hệ thống mạng cài đặt và quản lí isa 2006

Đồng thời phiên bản mới này có thểđược cấu hình để trở thành firewall với đa dạng các vai trò như: bảo vệ hệ thốngmạng nội bộ và tăng tốc độ truy cập web, quản lý băng thông, xuất bản We

BỘ CÔNG THƯƠNG TRƯỜNG CAO ĐẲNG KĨ THUẬT CAO THẮNG

KHOA: ĐIỆN TỬ - TIN HỌC

ĐỒ ÁN

HỆ THỐNG MẠNG CÀI ĐẶT VÀ QUẢN LÍ ISA 2006

LỜI GIỚI THIỆU

Ngày nay, việc duy trì hệ thống mạng nội bộ hoạt động ồn định, nhanh chóng , antoàn và tin cậy là vấn đề đang được các tổ chức và doanh nghiệp đặc biệt quantâm Trong đó, yếu tố an toàn mạng luôn được đặt lên hàng đầu

Nắm bắt được nhu cầu của các tổ chức và doanh nghiệp một số tập đoàn công nghệthông tin và truyền thông hàng đầu trên thế giới đã đưa ra nhiều giải phápFirewall, cả về phần cứng lần phần mềm Một trong những giải pháp nổi bật,được các tổ chức và doanh nghiệp lựa chọn là phần mềm Microsoft ISA Server2006

ISA Server 2006 là phần mềm firewall chạy trên hệ điều hành Windows Server

2006 Service Pack 1 của hãng Microsoft Kế thừa các ưu điểm của những phiênbản trước đó, ISA Server 2006 đem đến cho người dùng một giao diện thân thiện,các thao tác quản trị đơn giản và dễ thực hiện Đồng thời phiên bản mới này có thểđược cấu hình để trở thành firewall với đa dạng các vai trò như: bảo vệ hệ thốngmạng nội bộ và tăng tốc độ truy cập web, quản lý băng thông, xuất bản WebServer, FTP Server, Mail Server, VPN Gateway …

Các bước cải đặt và cấu hình ISA Server 2006 nhằm bảo đảm an toàn cho những

hệ thong mạng từ nhỏm trung bình đến những hệ thống mạng lớn sẽ được trình bàychi tiết trong bài đồ án ISA này

ISA Server 2006 viết tắc Internet Security & Acceleration Server 2006

MỤC LỤC

Chương 1:

CÀI ĐẶT MICROSOFT ISA SERVER 2006

 Các nội dung chính sẽ được đề cập:

 Giới thiệu về Microsoft ISA Server 2006

 Các phiên bản của Microsoft ISA Server 2006

 Các vai trò của Microsoft ISA Server 2006

 Cài đặt Microsoft ISA Server 2006

1 Giới thiệu chung

Microsoft ISA Server 2006 là phần mềm , được tạo ra nhằm bảo vệ hệ thống mạngnội bộ của bạn trước sự tấn công từ Internet, đồng thời giúp người sử dụng trongmạng nội bộ truy cập các ứng dụng và dữ liệu một cách an toàn và nhanh chóng

Được triển khai trên nền tảng hệ điều hành Windows Server 2003 Service Pack 1,ISA Server 2006 có thể được cấu hình để đảm nhận các vai trò như:

Một firewall nhằm bảo vệ hệ thống mạng nội bộ trước các kết nối giả mạo, sự tấncông từ bên ngoài, đồng thời điều khiền quyền của người sử dụng trong mạng nội

bộ khi truy cập vào các dịch vụ trên mạng Internet

• Một firewall có chức năng xuất bản một số dịch vụ trong mạng nội bộ nhằmgiúp người dung web truy cập các dịch vụ này một cách an toàn Chẳnghạn, nếu một tổ chức hay doanh nghiệp có Web Server hoặc Mail Serverriêng, họ có thể triển khai ISA Server 2006 để tạo ra một môi trường an toàn

để xuất bản các dịch vụ này ra Internet

• Một Proxy Server với chức năng Web Caching Có nghĩa là bạn có thể cấuhình ISA Server để máy chủ này lưu trữ nội dung của các trang web đượctruy cập từ mạng nội bộ vào đĩa cứng của nó trong một khoảng thời gian xácđịch Nếu người sử dụng truy cập vào các trang web được lưu trữ trên ISA

Server trong khoảng thời gian nêu trên, họ sẽ nhận được kết quả một cách

nhanh chóng Bằng cách này,chúng ta vừa tiết kiệm được băng thong, vừa

tăng tốc truy cập web cho người dùng

• Một VPN Gateway cho các kết nối an toàn từ xa vào mạng nội bộ Những

kết nối này có thể được mã hóa nhằm tăng tính bảo mật Chẳng hạn để kết

nối một văn phòng chi nhánh vào trụ sở chính, chúng ta cần phải thiết lập

một kết nối VPN dạng site-to-site VPN Gateway có khả năng kết nối hai

hay nhiều hệ thống mạng dựa trên hạ tầng Internet

ISA Server 2006 gồm có hai phiên bản: Standard và Enterprise Trong đó, phiên

bản Standard được thiết kế cho những người dùng cần bảo vệ hệ thống mạng nhỏ

với chỉ một firewall Cao cấp hơn, phiên bản Enterprise được thiết kế cho những hệ

thống mạng tầm trung trở lên với một hay vài nhóm firewall Với những hệ thống

mạng phức tạp và đòi hỏi mức độ bảo mật cao, mỗi nhóm firewall có thể được

triển khai trong một phần riêng biệt của mạng Đồng thời, mỗi nhóm có thể bao

gồm nhiều firewall với chức năng giống nhau nhằm mục đích cân bằng tải trọng

mạng

2 Cài đặt Microsoft ISA Server 2006

2.1 Yêu cầu hệ thống

Để cài đặt ISA Server 2006 Standard hoặc Enterprise, bạn cần đảm bảo máy chủ

thỏa mãn cấu hình hệ thống phần mềm và phần cứng như sau:

Thành phần Yêu cầu

Hệ điều hành Microsoft Windows Server 2003 32-bit Service Pack 1 hoặc

Microsoft Windows Server 2003 R2 32-bit

Bộ vi xử lý Pentium III 733 MHz hoặc cao hơn

Bộ nhớ RAM 512 MB hoặc cao hơn

Đĩa cứng Định dạng NTFS với dung lượng còn trống khoảng 150MB Nếu

cấu hình với chức năng Web Caching, bạn cần phải tăng themdung lượng đĩa còn trống

Card mạng Một card mạng (tương thích với hệ điều hành đang cải đặt trên

máy chủ) dùng để giao tiếp với mạng nội bộ , một card mạng nữađược dùng cho mỗi hệ thống mạng kết nối vào máy chủ cài đặtISA Server

Ổ đĩa cài đặt CD-ROM hoặc DVD-ROM

Màn hình VGA hoặc màn hình có độ phân giải cao hơn

2.2 Chuẩn bị trước khi cài đặt

Bạn cần phải cài đặt hệ điều hành Windows Server 2003 với những yêu cầu vềphần mềm và phần cứng vừa nêu trong bảng ở trên lên máy chủ Tiếp theo, bạn nênthực hiện một số thao tác chuẩn bị sau đây trước khi cài đặt ISA Server 2006

1 Cập nhật hệ điều hành Windows Server 2003 với tất cả các bản vá và servicepack Để thực hiện, bạn cần đảm bảo máy chủ đã kết nối Internet Tiếp theo,

bạn vào menu Start, chọn Windows Update Khi trang Windows Update xuất hiện, bạn bấm nút Install Now và tiến hành theo các màn hình hướng

dẫn để cập nhật hệ thống

Hình 1-2: Cập nhật hệ điều hành Windows Server 2003

2 Thiết lập địa chỉ IP cho card mạng giao tiếp với mạng nội bộ Ở đây bạn cànphải điền địa chỉ IP và mặt nạ mạng (subnet mask) Nếu dự dịnh kết nối ISAServer vào domain, bạn cần phải điền địa chỉ IP của Domain Controllertrong mạng nội bộ của mình

Lưu ý:Nếu hệ thống mạng nội bộ của bạn sử dụng DHCP Server , bạn cần đảm

bảo rằng phải điền địa chỉ IP thiết lập cho card mạng trên ISA Server phải đượcloại bỏ khỏi địa chỉ do DHCP Server cấp cho các máy trạm trong mạng Để thựchiện, trong quá trình tạo scope mới trên DHCP Server, ở bước Add Exclusions, bạncần bỏ sung địa chỉ IP của ISA Server vào danh sách các địa chỉ IP không cấp cho

các máy trạm Bằng cách này, DHCP Server sẽ không gán địa chỉ ISA Server chocác máy khác.

Để thiết lập địa chỉ IP, bạn vào menu Start > Settings > Control Panel và nhắp đôichuột trên biểu tưởng Network Connections Tiếp theo, bạn chọn card mạng đượcISA Server dùng để kết nối với mạng nội bộ Ở bước này, bạn nên thay đổi tên củacard mạng sao cho dể nhận biết, chẳng hạn như Internal hay LAN Để thực hiện,bạn kích chuột phải lên card mạng, chọn Rename và điền tên mới

Tiếp theo, bạn kích chuột phải lên card mạng vừa nêu, chọn Properties, chọnInternet Protocol (TCP/IP) và bấm nút Properties Đến đây, bạn điền địa chỉ IP vàmặt nạ mạng vào các mục IP address và Subnet Mask Nếu muốn kết nối ISA

Server vào domain, bạn điền địa chỉ IP của Domain Controller vào mục Preferred

DNS server.

Hình 1-3: Điền địa chỉ IP cho card mạng giao tiếp với mạng nội bộ

Sau khi điền xong, bạn bấm nút OK để lưu lại các thiết lập vừa thực hiện và đóng cửa sổ Control Panel.

3 Kết nối ISA Server vào domain Nếu muốn ISA Server trở thành một thànhviên của domain, bạn nên thực hiện ở bước này Bằng cách thiết lập địa chỉ

IP như ở bước 2, đồng thơi đảm bảo rằng Domain Controller trong mạng đã

hoạt động tốt, bạn kích chuột phải lên biểu tượng My Computer trên desktop của máy chủ sẽ cài đặt ISA Server, chọn Properties Tiếp theo, chọn

Computer Name và bấm nút Change để kết nối ISA Server vào domain.

Hình 1-4: Kết nối ISA Server vào domain.

4 Thiết lập địa chỉ IP cho card mạng giao tiếp với mạng bên ngoài thường làmạng Internet Để an toàn hơn, bạn nên giữ lại duy nhất bộ giao thức TCP/IP

và ngưng tất cả các dịch vụ mạng trên card này Đồng thời, bạn cũng nênhủy kích hoạt NetBIOS và DNS

Để thực hiện, bạn nhắp đôi chuột lên biểu tượng Network Connection trong của sổ Control Panel Tiếp theo, bạn chọn card mạng được dùng để kết nối với

mạng bên ngoài Ở đây, bạn cũng nên thay đổi tên của card mạng thànhExternal hay WAN

Đến đây, bạn kích chuột phải lên card mạng vừa nêu, chọn Properties và bỏ chọn tất cả các dịch bụ và giao thức ngoại trở Internet Protocol (TCP/IP).

Sau khi điền xong, bạn bấm nút Advanced ở phía cuối của hộp thoại Internet

Protocol (TCP/IP) Properties Tiếp theo, trên tab DNS, bạn bỏ dấu chọn mục Register This connection’s address in DNS.(hình 1-6).

Hình 1-6: Hủy việc đăng ký địa chỉ IP của card mạng DNS

Kế bên, trên tab WINS, bạn bỏ dấu chọn mục Enable LMHOSTS lookup và đánh dấu chọn mục Disable NetBIOS over ICP/IP.(hình 1-7).

Hình 1-7: Hủy LMHOSTS lookup và NetBIOS over TCP/IP

Sau khi điền xong, bạn bấm nút OK để lưu lại các thiết lập vừa thực hiện và đón cửa sổ Control Panel.

2.3.Cài đặt ISA Server 2006 Enterprise

Sau khi hoàn thành các thao tác chuẩn bị, bạn tiến hành cài đặt ISA Server 2006Enterprise theo các bước như sau:

1 Đưa đĩa CD chứa nguồn cài đặt ISA Server 2006 Enterprise vào ổ đĩaCD/DVD Nếu chương trình cài đặt không tự động xuất hiện, bạn nhấp đôi

chuột lên file isaautorun.exe ngay trên đĩa CD hoặc trong thư mục chứa

nguồn cài đặt ISA Server

2 Trong màn hình Microsoft ISA Server 2006 Setup, bạn nhắp đôi chuột lên biêu tượng Install ISA Server 2006 để bắt đầu tiến trình cài đặt.

Hình 1-8: Bắt đầu tiến trình cài đặt ISA Server 2006.

3 Trong màn hình Welcome, bạn bấm nút Next (hình 1-9).

Hình 1-9: Khởi động trình cài đặt ISA Server 2006

4 Trong màn hình License Agreement, bạn chọn I accept the terms in the

license agreement để đồng ý với các điều khoản về bản quyền của

Microsoft Sau khi chọn xong, bấm nút Next (hình 1-10).

Hình 1-10: Đồng ý với bản quyền sử dụng ISA Server 2006.

5 Trong màn hình Customer Information,bạn điền thông tin cần thiết vào các mục User Name và Organization Ở đây, bạn cũng cần phải nhập dãy khóa

tương ứng với ISA Server 2006 Enterprise Nếu sử dụng phiên bản dùng thử

do Microsoft cung cấp trong vòng 180 ngày, dãy khóa này sẽ tự động xuất

hiện Sau khi thực hiện xong, bấm nút Next.

Hình 1-11: Điền dãy khóa và các thông tin về khách hàng

Lưu ý: Với ISA Server 2006 phiên bản Standard, sau bước này, trong màn hình Setup Type, bạn chọn Typical và tiếp tục thực hiện từ bước 10 trở về sau.

6 Trong màn hình Setup Scenarios, bạn chọn Install both ISA Server

services and Configuration Storage server để cài các dịch vụ liên quan

đến ISA Server và tạo máy chủ lưu trữ các file cấu hình liên quan Sauk hi

chọn xong, bấm nút Next (hình 1-12).

Hình 1-12:Cài các dịch vụ của ISA Server và lưu trữ các file cấu hình

7 Trong màn hình Component Selection, bạn chấp nhận các thiết lập mặc định và bấm nút Next.

8 Trong màn hình Enterprise Installation Options, bạn chọn Create a new

ISA Server Enterprise và bấm nút Next (hình 1-13).

Hình 1-13: Tạo một ISA Server Enterprise mới

9 Trong màn hình New Enterprise Warning, cảnh báo về việc người quản trị

chỉ nên tạo một ISA Server Enterprise mới nhằm đơn giản hóa các hoạt độngquản trị Nếu trong mạng đã có một Configuration Stiorage Server, bạn nên

quay trở lại bước trước và chọn mục Create a replica of the enterprise

configuration Sau khi đã đọc kỹ cảnh báo, bạn bấm nút Next.

Hình 1-14: Cảnh báo về việc chỉ nên tạo một ISA Server Enterprise

10.Trong màn hình Internal Network, bạn bấm nút Add để bổ sung các dãy

địa chỉ IP tương ứng với mạng nội bộ Có ba cách để thực hiện theo cách

này Cách thứ nhất, bạn bấm nút Add Range và tự mình điền dãy địa chỉ IP

tương ứng Ở đây, chúng tôi thực hiện theo cách này.(Hình 1-15)

Hình 1-15:Bổ sung dãy địa chỉ IP cho mạng nội bộ với Add Range

Cách thứ 2, bạn bấm nút Add Private và chọn các dãy địa chỉ dành riêng cho

mạng nội bộ.(Hình 1-16)

Hình 1-16: Bổ sung các địa chỉ IP cho mạng nội bộ với Add Private

Với cách thứ 3, bạn bấm nút Add adapter và chọn card mạng trên ISA Server

kết nối với mạng nội bộ

Hình 1-17:Bổ sung các địa chỉ IP cho mạng nội bộ với Add AdapterSau khi bổ sung dãy địa chỉ IP tương ứng với mạng nội bộ xong, bạn bấm nút

Next.

11.Trong màn hình Firewall Client Connections, bạn có thể đánh dấu chọn mục Allow non-encrypted Firewall client connections nếu muốn ISA

Server 2006 chấp nhận các kết nối từ các Firewall Client dưới dạng không

mã hóa Sauk hi chọn xong, bấm nút Next.

Hình 1-18: Chấp nhận kết nối từ Firewall Client ở dạng không mã hóa

12.Trong màn hình Services Warning , bạn sẽ nhận được thong tin về một số

dịch vụ trên máy chủ sẽ khởi động lại hay hủy kích hoạt trong khi cài đặtISA Server Sau khi chắc chắn việc thay đổi trạng thái của các dịch vụ trên

không làm ảnh hưởng đến hệ thống mạng của mình, bạn bấm nút Next.

Hình 1-19: Một số dịch vụ sẽ khởi động lại hay hủy kích hoạt

13.Trong màn hình Ready to Install The program, bạn bấm nút Install để cài

đặt ISA Server 2006 lên máy chủ

Hình 1-20: Cài đặt ISA Server lên máy chủ

14.Trong mành ình Installation Wizard Conpleted, bạn bấm nút Finish để

hoàn thành tiến trình cài đặt ISA Server 2006 Enterprise

Hình 1-21: Hoàn thành tiến trình cài đặt ISA Server

3 Nâng cấp từ ISA Server 2004 lên 2006

• So với phiên bản 2004, ISA Server 2006 không có sự khác biệt nhiều vềgiao diện, các mô hình mạng như cách thức cấu hình ISA server đóng vaitrò bảo vệ hệ thống nội bộ Những sự cải tiến và các điểm mới của ISAServer 2006 tập trung chủ yếu vào khả nặng bảo đảm an toàn cho các ứngdụng Web, trong đó nổi bật là các chức nặng như:

Web publishing Load Balancing: Đây là chứng năng giúp ISA Server

2006 tự động phân phối một cách cân bằng các yêu cầu của ngoiwf dụngđến một nhóm các Web Server đã được xuất bản

• Hổ trợ khả năng thay đổi mật khẩu ngay trên form đăng nhập: ISA

Server 2004 không hổ trợ viêc jthay đổi mật khẩu khi sử dụng base authentication Trong khi đó, ISA Server 2006 tích hợp tính năngnày trên form đăng nhập, giúp người dùng dễ dàng thay đổi mật khẩu củamình Ngoiwf quản trị hệ thống cũng không phải thực thi các thao tác cấuhình phức tạp trên ISA Server

Forms-• Hỗ trợ các hình thức tùy biến cho Forms-based authentication: ISA

2004 chỉ hỗ thợ forms-based authentication với các trang web OWA(Outlook Web Access), nhưng không hổ trợ khả năng tùy biến form VớiISA Server 2006, bạn có thể sử dụng forms-based authentication đối với

bất kì trang web nào, đồng thời khả năng tùy biến form cũng đã được hỗtrợ.

• Hỗ trợ single sign-on: Trên ISA Server 2004, người dùng phải thực hiện

thao tác chứng thực lại cho dù họ kết nối đến các Web Server trong cùngtên miền với Web Server ban đầu Với ISA Server 2006, tính năng singlesign-on đã được kích hoạt có nghĩa là, người sử dụng có thể truy cập mộtnhóm các website đã được xuất bản với chỉ một lần chứng thực duy nhất

• Chứng thực LDAP với Web Publishing Rules: với ISA Server 2004,

nếu máy chủ ISA Server không phải là thành viên của domain, bạn phảidùng đến chứng thực RADIUS (Remote Authentication Dial In UserService) với Web Publishing Rules Tuy nhiên, RADIUS còn hạn chế bởi

vì giao thức này không cho phép Administrator tận dụng Active DirectoryGroup Nhưng với ISA Server 2006, bạn có thể sử dụng giao thức LDAP( Lightweight Directory Access Protocol) để chứng thực qua ActiveDirectory mà không cần cấy hình ISA Server trở thành một thành viêncủa domain

• Cross-Array Link translation: tính năng này cho phép ISA Server 2006

chuyên tên máy chủ nội bộ chứa tại các lien kết trong nội dung cácwebsite thành tên máy chủ thật trên Internet, ngay cả khi các nội dungweb được xuất bản trong các nhóm firewall khác nhau

• Hỗ trợ xuất bản các Configuration Storage Server: ISA server 2006

cho phép bạn kết nối từ ISA Server ở chi nhánh đến các configurationStorage Server ở trụ sở chính, ngay cả khi lien kết site-to-site VPN giữachi nhánh và trụ sở chính bị ngưng hoạt động

• Các trình hỗ trợ cấu hình và quản lý: ngoài ra, ISA Server 2006 còn

giúp người quản trị hệ thống đơn giản hóa các thao tác cấu hình của mìnhbằng cách cung cấp các trình hổ trợ như: Outlook Web Access PublishingWizard, Share Point Portal Server Publishing Wizard…

Trong phần này, bạn sẽ khảo sát các phương pháp nâng cấp ISA Server 2004 lên

2006 ở cả hai phiên bản Standard và Enterprise