ISA Server 2006 Firewall
CHƯƠNG 1: GIỚI THIỆU FIREWALL ISA SERVER 2006
1.1 Khái niệm chung.
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần
mềm share internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một
phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều
tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc
độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM
(Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng
Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu
vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng
LAN). Ngoài ra còn rất nhiều các tính năng khác nữa.
Đặc điểm nổi bật của bản 2006 so với các phiên bản khác là tính năng
Publishing và VPN .
Về khả năng Publishing Service
− ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào
trang OWA, qua đấy hỗ trợ chứng thực kiểu formbased. chống lại các
người dùng bất hợp pháp vào trang web OWA. tính năng này được phát
triển dưới dạng Addins.
− Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ
liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).
− Block các kết nối nonencrypted MAPI đến Exchange Server, cho phép
Outlook của người dùng kết nối an toàn đến Exchange Server
− Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra
internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.
Khả năng kết nối VPN
− Cung cấp Wizard cho phép cấu hình tự động sitetosite VPN ở 2 văn
phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một
cũng được. tích hợp hoàn toàn Quanratine,
− Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy
đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN

Clients,
− Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet,
hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel sitetosite (với các sản phẩm VPN
khác).
Về khả năng quản lý
− Dễ dàng quản lý
− Rất nhiều Wizard
− Backup và Restore đơn giản.
1
ISA Server 2006 Firewall
− Cho phép ủy quyền quản trị cho các User/Group
− Log và Report chi tiết cụ thể.
− Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise)
− Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA
2000, 2004 )
− Tích hợp với giải pháp quản lý của Microsoft: MOM
− SDK.
Các tính năng khác
− Hỗ trợ nhiều CPU và RAM ( bản standard hỗ trợ đến 4CPU, 2GB RAM).
− Max 32 node Network Loadbalancing.
− Hỗ trợ nhiều network.
− Route/NAT theo từng network.
− Firewall rule đa dạng.
− IDS.
− Flood Resiliency.
− HTTP compression.
− Diffserv.
1.2. Các phiên bản ISA Server 2006
ISA Server 2006 Firewall có hai phiên bản Standard và Enterprise phục vụ
cho những môi trường khác nhau.

ISA Server 2006 Standard đáp ứng như cầu bảo vệ và chia sẽ băng thông
cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây
dựng các firewall để kiểm sóat các luồng dữ liệu vào và ra trên hệ thống mạng nôi
bộ của công ty. Kiểm sóat quá trình truy cập của người dùng theo giao thức, thời
gian và nội dung của các site nhằm ngăn chặn quá trình kết nối vào những trang
web có nội dung không hợp lệ. Bên cạnh đó chúng ta còn có thể triển khai các hệ
thống VPN Site to Site hay Remote Access hổ trợ cho việc truy cập từ xa của các
User, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có
những hệ thống máy chủ quan trọng như Mail, Web Server cần được bảo vệ chặt
chẽ trong một môi trường riêng biệt thì ISA 2006 cho phép chúng ta triển khai các
vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp của
các internal/External User. Ngòai các tính năng mang tính bảo mật thông tin trên
thì ISA 2006 còn có hệ thống cache giúp cho người dùng kết nối Internet nhanh
hơn do thông tin trang web có thể được lưu giữ sẳn trên RAM hay đĩa cứng, điều
này làm cho băng thông của hệ thống được tiết kiệm đáng kể. Chính vì lý do đó
mà sản phẩm từơng lữa này có tên gọi là Internet Security & Aceleration (bảo mật
ứng dụng và tăng tốc băng thông).
2
ISA Server 2006 Firewall
ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn,
cần những hệ thống mạnh mẽ để đáp ứng nhiều yêu cầu truy xuất của người sử
dụng (User) bên trong và ngòai hệ thống. Ngòai những tính năng đã có trên ISA
Server 2004/2006 Standard, phiên bản Enterprise còn cho phép chúng ta thiết lập
các hệ thống Array (mãng) các ISA Server cùng sử dụng một chính sách, điều này
giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) phục vụ
tốt hơn các yêu cầu của tổ chức.
1.3. Các đặc tính
Access policy: xác định các giao thức và nội dung mà các client trong
internal network được phép truy cập
VPNs : Mở rộng một mạng riêng bằng cách sử dụng các liên kết

qua mạng chia sẻ hoặc mạng công cộng nhưInternet.
Packet filtering :Điều khiển lưu lượng gói IP đến và
từ adapter bên ngoài mạng ISA
Application filters: cho phép thực hiện các giao thức cụ thể hoặc công việc
hệ thống cụ thể như: xác thực … để cung cấp thêm một lớp bảo mật chi
firewall.
Web publishing
Server publishing
Real-time monitoring: giám sát thời gian thực cho phép bạn tập trung theo dõi
ISA Server hoạt động, bao gồm các cảnh báo, phiên họp, và dịch vụ.
Alerts: Thông báo cho bạn khi sự kiện cụ thể xảy ra
và thực hiện hành động tương ứng.
Reports : tóm tắt và phân tích hoạt động xảy ra trên một hoặc nhiều ISA server
CHƯƠNG 2: CÀI ĐẶT ISA SERVER 2006
2.1. Mô hình ISA Server 2006

3
ISA Server 2006 Firewall

Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta
Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới,
chính là máy ISA Server
External Network: là mạng Internet, như vậy mạng Internet được xem
như là một phần trong mô hình ISA mà thôi
2.2. Cài Đặt ISA Server 2006
2.2.1 Chuẩn bị
Đặt IP Address :Cấu hình IP các máy như sau:
Máy Đặc tính PC01 PC02
Tên ISA Server
Card Lan

IP Address 192.168.1.2
Subnet Mask 255.255.255.0
Default gateway
192.168.1.1(Modem
ADSL0)
Preferred DNS
Card Cross
IP Address 172.16.1.1 172.16 1.2
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 172.16.1.1
Preferred DNS 172.16.1.2 172.16 1.2
Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch
Card Cross: nối trực tiếp các cặp máy PC01 với PC02
*. Nâng cấp Domain Controller trên máy Server
- Tại máy DC ( PC 01) Start→Run→DCPROMO
4
ISA Server 2006 Firewall
- Domain Name: hui.com
* Join domain các máy ISA(PC02) vào hui.com
My Computer → Propertie s→ tab Computer Name → nhấp
Change → Member Of Domain: hui.com
2.2.2. Cài đặt ISA 2006 Standard
B1: Từ Source ISA2006 chạy file:ISAAutorun.exe. giao diện xuất hiện, chọn
Intall ISA server 2006 → Next
B2: Hộp thoại “ wellcom to the Installtion Wizard for Microsoft ISA server
2006”→ Next

5
ISA Server 2006 Firewall
B3:Chọn “I accept the terms in the license agreement option on the License

Agreement “ → Next
B4: Nhập vào ô “user name” tronh hộp thoại Customer Information→ Next
6
ISA Server 2006 Firewall
B5 : Trong hộp thoại Setup Type , chọn Typical → Next
B6: trong hộp thoại Internal Network, chọn Add, nhập vùng địa chỉ mạng
intrenal: 172.16.1.0-172.16.1.255 → Next
7
ISA Server 2006 Firewall
B7.Trong hộp thoại Firewall Client Conection, bỏ check “Allow non-encrypted
Firewall client connections → Next
B8. Trong hộp thoại Services Warning, chọn Next → Intall trong hộp thoại
ready to Install the Program
8
ISA Server 2006 Firewall
B9. Chọn Finish trong hộp thoại Installation Wizard Completed
9
ISA Server 2006 Firewall
CHƯƠNG 3: ACCESS POLICY
ISA firewall’s Access Policy bao gồm Web Publishing Rules, Server
Publishing Rules và Access Rules. Web Publishing Rules và Server Publishing
Rules được dùng để cho phép truy cập từ ngoài vào, Access Rule được dùng để
điều khiển truy cập ra ngoài. Nhìn chung bạn nên dùng Web Publishing Rules,
Server Publishing Rules khi muốn kết nối từ một máy ngoài vào máy trong mạng
ISA. Access Rule dùng điều khiển truy cập giữa hai mạng bất kỳ.
Khi ISA chặn yêu cầu truy cập từ ngoài vào, nó kiểm tra Network Rules và
Firewall Policy xác định có được phép truy cập không. Network rule được kiểm
tra đầu tiên. Nếu không có Network Rule nào định nghĩa như NAT hoặc ROUTE
giữa hai mạng đó thì không kết nối được.
Khi một yêu cầu kết nối ra ngoài được nhận bởi ISA, điều đầu tiên ISA làm là kiểm tra

xem nếu có một Network Rule định tuyến giữa nguồn và điểm đến không. Nếu không có Network Rule,
các ISA firewall giả định rằng điểm nguồn và điểm đến là không kết nối. Nếu có giữa các nguồn và sau đó
ISA firewall xử lý các Access Rules trong Access Policy từ trên xuống.Nếu Rule cho phép được kết hợp
với các yêu cầu kết nối ra bên ngoài, ISA firewall sẽ cho phép yêu cầu. Để Rule cho phép được áp dụng để
kết nối , các đặc tính của yêu cầu kết nối phải phù hợp với đặc tính được định nghĩa bởi Access Rule như:
Protocol, Users, Content types, Shedules, Network Objects. Nếu không thoả các đặc tính thì ISA firewall sẽ
xét đến Rule kế iếp.
Nếu Access Rule phù hợp với các đặc tính trong các yêu cầu kết nối, sau đó
bước tiếp theo là cho ISA firewall sẽ kiểm tra Network Rules lại một lần nữa để
xác định nếu có một NAT hoặc Route mối quan hệ giữa điểm nguồn và điểm đến
3.1. ISA firewall access rule element
ISA Firewall bao gồm các yếu tố và chính sách sau:
10
ISA Server 2006 Firewall
• Protocols
• User Sets
• Content Types
• Shedules
• Network Objects
3.1.1 Protocols
ISA Firewall bao gồm một số giao thức có sẵn, bạn có thể dùng để tạo Access Rules, Web
Publishing Rules và Server Publishing Rules. Ngoài ra bạn có thể tạo các giao thức riêng cho bạn bằng
cách sử dụng New Protocol Wizard của ISA Firewall. Khi tạo một giao thức mới bạn cần xác định các
thông tin sau:
 Protocol Type: TCP, UDP, ICMP, or IP-level protocol.
 Direction: UDP bao gồm gửi, nhận,gửi nhận, nhận gửi. TCP bao gồm Inbound và Outbound.
ICMP và IP-levelbao gồm nhận và gửi.
 Port range: khoảng port
 Protocol number: dùng cho giao thức IP-level .
 ICMP properties: dùng cho giao thức ICMP. Là mã và loại giao thức

ICMP
 Secondary connections: Đây là các port, các loại giao thức, và hướng sử
dụng cho các kết nối thêm hay các gói tin theo các kết nối ban đầu. Bạn có
thể tạo một hoặc nhiều kết nối thứ cấp.
3.1.2 User Set
Để kiểm soát việc truy cập ra bên ngoài, bạn có thể tạo Access Rule áp dụng cho
các user hoặc nhóm user được chỉ định. ISA Firewall cho phép bạn tạo các user hoặc nhóm user trong User
Set. Ngoài ra, ISA firewall cũng tạo sẵn các user set như:
• All Authenticated Users: các user phải được xác thực
• All Users: tất cả các user xác thực và không xác thực
• System and Network Service
3.1.3 Content Type: cho phép các ứng dụng khác nhau vàcác tập tin được tổ chức
theo loại nội dung nhất định . Ví dụ, một tập tin đó được tải về thông qua trang
web có thể là một tập tin âm thanh, hình ảnh, văn bản, video, hoặc bất kỳ. Tập tin
được nhóm lại theo kiểu nội dung có thể được kiểm soát hơn một cách dễ dàng,
tạo cho người quản trị ISA một cách dễ dàng.
3.1.4 Shedule: Bạn có thể gán một thời gian biểu cho một Access Rule để điều khiển việc áp dụng Rule
này. Có ba thời gian biểu đã được xây dựng sẵn :
• Work Hours: cho phép truy cập từ 9:00 đến 17:00 từ thứ hai đến thứ sáu
• Weekends: cho phép truy cập thứ bảy và chủ nhật
• Always: cho ph1p truy cập mọi lúc.
3.1.5 Network Objects
3.2. Tạo rule cho phép truy cập ra ngoài thông qua ISA firewall
11
ISA Server 2006 Firewall
1. Mở ISA server ,chọn Firewall Policy, chọn tasks tab trong Task panel, chọn create new access
rule hoặc click phải chuột firewall policy →new →access rule
2. Nhập tên rule cần tạo “All open” vào ô Access rule name→ Next
12
ISA Server 2006 Firewall

3. Action chon “ Allow” → Next
4. Có 3 sự lựa chọn trong “This rule applies to”
 All outbound traffic cho phép tất cả giao thứccra bên ngoài
 Selected protocols: cho phép bạn chọn những giao thức áp dụng cho rule.
Bạn có thể chọn những giao thức sẵn có hoặc tạo giao thức mới. có thể chọn môt
hoặc nhiều giao thức cho một rule.
 All outbound traffic except selected: cho phép mở tất cả các giao
thức ra ngoài nhưng loại trừ một số giao thức chỉ định .
Chọn all outbound traffic→Next
13
ISA Server 2006 Firewall
5. Trong Access rule Source, chọn Add→Networks→Internal, Local
host→Add→Close→Next
6. Trong Access Rule Destination chọn
Add→ Networks→External→Add→Close→Next
14
ISA Server 2006 Firewall
7. Trong “User Sets” chọn giá trị mặc định “All Users” →Next→Finish
Chọn Apply →Ok
3.3. Thuộc tính của Access rule
Bạn có thể chỉnh sửa hay tạo một số đặc tính mới của Rule trong Rule Properties. Bạn có
thể tạo Rule mới mà không cần vào “New Access Rule “ chỉ bằng thao tác copy Rule có sẵn và vào
Poperties chỉnh sửa lại đặc tính cho Rule mới. Các tab trong Rule Properties:
• General : Bạn có thể thay đổi tên rule và kích hoạt hoặc
không kích hoạt rule này
15
ISA Server 2006 Firewall
• Action: ban có thể thay đổi thuộc tính của rule allow hoặc deny. Ngoài ra tab này còn cung cấp
vài sự lụa ch5n mà bạn không thể tạo trong new access rule như:
 Redirect HTTP requests to tis web page: cxho5n lựa này chỉ dùng cho

Deny rule. Khi bạn có yêu cầu phù hợp với rule này thì sẽ bị chuyển
hướng đến trang web mà bạn đã quy định trước.
 Log request matching this rule: có kết nối phù hợp với rule này thì sẽ tự
động đăng nhập sau khi tạo rule
16
ISA Server 2006 Firewall
• Protocols: Ban có thể thay đổi giao thức truy cập của rule , điều khiển giới hạn port qua ISA
firewall
17
ISA Server 2006 Firewall
• From: chỉnh sửa các nguồn địa điểm. bạn có thể áp dụng rule này cho tát cả các nguồn địa điểm
mà bạn quy định trong this rule applied to traffic from thesr source loại trừ những nguồn địa điểm
mà bạn chỉ định trong Exception.
• To: tương tự như trong “new access rule wizard. Bạn còn có thể loại trừ những điểm đến trong
exception.
18
ISA Server 2006 Firewall
• Users: bạn có thể chọn những nhóm user mà rule áp dụng. ngoài ra còn có thể loại trừ những
nhóm users rule không áp dụng .
19
ISA Server 2006 Firewall
• Shedule: cài đặt thời gian rule áp dụng. đặc tính này không có trong new access rule. Có thể sử
dụng những thời gian biểu sẵn có : always, weekend, work hours , còn cỏ thể tạo thời gian biểu
mới.
• Content Type: tùy chọn này cũng không có trong new access rule , khả năng kiểm soát nội
dung kết nối.bạn có thể chọn những lao5i nội dung áp dụng cho rule. Măc định là “ all content
type” bạn cũng có thể giới hạn loại nội dung bằng cách chọn “ selected content types.
20
ISA Server 2006 Firewall
3.4. Các tùy chọn trong Access rule menu

Có một vài tùy chọn khi bạn click phải chuột vào một access rule :
• Properties: Hiệu chỉnh các đặc tính rule
• Delete: xóa rule
• Copy: sao chép rule
• Paste: dán rule
• Export selected:cho phép bạn gán access rule đến một file .xml. và bạn có thể lấy file này
gán cho một ISA firewall khác.
• Import selected: cho phép gán Access Rule từ 1 file đến vị trí chọn trong Access Policy
• Move up: di chuyển Rule lên trongdanh sách của Access Rule
• Move down: di chuyển Rule xuông trong danh sách Access Rule
• Disable: tắt rule
• Enable: kích hoạt rule
• Configure HTTP: tùy chọn này xuất hiện khi Access Rule có giao thức HTTP. Các tùy
chọn này cho phép bạn cấu hình HTTP Sercurity Filter để điều khiển truy cập trên các kết nối
HTTP bằng cách sử dụng ISA firewall nâng cao.
• Configure FTP: tùy chọn này xuất hiện khi các Access Rule bao gồm các giao
thức FTP.Khi nó được chọn, bạn được trình bày với một hộp thoại mà cho phép
bạn kích hoạt hoặc vô hiệu hóa FTP uploads.
21
ISA Server 2006 Firewall
• Configure RPC protocol: tùy chọn này xuất hiện khi các Access Rule bao gồm mộtgiao
thức RPC. Khi nó được chọn, bạn được trình bày với một hộp thoại mà cho phép bạn kích hoạt
hoặc vô hiệu hóa việc tuân thủ nghiêm ngặt RPC (có hiệu lực của việc kích hoạt hay vô hiệu hóa
kết nối DCOM).
3.5. Tạo Rule cho phép các user thuộc nhóm “sinh viên” xem trang www.hui.edu.com trong giờ
học.
3.5.1 Định nghĩa nhóm sinh viên
B1: Tạo hai user SV1 và SV2 trong Active Directory Users and Computer, đưa hai user này
vào nhóm sinhvien
B2: Trong ISA Server → Phần Toolbox → Users → New

B3: Nhập “sinhvien” vào ô User set name → Next
22
ISA Server 2006 Firewall
B4: Add → chọn Windows User and Group
B5: chọn group “sinhvien” → Next → Finish
3.5.2. Định nghĩa URL Set chứ trang web www.hui.edu.vn
B1: ISA Server → Firewall Policy → qua phần Toolbox → Network Objects →
New → URL Set
23
ISA Server 2006 Firewall
B2: dòng name đặt tên là hui. Chọn New khai hai dòng htttp://www.hui.edu.vn và
/>→OK→ về cửa sổ chính chọn Apply → OK
24
ISA Server 2006 Firewall
3.5.3 Định nghĩa giờ học
ISA Server → Firewall Policy → Toolbox → Schedule → New
Name: “giohoc”, chọn Active từ 7am – 5pm → Ok
3.5.4 Tạo Rule
B1: Tạo Access Rule theo các thông số sau:
Rule name : sinhvienhoc
Action: Allow
Protocols: HTTP, HTTPS
Source Internal
Destination: URL Set → hui
User: Sinhvien
B2: Properties Access Rule “sinhvienhoc”,
25