Tìm Hiểu ISA Server 2006
TRƯỜNG CAO ĐẲNG NGHỀ SÀI GÒN Tìm Hiểu ISA Server 2006 Giáo viên hướng dẫn: Nguyễn Văn Tùng Sinh Viên: Vũ Cao Sơn Đông Mai Văn Mẫn Châu Huỳnh Quốc Biểu Nguyễn Phước Trung Lê Tuấn Vũ 1 Võ Thành Bửu Tâm MỤC LỤC CHƯƠNG I: Tổng quan về ISA Server 2006 1. Giới Thiệu Về ISA Server 2006 3 2. Các phiên bản của ISA Server 2006 3. Tính năng của ISA Server 2006 4 4. So sánh ISA 2006 và 2004 6 Chương II: Cấu hình ISA Server 2006 I. Cài đặt ISA Server 2006 1. Yêu cầu cài đặt 7 2. Quá trình cài đặt a. Cài ISA Server 2006 trên máy chủ 1 card mạng b. Cài ISA Server 2006 trên máy chủ nhiều card mạng 8 II. Cấu hình ISA server 2006 1. Tóm tắc một số thông số mặc định 15 2. Cấu hình Web Proxy cho ISA server 2006 a. Tạo và sử dụng Access Rule b. Tạo 1 số Access Rules c. Cấu hình Web Proxy cho ISA server 2006 20 3. Cấu hình nâng cao ISA Server 2006 21 a. Web Publishing and server Publishing 4. Cấu hình VPN trên ISA server 2006 22 a. Giới thiệu VPN b. Xây dựng VPN client to Gatewa 2 Chương I Tổng Quan Về ISA Server 2006 1. Giớ Thiệu Về ISA Server 2006 Mircosoft Internet Security and Acceleration Server (ISA Server) là phần mềm tường lửa và share internet của hãng phần mền nổi tiếng Microsoft. Có thể nói đây là phần mềm tường lửa và share internet khá hiệu quả, ổn định, dễ cấu hình, nhiều tính năng nổi bật. ISA Server được thiết kế chủ yếu để hoạt động như một tường lửa, nhầm đảm bảo rằng tất cả những ‘traffic’ không trông đợi từ Internet được chặn lại, từ bên ngoài mạng của tổ chức, đồng thời ISA Server có thể cho phép các người dùng bên trong mạng tổ chức truy cập một cách có chọn lọc đến cái tài nguyên từ Internet và người dùng trên Internet có thể truy cập vào tài nguyên trong mạng của tổ chức sao cho phù hợp với các chính sách của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức. Và một số chức năng khác. 2. Các phiên bản của ISA Server 2006 ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẽ băng thông cho các công ty có quy mô nhỏ và trung bình. ISA Server 2006 có hai phiên bản là Enterprise và Standard Standard Edition : + Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty + Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang Web có nội dung không phù hợp, thời gian không thích hợp (ví dụ trong giời làm việc) + Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu văn phòng và hội sở. + Đối với các công ty có những hệ thống máy chủ Public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triên khai vùng DMZ nhằm ngăn chặn sự tương tác trực tiếp giữa người dùng bên ngoài và bên trong hệ thống. + Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản Standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc kết nội internet của mạng nội bộ 3 Chính vì thế mà sản phẩm firewall này có tên gọi tên là Internet Security và Aceleration (bảo mật và tăng tốc Internet). Enterprise Edition : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng được nhu cầu truy xuất của nhiều người dùng bên ngoài và trong hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). So sách giữa phiên bản Standard Edition và Enterprise Edition Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương đương nhau. Bản Enterprise có hỗ trợ thêm 3 tính năng mà bản Standard không có - Centralized storage of configuration data: Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt. Khi các bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (configuration storage server). Các storage server này sử dụng ADAM (Active Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức. ADAM có thể cùng lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server (bạn có thể cài ADAM lên máy khác lo ISA hay cài lên máy ISA cũng được). Dữ liệu trên các storage server này sẻ tự nhân bản (replicate) cho nhau theo chu kỳ. Nhờ đó hỗ trợ tốt hơn cho người quản trị. Ví dụ bạn muốn thay đổi cấu hình của một hay nhiều máy ISA bạn chỉ việc ngồi vào trong máy server mà làm. Còn với bản Standard, bạn phải đến từng máy để cấu hình. - Support for cache Array Routing Protocol (CARP): Bản Enterprise cho phép ta chia sẽ việc cache giữa một dãy các ISA với nhau. Với bản Enterprise, một dãy nhiều máy ISA sẽ được cấu hình trở thành một vùng cache của tất các ISA với nhau. Để thực hiện tính năng này, ISA sử dụng CARP. Cơ chế như sau : khi một máy client đi một trang web nào đó, CARP sẽ chỉ định một ISA trong dãy cache lại trang đó. Khi một client bât kì đi một trang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cache trang đó trả về cho máy client. CARP giúp tối ưu hóa khả năng cache. - Intergation of Network Load Balancing- NLB (tích hợp cân bằng tải trên ISA): NBL là một thành phần network có sẵn trong Windows 2000 server và Windows server 2003. Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa (redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (vd cùng là ISA) để cân bằng đường truyền, tránh hiện tượng quá tải. NLB cũng là một hình thức backup, vì nếu có một máy bị down (chết) thì sẽ có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia. NLB đáp ứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống. Với bản Standard, bạn phải cấu hình NLB bằng tay. Còn với bản Enterprise, NLB được tích 4 hợp vào ISA nên bạn có thể quản lý NLB từ ISA. Bạn có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB. 3. Tính năng của ISA Server 2006 ISA Server có nhiều tính năng cho phép bạn cấu hình sao cho phù hợp với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các WebServer đó bằng mạng LAN). Ngoài ra các chính sách bảo mật thông tin tương đối tốt. Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN ( đây là những tính năng mà các doanh nghiệp ở Việt Nam ta ít dùng. Về khả năng Publishing Serviece: + ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang OWA (Outlock Web Access, Đây là Module của Microsoft Exchanger Server (một Server phục vụ Mail), nó cho phép người dùng truy cập và quản trị Mailbox của họ từ xa thông qua Web Browser), qua đấy hỗ trợ chứng thực kiểu form-based. Chống lại các người dùng bất hợp pháp vào trang Web OWA, tính năng được phát triển dưới dạng Add-in. + Cho phép public Terminal Server theo chuẩn RDP over SSl, đảm bào dữ liệu trong phiên kết được mã hóa trên Internet (kể cả password). + Block các kết nối non-encryted MAPI đến Exchanger server, cho phép Outlook của người dùng kết nối an toàn đến Exchanger Server. + Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra Internet một cách an toàn. Hỗ cả các sản phẩm mới như Exchanger 2007. Khả năng kết nối VPN: + Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt, tất nhiên ai thích cấu hình bằng tay tại từng thời điểm một cũng được. Tích hợp hoàn toàn Quanratine. + Statefull filterning and inspection , kiểm tra đầy đủ các VPN connection, site- to-site, secureNAT for VPN clients, … + cho phép public luôn một VPN server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác). Về khả năng quản lý: + Dễ dàng quản lý + Rất nhiều Wizard + Backup và Restore đơn giản + Cho phép ủy quyền quản trị cho các User/Group + Log và Report chi tiết cụ thể + Khai báo thêm Server vào array dễ dàng (không khó như ISA 2000, 2004) + Tích hợp với giải pháp quản lý cụ thể của Microsoft :MOM + SDK… 5 Các tính năng khác: + Hỗ trợ nhiều CPU và RAM (bản Standard hỗ trợ đến 4 CPU, 2GB RAM) + Max 32 node Network LoadBalancing + Hỗ trợ nhiều network + Route/NAT theo từng network, + Firewall rule đa dạng + IDS + Flood Resiliency + HTTP compression + Diffserv 4. So sánh ISA 2006 và 2004 ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như: - Phát triển hỗ trợ OWA, OMA, ActiveSync và RPC/HTTP Publishing. - Hỗ trợ SharePoint Portal Server. - Hỗ trợ cho việc kết nối nhiều Certificates tới 1 Web listene - Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN 6 CHƯƠNG II CẤU HÌNH ISA SERVER 2006 I. Cài đặt ISA Server 2006 1. Yêu cầu cài đặt Thành phần Yêu cầu Bộ sử lý (CPU) Intel hoặc AMD 500MHz trở lên Hệ điều hành (OS) Windowns server 2003 hoặc Windowns server 2003 r2 Bộ nhớ (RAM) 256 MB hoặc 512 MB cho hệ thống không sử dụng Web Caching, 1GB hoặc cao hơn cho hệ thống có Web-Caching hoặc ISA Firewall Không gian đĩa (Disk space) Ổ đĩa cài đặt ISA phải là NTFS file system, ít nhất còn khoảng 150MB dành cho ISA Card mạng (NIC) Phải ít nhất có một card mạng (đề nghị 2 card mạng) 2. Quá trình cài đặt : a. Cài ISA trên máy chủ 1 card mạng: Khi ta cài đặt ISA trên máy Server chỉ có một card mạng ( còn gọi là Unihomed ISA Firewall). Chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP. ISA không hỗ trợ một số chức năng : 7 • SecureNat client • Firewall Client • Server Publishing Rule • Remote Access VPN • Site-to-Site VPN • Multi-networking • Application-layer inspection (trừ giao thức HTTP) b. Cài ISA trên máy chủ nhiều card mạng: ISA Firewall thường được triển khai trên dual-homed host (máy chủ có 2 card mạng) hoặc multi-homed host (máy chủ có nhiều card mạng) điều này có nghĩa ISA Server có thể thực thi đầy đủ các tính năng của nó như ISA Firewall, SecureNAT, Server Publishing Rule, VPN, … Các bước cài đặt ISA Firewall software Chạy tập tin isaautorun.exe từ CDROM ISA 2006 hoặc từ ISA 2006 suorce. Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet Security anh Acceleration Server 2006”. 8 Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2006” để tiếp tục cài đặt. Chọn tùy chọn Select “I accept” trong hộp thoại License Agreement, chọn Next 9 Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe. Nhập serial number trong Product Serial Number textbox. Nhấp Next để tiếp tục. Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chon Typical, chọn Next. 10 [...]... và họ muốn truy cập vào tài nguyên mạng nội bộ Và ISA Server 2006 có thể đáp ứng những nhu cầu của doanh nghiệp bạn thông chức năng VPN Client to Gateway b Xây dựng VPN Client to Gateway: - Đầu tiên ta phải tạo một UserVPN trên máy server và cho UserVPN quyền Allow Access Tiếp theo cấu hình trên máy ISA Server Định nghĩa nhóm VPN Client Bạn vào ISA Server Management, chọn Firewall Policy, nhấn vào... Server có địa chỉ là địa chỉ của Internal interface của ISA Firewall trong trình duyệt Web cho từng Client, hoặt ta cài ISA Client Share trên từng Client để Client đóng vai trò là ISA Firewall Client Chỉ định địa chỉ của Web Proxy trong Textbox Addrress Chỉ Web Proxy Port trong Textbox Port là 8080 Cấu hình nâng cao Server 2006 a Web Publishing and Server Publishing: Publishing services là một kỹ thuật... hệ thống Nếu ISA Firewall kết nối trực tiếp Internet thì ta phải cấu hình một số thông số trên, ngược lại nếu ISA Firewall còn phải thông qua một hệ thống ISA Firewall hoặc Proxy khác thì ta cần phải mô tả một số tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để Proxy cha lấy thông tin từ Internet Web Server Để cho phép Client có thể sử dụng Web Proxy ta cấu hình Proxy Server có địa... luật To: Địa chỉ đích Users: Người dùng truy xuất Content type: Loại nội dung cho HTTP connection b Tạo một số Access Rule: Kích hoạt vào Start vào Programs bạn vào Microsoft ISA Server chọn ISA Server Management, mở rộng server name, nhập chuột phải vào Firewall Policy, chọn New và nhập chuột vào Access Rules Hiển thị hộp thoại “Welcome to the New Access Rule Wizard” Điền vào tên Access Rulename,... Web Site (SecurID Authentication, RADIUS Authentication, Basic Authentication) Cung cấp cơ chế chuyển theo Port và Protocol • Server Publishing: Tương tự như Web Publishing, Server Publishing cung cấp một số cơ chế công bố (Publishing) các Server thông qua ISA Firewall 4 ISA VPN Client To Gateway 20 a Giới thiệuVPN (Virtual Private Network): VPNlà giải pháp hữu hiệu để kết nối hệ thống mạng của doanh... máy 14 Cấu hình ISA Server 2006 II 1 • • • • 2 • Tóm tắt một số thông tin mặc định: System Policies cung cấp sẵn một số luất để cho phép truy cập vào/ra ISA Firewall Tất cả các traffic còn lại đều bị cấm Cho phép định tuyến giữa VPN/VPN-Q Networks và Internal Network Cho phép NAT giữa Internal Network và External Network Chỉ cho phép Adminstrator có thể thay đổi chính sách bảo mật cho ISA firewall Ta... có thể xem các chính sách mặc định của hệ thống ISA Firewall (system policy rule) bằng cách chọn Firewall Policy từ hộp thoại ISA Management, sau đó chọn item Show system policy rule trên cột System policy Ta cũng có thể hiệu chỉnh từng system policy bằng cách nhấp đôi chuột vào system policy item Cấu hinh web proxy cho ISA: Các bước làm sao để cấu hình ISA Firewall cung cấp dịch vụ Web Proxy để chia... Allow computers running earlier versions of Firewall Client software toconnect” nếu ta muốn ISA hỗ trợ những phiên bản Firewall client trước, chọn Next Xuất hiện hộp thoại Services để cảnh báo ISA Firewall sẽ stop một số dịch vụ SNMP và IIS Admin Service trong quá trình cài đặt ISA Firewall cũng sẽ vô hiệu hóa (disable) Connection Firewall (ICF)/Internet Connection Sharing (ICF), và IP Network Address... nghĩa hoặc chưa được định trong ISA 17 • • Firewall Tuy nhiên đối với SecureNAT client kết nối ISA Firewall thì outbound access chỉ cho phép các protocol mà đã được định nghĩa trong Protocols list của Isa Firewall, nếu SecureNAT client không thể truy xuất tài nguyên nào đó bên ngoài bằng một Protocol nào đó thì ta phải mô tả Protocol vào ProtocolPanel được cung cấp trên ISA Firewall để có thể hỗ trợ... Firewall Policy trong ISA Mangement Console, sau đó chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vào item System Policy Allowed Sites để mô tả một số Site cần thiết cho phép mạng nội truy xuất theo cú pháp *.domain_name • Nếu ta muốn cho mạng nội bố truy xuất bất kỳ Internet Website nào thì ta phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA 19 • • • • 3 Server to selected servers for connectivity . về ISA Server 2006 1. Giới Thiệu Về ISA Server 2006 3 2. Các phiên bản của ISA Server 2006 3. Tính năng của ISA Server 2006 4 4. So sánh ISA 2006 và 2004 6 Chương II: Cấu hình ISA Server 2006 I đặt ISA Server 2006 1. Yêu cầu cài đặt 7 2. Quá trình cài đặt a. Cài ISA Server 2006 trên máy chủ 1 card mạng b. Cài ISA Server 2006 trên máy chủ nhiều card mạng 8 II. Cấu hình ISA server 2006 1 Proxy cho ISA server 2006 a. Tạo và sử dụng Access Rule b. Tạo 1 số Access Rules c. Cấu hình Web Proxy cho ISA server 2006 20 3. Cấu hình nâng cao ISA Server 2006 21 a. Web Publishing and server