1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Giáo trình hình thành ứng dụng điều khiển kỹ thuật quản lý trong Exchange server p5 pot

10 267 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 10
Dung lượng 887,87 KB

Nội dung

Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 508/555 Hình 5.32: Cấu hình HTTP policy. ISA Server Link Translator: Link Translator là một trong những kỹ thuật được xây dựng sẵn trong ISA firewall Web filter để thực hiện biến đổi địa chỉ URL cho các kết nối của user bên ngoài truy xuất vào Web publishing nội bộ, Link Translation dictionary được tạo khi ta kích hoạt (enable) link translation cho Web Publishing Rule. Một số Link Translator dictionary mặc định: - Bất kỳ sự kiện nào xảy ra trên Web Site được chỉ định trong Tab To của Web Publishing Rule được thay thế bằng một tên Web Site (hoặc địa chỉ IP). Ví dụ, nếu ta đặt một luật cho Web Publishing là chuyển tất cả các incoming request theo địa chỉ http://www.microsoft.com của Client truy xuất vào ISA Server thì sẽ chuyển tới Web Server nội bộ có tên là SERVER1 (có địa chỉ192.168.1.1), khi đó ISA Server sẽ thay thế tất cả các response của http://SERVER1 thành địa chỉ http://www.microsoft.com gởi trả lại cho Client bên ngoài. - Nếu không chỉ định port mặc định trên Web listener, thì port đó sẽ được gởi trả lại cho Client. Ví dụ, nếu có chỉ định port mặc định trên Web listener thì thông số port sẽ được loại bỏ khi thay thế địa chỉ URL trong trang trả về (response page). Nếu Web listener lắng nghe (listening) trên port 88 của giao thức TCP thì thông tin trả v ề cho Web Client có chứa giá trị port 88 của giao thức TCP. - Nếu Client sử dụng HTTPS gởi yêu cầu đến ISA firewall thì firewall sẽ thay thế HTTP thành HTTPS gởi trả về Client. - Ví dụ: Giả sử ISA firewall publish một site trên máy có tên là SERVER1. ISA firewall publish site sử dụng tên chính (public name) là www.msfirewall.org/docs. External Web client gởi một request với thông tin “GET /docs HTTP/1.1Host: www.msfirewall.org” Khi Internet Information Services (IIS) Server nhận request thì nó sẽ tự động trả về mã số 302 response với header được mô tả là http://SERVER1/docs/, đây là tên nội bộ (Internal Name) Web server. Link Translator của ISA firewall sẽ thay đổi (translates) header trả lời (response header) với giá trị là http://www.msfirewall.org/docs/. Trong ví dụ trên thì một số thông tin (entries) sẽ tự động thêm vào Link Translation dictionary: http://SERVER1 > http://www.msfirewall.org http://SERVER1:80 > http://www.msfirewall.org https://SERVER1 > https://www.msfirewall.org https://SERVER1:443 > https://www.msfirewall.org Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 509/555 - Nếu ISA firewall publish một site sử dụng Web listener không phải trên port mặc định (nondefault ports) ( ví dụ: 85 cho HTTP và 885 cho SSL),thì địa chỉ URL sẽ được thay đổi như sau theo các mục ánh xạ địa chỉ URL như sau: http://SERVER1 > http://www.msfirewall.org:85 http://SERVER1:80 > http://www.msfirewall.org:85 https://SERVER1 > https://www.msfirewall.org:885 https://SERVER1:443 > https://www.msfirewall.org:885 V.6.3 Phát Hiện Và Ngăn Ngừa Tấn Công. - Một số phương thức tấn công thông dụng: Denial-of-Service Attacks: Là kiểu tấn công rất lợi hại, vớ i kiểu tấn công này ,bạn chỉ cần 1 máy tính kết nối đến internet là đã có thể thực hiện việc tấn công đối phương. thực chất của DoS là attacker sẽ chiếm dụng 1 lượng lớn tài nguyên trên Server làm cho Server không thể nào đáp ứng yêu cầu của người dùng khác và Server có thể nhanh chóng bị ngừng hoạt động hay bị treo. Attacker làm tràn ngập hệ thống có thể là bằng tin nh ắn, tiến trình, hay gửi những yêu cầu đến hệ thống mạng từ đó buộc hệ thống mạng sẽ sử dụng tất cả thời gian để khứ hồi tin nhắn và yêu cầu. nhiều lúc dẫn đến việc bị tràn bộ nhớ. Khi sự làm tràn ngập dữ liệu là cách đơn giản và thông thường nhất để phủ nhận dịch vụ thì 1 attacker không ngoan hơn sẽ có th ể tắt dịch vụ, định hướng lại và thay thế theo chiều hướng có lợi cho attacker. SYN Attack/LAND Attack: bằng cách lợi dụng cơ chế bắt tay đối với một số dịch vụ dựa trên chuẩn giao thức TCP, Client tấn công theo kiểu SYN attack bằng cách gởi một loạt SYN packets mà có địa chỉ nguồn giả, điều này Client có thể làm tràn ngập (flooded) hàng đợi ACK của gói SYN/ACK gởi cho Client từ Server, đến một lúc nào đó Server sẽ bị quá tải. Ngoài ra còn có một số phương thức tấn công khác như: Ping of Death, Teardrop, Ping Flood (ICMP Flood), SMURF Attack, UDP Bomb, UDP Snork Attack, WinNuke (Windows Out-of-Band Attack), Mail Bomb Attack, Scanning and Spoofing, Port Scan. Để cho phép ISA Firewall có thể dectect và ngăn một số phương thức tấn công trên ta truy xuất vào hộp thoại Intrusion Detection bằng cách mở giao diện “Microsoft Internet Security and Acceleration Server 2004 management console”, chọn nút Configuration. Chọn nút General, sau đó ta nhấp chuột vào liên kết “Enable Intrusion Detection and DNS Attack Detection” (tham khảo hình 5.33) Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 510/555 Hình 5.33: Phát hiện một số cơ chế tấn công. Chọn DNS Attacks Tab để hiệu chỉnh một số phương thức ngăn, ngừa tấn công theo dịch vụ DNS (tham khảo hình 5.34 ). Hình 5.34: Phát hiện và ngăn tấn công DNS. - IP option filtering. Ta có thể thiết lập một số bộ lọc cho giao thức IP để chống lại một số cơ chế tấn công dựa vào một số tùy chọn của giao thức này. Để cấu hình ta chọn liên kết Define IP preferences trong nút Configuration (tham khảo hình 5.35). Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 511/555 Hình 5.35: IP option filtering. V.7. Một số công cụ bảo mật. V.7.1 Download Security. DownloadSecurity là một công cụ tích hợp với ISA được tổ chức GFI Software LtdGFI phát triển. DownloadSecurity được thiết kế để tăng cường khả năng kiểm soát và quản lý thông tin download từ Internet. Một số chức năng về DownloadSecurity: - Scan viruses cho tất cả các tập tin được download từ internet. - Tự động cập nhật Anti-virus signature. - Tự động kiểm tra m ột số loại file nguy hiểm như *.exe, *.doc,… - Cung cấp cơ chế cảnh báo an ninh cho người quản trị. - Được tích hợp với ISA Firewall, dễ quản lý và cấu hình. - Tính hiệu quả cao trong việc thực hiện một số chức năng như lọc nội dung, chống virus, kiểm soát truy xuất internet. - Cung cấp cơ chế cảnh báo user hoặc trình duyệt chặn một số ActiveX Control và Java applet nguy hiểm. - Phân tích các đoạn code thực thi nguy hiểm để chống Trojans. - Cấu hình ISA Web Filtering. Mặc định sau khi ta cài phần mềm DownloadSecurity, DownloadSecurity sẽ tự động được kích hoạt để hỗ trợ thiết lập bộ lọc Web Filters. Để hiệu chỉnh bộ lọc ta chọn Configuration | Add-ins | Web Filters | GFI DownloadSecurity Filter | Configuration Tab (tham khảo Hình 5.36). - Do not scan these URLs: Chỉ định danh sách địa chỉ URL không cần kiểm tra nội dung và virus. - Scan these Content types: Chỉ định loại nội dung cần kiểm tra bao gồm các đoạn code có thể thực thi, Java applets, ActiveX Control. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 512/555 Hình 5.36: Download security Web Filter. Thiết lập một số chính sách kiểm tra download. Thiết lập chính sách kiểm tra download để giới hạn hoặc cô lập loại file, dung lượng file download,… để thay đổi luật download mặc định trong hệ thống bằng cách chọn Start | Programs | GFI DownloadSecurity | DownloadSecurity Configuration | Download Checking, Nhấp đôi chuột vào rule có tên “Default Attachment Download Checking Rule” (tham khảo hình 5.37) - General Tab: Cho phép lựa chọn một số chế độ cấm download, cấm download các tậ p tin có dung lượng lớn hơn dung lượng định nghĩa. - Actions Tab: Hiệu chỉnh các Action khi cấm như thông báo Mail, quản lý thông báo qua mail, ghi nhận nhật ký,… - Users/Folders Tab: Chọn User hoặc thư mục cần thiết để thiết lập luật. Hình 5.37: Thay đổi thuộc tính của Download checking rule. Cấu hình kiểm tra Virus, chống Trojans. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 513/555 DownloadSecurity tích hợp sẵn các chương trình kiểm tra và quét virus cho các file download, các chương trình này được cập nhận thường xuyên để có thể ngăn chặn sự tấn công của các loại Virus mới. Ngoài ra DownloadSecurity còn tích hợp một số scanners để scan và kiểm tra Trojans, đoạn mã thực thi nguy hiểm (Executable) Để thay đổi hiệu chỉnh một số bộ kiểm tra Virus (Virus Engine) ta chọn Start | Programs | GFI DownloadSecurity | DownloadSecurity Configuration | Virus Scanning Engines, Nhấp đôi chuột vào một engine cụ thể (Tham khảo hình 5.38) hình 5.38: Hiệu chỉnh thuộc tính của Virus Control Engine. V.7.2 Surfcontrol Web Filter. SurfControl Web Filter giúp nâng cao tính năng bảo mật, tối ưu hóa băng thông của hệ thống. SurfControl Web Filter thiết sẵn một group các đối tượng để cho phép ta quản lý và thiết lập luật để giới hạn truy xuất Internet dễ dàng hơn. Một số công cụ hỗ trợ trong SurfControl Web Filter: - Monitor: Cung cấp một số cách theo dõi và giám sát traffic của các user trong mạng, thông tin về giám sát hoạt động của user được lưu trong SurfControl database, chúng được hiển thị trong cửa sổ the Monitor window. - Real Time Monitor: Giám sát và hiển thị traffic mạng theo thời gian thực. - Rules Administrator: Cho phép ta có thể tạo luật để điều khiển truy xuất internet. - Scheduler: Cho phép thiết lập lịch biểu để theo dõi sự kiện hệ thống. - Virtual Control Agent (VCA): Phân loại Web site theo nội dung truy xuất. - Report Central: là công cụ mạng hỗ trợ tạo report để thống kê traffic. - Remote Administration: Cho phép điều khiển từ xa SurfControl Web Filter. Database của chương trình SurfControl Web Filter được lưu trên một hệ quản trị cơ sở dữ liệu, có thể là MS SQL Server, msde2000, do đó trước khi cài đặt SurfControl Web Filter ta cần ph ải cài đặt một trong hai hệ quản trị cơ sở dữ liệu trên. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 514/555 V.8. Thiết lập Network Rule. Mặc định hệ thống tạo ra các Network rule để cho phép thiết lập một số cơ chế như định tuyến (Route) giữa hai mạng (tham khảo hình 5.39), thay đổi đĩa chỉ (NAT). Mặc định hệ thống tạo ra một số Network rule sau: - Local Host Access: Định tuyến traffic localhost đến mạng nội bộ. - VPN Client to Internal Network: Định tuyến từ VPN Client đến Internal network. - Internet Access: NAT Internal network ra ngoài mạng internet. V.8.1 Thay đổi thuộc tính của một Network Rule. Để thay đổi thuộc tính của Network Rule ta nhấp đôi chuột vào tên luật trong Network Rules tab (tham khảo hình 5.39). Hình 5.39: Thay đổi thuộc tính cho Network Rule. V.8.2 Tạo Network Rule. Để tạo Network Rule ta thực hiện các bước sau: 1. Chọn nút Configuration, chọn Network, chọn Network Rules tab, Create a New Network Rule trong Task Panel, chỉ định tên Network Rule, chọn Next. 2. Chỉ định địa chỉ nguồn trong hộp thoại Network Traffic Source. Hình 5.40: Chỉ định địa chỉ nguồn. 3. Chỉ định địa chỉ đích trong hộp thoại Network Traffic Destination. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 515/555 Hình 5.41: Chỉ định địa chỉ đích cho Network Rule. 4. Chọn phương thức đặt Network Rule theo NAT (khi ta muốn NAT cho mạng nội bộ ra ngoài mạng Internet) hay Route (khi ta muốn định tuyến mạng nội bộ ra ngoài mạng khác) Hình 4.42: Chỉ định Network Relationship. 5. Chọn Finish để hoàn tất quá trình. V.9. Thiết lập Cache, quản lý và theo dõi traffic. V.9.1 Thiết lập Cache. - Để cấu hình Cache ta chọn nút Configuration -> Cache của trình quản lý ISA management: - Nhấp chuột phải vào nút Cache chọn Define Cache Drives, hoặc ta có thể nhấp chuột vào Cache Rules sau đó chọn Define Cache Drives (enable caching) từ Tasks panel. - Trong hộp thoại “Define Cache Drives” chọn một ổ địa định dạng NTFS và chỉ định kích thước cache Maximum cache size , chọn nút Set (tham khảo hình 5.39). Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 516/555 Hình 5.43: Chỉ định dung lượng Cache. V.9.2 Thay đổi tùy chọn về vùng Cache. - Để cấu hình Cache ta chọn nút Configuration -> Cache của trình quản lý ISA management, nhấp chuột phải vào nút Cache chọn liên kết Configure Cache Settings từ Tasks panel, chọn Active Caching tab, chọn Enable active caching (tham khảo hình 5.40). Hình 5.44: Enable cache. V.9.3 Tạo Cache Rule. Tạo Cache Rule để cho phép ta có thể đặt một số luật quy định đối tượng (Object) cần cache, thời gian lưu trữ cache, kích thước của từng đối tượng cache, … Các bước tạo cache rule như sau: 1. Nhấp chuột phải vào nút Cache, chọn New, chọn Cache Rule… 2. Chỉ định tên cache rule trong hộp thoại “Welcome to the New Cache Rule Wirzard”, chọn Next. 3. Chọn nút Add để chỉ Distination cho Cache Rule (tham khảo hình), chọn Next. Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . Tài liệu hướng dẫn giảng dạy Học phần 3 - Quản trị mạng Microsoft Windows Trang 517/555 Hình 5.45: Destination cache. 4. Chỉ định loại Object nào được nhận cho một request cụ thể nào đó trong hộp thoại Cache retrieval. Một số tùy chọn cần lưu ý: + “Only if a valid version of the object exists in the cache if no valid object exists, the request will be routed to the Web server”: Cho phép nhận những Object hợp lệ (Valid Object) trong cache ngược lại tồn tại hoặc không tồn tại Object hợp lệ thì request sẽ được chuyển đến Web Server để nhận các Object cầ n thiết. + “If any version of the object exists in the cache it will be returned from cache If no version exists route request server” : Cho phép request có thể nhận Valid Object hoặc Invalid Object trong cache, nếu không có Object nào trong cache thì Server sẽ chuyển request tới server. + “If any version of the object exists in cache if no exists the request will be dropped” Nếu request yêu cầu một Object nào đó không tồn tại trong cache thì nó sẽ bị ngăn chặn (Drop) 5. Trong hộp thoại Cache Content, chỉ định nội dung cần lưu trong cache(tham khảo hình 5.41), chọn Next . Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m Click to buy NOW! P D F - X C h a n g e V i e w e r w w w . d o c u - t r a c k . c o m . . phần 3 - Quản trị mạng Microsoft Windows Trang 508/555 Hình 5.32: Cấu hình HTTP policy. ISA Server Link Translator: Link Translator là một trong những kỹ thuật được xây dựng sẵn trong ISA. truy xuất vào ISA Server thì sẽ chuyển tới Web Server nội bộ có tên là SERVER1 (có địa chỉ192.168.1.1), khi đó ISA Server sẽ thay thế tất cả các response của http:/ /SERVER1 thành địa chỉ http://www.microsoft.com. phương. thực chất của DoS là attacker sẽ chiếm dụng 1 lượng lớn tài nguyên trên Server làm cho Server không thể nào đáp ứng yêu cầu của người dùng khác và Server có thể nhanh chóng bị ngừng hoạt động

Ngày đăng: 14/08/2014, 04:20

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN