Đề tài:
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG TƯỜNG LỬA ISA 2006
SVTT: THẨM ĐỨC HỮU
NGÀNH: CNTT
BÁO CÁO CUỐI KỲ
Giáo viên hướng dẫn:
VÕ ĐỖ THẮNG
NỘI DUNG
1. Cài đặt
2. Access Rule
3. Server Publishing
4. VPN Client to Gateway
5. Caching
II. GIỚI THIỆU ISA 2006
Microsoft Internet Security and Acceleration Server (ISA Server ) là phần mềm share
Internet (chia sẻ internet) của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS
ISA 2000 Server. Có thể nói đây là một phần mềm share Internet khá hiệu quả, ổn định, dễ cấu
hình, thiết lập tường lửa (Firewall) tốt, nhiều tính năng nổi bật. ISA Server được thiết kế chủ
yếu để hoạt động như một tường lửa nhằm đảm bảo rằng tất cả những “traffic” không trông
đợi từ Internet được chặn lại, từ bên ngoài mạng của tổ chức
II. GIỚI THIỆU ISA 2006
Tính năng của ISA Server.
ISA Server có nhiều tính năng cho phép bạn cấu hình sao cho phù hợp với mạng LAN của
bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu cache vào RAM (Random
Access memory) giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache ( lập
lịch cho tự động dowload thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy
thông tin trên các WebServer đó bằng mạng LAN). Ngoài ra các chính sách bảo mật thông tin
tương đối tốt.
ƯU ĐIỂM CỦA ISA
Firewall được dùng để ngăn chặn các trang web xấu vào một quốc gia, tổ chức, doanh nghiệp.
Ngăn chặn các truy cập trái phép cũng như các cuộc tấn công lấy cắp dữ liệu, đánh sập mạng
máy tính của hacker.
Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng máy tính một cách khá chắc chắn. Bảo vệ
chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã nguy hiểm hoặc lưu lượng
Internet không cần thiết vào máy tính hay mạng.
Firewall có thể được cấu hình để khóa dữ liệu từ các vị trí cụ thể trong khi vẫn đảm bảo cho dữ
liệu cần thiết có thể đi qua.
HẠN CHẾ CỦA ISA
Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân
tích nội dung tốt hay xấu của nó. Do đó Firewall chỉ có thể ngăn chặn sự xâm nhập của những
nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi qua nó. Một
cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò
rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên usb.
HẠN CHẾ CỦA ISA
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có
một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được
bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm
nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện
liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm
soát của Firewall
III. CÀI ĐẶT ISA SERVER
1. Yêu cầu cài đặt
Server
Internet
ISA
1.2
172.16.1.0/24
1.1
1.2
Sơ đồ mạng
192.168.1.0/24
1.1
Phần 3: Access Rule
Access Rule được sử dụng để điều khiển truy cập gửi ra từ một mạng
được bảo vệ bởi tường lửa ISA. Khi bạn muốn cho phép một máy tính
nằm phía sau sự kiểm soát của tường lửa ISA truy cập một mạng khác
(gồm có Internet), bạn cần tạo một Access Rule (luật truy cập) để cho
phép kết nối đó. Mặc định, không có Access Rule nào cho phép các kết
nối qua tường lửa, vì vậy mặc định tường lửa ISA là một bức tường gạch
vững chắc bảo vệ cho mạng.
Access Rule
Trường hợp 1: Cấm user truy cập vào 1 trang web cụ thể (google.com)
Trường hợp 2: Cấm 1 nhóm user truy cập vào facebook trong giờ làm việc
Trường hợp 3: Cấm các use không được nghe nhạc, xem phim, download
định dạng exe và chat yahoo
Phần 4: Server Publishing
Cấu hình dịch vụ DNS
Cài đặt dịch vụ DNS trên máy ISA
Tạo rule cho phép máy internet phân giải
Thiết lập Non-Web Server Protocol
Publishing Rule cho phép máy internet phân giải
Thiết lập Web Server Publishing
Tại Internal tạo web server
Tạo Web Publishing cho phép máy Client ngoài internet có thể truy cập
vào web
Thiết lập Mail Server Publishing
Tạo mail server
Cấu hình Mail Publishing cho phép gửi nhận mail trong và ngoài mạng
Phần 5: VPN Client to Gateway
Thiết lập Vitual Private Networks trên máy ISA Server
Tạo kết nối từ VPN từ máy Client
Phần 6: Caching