ĐỒ ÁN MÔN HỌC THIẾT KẾ BẢO MẬT HỆ THỐNG MẠNG ĐỀ TÀI TÌM HIỂU ISA SERVER 2006
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.59 MB, 86 trang )
BỘ CÔNG THƢƠNG
TRƢỜNG CAO ĐẲNG KĨ THUẬT CAO THẮNG
KHOA ĐIỆN TỬ - TIN HỌC
ĐỒ ÁN MÔN HỌC: THIẾT KẾ BẢO MẬT HỆ THỐNG MẠNG
ĐỀ TÀI: TÌM HIỂU ISA SERVER 2006
Giáo viên bộ môn: Ths. Từ Thanh Trí
Sinh viên :
Võ Đắc Thế
0468131191
Nguyễn Hữu Bảo Long
0468131159
Phạm Đức Tài Lộc
0468131161
Lớp :
CĐN QTM 13AB
Khoá:
2013 – 2016
Tp.Hồ Chí Minh, tháng 11 năm 2015
BỘ CÔNG THƢƠNG
TRƢỜNG CAO ĐẲNG KĨ THUẬT CAO THẮNG
KHOA ĐIỆN TỬ - TIN HỌC
ĐỒ ÁN MÔN HỌC: THIẾT KẾ BẢO MẬT HỆ THỐNG MẠNG
ĐỀ TÀI: TÌM HIỂU ISA SERVER 2006
Giáo viên bộ môn: Ths. Từ Thanh Trí
Sinh viên :
Võ Đắc Thế
0468131191
Nguyễn Hữu Bảo Long
0468131159
Phạm Đức Tài Lộc
0468131161
Lớp :
CĐN QTM 13AB
Khoá:
2013 – 2016
Tp.Hồ Chí Minh, tháng 11 năm 2015
Lời nói đầu
Ngày nay công nghiệp đang phát triển và giữ vai trò rất quan trọng trong công
cuộc xây dưng và bảo vệ đất nuớc. Khoa học kỹ thuật càng phát triển, đời sống con
nguời ngày càng đuợc nâng cao. Bên cạnh đó với chính sách mở cửa của nhà nuớc đã
tạo điều kiện thúc đẩy sự phát triển ngày càng nhanh của các ngành công nghệ. Đặc
biệt là ngành công nghệ thông tin. Công nghệ thông tin là một nhánh của ngành kỹ
thuật sử dụng máy tính và phần mềm máy tính, tập hợp các phương pháp khoa học,
các phương tiện và công cụ kỹ thuật hiện đại chủ yếu là kỹ thuật máy tính và viễn
thông, nhằm tổ chức khai thác và sử dụng có hiệu quả các nguồn tài nguyên thông tin
phong phú và tiềm năng trong mọi lĩnh vật hoạt động của con người và xã hội. Bên
cạnh đó là hàng loạt các cuộc tấn công mạng diễn ra thường xuyên hơn, mức độ
nghiêm trọng hơn.
ISA Server 2006 là một sự lựa chọn lý tưởng cho các doanh nghiệp, cá nhân nào
mong muốn hệ thống mạng được an toàn và không bị hacker tấn công. Là hệ thống tường
lửa được sử dụng trong hầu hết các hệ thống mạng của các doanh nghiệp vừa và nhỏ,
phiên bản ISA Server 2006 với những điểm cải tiến vượt trội, hứa hẹn sẽ mang lại cho
người dùng sự tin tưởng và không gian làm việc trên mạng tốt nhất.
Sau đây nhóm sẽ trính bày chi tiết hơn về phiên bản ISA server 2006.
Sinh viên thực hiện :
Tên thành viên
Mã số sinh viên
Võ Đắc Thế
0468131191
Nguyễn Hữu Bảo Long
0468131159
Phạm Đức Tài Lộc
0468131161
Lời cảm ơn
Chân thành cảm ơn thầy: Từ Thanh Trí đã cho chúng em cơ hội để tìm hiểu về
đề tài “Tìm hiểu ISA Server 2006”.
Mặc dù đã có nhiều cố gắng và nỗ lực để thực hiện đồ án một cách hoàn chỉnh
nhất, nhưng vẫn không thể tránh được một số thiếu sót vì kiến thức chuyên môn trong
lĩnh vực chưa sâu rộng, thời gian thực hiện đồ án ngắn, và các vấn để nảy sinh khi thực
hiện đồ án. Chúng em rất mong nhận được sự đóng góp của thầy để sau này có nhiều
kiến thức về chuyên môn cũng như khả năng viết báo cáo hoàn chỉnh hơn.
Một lần nữa xin chân thành cảm ơn thầy.
Nhận xét của giáo viên
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
..............................................................................................................
Điểm Tổng
Điểm sinh viên 1:
Điểm sinh viên 2:
Điểm sinh viên 3:
Mục lục
Chương I : Tổng quan về ISA Server 2006 ................................................................................ 1
I: Giới thiệu về ISA Server 2006 ................................................................................1
1: Sơ lược về ISA Server .......................................................................................... 1
2 : Lý do để sử dụng ISA Server ..............................................................................1
3 : Các dịch vụ của ISA Server .................................................................................2
II : Các phiên bản của ISA Server 2006 : ....................................................................3
1 : ISA Server Standard Edition : .............................................................................3
2 : ISA Server Enterprise Edition: ............................................................................3
3 :So sánh 2 phiên bản .............................................................................................. 4
III : Các vấn đề liên quan ............................................................................................. 6
1 : Tổng quan về Firewall ......................................................................................... 6
2 : Tổng quan về Cache ............................................................................................ 7
Chương II : ISA server 2006 ...................................................................................................... 8
I : Cơ chế hoạt động của ISA Server............................................................................8
1 : ISA Server Firewall ............................................................................................ 8
2: ISA Server Cache ............................................................................................... 12
3: ISA Server web proxy ........................................................................................ 16
4: Virtual Private Network (VPN) ..........................................................................18
II : Luật của ISA Server ( ISA Server Rules) ............................................................ 21
1 : Luật quản lý chính sách truy cập .......................................................................21
2: Luật xác thực ......................................................................................................23
3 : Luật về băng thông ............................................................................................ 25
4 : Các luật chính sách quảng bá ............................................................................25
5 : Publishing Rule ..................................................................................................26
Chương III : Thực nghiệm về ISA server 2006 ........................................................................ 32
I : Cài đặt ISA Server 2006 ........................................................................................ 32
II : Cấu hình ISA Server cho công ty .........................................................................39
1 : Cấu hình Access Rule: ....................................................................................... 39
2 : Cấu hình Firewall .............................................................................................. 43
3 : Cấu hình VPN ( Client to site )..........................................................................51
4 : Cấu hình Web Publishing ..................................................................................68
Danh mục hình ảnh
Hình 1.1 Mô hình firewall .......................................................................................................... 6
Hình 1.3.1 Mô hình NAT ......................................................................................................... 11
Hình 3.1 Proxy Server .............................................................................................................. 16
Hình 4.1.1 Remote Access ....................................................................................................... 18
Hình 4.2.1 Kết nối Site-to-site .................................................................................................. 20
Hình 5.3.1 Mô hình mạng......................................................................................................... 27
Hình 5.3.1.1 Chọn đường mạng ............................................................................................... 28
Hình 5.3.1.2 Chọn giao thức và cổng kết nối ........................................................................... 28
Hình 5.3.1.3 Chọn giao thức và cổng kết nối ........................................................................... 29
Hình 5.3.1.4 Chọn số client kết nối .......................................................................................... 29
Hình I.1Mô hình cài đặt ............................................................................................................ 32
Hình I.2 Xác nhận có 2 đường mạng ........................................................................................ 33
Hình I.3 Chọn và cài đặt ISA Server 2006 ............................................................................... 33
Hình I.4 Chọn Next .................................................................................................................. 34
Hình I.5 Đồng ý với các điều khoản ......................................................................................... 34
Hình I.6 Nhập thông tin cần thiết ............................................................................................. 35
Hình I.7Cài đặt các dịch vụ và lưu trữ ..................................................................................... 35
Hình I.8 Xác nhận cài đặt ......................................................................................................... 36
Hình I.9 Chọn đường mạng trong............................................................................................. 37
Hình I.10 Tiến hành cài đặt ...................................................................................................... 37
Hình I.11 Đang tiến hành cài đặt ISA Server 2006 .................................................................. 38
Hình I.12 Cài đặt thành công .................................................................................................... 38
Hình II.1.1Cài Access Rule ...................................................................................................... 39
Hình II.1.2 Đặt tên cho access rule ........................................................................................... 40
Hình II.1.3 Rule action ............................................................................................................. 40
Hình II.1.4 Add Protocol .......................................................................................................... 41
Hình II.1.5 Chọn Internal và Local Host .................................................................................. 41
Hình II.1.6 Chọn Host bên ngoài .............................................................................................. 42
Hình II.1.7 Chọn all users......................................................................................................... 42
Hình II.1.8 Kiểm tra lần cuối .................................................................................................... 43
Hình II.1.9 Apply Rule ............................................................................................................. 43
Hình II.2.1 Mô hình thực nghiệm ............................................................................................. 44
Hình II.2.2 Cài Access Rule ..................................................................................................... 45
Hình II.2.3 Đặt tên cho Access Rule ........................................................................................ 45
Hình II.2.4 Deny ....................................................................................................................... 46
Hình II.2.5 Chọn giao thức ....................................................................................................... 46
Hình II.2.6 Chọn đường mạng trong ........................................................................................ 47
Hình II.2.7 New URL Set ......................................................................................................... 47
Hình II.2.8 Tạo mới URL Set ................................................................................................... 48
Hình II.2.9 Chọn URL Set vừa tạo ........................................................................................... 48
Hình II.2.10 Chọn User Set ...................................................................................................... 49
Hình II.2.11 Xác nhận lần cuối................................................................................................. 49
Hình II.2.12 Apply Rule ........................................................................................................... 50
Hình II.2.13 Đã chặn thành công .............................................................................................. 50
Hình II.3.1 Bắt đầu cấu hình VPN ........................................................................................... 51
Hình II.3.2 Chọn địa chỉ mạng ................................................................................................. 51
Hình II.3.3 Phạm vi địa chỉ IP .................................................................................................. 52
Hình II.3.4 Phạm vi địa chỉ IP (tiếp theo) ................................................................................ 52
Hình II.3.5 Chọn mã hóa .......................................................................................................... 53
Hình II.3.6 Tạo User ................................................................................................................. 53
Hình II.3.7 Tạo User (tiếp theo) ............................................................................................... 54
Hình II.3.8 Tạo User (tiếp theo) ............................................................................................... 54
Hình II.3.9 Tạo User (tiếp theo) ............................................................................................... 55
Hình II.3.10 Tạo Group ............................................................................................................ 55
Hình II.3.11 Tạo Group (tiếp theo)........................................................................................... 56
Hình II.3.12 Chọn cấu hình ...................................................................................................... 56
Hình II.3.13 Cấu hình VPN (tiếp theo) .................................................................................... 57
Hình II.3.14 Thêm group .......................................................................................................... 57
Hình II.3.14 Thêm group (tiếp theo) ........................................................................................ 58
Hình II.3.15 Cho phép VPN ..................................................................................................... 58
Hình II.3.16 Tạo Access Rule .................................................................................................. 59
Hình II.3.17 Tạo Access Rule (tiếp theo) ................................................................................. 59
Hình II.3.18 Tạo Access Rule (tiếp theo) ................................................................................. 60
Hình II.3.19 Tạo Access Rule (tiếp theo) ................................................................................. 60
Hình II.3.20 Tạo Access Rule (tiếp theo) ................................................................................. 61
Hình II.3.21 Tạo Access Rule (tiếp theo) ................................................................................. 61
Hình II.3.22 Tạo Access Rule (tiếp theo) ................................................................................. 62
Hình II.3.23 Tạo Access Rule (tiếp theo) ................................................................................. 62
Hình II.3.24 Tạo Access Rule (tiếp theo) ................................................................................. 63
Hình II.3.25 Tạo Access Rule (tiếp theo) ................................................................................. 63
Hình II.3.26 Tạo Access Rule (tiếp theo) ................................................................................. 64
Hình II.3.27 Tạo Access Rule (tiếp theo) ................................................................................. 64
Hình II.3.28 Tạo Access Rule (tiếp theo) ................................................................................. 65
Hình II.3.29 Tạo Access Rule (tiếp theo) ................................................................................. 65
Hình II.3.30 Tạo Access Rule (tiếp theo) ................................................................................. 66
Hình II.3.31 Tạo Access Rule (tiếp theo) ................................................................................. 66
Hình II.3.32 Tạo Access Rule (tiếp theo) ................................................................................. 67
Hình II.4.1 Tạo Publishing Rule ............................................................................................... 68
Hình II.4.2 Đặt tên cho Publishing Rule .................................................................................. 68
Hình II.4.3 Tạo Publishing Rule (tiếp theo) ............................................................................. 69
Hình II.4.4 Tạo Publishing Rule (tiếp theo) ............................................................................. 69
Hình II.4.5 Tạo Publishing Rule (tiếp theo) ............................................................................. 70
Hình II.4.6 Tạo Publishing Rule (tiếp theo) ............................................................................. 70
Hình II.4.7 Tạo Publishing Rule (tiếp theo) ............................................................................. 71
Hình II.4.8 Tạo Publishing Rule (tiếp theo) ............................................................................. 71
Hình II.4.9 Tạo Web listener .................................................................................................... 72
Hình II.4.10 Tạo Web listener (tiếp theo) ................................................................................ 72
Hình II.4.11 Tạo Publishing Rule (tiếp theo) ........................................................................... 73
Hình II.4.12 Tạo Publishing Rule (tiếp theo) ........................................................................... 73
Hình II.4.13 Tạo Publishing Rule (tiếp theo) ........................................................................... 74
Hình II.4.14 Tạo Publishing Rule (tiếp theo) ........................................................................... 74
Hình II.4.15 Publish thành công ............................................................................................... 74
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
Chƣơng I : Tổng quan về ISA Server 2006
I: Giới thiệu về ISA Server 2006
1: Sơ lƣợc về ISA Server
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm
chia sẻ Internet của hãng Microsoft.
Đây là một trong những phần mềm tường lửa (Firewall) được ưa chuộng trên thị
trường hiện nay nhờ vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh
hoạt. Microsoft Internet Security and Acceleration Server (ISA Server) đưa ra một giải
pháp kết nối chứa cả firewall và cache. ISA Server cho phép cài đặt một chiến lược bảo
vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn các luật, chỉ ra những site, giao thức
và nội dung có thể được truyền qua máy tính ISA Server. Không dừng ở đó nó còn có
thể giám sát các yêu cầu và trả lời các yêu cầu đó cho các máy trên internet và máy
khách nội bộ, cho phép đăng nhập hoặc chặn các máy tính theo các luật đã định sẵn.
2 : Lý do để sử dụng ISA Server
Nếu máy tính của một cá nhân nào đó không được bảo vệ bởi Firewall thì khi
máy tính đó kết nối Internet, tất cả các kết nối vào mạng đều được cho phép. Vì vậy hacker,
trojan, virus ... có thể truy cập và lấy cắp thông tin trên máy tính đó.
Ngoài ra Hacker còn có thể cài đặt các đoạn mã để tấn công tập dữ liệu trên
máy tính cũng như có thể sử dụng máy tính đó để tấn công các máy tính khác. Điều này là
cực kỳ huy hiểm với các máy tính trong một tổ chức.
Vì vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống
mạng của tổ chức của họ.
ISA có chức năng là một Firewall mềm, vừa có chức năng Share internet và
tăng tốc độ truy cập Internet (vì có chức năng Cache). Ngoài ra ISA còn cung cấp cho
ta nhiều tiện ích khác: Cho phép quản lý các client đến từng IP, User truy cập. cho
phép và ngăn cản các client truy cập đến từng trang web, ứng dụng... Bên cạnh đó thì
chức năng VPN cũng rất đáng được nói đến. có thể dùng VPN server- client or VPN
site to site...
Firewall mềm có khả năng tùy chỉnh linh hoạt hơn, dễ thực hiện các thao tác
quản lý hơn so với Firewall cứng.
Nhóm 1
Trang 1
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
3 : Các dịch vụ của ISA Server
ISA Server hoạt động như một gateway tới Internet, thực thi an ninh trên ba
tầng: lọc gói tin IP, lớp ứng dụng, và lớp mạch (circuit layer). Sự đa tầng này được
thực hiện bởi các dịch vụ của ISA Server :
-
Dịch vụ điều khiển của ISA Server . Dịch vụ này chuyên về lọc gói tin (lọc
tĩnh, logging), tái khởi động các dịch vụ khác khi cần, phát thông báo, kích
hoạt hành động và các chức năng khác.
-
Dịch vụ quản lý lưu nội dung download.
-
Dịch vụ Web proxy. Dịch vụ web proxy được thực thi ở tầng ứng dụng, và chỉ
làm việc với các giao thức ứng dụng.
-
Dịch vụ Firewall. Dịch vụ Firewall được thực thi ở mức circuit.
Tất cả các dịch vụ đều cung cấp khả năng lọc động gói tin IP, cung cấp một mô hình
an ninh hoàn chỉnh.
Nhóm 1
Trang 2
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
II : Các phiên bản của ISA Server 2006 :
ISA Server 2006 có 2 phiên bản chính là ISA Server Standard Edition và ISA
Server Enterprise Edition
1 : ISA Server Standard Edition :
Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty.
Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội
dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không phù hợp,
thời gian không thích hợp (ví dụ trong giời làm việc).
Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote
access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi
dữ liệu văn phòng và hội sở.
Đối với các công ty có những hệ thống máy chủ Public như Mail Server, Web
Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho
phép triên khai vùng DMZ nhằm ngăn chặn sự tương tác trực tiếp giữa người dùng bên
ngoài và bên trong hệ thống.
Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản Standard còn
có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc kết nội internet của
mạng nội bộ
Chính vì thế mà sản phẩm firewall này có tên gọi tên là Internet Security và
Aceleration (bảo mật và tăng tốc Internet).
2 : ISA Server Enterprise Edition:
ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp
ứng được nhu cầu truy xuất của nhiều người dùng bên ngoài và trong hệ thống. Ngoài
những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ
thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản
lý và cung cấp tính năng Load Balancing (cân bằng tải).
Nhóm 1
Trang 3
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
3 :So sánh 2 phiên bản
-
Phiên bản ISA Standard Edition là phiên bản sử dụng cho các hệ thống mạng
vừa và nhỏ.
-
Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng
lớn, đáp ứng được nhu cầu trao đổi thông tin lớn giữa mạng nội bộ và bên ngoài. Ngoài
những tính năng đã có trên ISA Standard Edition, ưu điểm chính của Enterprise là hỗ trợ
CPU không giới hạn, quản lý tập trung cấu hình và cân bằng tải tối đa 32 Server.
Bản Enterprise có hỗ trợ thêm 3 tính năng mà bản Standard không có
-
Centralized storage of configuration data:
Trong khi bản Standard lưu thông tin về cấu hình (configuration information =>
conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó
trên một thư mục (directory) riêng biệt. Khi cài bản Enterprise ta phải chỉ ra một hay
nhiều máy đóng vai trò là máy lưu cấu hình (configuration storage server). Các storage
server này sử dụng ADAM (Active Directory Application Mode) để lưu trữ cấu hình
của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy, nên
chúng ta có thể có nhiều storage server (chúng ta có thể cài ADAM lên máy khác lo
ISA hay cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẽ tự tái tạo
(replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ nếu
muốn thay đổi cấu hình của một hay nhiều máy ISA chúng ta chỉ việc ngồi vào trong
máy server mà làm. Còn với bản Standard, chúng ta phải đến từng máy để cấu hình.
-
Support for cache Array Routing Protocol (CARP):
Bản Enterprise cho phép ta chia sẽ việc cache giữa một dãy các ISA với nhau.
Với bản Enterprise, một dãy nhiều máy ISA sẽ được cấu hình trở thành một vùng
cache của tất các ISA với nhau. Để thực hiện tính năng này, ISA sử dụng CARP. Cơ
chế như sau: Khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA
trong dãy cache lại trang đó. Khi một client bất kì đi một trang web đã được cache thì
CARP sẽ chỉ định ra máy ISA nào đã cache trang đó trả về cho máy client. CARP giúp
tối ưu hóa khả năng cache.
Nhóm 1
Trang 4
Tìm hiểu ISA Server 2006
-
GVHD: Ths. Từ Thanh Trí
Network load balancing - NLB (tích hợp cân bằng tải trên ISA):
NBL là một thành phần network có sẵn trong Windows 2000 server và
Windows server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa
(redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (cùng là ISA) để cân bằng
đường truyền, tránh hiện tượng quá tải. NLB cũng là một hình thức sao lưu, vì nếu có
một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi
máy kia. NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống.
Với bản Standard, chúng ta phải cấu hình NLB bằng tay. Còn với bản Enterprise,
NLB được tích hợp vào ISA nên chúng ta có thể quản lý NLB từ ISA. Chúng ta có thể
dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB.
Nhóm 1
Trang 5
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
III : Các vấn đề liên quan
1 : Tổng quan về Firewall
Bức tường lửa (tiếng Anh: firewall) là rào chắn mà một số cá nhân, tổ chức,
doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy
cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy
nhập các thông tin bảo mật nằm trong mạng nội bộ.
Hình 1.1 Mô hình firewall
Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong
một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính
sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các
bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo vệ biên
giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO,
hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại
học California, Berkeley.
Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng
tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm:
mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao).
Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác
nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa
trên nguyên tắc quyền tối thiểu (principle of least privilege).
Nhóm 1
Trang 6
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
Cấu hình đúng đắn cho các tường lửa đòi hỏi kỹ năng của người quản trị hệ
thống. Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy
tính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng.
Có 2 loại tường lửa thông dụng là tường lửa bảo vệ để bảo vệ an ninh cho máy
tính cá nhân hay mạng cục bộ, tránh sự xâm nhập, tấn công từ bên ngoài và tường lửa
ngăn chặn thường do các nhà cung cấp dịch vụ Internet thiết lập và có nhiệm vụ ngăn
chặn không cho máy tính truy cập một số trang web hay máy chủ nhất định, thường
dùng với mục đích kiểm duyệt Internet.
2 : Tổng quan về Cache
2.1: Forward caching
ISA Server có thể triển khai như một forward caching server, tức là cho phép
các máy client nội bộ khả năng truy cập web. ISA Server duy trì một cache tập trung
cho các đối tượng internet thường xuyên được yêu cầu để tăng tốc độ mạng.
2.2 : Reverse caching
Có thể được triển khai ở trước các web server của các tổ chức, các server quản
lý hệ thống, web thương mại hoặc gán quyền truy cập cho các thành viên khác vào các
máy server nội bộ. Với các yêu cầu được gửi đến thì sẽ được lọc ra, nếu hợp lệ thì sẽ
được đi tiếp còn không thì sẽ bi chặn lại.
Nhóm 1
Trang 7
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
Chƣơng II : ISA server 2006
I : Cơ chế hoạt động của ISA Server
1 : ISA Server Firewall
1.1 : Cách thức làm việc
1.1.1 : Điều khiển các yêu cầu ra ngoài :
Một trong nhưng chức năng chính của ISA Server là liên kết giữa mạng nội bộ
và internet trong khi vẫn bảo vệ mạng nội bộ khỏi những nội dung có hại. Để đơn giản
hóa, ISA Server sử dụng các chính sách truy nhập, cùng với các luật dẫn đường, qua
đó xác định cách máy client truy cập vào internet.
Khi ISA Server xử lý một yêu cầu ra ngoài, nó sẽ kiễm tra các luật dẫn đường,
luật nội dung site và các luật giao thức để xác định xem yêu cầu có được phép không.
Một yều cầu được cho là hợp lệ khi luật quy định giao thức và luật về nội dung đều
hợp lệ và không có luật nào khác chủ đích từ chối request này.
Một vài luật có thể áp dụng cho các client nhất định. Trong trường hợp này các
client có thể được xác định hoặc là bằng địa chỉ IP hoặc là bằng tên người dùng. ISA
Server xử lý các yêu cầu khác nhau, phụ thuộc cách mà client yêu cầu đối tượng và
cách cấu hình server.
Đối với một vài yêu cầu gửi đi, các luật được xử lý theo thứ tự như sau:
-
Trước hết ISA Server sẽ kiểm tra luật giao thức ISA Server chỉ cho phép nếu
luật giao thức cho phép và không một luật nào khác từ chối.
-
Luật cho nội dung và site.
-
Các bộ lọc IP packet, kiểm tra xem cơ chế lọc có chặn các packet nhất định hay
không, xác định xem yêu cầu có bị từ chối hay không.
-
Các luật dẫn đường hoặc cấu hình chuổi Firewall.
Nhóm 1
Trang 8
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
1.1.2 : Điều khiển các yêu cầu đến :
ISA Server cũng có thể tạo ra những chính sách để bảo vệ an toàn cho các
server nội bộ, bao gồm các bộ lọc IP Packet, các luật công khai hoặc các luật công
khai server, cùng với các luật dẫn đường, xác định cách mà server nội bộ được công
khai ra.
Các luật công khai server của ISA Server :
-
Luật công khai web, công khai nội dung web.
-
Luật công khai server, công khai nội dung trên tất cả các server khác trong
mạng nội bộ.
-
Lọc IP Packet để công khai nội dung trên các server lên mạng vành đai
(perimeter network hay screen subnet).
Khi một ISA Server xử lý yêu cầu từ một client bên ngoài, nó sẽ kiểm tra các bộ
lọc IP Packet, các luật công khai và các luật dẫn đường để xác định xem yêu cầu nó có
được cho phép không và server nội bộ nào sẽ phục vụ cho yêu cầu này. Thứ tự xử lý sẽ
như sau:
-
Các bộ lọc IP Packet
-
Các bộ lọc công khai Web
-
Các luật dẫn đường
Nhóm 1
Trang 9
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
1.2: Lọc các IP packet
Lọc IP packet là chặn và đánh giá các packet trước khi chúng đến tầng cao hơn
về giao thức và ứng dụng, bao gồm mọi IP packet, gồm có TCP packet, UDP packet,
v.v…
Các bộ lọc có thể được cấu hình để chỉ các packet nhất định mới có thể được
truyền tới ISA Server. Điều này làm tăng tính an toàn cho mạng. Các bộ lọc có thể
chặn các packet đến từ các Internet host nhất định và có thể loại bỏ các packet liên
quan đến mục đích tấn công. Ngoài ra, cũng có thể chặn các packet dùng trong mạng
nội bộ, như Web proxy, Firewall, WWW, hay dịch vụ SMTP.
Với các bộ lọc IP packet, ta có thể chặn hoặc cho phép hoặc ngăn các packet
dùng cho các máy tính nhất định trên mạng, có thể cấu hình hai loại bộ lọc IP packet
tĩnh: các bộ lọc cho phép và các bộ lọc chặn.
Các packet không bị chặn được truyền tới các dịch vụ ISA tại mức ứng dụng,
khi đó ta có thể tạo các policy chỉ ra thông tin nào là được cho phép tới các dịch vụ
của Web proxy và ISA Firewall. Các cổng là được mở để truyền và nhận, và sau đó
được đóng ngay lập tức sau khi một trong những dịch vụ ISA kết thúc kết nối.
ISA Server còn có khả năng lọc packet mang tính động, hỗ trợ lọc cho cả IP
packet đến và đi. ISA Server có thể được cấu hình các luật và chính sách truy nhập,
mở cổng tự động chỉ khi cho phép, đóng cổng khi giao tiếp kết thúc. Cách tiếp cận này
làm giảm số cổng vào ra và cung cấp một mức an toàn cao hơn cho mạng.
Đối với nhiều giao thức ứng dụng, như là xử lý luồng phương tiện, lọc động
đem lại phương thức an toàn nhất để xử lý các cổng cấp phát động.
Nhóm 1
Trang 10
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
1.3: (Secure Network Address Translation)
SecureNAT là một mở rộng của NAT driver trong MS Windows 2000. NAT
thay thế một địa chỉ IP toàn cầu, dùng trên Internet, với một địa chỉ IP cục bộ. Cơ chế
này cho phép nhiều host với các địa chỉ IP cục bộ có thể dùng chung một địa chỉ IP
bên ngoài, nhưng vẫn chịu sự quản lý của ISA Server.
Hình 1.3.1 Mô hình NAT
Chức năng chính của SecureNAT của ISA Server là cung cấp một mức trong
suốt về địa chỉ cho các client trên mạng, dựa vào chuẩn IETF (Internet Engineering
Task Force). ISA Server tăng cường chức năng NAT mức thấp của Windows 2000
bằng việc cho phép điều khiển truy nhập cho FTP, ICMP, H.323, và các giao thức
PPTP. NAT cũng cho phép tái dẫn đường cho các HTTP request, cho thích hợp với
các cache cục bộ, như trong trường hợp của CERN proxy.
SecureNAT cung cấp kết nối Internet cho nhiều máy tính dùng chung modem
và tài khoản dịch vụ Internet. SecureNAT để cho nhiều host kết nối thông qua một
máy tính có gateway nối với Internet. SecureNAT cho phép một kết nối quay số hoặc
kết nối khác tới mạng công cộng để phục vụ trên toàn mạng, cho phép truy nhập cả
Internet và các mạng ghép cho việc trao đổi từ xa và các mục đích khác. Mọi host trên
mạng nội bộ dùng chung một hoặc nhiều địa chỉ toàn cầu.
Nhóm 1
Trang 11
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
Tuy nhiên, phải chú ý rằng SecureNAT không làm việc với tất cả các giao thức,
như là giao thức của một số trò chơi nhất định và một số các giao thức hiếm.
Các hạn chế của NAT:
-
Chỉ các chiến lược dựa vào IP (không dựa vào user) mới có thể được cài đặt.
-
NAT chỉ làm việc với các giao thức xác định, không dùng một phần lớn các
giao thức khác mặc dù có nhúng IP trong gói.
-
Đối với các SecureNAT client, tạo một luật cho phép truy nhập tới tất cả tải IP
là giống như cho phép truy nhập tới tất cả các giao thức được định nghĩa trong
ISA Server. Thực tế thì chúng không hẳn tương đương nhau.
2: ISA Server Cache
2.1 : Cơ chế hoạt động của ISA Server Cache
Dịch vụ Web proxy của ISA Server sử dụng cơ chế bộ nhớ đệm cho các đối
tượng Web và nỗ lực đáp ứng tối đa các yêu cầu từ cache. Nếu yêu cầu nằm ngoài khả
năng của cache, ISA Server mới yêu cầu bắt đầu một yêu cầu mới thay mặt client đến
server được yêu cầu. Một khi Web server trả lời ISA Server, ISA Server sẽ lưu
response cho request gốc và gửi response cho phía client.
ISA Server hỗ trợ cơ chế forward caching, được dùng cho các yêu cầu gửi đi,
và reverse caching, dùng cho các yêu cầu đến. Các máy client trong cả forward
caching và reverse caching đều tận dụng cả loạt các tính năng của ISA Server.
ISA Server bao gồm một bộ lọc HTTP redirector, cho phép các máy khách
Firewall và SecureNAT lợi dụng được tính năng cache này. khi HTTP redirector được
cho phép, các request từ firewall và SecureNAT cũng có thể được lưu lại.
ISA Server phân tích các luật dẫn đường, cache, cấu hình cache, và các nội
dung cache đã có để xác định xem đối tượng có nên lấy từ trong cache ra hay không.
Đầu tiên, nếu yêu cầu người dùng là được phép, ISA Server sẽ kiểm tra đối
tượng có trong cache hay không. Nếu yêu cầu được tạo cho một dãy các máy tính ISA
Server, thì giải thuật CARP – Cache Array Routing Protocol sẽ được dùng để xác định
nên kiểm tra cache của server nào. Nếu đối tượng không ở trong cache, thì ISA Server
sẽ kiểm tra hoạt động của luật dẫn đường để xác định đường đi cho request. Nếu đối
tượng nằm trong cache, thì ISA Server sẽ thực hiện các bước sau:
Nhóm 1
Trang 12
Tìm hiểu ISA Server 2006
-
GVHD: Ths. Từ Thanh Trí
Đối tượng được coi là không hợp lệ nếu các điều kiện sau xảy ra :
o TTL (time-to-live) được xác định từ nguồn đã hết.
o TTL xác định trong nội dung cache đã hết.
o TTL cấu hình cho đối tượng đã hết.
-
Nếu đối tượng là hợp lệ, thì ISA Server sẽ kiểm tra luật dẫn đường. Nếu các
thuộc tính của cơ chế cache các luật dẫn đường được cấu hình để trả về một
phiên bản của đối tượng, thì ISA Server sẽ lấy ra đối tượng hợp lệ trong cache.
-
Nếu luật dẫn đường được cấu hình để dẫn request, thì ISA Server sẽ xác định
xem có dẫn đường cho request đến server cấp trên hay không, hay đến Web
server được yêu cầu.
-
Nếu luật dẫn đường là được cấu hình để dẫn request đến Web server thì ISA
Server sẽ kiểm tra khả năng truy nhập của Web server đó.
-
Nếu Web server không thể truy nhập được thì ISA Server sẽ kiểm tra xem
server có được cấu hình để trả về đối tượng hết hạn từ cache hay không. Nếu
được thì đối tượng sẽ được trả về cho người dùng
-
Nếu Web server đáp ứng được, ISA Server sẽ xác định đối tượng có thể được
cache hay không và các thuộc tính cache của luật dẫn đường có được lưu
response hay không. Nếu có thì ISA Server sẽ lưu đối tượng và trả đối tượng về
cho người dùng.
Nhóm 1
Trang 13
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
2.2 : CARP và cách thức làm việc của CARP
2.2.1 : CARP – Giao thức dẫn đường cho dãy cache
ISA Server dùng CARP để cung cấp khả năng co dãn và hiệu quả liên tục khi
dùng nhiều máy ISA Server được nối kiểu dàn hàng tạo khả năng cache đơn về mặt
logic.
CARP dùng cơ chế dẫn đường theo nguyên tắc băm để xác định đường đi tối ưu
qua một dãy cache để giải quyết yêu cầu. Giải pháp này là dựa vào việc áp dụng thuật
toán băm cho dãy các thành viên và các URL. Đối với bất kỳ một yêu cầu URL được
cho, trình duyệt hoặc proxy server cấp dưới sẽ biết chính xác sẽ lấy dãy các thông tin ở
đâu. Đường tìm kiếm này cho thấy thông tin là đã được lưu từ request trước hay chưa,
hoặc phải lấy từ Internet và sau đó lưu lại cho tương lai.
CARP cung cấp các lợi ích sau:
-
Vì CARP xác định đường tìm kiếm tối ưu, không có cơ chế truy vấn giữa các
proxy server, như khi tìm kiếm với các giao thức cache thông thường. Bằng
cách làm này, CARP cung tránh được sự tắc nghẽn do quá nhiều câu truy vấn,
điều mà thường xảy ra trong một số lượng lớn các server.
-
CARP loại bỏ sự lặp về nội dung - điều mà hay xảy ra đối với chuỗi proxy
server. Với cơ chế dẫn đường bằng giải thuật băm, CARP tránh được điều này
bằng cách cho phép cả năm ISA Server tồn tại với một cache đơn logic. Kết quả
là có trả lời nhanh hơn và dùng hiệu quả hơn tài nguyên server.
-
CARP có khả năng co dãn cao. Do tìm đường bằng giải thuật băm dẫn đến sự
độc lập ngang hàng, CARP trở nên nhanh hơn và hiệu quả hơn khi nhiều proxy
server được thêm vào. Không như các chuỗi ICP, xử lý truy vấn để tìm vị trí
thông tin cache, giảm hiệu quả tiến trình và tăng tải, dẫn đến khả năng kém về
tính co dãn – càng nhiều server, càng nhiều truy vấn.
-
CARP đảm bảo rằng các đối tượng cache hoặc được phân tán giữa các server,
hoặc các nhân tố tải - được cấu hình cho mỗi server.
Nhóm 1
Trang 14
Tìm hiểu ISA Server 2006
GVHD: Ths. Từ Thanh Trí
2.2.1 : Cách thức làm việc của CARP
Tiến trình CARP cung cấp cơ chế tìm đường hiệu quả cho các request.
Tất cả các server được theo dõi thông qua một chuỗi danh sách thành viên,
được lưu trong Active Directory. Tất cả các thành viên sẽ được thông báo khi thêm
hoặc bớt server trong chuỗi.
Theo chu kỳ, máy khách Web proxy hay server cấp dưới sẽ gửi thăm dò và nếu
cần thiết, cập nhật danh sách thành viên.
-
Máy khách Web proxy gửi yêu cầu array.dll?Get.Routing.Script tới server
thành viên.
-
Server cấp dưới (downstream) gửi yêu cầu array.dll?Get.Info.v1 tới server
thành viên.
Khi yêu cầu một đối tượng, máy khách hoặc server cấp dưới dùng danh sách
thành viên, cùng với hàm băm, CARP tính toán tên của mỗi URL được yêu cầu, để xác
định server nào nên phục vụ yêu cầu này.
Giá trị băm của URL được kết hợp với giá trị băm cho mỗi ISA Server, cho kết
quả cao hơn, trở thành “người sở hữu” thông tin cache.
Server kiểm tra xem nó nên xử lý request hay không. Nếu không, nó gửi request
cho thành viên khác, được xác định danh sách chuỗi. Thành viên gửi gửi kèm theo
thông tin xác thực cho thành viên nhận. Trong hoàn cảnh công khai, nó cũng cung cấp
GUID của luật công khai
Một khi mà server được chọn để xử lý request, nó sẽ tiếp tục áp dụng luật ISA
nếu cần thiết.
Do các hàm băm được dùng để gán các giá trị là rất nhiều nên tải được phân tán
và cân đối giữa các phần tử trong chuỗi.
Giải pháp tìm đường không yêu cầu một bảng định vị lớn, trình duyệt chỉ phải
chạy cùng một hàm toán học cho một đối tượng để xác định vị trí của nó.
Do các máy ISA Server có thể có phần cứng khác nhau và đôi khi có sự chênh
lệch về khả năng, ta có thể cấu hình để phân chia cache hợp lý - cấu hình cho các hàm
CARP, chỉ ra nhân tố tải cho server nhất định trong chuỗi.
Ngoài ra có thể cấu hình các yêu cầu đến và đi riêng biệt, ví dụ có thể cho phép
yêu cầu Web đến, và không cho phép yêu cầu gửi đi.
Nhóm 1
Trang 15
