TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP TỐT NGHIỆP
XÂY DỰNG HỆ THỐNG TƯỜNG LỬA CHO DOANH NGHIỆP
GV hướng dẫn : Phạm Tuấn Khiêm
Sinh viên thực hiện : Lê Huỳnh Đức
MSSV : 3001120137
Lớp : 12CDTH3
Mục lục
LỜI CẢM ƠN
Để có được vốn kiến thức và đồ án thực tập, em chân thành cảm ơn:
Quý thầy cô trong khoa Công nghệ thông tin – Đại học Công Nghiệp Thực Phẩm
TPHCM đã truyền đạt cho em kiến thức trong thời gian qua.
Thầy Phạm Tuấn Khiêm đã hướng dẫn chỉ bảo tận tình chu đáo giúp em hoàn
thành đồ án.
Mặc dù em đã cố gắng hết sức để hoàn thành đồ án, nhưng vì tham khảo ở nhiều
nguồn tài liệu khác nhau, cộng thêm kiến thức còn nhiều hạn chế, do đó không thể tránh
khỏi những thiếu sót. Em rất mong nhận được sự thông cảm và đóng góp, chỉ bảo tận
tình của quý thầy cô và các bạn để đồ án ngày càng hoàn thiện hơn.
Em xin chân thành cảm ơn!
3
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

HCM, Ngày … Tháng … Năm 2014
ĐIỂM Giáo viên hướng dẫn
Phạm Tuấn Khiêm
4
I. GIỚI THIỆU
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm chia sẻ
Internet của hãng Microsoft.
Đây là một trong những phần mềm tường lửa (Firewall) được ưa chuộng trên thị trường
hiện nay nhờ vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt.
A. Mục đích phải sử dụng ISA
• Nếu máy tính của một cá nhân không được bảo vệ bởi Firewall thì khi máy tính
đó kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép. Vì vậy
hacker, trojan, virus có thể truy cập và lấy cắp thông tin trên máy tính đó.
• Ngoài ra Hacker còn có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy
tính cũng như có thể sử dụng máy tính đó để tấn công các máy tính khác. Điều này
là cực kỳ huy hiểm với các máy tính trong một tổ chức.
• Vì vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống mạng
của tổ chức đó.
B. Ưu điểm và hạn chế của ISA
1. Ưu điểm:
• Firewall được dùng để ngăn chặn các trang web xấu vào một quốc gia, tổ chức,

doanh nghiệp. Ngăn chặn các truy cập truy phép cũng như các cuộc tấn công lấy
cắp dữ liệu, đánh sập mạng máy tính của hacker.
• Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng máy tính một cách khá chắc
chắn. Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã
nguy hiểm hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng.
• Firewall có thể được cấu hình để khóa dữ liệu từ các vị trí cụ thể trong khi vẫn
đảm bảo cho dữ liệu cần thiết có thể đi qua.
2. Hạn chế:
• Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông
tin và phân tích nội dung tốt hay xấu của nó. Do đó Firewall chỉ có thể ngăn chặn
sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định
rõ các thông số địa chỉ.
• Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi
qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một
đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa
mềm.
• Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent
attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua
5
Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các
virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu
được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và
do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của
Firewall
II. CÀI ĐẶT ISA 2006
Chúng ta xây dựng và sử dụng 2 máy tính ảo:
- Máy tên DC sẽ được nâng cấp lên Domain Controller và cài đặt ISA 2006, máy
này sẽ có 2 card mạng, ta đặt tên cho 2 card này như sau:
• Internal: kết nối các máy trong mạng nội bộ
• External: kết nối tới internet

Cấu hình thông số ip trên 2 card mạng này:
Card internal (host-only) :
+ IP address: 10.0.0.1
+ Subnet mask: 255.0.0.0
Card external (Bridget):
+ IP address: 192.168.0.2
+ Subnet mask: 255.255.255.0
+ Default gateway: 192.168.0.1
Máy client cho gia nhập domain và có địa chỉ ip:
+ IP address: 10.0.0.2
+ Subnet mask: 255.0.0.0
+ Default gateway: 10.0.0.1
Cài đặt ISA 2006:
Trên máy DC vào chạy chương trình Setup ISA Server -> chọn Install ISA Server
2006
6
Chọn next và tiến hành cài đặt bình thường. Lưu ý ở hộp thoại Conponent Selection ta
click vào Configuration Storage Server chọn This feature will be installed on local
hard drive.
7
Tiếp theo ở hộp thoại Internal Network ta chọn Add -> chọn Add Adapter -> internal
-> Next -> Ở hộp thoại Fire Client Connection ta check vào Allow non-encrypted Fire
client connectins -> Next -> Instal -> Finish
Chú ý: Sau quá trình cài đặt, ISA sẽ khóa tất cả cổng ra vào của hệ thống mạng. Vì
vậy máy DC và Client không thể truy cập Internet và Client không ping máy ISA
server được. Tuy nhiên từ máy ISA Server ping tới máy client vẫn bình thường.
III. ACCESS RULE
Khái niệm: Access Rule được sử dụng để điều khiển truy cập gửi ra từ một mạng được
bảo vệ bởi tường lửa ISA. Khi muốn cho phép một máy tính nằm phía sau sự kiểm soát
của tường lửa ISA truy cập một mạng khác (gồm có Internet), cần tạo một Access Rule

(luật truy cập) để cho phép kết nối đó. Mặc định, không có Access Rule nào cho phép
các kết nối qua tường lửa, vì vậy mặc định tường lửa ISA là một bức tường gạch vững
chắc bảo vệ cho mạng. Trạng thái đóng cửa mặc định này là một cấu hình an toàn, tuy
nhiên nó cũng có nghĩa nếu muốn cho phép lưu lượng qua tường lửa ISA, cần phải
hiểu cách Access Rule làm việc và cách tạo chúng như thế nào.
• Một số rule cơ bản:
1. Tạo rule cho phép kết nối internet
2. Tạo rule cho phép traffic DNS Query để phân giải tên miền
3. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )
4. Tạo rule cho phép các User thuộc nhóm “giaovien” sử dụng Internet không hạn
chế
8
5. Chỉ cho xem “chữ” không cho xem “hình”
6. Cấm xem trang www.tuoitre.com.vn
Thực hiện
1 – Tạo rule cho phép kết nối internet
B1: Trong giao diện ISA click phải
chuột Firewall policy -> New ->
Access Rule.
B2: Đăt tên cho access rule.
B3: Chọn Allow để cho phép kết nối
Internet.
9
B4: Protocols chọn All outbound
traffic và Next.
B5: Access Rule Sources chọn thêm
Internal và Localhost.
B7: Tại Access Rule Destinations
chọn thêm External và nhấn Next.
10

B7: Tại user sets chọn All Users và
nhấn Next.
B8: Nhấn Aply để áp dụng Access
Rule.
2 - Tạo rule cho phép traffic DNS Query để phân giải tên miền
B1: ISA Management -> Firewall
Policy -> New -> Access Rule
11
B2: Gõ “DNS Query” vào ô Access
Rule Name -> Next
B3: Action chọn “Allow” -> Next
B4: Trong “This Rule Apply to:” chọn
“Selected Protocols” -> Add ->
Common Protocol->DNS ->OK-> Next
12
B5: Trong “Access Rule Source” ->
Add -> Networks -> Internal -> add ->
Close -> Next
B6: Trong “Access Rule Destination”
-> ad -> Networks -> External ->close -
>Next
B7: Trong “User Sets” chọn giá trị mặc
định “All Users” ->Next -> Finish
Chọn nút “apply” (phía trước có dấu
chấm than)
B8: dùng lệnh NSLOOKUP để phân
giải thử một tên miền bất kỳ
13
3 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )
B1: Tạo Access rule theo các thông số sau:

Rule Name: Allow Mail (SMTP + POP3)
Action: Allow
Protocols: POP3 + SMTP
Source: Internal
Destination: External
User: All User
Các thao tác làm tương tự như phần 1
B2: Kiểm tra - Thực hiện tại máy client
Setup Outlook Express theo các thông số sau:
Display Name: Hoc Vien
Email Address:
OutGoing Mail: mail.hufi.com
InComming Mail: mail.hufi.com
Account Name:
Password: hocvien
Thử gởi/ nhận mail
4 - Tạo rule cho phép các User thuộc nhóm “giaovien” sử dụng Internet không
hạn chế
a – Định nghĩa nhóm “giaovien”:
B1: Dùng chương trình “Active
Directory User and Computer” tạo 2
user gv1, gv2 (password P@ssw0rd)
Tạo Group “giaovien”
Đưa 2 user gv1, gv2 vào Group
“giaovien”
14
B2: ISA Server Management ->
Firewall Policy -> Toolbox -> Users -
>New
B3: Nhập chuỗi “giaovien ” vào ô

User set name -> Next
B4: Add -> Windows User and Group
15
B5: Chọn Group “giaovien”
Next -> Finish
b - Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: giaovien
Action: Allow
Protocols: All Outbound Traffic
Source: Internal
Destination: External
User: giaovien
c – Kiểm tra:
Logon gv1, thử truy cập internet …
16
5 - Chỉ cho xem “chữ” không cho xem “hình”:
Chọn Properties của Rule vừa tạo -> Content Types -> Selected Content Types:
- Documents
- HTML Documents
- Text
17
6 - Cấm xem trang www.tuoitre.com.vn:
a - Định nghĩa các trang web muốn cấm
b - Tạo Rule
c - Kiểm tra
a - Định nghĩa các trang web muốn cấm:
B1: ISA Server Management ->
Firewall Policy -> Toolbox ->
Network Objects -> New -> URL

Set
18
B2: Dòng name đặt tên “tuoitre”
Chọn Add, khai 2 dòng
http://*.www.24h.com.vn/*
/> OK
b – Tạo rule:
Tạo Access rule theo các thông số sau:
Rule Name: Web bi cam
Action: Deny
Protocols: All Outbound Traffic
Source: Internal
Destination: URL Set -> tuoitre
User: All Users
Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng
1
c – Kiểm tra:
thử truy cập
IV. SERVER PUBLISHING
1. Publish DNS
a. Cài đặt dịch vụ DNS trên máy ISA Server
Tiến hành cài đặt dịch vụ DNS trên máy ISA Server.
Tạo Forward Lookup Zones với tên miền huynhduc.com.vn.
19
Tạo Reverse Lookup Zones với địa chỉ 192.168.1.0
b. Cấu hình publishing DNS
B1: Phải chuột tại Filewall policy
-> New -> Non-Web Server
Protocol Publishing Rule.
B2: Đặt tên.

Bước 3: Chọn địa chỉ IP của máy
ISA Server.
20
B4: Chọn Protocol là DNS Server.
B5: Chọn Network Listeners IP
Addresses là External.
B6: Nhấn Finish để kết thúc quá
trình tạo Publishing DNS cho phép
máy internet phân giải.
2. Web publishing
Web pulishing là bên trong mạng nội bộ có một Web Server và các máy Client bên ngoại
Internet có nhu cầu truy xuất trang Web bên trong nội bộ.
21
B1: Phải chuột vào Firewall
Policy -> New -> Web Site
Publishing Rule.
B2: Đặt tên.
22
Bước 3: Chọn Allow để cho
phép máy client có thể truy
cập được.
Bước 4: Chọn Publish a
single web site or load
balancer.
23
Bước 5: Chọn User Non-
Secured Connections To
Connect The Published Web
Server Or Server Farm.
Bước 6: Điền tên trang web,

chọn Use a computer name
IP address to connect to the
published server và điền IP
của máy web server
24
Bước 7: Chọn đường dẫn
cho trang web. Điền * để
chọn tất cả các trang.
Bước 8: Điền địa chỉ web
mà máy client sẽ dung nó để
truy cập vào website.
25