Xa “Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT HARDWARE AND SOFTWARE Part 38 - ISA Server - Template Trong các bài trước chúng ta đã biết đ
Trang 1Xa “Chuyên trang dành cho kỹ thuật viên tin học”
CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT HARDWARE AND SOFTWARE
Part 38 - ISA Server - Template
Trong các bài trước chúng ta đã biết được nhiệm vụ cơ bản nhất của SA Server là tạo nên một không gian thế giới mới mà trong đó nó sẽ ngăn chia thế giới chúng ta ra làm 3 phần riêng biệt:
- Internal Netw ork: Bao gồm tất cả máy tính có trong mạng chúng ta
- Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server
- External Netw ork: là các máy ngoài mạng Internet
Trên thực tế có nhiều mô hình dựng ISA Server và Microsoft đã đưa ra cho ta 3 mô hình như sau:
1/E Firew all:
Web Server
Internet
DC Server
Mail Server Internal Network
Mô hình này chính là mô hình mà ta đã làm trong các bài trước Với mô hình này chúng ta chỉ cần dựng một I SA Server duy nhất và trên đó có 2 Card Lan:
- Card thir 1 ndi vdi cdc may trong Internal Network ISA Server sé md cac Port Outbound tai Card nay
- Card thir 2 ndi vdi cdc may trong External Network ISA Server sé md cac Port Inbound tai Card nay
Nhu vay néu mét Hacker ttr External Network tan công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính trong mạng I nternal Network Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế
2/ 3-Leg Perimeter:
Mail Server Web Server
iis Internet
Vdi mé hinh nay trong Internal Network chung ta sé chia ra lam 2 nhóm
1 of 4
Trang 2- Nhóm thứ 1 là các máy như Mail Server, W eb Server để người dùng từ External Netw ork có thể truy cập vào
- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1
Tại máy ISA Server ta cần đến 3 Card Lan
- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Netw ork ISA Server sẽ mở các Port Outbound tại Card này
- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Netw ork ISA Server sẽ mở các Port Outbound/I nbound tại Card này
- Card thứ 3 nối với các máy trong External Netw ork ISA Server sẽ mở các Port Inbound tại Card này
Như vậy nếu một Hacker từ External Netw ork tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng I nternal Netw ork Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm 3/ Front/ Back Firewall:
Mail Server
DC Server ISA Server@ ISA Server 1 | Internet
ev
External Network Local Host
Internal Network
Mô hình này thực chất là một mở rộng của mô hình 3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISA Server trong Local Host Khi đó nếu Hacker tấn công mạng chúng ta chúng phải liên tiếp đánh sập nhiều ISA Server trong Local Host, tuy nhiên khi một vài I SA Server của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ thống an toàn hơn
Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém
Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server
2 of 4
Trang 3
File Action View Help
(39 Microsoft Internet Securit: ba =1 E4
'3 " Acceleration Server 20os abe tah
EE] Monitoring CC
oo % Firewall Policy
i) Virtual Private Net (i) Click here to learn about the Customer ExperienceiImprovement Program
Ome=| Name [Action _| Prot | From } Listener | To | Condition | De
[2] 1 DNS Query L! <4» Internal @ External & All Users
[] 2 Sep ©) All Outbound , ods Internal @ External &, Group Sep
Cam KD truy ca ÑÑ# Deny =š&~ Interral Chu áp
BÑ HTTP
BÑ HTTP5
Œl[0Ø]4 wWebG@roupẾÐ? (23Alow ÍUjlrTP «`» Intternal W3]AlowwWeb — ##⁄,GroupKD
LÍ HTTP đỗ] set Times Ui) HTTPS
Ei[#]5 Internal ¥S Loc @Qaliow (2) all Outbound ds Internal ds Internal &, all Users
= Local Host = Local Host
(?]L Default rule © deny [all Traffic 2 All Networks Se, all Networks (, S,allUsers — Pre
Tai ISA Server ban chon Configuration chon tiép Netw ork
Chọn tiếp Tab Templates bên phải và chọn mô hình tương ứng ví dụ tôi chọn mô hình thứ 1 là Edge Firewall
EE Microsoft Internet Security and Acceleration Server 2006
File Action View Help
£ 3 | m|m| ®
(39 Microsoft Internet Securit: paral ar
~~ Monitoring KT TT 0v
i & Firewall Policy
»() Virtual Private Net | (7) Click here to learn about the Customer Experience Improvement Program
E38 Configuration
ved Networks / Networks 7
Fireuall VPN Cung lonae Connect your Internal network
to the Int t and pratect it from intruiders
Networks \ Network = twork Rules _{ Web Chaining GIO Perimeter
ˆ ~
@ External Built-in network o,,, “2 IP addresses , to the Internet, protect it From
intruders, and publish services to
<4 Internal Network represe 9% 172.16.2.0- , the Internet from a Perimeter
network,
es Local Host == Built-in network o,,, “) No IP address
<j+ Quarantin Built-in dynamic n “= No IP address
Front
=) YPN Clients Built-in dynamic n <2 No IP address Firewall
«| | | = lice TSA Server ac the Front line zi
Trong cửa sổ Select a Firew all Policy bạn chọn các Policy thích hợp với hệ thống của mình:
- Block all: khóa tất cả
- Block Internet access, allow access to ISP netw ork services: khóa truy cập Internet nhưng cho truy cập dịch vụ của ISP (chỉ cho truy cập Port 53)
- Allow limited Web access: chỉ cho truy cập Web nhưng giới hạn (không mở các Port 80,443,21 mà chỉ có thể truy cập Web thông qua IP Address
mà thôi)
- Allow limited Web access and access to ISP network services: chỉ cho truy cập Web và truy cập dịch vụ của ISP nhưng giới hạn
3of4
Trang 4Network Template Wizard Xi
Select a Firewall Policy
Select the default Firewall policy that will be applied to the networks specified in
this template
“£ Block all
& Block Internet access, allow access to ISP network
& Allow limited Web access
FAllow limited Web access and access to ei
g Allow unrestricted access
Allow limited Web access using HTTP, HTTPS, and FTP, and allows access to ISP ^
network services, such as DNS all other network access
The Following access rule: e created:
1 Allow HTTP, aoaat P From Internal Network and YPN Clients Network to
External Network (Internet)
etwork services
< Back | Next > ] Cancel |
Trở lại màn hình Firew all Policy sẽ thấy ISA Server tự động xóa tất cả các Rule mà bạn tạo trước đó thay vào đó là các Rule mới do IS$A Server tự thêm vào
= Microsoft Internet Security and ñcceleration Server 2006
File Action View Help
œ 2| m[m| @ 3| #®@@ sẻ
E8 sa Internet Security &
[EF] Monitoring Acceleration Server 2006 Firewall Polic
oA Firewall Policy
~~) Virtual Private Net
EI 3 Configuration (i) Click here to learn about the Customer Esuếflễhce Improvement Program
‘aa Networks Firewall Policy
of) Cache
eG Add-ins Or ^ | Name | Protocols | From } Listener | To | Condition
513} General Ei[?]1 Web Access Only Allow LR FTP <4 Internal @ External & all Users
LAS HTTPS
& [v2 Allow DNS tae Internet @ Allow eA) DNS es Internal @ External &, All Users
> ¥PN Clients [] 3 ¥PN Clients to Internal @Qaliow [1L] all Outbound <2 VPN Clients = Internal & all Users Mĩta:z: p:raulrúlz ‹® Den li Pst tela te He All Networks _ ñll etwuorks ( gi& All Users
Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng Ta nên tạo lần lượt các Rule va mở những Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chẵn và an toàn hơn
OK mình vừa trình bày xong phần Template - ISA Server trong 70-351 của MCSA
Công ty TNHH đầu tư phát triển tin học GC Com
Chuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học Điện thoại: (073) - 3.511.373 - 6.274.294
Website: http://www.gccom.net
4 of 4