Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 89 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
89
Dung lượng
2,96 MB
Nội dung
XÂY DỰNG HỆ THỐNG AN TOÀNMẠNGDOANHNGHIỆP PHẦN I: XÂY DỰNG PROXY VÀ FIREWALL VỚI ISASERVER 2 BÀI 1: TỔNG QUAN VỀ ANTOÀNMẠNG 2 1.1. Khái niệm bảo mật 2 1.2. Các hình thức tấn công trên mạng 2 1.3. Phương pháp chung ngăn chặn các kiểu tấn công 4 2.1. Giới thiệu 7 2.2 Cài đặt ISA 2004. 7 3.1. Giới thiệu 14 3.2 Cho phép các máy client truy cập đầy đủ vào ISAServer 15 3.3. Cho phép các máy nội bộ truy cập tất cả dịch vụ trên External. 19 3.4. Cho phép Local Host truy cập Internet. 21 3.5. Cho phép ISAServer cấp IP động cho các Client 22 3.6. Cho phép các Client và Local host truy vấn DNS 23 3.7. Cho phép các client truy xuất mail chuyên dụng (SMTP, POP3 hoặc IMAP) 25 3.8. Quản lý và giám sát truy cập Internet trong ISA 2004. 26 4.1. Giới thiệu: 36 4.2. Web Server Publishing. 36 4.3. Mail Server Publishing. 43 BÀI 5: TIẾT KIỆM BĂNG THÔNG INTERNET VỚI TÍNH NĂNG “CACHE” VÀ “CONTENT DOWNLOAD JOB” 51 5.1. Cache và hoạt động của Cache 51 5.2. Cấu hình Content Download Job 59 BÀI 6: CẤU HÌNH “PROXY SERVER” CHOISASERVER 62 6.1. Cấu hình: 62 6.2. Sử dụng “ISA Firewall Client” để tự động cấu hình Proxy 63 BÀI 7: SAO LƯU VÀ PHỤC HỒI THÔNG TIN CẤU HÌNH ISASERVER 68 7.1. Sao lưu 68 7.2. Phục hồi 69 PHẦN II: TRIỂN KHAI MULTI VPN 71 PHẦN I: XÂY DỰNG PROXY VÀ FIREWALL VỚI ISASERVER BÀI 1: TỔNG QUAN VỀ ANTOÀNMẠNG Mục tiêu: ¾ Hiểu biết tầm quan trọng của bảo mật mạng trong doanhnghiệp ¾ Hiểu biết tài sản doanhnghiệp và những thành phần liên quan đến bảo mật ¾ Nắm bắt được các phương thức tấn công trên mạng và cách phòng chống 1.1. Khái niệm bảo mật Trong bối cảnh tiến trình hội nhập, vấn đề an ninh mạng và bảo mật dữ liệu đang trở nên rất được quan tâm. Khi cơ sở hạ tầng và các công nghệ mạng đã đáp ứng tốt các yêu cầu về băng thông, chất lượng dịch vụ, đồng thời thực trạng tấn công trên mạng đang ngày một gia tăng thì vấn đề bảo mật càng được chú trọng hơn. Không chỉ các nhà cung cấp dịch vụ Internet, các cơ quan chính phủ mà các doanh nghiệp, tổ chức cũng có ý thức hơn về antoàn thông tin. Triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanhnghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanhnghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, etc ). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những phương thức tấn công vào hệ thống mạng của chúng ta. Ai tạo ra bức tường lửa đủ mạnh này để có thể chống đở mọi ý đồ xâm nhập vào hệ thống? trước hết đó là ý thức sử dụng máy tính antoàn của tất cả mọi nhân viên trong một tổ chức, sự am hiểu tinh tường của các Security Admin trong tổ chức đó, và cuối cùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này. Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước. Nhưng tựu trung lại gồm ba hướng chính sau: • Bảo đảm antoàncho phía server • Bảo đảm antoàncho phía client • Bảo mật thông tin trên đường truyền 1.2. Các hình thức tấn công trên mạng ¾ Tấn công trực tiếp Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được quyền truy nhập hệ thống mạng bên trong. Điển hình cho tấn công trực tiếp là các hacker sử dụng một phương pháp tấn công cổ đIển là dò tìm cặp tên người sử dụng và mật khẩu thông qua việc sử dụng một số thông tin đã biết về người sử dụng để dò tìm mật khẩu, đây là một phương pháp đơn giản dễ thực hiện. Ngoài ra các hacker cũng có thể sử dụng một chương trình tự động hoá cho việc dò tìm này. Chương trình này có thể dễ dàng lấy được thông tin từ Internet để giải mã các mật khẩu đã mã hoá, chúng có khả năng tổ hợp các từ trong một từ điển lớn dựa theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành công của phương pháp này cũng khá cao, nó có thể lên tới 30%. ¾ Nghe trộm trên mạng Thông tin gửi đi trên mạng thường được luân chuyển từ máy tính này qua hàng loạt các máy tính khác mới đến được đích. Điều đó, khiến cho thông tin của ta có thể bị kẻ khác nghe trộm. Tồi tệ hơn thế, những kẻ nghe trộm này còn thay thế thông tin của chúng ta bằng thông tin do họ tự tạo ra và tiếp tục gửi nó đi. Việc nghe trộm thường được tiến hành sau khi các hacker đã chiếm được quyền truy nhập hệ thống hoặc kiểm soát đường truyền. May mắn thay, chúng ta vẫn còn có một số cách để bảo vệ được nguồn thông tin cá nhân của mình trên mạng bằng cách mã hoá nguồn thông tin trước khi gửi đi qua mạng Internet. Bằng cách này, nếu như có ai đón được thông tin của mình thì đó cũng chỉ là những thông tin vô nghĩa. ¾ Giả mạo địa chỉ Giả mạo địa chỉ có thể được thực hiện thông qua sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này kẻ tấn công gửi các gói tin tới mạng khác với một địa chỉ giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin phải đi. Thí dụ người nào đó có thể giả mạo địa chỉ của bạn để gửi đi những thông tin có thể làm ảnh hưởng xấu tới bạn. ¾ Vô hiệu hoá các chức năng của hệ thống Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ. Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp. Điều này được thể hiện rõ qua các đợt tấn công vào các Website của Mỹ đầu tháng 2/2000 vừa qua. ¾ Tấn công vào các yếu tố con người Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường. Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác. Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên mạng chính là người sử dụng. Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, bảo mật dữ liệu không cao. Chính họ đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua email hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn. Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặn một cách hữu hiệu chỉ có phương pháp duy nhất là hướng dẫn người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh giác. Nói chung yếu tố con người là một đIểm yếu trong bất kỳ một hệ thống bảo vệ nào và chỉ có sự hướng dẫn của người quản trị mạng cùng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao độ antoàn của hệ thống bảo vệ. ¾ Một số kiểu tấn công khác Ngoài các hình thức tấn công kể trên, các hacker còn sử dụng một số kiểu tấn công khác như tạo ra các virus đặt nằm tiềm ẩn trên các file khi người sử dụng do vô tình trao đổi thông tin qua mạng mà người sử dụng đã tự cài đặt nó lên trên máy của mình. Ngoài ra hiện nay còn rất nhiều kiểu tấn công khác mà chúng ta còn chưa biết tới và chúng được đưa ra bởi những hacker. 1.3. Phương pháp chung ngăn chặn các kiểu tấn công Để thực hiện viêc ngăn chặn các truy nhập bất hợp pháp đòi hỏi chúng ta phải đưa ra những yêu cầu hoạch định chính sách như: xác định những ai có quyền sử dụng tài nguyên của hệ thống, tài nguyên mà hệ thống cung cấp sẽ được sử dụng như thế nào những ai có quyền xâm nhập hệ thống. Chỉ nên đưa ra vừa đủ quyền cho mỗi người để thực hiện công việc của mình. Ngoài ra cần xác định quyền lợi và trách nhiệm của người sử dụng cùng với quyền lợi và nghĩa vụ của người quản trị hệ thống. Hiện nay, để quản lý thông tin truy nhập từ ngoài vào trong hay từ trong ra ngoài người ta đã thiếtlập một bức tường lửa (Firewall) ngăn chặn những truy nhập bất hợp pháp từ bên ngoài đồng thời những server thông tin cũng được tách khỏi các hệ thống site bên trong là những nơi không đòi hỏi các cuộc xâm nhập từ bên ngoài. Các cuộc tấn công của hacker gây nhiều thiệt hại nhất thường là nhằm vào các server. Hệ điều hành mạng, các phần mềm server, các CGI script đều là những mục tiêu để các hacker khai thác các lỗ hỗng nhằm tấn công server. Các hacker có thể lợi dụng những lỗ hổng đó trên server để đột kích vào các trang web và thay đổi nội dung của trang web đó, hoặc tinh vi hơn nữa là đột nhập vào mạng LAN và sử dụng server để tấn công vào bất kỳ máy tính nào trong mạng LAN đó. Vì vậy, việc đảm antoàn tuyệt đối cho phía server không phải là một nhiệm vụ đơn giản. Điều phải làm trước tiên là phải lấp kín các lỗ hỗng có thể xuất hiện trong cài đặt hệ điều hành mạng, đặt cấu hình các phần mềm server, các CGI script, cũng như phải quản lý chặt chẽ các tài khoản của các user truy cập. Việc bảo mật thông tin cá nhân của người sử dụng truyền đi trên mạng cũng là một vấn đề cần xem xét nghiêm túc. Ta không thể biết rằng thông tin của chúng ta gửi đi trên mạng có bị ai đó nghe trôm hoặc thay đổi nội dung thông tin đó không hay sử dụng thông tin của chúng ta vào các mục đích khác. Để có thể đảm bảo thông tin truyền đi trên mạng một cách an toàn, đòi hỏi phải thiếtlập một cơ chế bảo mật. Điều này có thể thực hiện được thông qua việc mã hoá dữ liệu trước khi gửi đi hoặc thiếtlập các kênh truyền tin bảo mật. Việc bảo mật sẽ giúp cho thông tin được bảo vệ an toàn, không bị kẻ khác lợi dụng. Ngày nay, trên Internet người ta đã sử dụng nhiều phương pháp bảo mật khác nhau như sử dụng thuật toán mã đối xứng và mã không đối xứng (thuật toán mã công khai) để mã hoá thông tin trước khi truyền trên internet. Tuy nhiên ngoài các giải pháp phần mềm hiện nay người ta còn áp dụng cả các giải pháp phần cứng. Một yếu tố chủ chốt để chống lại truy nhập bất hợp pháp là yếu tố con người, chúng ta phải luôn luôn nhắc nhở mọi người có ý thức trong việc sử dụng tài nguyên chung, tránh những sự cố làm ảnh hưởng tới nhiều người. Công tác bảo mật thường được bắt đầu bằng những cách thiếtlập ngay trên hệ thống, cũng như chính sách của công ty (các Group Policy triển khai): ¾ Đối với các tài khoản trên hệ thống: 9 Đổi password theo định kỳ với các password phức tạp với độ dài ít nhất là 6 ký tự trong đó phải có ký tự phức tạp. 9 Xác định thời gian có thể đăng nhập vào hệ thống, thoát khỏi hệ thống khi hết thời điểm sử dụng mạng. 9 Users chỉ được phép sử dụng ở một máy cố định nào đó và máy đó phải gia nhập vào Domain. ¾ Đối với nơi lưu trữ: 9 Đảm bảo phân quyền một cách hợp lý, hạn chế những phân quyền mặc định. 9 Cấp quyền phù hợp cho từng nhóm người có trách nhiệm về tương tác với dữ liệu. 9 Đảm bảo luôn luôn có backup để phục hồi khi có sự cố. 9 Antoàn về mặt vậy lý: giải pháp chống cháy, sự cố về điện…. 9 Dữ liệu truyền tải phải đảm bảo an toàn, không có sự thay đổi hoặc đánh cắp thông tin. ¾ Đối với hệ thống: 9 Đảm bảo hệ thống luôn luôn được cập nhật, không chỉ các hệ điều hành mà còn cả những ứng dụng của người dùng. 9 Sử dụng các chương trình Antivirus, AntiSpyware…. một cách hợp lý và phù hợp. 9 Triển khai các chính sách phù hợp cho việc theo dõi, bảo trì cũng như nâng cấp hệ thống. 9 Ghi nhận các sự kiện. Đó là một số công tác phải thực hiện để đảm bảo tính bảo mật cho hệ thống; bao gồm vai trò của các IPO – chính sách - người quản trị - người dùng. Kết luận: ¾ Nhiệm vụ bảo mật và bảo vệ gồm ba hướng chính sau: 9 Bảo đảm antoàncho phía server 9 Bảo đảm antoàncho phía client 9 Bảo mật dữ liệu và bảo mật thông tin trên đường truyền ¾ Các hình thức tấn công trên mạng 9 Tấn công trực tiếp 9 Nghe trộm trên mạng 9 Giả mạo địa chỉ 9 Vô hiệu hoá các chức năng của hệ thống 9 Tấn công vào các yếu tố con người ¾ Phương pháp chung ngăn chặn các kiểu tấn công 9 Đổi password theo định kỳ 9 Xác định thời gian có thể đăng nhập vào hệ thống, thoát khỏi hệ thống khi hết thời điểm sử dụng mạng. 9 Đảm bảo phân quyền một cách hợp lý, hạn chế những phân quyền mặc định. 9 Cấp quyền phù hợp cho từng nhóm người có trách nhiệm về tương tác với dữ liệu. 9 Đảm bảo luôn luôn có backup để phục hồi khi có sự cố. 9 Đảm bảo hệ thống luôn luôn được cập nhật, không chỉ các hệ điều hành mà còn cả những ứng dụng của người dùng. 9 Sử dụng các chương trình Antivirus, AntiSpyware…. một cách hợp lý và phù hợp. 9 Triển khai các chính sách phù hợp cho việc theo dõi, bảo trì cũng như nâng cấp hệ thống. BÀI 2: GIỚI THIỆU VÀ CÀI ĐẶT ISASERVER 2004 Mục tiêu: ¾ Hiểu biết về phần mềm ISAServer ¾ Biết cách cài đặt chương trình ISAServer 2.1. Giới thiệu Trong số những sản phẩm tường lữa (firewall) kiêm chức năng NAT trên thị trường hiện nay thì ISA ( Internet Connection Sharing ) của Microsoft được nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt. ISAServer 2004 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau. ISAServer 2004 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông (còn gọi là Internet Connection Sharing) cho các doanhnghiệp có quy mô vừa và nhỏ. Với phiên bản này chúng ta có thể xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của Doanh nghiệp, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp. Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các Doanhnghiệp có những hệ thống máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2004 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự - không có sự tấn công của Hacker hay sự phòng thủ của người quản trị mạng) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, ISA 2004 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet). ISAServer 2004 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISAServer 2004 Standard, bản Enterprise còn cho phép thiếtlập hệ thống mảng các ISAServer cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). Tóm lại, ISAServer 2004 có các chức năng chính: 9 Chia sẻ kết nối internet – chia sẻ băng thông của đường trưyền internet. 9 Lập Firewall Server, kiểm soát, khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội bộ hoặc ngược lại. 9 Tăng tốc truy cập Web bằng giải pháp Cache trên Server 9 Hổ trợ thiếtlập hệ thống VPN (mạng riêng ảo) với ISAServer làm VPN Server. 9 ISAServer 2004 Enterprise còn có thêm tính năng “Load Balancing” hổ trợ giải pháp cân bằng tải giữa 2 hay nhiều đường truyền internet. 2.2 Cài đặt ISA 2004. ¾ Các mô hình mạng dùng ISA Server: 9 ISAServer kiêm nhiệm Domain Controller, File Server, Web Server, Mail Server… 9 ISAServer tạo thành một Firewall, ngăn cách internet với các Server khác trong mạng. ¾ Trước khi cài đặt ISAServer 2004 9 Vài thuật ngữ dùng trong ISAServer o External network: các host giao tiếp với ISAServer qua card giao tiếp internet trên máy ISA o Internal network: các host thuộc mạng nội bộ - giao tiếp ISAServer qua card giao tếip nội bộ o Local host: máy ISAServer o Firewall: Hệ thống kiểm soát các luồng dữ liệu ra/vào, ngang qua “Local host”. o Web Caching: Nơi lưu trữ (tạm thời) dữ liệu từ các Web Server đi vào internet ngang qua ISA Server. 9 Chuẩn bị máy trước khi cài ISA Server: o Máy chủ phải cài Windows 2003 server, có 2 NIC. Một dùng giao tiếp nội mạng và một dùng giao tiếp ra Internet. o Server nên có DHCP (để cấp địa chỉ IP động) và DNS (để phân giải tên miền). o Đặt tên 2 card mạng trên máy sao cho dễ nhận diện. Ví dụ: Local và Internet. o Xác lập địa chỉ IP tĩnh cho các card mạng Local: o Xác lập địa chỉ IP tĩnh cho các card mạng Internet: ¾ Tiến hành cài đặt ISAServer 2004 1. Mở file ISAAutorun.exe trên CDROM ISA 2004. 2. Màn hình Setup ISA 2004 Æ Chọn “Install ISAServer 2004” [...]... dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập Cấu hình ISA Firewall Policy thông qua giao diện của chương trình ISA Management Console” trên chính máy ISAServer hoặc cài công cụ quản lý ISA Management Console” trên một máy khác và kết nối đến ISAServer để thực hiện các thao tác quản trị từ xa Giao diện của ISAServer Management console”... Server làm VPN Server BÀI 3: FIREWALL POLICIES TRÊN ISASERVER Mục tiêu: Hiểu biết và nắm rỏ các chính sách trên ISAServer Quản lý các giao thức truy cập vào, ra thông qua ISAServer 3.1 Giới thiệu Mặc định, sau khi ISAServer 2004 cài đặt hoàn tất, ISAServer 2004 sẽ thay thế dịch vụ “Routing and Remote Access” của Windows Server để thực hiện chức năng NAT Tuy nhiên, Firewall Policy của ISAServer mặc... đi ngang qua ISAServer Publishing Rule: Dùng để cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập BÀI 4: PUBLISSING WEB VÀ MAIL TRONG ISA 2004 Mục tiêu: Biết cách Publish các Web Server và Mail Server ra mạng ngoài 4.1 Giới thiệu: Để người dùng bên ngoài Internet có thể truy cập đến các Mail hoặc Web server trong Doanh nghiệp. .. Kết quả: Máy ISAServer được phép truy cập tất cả dịch vụ trên internet Áp đặt tất cả người dùng 3.5 Cho phép ISAServer cấp IP động cho các Client Giả định, máy ISAServer cũng là một DHCP Server Chắc chắn rằng, sau khi cài đặt ISA Server, chức năng DHCP trên ISAServer sẽ bị khoá lại Cũng nên hiểu rằng, dịch vụ DHCP hoạt động 2 chiều: Từ các DHCP Client, tín hiệu xin IP được phát lên mạng (gọi là... với ISA 2004 Server 6 Tiếp tục cài đặt nhấn Finish để hoàn tất quá trình cài đặt ISA 2004 Kết luận: ISAServer 2004 có các chức năng chính: Chia sẻ kết nối internet – chia sẻ băng thông của đường trưyền internet Lập Firewall Server, kiểm soát, khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội bộ hoặc ngược lại Tăng tốc truy cập Web Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server. .. Mặc định, sau khi ISAServer 2004 cài đặt hoàn tất, ISAServer 2004 sẽ thay thế dịch vụ “Routing and Remote Access” của Windows Server để thực hiện chức năng NAT Tuy nhiên, Firewall Policy của ISAServer mặc định là đóng tất cả các port (TCP lẫn UDP) trên máy ISAServer Firewall Policies trên ISAServercho phép người quản trị đặt ra các quy tắc (Rule) cho phép (Allow) hoặc cấm (Deny) các luồng dữ liệu... thừa hưởng dịch vụ DHCP từ ISAServer 3.6 Cho phép các Client và Local host truy vấn DNS Tương tự như DHCP, dịch vụ DNS server cài đặt trên ISAServer cũng không được phép hoạt động nếu chưa tạo rule cho phép DNS cũng hoạt động 2 chiều như DHCP: Từ các DNS Client, tín hiệu truy vấn tên miền, hoặc truy vấn IP (gọi là DNS Client) được gởi đến DNS Server Nếu ISAServer cũng là DNS Server, nó sẽ tiếp nhận... Web Server (IP address là 192.168.1.100) Web Server này ngăn cách internet bởi ISAServer Để người dùng internet truy xuất Web Server trên qua ISA Server, người quản trị phải thực hiện Publish Web Server trên ISA Firewall 1 Trong ISA Managerment” Firewall Policy 2 Đặt tên cho Rule tại “Web publishing Tasks Publishing a Web Server ... thứ 7, không khống chế thời gian Tạo nhóm người dùng trong ISAServer Việc tạo nhóm người dùng (gọi là User sets) sẽ giúp cho người Quản trị áp đặt “access rule” cho người dùng cụ thể trong mạng 1 Trong ISA Managerment”, chọn Toolbox (ở nhánh bên phải) Users Click New 2 Đặt tên cho đối tượng User set Ví dụ “Sale Group” 3 Trong cửa sổ “Users”: Chọn “Add “ “Windows user and Groups 4 Chọn các Tài khoản... các port (TCP lẫn UDP) trên máy ISAServer Điều này làm cho tất cả giao tiếp mạng từ Server đến Internal hoặc External đều bị khoá Firewall Policies trên ISAServercho phép người quản trị đặt ra các quy tắc (Rule) cho phép (Allow) hoặc cấm (Deny) các luồng dữ liệu (theo giao thức kết nối – Protocol) di chuyển từ nơi này đến nơi khác (Source và Destination), áp đặt cho một hay nhiều người dùng cụ thể . VỚI ISA SERVER BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG Mục tiêu: ¾ Hiểu biết tầm quan trọng của bảo mật mạng trong doanh nghiệp ¾ Hiểu biết tài sản doanh nghiệp và những thành phần liên quan đến. HỆ THỐNG AN TOÀN MẠNG DOANH NGHIỆP PHẦN I: XÂY DỰNG PROXY VÀ FIREWALL VỚI ISA SERVER 2 BÀI 1: TỔNG QUAN VỀ AN TOÀN MẠNG 2 1.1. Khái niệm bảo mật 2 1.2. Các hình thức tấn công trên mạng 2 1.3 ngoài vào mạng nội bộ hoặc ngược lại. 9 Tăng tốc truy cập Web bằng giải pháp Cache trên Server 9 Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server. 9 ISA Server 2004