Nghiên cứu và triễn khai hệ thống tường lửa ISA 2006

Lời mở đầuTrong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đáp ứng các nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế, mua hàng trực tuyến,…vv…. Không còn là những khái niệm trừu tượng nữa.Với Internet mọi thứ “trong mơ” đã trở thành hiện thực.Trong những năm gần đây vài trò của Công nghệ thông tin (CNTT) đã và đang được khẳng định một cách rõ nét. Sự phát triển của CNTT đã tác động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội của loài người, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử. Ưng dụng CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầu của nhiều quốc gia. CNTT giúp con người xích lại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn tại là lực đẩy cho mọi hoạt động trên mọi lĩnh vực của Quốc gia. Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vững cũng là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, vv..). Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối đó. Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình. Tiếp theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thế lực trên. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức. Và Microsoft ISA Server 2006 là một Enterprise Firewall như thế Một sản phẩm tốt và là người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin. CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 20061. Giới thiệu về ISA server 2006Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa2. Các phiên bản của ISA server 2006Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình.Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).3. Tính năng chính của ISA server 2006ISA server là một trong các phần mềm máy chủ thuộc dòng .NET Enterprise Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các serverứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giải pháp dựa trên web và các dịch vụ. ISA server mang lại một số các lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lýTruy cập Web nhanh với cache hiệu suất cao:oNgười dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗ trong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy cơ tắc nghẽn.oGiảm giá thành băng thông nhờ giảm lưu lượng internetoPhân tán nội dung của các Web server và cácứng dụng thương mạiđiện tử một cách hiệu quả,đápứngđược nhu cầu khách hàng trên toàn cầu (khả năng phân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)Kết nối Internet an toàn nhờ nhiều lớpoBảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát lưu lượng mạng tại nhiều lớp.oBảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công từ bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an toàn các yêu cầu đếnoLọc lưu lượng mạngđi vàđến để đảm bảo an toàn. oCung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng nội tại nhờ sử dụng mạng riêngảo (VPN) Quản lý thống nhất với sự quản trị tích hợp

TRƯỜNG CĐ NGHỀ CÔNG NGHỆ KỸ THUẬT LADEC

CƠ SỞ ĐÀO TẠO:Trường CĐ Công Nghệ Thông Tin TP.HCM

Giáo viên hướng dẫn: Ths.Nguyễn Trần Tuấn Anh

Sinh viên thực hiện: Trần Đình Hiệu

Lớp: 11CTCI2

MSSV: 11CTCI2012

Khóa: 2011-2014

TP.HCM tháng 3 năm 2014

Lời mở đầu

Trong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đápứng các nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế,mua hàng trực tuyến,…vv… Không còn là những khái niệm trừu tượng nữa VớiInternet mọi thứ “trong mơ” đã trở thành hiện thực Trong những năm gần đây vàitrò của Công nghệ thông tin (CNTT) đã và đang được khẳng định một cách rõ nét

Sự phát triển của CNTT đã tác động tích cực đến mọi mặt của đời sống chính trị,kinh tế, văn hóa, xã hội của loài người, tạo ra sự phát triển vượt bậc chưa từng cótrong lịch sử Ưng dụng CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầucủa nhiều quốc gia CNTT giúp con người xích lại gần nhau hơn, khiến chokhoảng cách địa lý không còn tồn tại là lực đẩy cho mọi hoạt động trên mọi lĩnhvực của Quốc gia

Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vữngcũng là tất yếu Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triểnkhai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, nhưvậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp

đó Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vôgiá Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm đượcnhư uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch vớikhách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khácnhau Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây khôngcòn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin(PCs, Enterprise Networks, Internet, vv ) Và chính vì vậy, tất cả những hệ thốngnày cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với nhữngthế lực đen tối đó Trước hết với vai trò của một quản trị viên chúng ta cần xâydựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình.Tiếp theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thếlực trên Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer chođến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổchức Và Microsoft ISA Server 2006 là một Enterprise Firewall như thế ! Một sảnphẩm tốt và là người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin

CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006

1 Giới thiệu về ISA server 2006

Microsoft Internet Security and Acceleration Sever (ISA Server) là phầnmềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổbiến của hãng phần mềm Microsoft Có thể nói đây là một phần mềm shareinternet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phépbạn cấu hình sao cho tương thích với mạng LAN của bạn Tốc độ nhanh nhờ chế

độ cache thông minh, với tính năng lưu Cache vào RAM (Random AccessMemory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache(Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache vàmáy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN) Ngoài racòn rất nhiều các tính năng khác nữa

2 Các phiên bản của ISA server 2006

 Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻbăng thông cho các công ty có quy mô trung bình

 Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hìnhmạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong vàngoài hệ thống Ngoài những tính năng đã có trên ISA Server 2006, bảnEnterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sửdụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năngLoad Balancing (cân bằng tải)

3 Tính năng chính của ISA server 2006

ISA server là một trong các phần mềm máy chủ thuộc dòng NET EnterpriseServer Các sản phẩm thuộc dòng NET Enterprise Server là các serverứng dụngtoàn diện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giảipháp dựa trên web và các dịch vụ ISA server mang lại một số các lợi ích cho các

tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lý

 Truy cập Web nhanh với cache hiệu suất cao:

o Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗtrong cache so với việc phải kết nối vào Internet lúc nào cũng tiềmtàng nguy cơ tắc nghẽn

o Giảm giá thành băng thông nhờ giảm lưu lượng internet

o Phân tán nội dung của các Web server và cácứng dụng thươngmạiđiện tử một cách hiệu quả,đápứngđược nhu cầu khách hàng trêntoàn cầu (khả năng phân phối nội dung web chỉ có trên phiên bản ISAserver Enterprise)

 Kết nối Internet an toàn nhờ nhiều lớp

o Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát lưulượng mạng tại nhiều lớp

o Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấncông từ bên ngoài bằng việc sử dụng web và server quảng bá để xử lýmột cách an toàn các yêu cầu đến

o Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn

o Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạngnội tại nhờ sử dụng mạng riêngảo (VPN)

 Quản lý thống nhất với sự quản trị tích hợp

o Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huyhiệu lực của các chính sách vận hành

o Tăng hiệu xuất nhờ việc giới hạn truy cập tới internet của một số cácứng dụng và đích đến

o Cấp phát băng thông để phù hợp với các ưu tiên

o Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được sửdụng như thế nào

o Tự động hóa các dịch vụ nhờ sử dụng script

 Khả năng mở rộng

o Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server softwaredevelopment kit (SDK) với các thành phần bổ sung

o Chưc năng mở rộng an toàn cho các sản xuất thứ ba

o Tự động các tác vụ quản trị với các đối tượng script COM( component object model)

Chương II:Cấu hình máy DC Server và ISA Server

255.255.255.0Default gateway:

172.16.1.1Prefer DNS: 172.16.1.2

Máy

ISA

Server

IP address: 172.16.1.1Subnet mask:

255.255.255.0Default gateway:

Prefer DNS: 172.16.1.2

IP đặt cùng lớp với phòng máy đang sử dụng để máy ISA có thể ra Internet hoặc để chế độ là Brigde nếu sửdụng máy ảo

3.Cấu hình máy DC Server:

*Gán địa chỉ IP:

Click chuột phải vào My Network Plance chọn Properties

Chuột phải vào biểu tượng Card mạng chọn Properties

Chọn Internet Protocol(TCP/IP):

Gắn ip như mô hình:

Ok để kết thúc.

*Tạo Domain:

Vào StartRungõ DCPROMO

Check vào Domain Controller…. >Next Tạo mới 1 Domain.

Nhập tên DomainNext

Next

Chọn Install and ……

Chọn Pemissions compatible only with…. >Next

Đặt password cho tài khoản admin,ở đây ta có thể để trống và Next được nhưng để

bảo mật hơn thi ta nên đặt Password

Nhấn Finish để kết thúc.

*Tạo Group & User:

Vào StartProgramsAdministrative ToolsActive Directory Users and Computer

Đây là giao diện của trình tạo Group & User

Chuột phải vào UserNewGroup để tạo Group

Nhập tên Group cần tạo vào dòng Group nameOk

Tiếp tục chọn UserNewUser tạo User

Đặt Password cho UserNext

Nhấn Finish để kết thúc qua1 trình tạo User

Sau khi đã tạo xong Group & User thi ta sẽ add User vào trong Group.Chuột phải vào tên Group mình vừa tạo chọn Properties

Chọn Tab MemberAdd

Nhập tên User vừa tạoCheck NamesOK

4.Join(gia nhập)máy ISA Server vào Domain

Chuột phải vào My ComputerProperties

Chọn Computer NameChanger

Ở Tab Member of check vào Domain nhập tên Domain đã tạo vàoOK.

Nhập User name:administrator ,Password để trống(do khi tạo domain

mình không có Password)OK

Máy ISA Server đã gia nhập vào Domain thành công

Restart lại máy

Log on vào Domain.

Sau khi Join thành công máy ISA vào Domain chúng ta vào Computer Name sẽ có thêm những thông số như hinh dưới

5 Cài đặt ISA Server

Trước tiên cài đặt ISA thì yêu cầu máy ISA phải có ít nhất 2 card mạng, một cardnối với mạng bên trong (Internal) và card mang còn lại nối ra Internet (External)

Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006

Check vào I accept ………Next

Chọn Custom để cài đặt bằng tay

Sau đó chúng ta nhấp Next

Tại cửa sổ Internal Network nhấp Add

Chọn tiếp Add Range…

Ở đây ta ghi địa chỉ IP mà máy ISA cấp cho các máy trong mang nội bộ (Internal) ok

Check vào Allow non-encrypted……… để cho phép máy Client có thể kết nối tới ISA Server và ngược lại  Next

Quá trình Setup ISA Server 2006 lên máy bắt đầu:

Check Finsh để kết thúc.

Đây là giao diện khi chúng ta cài đặt ISA Server 2006 thành công

CHƯƠNG III: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS

1 Phân loại

Có 3 loại ISA Server 2006 client:

 SecureNAT client là máy tính được cấu hình với thông số chính Default

gateway giúp định tuyến ra Internet thông qua ISA Server 2006 firewall.Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2006firewall, thông số default gateway của SecureNAT client chính là IP addresscủa network card trên ISA Server 2006 firewall gắn với Network đó NấuSecureNAT client nằm trên một Network ở xa ISA Server 2006 firewall, khi

đó SecureNAT client sẽ cấu hình thông số default gateway là IP address củarouter gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNATclient đến ISA Server 2006 firewall ra Internet

 Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer)

được cấu hình dùng ISA Server 2006 firewall như một Web Proxy servercủa nó Web browser có thể cấu hình để sử dụng IP address của ISA Server

2006 firewall làm Web Proxy server của nó cấu hình thủ công, hoặc có thểcấu hình tự động thông qua các Web Proxy autoconfiguration script của ISAServer 2006 firewall Các autoconfiguration script cung cấp mức độ tùy biếncao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nốiInternet Tên của User (User name) được ghi nhận trong các Web Proxy logskhi máy tính được cấu hình như một Web Proxy client

 Firewall client là máy tính có cài Firewall client software Firewall client

software chặn tất cả các yêu cầu thuộc dạng Winsock application (thôngthường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầunày trực tiếp đến Firewall service trên ISA Server 2006 firewall User names

sẽ tự động được đưa vào Firewall service log khi máy tình Firewall clientthực hiện kết nối Internet thông qua ISA Server 2006 firewall

Dươi đây là bảng so sánh các dạng ISA server 2006 Client:

Tính Năng SecureNAT Firewall client Web Proxy

client client

Cần phải cài đặt Không, chỉ cần

xác lập thông sốdefault gateway

Yes Cần cài đặtsoftware

Không, chỉ cầncấu hình cácthông số phù hợptại trình duyệt

Chỉ Windows Bất kì OS nào có

hỗ trợ các Webapplication

Hỗ trợ Protocol Nhờ có bộ lọc

Applicationfilters có thể hỗtrợ các ứng dụngchạy kết hợpnhiều protocols –multiconnectionprotocols

Hầu hết các ứng

Internet hiệnnay

HTTP,SecureHTTP(HTTPS)v

à FTP

Có hỗ trợ xác thực

người dùng hay không

.Nhằm kiểm soát việc

User truy cập ra ngoài

có, nhưng chỉdành cho VPNclients

 Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai

báo IP, Subnet mask, DNS, quan trọng nhất là khai báo Default Gateway saocho mọi thông tin hướng ra internet phải được định tuyến đến ISA server(ởđây Default Gateway chính là địa chỉ IP của máy ISA Server )

b Web Proxy Client

Chúng ta cấu hình trên Internet Explorer

 Trên máy CLIENT, chuột phải vào Internet Explorer icon nằm trên desktop,click Properties.

 Trong Internet Properties dialog box, click Connections tab trên Connections tab, click LAN Settings button.

 Trong Local Area Network (LAN) Settings dialog box Tại Proxy server chúng

ta điền IP or tên của ISA server và port 8080ok

c Firewall Client

Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe

Chọn I accept the………NextNext

Check vào Connect to this ISA…và nhập IP card Internal của máy ISANext

Chọn Install

Nhấn Finish để kết thúc.

CHƯƠNG IV: Triển khai ISA server 2006

1 T o Rule ạo Rule

Tạo Rule cho phép người quản trị có thể cho phép hay cấm bất kỳ máy nào trong mạng hay toàn bộ mạng.Sau đây là các bước tạo ra 1 Access Rule.

Chạy chương trình ISA bằng các click chuột vào ISA server Management

Chuột phải vào Firewall Policy  chọn New  chọn Access Rule

Sau đó của sổ New Access Rule wizard hiện ra chúng ta gõ tên cho Rule chẳng

hạn như Allow Internal to Internet vào ô Access Rule Name  Next

Chọn AllowNext

Sau đó chúng ta sẽ chọn Protocol cho rule, nếu chúng ta cho máy trạm truy cập

Internet và Email thì chúng ta chỉ chọn các giao thức như DNS, http, https, POP3,SMTP để chọn rule ta click Add  Next

Bước tiếp theo chúng ta chọn Source cho rule click Add sau đó chon cái bạn

muốn add ở đây tôi chọn Internal và Local Host.

Tiếp theo chúng ta sẽ chon Destination click Add  chọn điểm đếnNext

Chọn Next  sau đó chúng ta chọn User cho rule or nếu ta muốn cho phép tất cả

User ra Internet thì ta để mặc địnhNext

Nhấn Finish để kết thúc.

Chọn AllowNext

Chọn Publish a single…. >Next

Với Rule này tôi sẽ Publish dịch vụ HTTP trước nên trong Server Connection Sercurity tôi chọn lựa chọn Use non-secured connections to conect the published Web server or server farm.

Internal site name bạn nhập Domain name của hệ thống (chính là Domain của

DC Server)Next

Trong Internal Publishing Details bạn để trống ô PathNext

Nhập Domain name mà bạn mua từ nhà cung cấp dịch vụ vào ô Public name trong Public Name DetailsNext

Trong cửa sổ Select Web Listener chưa tồn tại các Web Listener nào cả vì vậy ta phải tạo các Listener mới cho nó Nhấp New

Đặt tên cho Web Listener này là Publish Port 80Next

Tiếp tục chọn tùy chọn là Do not require SSL secured connections with clients để chỉ Publish dịch vụ HTTP mà thôi.

Chọn External trong Web Listener IP AddressNext

Tại Authentications Settings chọn BasicNextNextFinish

Trở lại màn hình Select Web Listener sẽ thấy xuất hiện Web Listener là Publish Port 80 vừa tạo chọn Publish Port 80

Chọn tùy chọn No delegation, and cliecnt cannot authenticate directly trong Authentication DelegationNext

Chọn All Authenticated Users trong User SetsNext

Nhấn Finish.

Màn hình tạo Rule Publish Web sau khi hoàn tất: