ĐỒ ÁN MÔN HỌC THIẾT KẾ BẢO MẬT HỆ THỐNG MẠNG ĐỀ TÀI TÌM HIỂU ISA SERVER 2006

ISA Server cho phép cài đặt một chiến lược bảo vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn các luật, chỉ ra những site, giao thức và nội dung có thể được truyền qua máy tính ISA Serv

Trang 1

BỘ CÔNG THƯƠNG

TRƯỜNG CAO ĐẲNG KĨ THUẬT CAO THẮNG

KHOA ĐIỆN TỬ - TIN HỌC

ĐỒ ÁN MÔN HỌC: THIẾT KẾ BẢO MẬT HỆ THỐNG MẠNG

ĐỀ TÀI: TÌM HIỂU ISA SERVER 2006

Giáo viên bộ môn: Ths Từ Thanh Trí

Trang 2

TRƯỜNG CAO ĐẲNG KĨ THUẬT CAO THẮNG

KHOA ĐIỆN TỬ - TIN HỌC

ĐỀ TÀI: TÌM HIỂU ISA SERVER 2006

Giáo viên bộ môn: Ths Từ Thanh Trí

Trang 3

Ngày nay công nghiệp đang phát triển và giữ vai trò rất quan trọng trong công cuộc xây dưng và bảo vệ đất nuớc Khoa học kỹ thuật càng phát triển, đời sống con nguời ngày càng đuợc nâng cao Bên cạnh đó với chính sách mở cửa của nhà nuớc đã tạo điều kiện thúc đẩy sự phát triển ngày càng nhanh của các ngành công nghệ Đặc biệt là ngành công nghệ thông tin Công nghệ thông tin là một nhánh của ngành kỹ thuật sử dụng máy tính và phần mềm máy tính, tập hợp các phương pháp khoa học, các phương tiện và công cụ kỹ thuật hiện đại chủ yếu là kỹ thuật máy tính và viễn thông, nhằm tổ chức khai thác và sử dụng có hiệu quả các nguồn tài nguyên thông tin phong phú và tiềm năng trong mọi lĩnh vật hoạt động của con người và xã hội Bên cạnh đó là hàng loạt các cuộc tấn công mạng diễn ra thường xuyên hơn, mức độ nghiêm trọng hơn

ISA Server 2006 là một sự lựa chọn lý tưởng cho các doanh nghiệp, cá nhân nào mong muốn hệ thống mạng được an toàn và không bị hacker tấn công Là hệ thống tường lửa được sử dụng trong hầu hết các hệ thống mạng của các doanh nghiệp vừa và nhỏ, phiên bản ISA Server 2006 với những điểm cải tiến vượt trội, hứa hẹn sẽ mang lại cho người dùng sự tin tưởng và không gian làm việc trên mạng tốt nhất

Sau đây nhóm sẽ trính bày chi tiết hơn về phiên bản ISA server 2006

Sinh viên thực hiện :

Trang 4

Lời cảm ơn

Chân thành cảm ơn thầy: Từ Thanh Trí đã cho chúng em cơ hội để tìm hiểu về

đề tài “Tìm hiểu ISA Server 2006”

Mặc dù đã có nhiều cố gắng và nỗ lực để thực hiện đồ án một cách hoàn chỉnh nhất, nhưng vẫn không thể tránh được một số thiếu sót vì kiến thức chuyên môn trong lĩnh vực chưa sâu rộng, thời gian thực hiện đồ án ngắn, và các vấn để nảy sinh khi thực hiện đồ án Chúng em rất mong nhận được sự đóng góp của thầy để sau này có nhiều kiến thức về chuyên môn cũng như khả năng viết báo cáo hoàn chỉnh hơn

Một lần nữa xin chân thành cảm ơn thầy

Trang 5

Nhận xét của giáo viên

Điểm sinh viên 1:

Điểm Tổng

Trang 6

Mục lục

Chương I : Tổng quan về ISA Server 2006 1

I: Giới thiệu về ISA Server 2006 1

1: Sơ lược về ISA Server 1

2 : Lý do để sử dụng ISA Server 1

3 : Các dịch vụ của ISA Server 2

II : Các phiên bản của ISA Server 2006 : 3

1 : ISA Server Standard Edition : 3

2 : ISA Server Enterprise Edition: 3

3 :So sánh 2 phiên bản 4

III : Các vấn đề liên quan 6

1 : Tổng quan về Firewall 6

2 : Tổng quan về Cache 7

Chương II : ISA server 2006 8

I : Cơ chế hoạt động của ISA Server 8

1 : ISA Server Firewall 8

2: ISA Server Cache 12

3: ISA Server web proxy 16

4: Virtual Private Network (VPN) 18

II : Luật của ISA Server ( ISA Server Rules) 21

1 : Luật quản lý chính sách truy cập 21

2: Luật xác thực 23

3 : Luật về băng thông 25

4 : Các luật chính sách quảng bá 25

5 : Publishing Rule 26

Chương III : Thực nghiệm về ISA server 2006 32

I : Cài đặt ISA Server 2006 32

II : Cấu hình ISA Server cho công ty 39

1 : Cấu hình Access Rule: 39

2 : Cấu hình Firewall 43

3 : Cấu hình VPN ( Client to site ) 51

4 : Cấu hình Web Publishing 68

Trang 7

Danh mục hình ảnh

Hình 1.1 Mô hình firewall 6

Hình 1.3.1 Mô hình NAT 11

Hình 3.1 Proxy Server 16

Hình 4.1.1 Remote Access 18

Hình 4.2.1 Kết nối Site-to-site 20

Hình 5.3.1 Mô hình mạng 27

Hình 5.3.1.1 Chọn đường mạng 28

Hình 5.3.1.2 Chọn giao thức và cổng kết nối 28

Hình 5.3.1.3 Chọn giao thức và cổng kết nối 29

Hình 5.3.1.4 Chọn số client kết nối 29

Hình I.1Mô hình cài đặt 32

Hình I.2 Xác nhận có 2 đường mạng 33

Hình I.3 Chọn và cài đặt ISA Server 2006 33

Hình I.4 Chọn Next 34

Hình I.5 Đồng ý với các điều khoản 34

Hình I.6 Nhập thông tin cần thiết 35

Hình I.7Cài đặt các dịch vụ và lưu trữ 35

Hình I.8 Xác nhận cài đặt 36

Hình I.9 Chọn đường mạng trong 37

Hình I.10 Tiến hành cài đặt 37

Hình I.11 Đang tiến hành cài đặt ISA Server 2006 38

Hình I.12 Cài đặt thành công 38

Hình II.1.1Cài Access Rule 39

Hình II.1.2 Đặt tên cho access rule 40

Hình II.1.3 Rule action 40

Hình II.1.4 Add Protocol 41

Hình II.1.5 Chọn Internal và Local Host 41

Hình II.1.6 Chọn Host bên ngoài 42

Hình II.1.7 Chọn all users 42

Hình II.1.8 Kiểm tra lần cuối 43

Hình II.1.9 Apply Rule 43

Hình II.2.1 Mô hình thực nghiệm 44

Hình II.2.2 Cài Access Rule 45

Trang 8

Hình II.2.3 Đặt tên cho Access Rule 45

Hình II.2.4 Deny 46

Hình II.2.5 Chọn giao thức 46

Hình II.2.6 Chọn đường mạng trong 47

Hình II.2.7 New URL Set 47

Hình II.2.8 Tạo mới URL Set 48

Hình II.2.9 Chọn URL Set vừa tạo 48

Hình II.2.10 Chọn User Set 49

Hình II.2.11 Xác nhận lần cuối 49

Hình II.2.12 Apply Rule 50

Hình II.2.13 Đã chặn thành công 50

Hình II.3.1 Bắt đầu cấu hình VPN 51

Hình II.3.2 Chọn địa chỉ mạng 51

Hình II.3.3 Phạm vi địa chỉ IP 52

Hình II.3.4 Phạm vi địa chỉ IP (tiếp theo) 52

Hình II.3.5 Chọn mã hóa 53

Hình II.3.6 Tạo User 53

Hình II.3.7 Tạo User (tiếp theo) 54

Hình II.3.10 Tạo Group 55

Hình II.3.11 Tạo Group (tiếp theo) 56

Hình II.3.12 Chọn cấu hình 56

Hình II.3.13 Cấu hình VPN (tiếp theo) 57

Hình II.3.14 Thêm group 57

Hình II.3.14 Thêm group (tiếp theo) 58

Hình II.3.15 Cho phép VPN 58

Hình II.3.16 Tạo Access Rule 59

Hình II.3.17 Tạo Access Rule (tiếp theo) 59

Trang 9

Hình II.4.1 Tạo Publishing Rule 68

Hình II.4.2 Đặt tên cho Publishing Rule 68

Hình II.4.3 Tạo Publishing Rule (tiếp theo) 69

Hình II.4.9 Tạo Web listener 72

Hình II.4.10 Tạo Web listener (tiếp theo) 72

Hình II.4.15 Publish thành công 74

Trang 11

Nhóm 1 Trang 1

Chương I : Tổng quan về ISA Server 2006 I: Giới thiệu về ISA Server 2006

1: Sơ lược về ISA Server

Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm chia sẻ Internet của hãng Microsoft

Đây là một trong những phần mềm tường lửa (Firewall) được ưa chuộng trên thị trường hiện nay nhờ vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt Microsoft Internet Security and Acceleration Server (ISA Server) đưa ra một giải pháp kết nối chứa cả firewall và cache ISA Server cho phép cài đặt một chiến lược bảo

vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn các luật, chỉ ra những site, giao thức

và nội dung có thể được truyền qua máy tính ISA Server Không dừng ở đó nó còn có thể giám sát các yêu cầu và trả lời các yêu cầu đó cho các máy trên internet và máy khách nội bộ, cho phép đăng nhập hoặc chặn các máy tính theo các luật đã định sẵn

2 : Lý do để sử dụng ISA Server

Nếu máy tính của một cá nhân nào đó không được bảo vệ bởi Firewall thì khi máy tính đó kết nối Internet, tất cả các kết nối vào mạng đều được cho phép Vì vậy hacker, trojan, virus có thể truy cập và lấy cắp thông tin trên máy tính đó

Ngoài ra Hacker còn có thể cài đặt các đoạn mã để tấn công tập dữ liệu trên máy tính cũng như có thể sử dụng máy tính đó để tấn công các máy tính khác Điều này là cực kỳ huy hiểm với các máy tính trong một tổ chức

Vì vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống mạng của tổ chức của họ

ISA có chức năng là một Firewall mềm, vừa có chức năng Share internet và tăng tốc độ truy cập Internet (vì có chức năng Cache) Ngoài ra ISA còn cung cấp cho

ta nhiều tiện ích khác: Cho phép quản lý các client đến từng IP, User truy cập cho phép và ngăn cản các client truy cập đến từng trang web, ứng dụng Bên cạnh đó thì chức năng VPN cũng rất đáng được nói đến có thể dùng VPN server- client or VPN site to site

Firewall mềm có khả năng tùy chỉnh linh hoạt hơn, dễ thực hiện các thao tác quản lý hơn so với Firewall cứng

Trang 12

Nhóm 1 Trang 2

3 : Các dịch vụ của ISA Server

ISA Server hoạt động như một gateway tới Internet, thực thi an ninh trên ba tầng: lọc gói tin IP, lớp ứng dụng, và lớp mạch (circuit layer) Sự đa tầng này được thực hiện bởi các dịch vụ của ISA Server :

- Dịch vụ điều khiển của ISA Server Dịch vụ này chuyên về lọc gói tin (lọc tĩnh, logging), tái khởi động các dịch vụ khác khi cần, phát thông báo, kích hoạt hành động và các chức năng khác

- Dịch vụ quản lý lưu nội dung download

- Dịch vụ Web proxy Dịch vụ web proxy được thực thi ở tầng ứng dụng, và chỉ làm việc với các giao thức ứng dụng

- Dịch vụ Firewall Dịch vụ Firewall được thực thi ở mức circuit

Tất cả các dịch vụ đều cung cấp khả năng lọc động gói tin IP, cung cấp một mô hình

an ninh hoàn chỉnh

Trang 13

Nhóm 1 Trang 3

II : Các phiên bản của ISA Server 2006 :

ISA Server 2006 có 2 phiên bản chính là ISA Server Standard Edition và ISA Server Enterprise Edition

1 : ISA Server Standard Edition :

Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty

Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không phù hợp, thời gian không thích hợp (ví dụ trong giời làm việc)

Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi

dữ liệu văn phòng và hội sở

Đối với các công ty có những hệ thống máy chủ Public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triên khai vùng DMZ nhằm ngăn chặn sự tương tác trực tiếp giữa người dùng bên ngoài và bên trong hệ thống

Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản Standard còn

có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc kết nội internet của mạng nội bộ

Chính vì thế mà sản phẩm firewall này có tên gọi tên là Internet Security và Aceleration (bảo mật và tăng tốc Internet)

2 : ISA Server Enterprise Edition:

ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng được nhu cầu truy xuất của nhiều người dùng bên ngoài và trong hệ thống Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản

lý và cung cấp tính năng Load Balancing (cân bằng tải)

Trang 14

Nhóm 1 Trang 4

3 :So sánh 2 phiên bản

- Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng

vừa và nhỏ

- Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng

lớn, đáp ứng được nhu cầu trao đổi thông tin lớn giữa mạng nội bộ và bên ngoài Ngoài những tính năng đã có trên ISA Standard Edition, ưu điểm chính của Enterprise là hỗ trợ CPU không giới hạn, quản lý tập trung cấu hình và cân bằng tải tối đa 32 Server

Bản Enterprise có hỗ trợ thêm 3 tính năng mà bản Standard không có

- Centralized storage of configuration data:

Trong khi bản Standard lưu thông tin về cấu hình (configuration information => conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt Khi cài bản Enterprise ta phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (configuration storage server) Các storage server này sử dụng ADAM (Active Directory Application Mode) để lưu trữ cấu hình của tất cả các ISA trong tổ chức ADAM có thể cùng lúc cài đặt trên nhiều máy, nên chúng ta có thể có nhiều storage server (chúng ta có thể cài ADAM lên máy khác lo ISA hay cài lên máy ISA cũng được) Dữ liệu trên các storage server này sẽ tự tái tạo (replicate) cho nhau theo chu kỳ Nhờ đó hỗ trợ tốt hơn cho người quản trị Ví dụ nếu muốn thay đổi cấu hình của một hay nhiều máy ISA chúng ta chỉ việc ngồi vào trong máy server mà làm Còn với bản Standard, chúng ta phải đến từng máy để cấu hình

- Support for cache Array Routing Protocol (CARP):

Bản Enterprise cho phép ta chia sẽ việc cache giữa một dãy các ISA với nhau Với bản Enterprise, một dãy nhiều máy ISA sẽ được cấu hình trở thành một vùng cache của tất các ISA với nhau Để thực hiện tính năng này, ISA sử dụng CARP Cơ chế như sau: Khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy cache lại trang đó Khi một client bất kì đi một trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó trả về cho máy client CARP giúp tối ưu hóa khả năng cache

Trang 15

Nhóm 1 Trang 5

- Network load balancing - NLB (tích hợp cân bằng tải trên ISA):

NBL là một thành phần network có sẵn trong Windows 2000 server và Windows server 2003 Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (cùng là ISA) để cân bằng đường truyền, tránh hiện tượng quá tải NLB cũng là một hình thức sao lưu, vì nếu có một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống Với bản Standard, chúng ta phải cấu hình NLB bằng tay Còn với bản Enterprise, NLB được tích hợp vào ISA nên chúng ta có thể quản lý NLB từ ISA Chúng ta có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB

Trang 16

Nhóm 1 Trang 6

III : Các vấn đề liên quan

1 : Tổng quan về Firewall

Bức tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân, tổ chức,

doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ

Hình 1.1 Mô hình firewall

Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các

bức tường ngăn lửa trong các tòa nhà Tường lửa còn được gọi là Thiết bị bảo vệ biên

giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO,

hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại

học California, Berkeley

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng

tin cậy khác nhau Các vùng tin cậy (zone of trust) điển hình bao gồm:

mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao) Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa

trên nguyên tắc quyền tối thiểu (principle of least privilege)

Trang 17

Nhóm 1 Trang 7

Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ thống Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng

Có 2 loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho máy tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường lửa ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn chặn không cho máy tính truy cập một số trang web hay máy chủ nhất định, thường dùng với mục đích kiểm duyệt Internet

2 : Tổng quan về Cache

2.1: Forward caching

ISA Server có thể triển khai như một forward caching server, tức là cho phép các máy client nội bộ khả năng truy cập web ISA Server duy trì một cache tập trung cho các đối tượng internet thường xuyên được yêu cầu để tăng tốc độ mạng

2.2 : Reverse caching

Có thể được triển khai ở trước các web server của các tổ chức, các server quản

lý hệ thống, web thương mại hoặc gán quyền truy cập cho các thành viên khác vào các máy server nội bộ Với các yêu cầu được gửi đến thì sẽ được lọc ra, nếu hợp lệ thì sẽ được đi tiếp còn không thì sẽ bi chặn lại

Trang 18

Nhóm 1 Trang 8

Chương II : ISA server 2006

I : Cơ chế hoạt động của ISA Server

1 : ISA Server Firewall

1.1 : Cách thức làm việc

1.1.1 : Điều khiển các yêu cầu ra ngoài :

Một trong nhưng chức năng chính của ISA Server là liên kết giữa mạng nội bộ

và internet trong khi vẫn bảo vệ mạng nội bộ khỏi những nội dung có hại Để đơn giản hóa, ISA Server sử dụng các chính sách truy nhập, cùng với các luật dẫn đường, qua

đó xác định cách máy client truy cập vào internet

Khi ISA Server xử lý một yêu cầu ra ngoài, nó sẽ kiễm tra các luật dẫn đường, luật nội dung site và các luật giao thức để xác định xem yêu cầu có được phép không Một yều cầu được cho là hợp lệ khi luật quy định giao thức và luật về nội dung đều hợp lệ và không có luật nào khác chủ đích từ chối request này

Một vài luật có thể áp dụng cho các client nhất định Trong trường hợp này các client có thể được xác định hoặc là bằng địa chỉ IP hoặc là bằng tên người dùng ISA Server xử lý các yêu cầu khác nhau, phụ thuộc cách mà client yêu cầu đối tượng và cách cấu hình server

Đối với một vài yêu cầu gửi đi, các luật được xử lý theo thứ tự như sau:

- Trước hết ISA Server sẽ kiểm tra luật giao thức ISA Server chỉ cho phép nếu luật giao thức cho phép và không một luật nào khác từ chối

- Luật cho nội dung và site

- Các bộ lọc IP packet, kiểm tra xem cơ chế lọc có chặn các packet nhất định hay không, xác định xem yêu cầu có bị từ chối hay không

- Các luật dẫn đường hoặc cấu hình chuổi Firewall

Trang 19

Nhóm 1 Trang 9

1.1.2 : Điều khiển các yêu cầu đến :

ISA Server cũng có thể tạo ra những chính sách để bảo vệ an toàn cho các server nội bộ, bao gồm các bộ lọc IP Packet, các luật công khai hoặc các luật công khai server, cùng với các luật dẫn đường, xác định cách mà server nội bộ được công khai ra

Các luật công khai server của ISA Server :

- Luật công khai web, công khai nội dung web

- Luật công khai server, công khai nội dung trên tất cả các server khác trong mạng nội bộ

- Lọc IP Packet để công khai nội dung trên các server lên mạng vành đai

(perimeter network hay screen subnet)

Khi một ISA Server xử lý yêu cầu từ một client bên ngoài, nó sẽ kiểm tra các bộ lọc IP Packet, các luật công khai và các luật dẫn đường để xác định xem yêu cầu nó có được cho phép không và server nội bộ nào sẽ phục vụ cho yêu cầu này Thứ tự xử lý sẽ như sau:

- Các bộ lọc IP Packet

- Các bộ lọc công khai Web

- Các luật dẫn đường

Trang 20

Nhóm 1 Trang 10

1.2: Lọc các IP packet

Lọc IP packet là chặn và đánh giá các packet trước khi chúng đến tầng cao hơn

về giao thức và ứng dụng, bao gồm mọi IP packet, gồm có TCP packet, UDP packet, v.v…

Các bộ lọc có thể được cấu hình để chỉ các packet nhất định mới có thể được truyền tới ISA Server Điều này làm tăng tính an toàn cho mạng Các bộ lọc có thể chặn các packet đến từ các Internet host nhất định và có thể loại bỏ các packet liên quan đến mục đích tấn công Ngoài ra, cũng có thể chặn các packet dùng trong mạng nội bộ, như Web proxy, Firewall, WWW, hay dịch vụ SMTP

Với các bộ lọc IP packet, ta có thể chặn hoặc cho phép hoặc ngăn các packet dùng cho các máy tính nhất định trên mạng, có thể cấu hình hai loại bộ lọc IP packet tĩnh: các bộ lọc cho phép và các bộ lọc chặn

Các packet không bị chặn được truyền tới các dịch vụ ISA tại mức ứng dụng, khi đó ta có thể tạo các policy chỉ ra thông tin nào là được cho phép tới các dịch vụ của Web proxy và ISA Firewall Các cổng là được mở để truyền và nhận, và sau đó được đóng ngay lập tức sau khi một trong những dịch vụ ISA kết thúc kết nối

ISA Server còn có khả năng lọc packet mang tính động, hỗ trợ lọc cho cả IP packet đến và đi ISA Server có thể được cấu hình các luật và chính sách truy nhập,

mở cổng tự động chỉ khi cho phép, đóng cổng khi giao tiếp kết thúc Cách tiếp cận này làm giảm số cổng vào ra và cung cấp một mức an toàn cao hơn cho mạng

Đối với nhiều giao thức ứng dụng, như là xử lý luồng phương tiện, lọc động đem lại phương thức an toàn nhất để xử lý các cổng cấp phát động

Trang 21

Nhóm 1 Trang 11

1.3: (Secure Network Address Translation)

SecureNAT là một mở rộng của NAT driver trong MS Windows 2000 NAT thay thế một địa chỉ IP toàn cầu, dùng trên Internet, với một địa chỉ IP cục bộ Cơ chế này cho phép nhiều host với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP bên ngoài, nhưng vẫn chịu sự quản lý của ISA Server

Hình 1.3.1 Mô hình NAT

Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong suốt về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF (Internet Engineering

bằng việc cho phép điều khiển truy nhập cho FTP, ICMP, H.323, và các giao thức PPTP NAT cũng cho phép tái dẫn đường cho các HTTP request, cho thích hợp với các cache cục bộ, như trong trường hợp của CERN proxy

SecureNAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem

và tài khoản dịch vụ Internet SecureNAT để cho nhiều host kết nối thông qua một máy tính có gateway nối với Internet SecureNAT cho phép một kết nối quay số hoặc kết nối khác tới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả Internet và các mạng ghép cho việc trao đổi từ xa và các mục đích khác Mọi host trên mạng nội bộ dùng chung một hoặc nhiều địa chỉ toàn cầu

Trang 22

Nhóm 1 Trang 12

Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức, như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm

Các hạn chế của NAT:

- Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt

- NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các giao thức khác mặc dù có nhúng IP trong gói

- Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP

là giống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong ISA Server Thực tế thì chúng không hẳn tương đương nhau

2: ISA Server Cache

2.1 : Cơ chế hoạt động của ISA Server Cache

Dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm cho các đối tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache Nếu yêu cầu nằm ngoài khả năng của cache, ISA Server mới yêu cầu bắt đầu một yêu cầu mới thay mặt client đến server được yêu cầu Một khi Web server trả lời ISA Server, ISA Server sẽ lưu response cho request gốc và gửi response cho phía client

ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi,

và reverse caching, dùng cho các yêu cầu đến Các máy client trong cả forward caching và reverse caching đều tận dụng cả loạt các tính năng của ISA Server

ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy khách Firewall và SecureNAT lợi dụng được tính năng cache này khi HTTP redirector được cho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại

ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội dung cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không

Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối tượng có trong cache hay không Nếu yêu cầu được tạo cho một dãy các máy tính ISA Server, thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định nên kiểm tra cache của server nào Nếu đối tượng không ở trong cache, thì ISA Server

sẽ kiểm tra hoạt động của luật dẫn đường để xác định đường đi cho request Nếu đối tượng nằm trong cache, thì ISA Server sẽ thực hiện các bước sau:

Trang 23

Nhóm 1 Trang 13

- Đối tượng được coi là không hợp lệ nếu các điều kiện sau xảy ra :

o TTL (time-to-live) được xác định từ nguồn đã hết

o TTL xác định trong nội dung cache đã hết

o TTL cấu hình cho đối tượng đã hết

- Nếu đối tượng là hợp lệ, thì ISA Server sẽ kiểm tra luật dẫn đường Nếu các thuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một phiên bản của đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache

- Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác định xem có dẫn đường cho request đến server cấp trên hay không, hay đến Web server được yêu cầu

- Nếu luật dẫn đường là được cấu hình để dẫn request đến Web server thì ISA Server sẽ kiểm tra khả năng truy nhập của Web server đó

- Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem server có được cấu hình để trả về đối tượng hết hạn từ cache hay không Nếu được thì đối tượng sẽ được trả về cho người dùng

- Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể được cache hay không và các thuộc tính cache của luật dẫn đường có được lưu response hay không Nếu có thì ISA Server sẽ lưu đối tượng và trả đối tượng về cho người dùng

Trang 24

Nhóm 1 Trang 14

2.2 : CARP và cách thức làm việc của CARP

2.2.1 : CARP – Giao thức dẫn đường cho dãy cache

ISA Server dùng CARP để cung cấp khả năng co dãn và hiệu quả liên tục khi dùng nhiều máy ISA Server được nối kiểu dàn hàng tạo khả năng cache đơn về mặt logic

CARP dùng cơ chế dẫn đường theo nguyên tắc băm để xác định đường đi tối ưu qua một dãy cache để giải quyết yêu cầu Giải pháp này là dựa vào việc áp dụng thuật toán băm cho dãy các thành viên và các URL Đối với bất kỳ một yêu cầu URL được cho, trình duyệt hoặc proxy server cấp dưới sẽ biết chính xác sẽ lấy dãy các thông tin ở đâu Đường tìm kiếm này cho thấy thông tin là đã được lưu từ request trước hay chưa, hoặc phải lấy từ Internet và sau đó lưu lại cho tương lai

CARP cung cấp các lợi ích sau:

- Vì CARP xác định đường tìm kiếm tối ưu, không có cơ chế truy vấn giữa các proxy server, như khi tìm kiếm với các giao thức cache thông thường Bằng cách làm này, CARP cung tránh được sự tắc nghẽn do quá nhiều câu truy vấn, điều mà thường xảy ra trong một số lượng lớn các server

- CARP loại bỏ sự lặp về nội dung - điều mà hay xảy ra đối với chuỗi proxy server Với cơ chế dẫn đường bằng giải thuật băm, CARP tránh được điều này bằng cách cho phép cả năm ISA Server tồn tại với một cache đơn logic Kết quả

là có trả lời nhanh hơn và dùng hiệu quả hơn tài nguyên server

- CARP có khả năng co dãn cao Do tìm đường bằng giải thuật băm dẫn đến sự độc lập ngang hàng, CARP trở nên nhanh hơn và hiệu quả hơn khi nhiều proxy server được thêm vào Không như các chuỗi ICP, xử lý truy vấn để tìm vị trí thông tin cache, giảm hiệu quả tiến trình và tăng tải, dẫn đến khả năng kém về tính co dãn – càng nhiều server, càng nhiều truy vấn

- CARP đảm bảo rằng các đối tượng cache hoặc được phân tán giữa các server, hoặc các nhân tố tải - được cấu hình cho mỗi server

Trang 25

Nhóm 1 Trang 15

2.2.1 : Cách thức làm việc của CARP

Tiến trình CARP cung cấp cơ chế tìm đường hiệu quả cho các request

Tất cả các server được theo dõi thông qua một chuỗi danh sách thành viên, được lưu trong Active Directory Tất cả các thành viên sẽ được thông báo khi thêm hoặc bớt server trong chuỗi

Theo chu kỳ, máy khách Web proxy hay server cấp dưới sẽ gửi thăm dò và nếu cần thiết, cập nhật danh sách thành viên

- Máy khách Web proxy gửi yêu cầu array.dll?Get.Routing.Script tới server

Giá trị băm của URL được kết hợp với giá trị băm cho mỗi ISA Server, cho kết quả cao hơn, trở thành “người sở hữu” thông tin cache

Server kiểm tra xem nó nên xử lý request hay không Nếu không, nó gửi request cho thành viên khác, được xác định danh sách chuỗi Thành viên gửi gửi kèm theo thông tin xác thực cho thành viên nhận Trong hoàn cảnh công khai, nó cũng cung cấp GUID của luật công khai

Một khi mà server được chọn để xử lý request, nó sẽ tiếp tục áp dụng luật ISA nếu cần thiết

Do các hàm băm được dùng để gán các giá trị là rất nhiều nên tải được phân tán

và cân đối giữa các phần tử trong chuỗi

Giải pháp tìm đường không yêu cầu một bảng định vị lớn, trình duyệt chỉ phải chạy cùng một hàm toán học cho một đối tượng để xác định vị trí của nó

Do các máy ISA Server có thể có phần cứng khác nhau và đôi khi có sự chênh lệch về khả năng, ta có thể cấu hình để phân chia cache hợp lý - cấu hình cho các hàm CARP, chỉ ra nhân tố tải cho server nhất định trong chuỗi

Ngoài ra có thể cấu hình các yêu cầu đến và đi riêng biệt, ví dụ có thể cho phép yêu cầu Web đến, và không cho phép yêu cầu gửi đi

Trang 26

Dịch vụ Web proxy làm việc ở mức ứng dụng, và sẽ thay mặt cho một HTTP client yêu cầu lấy về một đối tượng Internet thông qua một trong các giao thức được

hỗ trợ bởi dịch vụ Web proxy: FTP, HTTP, HTTPS, và Gopher Web proxy sẽ bảo vệ tất cả các kết nối của các Web browser Dịch vụ Web proxy hoạt động với một Web proxy client, là bất cứ một máy tính nào mà nó sử dụng các ứng dụng tuân theo chuẩn CERN và được cấu hình để sử dụng dịch vụ Web proxy của ISA server

Không như Microsoft Proxy Server 2.0, mà nó thực hiện Web proxy như một

bộ lọc Web (ISAPI) được tải bởi các IIS Web server địa phương, Web proxy ở đây chạy như một tiến trình của Windows 2000 (W3proxy.exe) Tiến trình có thể được khởi tạo bằng cách khởi động dịch vụ Web proxy IIS server có thể được cài đặt trên máy ISA Server, mặc dù điều này không bắt buộc

Chúng ta có thể sử dụng chức năng quảng bá Web an toàn của ISA cùng với IIS hoặc với khác Web server khác để quảng bá tới Internet mà không cần phải thoả hiệp

về an nình của hệ thống mạng bên trong của chúng ta ISA sử dụng Secure Web

Trang 27

Nhóm 1 Trang 17

publishing, và sau đó sẽ đảo chiều hosting và gửi yêu cầu tới Web-publishing server được kết nối phía sau máy tính ISA proxy Dịch vụ Web proxy của ISA server hỗ trợ

sử dụng SSL, và các bộ lọc Web (ISAPI)

3.1 Web Proxy Service Clients

Web proxy clients (các trình duyệt thông thường) phải được cấu hình riêng để

sử dụng ISA Server Khi một người dùng yêu cầu một trang Web, trình duyệt sẽ truyền URL Nếu như tên có bao gồm các dấu chấm như một Fully Qualified Domain Name (FQDN), trình duyệt coi đích là ở xa và nó sẽ gửi yêu cầu HTTP tới ISA Server

để xử lý

3.2:Các bộ lọc Web (ISAPI)

Các bộ lọc Web (ISAPI) sẽ phát hiện và xử lý các xự kiện HTTP, và có thể mở rộng chức năng của dịch vụ Web proxy Bằng cách sử dụng Internet Server API, ISA Server hỗ trợ mô hình khả năng có thể mở rộng bộ lọc Web, nó tạo khả năng cho các nhà phát triển trung gian có thể kiểm tra và thay đổi dòng yêu cầu và trả lời HTTP ISA Server không hỗ trợ mở rộng ISAPI

3.3:Chia cắt các dịch vụ thông tin Internet

Không như Microsoft Proxy Server 2.0, thực thi dịch vụ Web proxy như một bộ lọc ISAPI được tải bởi các IIS Web server địa phương, dịch vụ Web proxy chạy như một dịch vụ Windows 2000 có tên là W3proxy Tiến trình có thể được khởi tạo bằng cách khởi động dịch vụ Web proxy IIS server có thể được cài đặt trên máy IIS Server , nhưng không bắt buộc

Các thuộc tính yêu cầu Web đi vào hệ thống cũng như các yêu cầu đi ra hệ thống có thể chạy trên các cổng TCP khách nhau Ví dụ, mặc định, ISA Server lắng nghe các yêu cầu Web đi ra hệ thống trên cổng 8080, trong khi ISA Server lắng nghe các yêu cầu Web đi vào hệ thống trên cổng 80 Bằng cách này, ISA Server bảo đảm rằng các yêu cầu Web đi ra hệ thống không xung đột với cá yêu cầu Web đi vào trên cổng 80

Nếu IIS Server được cài đặt trên máy ISA Server, nó phải được đặt cấu hình để không sử dụng các cổng mà ISA Server sử dụng cho các yêu cầu Web đi ra hệ thống (mặc định là 8080) và các yêu cầu Web đi vào hệ thống (mặc định là 80) Chẳng hạn, chúng ta có thể thay đổi cho IIS Server lắng nghe trên cổng 81 Sau đó chúng ta có thể

Trang 28

4: Virtual Private Network (VPN)

Mạng riêng ảo hay VPN ( Virtual Private Network) là một mạng dành riêng

để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạngInternet công cộng

Công nghệ VPN chỉ rõ 3 yêu cầu cơ bản:

- Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi

- Kết nối các chi nhánh văn phòng với nhau

- Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của tổ chức

Các mô hình VPN bao gồm:

4.1: Truy Cập từ xa (remote-Access)

Hình 4.1.1 Remote Access

Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up

Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà

các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ

xa và bằng các thiết bị khác nhau

Trang 29

Nhóm 1 Trang 19

Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISP và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của họ Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân

viên thương mại Các Truy Cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch

vụ thứ ba (third-party)

Có hai kiểu Truy cập từ xa VPN: VPN dùng riêng và VPN dùng 1 mình

- Khởi tạo bởi phía khách (Client-Initiated) : Người dùng từ xa sử dụng phần

mềm VPN client để thiết lập một đường hầm an toàn tới mạng riêng thông qua một ISP trung gian

- Khởi tạo bởi NAS (Network Access Server-initiated) : Người dùng từ xa quay

số tới một ISP NAS sẽ thiết lập một đường hầm an toàn tới mạng riêng cần kết nối

Với Truy cập từ xa VPN, các nhân viên di động và nhân viên làm việc ở nhà chỉ phải trả chi phí cho cuộc gọi nội bộ để kết nối tới ISP và kết nối tới mạng riêng của công ty, tổ chức Các thiết bị phía máy chủ VPN có thể là Cisco Routers, PIX

Firewalls hoặc VPN Concentrators, phía client là các phần mềm VPN hoặc Cisco Routers

Trang 31

Nhóm 1 Trang 21

II : Luật của ISA Server ( ISA Server Rules)

1 : Luật quản lý chính sách truy cập

1.1 : Lọc IP Packet

Chức năng lọc gói tin của ISA Server cho phép chúng ta điều khiển khống chế được luồng các gói tin IP (Internet Protocol) đến từ cũng như đi đến ISA Server Khi chúng ta kích hoạt chức năng lọc gói tin, tất cả các gói tin đi đến giao diện ngoài của ISA Server sẽ bị ngăn lại và bỏ qua trừ khi chúng được phép đi qua Chức năng này được thực hiện cứng bởi bộ lọc gói tin IP, hoặc động bởi các chính sách truy cập hoặc các luật quảng bá

Thậm chí nếu chúng ta không kích hoạt bộ lọc gói tin, truyền thông giữa mạng cục bộ của chúng ta và Internet cũng chỉ được phép nếu như chúng ta đặt cấu hình cho các luật sao cho chúng cho phép truyền thông

Trong phần lớn các trường hợp, tốt nhất là thực hiện mở các cổng mang tính động Như vậy, thông thường chúng ta nên tạo ra các chính sách quản lý truy cập để cho phép các máy khách bên trong hệ thống mạng của chúng ta truy cập Internet hoặc các luật quảng bá để cho phép các máy khách phía bên ngoài có thể truy cập các phần

tử phục vụ bên trong hệ thống của chúng ta Điều này là do các bộ lọc gói tin mở các cổng không mang tính tĩnh, trong khi đó các luật quản lý chính sách truy cập và các luật quảng bá mở các cổng mang tính đáp ứng động(khi có một yêu cầu đến) Ví dụ, giả sử chúng ta muốn cấp quyền cho tất cả người dùng bên trong hệ thống có quyền truy cập đến các site HTTP Chúng ta không nên đặt bộ lọc gói tin IP mà nó sẽ mở cổng 80 Chúng ta nên tạo ra các luật về nội dung và luật địa điểm truy cập cần thiết, hoặc luật giao thức mà nó cho phép các truy cập này

Chúng ta có thể tạo ra các bộ lọc gói tin IP để lọc các gói tin dựa trên loại dịch

vụ, số hiệu cổng dịch vụ, tên máy nguồn và máy đích Các bộ lọc gói tin IP là mang tính chất tĩnh – truyền thông thông qua một cổng nào đó sẽ luôn luôn được cho phép hoặc luôn đóng Hãy sử dụng các bộ lọc trong trường hợp chúng ta muốn ngăn tất cả các gói tin, trừ một số loại chúng ta mong muốn nào đó Nếu chúng ta không có một

bộ lọc gói tin được kích hoạt trên một cổng nào đó, dịch vụ sẽ không thể lắng nghe trên cổng đó trừ khi cổng đó được mở mang tính động (tuỳ biến)

Trang 32

Nhóm 1 Trang 22

Các bộ lọc đóng (block) sẽ đóng một cổng nào đó Chúng ta có thể tạo ra và cấu hình các bộ lọc đóng để định nghĩa các dòng tin được phép đi qua máy tính ISA Server Ví dụ, chúng ta có thể tạo ra một bộ lọc cho phép các dòng tin TCP trên cổng

25 giữa các host bên trong và bên ngoài hệ thống, rồi kích hoạt truyền thông SMTP Sau đó chúng ta có thể giới hạn truy cập, tạo ra một bộ lọc đóng, mà nó sẽ ngăn một tập các host bên ngoài, chẳng hạn những host có khả năng là những kẻ xâm nhập trái phép, gửi những gói tin TCP tới cổng 25 trên máy ISA Server

1.1 : Các luật giao thức , các luật địa chỉ và nội dung truy nhập

Các luật giao thức định nghĩa các giao thức có thể được sử dụng cho truyền thông giữa hệ thống mạng của chúng ta và Internet Các luật giao thức được sử lý ở tầng ứng dụng Ví dụ, một luật giao thức có thể chỉ cho phép các máy khách sử dụng giao thức HTTP

Các luật địa chỉ và nội dung truy nhập định nghĩa nội dung và địa chỉ trên Internet mà các máy khách được quản lý bởi ISA Server có thể truy cập đến Các luật địa chỉ và nội dung truy cập được xử lý ở tần ứng dụng Ví dụ, một luật nội dung và địa chỉ có thể cho phép các máy khách được quyền truy nhập tất cả các địa điểm trên Internet

Khi chúng ta cài đặt ISA Server , chúng ta định chế độ cài đặt: Firewall, cache, hoặc chế độ kết hợp cả hai Bảng sau đây liệt kê các loại luật chính sách quản lý truy cập của mỗi chế độ cài đặt

Rule type Firewall Cache Integrated

Luật về địa điểm và

nội dung truy nhập

Có Có Có

Luật về giao thức Có Có, đối với các giao

thức HTTP, FTP, HTTPS

Có

Trang 33

Nhóm 1 Trang 23

2: Luật xác thực

2.1 : Các phương thức xác thực

Chúng ta có thể đặt các phương thức xác thực thích hợp để sử dụng Chúng ta

có thể đặt các phương thức xác thực khác nhau cho các yêu cầu Web từ ngoài đi vào

hệ thống và các yêu cầu từ trong hệ thống đi ra

ISA Server hỗ trợ các phương thức xác thực sau: phương thức xác thực cơ bản, phương thức tóm gọn, phương thức xác thực tích hợp với hệ thống Windows, và chứng nhận client, chứng nhận server

Microsoft Internet Explorer 5 hỗ trợ tất cả các phương cách xác thực Các trình duyệt khác có thể chỉ hỗ trợ phương thức cơ bản Chúng ta cần phải chắc chắn rằng trình duyệt Web có thể sử dụng ít nhất một trong các phương thức xác thực mà chúng

ta định ra ở các thuộc tính yêu cầu đi ra cũng như đi vào của một dãy (array) Nếu không, máy khách có thể không thể truy cập được các đối tượng cần thiết

2.2 : Các luật và sự xác thực

Khi một máy khách của Firewall yêu cầu nội dung không phải HTTP, ISA Server sẽ quyết định xem đã có luật nào được đặt ra để áp dụng cho người dùng hoặc nhóm người dùng đó hay chưa Nếu có, ISA Server sẽ yêu cầu máy khách đó xác thực bản thân nó, như vậy ISA Server có thể quyết định luật đó có áp dụng cho máy khách yêu cầu hay không

Khi một phần tử được quản lý bởi Web proxy hoặc Firewall yêu cầu một nội dung HTTP, ISA Server sẽ kiểm tra các luật để quyết định xem có luật nào đó cho phép các truy cập nặc danh hay không( hoặc bởi vì luật đó áp dụng cho tất cả người dùng, hoặc bởi vì nó áp dụng cho một nhóm địa chỉ client bao gồm địa chỉ của phần tử yêu cầu) Nếu có, yêu cầu sẽ được cho phép Nếu không, nếu không có một luật nào được đặt ra để cho phép các truy cập nặc danh, ISA Server sẽ yêu cầu client xác thực bản thân nó, để rồi quyết định một luật áp dụng cho người dùng đã được xác thực đó

Nói cách khác, khi một client yêu cầu nội dung HTTP, các thông tin xác thực sẽ không được chuyển tới ISA Server , trừ khi ISA Server yêu cầu Điều này chỉ có khi dịch vụ Web proxy yêu cầu xác định người dùng để cho phép thông qua yêu cầu

Chúng ta có thể đặt ISA Server luôn luông yêu cầu xác thực đối với các yêu cầu Web bằng cách sử dụng thuộc tính

Trang 34

Nhóm 1 Trang 24

FPCWebRequestConfiguration.AlwaysAuthenticate

Với các Firewall clients, các yêu cầu HTTP được truyển tới bộ tái định hướng HTTP (HTTP redirector), nếu bộ lọc đã được thiết lập Trong trường hợp này, các thông tin xác thực của Firewall client sẽ không được truyền cho dịch vụ Web proxy,

và ISA Server sẽ coi yêu cầu này đến từ người dùng nặc danh Nếu ISA Server không thể truyền yêu cầu từ người dùng không được xác thực, yêu cầu sẽ bị từ chối, bởi lẽ ISA Server sẽ không yêu cầu xác thực

Ví dụ về xác thực

Giả sử chúng ta định ra cho ISA Server các luật như sau:

- Một luật giao thức mà nó cho phép mọi người sử dụng tất cả các loại giao thức

- Một luật địa điểm và nội dung truy cập mà nó cho phép mọi người truy cập tới tất cả các site

- Một luật địa điểm và nội dung truy cập mà nó sẽ luôn từ chối yêu cầu từ người dùng John

Hai luật đầu sẽ cho phép tất cả các yêu cầu từ phía người dùng nặc danh Luật thứ ba sẽ từ chối tất cả các yêu cầu từ phía người dùng John, chỉ khi ISA Server yêu cầu John xác thực bản thân anh ta Ví dụ, xét tình huống như sau:

- Máy tính của John được cài đặt Firewall client John yêu cầu một nội dung phi HTTP Yêu cầu của John sẽ bị từ chối bởi vì dịch vụ ISA Server Firewall yêu cầu xác thực; Và luật thứ ba sẽ được thực thi

- Máy tính của John được đặt chế độ như một Web proxy client John yêu cầu một nội dung HTTP, yêu cầu của John sẽ được cho phép bởi lẽ ISA Server không yêu cầu xác thực; và do đó luật thứ ba không được thực thi

- Máy tính của John được cài đặt Firewall client John yêu cầu nội dung HTTP Yêu cầu của John sẽ được cho phép bởi vì ISA Server không yêu cầu xác thực

và như vậy luật thứ ba sẽ không được thực thi

Trang 35

Nhóm 1 Trang 25

3 : Luật về băng thông

Các luật về băng thông sẽ xác định kết nối nào có quyền ưu tiên hơn Quản lý băng thông của ISA Server không giới hạn mức băng thông có thể sử dụng Hơn thế,

nó thông tin cho dịch vụ quản lý chất lượng dịch vụ (QoS) của Windows 2000 để định mức ưu tiên cho các kết nối mạng Bất cứ kết nối nào mà nó không có một luật băng thông đi kèm sẽ được gán mức ưu tiên lập lịch mặc định của hệ thống Mặt khác, bất

cứ một kết nối mạng nào được gắn với một luật quản lý băng thông sẽ được đặt mức

ưu tiên cao hơn mức mặc định

Khi cài đặt ISA Server , chúng lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp cả hai Các luật quản lý băng thông có ở tất cả các chế độ

4 : Các luật chính sách quảng bá

Chúng ta có thể sử dụng ISA Server để đặt chính sách quảng bá, nó bao gồm các luật quảng bá server và các luật quảng bá Web Các chính sách quản lý quảng bá được tạo ra mức chuỗi (array level), chứ không phải ở mức enterprise

Các luật quảng bá server sẽ lọc tất cả các yêu cầu đi vào hệ thống Các luật quản lý server sẽ ánh xạ các yêu cầu đi vào hệ thống tới các phần tử phục vụ (server) tương ứng được quản lý phía sau ISA Server

Các luật quảng bá Web ánh xạ các yêu cầu đi vào hệ thống tới các Web server tương ứng được quản lý bởi ISA Server

Khi chúng ta cài đặt ISA Server , chúng ta sẽ lựa chọn chế độ cài đặt: firewall, cache, hoặc chế độ tích hợp Bảng sau đây sẽ liệt kê các loại luật về chính sách quảng

Trang 36

Nhóm 1 Trang 26

5 : Publishing Rule

5.1 : Web Publishing Rule

ISA Server sử dụng Web publishing rules để làm cho các trang web trong mạng được bảo vệ có thể được sử dụng bởi các người dùng ở mạng bên ngoài, chẳng hạn như Internet

Một Web Publishing Rule là một luật của tường lửa để phân định cách mà ISA Server sẽ định hướng gói tin đến các Web server

Web Publishing Rule sẽ cung cấp cho ta:

- Truy cập vào các Web Server sử dụng giao thức HTTP

5.2 : Server Publishing Rules

Web publishing và Secure Web publishing rules, chỉ có thể cấp quyền truy cập cho Web Server sử dụng giao thức HTTP hoặc HTTPS

Để cấp quyền truy cập cho các tài nguyên trong mạng nội bộ sử dụng các giao thức khác Ta phải cấu hình server publishing rules

Server publishing rules sẽ cung cấp:

- Truy cập đến nhiều giao thức khác nhau

- Lọc qua lớp ứng dụng với mỗi giao thức

- Hỗ trợ mã hóa

- Lưu địa chỉ IP của các máy client

Trang 37

Web publishing rules sẽ xác định những yêu cầu nào cho đối tượng HTTP sẽ được ISA Server chấp nhận và cách mà ISA Server sẽ đáp ứng những yêu cầu đó

5.3.1 : Cấu hình Web Listeners

Web listeners được sử dụng bởi Web và Secure Web Publishing Rules

Một Web listener là một đối tượng cấu hình ISA Server định nghĩa cách máy ISA server lắng nghe các yêu cầu HTTP và SSL

Web listener định nghĩa đường mạng, địa chỉ IP và số cổng mà ISA Server lắng nghe cho các kết nối của client

Nếu máy ISA server nhận được một HTTP hoặc HTTPS trên một card mạng

mà không có Web Listener được cấu hình sẵn với địa chỉ IP trong mạng, ISA Server sẻ loại bỏ tất cả trước khi áp dụng Web server publishing rules

Trang 38

Nhóm 1 Trang 28

Hình 5.3.1.1 Chọn đường mạng Network : Tùy chọn này xác định mạng mà ISA Server lắng nghe yêu cầu đến Web

Hình 5.3.1.2 Chọn giao thức và cổng kết nối

Trang 39

Nhóm 1 Trang 29

Port numbers : Tùy chọn này chỉ định số cổng mà Web listener sẻ lắng nghe yêu cầu

đến web

Hình 5.3.1.3 Chọn giao thức và cổng kết nối Client authentication methods : Tùy chọn này chỉ định phương pháp xác thực được

hỗ trợ nếu cần xác thực trên Web Listener

Hình 5.3.1.4 Chọn số client kết nối

Trang 40

Nhóm 1 Trang 30

Client Connection Settings : Tùy chọn này chỉ định số lượng client được kết nối đồng

thời và giá trị thời gian hủy cho Web Listener

5.3.2 : Path Mapping

Path mapping là một chức năng của ISA Server giúp cho ISA Server có thể chuyển yêu cầu của người dùng đến một đường khác trong hệ thống các Web server trong mạng nội bộ

Khi một người dùng kết nối đến một trang web được publish trên ISA Server, người dùng sẽ nhập vào một đường dẫn

Trước khi chuyển yêu cầu đến web server đã được publish, ISA Server sẽ kiểm tra đường dẫn đó

Nếu cơ chế dẫn đường (path mapping) đã được cấu hình cho đường dẫn đó, ISA Server sẽ thay thế đường đi của yêu cầu với một đường trong nội bộ và chuyển tới Web server

Path Mapping có thể được sử dụng trong các tình huống khác nhau

Ví dụ:

Một tổ chức có thể có một trang web: http://www.cohovineyard.com

Nếu toàn bộ trang web nằm trên một Web Server duy nhất ta có thể sử dụng Path Mapping để chuyển các yêu cầu của client đến các thư mục ảo khác nhau trên server đó

http://www.cohovineyard.com/catalog có thể được chuyển hướng đến một thư mục ảo có tên CurrentCatalog trên Web Server

http://www.cohovineyard.com/sales được chuyển đến thư mục ảo SalesData Chúng ta cũng có thể sử dụng Path Mapping để chuyển các yêu cầu của khách cho nhiều Web Server nội bộ

Định dạng
Số trang	86
Dung lượng	3,59 MB