Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ cácnguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ t
Trang 1LỜI NÓI ĐẦUNgày nay, trong thời kỳ phát triển của công nghệ thông tin cũng như sự pháttriển nhanh chóng của xã hội thì nhu cầu được tìm hiểu, nắm bắt thông tin đã trởthành nhu cầu hàng ngày của mỗi chúng ta Công nghệ thông tin đã và đang trởthành một trong những lĩnh vực quan trọng nhất quyết định đến sự phát triển của xãhội Cùng với một số ngành khoa học khác, nó đang làm biến đổi sâu sắc đời sốngkinh tế, văn hoá, xã hội và đặc biệt hơn đó là tri thức con người.
Xã hội càng phát triển thì nhu cầu của con người ngày càng tăng Một trong
số đó là nhu cầu được tìm hiểu thông tin, nhu cầu được áp dụng công nghệ thông tinvào đời sống hằng ngày Một trong những lĩnh vực đã và đang được ứng dụng côngnghệ thông tin rất phổ biến ở nước ta là lĩnh vực quản lý Việc ứng dụng tin học hoávào lĩnh vực quản lý đã giúp cho các nhà quản lý điều hành công việc một cáchkhoa học, chính xác, nhanh chóng và hiệu quả Giúp con người giải phóng sức laođộng, tiết kiệm thời gian trong công việc, nâng cáo hiệu quả làm việc Tạo ra phongcách làm việc mới phù hợp với xu thế phát triển của thời đại
Nhận thấy tầm quan trọng đó chúng em những sinh viên trong nhóm quản trị
mạng đã lựa chọn đề tài: “Thiết lập và Quản trị một số dịch vụ mạng cơ bản cho doanh nghiệp” trên nền tảng Windows Server 2003 Việc nghiên cứu đề tài quản trị
hệ thống Server chúng em đã làm trong đợt thực tập qua sẽ đóng góp vào kiến thứccho những người ham mê về quản trị hệ thống mạng
Chúng em mong cuốn tài liệu này sẽ là cảm hứng cho các sinh viên khác saunày phát triển thêm về đề tài quản trị mạng Server làm cho kho tàng kiến thức thêmphong phú qua đó đến được với những ai ham mê môn học này Xin chân thànhcảm ơn !
Trang 2I ĐỘNG CƠ
- Nghiên cứu xây dựng máy chủ ISA cho hệ thống mạng nội bộ.
- Giúp nhiều máy tính truy cập internet thông qua proxy server.
- Kiểm soát mọi giao tiếp từ trong mạng nội bộ ra ngoài internet và từ internet
vào máy nội bộ
- Kiểm soát nhân viên truy cập những địa chỉ web không cho phép.
- Ngăn chặn các thông tin độc hại đối với doanh nghiệp
III TIẾN TRÌNH
III.1 TÌM HIỀU VỀ PROXY
Thuật ngữ firewal có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ cácnguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin
khác không mong muốn Cụ thể hơn, có thể hiểu Firewall là một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng
không tin tưởng mà thông thường là internet Về mặt vật lý, firewall bao gồm một
hoặc nhiều hệ thống máy chủ kết nối với bộ định tuyến (Router) hoặc có chức năng Router Về mặt chức năng, Firewall có nhiệm vụ:
- Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall.
- Chỉ có những trao đổi được phep bởi hệ thống mạng nội bộ (trusted network) mới được quyền lưu thông qua firewall.
- Các phần mềm quản lý an ninh chạy trên hệ thông máy chủ bao gồm: Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái
phép vào hệ thống mạng nội bộ Mỗi người sử dụng muốn truy cập hợp lệ phải cómột tài khoản (Account) bao gồm một tên người dùng (username) và mật khẩu(password)
Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài
nguyên cũng như các ngồn thông tin trên mạng theo từng người, từng nhóm người
sử dụng
Quản lý kiểm toán (Accounting Management): Cho phép ghi nhận tất cả
các sự kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên
Trang 3mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập đối với vùng tài nguyênnào đã được sử dụng hoặc thay đổi bổ sung
a Packet filtering (Bộ lọc gói tin).
Loại firewall này thực hiện việc kiểm tra số nhận dạng địa chỉ của các packet
để từ đó cấp phép cho chúng lưu thông hay ngăn chặn Các thông số có thể lọc được
của một packet như:
- Địa chỉ IP nơi xuất phát (source IP address).
- Địa chỉ IP nơi nhận (destination IP address).
- Cổng TCP nơi xuất phát (source TCP port).
- Cổng TCP nơi nhận (destination TCP port).
Loại Firewall này cho phép kiểm soát được kết nối vào máy chủ, khóa việc
truy cập vào hệ thống mạng nội bộ từng những địa chỉ không cho phép Ngoài ra,
nó còn kiểm soát hiệu suất sử dụng những dịch vụ đang hoạt động trên hệ thốngmạng nội bộ thông qua các cổng TCP tương ứng
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm share internet của hãng phần mềm Microsoft, là bản nâng cấp phần mềm MS ISA 2000 Server Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn
định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính năng cho phép bạn
cấu hình sao cho tương thích với mạng LAN Tốc độ nhanh nhờ chế độ cache thông
minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, vàtính năng Schedule Cache (Lập lịch tự động download thông tin trên các
Trang 4WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó
bằng mạng LAN)
Các đặc điểm của Microsoft ISA 2004:
Cung cấp tính năng Multi-networking: kỹ thuật thiết lập các chính sách truycập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉmạng con
- Stateful inspection of all traffic: cho phép giám sát tất cả các lưu lượng
mạng
- NAT àn route network relationships: Cung cấp kỹ thuật NAT và định
tuyến dữ liệu cho mạng con
- Network templates: Cung cấp các mô hình mẫu (network templates) về
một kiến trúc mạng, kèm theo một số luật cần thiết cho networktemplates tương ứng
- Có thể giới hạn HTTP Dowload.
- Có thể giới hạn truy xuất web cho tất cả các Client dựa trên nội dung truy
cập
- Có thể điều khiển truy xuất HTTP dựa trên chữ ký (signature).
- Điều khiển một số phương thức truy xuất của HTTP.
III.2 CÀI ĐẶT ISA 2004 TRÊN MÁY ISA SERVER.
Bộ xử lý (CPU) Intel hoặc AMD 500Mhz trở lên
Hệ điểu hành (OS) Windows 2003 hoặc Windows 2000 (SP4)
Bộ nhớ (Memory) 256 MB hoặc 512 MB cho hệ thông không sử dụng
Web caching, 1GB cho Web-caching ISA firewalls Không gian đĩa (Disk
Máy ISA Server phải được Join vào Domain Name System: thuctap.com.vn
Tại máy ISA Server lắp 2 Car mạng gồm:
- LAN Interface sẽ kết nối với mạng trọng (Internal Network)
- WAN Interface sẽ kết nối với mạng ngoài (External Network)
Trang 5III.2.2 Quá trình cài đặt ISA 2004.
ISA Firewall thuờng được triển khai trên dual-homed host (máy chủ có hai Ethernet cards) hoặc multi-homed host (máy có chủ có nhiều card mạng) điều này
có nghĩa ISA Server có thể thực thi đầy đủ các tính năng của nó như ISA Firewall, SecureNAT, Server Publishing Rule, VPN,
a Cấu hình địa chỉ IP cho máy ISA Server
Chúng ta vào Properties của My Computer
- LAN Interface sẽ kết nối với mạng trong (Internal Network)
- WAN Interface sẽ kết nối với mạng ngoài (External Network)
Chọn LAN Interface => Clicl phải chuột vào LAN Interface => Properties => Cửa sổ LAN properties xuất hiện Chọn giao thức Internet Prtocol (TCP/IP)
Đặt địa chỉ như hình dưới => Nhấn Ok để hoàn tất.
Trang 6 Chọn WAN Interface => Click phải chuột vào WAN chọn Properties Cửa sổ WAN Properties xuất hiện Chọn giao thức Internet Protocol (TCP/IP) => Properties.
Đặt thông tin về TCP/IP cho WAN Interface như hình Sau đó nhấn Ok để
hoàn tất
b Các bước cài đặt ISA Firewall software.
Chạy tập tin issaautorun.exe từ CDROM ISA 2004 hoặc từ ISA 2004 source.
Nhấn chuột vào “Install ISA Server 2004” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2004”.
Trang 7Hình 2.1: Microsoft ISA Server 2004 Setup
Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizad for Microsoft ISA Server 2004” để tiếp tục cài đăt.
Chọn tùy chọn Select “I accept” trong hộp thoại “License Agreement”, chọn Next.
Hình 2.2: License Agreement
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm
trong User Name và Organization textboxe Nhập serial number trong Product Serial Number textbox Nhấp Next để tiếp tục.
Trang 9Hình 2.5: Cửa sổ Custom setup
Ta có hai cách định nghĩa internet network addresses trong hộp thoại Internal Network setup Ở đây ta sẽ sử dụng cách mô tả dãy địa chỉ nội bộ (Internal Network range) từ From và To text boxes Ta sẽ nhập IP Address như
Trang 10Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next.
Hìn 2.7: Tùy chọn tương thích với ISA Client.
Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số dịch
vụ SNMP và IIS Admin Service trong quá trình cài đặt ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF) và IP Network Address Translation (RRAS NAT Service) services.
Chọn Finish để hòa tất quá trình cài đặt.
Tiếp đó ta tiến hành cài Microsoft ISA Server 2004 Service Pack 3.
Vào thư mục D:\ISA2004StaEdition\isaservicepack3.
Hình 2.8: Thư mục ISA Service Pack 3
Trang 11Chạy file ISA2004SE-KB924406-x86-ENU.msp Cửa sổ Microsoft ISA Server 2004 Service Pack 3 – Installation Wizard xuất hiện nhấn Next để tiến
hành nâng cấp
Chọn Radio “I accept ” trong hộp thoại License Agreement , C hấp nhận các điều khoản trong thỏa thuận cấp phép => Nhấn Update để tiến hành nâng
cấp
Hình 2.9: Cửa sổ License Agreement
Tiến trình nâng cấp diễn ra:
Hình 2.10: Tính trình cài đặt diễn ra
Trang 12Giao diện chương trình ISA Server 2004:
Hình 2.11: ISA Server Management
a Một số thông tin cấu hình mặc định
Tóm tắt một số thông tin cấu hình mặc định:
- System Policies cung cấp sẵn một số luật để cho phép truy cập vào/ra ISA firewall Tất cả các traffic còn lại đều bị cấm.
- Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network.
- Cho phép NAT giữa Internal Network và External Network.
- Cho phép Administrator có thể thay đổi chính sách bảo mật cho ISA Firewall.
User permissions
Cấp quyền cho user có quyền cấu hình firewall policy (chỉ
có thành viên của Administrator group trên máy tính nội bộ
có thể cấu hình Firewall Policy).
Network settings Các Network Rules được tạo sau khi cài đặt:
Local Host Access: Định nghĩa đường đi (route) giữa Local Host network và tất cả các mạng khác.
Internet Access: Định nghĩa Network Address Translation (NAT).
VPN Client to Internal Network dùng để định nghĩa đường
Trang 13đi VPN Clients Network và Internal Network.
Firewall policy Cung cấp một Access Rule mặc định tên là Defaul Rule để
cấm tất cả các traffic giữa các mạng.
System policy
ISA Firewall sử dụng system policy để bảo mật hệ thống Một system policy rule chỉ cho phép truy xuấy một số service cần thiết.
Web chaining
Cung cấp một luật mặc định có tên Defaul Rule để chỉ định rằng tất cả các request của Web Proxy Client được nhận trực tiếp từ Internet, hoặc có thể nhận từ Proxy Server khác.
Caching
Mặc định ban đầu cache zine có giá trị 0 có nghĩa rằng cơ
chế cache sẽ bị vô hiệu hóa Ta cần định nghĩa một cache
drive để cho phép sử dụng Web caching.
Alerts Hầu hết cơ chế cảnh báo được cho phép để theo dõi và giám
sát sự kiện
Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall và sau đó
nó sẽ cấu hình
- Access Policy của ISA Firewall bao gồm các tính năng như: Web Publishing Rules, Server Publishing Rules và Access Rules.
+ Web publishing Rules và Server Publishing Rules được sử dụng để
cho phép inbound access.
+ Access rules dùng để điều khiển outbound access.
- ISA Firewall kiểm tra Access Rules trong Access Policy theo cơ chế top
down, nếu packet phù hợp với một luật nào đó thì ISA Firewall sẽ thựcthi action (permit/deny) tùy theo luật, sau đó ISA Firewall sẽ bỏ qua tất
cả các luật còn lại Nếu packet không phù hợp với bất kỳ System Access Policy và User-Defined Policy thì ISA Firewall deny packet này.
- Một số tham số mà Access Rule sẽ kiểm tra trong connection request:
+ Protocol: Giao thức sử dụng
+ From: Địa chỉ nguồn.
+ Schedule: Thời gian thực thi luật.
+ To: Địa chỉ đích.
+ Users: Người dùng truy xuất.
+ Content type: Loại nội dung cho HTTP connection.
a Tạo rule cho phép các bên trong (Internal Network) được phép truy cập Internet.
Trang 14Chúng ta chọn mục Firewall Policy chọn Tab Tasks (Góc bên phải) Chọn
vào mục Create NEW ACCSS RULE.
Đặt tên cho Rule “Cho phép truy cập internet”
Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow hoặc Deny Tùy chọn
Deny được đặt mặc định, tùy vào loại Rule ta cần mô tả mà chọn Allow hoặc Deny
cho phù hợp Ở Rule này là cho phép nên chúng ta chọn Allow Sau đó chọn Next
để tiếp tục
Hiển thị hộp thoại “Protocols” Ta sẽ chọn giao thức (protocol) để cho phép/ cấm outbound trafic từ source đến destination Ta có thể chọn ba tùy chọn trong danh sách This rule applies to
- All outbound traffic: Để cho phép tất cả các protocol outbound Tầm
ảnh hưởng của tùy chọn này phụ thuộc vào loại Client (client type) sử
Trang 15dụng để truy xuất luật đối với Firewall Clients thì tùy chọn này cho phéptất cả các protocol ra ngoài (outbound), bao gồm secondary protocol đãđược định nghĩa hoặc chưa được định nghĩa trong ISA firewall Tuynhiên đối với SecureNAT client kết nối ISA Firewall thì outbound access
chỉ cho phép các protocol mà đã được định nghĩa trong Protocols list của
ISA firewall, nếu SecureNAT client không thể truy xuất tài nguyên nào
đó bên ngoài bằng một protocol nào đó thì phải mô tả protocol vàoprotocol panel được cung cấp trên ISA firewall để nó có thể hỗ trợ kết nốicho SecureNAT client
- Selected protocols: Tùy chọn này cho phép ta có thể lựa chọn từng
protocols để áp đặt vào luật Ta có thể lựa chọn một số protocol có sẵntrong hộp thoại hoặc có thể tạo mới một protocol definition
- All outbound traffic except selected: Tùy chọn này cho phép tất cả các
protocol cho luật mà không được định nghĩa trong hộp thoại
Với rule này chúng ta chọn All Outbound Traffic Sau đó nhấn next để tiếp
tục
Hiển thị hộp thoại Acces Rule Sources, chọn địa chỉ nguồn (source location) để áp đặt vào luật bằng cách chọn Add, hiển thị hộp thoại Add Network Entities, sau đó ta có thể chọn địa chỉ nguồn từ hộp thoại này
Chúng ta chọn mục Internal trong phần Networks Sau đó nhấn Add => Close.
Trang 16Hiển thị hộp thoại Access rule Destinations cho phép chọn địa chỉ đích (destination) cho luật bằng cách chọn nút Add sau đó xuất hiện hộp thoại Add Network Entities, trong hộp thoại này cho phép ta chọn địa chỉ đích (Destination) được mô tả sẵn trong hộp thoại hoặc có thể định nghĩa một destination mới, thông thường ta chọn External network cho destination rule, sau đó khi hoàn tất quá trình ta chọn nút Next để tiếp tục.
Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule Mặc định luật sẽ áp dụng cho tất cả user (All Users), ta có thể chỉnh thông số bằng cách chọn Edit hoặc thêm user mới vào rule thông qua nút Add, chọn Next để
tiếp tục
