông tin (PCs, Enterprise Networks, Internet, vv ) Và chính vì vậy, tất cả những hệthống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với nhữngthế lực đen tối đó Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ýthức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình Tiếp theo làcần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế lực trên Đó là cácFirewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall

có khả năng bảo vệ toàn hệ thống Network của một Tổ chức Và Microsoft ISA Server

2006 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậy đểbảo vệ an toàn cho các hệ thống thông tin

Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao? Chức năng của ISAnhư thế nào? Tác dụng của ISA trong môi trường network vv vv Chuyên đề này sẽ giảiđáp những câu hỏi đó Và sẽ cung cấp một cái nhìn chi tiết, rõ nét về ISA server

[TÌM HI U FIREWALL] ỂU FIREWALL]

CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006

1 Giới thiệu về ISA server 2006

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm xâydựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phầnmềm Microsoft Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễcấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích vớimạng LAN của bạn Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưuCache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, vàtính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServerlưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN).Ngoài ra còn rất nhiều các tính năng khác nữa

2 Các phiên b n c a ISA server 2006 ản của ISA server 2006 ủa ISA server 2006

 Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băngthông cho các công ty có quy mô trung bình

 Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạnglớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống.Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phépthiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều nàygiúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải)

3 Tính năng chính c a ISA server 2006 ủa ISA server 2006

ISA server là một trong các phần mềm máy chủ thuộc dòng NET EnterpriseServer Các sản phẩm thuộc dòng NET Enterprise Server là các serverứng dụng toàndiện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giải pháp dựatrên web và các dịch vụ ISA server mang lại một số các lợi ích cho các tổ chức cần kếtnối Internet nhanh, bảo mật, dễ quản lý

 Truy cập Web nhanh với cache hiệu suất cao:

o Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗ trongcache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy cơtắc nghẽn

o Giảm giá thành băng thông nhờ giảm lưu lượng internet

o Phân tán nội dung của các Web server và cácứng dụng thương mạiđiện tửmột cách hiệu quả,đápứngđược nhu cầu khách hàng trên toàn cầu (khả năngphân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)

o Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát lưulượng mạng tại nhiều lớp.

o Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công từbên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách antoàn các yêu cầu đến

o Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn

o Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạngnội tại nhờ sử dụng mạng riêngảo (VPN)

 Quản lý thống nhất với sự quản trị tích hợp

o Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu lựccủa các chính sách vận hành

o Tăng hiệu xuất nhờ việc giới hạn truy cập tới internet của một số các ứngdụng và đích đến

o Cấp phát băng thông để phù hợp với các ưu tiên

o Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được sử dụngnhư thế nào

o Tự động hóa các dịch vụ nhờ sử dụng script

 Khả năng mở rộng

o Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server softwaredevelopment kit (SDK) với các thành phần bổ sung

o Chưc năng mở rộng an toàn cho các sản xuất thứ ba

o Tự động các tác vụ quản trị với các đối tượng script COM ( componentobject model)

[TÌM HI U FIREWALL] ỂU FIREWALL]

CHƯƠNG 2: CÀI ĐẶT ISA 2006

Mô hình triển khai:

 Cấu hình cho máy ISA Sererver Firewall 2006: 2 card mạng

- Card External : là mạng đi Internet

+ Địa chỉ IP: 192.168.1.2+ SM: 255.255.255.0 + GW: 192.168.1.1

- Card Internal : là mạng nội bộ

+ Địa chỉ IP: 10.0.0.1

+ SM: 255.0.0.0

Cấu hình cho máy DC trong mạng internal

+ Địa chỉ IP: 10.0.0.2+ SM: 255.0.0.0+ GW: 10.0.0.1

Nâng cấp DC cho máy DC ( nhom7.com ), máy ISA join domain.

Máy DC

IP 10.0.0.2

GW 10.0.0.1

DNS 10.0.0.2

[TÌM HI U FIREWALL] ỂU FIREWALL]

1 Yêu cầu cấu hình cơ bản

Internet link

bandwidth

Up to 5 T1 7.5 megabits per second (Mbps)

Up to 25 Mbps Up to T3

45 Mbps

Up to 90 Mbps

2.0–3.0GHz

Số VPN đồng

2 Tiến trình cài đặt

Trước tiên cài đặt ISA thì yêu cầu máy ISA phải có ít nhất 2 card mạng, một cardnối với mạng bên trong (Internal) và card mang còn lại nối ra Internet (External)

Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006

Trong cửa sổ Setup type chọn Typical nếu bạn muốn cài đặt theo chế độ mặc định và

chọn Custom nếu muốn cài đặt bằng tay dưới đây tôi chọn Custom  Next

[TÌM HI U FIREWALL] ỂU FIREWALL]

Sau đó chúng ta nhấp Next

Tại cửa sổ Internal Network nhấp Add

Chọn tiếp Add Adapter

Trong Select Network Adapter, chọn card mang nào trực tiếp nối vào LAN  OK

[TÌM HI U FIREWALL] ỂU FIREWALL]

Nhấp Next

Nhấp Next  Install Finish

Đây là giao diện của ISA server 2006 sau khi chúng ta cài thành công

[TÌM HI U FIREWALL] ỂU FIREWALL]

CHƯƠNG 3: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER

CLIENTS

Một ISA Server 2006 client là máy tính kết nối đến các nguồn tài nguyên khácthông qua ISA Server 2006 firewall Nhìn chung, các ISA Server 2006 client thườngđược đặt trong một Internal hay perimeter network DMZ và kết nối ra Internet qua ISAServer 2006

1 Phân loại

Có 3 loại ISA Server 2006 client:

 SecureNAT client là máy tính được cấu hình với thông số chính Default gateway

giúp định tuyến ra Internet thông qua ISA Server 2006 firewall Nếu SecureNATclient nằm trên Mạng trực tiếp kết nối đến ISA Server 2006 firewall, thông sốdefault gateway của SecureNAT client chính là IP address của network card trênISA Server 2006 firewall gắn với Network đó Nấu SecureNAT client nằm trênmột Network ở xa ISA Server 2006 firewall, khi đó SecureNAT client sẽ cấu hìnhthông số default gateway là IP address của router gần nó nhất, Router này sẽ giúpđịnh tuyến thông tin từ SecureNAT client đến ISA Server 2006 firewall raInternet

 Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được

cấu hình dùng ISA Server 2006 firewall như một Web Proxy server của nó Webbrowser có thể cấu hình để sử dụng IP address của ISA Server 2006 firewall làmWeb Proxy server của nó cấu hình thủ công, hoặc có thể cấu hình tự động thôngqua các Web Proxy autoconfiguration script của ISA Server 2006 firewall Cácautoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làmthế nào để Web Proxy clients có hể kết nối Internet Tên của User (User name)được ghi nhận trong các Web Proxy logs khi máy tính được cấu hình như mộtWeb Proxy client

 Firewall client là máy tính có cài Firewall client software Firewall client software

chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cảcác ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đếnFirewall service trên ISA Server 2006 firewall User names sẽ tự động được đưavào Firewall service log khi máy tình Firewall client thực hiện kết nối Internetthông qua ISA Server 2006 firewall

[TÌM HI U FIREWALL] ỂU FIREWALL]

 Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai báo IP,

Subnet mask, DNS, quan trọng nhất là khai báo Default Gateway sao cho mọithông tin hướng ra internet phải được định tuyến đến ISA server

Mô hình SecureNAT Client

2.2 Web Proxy Client

Chúng ta cấu hình trên Internet Explorer

 Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties.

 Trong Internet Properties dialog box, click Connections tab trên Connections tab, click LAN Settings button.

ta điền IP của ISA server và port 8080

2 3.Firewall Client

Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe

[TÌM HI U FIREWALL] ỂU FIREWALL]

Chọn option Connect ti this ISA server computer, nhập vào IP internal của máy ISA Next  Install

CHƯƠNG IV: TRIỂN KHAI ISA 2006

Khi ISA được cài vào thì đầu tiên ISA sẽ cấm tất cả mọi người ping tới nó và không cho ra Internet, vậy muốn ping hay ra mạng Internet thì ta phải tạo luật (rule) và cho phép nó thực thi (Allow)

1 Thiết lập chính sách Firewall trên ISA Server 2006

1.1 Tạo Rule cho phép người dùng bên trong mạng nội bộ được phép truy cập Internet nhưng chỉ sử dụng giao thức HTTP, HTTPS:

Bước 1: Click phải chuột vào Firewall Policy chọn New rồi chọn tiếp Access Rule

nhập tên là: Internal truy cập Internet rồi sau đó ta chọn Next chọn Allowvì rule ở đây

ra Internet, chọn Allow rồi click Next để tiếp tục.

Bước 2: Xuất hiện hộp thoại Protocols ta chọn Selected protocol, muốn protocol nào đi

ra ngoài thì chọn mục này và Add các giao thức chọn là DNS, HTTP, HTTPS Sau đó click Next tiếp tục.

[TÌM HI U FIREWALL] ỂU FIREWALL]

nên chọn nơi xuất phát là Internalrồi Click Next.

Bước 4: Tiếp theo xuất hiện hộp thoại Access Rule Destinations (đích đến) ta tiếp tục

click Add Muốn đi ra ngoài Internet ta chọn External và Local Host rồi Close Sau đó click Next.Tại hộp thoai User Sets (thiết lập người dùng), ta chọn All User sau đó click

Next.

Bước 5: Kiểm ta lại xem các lựa chọn đã chọn rồi click Finish.

Sau đó nhấn Apply rồi OK để hoàn tất việc tạo luật và làm luật có hiệu lực.

Vậy là mạng nội bộ bên trong đã truy cập được Internet vì luật đã được tạo xong

4.2 Tạo luật cấm máy có địa chỉ 10.0.0.2 không được truy cập Internet:

Bước 1: Click phải chuột vào Firewall Policy chọn New rồi chọn tiếp Access Rule.

Hộp thoại Access rule name xuất hiện ta nhập tên rule là: cấm 10.0.0.2 đi Internet rồi sau đó ta chọn Next.

Bước 2: Hộp thoại tiếp theo chọn Deny để cấm máy 1, click Next để tiếp tục Xuất hiện

hộp thoại Protocols ta chọn All outbound traffic rồi Next.

Bước 3: Tại hộp thoại Access Rule Sources, ta chọn Add New Computer có tên là máy

5, địa chỉ là 10.0.0.2 sau đó close, rồi click Next để tiếp tục.

Bước 4: Tiếp theo xuất hiện hộp thoại Access Rule Destinations, ta tiếp tục click Add

chọn External close sau đó click Next Tại hộp thoai User Sets, ta chọn All User sau đó click Next Kiểm ta lại xem các lựa chọn đã chọn rồi click Finish và sau đó nhấn Apply rồi OK để hoàn tất việc tạo luật và làm luật có hiệu lực.

Vậy là máy bên trong có địa chỉ 10.0.0.2 không thể truy cập Internet được vì ISA đã cấm

4.3 Tạo luật cấm truy cập Web 24h.com.vn:

Bước 1:Tương tự click phải chuột vào Firewall Policy chọn New rồi chọn tiếp Access

Rule, nhập tên rule là: cấm truy cập Web 24h.com.vn rồi sau đó ta chọn Next Tiếp theo chọn Deny vì rule ở đây cấm truy cập web đen rồi click Next để tiếp tục.

Bước 2: Xuất hiện hộp thoại Protocols ta chọn Selected protocol, muốn protocol nào đi

ra ngoài thì chọn mục này và Add các giao thức chọn là HTTP, HTTPS Sau đó Click

Next tiếp tục.

Bước 3: Tại hộp thoại Access Rule Sources, ta chọn mục Network: chọn nơi xuất phát là

Internal rồi click Next Tiếp theo xuất hiện hộp thoại Access Rule Destinations (đích đến)

ta tiếp tục click AddNew  URL Sets có tên là web đen và điền địa chỉ trang web đó là

[TÌM HI U FIREWALL] ỂU FIREWALL]

Bước 4: Tại hộp thoai User Sets (thiết lập người dùng), ta chọn All User sau đó click

Next Finish Nhấn ApplyOK hoàn tất.

4.4 Tạo Rule cho phép người dùng VIP và User bên trong được gởi nhận Mail từ Internet:

Bước 1:Vào thanh Toolbox ta chọn NewSubnets hiện ra bảng ta nhập vào New Subnet

Rule Element có tên là VIP có địa chỉ là 10.0.0.2 và User có địa chỉ là 10.0.0.3 rồi OK

Sau mỗi lần tạo Subnet mới thì ta phải Apply để chúng thực thi Subnet vừa tạo.

Bước 2: Tương tự như các rule ở trên ta click phải chuột vào Firewall Policy chọn

Newrồi chọn tiếp Access Rule Hộp thoại Access rule name xuất hiện ta nhập tên rule là: Gởi nhận Mail (SMTP/POP3) rồi sau đó ta chọn Next.