Tải bản đầy đủ (.pdf) (32 trang)

Báo cáo bài tập lớn môn quản trị mạng Tìm hiểu dịch vụ proxy server

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (868.61 KB, 32 trang )

MỤC LỤC
Phần I: Mở đầu 2
1. Tên đề tài 2
2. Lý do chọn đề tài 2
LỜI CẢM ƠN 3
Phần II: Nội dung 4
Chương I: Proxy 4
1.1. Các khái niệm về Proxy 4
1.2. Giới thiệu chung về Proxy Server 4
1.4. Ý nghĩa của proxy server 5
1.5. Các sử dụng proxy có hiệu quả 6
Chương II: Firewall 6
2.1. Firewall 6
2.2. Thành phần và cơ chế hoạt động của Firewall 6
2.3. Kỹ thuật Firewall 9
2.4. Hạn chế của Firewall 10
Chương III: Microsoft Internet Security and Acceleration Server 11
3.1. ISA 2006 11
3.2. Cài đặt ISA 2006 14
3.3. Cấu hình Web Proxy cho ISA 21
3.4. Web Publishing and Server Publishing 22
3.5. Publish Web Server 23
3.6. Publish Mail Server 25
Phần III: Kết Luận 31
1. Kết quả đạt được 31
2. Hạn chế 31
3. Hướng phát triển 31
TÀI LIỆU THAM KHẢO 32
1
Phần I: Mở đầu
1. Tên đề tài


Tìm hiểu dịch vụ Proxy Server
2. Lý do chọn đề tài
Interet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Chính điểm
yếu này làm giảm khả năng bảo mật thông tin nội bộ của hệ thống. Nếu chỉ là mạng
LAN thì không có vấn đề gì, nhưng khi đã kết nối Internet thì phát sinh những vấn đề
hết sức quan trọng trong việc quản lý các tài nguyên quý giá, nguồn thông tin, như chế
độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn cho phép người được ủy
nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền và phương pháp chống rò
rỉ thông tin trên các mạng truyền dữ liệu công cộng. Chính sự quan trọng của bảo mật
thông tin trên mạng Internet nhóm chúng em đã chọn đề tài và tìm hiểu dịch vụ Proxy
Server.
2
LỜI CẢM ƠN



Sau một thời gian tìm hiểu và nghiên cứu đề tài ‘Tìm hiểu dịch vụ Proxy Server’
nhóm chúng em đã hoàn thành đúng thời gian cho phép, mặc dù với khối lượng kiến
thức còn hạn chế. Nhưng với sự giúp đỡ nhiệt tình của thầy hướng dẫn Lê Văn Vịnh
chúng em đã hoàn thành đề tài với yêu cầu đặt ra. Tuy nhiên trong quá trình làm vẫn
còn có nhiều sai xót nên chúng em rất mong nhận được những ý kiến đóng góp của
Thầy cùng toàn thể các bạn trong lớp để bài tập của chúng em được hoàn thiện.
Hưng Yên, ngày 23 tháng 04 năm 2013
Nhóm sinh viên thực hiện:
1. Bùi Thị Thanh Hằng
2. Bùi Thị Mỹ Linh
3. Nguyễn Thị Thùy Dung
4. Vũ Thị Hương
3
Phần II: Nội dung

Chương I: Proxy
I.1. Các khái niệm về Proxy
I.2. Giới thiệu chung về Proxy Server
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những
proxy server phục vụ nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên
dual_homed host hoặc basion host. Những chương trình Client của người sử dụng sẽ
qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao
tiếp.
Proxy server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp
ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho Client
và tiếp tục chuyển tiếp đến những yêu cầu từ Client đến server, cũng giống như đáp
ứng những yêu cầu của server đến Client. Vì vậy proxy server giống như cầu nối trung
gian giữa server và client.
Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng cung
cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thông cục bộ. Trong hầu
hết những phương pháp đảm bảo được đưa ra để giải quyết điều này là cung cấp một
host đơn để truy xuất đến Internet cho tất cả người sử dụng. Tuy nhiên, phương pháp
này không phải là phương pháp giải quyết thỏa mãn nhất bởi vì nó tạo cho người sử
dụng cảm thấy không thoải mái. Khi truy xuất đến Internet thì họ không thể thực hiện
những công việc đó một cách trực tiếp, phải login vào dual_homed host, để thực hiện
tất cả những công việc ở đây, và sau đó bằng cách nào đó chuyển đổi kết quả đạt được
của công việc trở lại workstation sở hữu. Điều này trở nên tồi tệ với nhiều hệ điều
hành khác nhau.
Ví dụ: Nếu hệ thống là bastion_host nhưng riêng dual_host là UNIX.Khi dual_homed
host được thiết kế trên mô hình không có proxy, điều đó sẽ khiến cho người sử dụng
thêm bực bội và đáng chú ý hơn là giảm đi những tiện ích mà internet cung cấp, tồi
tệ hơn chúng thường cung cấp một cách không an toàn và đầy đủ, khi một máy gồm
nhiều người sử dụng tất nhiên mức độ an toàn của nó sẽ giảm. Proxy server giúp
người sử dụng thoải mái hơn và an toàn cho dual_homed host, thay thế yêu cầu của
người sử dụng bằng cách gián tiếp thông qua dual homed host. Hệ thống proxy cho

phép tất cả những tương tác dưới một hình thức nào đó. User có cảm giác làm việc
trực tiếp với server trên internet mà họ thật sự muốn truy xuất.
4
I.3. Chức năng của Proxy
Đối với một số hãng, công ty người ta sử dụng proxy với mục đích: Giúp nhiều
máy tính truy cập Internet thông qua một máy tính với tài khoản truy cập nhất định,
máy tính này được gọi là Proxy server. Chỉ duy nhất máy Proxy này cần modem và
account truy cập internet, các máy client (các máy trực thuộc) muốn truy cập internet
qua máy này chỉ cần nối mạng LAN tới máy Proxy và truy cập địa chỉ yêu cầu.
Những yêu cầu của người sử dụng sẽ qua trung gian proxy server thay thế cho server
thật sự mà người sử dụng cần giao tiếp, tại điểm trung gian này công ty kiểm soát
được mọi giao tiếp từ trong công ty ra ngoài intrnet và từ internet vào máy của công
ty. Sử dụng Proxy, công ty có thể cấm nhân viên truy cập những địa chỉ web không
cho phép, cải thiện tốc độ truy cập nhờ sự lưu trữ cục bộ các trang web trong bộ nhớ
của proxy server và giấu định danh địa chỉ của mạng nội bộ gây khó khăn cho việc
thâm nhập từ bên ngoài vào các máy của công ty.
Đối với các nhà cung cấp dịch vụ đường truyền internet: Do internet có nhiều lượng
thông tin mà theo quan điểm của từng quốc gia, từng chủng tộc hay địa phương mà
các nhà cung cấp dịch vụ internet khu vực đó sẽ phối hợp sử dụng proxy với kỹ thuật
tường lửa để tạo ra một bộ lọc gọi là firewall proxy nhằm ngăn chặn các thông tin
độc hại hoặc trái thuần phong mỹ tục đối với quốc gia, chủng tộc hay địa phương đó.
Địa chỉ các website mà khách hàng yêu cầu truy cập sẽ được lọc tại bộ lọc này, nếu
địa chỉ không bị cấm thì yêu cầu của khách hàng tiếp tục được gửi đi, tới các DNS
server của các nhà cung cấp dịch vụ. Firewall proxy sẽ lọc tất cả các thông tin từ
internet gửi vào máy của khách hàng và ngược lại.
I.4. Ý nghĩa của proxy server
Proxy không chỉ có giá trị bởi nó làm được nhiệm vụ của một bộ lọc thông tin, nó
còn tạo ra được sự an toàn cho các khách hàng của nó, firewall Proxy ngăn chặn hiệu
quả sự xâm nhập của các đối tượng không mong muốn vào máy của khách hàng.
Proxy lưu trữ được các thông tin mà khách hàng cần trong bộ nhớ, do đó làm giảm

thời gian truy tìm làm cho việc sử dụng băng thông hiệu quả.
Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên Internet. Một Proxy
server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức
năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp
trực tiếp Internet. Người dùng sẽ không truy cập được những trang web không cho
phép (bị cấm).
Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy,
nghĩa là website này được lưu trữ cục bộ, trang này sẽ được truy cập mà không cần
phải kết nối Internet, nếu không có trên Proxy server và trang này không bị cấm, yêu
cầu sẽ được chuyển đến server thật, DNS server và ra Internet. Proxy server lưu trữ
cục bộ các trang web thường truy cập nhất trong bộ đệm để giảm chi phí kết nối, giúp
tốc độ duyệt web với tốc độ nhanh hơn.
5
Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại
cho mạng hai định danh: một cho nội bộ, một cho bên ngoài. Điều này tạo ra một “bí
danh” đối với thế giới bên ngoài và gây khó khăn đối với nếu người dùng “tự tung tự
tác” hay các hacker muốn xâm nhập trực tiếp máy tính nào đó.
I.5. Các sử dụng proxy có hiệu quả
Do các proxy có quy mô bộ nhớ khác nhau và số lượng người đang sử dụng proxy
nhiều-ít khác nhau, Proxy server hoạt động quá tải thì tốc độ truy cập internet của
khách hàng có thể bị chậm. Mặt khác một số website khách hàng có đầy đủ điều kiện
nhân thân để đọc, nghiên cứu nhưng bị tường lửa chặn không truy cập được thì biện
pháp đổi proxy để truy cập là điều cần thiết nhằm đảm bảo công việc. Do đó người sử
dụng có thể chọn proxy server để sử dụng cho riêng mình. Có các cách chọn lựa cho
người sử dụng. Sử dụng proxy mặc định của nhà cung cấp dịch vụ (internet), trường
hợp này người sử dụng không cần điền địa chỉ IP của proxy vào cửa sổ internet
option của trình duyệt trong máy của mình. Sử dụng proxy server khác (phải trả phí
hoặc miễn phí) thì phải điền địa chỉ IP của proxy server vào cửa sổ internet option
của trình duyệt.
Chương II: Firewall

2.1. Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ thuật được
tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài
nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không
mong muốn.
2.2. Thành phần và cơ chế hoạt động của Firewall
a. Thành phần của Firewall
- Firewall chuẩn gồm 1 hay nhiều các thành phần sau đây:
- Bộ lọc gói tin (packet- filtering router).
- Cổng ứng dụng ( application- level gateway hay proxy server).
- Cổng mạch.
6
b.
Cơ chế hoạt động của firewall.
- Bộ lọc gói tin: Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao
thức này làm việc theo thuật toán chia nhỏ các gói dữ liệu nhận được từ các ứng dụng
trên mạng thành các gói dữ liệu rồi gán cho các gói này những địa chỉ có thể nhận
dạng, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan nhiều đến
các packet và những con số địa chỉ cảu chúng.
- Bộ lọc gói tin cho phép hay từ chối mỗi gói tin mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu có thỏa mãn một trong các
luật lệ của lọc gói tin hay không. Các luật lệ mà lọc gói tin là dựa trên các thông tin
trên mỗi đầu gói tin, dùng để cho phép truyền các gói tin đó trên mạng. Bao gồm:
ü
Địa chỉ IP nơi xuất phát.
ü
Địa chỉ Ip nơi nhận
ü
Những giao thức truyền tin

ü
Cổng UDP/TCP nơi xuất phát.
ü
Cổng UDP/TCP nơi nhận.
ü
Dạng thông báo ICMP.
ü
Giao diện gói tin đến.
ü
Giao diện gói tin đi.
- Nếu gói tin thỏa các luật lệ đã được thiết lập trước của firewall thì gói tin
được chuyển qua, nếu không sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall
có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ
thống mạng cục bộ.
- Ưu điểm của bộ lọc gói tin.
ü
Đa số các hệ thống firewall đểu sử dụng bộ lọc gói tin. Một trong những ưu
điểm cảu phương pháp dùng bộ lọc gói tin là đảm bảo thông qua của lưu
lượng mạng.
ü
Bộ lọc gói tin là trong suốt đối với người dùng và các ứng dụng. Vì vậy nó
không yêu cầu sự huấn luyện đặc biệt nào cả.
- Hạn chế của bộ lọc gói tin
ü
Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp, nó đòi hỏi
người quản trị mạng có hiểu biết chi tiết về các dịch vụ Internet, các dạng
7
packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi
đòi hỏi về sự lọc càng lớn, các luật trở nên dài và phức tạp, rất khó để quản
lý và điều khiển.

- Cổng ứng dụng: đây là một firewall được thiết kế để tăng cường chức năng
kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào mạng. Cơ chế hoạt
động của nó dựa trên cách thức gọi là Proxy service (dịch vụ ủy quyền). Dịch vụ ủy
quyền là các bộ code đặc biệt cài đặt trên gateway ho từng ứng dụng. Nếu người quản
trị mạng không cài đặt proxy code cho 1 ứng dụng nào đó thì dịch vụ tương ứng sẽ
không được truy cập và do đó không thể chuyển thông tin qua firewall. Ngoài ra,
proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng
mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm
khác.
- Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion
host), bởi vìnó được thiết kế đặc biệt chống lại sự tấn công từ bên ngoài. Những biện
pháp đảm bảo an ninh của một bastion host là:
ü
Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm
hệthống (Operating System). Các version an toàn này được thiết kế chuyên
chomục đích chống lại sự tấn công vào phần mềm hệ thống, cũng như đảm
bảo sựtích hợp Firewall.
ü
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó khó có thể
bị tấncông. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ
Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.
ü
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như
user password hay smart card.
ü
Mỗi proxy được cấu hình để cho phép truy nhập chỉ một số các máy chủ
nhấtđịnh. Điều này có nghĩa là bộ lệnh và đặc điểm thiết lập cho mỗi proxy
chỉ đúngvới một số máy chủ trên toàn hệ thống.
ü

Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của lưu
lượngqua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích
trongviệc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
- Ưu điểm
ü
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy làm hạn chế bộ lệnh và quyết định những máy
chủ nào có thể truy cập bởi dịch vụ.
8
ü
Cho phép người quản trị mạng hoàn toàn có thể điều khiển được những
dịch vụ nào cho phép,, bởi vì sự vắng mặt của các proxy cho các dịch vụ
tương ứng có nghĩa là các dịch vụ ấy bị khóa.
ü
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi
chép lại thông tin về truy nhập hệ thống.
ü
Luật lệ filtering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so
với bộ lọc gói tin.
- Cổng mạch
ü
Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi 1 cổng ứng
dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực
hiện bất kỳ 1 hành động xử lý nào hay lọc gói tin nào.
ü
Cổng mạch được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị
mạng thật sự tuin tưởng những người dùng bên trong. Ưu điểm lớn nhất của
1 bastion host có thể được cấu hình như là một hỗn hợp cung cấp. Cổng ứng
dụng cho kết nối đến và cho những người trong mạng nội bộ muốn trực tiếp
truy nhập tới dịch vụ internet, trong khi vẫn cung cấp chức năng firewall để

bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
2.3.
Kỹ thuật Firewall
- Lọc khung (Frame Filtering): Hoạt động trong hai tầng dưới cùng của mô
hìnhOSI, có thể lọc, kiểm tra được mức bit và nội dung của khung tin. Trong tầng này
cáckhung dữ liệu không tin cậy sẽ bị từ chối ngay khi vào mạng.
- Lọc gói tin (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên
tầng mạngcủa mô hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được.
Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một
trong số cácquy định của lọc gói tin hay không. Các quy tắc lọc gói tin dựa vào các
thông tin trong phần mào đầu của gói tin.
- Nếu quy tắc lọc gói tin được thỏa mãn thì gói tin được chuyển qua Firewall.
Nếukhông sẽ bị bỏ đi. Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống
hoặc khóaviệc truy nhập vào hệ thống nội bộ từ những địa chỉ không cho phép.
- Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh
vì chỉkiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định
địa chỉsai hay bị cấm. Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang
địa chỉnguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. Tuy
9
nhiên cónhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc
phụcnhược điểm trên, ngoài trường địa chỉ IP được kiểm tra còn có các thông tin khác
được kiểm tra với quy tắc được tạo ra trên Firewall, các thông tin này có thể là thời
gian truynhập, giao thức sử dụng, cổng.
- Firewall kiểu Packet Filtering có hai loại:
ü
Packet filtering Firewall: Hoạt động tại tầng mạng của mô hình OSI.
KiểuFirewall này không quản lý được giao dịch trên mạng.
ü
Circuilt level gateway: Hoạt động tại tầng phiên của mô hình OSI. Là
loạiFirewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối

(VD: kiểm traID, mật khẩu), loại Firewall cho phép lưu vết trạng thái của
người truy nhập.
2.4.
Hạn chế của Firewall
- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại
thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn xâm
nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông
số địa chỉ.
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không “đi qua” nó. Một cách cụ thể: firewall không thể chống lại một cuộc tấn công
từ một đườngdial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên
đĩa.
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-
driventattack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua
Firewallvào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.
- Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét
virustrên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của
cácvirus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát
củaFirewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những
kẻ xấuở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng
rộng rãi.
Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết
hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng
gói, mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp
vàcó chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm
bảomật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật.
Mộtnhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác
10
của nhân viên, đồng nghiệp.
Chương III: Microsoft Internet Security and Acceleration Server

3.1. ISA 2006

Giới thiệu ISA
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm share
internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2006
Server. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu
hình, thiết lập tường lửa tốt, nhiều tính năng cho phép bạn cấu hình sao cho thích hợp
với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng
lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule
Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache
và máy con chỉ cần lấy thông tin trên các WebServer đó bằng mạng LAN)

Đặc điểm của ISA 2006:
Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập
dựa trên địa chỉ mạng, thiết lập Firewall để lọc thông tin dựa trên từng địa chỉ mạng
con,
Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong
ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của
các Client bên ngoài Internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter
network, chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi,
không cho phép Client bên ngoài truy xuất trực tiếp và mạng nội bộ.
Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng.
NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu
cho mạng con.
Network templates: Cung cấp các mô hình mẫu về một số kiến trúc mạng, kèm theo
một số luật cần thiết cho network templates tương ứng.
Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo VPN và truy cập từ xa cho
doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết
lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên
các hệ thống khác.

Cung cấp một số kỹ thuật bảo mật, và thiết lập firewall cho hệ thống như :
Authentication, Publish Server, giới hạn traffic.
Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy
xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.
Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua
Web, export và import cấu hình XML configuration file, quản lý lỗi hệ thống thông
qua kỹ thuật gởi thông báo qua Email.
11
Application Layer Filtering(ALF): là một trong những điểm mạnh của ISA Server
2006, không giống như packet filtering firewall truyền thống, ISA 2006 có thể thao
tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng. Một số đặc điểm
nổi bật của ALF: Cho phép thiết lập bộ lọc HTTP inbuond và outbuond HTTP; Chặn
được các cả các loại tập tin thực thi chạy trên nền Windown như .pif, .com, ; Có thể
giới hạn HTTP download; Có thể truy xuất Web cho tất cả các Client dựa trên nội
dung truy cập; Có thể điều khiển truy xuất HTTP dựa trên chữ ký; Điều khiển một số
phương thức truy xuất của HTTP.

Các phiên bản của ISA 2006:
- Internet Acceleration and Security (ISA) Server 2006 :được xây dựng dựa
trên các phiên bản ISA Server trước.
- Nó cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng.
- Có hai phiên bản ISA 2006 bao gồm:
ü
Standard Edition: Với phiên bản này chúng ta có thể xây dựng firewall để:
Ø
Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty.
Ø
Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và
nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung
không thích hợp.

Ø
Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay
Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các
văn phòng chi nhánh.
Ø
Đối với các công ty có những hệ thống máy chủ quan trọng như Mail
Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng
biệt thì ISA SERVER 2006 cho phép triển khai các vùng DMZ (thuật ngữ
chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên
trong và bên ngoài hệ thống.
Ø
Ngoài các tính năng bảo mật thông tin trên, ISA SERVER 2006 còn có hệ
thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web
có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng
thông hệ thống. Chính vì lý do đó mà sản phẩm firewall này có tên gọi là
Internet Security & Aceleration (bảo mật và tăng tốc Internet).
ü
Enterprise Edition :ISA Server 2006 Enterprise được sử dụng trong các mô
hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong
và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản
12
Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử
dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng
Load Balancing (cân bằng tải).

Ưu điểm của ISA 2006 so với phiên bản ISA 2004:
- Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN
(đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng.)
- Về khả năng Publishing Service
ü

ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào
trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based, chống lại các
người dùng bất hợp pháp vào trang web OWA, tính năng này được phát
triển dưới dạng Add-ins.
ü
Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ
liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).
ü
Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép
Outlook của người dùng kết nối an toàn đến Exchange Server.
ü
Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra
internet 1 cách an toàn, hỗ trợ cả các sản phẩm mới như Exchange 2007.
- Khả năng kết nối VPN
ü
Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn
phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một
cũng được. tích hợp hoàn toàn Quanratine.
ü
Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN
Connection, Site to site, secureNAT for VPN Clients, .
ü
Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet ,
hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site
- Về khả năng quản lý
ü
Dễ dàng quản lý (hiển nhiên không phải bàn)
ü
Rất nhiều Wizard
ü

Backup và Restore đơn giản.
ü
Cho phép ủy quyền quản trị cho các User/Group
13
ü
Log và Report cực tốt.
ü
Cấu hình 1 nơi, chạy ở mọi nơi (nhưng nơi cài ISA Enterprise)
ü
Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA
2000 )
ü
Tích hợp với giải pháp quản lý của Microsoft: MOM (Đã ai dùng MOM
chưa nhỉ)
ü
SDK, nếu ai thích lập trình các giải pháp tích hợp vào ISA 2006 thì rất
khoái bộ này.
ü
Có các giải pháp hardware (xem thêm trên site của MS, tớ không nhớ có
bao nhiêu loại).
- Các tính năng khác
ü
Hỗ trợ nhiều CPU và RAM
ü
max 32 node Network Loadbalancing
ü
Hỗ trợ nhiều network
ü
Route/NAT theo từng network
ü

IDS
ü
Flood Resiliency
ü
HTTP compression
ü
Diffserv (trên cả mong đợi).
3.2. Cài đặt ISA 2006

Cài đặt ISA trên máy chủ một card mạng
Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là
UnihomedISAFirewall ),chỉ hỗ trợ HTTP,HTTPS,HTTP-tunneled (Web proxied)
FTP.ISA không hỗ trợ một số chức năng:
- SecureNAT client.
- Firewall Client.
- Server Publishing Rule.
- Remote Access VPN.
-Site-to-SiteVPN.
-Multi-networking.
14
- Application-layer inspection ( trừ giao thức HTTP)
Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC:
- Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là
Unihomed ISA Firewall), chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied)
FTP. ISA không hỗ trợ một số chức năng: SecureNAT client, Firewall Client,
Server Publishing Rule, Remote Access VPN, Site-to-Site VPN, Multi-networking,
Application-layer inspection ( trừ giao thức HTTP), Chạy tập tin isaautorun.exe từ
CDROM ISA 2006 hoặc từ ISA 2006 source.
- Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft
Internet Security and Acceleration Server 2006”.

- Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation
Wizard for Microsoft ISA Server 2006” để tiếp tục cài đặt.
- Chọn tùy chọn Select “I accept” trong hộp thoại “License Agreement”,
chọn Next.
- Nhập một số thông tin về tên username và tên tổ chức sử dụng
phần mềm trong User Name và Organization textboxe. Nhập serial number trong
Product Serial Number textbox.
- Nhấp Next để tiếp tục .
- Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn
Custom, chọn Next.
- Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn
Firewall Services Advanced Logging, và ISA Server Management. Trên Unihomed
ISA firewall chỉ hỗ trợ Web Proxy Client nên ta có thểkhông chọn tùy chọn Firewall
client Installation share tuy nhiên ta có thể chọn nó để các Client có thể sử dụng phần
mềm này để hỗ trợ truy xuất Web qua Web Proxy.Chọn Next để tiếp tục
15
Hình 1: Chọn Firewall Client Installation Share.
Chỉ định address range cho cho Internet network trong hộp thoại “Internal Network”,
sau đó chọn nút Add. Trong nút Select Network Adapter, chọn Internal ISA NIC.
Hình 2: Mô tả Internet Network Range
Sau khi mô tả xong “Internet Network address ranges”, chọn Next trong hộp thoại
“Firewall ClientConnection Settings”. Sau đó chương trình sẽ tiến hành cài đặt vào hệ
thống, chọn nút Finish để hoàn tất quá trình.

Cài đặt ISA trên máy chủ có nhiều card mạng
16
ISA Firewall thường được triển khai trên dual_homed host (máy chủ có hai Ethernet
cards) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA
Server có thể thực thi đầy đủ các tính năng của nó như: ISA Firewall, SecureNAT,
Server Publishing Rule, VPN,…

Các bước cài đặt ISA firewall software trên multihomed host:
Chạy tập tin isaautorun.exe từCDROM ISA 2006 hoặc từISA 2006 source.
Nhấpchuộtvào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet
Security and AccelerationServer 2006”.
Chọn Install ISA Server 2006
Nhấp chuột vào nút Next trên hộp thoại “Welcome to the
Installation Wizard for Microsoft ISAServer 2006” để tiếp tục cài đặt.
17

Chọn tùy chọnSelect “I accept the terms in the license agreement”, chọnNext.
Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm
trong User Name và Organization textboxe. Nhập serial number trong Product Serial
Number textbox. Nhấp Next để tiếp tục .
Chọn loại càiđặt (Installation type)tronghộp “Setup Type”,chọn tùychọn Typical,
chọnNext.
18
ChọnNext đểtiếp tục.Chọn Add
Chọnadd Adapter
Chọn card lan là card bên trong mạng nội bộ
Hình 3: Chọn Network Adapter.
19
Xuất hiện thông báo cho biết Internal network được định nghĩa dựa vàoWindows
routing table. ChọnOK trong hộp thoại Internal network address ranges.
Hình 4:Internal Network Address Ranges.
Chọn Next trong hộp thoại “Internal Network”để tiếp tục quá trình cài đặt.
Chọn dấu check “Allow computersrunning earlier versions of Firewall Client
software to connect” nếu ta muốnISA hỗ trợ những phiên bản Firewall client trước,
chọn Next.
Hình 5: Tùy chọn tương thích vớiISA Client.
Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số

dịch vụ: SNMP và IIS Admin Service trong quá cài đặt. ISA Firewall
cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF) / Internet
Connection Sharing (ICF), và IP Network Address Translation (RRAS
NAT service) services.
20
ChọnFinishđể hoàn tất quá trìnhcàiđặt.
1.3.1 Cấu hình ISA Server
§
Một số thông tin cấu hình mặc định
- System Policies cung cấp sẵn một số luật để cho phép truy cập vào/ ra ISA
Firewall. Tất cả các traffic còn lại đều bị cấm.
- Cho phép định tuyến giữa VPN/VPN- Q Networks và Internet Network.
- Cho phép NAT giữa Internet Network và External Network.
- Chỉ cho phép Administator có thể thay đổi chính sách bảo mật cho ISA
Firewall.
§
Một số chính cách mặc định của hệ thống
Các chính sách mặc định của hệ thống ISA Firewall có thể xem bằng cách chọn
Firewall Policy từ hộp thoại ISA Mangenment sau đó chọn item Show System
policy Rule trên cột System policy. Hoặc bằng cách nhấp đôi chuột vào system
policy item.
3.3. Cấu hình Web Proxy cho ISA
Cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia sẻ kết nối Internet
cho mạng nội bộ.
21
- Mặc định ISA Firewall cho phép tất cả các mạng nội bộ chỉ có thể truy xuất
Internet Web thông qua giao thức HTTP/HTTPS tới một số Site được chỉ định
sẵn trong Domain Name Sets được mô tả dưới tên ‘system policy allow sites’
gồm:
+ *.windows.com

+*.windowsupdate.com
+*.microsoft.com
Do đó khi ta muốn cấu hình cho mạng nội bộ có thể truy xuất đến bất kỳ một
Internet Web nào bên ngoài thì ta phải hiệu chỉnh lại thông số trong System
Policy Allowed Sites hoặc hiệu chỉnh lại System Policy Rule bằng cách:
- Hiệu chỉnh System Policy Allowed Sites bằng cách chọn Firewall Policy trong
ISA Management Console, sau đó chọn cột Toolbox, chọn Domain Name Sets,
nhấp đôi vào Item System Policy Allowed Sites để mô tả một số cần thiết cho
phép mạng nội bộ truy xuất theo cú pháp *.domain_name.
- Nếu ta muốn cho mạng nội bộ truy xuất bất kỳ Internet Websites nào đó thì
ta phải Enable luật 18 có tên “Allow HTTP/HTTOS request from ISA Server
to selected servers for connectivity verifiers” chọn Apply trong Firewall Policy
pannel để áp đặt thay đổi vào hệ thống.
3.4. Web Publishing and Server Publishing
22
Publishing server là một kỹ thuật để công bố dịch vụ nội bộ ra ngoài mạng
Internet thông qua ISA Firewall. Thông qua ISA Firewall ta có thể publish các
dịch vụ SMTP, POP3, IMAP , Web, …
Web Publishing: Dùng để publish các website và dịch vụ web. Web Publishing
đôi khi được gọi là ‘Revese proxy’ trong đó ISA Firewall đóng vai trò là web
proxy nhận các Web Request từ bên ngoài sau đó nó sẽ chuyển yêu cầu đó vào
WebSite hoặc Web Services nội bộ xử lý. Một số đặc điểm của Web Publishing:
- Cung cấp cơ chế truy xuất ủy quyền Web Sites thông qua ISA Firewall.
- Chuyển hướng theo đường dẫn truy xuất WebSite
- Revese Caching of Published Web Site.
- Cho phép Publish nhiều Web Site thông qua một địa chỉ IP.
- Có khả năng thay đổi URL bằng cách sử dụng Link Translator của ISA
Firewall.
- Thiết lập cơ chế bảo mật và hỗ trợ chứng thực truy xuất cho Web Sites.
- Cung cấp cơ chế chuyển theo Port và Protocol.

- Server Publishing: Tương tự như Web Publishing, Server Publishing
cung cấp một số cơ chế công bố (publishing) các Server thông qua ISA
Firewall.
3.5. Publish Web Server
Để publish một Web Services ta thực hiện các bước sau:
1. kích hoạt màn hình “Microsof Internet Security and Acceleration Server2004
management console”, mở rộng mục chọn Server Name, chọn nút Firewall policy,
chọnTasks tab.
2. TrênTaskstab,chọn liên kết “Publish a Web Server ” , hiển thị hộp thoại “Wel
come to the New Web Publishing Rule Wizard”yêu cầu nhập tênWeb publishing
rule,chọn Next để tiếp tục.
3. Chọn tùy chọn Allow trong hộp thoại “Select Rule Action”, chọn Next.
4. Cung cấp một số thông tinvề WebSite cần được publish trong hộp thoại
“DefineWebsiteto Publish”:
- “Computer name or IP address”: chỉ định địa chỉ củaWebServer nội bộ.
- “Forwardtheoriginalhostheaderinsteadoftheactualone(specifiedabove)”:Chỉ
định cơ chế chuyển yêu cầu vào WebServer nội bộ theo dạng host header name,tùy
chọn này được sử dụng trong trường hợp ta muốn publish Web hosting cho mộtWeb
Server.
- “Path”: Chỉ định tên tập tin hoặc thư mục ta muốn truy xuất vàoWeb Server
nội bộ.
- “Site”: Chỉ định tên Web Site được publish.
23
Hình 6: Chỉ định Web Site cần Publish.
1. Chỉ định một số thông tin về FQDN hoặc Ipaddresses được phép truy xuất tới
publishWebSite
Thông quaWeb Publishing Rule. Các tùy chọn cần thiết:
- Accept requests for: Chỉ định tên publish đượcWeb listener chấp nhận.
- Path (optional): Chỉ định đường dẫn Web Site cho phép truy xuất
- Site: Tên Web Site được phép truy xuất WebSite nội bộ.

Hình 7:Chỉ định tên domain được truy xuấtpublish site.
24
2. Chọn WebListenerchoWebPublishingRule(là một NetworkObject được sử dụng
choWeb PublishingRule để listen các kết nối đi vào interface(incomingconnection)
theo port được định nghĩa trước) , ở bước này ta có thể lựa chọn WebListener đã tạo
trước đó hoặc ta có thể tạo mới Web Listener. Sau đây là một số bước tạo mới Web
Listener.
- Từ hộp thoại “Seclect Web Listener“ bằng cách nhấp chuột vào nút New … , cung
cấp tên Web Listener trong hộp thoại “Welcometo the NewWeb Listener Wizard”,
chọn Next.
- Chọn tên Interface cho phép chấp nhận kết nối IncomingWeb,sau đó ta có thể
chọn nút Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn , Chọn nút
Add,cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới WebListener,chọn
Next để tiếp tục.
Hình 8: Chọn địa chỉ chấp nhận incomingwebrequest.
3. Chỉ định HTTPport và SSLport trong hộp thoại PortSpecification cho phép
ISAServer sử dụng để chấp nhận incoming.
3.6. Publish Mail Server
Các bước tiến hành publishMail server:
1. Kích hoạt màn hình
“MicrosoftInternetSecurityandAccelerationServer2004management console”, mở
rộng mục chọn Server Name, chọn nútFirewall policy, chọnTasks tab.
25

×