MỤC LỤCPhần I: Mở đầu 21. Tên đề tài 22. Lý do chọn đề tài 2LỜI CẢM ƠN 3Phần II: Nội dung 4Chương I: Proxy 41.1. Các khái niệm về Proxy 41.2. Giới thiệu chung về Proxy Server 41.4. Ý nghĩa của proxy server 51.5. Các sử dụng proxy có hiệu quả 6Chương II: Firewall 62.1. Firewall 62.2. Thành phần và cơ chế hoạt động của Firewall 62.3. Kỹ thuật Firewall 92.4. Hạn chế của Firewall 10Chương III: Microsoft Internet Security and Acceleration Server 113.1. ISA 2006 113.2. Cài đặt ISA 2006 143.3. Cấu hình Web Proxy cho ISA 213.4. Web Publishing and Server Publishing 223.5. Publish Web Server 233.6. Publish Mail Server 25Phần III: Kết Luận 311. Kết quả đạt được 312. Hạn chế 313. Hướng phát triển 31TÀI LIỆU THAM KHẢO 321Phần I: Mở đầu1. Tên đề tàiTìm hiểu dịch vụ Proxy Server2. Lý do chọn đề tàiInteret là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Chính điểmyếu này làm giảm khả năng bảo mật thông tin nội bộ của hệ thống. Nếu chỉ là mạngLAN thì không có vấn đề gì, nhưng khi đã kết nối Internet thì phát sinh những vấn đềhết sức quan trọng trong việc quản lý các tài nguyên quý giá, nguồn thông tin, như chếđộ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn cho phép người được ủynhiệm sử dụng các nguồn thông tin mà họ được cấp quyền và phương pháp chống ròrỉ thông tin trên các mạng truyền dữ liệu công cộng. Chính sự quan trọng của bảo mậtthông tin trên mạng Internet nhóm chúng em đã chọn đề tài và tìm hiểu dịch vụ ProxyServer.2
Trang 2độ bảo vệ chống việc truy cập bất hợp pháp trong khi vẫn cho phép người được ủy nhiệm sử dụng các nguồn thông tin mà họ được cấp quyền và phương pháp chống rò
rỉ thông tin trên các mạng truyền dữ liệu công cộng Chính sự quan trọng của bảo mật thông tin trên mạng Internet nhóm chúng em đã chọn đề tài và tìm hiểu dịch vụ Proxy Server
Trang 3LỜI CẢM ƠN
Sau một thời gian tìm hiểu và nghiên cứu đề tài ‘Tìm hiểu dịch vụ Proxy Server’
nhóm chúng em đã hoàn thành đúng thời gian cho phép, mặc dù với khối lượng kiến
thức còn hạn chế Nhưng với sự giúp đỡ nhiệt tình của thầy hướng dẫn Lê Văn Vịnh
chúng em đã hoàn thành đề tài với yêu cầu đặt ra Tuy nhiên trong quá trình làm vẫn
còn có nhiều sai xót nên chúng em rất mong nhận được những ý kiến đóng góp của
Thầy cùng toàn thể các bạn trong lớp để bài tập của chúng em được hoàn thiện
Hưng Yên, ngày 23 tháng 04 năm 2013 Nhóm sinh viên thực hiện:
1 Bùi Thị Thanh Hằng
2 Bùi Thị Mỹ Linh
3 Nguyễn Thị Thùy Dung
4 Vũ Thị Hương
Trang 4Phần II: Nội dung
Chương I: Proxy
I.1 Các khái niệm về Proxy
I.2 Giới thiệu chung về Proxy Server
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn Những proxy server phục vụ nghi thức đặc biệt hoặc một tập những nghi thức thực thi trên dual_homed host hoặc basion host Những chương trình Client của người sử dụng sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp
Proxy server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho Client
và tiếp tục chuyển tiếp đến những yêu cầu từ Client đến server, cũng giống như đáp ứng những yêu cầu của server đến Client Vì vậy proxy server giống như cầu nối trung gian giữa server và client
Để đáp ứng nhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng cung cấp bởi Internet nhưng vẫn đảm bảo được an toàn cho hệ thông cục bộ Trong hầu hết những phương pháp đảm bảo được đưa ra để giải quyết điều này là cung cấp một host đơn để truy xuất đến Internet cho tất cả người sử dụng Tuy nhiên, phương pháp này không phải là phương pháp giải quyết thỏa mãn nhất bởi vì nó tạo cho người sử dụng cảm thấy không thoải mái Khi truy xuất đến Internet thì họ không thể thực hiện những công việc đó một cách trực tiếp, phải login vào dual_homed host, để thực hiện tất cả những công việc ở đây, và sau đó bằng cách nào đó chuyển đổi kết quả đạt được của công việc trở lại workstation sở hữu Điều này trở nên tồi tệ với nhiều hệ điều hành khác nhau
Ví dụ: Nếu hệ thống là bastion_host nhưng riêng dual_host là UNIX.Khi dual_homed host được thiết kế trên mô hình không có proxy, điều đó sẽ khiến cho người sử dụng thêm bực bội và đáng chú ý hơn là giảm đi những tiện ích mà internet cung cấp, tồi
tệ hơn chúng thường cung cấp một cách không an toàn và đầy đủ, khi một máy gồm nhiều người sử dụng tất nhiên mức độ an toàn của nó sẽ giảm Proxy server giúp người sử dụng thoải mái hơn và an toàn cho dual_homed host, thay thế yêu cầu của người sử dụng bằng cách gián tiếp thông qua dual homed host Hệ thống proxy cho phép tất cả những tương tác dưới một hình thức nào đó User có cảm giác làm việc trực tiếp với server trên internet mà họ thật sự muốn truy xuất
Trang 5I.3 Chức năng của Proxy
Đối với một số hãng, công ty người ta sử dụng proxy với mục đích: Giúp nhiều máy tính truy cập Internet thông qua một máy tính với tài khoản truy cập nhất định, máy tính này được gọi là Proxy server Chỉ duy nhất máy Proxy này cần modem và account truy cập internet, các máy client (các máy trực thuộc) muốn truy cập internet qua máy này chỉ cần nối mạng LAN tới máy Proxy và truy cập địa chỉ yêu cầu
Những yêu cầu của người sử dụng sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp, tại điểm trung gian này công ty kiểm soát được mọi giao tiếp từ trong công ty ra ngoài intrnet và từ internet vào máy của công
ty Sử dụng Proxy, công ty có thể cấm nhân viên truy cập những địa chỉ web không cho phép, cải thiện tốc độ truy cập nhờ sự lưu trữ cục bộ các trang web trong bộ nhớ của proxy server và giấu định danh địa chỉ của mạng nội bộ gây khó khăn cho việc thâm nhập từ bên ngoài vào các máy của công ty
Đối với các nhà cung cấp dịch vụ đường truyền internet: Do internet có nhiều lượng thông tin mà theo quan điểm của từng quốc gia, từng chủng tộc hay địa phương mà các nhà cung cấp dịch vụ internet khu vực đó sẽ phối hợp sử dụng proxy với kỹ thuật tường lửa để tạo ra một bộ lọc gọi là firewall proxy nhằm ngăn chặn các thông tin độc hại hoặc trái thuần phong mỹ tục đối với quốc gia, chủng tộc hay địa phương đó Địa chỉ các website mà khách hàng yêu cầu truy cập sẽ được lọc tại bộ lọc này, nếu địa chỉ không bị cấm thì yêu cầu của khách hàng tiếp tục được gửi đi, tới các DNS server của các nhà cung cấp dịch vụ Firewall proxy sẽ lọc tất cả các thông tin từ internet gửi vào máy của khách hàng và ngược lại
I.4 Ý nghĩa của proxy server
Proxy không chỉ có giá trị bởi nó làm được nhiệm vụ của một bộ lọc thông tin, nó còn tạo ra được sự an toàn cho các khách hàng của nó, firewall Proxy ngăn chặn hiệu quả sự xâm nhập của các đối tượng không mong muốn vào máy của khách hàng Proxy lưu trữ được các thông tin mà khách hàng cần trong bộ nhớ, do đó làm giảm thời gian truy tìm làm cho việc sử dụng băng thông hiệu quả
Proxy server giống như một vệ sĩ bảo vệ khỏi những rắc rối trên Internet Một Proxy server thường nằm bên trong tường lửa, giữa trình duyệt web và server thật, làm chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp trực tiếp Internet Người dùng sẽ không truy cập được những trang web không cho phép (bị cấm)
Mọi yêu cầu của máy khách phải qua Proxy server, nếu địa chỉ IP có trên proxy, nghĩa là website này được lưu trữ cục bộ, trang này sẽ được truy cập mà không cần phải kết nối Internet, nếu không có trên Proxy server và trang này không bị cấm, yêu cầu sẽ được chuyển đến server thật, DNS server và ra Internet Proxy server lưu trữ cục bộ các trang web thường truy cập nhất trong bộ đệm để giảm chi phí kết nối, giúp tốc độ duyệt web với tốc độ nhanh hơn
Trang 6Proxy server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại cho mạng hai định danh: một cho nội bộ, một cho bên ngoài Điều này tạo ra một “bí danh” đối với thế giới bên ngoài và gây khó khăn đối với nếu người dùng “tự tung tự tác” hay các hacker muốn xâm nhập trực tiếp máy tính nào đó.
I.5 Các sử dụng proxy có hiệu quả
Do các proxy có quy mô bộ nhớ khác nhau và số lượng người đang sử dụng proxy nhiều-ít khác nhau, Proxy server hoạt động quá tải thì tốc độ truy cập internet của khách hàng có thể bị chậm Mặt khác một số website khách hàng có đầy đủ điều kiện nhân thân để đọc, nghiên cứu nhưng bị tường lửa chặn không truy cập được thì biện pháp đổi proxy để truy cập là điều cần thiết nhằm đảm bảo công việc Do đó người sử dụng có thể chọn proxy server để sử dụng cho riêng mình Có các cách chọn lựa cho người sử dụng Sử dụng proxy mặc định của nhà cung cấp dịch vụ (internet), trường hợp này người sử dụng không cần điền địa chỉ IP của proxy vào cửa sổ internet option của trình duyệt trong máy của mình Sử dụng proxy server khác (phải trả phí hoặc miễn phí) thì phải điền địa chỉ IP của proxy server vào cửa sổ internet option của trình duyệt
Chương II: Firewall
2.1 Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn
2.2 Thành phần và cơ chế hoạt động của Firewall
a Thành phần của Firewall
- Firewall chuẩn gồm 1 hay nhiều các thành phần sau đây:
- Bộ lọc gói tin (packet- filtering router)
- Cổng ứng dụng ( application- level gateway hay proxy server)
- Cổng mạch
Trang 7b Cơ chế hoạt động của firewall.
- Bộ lọc gói tin: Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các gói dữ liệu nhận được từ các ứng dụng trên mạng thành các gói dữ liệu rồi gán cho các gói này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại firewall cũng liên quan nhiều đến các packet và những con số địa chỉ cảu chúng
- Bộ lọc gói tin cho phép hay từ chối mỗi gói tin mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu có thỏa mãn một trong các luật lệ của lọc gói tin hay không Các luật lệ mà lọc gói tin là dựa trên các thông tin trên mỗi đầu gói tin, dùng để cho phép truyền các gói tin đó trên mạng Bao gồm:
ü Địa chỉ IP nơi xuất phát
ü Địa chỉ Ip nơi nhận
ü Những giao thức truyền tin
ü Cổng UDP/TCP nơi xuất phát
ü Cổng UDP/TCP nơi nhận
ü Dạng thông báo ICMP
ü Giao diện gói tin đến
ü Giao diện gói tin đi
- Nếu gói tin thỏa các luật lệ đã được thiết lập trước của firewall thì gói tin được chuyển qua, nếu không sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall
có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ
- Ưu điểm của bộ lọc gói tin
ü Đa số các hệ thống firewall đểu sử dụng bộ lọc gói tin Một trong những ưu điểm cảu phương pháp dùng bộ lọc gói tin là đảm bảo thông qua của lưu lượng mạng
ü Bộ lọc gói tin là trong suốt đối với người dùng và các ứng dụng Vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả
- Hạn chế của bộ lọc gói tin
ü Việc định nghĩa các chế độ lọc gói tin là một việc khá phức tạp, nó đòi hỏi người quản trị mạng có hiểu biết chi tiết về các dịch vụ Internet, các dạng
Trang 8packet header và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòi hỏi về sự lọc càng lớn, các luật trở nên dài và phức tạp, rất khó để quản
lý và điều khiển
- Cổng ứng dụng: đây là một firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service (dịch vụ ủy quyền) Dịch vụ ủy quyền là các bộ code đặc biệt cài đặt trên gateway ho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho 1 ứng dụng nào đó thì dịch vụ tương ứng sẽ không được truy cập và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng
mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác
- Một cổng ứng dụng thường được coi như là một pháo đài chủ (bastion host), bởi vìnó được thiết kế đặc biệt chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:
ü Bastion host luôn chạy các version (phiên bản) an toàn của các phần mềm hệthống (Operating System) Các version an toàn này được thiết kế chuyên chomục đích chống lại sự tấn công vào phần mềm hệ thống, cũng như đảm bảo sựtích hợp Firewall
ü Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ được cài đặt, nó khó có thể
bị tấncông Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host
ü Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card
ü Mỗi proxy được cấu hình để cho phép truy nhập chỉ một số các máy chủ nhấtđịnh Điều này có nghĩa là bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúngvới một số máy chủ trên toàn hệ thống
ü Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của lưu lượngqua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trongviệc tìm theo dấu vết hay ngăn chặn kẻ phá hoại
ü Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên mạng, bởi vì ứng dụng proxy làm hạn chế bộ lệnh và quyết định những máy chủ nào có thể truy cập bởi dịch vụ
Trang 9ü Cho phép người quản trị mạng hoàn toàn có thể điều khiển được những dịch vụ nào cho phép,, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là các dịch vụ ấy bị khóa.
ü Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống
ü Luật lệ filtering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói tin
ü Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi 1 cổng ứng dụng Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ 1 hành động xử lý nào hay lọc gói tin nào
ü Cổng mạch được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tuin tưởng những người dùng bên trong Ưu điểm lớn nhất của
1 bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho kết nối đến và cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới dịch vụ internet, trong khi vẫn cung cấp chức năng firewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài
2.3 Kỹ thuật Firewall
- Lọc khung (Frame Filtering): Hoạt động trong hai tầng dưới cùng của mô hìnhOSI, có thể lọc, kiểm tra được mức bit và nội dung của khung tin Trong tầng này cáckhung dữ liệu không tin cậy sẽ bị từ chối ngay khi vào mạng
- Lọc gói tin (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạngcủa mô hình OSI Lọc gói cho phép hay từ chối gói tin mà nó nhận được
Nó kiểm tratoàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số cácquy định của lọc gói tin hay không Các quy tắc lọc gói tin dựa vào các thông tin trong phần mào đầu của gói tin
- Nếu quy tắc lọc gói tin được thỏa mãn thì gói tin được chuyển qua Firewall Nếukhông sẽ bị bỏ đi Như vậy Firewall có thể ngăn cản các kết nối vào hệ thống hoặc khóaviệc truy nhập vào hệ thống nội bộ từ những địa chỉ không cho phép
- Một số Firewall hoạt động ở tầng mạng thường cho phép tốc độ xử lý nhanh
vì chỉkiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên router, không xác định địa chỉsai hay bị cấm Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa chỉnguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống Tuy
Trang 10nhiên cónhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phụcnhược điểm trên, ngoài trường địa chỉ IP được kiểm tra còn có các thông tin khác được kiểm tra với quy tắc được tạo ra trên Firewall, các thông tin này có thể là thời gian truynhập, giao thức sử dụng, cổng.
- Firewall kiểu Packet Filtering có hai loại:
ü Packet filtering Firewall: Hoạt động tại tầng mạng của mô hình OSI KiểuFirewall này không quản lý được giao dịch trên mạng
ü Circuilt level gateway: Hoạt động tại tầng phiên của mô hình OSI Là loạiFirewall xử lý bảo mật giao dịch giữa hệ thống và người dùng cuối (VD: kiểm traID, mật khẩu), loại Firewall cho phép lưu vết trạng thái của người truy nhập
2.4 Hạn chế của Firewall
- Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó Firewall chỉ có thể ngăn chặn xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông
(data Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virustrên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của cácvirus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát củaFirewall Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những
kẻ xấuở bên trong thì sao Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi
Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hoá dữ liệu Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp vàcó chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảomật nào Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật Mộtnhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác
Trang 11của nhân viên, đồng nghiệp.
Chương III: Microsoft Internet Security and Acceleration Server
3.1 ISA 2006
• Giới thiệu ISA
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm share internet của hãng phần mềm Microsoft, là bản nâng cấp từ phần mềm MS ISA 2006 Server Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa tốt, nhiều tính năng cho phép bạn cấu hình sao cho thích hợp với mạng LAN của bạn Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache
và máy con chỉ cần lấy thông tin trên các WebServer đó bằng mạng LAN)
• Đặc điểm của ISA 2006:
Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập Firewall để lọc thông tin dựa trên từng địa chỉ mạng con,
Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong
ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài Internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network, chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp và mạng nội bộ
Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng
NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con
Network templates: Cung cấp các mô hình mẫu về một số kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng
Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo VPN và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác
Cung cấp một số kỹ thuật bảo mật, và thiết lập firewall cho hệ thống như :
Authentication, Publish Server, giới hạn traffic
Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web
Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, export và import cấu hình XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông báo qua Email
Trang 12Application Layer Filtering(ALF): là một trong những điểm mạnh của ISA Server
2006, không giống như packet filtering firewall truyền thống, ISA 2006 có thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng Một số đặc điểm nổi bật của ALF: Cho phép thiết lập bộ lọc HTTP inbuond và outbuond HTTP; Chặn được các cả các loại tập tin thực thi chạy trên nền Windown như pif, com, ; Có thể giới hạn HTTP download; Có thể truy xuất Web cho tất cả các Client dựa trên nội dung truy cập; Có thể điều khiển truy xuất HTTP dựa trên chữ ký; Điều khiển một số phương thức truy xuất của HTTP
• Các phiên bản của ISA 2006:
- Internet Acceleration and Security (ISA) Server 2006 :được xây dựng dựa trên các phiên bản ISA Server trước
- Nó cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng
- Có hai phiên bản ISA 2006 bao gồm:
ü Standard Edition: Với phiên bản này chúng ta có thể xây dựng firewall để:
Ø Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty
Ø Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp
Ø Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh
Ø Đối với các công ty có những hệ thống máy chủ quan trọng như Mail
Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA SERVER 2006 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống
Ø Ngoài các tính năng bảo mật thông tin trên, ISA SERVER 2006 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web
có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet)
ü Enterprise Edition :ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong
và ngoài hệ thống Ngoài những tính năng đã có trên ISA Server 2006, bản
Trang 13Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
• Ưu điểm của ISA 2006 so với phiên bản ISA 2004:
- Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng.)
- Về khả năng Publishing Service
ü ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based, chống lại các người dùng bất hợp pháp vào trang web OWA, tính năng này được phát triển dưới dạng Add-ins
ü Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password)
ü Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server
ü Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn, hỗ trợ cả các sản phẩm mới như Exchange 2007
ü Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được tích hợp hoàn toàn Quanratine
ü Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,
ü Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet ,
hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site
- Về khả năng quản lý
ü Dễ dàng quản lý (hiển nhiên không phải bàn)
ü Rất nhiều Wizard
ü Backup và Restore đơn giản
ü Cho phép ủy quyền quản trị cho các User/Group
Trang 14ü Log và Report cực tốt.
ü Cấu hình 1 nơi, chạy ở mọi nơi (nhưng nơi cài ISA Enterprise)
ü Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA
ü Hỗ trợ nhiều CPU và RAM
ü max 32 node Network Loadbalancing
• Cài đặt ISA trên máy chủ một card mạng
Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là
UnihomedISAFirewall ),chỉ hỗ trợ HTTP,HTTPS,HTTP-tunneled (Web proxied)FTP.ISA không hỗ trợ một số chức năng:
Trang 15- Application-layer inspection ( trừ giao thức HTTP)
Các bước cài đặt ISA firewall trên máy chủ chỉ có một NIC:
- Khi ta cài đặt ISA trên máy Server chỉ có một card mạng (còn gọi là
Unihomed ISA Firewall), chỉ hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP ISA không hỗ trợ một số chức năng: SecureNAT client, Firewall Client,
Server Publishing Rule, Remote Access VPN, Site-to-Site VPN, Multi-networking, Application-layer inspection ( trừ giao thức HTTP), Chạy tập tin isaautorun.exe từ CDROM ISA 2006 hoặc từ ISA 2006 source
- Nhấp chuột vào “Install ISA Server 2006” trong hộp thoại “Microsoft Internet Security and Acceleration Server 2006”
- Nhấp chuột vào nút Next trên hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2006” để tiếp tục cài đặt
- Chọn tùy chọn Select “I accept” trong hộp thoại “License Agreement”, chọn Next
- Nhập một số thông tin về tên username và tên tổ chức sử dụng phần mềm trong User Name và Organization textboxe Nhập serial number trong Product Serial Number textbox
- Nhấp Next để tiếp tục
- Chọn loại cài đặt (Installation type) trong hộp “Setup Type”, chọn tùy chọn Custom, chọn Next
- Trong hộp thoại “Custom Setup” mặc định hệ thống đã chọn
Firewall Services Advanced Logging, và ISA Server Management Trên Unihomed ISA firewall chỉ hỗ trợ Web Proxy Client nên ta có thểkhông chọn tùy chọn Firewall client Installation share tuy nhiên ta có thể chọn nó để các Client có thể sử dụng phần mềm này để hỗ trợ truy xuất Web qua Web Proxy.Chọn Next để tiếp tục
Trang 16Hình 1: Chọn Firewall Client Installation Share.
Chỉ định address range cho cho Internet network trong hộp thoại “Internal Network”, sau đó chọn nút Add Trong nút Select Network Adapter, chọn Internal ISA NIC
Hình 2: Mô tả Internet Network Range
Sau khi mô tả xong “Internet Network address ranges”, chọn Next trong hộp thoại
“Firewall ClientConnection Settings” Sau đó chương trình sẽ tiến hành cài đặt vào hệ thống, chọn nút Finish để hoàn tất quá trình
• Cài đặt ISA trên máy chủ có nhiều card mạng
