Nghiên cứu, cài đặt về ISA2006 cho trường đại học kinh tế quốc dân

MỤC LỤC

DANH MỤC TỪ VIẾT TẮT -+++ccc2222222222222222trrrrrrrrrrrres 4

DANH MỤC HÌNH ẢNH

QUOC DÂN HÀ NỘI 2- + k SE SE E11121111121121121121111 1101111 xe

I.1 1 Cơ cấu tỔ chức -2- 2+2+2E2E+2E22EE2EE2121121121122127121 27121 xe 1.1.2 Chức năng đào tạo của trường II ENeu làn ẰẲẮÁỦỖŨỖO L.1.4 Trung tâm quản trị mạng - 5+ +++cxvssxerervrvererree Il HE THONG MANG CUA TRUONG KINH TE QUOC DAN a 16

i00) (c0) a3 TỒ

1.2 HE THONG MAY CHU 18

I.2.1 Máy chủ DCsrv L8

I.2.2 Máy chủ Appsrv L8 II2.3 Cặp máy chủ CIs01 và Cls02 J9 11.2.4 Máy chủ thư điện tử MAIL.NEU EDU VN " 19 i8) ái 0006 20

11.2.6 May chu SECSRV "

IV /L) ái á096 22 20 IV) A30 “^3 II2.9 Máy chu Web-Public " IV Gv 08 10

i08, ốui8) IIL2.12 Máy chủ Proxy01, Proxy02, Proxy03

- Hệ điều hành: Microsoft Windows 2003 Enterprise Server

II.2.13 Máy chủ ỦniXsrV - 55s +++<+xs+veseesss 22

IL3 HỆ THỐNG ISA CỦA TRƯỜNG KTQD 2c-scsccse+¿ 26 II ISA SERVER 2006 - 2-52 SE E91 E21121121121121111111111 11.11 c0

II.1 GIÓI THIỆU CHUNG " I2 TÔNG QUAN HOẠT ĐỘNG CỦA ISA - - 2 555sc+sezxecseez 29 THL.3 ISA 2006 vieceececcescessesesssesseseesseseessesessscssessssuesuesecsesessasseeseteseeatssseaees

II3.1 Đặc Điểm Của ISA 2006 " IIL3 2 CÀI ĐẶT, CẤU HÌNH . 2- 2 2+S<+E£EE£E2EEEEErkerkrrkeee IIIL3.2.1 Yêu cầu chung ¿22 2 £+S£+EE+E£2EE+EE2EE2EEtEEtrkrrkerreee

II.3.2.2 Kết nối ISA Server với Internet và cấu hình các ISA Client 35 II.3.2.3.Tạo Access Rule trên ISA -.¿ ¿55c +2 + **+*+ev+sexcscss 36

II.3.2.4 Cấu hình ISA Server 2004 SecureNAT, Firewall va Web Proxy Clients

I1.3.2.5 Cau hinh ISA Server 2004 Firewall dong vai tro mot VPN

IIL3.2.6 ISA Server đóng vai trò Firewall hoat động như thế nào? 42

Lọc gói tin 43

Loc theo trang thai 43

Loe lop tng Ả 44

III.3.2.7 Sao lưu và Phục hồi cấu hinh Firewall .44

III.4 ĐỀ NGHỊ, -©5- S5 EES2 2E EEE2E1211211211211 2111111111111 11 1e 46 KẾT LUẬN . 2 S2Sc St SE SE E211 X21121121211211 21121111 111111111 re 50 TÀI LIỆU THAM KHẢO 51

10012 52

DANH MUC TU VIET TAT

DMZ: Demilitarized Zone ( Vung phi quân sự )

ISA : Internet Sercurity and Acceleration ( Bảo mật và tăng tốc Internet) LAN : Local Area Network ( Mạng cục bộ)

VLAN : Vitural Local Area Network ( Mạng cục bộ ảo )

NEU : National Economics University (Dai hgc Kinh té quéc dan ) NCKH : Nghiên cứu khoa học

ADSL : Asymmetrical Digital Subscriber Line ( Kỹ thuật truyền được sử dụng trên đường dây từ modem của thuê bao tới Nhà cung cấp )

HDD : Hard Disk Drive ( Ö cứng )

CPU : Centre Process Unit ( Bộ xử lý trung tâm ) RAM : Random Acess Memory ( Bộ nhớ ngẫu nhiên) IP : Internet Protocol ( Giao thức mạng )

NIC : Network Interface Card ( Card mang)

DHCP : Dynamic Host Configuration Protocol ( Giao thire cau hinh Host dong )

DNS : Domain Name System ( Hé théng phan giải tên miền) VPN : Vitural Private Network ( Mang riéng ao)

DANH MỤC HÌNH ẢNH

Hình 1 — Sơ đồ tổ chức của Trường Kinh tế quốc dân

Hình 2 — Sơ đồ kết nói vật lý Switch của Trường Kinh tế quốc đân

Hình 3 - Mơ hình đơn giản về triển khai ISA

Hình 4 - Bắt đầu setup Hinh 5 — Cai dat ISA

Hinh 6, 7, 8, 9, 10 — Cac qua trinh cai dat ISA Hinh 13 — Giao dién Access Policy

Hinh 12 — Giao dién Monitoring Hinh 11- Giao dién ISA

LỜI NÓI ĐẦU

Trong quá trình học tập và nghiên cứu trong các trường Đại học, mỗi sinh viên đều được đào tạo, được trang bị một hệ thống kiến thức cơ bản và

đầy đủ, để từ đó mỗi người tiếp cận hay tìm thấy một cơng việc phù hợp với

bản thân trong thực tế Tuy nhiên, từ lý thuyết đến thực hành là cả một chặng

đường dài Vì thế, đợt đi thực tập lần này đối với tơi có ý nghĩa to lớn Trước

hết, tôi cd thé tiếp xúc trực tiếp với công việc thực tế trong lĩnh vực quán trị

mạng, đồng thời từ đó giúp tơi củng có lại các kiến thức đã tích luỹ trong thời

gian học ở trường một cách hệ thống hơn Một điều vô cùng quan trọng nữa là tơi có cái nhìn tổng quát hơn về hệ thống mạng nói chung cũng như hệ thống mạng trường Đại học Kinh tế quốc dân nói chung Nó giúp tơi trang bị những

kiến thức và có thể học tập, cập nhật những kiến thức mới

Cùng với sự phát triển của Công nghệ thông tin mà việc trao đổi thông tin của con người ngày cang đễ dàng, nhanh chóng, tiết kiệm thời gian và tiền bạc Hệ thống mạng đóng góp một phần không nhỏ vào q trình đó Hệ thống mạng của Trường Đại học Kinh tế quốc dân cũng vậy, nó giúp việc trao đổi, liên lạc giữa các phòng ban, các dãy nhà trong trường, giữa các cá nhân với nhau, điễn ra một cách dễ dàng và nhanh chóng hơn

Đề tài của tơi là: Nghiên cứu, cài đặt về ISA2006 cho trường Đại học

mong rằng với các tính năng ưu việt của nó, sẽ là một phần trong hệ thống quản trị mạng của Trường trong tương lai

Trong thời gian thực tập, tôi đã nhận được sự giúp đỡ, chỉ bảo tận tình của các cán bộ trong Trung tâm quản trị mạng của Trường Đại học Kinh tế quốc dân Đặc biệt là sự giúp đỡ chỉ bảo nhiệt tình của cô Nguyễn Thanh Hương Tôi xin bày tỏ sự cảm ơn tới cô và các anh chị trong Trung tâm Quản trị mạng Mặc dù đã cố gắng hết sức, nhưng vì kiến thức cịn có hạn nên khơng tránh khỏ thiếu sót nên mong độc giả và mọi người chỉ bảo, giúp đỡ Tôi xin chân thành cảm ơn!

Hà Nội Ngày 20/4/2008 Sinh viên

Nguyễn Thị Thu Hiền

I GIỚI THIỆU CHUNG VỀ CƠ SỞ THỰC TẠP

1.1 QUÁ TRÌNH HÌNH THÀNH VÀ PHÁT TRIÊN ĐẠI HỌC KINH TE QUOC DAN HA NOI

Tén giao dich quéc té: Nationla Economics University (NEU) Hiệu trưởng: GS.TS Nguyễn Văn Thường

Website: www.neu.edu.vn

Dia chỉ: 207 Đường Giải phóng - Quận Hai Bà Trưng - Hà Nội

Điện thoại: 046280280 (tổng đài)

Đại học Kinh tế quốc dân được thành lập theo nghị định số 678-TTg ngày 25 tháng 1 năm 1956 với tên gọi ban đầu là Trường Kinh tế Tài chính

Sau nhiều sự thay đối, ngày 22 tháng 10 năm 1985, Bộ trưởng Bộ Đại học và Trung học chuyên nghiệp (nay là Bộ giáo dục và Đào tạo) ra quyết

định số 1443/QĐ-KH đổi tên thành Trường Đại học Kinh tế quốc dân

Trường đã được công nhận là một trong sáu trường đại học trọng điểm của cả nước

Trường Đại học Kinh tế quốc dân là một trong những trường hàng đầu về đào tạo, Trường có nhiệm vụ: Đào tạo cán bộ quản lý kinh tế và quản trị kinh doanh bậc đại học và sau đại học Tư vấn về chính sách vĩ mô cho Đảng và Nhà nước Tư vấn và trung tâm chuyên giao công nghệ quản lý kinh tế và quản trị kinh doanh

Trải qua hơn 50 năm xây dựng và phát triển, Đại học Kinh tế quốc dân

có một bé dày về lịch sử phát triển và thành tựu Trường luôn giữ vững vị trí

là:

° Trung tâm đào tạo và bồi đưỡng cán bộ quản lý kinh tế và quản trị

kinh doanh lớn nhất nước

° Trung tâm tư vấn và chuyển giao quản trị kinh doanh

L1 1 Cơ cấu tổ chức

GS TS Nguyén Van Thuong Hiéu Trưởng

|

công nghệ quản lý kinh tế và

Phó Hiệu Trưởng

GS TS Nguyén Thanh Đệ | | PGS TS Dang Thi Loan Phó Hiệu Trưởng

|GS TS Nguyễn Văn Nam|_ Phó Hiệu Trưởng |PGS TS Phan Công Nghĩa Phó Hiệu Trưởng GS TS Hoang Ngee Vist Phó Hiệu Trưởng

Dang uy

Hội đồng Giáo sư ¬> Hiệu trưởng khoa học và na động 2

° dao tao

Ỷ Các Phó Hiệu

Trưởng

l

oe ae Cac Khoa Quan oe viễn va Các Phòng và

các Bộ môn W Trung tam trực Raetaen ei trực thuộc y thuộc a pc

Hình 1 - Sơ đồ tổ chức Trường Đại học Kinh tế quốc dân

Trường hiện có 32.000 sinh viên, 599 giáo viên (trong đó có 27 Giáo sư và 70 Phó Giáo sư, 204 Tiến sĩ và 240 Thạc sĩ) và 22 khoa đào tạo thuộc 7 khối chuyên nghành khác nhau, đó là Kinh tế, Quản trị Kinh doanh, Ngân hàng — Tài chính, Kế tốn, Hệ thống thông tin kinh tế, Luật học và Khoa học máy tính Bên cạnh đó có các chương trình đào tạo cấp bằng Cử nhân, Thạc sĩ và Tiến sĩ, Trường còn thường xuyên tổ chức các khoá bồi dưỡng chuyên môn ngắn hạn về quản lý kinh tế và quản trị kinh doanh cho các cán bộ quản lý các đoanh nghiệp và các cán bộ kinh tế trên phạm vi toàn quốc

Trường là trung tâm nghiên cứu khoa học kinh tế phục vụ đào tạo, hoạch định chính sách kinh tế của Đảng và nhà nước, các ngành, các địa phương và chiến lược kinh doanh của các doanh nghiệp Trường chính là cái nơi của các

cơng trình nghiên cứu lớn về kinh tế và kinh doanh ở Việt Nam Trường được

Chính phủ trực tiếp giao rất nhiều đề tài lớn và quan trọng Ngồi ra trường cịn hợp tác nghiên cứu với rất nhiều trường và tổ chức quốc tế

Trường có quan hệ trao đổi, hợp tác nghiên cứu và đào tạo với nhiều trường đại học, viện nghiên cứu nổi tiếng và nhiều tổ chức quốc tế như các nước SNG, Trung Quốc, Bungari, Anh, Pháp, Mỹ, Úc, Hà Lan, Đặc biệt trường cong nhận được tài trợ của các nước và các tổ chức quốc tế như tổ chức OAD ( Vương quốc Anh), Ngân hàng thế giới, UNDP, Quỹ Ford (Mỹ) để tổ chức nghêin cứu, xây dựng chương trình đào tạo và mở các khoá học đào tạo Thạc sĩ tại Trường về Quản trị kinh doanh, Kinh tế Tài

chính, Kinh tế phát triển, các lớp bồi dưỡng về kinh tế thị trường, Đồng

thời, Trường cịn có quan hệ với nhiều công ty nước ngoài trong việc đào tạo, nghiên cứu và cấp học bồng cho sinh viên

Trường đã đạt được rất nhiều thành tựu to lớn và đã được trao tặng nhiều danh hiệu cao quý của Đảng và Nhà nước như: Huân chương Lao động hạng Ba (giai đoạn 1961-1972), hạng Hai (1978), hạng Nhất (1983), Huân chương Độc lập hạng Ba (1986), hạng Hai (1991) và hạng Nhất (1996), đanh hiệu Anh hung Lao động năm 2000 và Huân chương Hồ Chí Minh năm 2001

1.1.2 Chức năng đào tạo của trường:

Trong 50 năm qua, trường đã đào tạo được trên 56.300 sinh viên,trong đó có 25.000 cử nhân dài hạn tập trung, 20.000 cử nhân tại chức, 5.000 cử

nhân bằng II, 3.500 cử nhân hệ chuyên tu, 320 cử nhân KV, 580 tiến sỹ, 1.800

thạc sỹ, 103 cử nhân cho bạn là Lào và Cămpuchia và mở 12 khoá đào tạo cử nhân tại Cămpuchia

Ngoài ra, trường còn tổ chức bồi dưỡng kiến thức đại học và sau đại học cho khoảng hơn 55.000 cán bộ kinh tế, kinh đoanh cho cả nước

Trường luôn là đơn vị dẫn đầu trong khối các trường đại học về đào tạo đội ngũ cán bộ quản lý kinh tế và quản trị kinh đoanh có chất lượng cao trong

cả nước Trường là cái nôi của nhiều trường đại học trong khối kinh tế, đồng thời cũng là nguồn cung cấp nhiều cán bộ giảng dạy cho các trường Đại học va Cao dang thuộc khối kinh tế

Tập thể cán bộ, giáo viên, công nhân viên của Trường luôn chủ động,

sáng tạo, khắc phục khó khăn đi đầu đổi mới và đổi mới thành cơng, tồn

diện, vững chắc về cả nội dung, chương trình, giáo trình, phương pháp giảng dạy và cơ cầu ngành nghề đào tạo

Kết quả là, hệ thống chương trình, giáo trình tiếp tục được biên soạn lại, biên soạn mới; tính từ 1996 đến nay trường đã biên soạn lại và biên soạn mới254 giáo trình, nhiều giáo trình đã được Bộ giáo và Đào tạo đánh giá cao và sử dụng làm giáo trình chuẩn cho các trường đại học thuộc khối kinh tế của cả nước nghiên cứu và học tập Đổi mới và xây dựng được 90 chương trình đào tạo cho 5 nhóm ngành kinh tế và quản trị kinh đoanh, 1 chuyên ngành Công nghệ thông tin và 01 chuyên ngành Luật kinh doanh

Cơ cấu ngành nghề từ 17 chuyên ngành năm 1996 đến nay đã phát triển thành 34 chuyên ngành đào tạo

Quy mô đào tạo từ 22.000 sinh viên năm 1996 đến nay quy mô đảo tạo của trường là trên 30.000, riêng hệ Sau đại học tăng từ 800 học viên năm

1996 lên 1292 học viên năm 2004 Bồi dưỡng kiến thức kinh tế cho hơn

10.000 cán bộ kinh tế, kinh doanh cho các địa phương và doanh nghiệp Trường hiện đang liên kết đào tạo với 32 bộ, ngành và các tỉnh, thành trong cả nước

doanh nghiệp tín nhiệm và đánh giá cao.Hiện có hàng trăm người đang giữ các trọng trách lớn tại các cơ quan Đảng, Quốc hội, Chính phủ, các Bộ ngành, các đoàn thể cũng như tại các địa phương, doanh nghiệp

L1.3 Cơ sở vật chất:

Trường đã sửa chữa nâng cấp cải tạo hệ thống giảng đường cũ; xây thêm một nhà 5 tầng đưa tổng số phòng học lên 125 phòng với hệ thống ánh sáng, quạt, bàn ghế đủ đáp ứng nhu cầu học tập của sinh viên Xây thêm một nhà KTX 5 tầng với 130 phòng ở, 01 nhà làm việc 5 tầng với 0Iphòng Hội thảo lớn Trang thiết bị văn phòng được bổ sung về cơ bản đủ năng lực đáp ứng công tác phục vụ giảng dạy, học tập và NCKH Hệ thống máy tính được nối mạng cục bộ trong một số khoa, phòng, ban, nhiều máy tính được nối mạng Internet 02 trang WEB của trường đã được đưa lên mạng thông tin quốc tế Hệ thống thư viện nhà trường đủ phục vụ cho sinh viên và nghiên cứu sinh

với 105.000 đầu sách và 245 báo và tạp chí

1.1.4 Trung tâm quản trị mạng

Trung tâm quản trị mạng trực thuộc phòng Quản lý máy tính và quản trị mạng Trung tâm chịu trách nhiệm quản lý hệ thống mạng của toà trường, hệ thống mạng giữa các dãy nhà trong trường và các phòng ban Ban đầu, chỉ có 2 trung tâm là :

- Trung tâm tin học và quản lý kinh tế - Trung tâm quản trị mạng máy tính

Ngày 4/11/2006 thành lập phịng Quản lý máy tính và quản trị mạng trên cơ sở sát nhập 2 Trung tâm tin học kinh tế và Trung tâm quản trị mạng máy tính

Nhân sự của phịng

1 GS.TS Hồng Ngọc Việt ( Trưởng phòng)

2 PGS.TS Cao Đình Thi - Phó phịng (Giám đốc Trung tâm quản lý máy tính)

3 PGS.TS Lê Văn Năm ( Phó phịng —- Giám đốc Trung tâm quản trị mạng)

4 Ngô Đức Nghị - Kỹ sư 5 Doan Quang Minh - Ky su 6 Ha Lam Tung - KY su 7 Đỗ Văn Sang - Kỹ sư § Nguyễn Trung Kiên - Kỹ sư

9 Hoàng Thị Hiền - Trực tổng đài 10 Trần Thị Thanh Hương — Văn Thư

11 Trần Trung Hiếu - Kỹ sư

12 Nguyễn Văn Xê - Kỹ sư

13 Nguyễn Thị Lan Hương - Văn Thư 14 Trần Lê Lâm - Kỹ sư

Tất cả hệ thống mạng của trường chịu sự quản lý của trung tâm quản trị mạng, từ đây là sự kết nối mạng, sự trao đổi thông tin, tài liệu giữa các phòng ban, giữa các Viện, Trung tâm, các Khoa, trong trường với nhau Trung tâm

- Quản lý hệ thống mang phần cứng: thiết bị mạng Cisco, Wifi, hệ thống tổng đài điện thoại nội bộ

- Quản lý hệ thống máy tính của các phòng ban

- Viết các phần mén hệ thống như: tổng đài điện thoại, chạy tra

cứu, các đề tài khoa học cấp bộ, phần mềm khai thác CSDL điện tử theo WB-

C, WB-B

- Quản lý hệ thống mạng chung toàn trường - Xu ly, trién khai, lap đặt mở rộng mạng

- Phục vụ máy tính và máy chủ phục vụ cáckỳ thi trắc nghiệm - Phuc vu dang ky hoc tin chi

II HỆ THÓNG MẠNG CỦA TRƯỜNG KINH TẾ QUỐC DÂN I1 TỎNG QUAN - Số lượng PC: gần 3000 - Hệ điều hành: Window XP HDD: 40GB RAM: 256MB

Server : 19 máy, Hệ điều hành: Unix, Window Server 2003, Window Server 2000

Hệ thống mạng máy tính của Trường Đại học Kinh tế quốc dân là một hệ thống mạng mạnh Với hệ thống mạng máy tính này, nó kết nối các máy tính ở các tịa nhà A, B,C,D, 5,6,7,9,10, ký túc xá, Thư viện (bao gồm các phòng học ở giảng đường, các văn phòng, các Viện nghiên cứu, các Trung tâm đào tạo) Nó khơng những giúp cho việc truy cập Internet cũng như việc chia sẻ tài nguyên, thông tin nội bộ, phục vụ cho công tác giảng dạy, học tập của cán bộ, giáo viên và toàn bộ sinh viên của trường mà còn tiết kiệm thời gian và tiền bạc cho mọi người

đây là dòng Switch mạnh nhất của Cisco Switch Trung tâm 6509-1 được đặt

tại nhà A3, kết nối với 6509 — 2 tại Nhà 7 Switch 6509 — 2 được đặt trong

mạng tại tòa nhà 7 Các Switch này được kết nối L2, FO Singlemode (Layer 2, cáp quang)

Switch 6506 — I đặt ở Building A có tác dụng như I firewall, còn Switch 6506 — 2 có tác dụng phát hiện các xâm nhập và cân bằng giữa Switch 6509 — 1 va Switch 6509 - 2

Với 9 modul cho mỗi Switch 6509, các bộ chuyển mạch này đã kết nói

mạng tới các tòa nhà khác như C, D, 10, 9, 5, 6 ,các nhà trong Ký túc xá, Thư

viện, các Trung tâm, các Viện bởi kết nối L2, Mulimode hoặc L2,

Singlemode Cac Switch đặt tại các tòa nhà, các trung tâm này là Switch 3550 — 24- SMI, Switch 2950 - 24, Switch 3550 - 12T

STT Vị trí đặt Switch Loai Switch VTP Domain VTP Mode 1 Nhà A3 Switch 6509 | NEU.EDU.VN SERVER 2 Nha A3 Switch 6506 | Al.NEU SERVER 3 Nha 7 Switch 6509 | BUILDING9.NEU | SERVER 4 Nhà C Switch 3560 | C.NEU SERVER 5 Nha TT Thu vién Switch 4506 | LIBRARY.NEU SERVER

11.2 HE THONG MAY CHỦ

11.2.1 May chi DCsrv

Cau hinh: - CPU: 2x Intel Pentium Xeon 2.0 GHz - RAM: 2GB

- HDD: 3 x 36.4 GB

- Hé diéu hanh: Window Server 2003 Enterprise Server Chức năng: - Máy chủ DCsrv làm chức năng DNS Server (local) cho toàn mạng của Trường

- Máy chủ DCsrv thực hiện chức năng Master Domain Controller cho các máy chủ khác thuộc Server Farm

- DHCP Server: Phục vụ cho việc cấp địa chỉ IP động cho 1⁄2 máy trạm thuộc các VLAN Trường DHKT

- Máy chủ DCsrv được cài đặt phần mền Antivirus Server Protect và HP Omniback Client

H.2.2 Máy chủ Appsrv

Cầu hình: - CPU : 2 x Intel Pentium Xeon 2.0 GH - RAM: 2GB

- HDD: 4x 36.4 GB

- Máy chủ APPSRV làm chức năng DNS server secondary (local) phục vụ cho việc backup DNS server primary trên may chu DCSSRV

- Máy chủ APPSRV thực hiện chức năng Slave Domain Controller cho Active Directory Trường ĐHKT

- DHCP Server: Phục vụ cho việc cấp địa chỉ IP động cho 1⁄2 máy trạm trạm thuộc các VLAN Trường ĐHKT

11.2.3 Cap may chui Cls01 và Cls02

Cau hinh: - CPU: 2x Intel Pentium Xeon 2.8 GHz - RAM: 1GB

- HDD: 2 x 36.4 GB

- Hé diéu hanh: : Microsoft Windows 2003 Enterprise Server Chức năng:

- Ứng dụng Microsoft Cluster for Windows 2003 Server: Đây là node thứ nhất và node thứ hai của cặp Cluster Exchange 2003 Enterpise phục vụ dich vu e-mail cho toàn bộ người str dung trong mang Truong DHK

- Ung dung Microsoft Exchange 2003 Enterprise Server: Cung cap dich vu thu dién tir cho toan mang Truong DHKT

11.2.4 May chủ thư điện tử MAIL.NEU.EDU.VN

- _ Tên máy chủ: mail.neu.edu.vn, thực hiện chức năng là Mail Cluster của hai máy chủ: cls01 va cls02

- May chu ao MAIL.NEU.EDU.VN dong vai trò là backup-end server của cặp dịch vụ thư điện tu Exchange 2003: Front-end va Back-end Server

11.2.5 May chit MAIL-GW Cấu hình: - RAM:2GB

- CPU: 2 x Intel Pentium Xeon 3.2 GHz - HDD: 4 x 36 GB

- Hé diéu hanh: Microsoft Windows 2003 Enterprise Server Chức năng: Cung cấp dịch vụ thư điện tử cho toàn mạng Trường DHKT, day là máy chủ thư điện tử Exchange đóng vao tro lam Front-end server của cặp Front-end & Back-and Trường ĐHKT

11.2.6 May chú SECSRV

Cấu hình: - CPU:2 x Intel Pentium Xeon 3.2 GHz

- RAM:2 GB - HDD: 4 x 36 GB

- Hédiéu hanh: Microsoft Windows 2000 Advanced Server Chức năng: có chức năng là máy chủ quản lý, theo đõi tình hình hoạt động về hệ thống mạng toàn trường

11.2.7 May chi SYSLOGSRV

Cấu hình: - CPU:2 x Intel Pentium Xeon 3.2 GHz

- RAM: 2 GB - HDD:4x 36GB

11.2.8 May chu Mnsrv

Cấu Hình : - CPU: 2x Intel Pentium Xeon 2.8 GHz

- RAM: 1GB

- HDD:3 x 36.4GB

- Hé diéu hanh: : Microsoft Windows 2000 Advance Server with SP4

Chức năng: thực hiện chức năng backup dữ liệu hệ thống server của trường

H.2.9 Máy chủ Web-Pubilic

Cấu hình: CPU: 2 x Intel Pentium Xeon 3.2 GHz - RAM:2 GB

- HDD: 4x36 GB

- Hédiéu hanh: Microsoft Windows 2003 Enterprise Server Chitc nang : Cai dat IIS 6.0 : Web Application cho trang web public Truong DHKT

11.2.10 May chi Dns1

Cấu hình: - CPU: 01 x Intel Pentium Xeon 2.8 GHz - RAM: 512 MB

- HDD: 2 x 36.4GB

- Hé diéu hanh: Linux Enterprise 4x Server

Chic nang: thực hiện chức năng phân giai tén mién cho web public, mail

II.2.11 Máy chủ Mail-st

Cấu hình: - CPU: 2 x Intel Pentium Xeon 3.2 GHz - RAM:2GB

- HDD: 6 x 36 GB

- Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng: phục vụ dịch vụ thư điện tử cho toàn bộ sinh viên của trường

H.2.12 Máy chủ Proxy01, Proxy02, Proxy03 Cấu hình: - CPU: 2 x Intel Pentium Xeon 2.8 GHz

- RAM:IGB - HDD: 2 x 36.4GB

- Hệ điều hành: Microsoft Windows 2003 Enterprise Server Chức năng: Cài ISA Server 2004 cấp dịch vụ Proxy cho toàn Trường, với các tham số cấu hình cho dịch vụ Proxy

II.2.13 Máy chủ Unixsrv

Cấu hình: - CPU: 2 x 750 MHz 64-bit RISC processors

- RAM: 2 GB - HDD: 3 x 36.4GB

- Hệ điều hành: HP Unix 11i

Tham số cài dit cho VLAN Database trén Switch

VLAN VLAN | Dia chi IP/Subnet Chie nang cia VLAN ST Name ID VLAN

T

1 Default 1 None Vian Trunk: Két nỗi L2 các Switch với nhau

2 BuildingA3 15 192.168.15.0 Phục vu cho các máy trạm thuộc

Buiding A3 - TT thông tin của Trường ĐHKT

3 BuildingB 2 192.168.2.0 Phục vụ cho các máy trạm thuộc

Buiding B

4 BuildingC 3 192.168.3.0 Phục vu cho các máy trạm thuộc

Buiding C - dự án WB-B

5 BuildingD 4 192.168.4.0 Phuc vu cho các máy trạm thuộc

Buiding D

6 EVNpop 5 192.168.5.0 Phục vụ cho các máy trạm thuộc toà

nhà Environmental & Poplation Centre (Trung tam dan s6)

7 Itadmin 6 192.168.6.0 Phục vu cho các máy trạm thuộc tao

nha IT Centre for Econominal and administrator

8 Library 7 192.168.7.0 /24 Phuc vu cho cac may tram thudc toa

nha Library

9 InstituteSear 8 192.168.8.0 /24 Phuc vu cho cac may tram thudc toa

ch nha Institute of search economic & development (No 9 Building):

10 | Buiding7 9 192.168.9.0 /24 Phục vu cho các máy trạm thuộc

Building 7

11 | BusinessAd 10 192.168.10.0 /24 | Phục vụ cho các máy trạm thuộc toà

m nhà Institute od Business

Administration Building (VQTKD)

12 | Building6 11 192.168.11.0/24 | Phục vụ cho các máy trạm thuộc

Buiding 6

13 | Buildings 12 192.168.12.0 /24 | Phuc vu cho cac may trạm thuộc

Buiding CVFG (BuildingS)

14 | Building10 13 192.168.13.0 /24 | Phục vụ cho các máy trạm thuộc

Buiding 10

15 | Hostelll 14 192.168.14.0 /24 | Phục vụ cho các máy trạm thuộc toa

nha Hostel 11

16 | BuildingA2 16 192.168.16.0 /24 | Phục vụ cho các máy trạm thuộc TT

Tư vấn kinh tế và kinh doanh 17 |Libraryl 17 192.168.17.0/24_ | Phục vụ các máy trạm nâng cấp TT

Thư viện

18 | Library2 18 192.168.18.0 /24 | Phục vụ cho các máy trạm của 03

phòng học, mỗi phịng có 43 máy tính

19 | Library3 19 192.168.19.0 /24 | Phuc vu cho cac may trạm cua 03

phịng học, mỗi phịng có 33 máy tính 20 |ITAdminl 20 192.168.20.0 /24 | Phục vụ cho các máy tính nâng cap

của TT tin học (~300 máy)

21 | BuildingCl 21 192.168.21.0/24 | Phuc vu cho 03 phong hoc nha C, méi phịng có ~ 4l máy tính

22 | BuildingC2 22 192.168.22.0 /24 | Phuc vu cho 05 phong hoc nha C, mdi phong co ~ 43 may tinh

23 | BuildingC3 23 192.168.23.0 /24 | Phuc vu cho 02 phong hoc nha C, mdi phịng có ~ 65 máy tính (hai lớp học 65 máy tính thứ nhât và thứ hai) 24 | BuildingC4 24 192.168.24.0 /24 | Phuc vu cho 02 phong hoc nha C, mdi

phòng có ~ 65 máy tính (hai lớp học 65 máy tính thứ ba và thứ tư)

25 | Health 25 192.168.25.0 /24 | Phục vụ các máy tính thuộc Trung tâm

Centre Y tế của Trường

26 | Hostell234 26 192.168.26.0 /24 | Phuc vu 04 phong hoc cho 04 KTX

sinh vién tir thu 1 đến thứ 4, mỗi

phịng ~ 40 máy tính

27 | Remote 200 192.168.200.0 /24 | Vlan phục vụ các user cho kết nỗi từ

xa

28 | ServerFarm 90 192.168.0.0 /24 | Cac máy chủ của Trung tâm thông tin của Trường

29 |IPPBX 70 192.168.70.0 /24 | Phục vụ cho tông đài cung câp dịch vụ IP Phone

30 | IPTVFarm 60 192.168.60.0 /24_ | Phục vụ cho các máy chủ cung cấp

dịch vụ IPTV

31 | Gateway 100 192.168.100.0 /24 | Vian cầu nối giữa trung tâm thông tin

cua Truong voi vlan tai cac toa nha

32 | ProxyClient 101 192.168.101.0 /24 | Vlan phuc vụ mục dich loadsharing 02 may chu Proxy

33 | ProxyServer 102 192.168.102.0 /24 | Vlan phuc vu muc dich loadsharing 02 may chu Proxy

34 | DmzFarm 201 192.168.1.0 /24 Vian cầu nỗi giữa 02 Firewall: FWSM và Pix 525E

35 | BSNEU_SF 80 192.168.80.0 /24 | Phuc vu cac may chu cua Vién quan

tri kinh doanh

Le Cisco ==S ee — 2046 Ky — Library ‘Switch 4506 FO Multimode oS Building A3 3 |Swich 6506-1 with FWSM jo £S7 L2 link, FO Singlemode ‘Swich 6506-2 with

CSM and IDS Module ‘Switch 3550G-12T

Building C Switch 3560G-24) Health Centre Switch 29506-48 Hostel11 Switch 3550G-24 Building B Switch 2950SX-24 Building 7 ‘Swich 6508-2 Building A3 ‘Swich 6509-4 Building 5 (CVFG) Switch 3550G-24 L3 link, FO Singlemode Building D Switch 2950X-24 - sỹ Building 10 ‘Switch 3550G-24 Hostel 4

Institute Search ‘Switch 29506-48 Switch 3506-24 L2 link, FO Multimode Hostel 3 Switch 29506-48 Population Centre ‘Switch 2950SX-24 Hostel 2 Switch 29506-48 Hostel 4 IT Centre ‘Switch 29506-48 Switch 3550G-12T Building 6 ‘Switch 3550G-24

Sơ đồ mạng - Kết nói vật lý các Switch DHKT

Dự án WB-C

IL.3 HE THONG ISA CUA TRƯỜNG KTQD

Tại Trường hiện nay có 3 máy chủ Proxy cài ISA 2004 cấu hình thành một máy chủ Web Proxy cho phép truy nhập an toàn tới các tài nguyên Internet ISA vận hành như một máy chủ Proxy cho các máy Web proxy và Firewall

Phiên bản ISA 2004, cho tới thời điểm này tại trường Kinh tế quốc dân thì đây là phiên bản được ưa thích nhất So với bản 2000 thì ISA 2004 hay

hon ISA 2000 ở điểm nó có thể tùy nhiên tạo từng nhóm IP để có thể chặn

nhóm này theo mục đích nào đó, hoặc ngăn nhóm khác khơng cho lên mạng trong giờ làm việc Trên ISA2000 không hoạt động được như I VPN Server

Thêm nữa, ISA2000 có nhiều hạn chế, Config khó khăn hơn nhiều

Hệ thống NEULan đang dùng ISA Server 2004 phiên bản Enterprise ISA Server 2004 có 2 phiên bản Standard và Enterprise phục vụ cho 2 môi trường làm việc khác nhau Bản Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các cơng ty có quy mơ trung bình Bản Enterprise được sử dụng trong các môi trường có các mơ hình mạng lớn, đáp ứng yêu cầu truy xuất của người dung bên trong và ngoài hệ thống Chức năng chính của ISA là xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của cơng ty, kiểm sốt quá trình truy cập của người dung theo giao thức thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang Web

có nội dung khơng thích hợp Bên cạnh đó chúng ta cịn có thể triển khai hệ

thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu cho văn phòng chỉ nhánh Ngồi ra thì ISA 2004 còn cho phép triển khai các vùng phi quân sự (DMZ) ngăn ngừa sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống Ngoài các tính năng bảo

mật thơng tin trên, thì ISA2004 cịn có hệ thống đệm Cache giúp kết nối

trên đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống Bản Enterprise con cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp đễ dàng quản lý và cung cấp tính năng cân bằng tải

ISA 2004 hoạt động như một Firewall, nó sẽ chặn tất cả các lưu lượng giữa những đoạn mạng gắn với máy chủ, gồm mạng nội bộ của Trường, mạng vành đai ( DMZ2) và mạng công cộng Internet

III ISA SERVER 2006 HI.1 GIỚI THIỆU CHUNG

ISA là gì? ISA là cụm từ viết tắt của Internet Sercurity Acceleration Microsoft Internet Security and Acceleration Sever (ISA Server) là phan mềm share internet của hãng phần mềm nồi tiếng Microsoft, là bản nâng cấp duy nhất (tính đến thời điểm này) từ phần mềm MS Proxy Server 2.0 Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN)

ISA Server về căn bản là I tường lửa (Firewall) được thiết kế nhằm đảm bảo những luồng thông tin không cần thiết từ Internet sẽ bị chặn lại ở bên ngồi mạng máy tính của một tổ chức Đồng thời, ISA Server cũng có thể sử dụng đề cung cấp phương thức truy cập Internet (đối với người sử dụng bên trong mạng nội bộ); hay cung cấp cách truy nhập một cách chọn lọc vào những nguồn tài nguyên bên trong mạng nội bộ như là Web hay Email (đối với người sử dụng Internet) ISA Server thường được triển khai ở vành đai mạng của một tổ chức, là nơi mạng nội bộ kết nối với một mạng bên ngoài

Chúng ta có nhiều phiên bản của ISA như ISA 2000, 2004, 2006 Bản

phô biến hiện nay 1a ban ISA2004

dụng ISA Server dùng để áp đặt các chính sách bảo mật tới người sử dụng khi truy cập Internet Đồng thời, nhiều tổ chức cũng cho phép những người sử dụng từ xa dùng một số kiểu truy cập vào các máy chủ nội bộ Ví dụ như hầu hết các tổ chức cho phép các máy chủ email trên mạng Internet Nhiều công ty cũng đặt máy chủ của Website nội bộ, hoặc cho phép các nhân viên của họ có thể truy cập vào các tài nguyên nội bộ từ mạng Internet ISA Server có thé dùng để đảm bảo rằng truy cập vào những tài nguyên nội bộ này được bảo mật

HI.2 TỎNG QUAN HOẠT ĐỘNG CỦA ISA

ISA Server được thiết kế để bảo mật vành đai mạng của | tổ chức Trong hầu hết các trường hợp vành đai gày nằm giữa mạng nội bộ của tổ chức (LAN) và một mạng công cộng như mạng Internet

VD:

ae,

Internet

Hình 3 - Mơ hình đơn giản về triển khai ISA

Trên đây là ví dụ đơn giản về việc triển khai một ISA Server Mạng nội bộ hay mạng được bảo vệ thường nằm trong ranh giới của tổ chức và đưới sự

điều khiến của đội ngũ nhân viên IT của tổ chức đó Mạng nội bộ được coi là tương đối an tồn; có ý nghĩa là thường chỉ có users được ủy quyền mới có thể truy cập vật lý vào mạng nội bộ Cũng vậy, đội ngũ nhân viên IT có quyền kiểm sốt lớn về những loại thông tin được phép trong mạng nội bộ

Nếu một tổ chức không có sự kiểm sốt về những ai đang truy cập vào mạng Internet hay về việc bảo mật lưu lượng của mạng Internet thì bat ctr ai

trên thế giới với một kết nối Internet có thé định vi và truy cập vào bất cứ kết

ni Internet để sử dụng hầu hết các ứng dụng hay giao thức

IIL.3 ISA 2006

ISA Server 2006 cũng như ISA Server 2004 được thiết kế để bảo vệ Mạng, chống các xâm nhập từ bên ngồi lẫn kiểm sốt các truy cập từ bên

trong Mạng nội bộ của một tổ chức ISA Server 2006 firewall làm điều này thông qua cơ chế điều khiển những gì có thể được phép qua Firewall và những gì sẽ bị ngăn chặn Chúng ta hình dung đơn giản như sau: Có một quy tắc được áp đặt trên Firewall cho phép thông tin được truyền qua Firewall, sau đó những thông tin này sẽ được “Pass” qua, và ngược lại nếu khơng có bắt kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị Firewall chặn lại ISA Server 2006 firewall chứa nhiều tính năng mà các người quản trị có thể dùng để đảm bảo an toàn cho việc truy cập Internet, và cũng bảo đảm an ninh cho các tài nguyên trong Mạng nội bộ

Firewalls khong làm việc trong một môi trường “chân khơng”, vì đơn

giản là chúng ta triển khai Firewall để bảo vệ một cái gì đó, có thể là một PC,

Đây là một hệ thống ngăn chặn các cuộc tấn công từ Internet và một firewall với cấu hình lỗi sẽ tạo điều kiện cho các cuộc xâm nhập Mạng Với những lý do này, điều quan trọng nhất mà người quản trị quan tâm đó là Làm thé nao dé cau hinh Firewall dam bao an toàn cho việc truy cập Internet

Với cấu hình mặc định của mình ISA Server 2006 ngăn chặn tất cả lưu thông vào, ra qua firewall

HIL3.1 Đặc Điễm Của ISA 2006

Các đặc điểm của Microsoft ISA 2006:

- Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ

mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con, - Unique per-network policies: Dac diém Multi-networking được cung cấp trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ, demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào các Server trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ

- Stateful inspection of all traffic: Cho phép giam sat tất cả các lưu lượng mang

- NAT and route network relationships: Cung cap ky thuat NAT va dinh tuyén đữ liệu cho mạng con

- Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng

- Cung cấp một số đặc điểm mới đề thiết lập mạng riêng ảo (VPN network) và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác

- Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ

thống như Authentication, Publish Server, giới hạn một số traffic

HIL3 2 CÀI ĐẶT, CÁU HÌNH

HI.3.2.1 Yêu cầu chung

Cài Đặt ISA Server 2006 trên Windows Server 2003 thực sự không quá phức tạp (phức tạp nằm sẽ ở phần cấu hình các thơng số) Chỉ có một vài yêu cầu cần xác nhận tại quá trình này Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ- /nternal network IP address range(s) Không giống như ISA Server 2000, ISA Server 2006 không sử dụng bảng Local Address Table (LAT) đề xác định đâu là Mạng đáng tin cậy (trusted Networks), và đâu là Mạng không được tin cậy (untrusted networks) Thay vào đó, ISA Server 2006 firewall các IP addresses nội bộ được xác nhận bên dưới Internal network Internal network nhằm xác định khu vực có các Network Servers và các Services quan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP, các trạm quản ly Firewall , vv Tat ca các giao tiếp gitta Internal network va ISA Server 2004 firewall duoc điều khiển bởi các chính sách của Firewall (System Policy) System Policy là một tập hợp các nguyên tắc truy cập được xác định trước (pre-defìned Access Rules), nhằm xác định loại thông tin nào được cho phép vao (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall nay được cài đặt System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nới lỏng từ các Access Rules mặc định của System Policy

1 Để cài và sử dụng hệ thống ISA ta cần các máy DHCP, DNS, DC, I

máy client để test

2 Để sử dụng ISA, chúng ta cần :

- Một máy tính cá nhân với tốc độ xử lý trên 550MHz;

- Hé diéu hanh Window Server 2003 Service Pack 1 (SP1) hoặc Window Server R2

- Bộ nhớ 256 (MB) hoặc 512 MB cho hệ thống không sử dụng Web caching, IGB cho Web-caching ISA firewalls

- 150MB trống sẵn có của ơ cứng Đây là ô dành riêng khi bạn muốn sử dụng để lưu trữ

Một Card mạng tương thích với hệ điều hành của máy tính, cho giao tiếp

với mạng nội bộ

- Cộng thêm một Card mạng cho mỗi mạng để kết nối tới máy ISA Server

- Mot phan ving 6 cứng với định dạng NTES

3 Để cài Win Server 2003 chúng ta cần cài thêm một máy ảo, phần mềm cài máy ảo có thể sử dụng Virtual PC 2007 hoặc VMWare đang rất phô biến hiện nay

Sau khi đã thỏa mãn những điều kiện để cài đặt ISA như trên, chúng ta

tiến hành Setup ISA 2006

Có thể cài từ đĩa CD hoặc chạy Autorun.exe từ bộ cài

II.3.2.2 Kết nối ISA Server với Internet và cấu hình các ISA Client

ISA Server 2006 Firewall co 3 dạng chính sách bảo mật: System policy, Access rule va Publishing rule

- System policy thường ân và được dùng cho việc trong tương tác giữa Firewall va cac dich vu mang khac nhu ICMP, RDP System policy được xử lý trước khi access rule được áp dung Sau khi cai dat cac system policy mac định cho phép ISA Server sử dụng các dịch vụ hệ thống như: DHCP, RDP, Ping

- Access rule: là tập hợp các quy tắc truy cập Internet hay Email Cần đặc biệt lưu ý đến thứ tự các access rule vì luồng xử lý của Firewall sẽ chấm đứt khi nó gặp policy chặn lại Ví dụ:

1 Deny Web www.neu.edu.vn (Không cho phép truy cập trang web www.neu.edu.vn )

2 Allow Website www.neu.edu.vn (Cho phép truy cập trang web www.neu.edu.vn )

Chúng ta sẽ không truy cập được vào website www.neu.edu.vn vì ngay ở Access rule đầu tiên đã từ chối

- Publishing Rule: Dùng đề cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ cho phép các người dùng trên Internet truy cập

Khi quá trình cài đặt ISA Server 2006 hoàn tất, chúng ta kết nối ISA Server với Internet và cấu hình các ISA Server client để có thể truy cập Internet thơng qua ISA Server với Firewall Mặc định ISA Server chỉ có một access rule sau khi cài đặt là Deny AII, từ chối mọi truy cập vào/ra thông qua ISA Firewall, vi vay chung ta can tạo ra các quy tắc thích hợp với nhu cầu tổ chức hoặc áp dụng các quy tắc mẫu cho ISA Server Ban cé thé cấu hình ISA Firewall Policy thơng qua giao diện ISA Management Console trên chính ISA

Server hoặc cài công cụ quản lý ISA Management Console trên một máy khác và kết nối ISA Server để thực hiện thao tác quản trị từ xa Giao diện quản lý của ISA Server Management Console có 3 phần chính:

- Khung bên trái để duyệt các chức năng chính như Server Nam, Monitoring, Firewall Policy, Cache

- Khung ở giữa hiển thị chỉ tiết các thành phần chính mà chúng ta chọn nhu System Policy, Access Rule,

- Khung bên phải còn được gọi là Taks Pane chứa các tác vụ đặc biệt như Publishing Server, Enable VPN Server,

II1.3.2.3.Tao Access Rule trén ISA

M6 giao dién quan ly ISA Management Server bang cach chon Start -> All Program -> Microsoft ISA Server -> ISA Server Management Nhan phai vao Firewall Policy va chon Create New Access Rule hoac chon tir khung tac vu (Task Pane) ctia man hinh quan ly Dat tén cho Access Rule can tao cho phù hợp với hệ thống của bạn va chon Next Trong phan Rule Action chung ta chon Allow, vi day 1a access rule cho phép client str dung các giao thức và ung dung thong qua firewall

- Xac định những giao thức mà người dùng được sử dụng như HTTP hay FTP Trong cửa số Protocols, hãy chọn All outbond trafic, nếu muốn thay đối bạn chỉ cần chọn trong danh sách như Selected Protocol để chọn một số giao thức nào đó hay All inbound trafic cho trường hợp cung câp các kết nồi từ bên ngoài vào

bộ cho nên chúng ta chọn Add trên Access Rule Source và chọn Internal Đối với User thì chúng ta chọn All User (trong trường hợp cần thiết bạn có thể xác định những Group hay User thích hợp của hệ thống như Group Domain User, Administrator , khi Firewall không thuộc Domain thì hãy sử dụng local account của Firewall trong Local Users And Groups) - Nhân Apply đề hiệu lực firewall policy mới tạo, lúc này chúng ta đã có 2 acess rule là Default Rule (có chức năng Deny All, lưu ý Default Rule khơng thể xố được) và Permit Any Traffic from internal network cho phép người dùng trong mạng nội bộ được phép sử dụng tất cả các giao thức trên Internet

HI.3.2.4 Cấu hình ISA Server 2004 SeeureNAT, Firewall và Web Proxy Clients

Một ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server 2004 firewall Nhìn chung, các ISA Server 2004 client thường được đặt trong một Internal hay perimeter network —DMZ và kết nối ra Internet qua ISA Server 2004 firewall

C6 3 loai ISA Server 2004 client: * SecureNAT client

* Web Proxy client + Firewall client

SecureNAT client là máy tính được cấu hình với thơng số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2004 firewall gắn với Network đó Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2004 firewall, khi

đó SecureNAT client sẽ cấu hình thơng số default gateway là IP address của router gan n6 nhat, Router này sẽ giúp định tuyến thông tin tir SecureNAT client đến ISA Server 2004 firewall ra Internet

* SecureNAT Client:

Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default Gateway là địa chỉ card mạng trong của ISA Server là được (trong trường hợp này là 192.168.1.10), hoặc chúng ta có thể cấp phát thông qua DHCP server với option 006 dành cho Router Điểm thuận lợi của phương pháp này là client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hành không thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứng dụng trên Internet thông qua ISA Tuy nhiên có một bắt lợi là các SecureNATT client không gởi được những thông tin chứng thực gồm username và password cho firewall được, vì vậy nếu như bạn triển khai dịch vụ kiểm soát truy cập theo domain user đòi hỏi phải có username và password thì các SecureNAT client không ứng dụng được Ngoài ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng client này

Firewall client là máy tính có cài Firewall client software Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đây các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2004 firewall User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2004 firewall

* Firewall Client:

Vậy nếu chúng ta muốn có một cơ chế kiểm soát chặt chẽ hơn, ví dụ người dùng phải đăng nhập đomain mới truy cập được Internet thì phải làm như thế nào? Giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Client cho các máy tính này Thơng thường khi cài đặt ISA Server bạn sẽ cài dịch vu Firewall Client Installation Share, sau đó trên ISA Server mở system policy cho phép truy cập tài nguyên chia sẻ và máy tính client chỉ cần kết nối đến ISA Server theo địa

chỉ IP nội bộ với tài khoản hợp lệ đề tiến hành chạy tập tin cài đặt Firewall

Client

Nếu không muốn cài đặt Firewall Client Installation Share trên từng máy client thì chúng ta có thể chọn cài dịch vụ này trên bất kỳ máy tính nào như file server hoặc domain controller như sau: chọn Setup Type loại Custom và chon This feature, and all subfeatures, will be installed on the local hard drive trong muc Firewall Client Installation Share

Sau đó trên cdc may tinh client tiến hành cai dat Firewall Client bang cach mé Start - > Run va chay lénh \\192.168.1.10\mspclnt\setup

Trong trường hợp hệ thống có nhiều máy trạm, việc cài đặt trên từng máy gặp nhiều khó khăn thì giải pháp triển khai chương trình một cách tự động bằng SMS Server 2003 hoặc Assign thông qua Group Policy là hiệu quả nhất Với Firewall Client, bạn có thể tận dụng được những khả năng mạnh nhất của ISA Server như chứng thực người dùng dựa trên Domain User và Group, cho phép ghi nhật ký những lần truy cập Tuy nhiên điểm bất lợi chính của trường hợp này là các máy tính muốn cài Firewall Client phải sử

dụng hệ điều hành Windows

* Web Proxy Client:

Web Proxy client là máy tính có trình duyệt Internet (vd:Internet Explorer) được cầu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó Web browser có thê cấu hình để sử dụng IP address của ISA Server 2004 firewall làm Web Proxy server của nó -cấu hình thủ cơng, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2004 firewall Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển lam thé nao dé Web Proxy clients có hề kết nối Internet Tên của User —User names được ghi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client

Như chúng ta biết, ngoài chức năng bảo mật thì ISA Server 2004 Firewall còn có chức năng Cache đùng để lưu trữ các trang web thường được truy cập trên RAM hoặc trên đĩa cứng nhằm tiết kiệm băng thông Tuy nhiên, Web Proxy Client chỉ sử dụng được các giao thức HTTP/HTTPS, FTP, điều này có nghĩa là người dùng sẽ không thể truy cập email với Outlook hay sử dụng các ứng dụng khác Để sử dụng Web Proxy, các máy tính client phải cấu hình trong trình duyệt web bằng cách mở Internet Explore, chọn Tools - > Internet Options, chọn tab Connections - > LAN Settings và nhập vào địa chỉ của Proxy server

sn sẻ thì các client cần cấu hình địa chỉ DNS server nội bộ và cả ISP DNS Server như 210.245.3 1.10 hay 203.162.4.191

IHIL3.2.5 Cấu hình ISA Server 2004 Firewall đóng vai trị một VPN Server

ISA Server 2004 firewall có thể được cấu hình trở thành mơt VPN server Khi bật chức năng VPN server nó có thể chấp nhận các kết nối vào từ VPN clients —incoming VPN client , nếu kết nối thành công, VPN client computer sẽ là thành viên cua Mạng được bảo vệ, không khác gì so với các Client bên trong LAN VPN servers truyền thống cho phép VPN clients đầy đủ quyền truy cập vào Mạng khi đã được kết nói Ngược lại với ISA Server 2004 VPN server có khả năng cho phép chúng ta điều khiển những protocols nào và những servers nào mà VPN clients có thể kết nối đến dựa trên đặc

quyền mà Client đã khai báo khi thiết lập kết nối-credentials đến VPN server

Có thể dùng Microsoft Internet Security and Acceleration Server 2004 management console để quản lý tất cá cấu hình liên quan đến VPN server Firewall sẽ quản lý đanh sách các IP addresses được cấp phát cho VPN clients va bé tri các IP này trên một VPN clients network duge chi dinh Điều khiển truy cập sau đó có thể được bồ trí dựa trên chiều giao tiếp, thông qua kiểm soát của các Access Rules : Đến hay từ VPN clients network

Theo các bước sau tiền hành enable ISA Server 2004 VPN server: * Enable VPN Server

* Tạo một Access Rule cho phép VPN clients truy cập vào Internal network

* Kiểm tra các kết nối VPN