ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CƠNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG -o0o - BÁO CÁO ĐỀ TÀI ISA SERVER (Internet Security and Acceleration Server) MÔN: QUẢN TRỊ HỆ THỐNG MẠNG Download tài liệu miễn phí IKIDOC.COM Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC: I/ Giới thiệu: 1.1/G ệ tổng quan ề ả ệ : 1.2/Mục đíc bà báo cáo: II/ ISA server: 2.1/ Giới thiệu: 2.2/ Chức ă phần mềm 2.3/Cà đặt ISA Server 2006 Bước 1: Nâng cấp DC cho ISA2 ( isa.local ), ISA1 join domain 10 Bước 2: Cài “ISA 2006” lên ISA1 10 Bước 3: Cài đặt SP1 cho ISA Server .15 Bước 4: Tạo Rule kiểm tra đường chuyền .17 Bước 5: Cấu hình Automatic Discovery 22 Bước 6: Cấu hình Remote Management 35 Một s ứng dụng thực tế: Tạo rule cho phép traffic DNS Query để phân giải tên miền 38 Tạo rule cho phép User thuộc nhóm “Nhân Viên” xem trang vnexpress.net làm việc 44 Tạo rule cho phép User thuộc nhóm “Sếp” sử dụng Internet không hạn chế 52 Tạo rule cho phép sử dụng Internet không hạn chế giải lao 53 Chỉ cho xem “chữ” 55 Cấm xem trang www.kenh14.vn –Redirect vnexpress.net: 56 Cấm chat yahoo .59 Cấm down file có exe 64 Monitoring 66 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 10 Caching 76 Triển khai Mơ hình VPN TO GATEWAY Tạo domain user u1/123, Properties Allow acess 84 Xác đinh Pool số IP gắn 84 Bật tính VPN client access, xác định số VPN kết nối tối đa, đồng thời 86 Định nghĩa nhóm VPN client 88 Tạo Rule cho phép kết nối VPN 89 Kiểm tra 89 2.4/ Đá cô cụ ISA server 2006: 2.4.1/ Điểm yếu của ISA server so với Forefront TMG 94 2.4.2/ Ưu điểm ISA server 2006 so với ISA server 2004 96 2.5/ Lời khuyên dành cho nhà quản trị ISA server 98 III/ Kết luận 98 IV/ Tài liệu tham khảo 99 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com I/ Giới thiệu: 1.1/ G ệ tổng quan ề ả ệ : Sự phát triển hội tụ mạng năm g n đ tác động mạnh mẽ tới tất khía cạnh mạng lưới, chí nhận thức tảng phương pháp tiếp cận Quản l mạng lĩnh vực có thay đổi hoàn thiện mạnh mẽ nỗ lực tiêu chuẩn hoá tổ chức tiêu chuẩn lớn giới yêu c u từ phía người sử dụng dịch vụ Mặt khác nhà khai thác mạng, nhà cung cấp thiết bị người sử dụng thường áp dụng phương pháp chiến lược khác cho việc quản l mạng thiết bị Mỗi nhà cung cấp thiết bị thường đưa giải pháp quản l mạng riêng cho sản phẩm Trong bối cảnh hội tụ mạng nay, số lượng thiết bị dịch vụ đa dạng phức tạp đ tạo thách thức lớn vấn đề quản l mạng Nhiệm vụ quản l mạng rõ ràng mặt nguyên tắc chung, tốn quản l cụ thể lại có độ phức tạp lớn Điều xuất phát từ tính đa dạng hệ thống thiết bị đặc tính quản l loại thiết bị, xa chiến lược quản l phải phù hợp với kiến trúc mạng đáp ứng yêu c u người sử dụng Một loạt thiết bị điển hình c n quản l gồm: Máy tính cá nhân, máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, thiết bị đ u cuối, thiết bị đo kiểm, máy điện thoại, tổng đài điện thoại nội bộ, thiết bị truyền hình, máy quay, modem, ghép kênh, chuyển đổi giao thức, CSU/DSU, ghép kênh thống kê, ghép giải gói, thiết bị tương thích ISDN, card NIC, mã hố giải mã tín hiệu, thiết bị nén liệu, gateway, xử lý front-end, Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com đường trung kế, DSC/DAC, lặp, tái tạo tín hiệu, thiết bị chuyển mạch, bridge, router switch, tất ph n danh sách thiết bị phải quản l Toàn cảnh tranh quản l phải bao gồm quản l tài nguyên mạng tài nguyên dịch vụ, người sử dụng, ứng dụng hệ thống, sở liệu khác loại môi trường ứng dụng Về mặt kĩ thuật, tất thông tin thu thập, trao đổi kết hợp với hoạt động quản l mạng dạng số liệu quản l kĩ thuật tương tự kĩ thuật sử dụng mạng truyền số liệu Tuy nhiên khác truyền thông số liệu trao đổi thông tin quản l việc trao đổi thông tin quản l đ i hỏi trường liệu chuyên biệt, giao thức truyền thơng mơ hình thông tin chuyên biệt, kỹ chuyên biệt để thiết kế, vận hành hệ thống quản l biên dịch thông tin quản l báo lỗi, trạng hệ thống, cấu hình độ bảo mật  Mục đích t m bao quát viết: Bài viết tập trung nói cơng cụ quản lý mạng (ở ISA server) Giúp người quản trị quản lý mạng cách an toàn 1.2/Mục đíc báo cáo: ISA Server ph n mềm chia sẻ Internet h ng Microsoft Đây ph n mềm tường lửa (Firewall) ưa chuộng thị trường nhờ vào khả bảo vệ hệ thống mạnh mẽ với chế quản lý linh hoạt Nội dung báo cáo gói gọn vấn đề cấu hình hệ thống ISA SERVER trở thành Firewall mạnh mà đáp ứng yêu c u sử dụng dịch vụ từ xa, phục vụ cho Client bên truy cập dịch vụ bên (internet), lẫn Client bên Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com (Internet Clients) c n truy cập dịch vụ bên Mạng tổ chức Firewalls giữ truyền thống loại thiết bị Mạng cấu hình phức tạp trì hoạt động để bảo vệ Network gặp khơng thử thách cho Security Admin C n có kiến thức TCP/IP Network Services để hiểu rõ Firewall làm việc Tuy nhiên không thiết phải trở thành chuyên gia hạ t ng Mạng (network infrastructure ) sử dụng ISA SERVER Network Firewall Bài báo cáo mô tả vấn đề:  Giúp bạn hiểu tính có mặt ISA Server  Cung cấp lời khuyên cụ thể dùng tài liệu để cấu hình ISA Server  Mô tả chi tiết thực hành triển khai (ISA SERVER)  Mục đích đề tài hướng dẫn cài đặt cấu hình ISA server Cách sử dụng công cụ ISA server, giúp người quản trị hệ thống mạng nắm bắt, hiểu rõ cách triển khai hệ thống mạng an toàn II/ ISA server: 2.1/ Giới thiệu: Microsoft Internet Security and Acceleration Sever (ISA Server) ph n mềm share internet hãng ph n mềm tiếng Microsoft Có thể nói ph n mềm share internet hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính cho phép bạn cấu hình cho tương thích với mạng LAN bạn ISA Server ph n quan trọng kế hoạch tổng thể để bảo mật mạng Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com tổ chức ISA Server thông thường lắp đặt vành đai mạng sử dụng để ngăn chặn truy cập trái phép vào mạng nội bộ, giới hạn cho phép truy cập từ mạng nội đến Internet 2.2/ Chức ă phần mềm: ISA Server cung cấp tính tường lửa Như:  Lọc gói tin(packet filtering)  Lọc trạng thái(stateful filtering)  Lọc t ng ứng dụng(application-layer filtering) ISA Server cho phép truy cập an toàn vào Internet cách đảm bảo khách hàng truy cập tài nguyên c n thiết Internet, cách đảm bảo việc kết nối truyền liệu đến từ Inernet an toàn ISA Server cho phép truy cập an toàn từ Internet vào tài nguyên mạng cục thông qua việc sử dụng Web publishing rules, secure Web publishing rules server publishing rules Những nguyên tắc publishing giới hạn người truy cập vào mạng cục xem lúc truy cập mạng cục ISA Server cho phép truy cập an toàn đến máy chủ E-mail việc ngăn chặn công máy chủ, lọc thư rác đến file đính kèm ISA Server cho phép client kết nối an toàn đến Exchange Server sử dụng loạt giao thức client ISA Server cho phép kết nối an toàn đến tài nguyên mạng cục kết nối VPN kích hoạt cho client từ xa trang web Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.3/Cà đặt ISA Server Standard: Mơ hình triển khai: Tên máy ISA1 ISA2 Card Internet Card Cross IP 192.168.1.11/24 172.16.1.1/24 GW 192.168.1.2 Null DNS null 172.16.1.2 IP disable 172.16.1.2/24 GW 172.16.1.1 DNS 172.16.1.2 Bước 1: Nâng cấp DC cho ISA2 ( isa.local ), ISA1 join domain Bước 2: Cài “ISA 2006” lên ISA1 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Chạy file autorun cài đặt Chọn Intall ISA Server 2006 Trang LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Trả lời câu hỏi quyền, serial … - Setup type chọn: Typical Trang 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Bậ í ă VPN c e access, xác định s VPN kết n i t đa, đồng thời B1: Chọn Configure VPN client Acess Trang 87 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com B2: Tab General > Enable VPN client access > 100 ( Maximum number of VPN client allowed ) Trang 88 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Định nghĩa nhóm VPN client B1: ISA Server Management > Firewall Policy > Toolbox > Users > New > Nhập “VPN Client” Trang 89 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com B2: Add > Windows user and group > chọn u1 Tạo Rule cho phép kết nối VPN Rule Name: VPN Action: Allow Protocols: All Outbound Traffic Source: VPN Client Destination:Internal User: VPN Clients Trang 90 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Apply > OK Kiểm tra: Máy thứ nối với ISA1 card Internet B1: Start > Setting > Network Connection Trang 91 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com New Connection Wizard > Next > Connect to the network at my workplace >Virtual Private Network connection > nhập “VPN Clients” > IP card “Internet” ISA1 > Next > Finish Trang 92 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trang 93 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com B2: u1/123 > Connect> thành công B3: Start > \\172.16.1.2 > thành công Trang 94 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.4/ Đá cô cụ ISA server 2006: 2.4.1/ Đ ểm yếu của ISA server so với Forefront TMG ISA server 2006 không hỗ trợ chạy windows server 2008 64bit, không lọc URL, … Forefront TMG có có tính ISA server 2006, hỗ trợ thêm tính khác : Trang 95 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Forefont TMG update ISA 2006 Mục tiêu TMG đời để hỗ trợ cho phiên 64bit sau Microsoft Ví dụ Windows 2008 64bit, Exchange 64bit, Sharepoitn TMG hỗ trợ 64bit mà thôi, thêm vào TMG có tính ổn định cao (chạy 64bit mà) Do Forefont TMG hệ sau thằng ISA 2006 có thêm tính chính: Web and email anti-malware and virus protection Trong bao gồm: Chỉ chạy windows server 2008 R2 64bit, EBS.Hỗ trợ hệ TCP/IP (IPv6); Web antivirus web mail-ware protection; Dễ dàng quản lý, giao diện người dùng thân thiện, báo cáo nhanh; Lọc địa URL; Thẩm định HTTPS: client request certificate với server Forefont TMG đứng giữa, xin certificate thay người dùng Đồng thời tự sinh certificate cho người dùng; Email antivirus anti spam; Network intrusion prevent; TFTP Filter; Network functionality Enhancement Trang 96 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.4.2/ Ư đ ểm ISA server 2006 so với ISA server 2004: Về giao diện ISA 2006 giống ISA 2004 đến 90% Tuy nhiên, có tính trội mà ISA 2004 c n hạn chế, chẳng hạn như:  Phát triển hỗ trợ OWA, OMA, ActiveSync RPC/http Publishing  Hỗ trợ SharePoint Portal Server  Hỗ trợ cho việc kết nối nhiều Certificates tới Web listener  Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules Đặc điểm bật 2006 so với 2004 tính Publishing VPN  Về khả Publishing Service ISA 2006 tự tạo form người dùng truy cập vào trang OWA, qua hỗ trợ chứng thực kiểu form-based chống lại người dùng bất hợp pháp vào trang web OWA tính phát triển dạng Add-ins Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo liệu phiên kết nối m hóa Internet (kể password) Block kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook người dùng kết nối an toàn đến Exchange Server Rất nhiều Wizard cho phép người quản trị public Server nội internet cách an toàn hỗ trợ sản phẩm Exchange 2007  Khả kết nối VPN Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN văn ph ng riêng biệt tất nhiên thích cấu hình tay điểm tích hợp hồn tồn Quanratine, Stateful filtering and inspection (cái quen thuộc rồi), kiểm tra đ y đủ điều Trang 97 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com kiện VPN Connection, Site to site, secureNAT for VPN Clients, Cho phép Public VPN Server khác Intranet Internet (thế gấu), hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với sản phẩm VPN khác, chưa thử đâu nhá)  Về khả quản l Dễ dàng quản l Rất nhiều Wizard Backup Restore đơn giản Cho phép ủy quyền quản trị cho User/Group Log Report cực tốt Cấu hình nơi, chạy nơi (cài ISA Enterprise) Khai báo thêm server vào array dễ dàng Tích hợp với giải pháp quản l Microsoft: MOM SDK, thích lập trình giải pháp tích hợp vào ISA 2006 khối Có giải pháp hardware Các tính khác Hỗ trợ nhiều CPU RAM max 32 node Network Loadbalancing Hỗ trợ nhiều network, không c n đong đếm cài này, ăn đứt loại khác Route/NAT theo network Firewall rule đa dạng IDS (cũng tạm được) Flood Resiliency HTTP compression Diffserv Trang 98 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.5/ Lời khuyên dành cho nhà quản trị ISA server Là người quản trị ISA Server, bạn phải chịu trách nhiệm hoàn thành việc triển khai ISA Server, bao gồm việc thiết kế, cấu hình quản lý ISA Server Management Console dùng để quản lý giám sát h u hết hoạt động ISA Server Nó bao gồm nhiều nét đặc trưng đơn giản hóa việc quản lý Như ph n vai trò quản trị ISA Server, bạn nên liên tục giám sát server ISA Server cung cấp vài tính đặc trưng cho phép bạn thu thập thông tin thời gian thực thực thi vả bảo mật server, cho phép bạn thu thập phân tích phương hướng sử dụng lâu dài III/ Kết luận: Bài báo cáo tập trung vào vấn đề cấu hình hệ thống ISA SERVER trở thành Firewall mạnh mà đáp ứng yêu c u sử dụng dịch vụ từ xa, phục vụ cho Client bên truy cập dịch vụ bên (internet), lẫn Client bên (Internet Clients) c n truy cập dịch vụ bên Mạng tổ chức Bài báo cáo mô tả vấn đề:  Giúp bạn hiểu tính ISA Server  Cung cấp lời khuyên cụ thể dùng tài liệu để cấu hình ISA Server  Mơ tả chi tiết thực hành triển khai (ISA SERVER) Trên tìm hiểu sơ nhóm ISA server, thông tin mang Trang 99 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com tính chất khái quát quát ISA server lĩnh vực khó rơng, nhiên có nhiều điểm hấp dẫn để sâu vào tìm hiểu IV/ Tài liệu tham khảo: ISA Server 2006 Standard Edition & Enterprise Edition Common Criteria Evaluation Sams Microsoft ISAServer 2006 Unleashed Dec 2007 Syngress Dr Tom Shinders ISA Server 2006 Migration Guide Aug 2007 Trang 100 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trang 101 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... cô cụ ISA server 2006: 2.4.1/ Điểm yếu của ISA server so với Forefront TMG 94 2.4.2/ Ưu điểm ISA server 2006 so với ISA server 2004 96 2.5/ Lời khuyên dành cho nhà quản trị ISA server. .. infrastructure ) sử dụng ISA SERVER Network Firewall Bài báo cáo mô tả vấn đề:  Giúp bạn hiểu tính có mặt ISA Server  Cung cấp lời khuyên cụ thể dùng tài liệu để cấu hình ISA Server  Mơ tả chi tiết... đíc bà báo cáo: II/ ISA server: 2.1/ Giới thiệu: 2.2/ Chức ă phần mềm 2.3/Cà đặt ISA Server 2006 Bước 1: Nâng cấp DC cho ISA2 ( isa. local ), ISA1 join