MỤC LỤC
Phần I: Mở đầu
1. Tên đề tài
Tìm hiểu dịch vụ Proxy Server
2. Lý do chọn đề tài
Interet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Chính điểm
yếu này làm giảm khả năng bảo mật thông tin nội bộ của hệ thống. Nếu chỉ là mạng
LAN thì khơng có vấn đề gì, nhưng khi đã kết nối Internet thì phát sinh những vấn đề
hết sức quan trọng trong việc quản lý các tài nguyên quý giá, nguồn thông tin, như chế
độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn cho phép người được ủy
nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền và phương pháp chống rị
rỉ thơng tin trên các mạng truyền dữ liệu cơng cộng. Chính sự quan trọng của bảo mật
thơng tin trên mạng Internet nhóm chúng em đã chọn đề tài và tìm hiểu dịch vụ Proxy
Server.
1
LỜI CẢM ƠN
Sau một thời gian tìm hiểu và nghiên cứu đề tài ‘Tìm hiểu dịch vụ Proxy Server’
nhóm chúng em đã hoàn thành đúng thời gian cho phép, mặc dù với khối lượng kiến
thức còn hạn chế. Nhưng với sự giúp đỡ nhiệt tình của thầy hướng dẫn Lê Văn Vịnh
chúng em đã hoàn thành đề tài với yêu cầu đặt ra. Tuy nhiên trong q trình làm vẫn
cịn có nhiều sai xót nên chúng em rất mong nhận được những ý kiến đóng góp của
Thầy cùng tồn thể các bạn trong lớp để bài tập của chúng em được hồn thiện.
Hưng n, ngày 23 tháng 04 năm 2013
Nhóm sinh viên thực hiện:
1. Bùi Thị Thanh Hằng
2. Bùi Thị Mỹ Linh
3. Nguyễn Thị Thùy Dung
4. Vũ Thị Hương
2
Phần II: Nội dung
Chương I: Proxy
I.1.
Các khái niệm về Proxy
I.2.
Giới thiệu chung về Proxy Server
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những
proxy server phục vụ nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên
dual_homed host hoặc basion host. Những chương trình Client của người sử dụng sẽ
qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao
tiếp.
Proxy server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp
ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho Client
và tiếp tục chuyển tiếp đến những yêu cầu từ Client đến server, cũng giống như đáp
ứng những yêu cầu của server đến Client. Vì vậy proxy server giống như cầu nối trung
gian giữa server và client.
Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng cung
cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thông cục bộ. Trong hầu hết
những phương pháp đảm bảo được đưa ra để giải quyết điều này là cung cấp một host
đơn để truy xuất đến Internet cho tất cả người sử dụng. Tuy nhiên, phương pháp này
không phải là phương pháp giải quyết thỏa mãn nhất bởi vì nó tạo cho người sử dụng
cảm thấy khơng thoải mái. Khi truy xuất đến Internet thì họ khơng thể thực hiện
những cơng việc đó một cách trực tiếp, phải login vào dual_homed host, để thực hiện
tất cả những công việc ở đây, và sau đó bằng cách nào đó chuyển đổi kết quả đạt được
của công việc trở lại workstation sở hữu. Điều này trở nên tồi tệ với nhiều hệ điều
hành khác nhau.
Ví dụ: Nếu hệ thống là bastion_host nhưng riêng dual_host là UNIX.Khi dual_homed
host được thiết kế trên mơ hình khơng có proxy, điều đó sẽ khiến cho người sử dụng
thêm bực bội và đáng chú ý hơn là giảm đi những tiện ích mà internet cung cấp, tồi tệ
hơn chúng thường cung cấp một cách không an toàn và đầy đủ, khi một máy gồm
nhiều người sử dụng tất nhiên mức độ an tồn của nó sẽ giảm. Proxy server giúp
người sử dụng thoải mái hơn và an toàn cho dual_homed host, thay thế yêu cầu của
người sử dụng bằng cách gián tiếp thông qua dual homed host. Hệ thống proxy cho
phép tất cả những tương tác dưới một hình thức nào đó. User có cảm giác làm việc
trực tiếp với server trên internet mà họ thật sự muốn truy xuất.
3
I.3.
Chức năng của Proxy
Đối với một số hãng, công ty người ta sử dụng proxy với mục đích: Giúp nhiều máy
tính truy cập Internet thơng qua một máy tính với tài khoản truy cập nhất định, máy
tính này được gọi là Proxy server. Chỉ duy nhất máy Proxy này cần modem và
account truy cập internet, các máy client (các máy trực thuộc) muốn truy cập internet
qua máy này chỉ cần nối mạng LAN tới máy Proxy và truy cập địa chỉ yêu cầu.
Những yêu cầu của người sử dụng sẽ qua trung gian proxy server thay thế cho server
thật sự mà người sử dụng cần giao tiếp, tại điểm trung gian này cơng ty kiểm sốt
được mọi giao tiếp từ trong cơng ty ra ngồi intrnet và từ internet vào máy của cơng
ty. Sử dụng Proxy, cơng ty có thể cấm nhân viên truy cập những địa chỉ web không
cho phép, cải thiện tốc độ truy cập nhờ sự lưu trữ cục bộ các trang web trong bộ nhớ
của proxy server và giấu định danh địa chỉ của mạng nội bộ gây khó khăn cho việc
thâm nhập từ bên ngồi vào các máy của công ty.
Đối với các nhà cung cấp dịch vụ đường truyền internet: Do internet có nhiều lượng
thông tin mà theo quan điểm của từng quốc gia, từng chủng tộc hay địa phương mà
các nhà cung cấp dịch vụ internet khu vực đó sẽ phối hợp sử dụng proxy với kỹ thuật
tường lửa để tạo ra một bộ lọc gọi là firewall proxy nhằm ngăn chặn các thông tin
độc hại hoặc trái thuần phong mỹ tục đối với quốc gia, chủng tộc hay địa phương đó.
Địa chỉ các website mà khách hàng yêu cầu truy cập sẽ được lọc tại bộ lọc này, nếu
địa chỉ không bị cấm thì yêu cầu của khách hàng tiếp tục được gửi đi, tới các DNS
server của các nhà cung cấp dịch vụ. Firewall proxy sẽ lọc tất cả các thông tin từ
internet gửi vào máy của khách hàng và ngược lại.
I.4.
Ý nghĩa của proxy server
Proxy khơng chỉ có giá trị bởi nó làm được nhiệm vụ của một bộ lọc thơng tin, nó
cịn tạo ra được sự an tồn cho các khách hàng của nó, firewall Proxy ngăn chặn hiệu
quả sự xâm nhập của các đối tượng không mong muốn vào máy của khách hàng.
Proxy lưu trữ được các thông tin mà khách hàng cần trong bộ nhớ, do đó làm giảm
thời gian truy tìm làm cho việc sử dụng băng thông hiệu quả.
Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên Internet. Một Proxy
server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức
năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp
trực tiếp Internet. Người dùng sẽ không truy cập được những trang web không cho
phép (bị cấm).
Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,
nghĩa là website này được lưu trữ cục bộ, trang này sẽ được truy cập mà không cần
phải kết nối Internet, nếu khơng có trên Proxy server và trang này không bị cấm, yêu
cầu sẽ được chuyển đến server thật, DNS server... và ra Internet. Proxy server lưu trữ
cục bộ các trang web thường truy cập nhất trong bộ đệm để giảm chi phí kết nối, giúp
tốc độ duyệt web với tốc độ nhanh hơn.
4
Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại
cho mạng hai định danh: một cho nội bộ, một cho bên ngoài. Điều này tạo ra một “bí
danh” đối với thế giới bên ngồi và gây khó khăn đối với nếu người dùng “tự tung tự
tác” hay các hacker muốn xâm nhập trực tiếp máy tính nào đó.
I.5.
Các sử dụng proxy có hiệu quả
Do các proxy có quy mơ bộ nhớ khác nhau và số lượng người đang sử dụng proxy
nhiều-ít khác nhau, Proxy server hoạt động quá tải thì tốc độ truy cập internet của
khách hàng có thể bị chậm. Mặt khác một số website khách hàng có đầy đủ điều kiện
nhân thân để đọc, nghiên cứu nhưng bị tường lửa chặn khơng truy cập được thì biện
pháp đổi proxy để truy cập là điều cần thiết nhằm đảm bảo công việc. Do đó người sử
dụng có thể chọn proxy server để sử dụng cho riêng mình. Có các cách chọn lựa cho
người sử dụng. Sử dụng proxy mặc định của nhà cung cấp dịch vụ (internet), trường
hợp này người sử dụng không cần điền địa chỉ IP của proxy vào cửa sổ internet
option của trình duyệt trong máy của mình. Sử dụng proxy server khác (phải trả phí
hoặc miễn phí) thì phải điền địa chỉ IP của proxy server vào cửa sổ internet option
của trình duyệt.
Chương II: Firewall
2.1. Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong cơng nghệ thơng tin, firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn
tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác
không mong muốn.
2.2. Thành phần và cơ chế hoạt động của Firewall
a. Thành phần của Firewall
-
Firewall chuẩn gồm 1 hay nhiều các thành phần sau đây:
-
Bộ lọc gói tin (packet- filtering router).
-
Cổng ứng dụng ( application- level gateway hay proxy server).
-
Cổng mạch.
5
b. Cơ chế hoạt động của firewall.
-
Bộ lọc gói tin: Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm
việc theo thuật toán chia nhỏ các gói dữ liệu nhận được từ các ứng dụng trên mạng
thành các gói dữ liệu rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập
lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan nhiều đến các packet và
những con số địa chỉ cảu chúng.
-
Bộ lọc gói tin cho phép hay từ chối mỗi gói tin mà nó nhận được. Nó kiểm tra toàn bộ
đoạn dữ liệu để quyết định xem đoạn dữ liệu có thỏa mãn một trong các luật lệ của lọc
gói tin hay khơng. Các luật lệ mà lọc gói tin là dựa trên các thơng tin trên mỗi đầu gói
tin, dùng để cho phép truyền các gói tin đó trên mạng. Bao gồm:
-
Địa chỉ IP nơi xuất phát.
Địa chỉ Ip nơi nhận
Những giao thức truyền tin
Cổng UDP/TCP nơi xuất phát.
Cổng UDP/TCP nơi nhận.
Dạng thông báo ICMP.
Giao diện gói tin đến.
Giao diện gói tin đi.
Nếu gói tin thỏa các luật lệ đã được thiết lập trước của firewall thì gói tin được chuyển
qua, nếu khơng sẽ bị loại bỏ. Việc kiểm sốt các cổng làm cho Firewall có khả năng
chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng
cục bộ.
-
-
Ưu điểm của bộ lọc gói tin.
Đa số các hệ thống firewall đểu sử dụng bộ lọc gói tin. Một trong những ưu
điểm cảu phương pháp dùng bộ lọc gói tin là đảm bảo thơng qua của lưu
lượng mạng.
Bộ lọc gói tin là trong suốt đối với người dùng và các ứng dụng. Vì vậy nó
khơng u cầu sự huấn luyện đặc biệt nào cả.
Hạn chế của bộ lọc gói tin
6
Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp, nó địi hỏi
người quản trị mạng có hiểu biết chi tiết về các dịch vụ Internet, các dạng
packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi
địi hỏi về sự lọc càng lớn, các luật trở nên dài và phức tạp, rất khó để quản
lý và điều khiển.
-
Cổng ứng dụng: đây là một firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được cho phép truy cập vào mạng. Cơ chế hoạt động của
nó dựa trên cách thức gọi là Proxy service (dịch vụ ủy quyền). Dịch vụ ủy quyền là
các bộ code đặc biệt cài đặt trên gateway ho từng ứng dụng. Nếu người quản trị mạng
không cài đặt proxy code cho 1 ứng dụng nào đó thì dịch vụ tương ứng sẽ khơng được
truy cập và do đó khơng thể chuyển thơng tin qua firewall. Ngồi ra, proxy code có
thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản
trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác.
-
Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi vìnó
được thiết kế đặc biệt chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo
an ninh của một bastion host là:
Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm
hệthống (Operating System). Các version an tồn này được thiết kế chun
chomục đích chống lại sự tấn công vào phần mềm hệ thống, cũng như đảm
bảo sựtích hợp Firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó khó có thể
bị tấncơng. Thơng thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ
Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như
user password hay smart card.
Mỗi proxy được cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhấtđịnh. Điều này có nghĩa là bộ lệnh và đặc điểm thiết lập cho mỗi proxy
chỉ đúngvới một số máy chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại tồn bộ chi tiết của lưu
lượngqua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích
trongviệc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
-
Ưu điểm
7
-
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy làm hạn chế bộ lệnh và quyết định những máy
chủ nào có thể truy cập bởi dịch vụ.
Cho phép người quản trị mạng hồn tồn có thể điều khiển được những
dịch vụ nào cho phép,, bởi vì sự vắng mặt của các proxy cho các dịch vụ
tương ứng có nghĩa là các dịch vụ ấy bị khóa.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi
chép lại thơng tin về truy nhập hệ thống.
Luật lệ filtering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so
với bộ lọc gói tin.
Cổng mạch
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi 1 cổng ứng
dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực
hiện bất kỳ 1 hành động xử lý nào hay lọc gói tin nào.
Cổng mạch được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tuin tưởng những người dùng bên trong. Ưu điểm lớn nhất của
1 bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng
dụng cho kết nối đến và cho những người trong mạng nội bộ muốn trực tiếp
truy nhập tới dịch vụ internet, trong khi vẫn cung cấp chức năng firewall để
bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
2.3. Kỹ thuật Firewall
-
Lọc khung (Frame Filtering): Hoạt động trong hai tầng dưới cùng của mơ hìnhOSI, có
thể lọc, kiểm tra được mức bit và nội dung của khung tin. Trong tầng này cáckhung dữ
liệu không tin cậy sẽ bị từ chối ngay khi vào mạng.
-
Lọc gói tin (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạngcủa
mô hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tratồn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số cácquy
định của lọc gói tin hay khơng. Các quy tắc lọc gói tin dựa vào các thơng tin trong
phần mào đầu của gói tin.
-
Nếu quy tắc lọc gói tin được thỏa mãn thì gói tin được chuyển qua Firewall.
Nếukhông sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống
hoặc khóaviệc truy nhập vào hệ thống nội bộ từ những địa chỉ không cho phép.
8
-
Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh vì
chỉkiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địa
chỉsai hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa
chỉnguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy nhiên
cónhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc
phụcnhược điểm trên, ngồi trường địa chỉ IP được kiểm tra cịn có các thơng tin khác
được kiểm tra với quy tắc được tạo ra trên Firewall, các thơng tin này có thể là thời
gian truynhập, giao thức sử dụng, cổng.
-
Firewall kiểu Packet Filtering có hai loại:
Packet filtering Firewall: Hoạt động tại tầng mạng của mơ hình OSI.
KiểuFirewall này khơng quản lý được giao dịch trên mạng.
Circuilt level gateway: Hoạt động tại tầng phiên của mơ hình OSI. Là
loạiFirewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối
(VD: kiểm traID, mật khẩu), loại Firewall cho phép lưu vết trạng thái của
người truy nhập.
2.4. Hạn chế của Firewall
-
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thơng tin và
phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn xâm nhập của
những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa
chỉ.
-
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi
qua” nó. Một cách cụ thể: firewall khơng thể chống lại một cuộc tấn cơng từ một
đườngdial-up, hoặc sự dị rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa.
-
Firewall cũng không thể chống lại các cuộc tấn cơng bằng dữ liệu (data-driventattack).
Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewallvào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
-
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virustrên các
dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của cácvirus mới
và do có rất nhiều cách để mã hóa dữ liệu, thốt khỏi khả năng kiểm sốt củaFirewall.
Firewall có thể ngǎn chặn những kẻ xấu từ bên ngồi nhưng cịn những kẻ xấuở bên
trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi.
Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp
với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói,
mã hố dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp vàcó
chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm
9
bảomật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật.
Mộtnhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác
của nhân viên, đồng nghiệp.
Chương III: Microsoft Internet Security and Acceleration Server
3.1. ISA 2006
• Giới thiệu ISA
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm share
internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2006
Server. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu
hình, thiết lập tường lửa tốt, nhiều tính năng cho phép bạn cấu hình sao cho thích
hợp với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thơng minh, với tính
năng lưu Cache trên đĩa giúp bạn truy xuất thơng tin nhanh hơn, và tính năng
Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu
vào Cache và máy con chỉ cần lấy thơng tin trên các WebServer đó bằng mạng
LAN)
• Đặc điểm của ISA 2006:
Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa
trên địa chỉ mạng, thiết lập Firewall để lọc thông tin dựa trên từng địa chỉ mạng
con,...
Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA
Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các
Client bên ngoài Internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter
network, chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi,
không cho phép Client bên ngoài truy xuất trực tiếp và mạng nội bộ.
Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng.
NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu
cho mạng con.
Network templates: Cung cấp các mơ hình mẫu về một số kiến trúc mạng, kèm theo
một số luật cần thiết cho network templates tương ứng.
Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo VPN và truy cập từ xa cho
doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết
lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên
các hệ thống khác.
Cung cấp một số kỹ thuật bảo mật, và thiết lập firewall cho hệ thống như :
Authentication, Publish Server, giới hạn traffic.
Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy
xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.
10
-
Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua
Web, export và import cấu hình XML configuration file, quản lý lỗi hệ thống thông
qua kỹ thuật gởi thông báo qua Email.
Application Layer Filtering(ALF): là một trong những điểm mạnh của ISA Server
2006, không giống như packet filtering firewall truyền thống, ISA 2006 có thể thao
tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số đặc điểm
nổi bật của ALF: Cho phép thiết lập bộ lọc HTTP inbuond và outbuond HTTP; Chặn
được các cả các loại tập tin thực thi chạy trên nền Windown như .pif, .com,...; Có thể
giới hạn HTTP download; Có thể truy xuất Web cho tất cả các Client dựa trên nội
dung truy cập; Có thể điều khiển truy xuất HTTP dựa trên chữ ký; Điều khiển một
số phương thức truy xuất của HTTP.
• Các phiên bản của ISA 2006:
Internet Acceleration and Security (ISA) Server 2006 :được xây dựng dựa trên các
phiên bản ISA Server trước.
-
Nó cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng.
-
Có hai phiên bản ISA 2006 bao gồm:
Standard Edition: Với phiên bản này chúng ta có thể xây dựng firewall để:
Kiểm sốt các luồng dữ liệu vào và ra hệ thống mạng nội bộ của cơng ty.
Kiểm sốt q trình truy cập của người dùng theo giao thức, thời gian và
nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung
khơng thích hợp.
Bên cạnh đó chúng ta cịn có thể triển khai hệ thống VPN Site to Site hay
Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các
văn phòng chi nhánh.
Đối với các cơng ty có những hệ thống máy chủ quan trọng như Mail
Server, Web Server cần được bảo vệ chặt chẽ trong một mơi trường riêng
biệt thì ISA SERVER 2006 cho phép triển khai các vùng DMZ (thuật ngữ
chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên
trong và bên ngồi hệ thống.
Ngồi các tính năng bảo mật thơng tin trên, ISA SERVER 2006 cịn có hệ
thống đệm (cache) giúp kết nối Internet nhanh hơn do thơng tin trang web
có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng
thông hệ thống. Chính vì lý do đó mà sản phẩm firewall này có tên gọi là
Internet Security & Aceleration (bảo mật và tăng tốc Internet).
11
Enterprise Edition :ISA Server 2006 Enterprise được sử dụng trong các mơ
hình mạng lớn, đáp ứng nhiều u cầu truy xuất của người dùng bên trong
và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản
Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử
dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng
Load Balancing (cân bằng tải).
• Ưu điểm của ISA 2006 so với phiên bản ISA 2004:
-
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là
những tính năng mà các doanh nghiệp ở VN ta ít dùng.)
-
Về khả năng Publishing Service
ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào
trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based, chống lại các
người dùng bất hợp pháp vào trang web OWA, tính năng này được phát
triển dưới dạng Add-ins.
Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ
liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).
Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép
Outlook của người dùng kết nối an toàn đến Exchange Server.
Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra
internet 1 cách an toàn, hỗ trợ cả các sản phẩm mới như Exchange 2007.
-
Khả năng kết nối VPN
Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn
phịng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một
cũng được. tích hợp hồn toàn Quanratine.
Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN
Connection, Site to site, secureNAT for VPN Clients, .
Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet ,
hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site
-
Về khả năng quản lý
Dễ dàng quản lý (hiển nhiên không phải bàn)
Rất nhiều Wizard
12
Backup và Restore đơn giản.
Cho phép ủy quyền quản trị cho các User/Group
Log và Report cực tốt.
Cấu hình 1 nơi, chạy ở mọi nơi (nhưng nơi cài ISA Enterprise)
Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA
2000 )
Tích hợp với giải pháp quản lý của Microsoft: MOM (Đã ai dùng MOM
chưa nhỉ)
SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất
khối bộ này.
Có các giải pháp hardware (xem thêm trên site của MS, tớ khơng nhớ có
bao nhiêu loại).
-
Các tính năng khác
Hỗ trợ nhiều CPU và RAM
max 32 node Network Loadbalancing
Hỗ trợ nhiều network
Route/NAT theo từng network
IDS
Flood Resiliency
HTTP compression
Diffserv (trên cả mong đợi).
3.2. Cài đặt ISA 2006
• Cài đặt ISA trên máy chủ một card mạng
Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (cịn gọi là
UnihomedISAFirewall ),chỉ hỗ trợ HTTP,HTTPS,HTTP-tunneled (Web
proxied)FTP.ISA không hỗ trợ một số chức năng:
- SecureNAT client.
- Firewall Client.
13
-
- Server Publishing Rule.
- Remote Access VPN.
-Site-to-SiteVPN.
-Multi-networking.
- Application-layer inspection ( trừ giao thức HTTP)
Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC:
Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (cịn gọi là Unihomed ISA
Firewall), chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không
hỗ trợ một số chức năng: SecureNAT client, Firewall Client, Server Publishing Rule,
Remote Access VPN, Site-to-Site VPN, Multi-networking, Application-layer
inspection ( trừ giao thức HTTP), Chạy tập tin isaautorun.exe từ CDROM ISA 2006
hoặc từ ISA 2006 source.
-
Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet
Security and Acceleration Server 2006”.
-
Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard
for Microsoft ISA Server 2006” để tiếp tục cài đặt.
-
Chọn tùy chọn Select “I accept” trong hộp thoại “License Agreement”, chọn Next.
-
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm
trong User Name và Organization textboxe. Nhập serial number trong Product
Serial Number textbox.
-
Nhấp Next để tiếp tục .
-
Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom,
chọn Next.
-
Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn Firewall Services
Advanced Logging, và ISA Server Management. Trên Unihomed ISA firewall chỉ hỗ
trợ Web Proxy Client nên ta có thểkhơng chọn tùy chọn Firewall client Installation
share tuy nhiên ta có thể chọn nó để các Client có thể sử dụng phần mềm này để hỗ
trợ truy xuất Web qua Web Proxy.Chọn Next để tiếp tục
14
Hình 1: Chọn Firewall Client Installation Share.
Chỉ định address range cho cho Internet network trong hộp thoại “Internal
Network”, sau đó chọn nút Add. Trong nút Select Network Adapter, chọn Internal
ISA NIC.
Hình 2: Mơ tả Internet Network Range
Sau khi mơ tả xong “Internet Network address ranges”, chọn Next trong hộp thoại
“Firewall ClientConnection Settings”. Sau đó chương trình sẽ tiến hành cài đặt vào hệ
thống, chọn nút Finish để hoàn tất quá trình.
• Cài đặt ISA trên máy chủ có nhiều card mạng
15
ISA Firewall thường được triển khai trên dual_homed host (máy chủ có hai Ethernet
cards) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA
Server có thể thực thi đầy đủ các tính năng của nó như: ISA Firewall, SecureNAT,
Server Publishing Rule, VPN,…
Các bước cài đặt ISA firewall software trên multihomed host:
Chạy tập tin isaautorun.exe từCDROM ISA 2006 hoặc từISA 2006 source.
Nhấpchuộtvào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet
Security and AccelerationServer 2006”.
Chọn Install ISA Server 2006
Nhấp chuột vào nút Next trên hộp thoại “Welcome to the
Installation Wizard for Microsoft ISAServer 2006” để tiếp tục cài đặt.
16
Chọn tùy chọnSelect “I accept the terms in the license agreement”, chọnNext.
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm
trong User Name và Organization textboxe. Nhập serial number trong Product Serial
Number textbox. Nhấp Next để tiếp tục .
Chọn loại càiđặt (Installation type)tronghộp “Setup Type”,chọn tùychọn Typical,
chọnNext.
17
ChọnNext đểtiếp tục.Chọn Add
Chọnadd Adapter
Chọn card lan là card bên trong mạng nội bộ
Hình 3: Chọn Network Adapter.
Xuất hiện thơng báo cho biết Internal network được định nghĩa dựa vàoWindows
18
routing table. ChọnOK trong hộp thoại Internal network address ranges.
Hình 4:Internal Network Address Ranges.
Chọn Next trong hộp thoại “Internal Network”để tiếp tục quá trình cài đặt.
Chọn dấu check “Allow computersrunning earlier versions of Firewall Client
software to connect” nếu ta muốnISA hỗ trợ những phiên bản Firewall client trước,
chọn Next.
Hình 5: Tùy chọn tương thích vớiISA Client.
Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số
dịch vụ: SNMP và IIS Admin Service trong quá cài đặt. ISA Firewall
cũng sẽ vơ hiệu hóa (disable) Connection Firewall (ICF) / Internet
Connection Sharing (ICF), và IP Network Address Translation (RRAS
NAT service) services.
19
ChọnFinishđể hồn tất q trìnhcàiđặt.
1.3.1 Cấu hình ISA Server
Một số thơng tin cấu hình mặc định
- System Policies cung cấp sẵn một số luật để cho phép truy cập vào/ ra ISA
Firewall. Tất cả các traffic còn lại đều bị cấm.
- Cho phép định tuyến giữa VPN/VPN- Q Networks và Internet Network.
- Cho phép NAT giữa Internet Network và External Network.
- Chỉ cho phép Administator có thể thay đổi chính sách bảo mật cho ISA
Firewall.
Một số chính cách mặc định của hệ thống
Các chính sách mặc định của hệ thống ISA Firewall có thể xem bằng cách chọn
Firewall Policy từ hộp thoại ISA Mangenment sau đó chọn item Show System
policy Rule trên cột System policy. Hoặc bằng cách nhấp đơi chuột vào system
policy item.
3.3. Cấu hình Web Proxy cho ISA
Cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet
cho mạng nội bộ.
- Mặc định ISA Firewall cho phép tất cả các mạng nội bộ chỉ có thể truy xuất
Internet Web thơng qua giao thức HTTP/HTTPS tới một số Site được chỉ định
20
sẵn trong Domain Name Sets được mô tả dưới tên ‘system policy allow sites’
gồm:
+ *.windows.com
+*.windowsupdate.com
+*.microsoft.com
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một
Internet Web nào bên ngồi thì ta phải hiệu chỉnh lại thông số trong System
Policy Allowed Sites hoặc hiệu chỉnh lại System Policy Rule bằng cách:
-
-
Hiệu chỉnh System Policy Allowed Sites bằng cách chọn Firewall Policy trong
ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets,
nhấp đôi vào Item System Policy Allowed Sites để mô tả một số cần thiết cho
phép mạng nội bộ truy xuất theo cú pháp *.domain_name.
Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Websites nào đó thì ta
phải Enable luật 18 có tên “Allow HTTP/HTTOS request from ISA Server to
selected servers for connectivity verifiers” chọn Apply trong Firewall Policy
pannel để áp đặt thay đổi vào hệ thống.
3.4. Web Publishing and Server Publishing
21
Publishing server là một kỹ thuật để công bố dịch vụ nội bộ ra ngồi mạng
Internet thơng qua ISA Firewall. Thơng qua ISA Firewall ta có thể publish các
dịch vụ SMTP, POP3, IMAP , Web, …
Web Publishing: Dùng để publish các website và dịch vụ web. Web Publishing
đôi khi được gọi là ‘Revese proxy’ trong đó ISA Firewall đóng vai trị là web
proxy nhận các Web Request từ bên ngồi sau đó nó sẽ chuyển yêu cầu đó vào
WebSite hoặc Web Services nội bộ xử lý. Một số đặc điểm của Web Publishing:
-
Cung cấp cơ chế truy xuất ủy quyền Web Sites thông qua ISA Firewall.
Chuyển hướng theo đường dẫn truy xuất WebSite
Revese Caching of Published Web Site.
Cho phép Publish nhiều Web Site thơng qua một địa chỉ IP.
Có khả năng thay đổi URL bằng cách sử dụng Link Translator của ISA
Firewall.
Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web Sites.
Cung cấp cơ chế chuyển theo Port và Protocol.
Server Publishing: Tương tự như Web Publishing, Server Publishing
cung cấp một số cơ chế công bố (publishing) các Server thông qua ISA
Firewall.
3.5. Publish Web Server
Để publish một Web Services ta thực hiện các bước sau:
1. kích hoạt màn hình “Microsof Internet Security and Acceleration Server2004
management console”, mở rộng mục chọn Server Name, chọn nút Firewall policy,
chọnTasks tab.
2. TrênTaskstab,chọn liên kết “Publish a Web Server ” , hiển thị hộp thoại “Wel
come to the New Web Publishing Rule Wizard”yêu cầu nhập tênWeb publishing
rule,chọn Next để tiếp tục.
3. Chọn tùy chọn Allow trong hộp thoại “Select Rule Action”, chọn Next.
4. Cung cấp một số thông tinvề WebSite cần được publish trong hộp thoại
“DefineWebsiteto Publish”:
“Computer name or IP address”: chỉ định địa chỉ củaWebServer nội bộ.
“Forwardtheoriginalhostheaderinsteadoftheactualone(specifiedabove)”:Chỉ
định cơ chế chuyển yêu cầu vào WebServer nội bộ theo dạng host header name,tùy
chọn này được sử dụng trong trường hợp ta muốn publish Web hosting cho mộtWeb
Server.
“Path”: Chỉ định tên tập tin hoặc thư mục ta muốn truy xuất vàoWeb Server
nội bộ.
“Site”: Chỉ định tên Web Site được publish.
22
Hình 6: Chỉ định Web Site cần Publish.
1. Chỉ định một số thông tin về FQDN hoặc Ipaddresses được phép truy xuất tới
publishWebSite
Thông quaWeb Publishing Rule. Các tùy chọn cần thiết:
Accept requests for: Chỉ định tên publish đượcWeb listener chấp nhận.
Path (optional): Chỉ định đường dẫn Web Site cho phép truy xuất
Site: Tên Web Site được phép truy xuất WebSite nội bộ.
Hình 7:Chỉ định tên domain được truy xuấtpublish site.
23
2. Chọn WebListenerchoWebPublishingRule(là một NetworkObject được sử dụng
choWeb PublishingRule để listen các kết nối đi vào
interface(incomingconnection)theo port được định nghĩa trước) , ở bước này ta có
thể lựa chọn WebListener đã tạo trước đó hoặc ta có thể tạo mới Web Listener. Sau
đây là một số bước tạo mới Web Listener.
- Từ hộp thoại “Seclect Web Listener“ bằng cách nhấp chuột vào nút New … ,
cung cấp tên Web Listener trong hộp thoại “Welcometo the NewWeb Listener
Wizard”, chọn Next.
- Chọn tên Interface cho phép chấp nhận kết nối IncomingWeb,sau đó ta có thể
chọn nút Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn , Chọn nút
Add,cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới WebListener,chọn
Next để tiếp tục.
Hình 8: Chọn địa chỉ chấp nhận incomingwebrequest.
3. Chỉ định HTTPport và SSLport trong hộp thoại PortSpecification cho phép
ISAServer sử dụng để chấp nhận incoming.
3.6. Publish Mail Server
Các bước tiến hành publishMail server:
1. Kích hoạt màn hình
“MicrosoftInternetSecurityandAccelerationServer2004management console”, mở
rộng mục chọn Server Name, chọn nútFirewall policy, chọnTasks tab.
2. Trên Taskstab, chọn liên kết“ Publish a Mail Server” ,hiển thị hộp thoại“
Welcome to the New Mail Server PublishingRuleWizard”yêu cầu nhập tên Mail
Server Publishing Rule,chọn Next để tiếp tục.
24
3. Chọn các tùy chọn về loại truy xuất cho Clien t trong hộp thoại“Select Client
Type”.
Web client access: Outlook WebAccess(OWA), Outlook Mobile Access,
Exchange Server ActiveSync:Publish Web Mail Server để cho phép client có thể
truy xuất E-Mail qua Web thơng qua OWA,OMA,ESA,..
Client access: RPC, IMAP, POP3, SMTP: Publish các giao thức IMAP,
POP3,SMTP cho Mail Server.
Server-to-servercommunication:SMTP, NNTP:Cho phép Server Mail bên
ngồi có thể giao tiếp với Server Mail nội bộ thông qua giao thức SMTP, NNTP.
Hình 9: Chọn Client Type.
1. Ví dụ trong bước 3 ta chọn tùy chọn Web Client Access, chọn Next,sau đó xuất
hiện hộp thoại “Select Services”cho phép ta chọn các dịch vụ Exchange Web
Services bao gồm: Outlook Web Access, Outlook Mobile Access,
ExchangeActiveAsync chọn Next để tiếp tục.
Hình 10: Chọn Exchange WebServices.
25