Trước hết với vai trò của một quản trị viên chúng ta cần xâydựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình.. Enterprise : ISA Server 2006 Enterprise đượ
Trang 1Đồ án tốt nghiệp đại học
TRƯỜNG ĐẠI HỌC VINH
KHOA CÔNG NGHỆ THÔNG TIN
-BÁO CÁO
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
ĐỀ TÀI
TÌM HIỂU VÀ CÀI ĐẶT ISA
Nhóm sinh viên thực hiện:
Nguyễn Đình Hùng – Mã sinh viên : 0851070294
Vilaxay Somphone – Mã sinh viên : 0851073213
Lớp: 49K - CNTT
Giáo viên hướng dẫn: T.S Lê Ngọc Xuân
Nghệ An, tháng 12 năm 2012
Trang 2LỜI CẢM ƠN
Chúng em xin gửi lời cảm ơn chân thành đến tất cả các thầy giáo, cô giáo trườngĐại học Vinh nói chung và khoa Công nghệ thông tin nói riêng đã dạy dỗ, trang bị chochúng em những kiến thức trong suốt những năm học vừa qua xin gửi lời cảm ơn sâu sắcđến các thầy cô giáo đã hướng dẫn định hướng và giúp đỡ chúng em thực hiện đồ án tốtnghiệp này Đặc biệt là thầy giáo T.S Lê Ngọc Xuân đã tận tình hướng dẫn trong suốt thờigian thực tập và làm đồ án tốt nghiệp
Nhân dịp này chúng em xin gửi lời cảm ơn chân thành đến gia đình, bạn bè, nhữngngười thân đã tạo mọi điều kiện, động viên giúp đỡ chúng em hoàn thành tốt đồ án
Tuy nhiên, vì thời gian có hạn nên chúng em không thể phát huy hết những ýtưởng của mình, khả năng hỗ trợ của ngôn ngữ và công nghệ vào đề tài Trong quá trìnhthực hiện đề tài không thể tránh khỏi sai sót, mong nhận được sự góp ý và cảm thông củaquý thầy cô và các bạn
Tháng 12, năm 2012
Người thực hiện
Nguyễn Đình Hùng Vilaxay Somphone
Trang 3Đồ án tốt nghiệp đại học
LỜI MỞ ĐẦU
Trong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đáp ứngcác nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế, mua hàngtrực tuyến,…vv… Không còn là những khái niệm trừu tượng nữa Với Internet mọi thứ
“trong mơ” đã trở thành hiện thực Trong những năm gần đây vài trò của Công nghệthông tin (CNTT) đã và đang được khẳng định một cách rõ nét Sự phát triển của CNTT
đã tác động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội của loàingười, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử Ưng dụng CNTT có hiệuquả và bền vững đang là tiêu chí hàng đầu của nhiều quốc gia CNTT giúp con người xíchlại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn tại là lực đẩy cho mọi hoạtđộng trên mọi lĩnh vực của Quốc gia
Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vữngcũng là tất yếu Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khaimột hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là gópphần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó Và tất cả chúng
ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá Không chỉ thuần túy
về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng
sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợidụng với những mục đích khác nhau Hacker, attacker, virus, worm, phishing, những kháiniệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệthống thông tin (PCs, Enterprise Networks, Internet, vv ) Và chính vì vậy, tất cả những
hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó vớinhững thế lực đen tối đó Trước hết với vai trò của một quản trị viên chúng ta cần xâydựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình Tiếptheo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế lực trên Đó
là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các EnterpriseFirewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức Và Microsoft ISAServer 2006 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là người bạn tin cậy
để bảo vệ an toàn cho các hệ thống thông tin
Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao? Chức năngcủa ISA như thế nào? Tác dụng của ISA trong môi trường network vv vv Chuyên đềnày sẽ giải đáp những câu hỏi đó Và sẽ cung cấp một cái nhìn chi tiết, rõ nét về ISAserver
Trang 4MỤC LỤC
LỜI CẢM ƠN 1
LỜI MỞ ĐẦU 2
CHƯƠNG I TỔNG QUAN VỀ ISA SERVER 2006 5
1.1 Giới thiệu về ISA server 2006 5 1.2 Các phiên bản của ISA server 20065 1.3 Tính năng chính của ISA server 2006 5 CHƯƠNG II CÀI ĐẶT ISA SERVER 2006 7
2.1 Mô hình 7 2.2 Chuẩn bị 7 2.2.1 Nâng cấp Domain Controller trên máy Server 7
2.2.2 Cấu hình Routing trên máy Router 10
2.2.3 Join Domain các máy VIP, User vào máy Server 12
2.2.4 Cấu hình Router trên máy ISA 13
2.3 Cài đặt ISA Server 13 2.3.1 Cài đặt ISA trên máy ISA Server 13
2.3.2 Cài đặt Firewall client trên các máy Server,VIP,User 17
CHƯƠNG III TRIỂN KHAI MÔ HÌNH ISA SERVER 2006 19
3.1 Cấu hình Access Rules 19 3.1.1 Phân giải tên miền DNS 19
3.1.2 Cho máy VIP và User được gửi nhận mail từ Internet 21
3.1.3 Cho máy User truy cập trang Web Đại Học Vinh trong giờ làm 24
3.1.4 Cho máy VIP truy cập internet không hạn chế 28
Trang 5Đồ án tốt nghiệp đại học
3.1.5 Cho máy Uer truy cập Internet không hạn chế trong giờ giải lao 303.1.6 Chỉ cho máy User đọc chữ không cho xem hình, xem phim, nghe nhạc 323.1.7 Cấm máy User truy cập trang 2sao.vn, nếu truy cập thì Redirect về
vinhui.edu.vn 343.2 Cấu hình Caching 36
3.2.1 Thiết lập Proxy 373.2.2 Thiết lập dung lương lưu trữ cache trên ổ cứng 403.2.3 Thiết lập dung lượng RAM 413.3 VPN Client to Site L2TP/IPSec 45
CHƯƠNG V MỘT SỐ MÔ HÌNH ISA FIREWALL THƯỜNG GẶP 52
4.1 Edge Firewall 53
4.2 Leg Perimeter 54
4.3 Front/Back Firewall 85
KẾT LUẬN 56 TÀI LIỆU THAM KHẢO 57
CHƯƠNG I TỔNG QUAN VỀ ISA SERVER 2006
Trang 61.1 Giới thiệu về ISA server 2006
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềmshare internet và cũng là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng vàđược sử dụng khá phổ biến của hãng phần mềm Microsoft Có thể nói đây là một phầnmềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng chophép bạn cấu hình sao cho tương thích với mạng LAN của bạn Tốc độ nhanh nhờ chế độcache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúpbạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự độngdownload thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tintrên các Webserver đó bằng mạng LAN) Ngoài ra còn rất nhiều các tính năng khác nữa
1.2 Các phiên bản của ISA server 2006
Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băngthông cho các công ty có quy mô trung bình
Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạnglớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống Ngoàinhững tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệthống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý
và cung cấp tính năng Load Balancing (cân bằng tải)
1.3 Tính năng chính của ISA server 2006
ISA server là một trong các phần mềm máy chủ thuộc dòng NET EnterpriseServer Các sản phẩm thuộc dòng NET Enterprise Server là các serverứng dụng toàndiện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giải pháp dựatrên web và các dịch vụ ISA server mang lại một số các lợi ích cho các tổ chức cần kếtnối Internet nhanh, bảo mật, dễ quản lý
Truy cập Web nhanh với cache hiệu suất cao:
Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗ trongcache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy cơ tắc
Trang 7Đồ án tốt nghiệp đại học
Giảm giá thành băng thông nhờ giảm lưu lượng internet
Phân tán nội dung của các Web server và cácứng dụng thương mạiđiện tửmột cách hiệu quả,đápứngđược nhu cầu khách hàng trên toàn cầu (khả năngphân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)
Kết nối Internet an toàn nhờ nhiều lớp
Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát lưulượng mạng tại nhiều lớp
Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công từbên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an toàncác yêu cầu đến
Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn
Cung cấp truy cập an toàn cho người dùng hợp lệ từ Internet tới mạng nội
bộ nhờ sử dụng mạng riêng ảo (VPN)
Quản lý thống nhất với sự quản trị tích hợp
Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu lựccủa các chính sách vận hành
Tăng hiệu suất nhờ việc giới hạn truy cập tới internet của một số các ứngdụng và đích đến
Cấp phát băng thông để phù hợp với các ưu tiên
Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được sử dụngnhư thế nào
Tự động hóa các dịch vụ nhờ sử dụng script
Khả năng mở rộng
Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server softwaredevelopment kit (SDK) với các thành phần bổ sung
Chức năng mở rộng an toàn cho các sản xuất thứ ba
Tự động các tác vụ quản trị với các đối tượng script COM ( componentobject model)
CHƯƠNG II CÀI ĐẶT ISA SERVER 2006
Trang 82.1 - Mô hình
2.2 – Chuẩn bị
Gồm 5 PC: Server,VIP,Users,Router và ISA
2.2.1 Nâng cấp Domain Controller trên máy Server
B1.Đặt IP Address cho máy Sever
B2 Vào Start-> Run:DCPROMO
Chọn Next -> Domain Name:kstin.local -> next
Trang 9Đồ án tốt nghiệp đại học
Giữ các giá trị mặc định Chọn Next
Quá trình cấu hình hoàn tất ta khởi động lại máy -> Log on to: KSTIN -> Ok Vào Start -> Program -> Administrator -> DNS
Tại thẻ Reverse Lookup Zones -> chuột phải chọn New Zone
Trang 10Ở cửa số cài đặt ấn Next
Để mặc định ấn Next-> Gõ network ID là network của máy Server ->Next
Next -> Finsh
Tại cửa sổ bên phải ấn chuột phải chọn New Pointer, gõ Subnet của máy Server Chọn Browse
Trang 11Đồ án tốt nghiệp đại học
Chọn kstin.local -> chọn ‘maydc’ -> OK
OK=> hoàn thành quá trình nâng cấp Domain Controller trên máy Server
2.2.2 Cấu hình Routing trên máy Router.
Trên máy Router chúng ta cấu hình 4 card mạng
Trang 12B1.Đặt IP Address cho các Interface
B2.Enable Lan Routing
Start -> Programs -> Administrative Tools-> Routing and Remote Access
Chọn Custom configuration trong cửa sổ Configuration -> đánh dấu chọn vào ô LAN
Trang 13Users 192.168.4.2 255.255.255.0 192.168.4.1 192.168.3.2
B2 Vào My Computer-> Properties -> Tab Computer Name -> Click Change
-> Member Of Domain: kstin.local -> tại cửa sổ computer name changes -> User name : administrator -> Ok -> khởi động lại máy
Chọn Option -> log on to: KSTIN
Join Domain tương tự đối với máy USER.
Trang 142.2.4.Cấu hình Router trên máy ISA
Trên máy ISA ta cài đặt 2 Card mạng
Route add –p 192.168.2.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.3.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.4.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1
2.3 – Cài đặt ISA Server
2.3.1 Cài ISA trên máy ISA server
Từ Source ISA2006 ->chạy file:ISAAutorun.exe
Chọn I accept the terms in the license agreement
Trang 15Đồ án tốt nghiệp đại học
Nhập User Name, tên công ty -> Next
Chọn option Typical hay Custom đều được
Typical: cài đầy đủ các tính năng chính của ISA
Custom: lựa chọn các tính năng cần cài đặt
Trong trường hợp này ta chọn Typical Nhấn Next để tiếp tục.
Trang 16Tại màn hình Internal Network, ta sẽ khai báo đường mạng nào là đường mạng bên trong (Cross) Nhấn Add để khai báo.
Khi nhấn Add xong thì sẽ xuất hiện hộp thoại Addresses, có 2 tuỳ chọn ta có thể sửdụng
Add Adapter: xác định Card mạng nào sẽ nối với đường mạng bên trong sau đó
ISA sẽ tự động nhận định
Add Range : đưa vào khoản IP mô tả cho đường mạng bên trong
Trang 17Đồ án tốt nghiệp đại học
chọn Add Adapter, chọn card mạng internal , nhấn OK để kết thúc.
Nhấn Next -> Ok để kết thúc khai báo đường mạng bên trong
Tại hộp thoại FireWall Client Connections, nhấn Next -> Instanl để cài ->
Finish để kết thúc cài đặt.
Trang 18Mặc định sau khi cài ISA server xong, Default rule sẽ cấm các traffict từ bên
ngoài kết nối tới máy ISA, từ bên trong kết nối tới máy ISA
Từ máy Route thử Ping đến máy ISA ( 192.168.5.1 )
2.3.2 Cài đặt Firewall client trên các máy SERVER,VIP,USERS
Từ source ISA2006 -> Client -> Chạy file: ISACient.exe
Trang 19Đồ án tốt nghiệp đại học
Chọn option I accept the terms in the license agreement -> next -> Chọn option
Connect to this ISA server computer, nhập vào IP internal của máy ISA Next
Ấn Instanl
Ấn Finish để hoàn tất việc cài đặt.
Trang 20CHƯƠNG III TRIỂN KHAI MÔ HÌNH ISA SERVER 2006
3.1 Cấu hình Access Rules
Vào Microsoft ISA server -> ISA server management, Click phải vào Firewall
Policy chọn New -> Access Rule
3.1.1 - Cho phân giải tên miền DNS.
Đặt tên cho access rule -> next
Chọn Option Allow ( Cho phép )-> next
Trang 21Đồ án tốt nghiệp đại học
Tại cửa sổ Access Rule Sources ấn Add chọn Internal -> next
Tại cửa sổ Access Rule destinations ấn Add chọn External -> next
Trang 22chọn All users -> Next -> Finish -> Ấn Apply
3.1.2 - Cho máy VIP và Users được gửi nhận mail từ internet
B1.Định nghĩa VIP,Users
Trong thẻ Toolbox chọn Network Object -> New -> Subnets -> New subnet…
Trang 23Đồ án tốt nghiệp đại học
Trong cửa sổ New Subnet Rule Element, gõ tên máy cần định nghĩa -> gõ vào
địa chỉ mạng của máy -> Ok
Chọn Apply để lưu
Trang 24B2.Tạo Access rule
Chọn Option Allow -> next -> Tại cửa sổ Protocols chọn các giao thức POP3, SMTP là các giao thức gửi nhận Email
Trong cửa sổ Access Rule Sources ấn Add chọn Internal.
Tại cửa sổ Access Rule destinations ấn Add chọn External - >Ấn Next -> Finish -> Aplyy
Trang 25Đồ án tốt nghiệp đại học
3.1.3 - Cho PC Users đựoc truy cập trang web của Đại Học Vinh trong giờ làm việc (8hAM-4hPM từ Thứ 2 đến Thứ 6)
B1.Định nghĩa “Trang vinhuni.edu.vn”
Chọn Firewall policy, chọn thẻ Toolbox, chọn network Objects -> New-> URL
set
Gõ vào tên cho URL set -> ấn nút Add gõ địa chỉ của trang web Đại học Vinh
Trang 26B2.Định nghĩa “Giờ làm việc”
Chọn Firewall policy, chọn thẻ Toolbox, chọn Schedules -> New -> nhập vào
tên và thời gian của giờ làm việc
Trang 27Đồ án tốt nghiệp đại học
B3.Tạo Access Rule
Chọn Option Allow -> Next Tại cửa sổ Protocols chọn Add -> chọn các giao
thức là HTTP, HTTPS
Tại cửa sổ Access Rule Sources -> chọn Subnets -> Add PC User
Tại cửa sổ Access Rule destinations ấn Add chọn URL Sets -> Add “Trang web
Dai hoc Vinh” -> next
Trang 28Chọn Next -> Finish
Trong Access Rule ‘Truy cập trang Dai Hoc Vinh’ ấn chuột phải chon Propeties
Thẻ Schedule -> chọn ‘Gio Lam Viec’
Trang 29Đồ án tốt nghiệp đại học
Apply -> Ok -> Apply
3.1.4 - Cho máy VIP truy cập internet không hạn chế.
Trang 30Trong hệ thống Cty, Giám đốc hay những nhân viên như nhân viên Maketting
phải thường xuyên cập nhật thông tin thị trường cũng như tiếp xúc với với các đối tác
Do đó chúng ta sử dùng máy VIP như là phân quyền cho những nhân viên này
Tạo Access rule
Chọn Option Allow -> Next Tại cửa sổ Protocols chọn Add -> chọn các giao
thức là HTTP, HTTPS
Tại cửa sổ Access Rule Sources -> chọn Subnets -> Add máy VIP
Trang 31B1.Định nghĩa “Giờ giải lao” .
B2.Tạo Access Rule
