Đồ án tốt nghiệp CNTT Triển khai hệ thống ISA server Mircrosoft Tường lửa DNIV Tổng Quan Microsoft ISA Server ...........................................................1. Giới Thiệu ..............................................................................................2. Cơ Chế Client Tham Gia Vào ISA Server....................................................3. Một Số Tính Năng Của ISA Server ............................................................4. Cách Thức Làm Việc Của ISA Server ........................................................5. Cơ Chế Hoạt Động Của ISA Server ...........................................................6. Chính Sách Bảo Mật Trong ISA Server ......................................................7. Các Mô Hình Triển Khai ISA Server...........................................................8. ISA Server Bảo Mật Truy Cập Internet ......................................................
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 1 ÁN TT NGHIP: XÂY DNG H THNG LA CHO DOANH NGHIP VI MICROSOFT ISA SERVER TP.H GVHD: Th SVTH: - Trn Th ng. - m. - Phm Gia Nguyên Huy. Chuyên Ngành: Qun Tr Mng Máy Tính. Lp: 01CCHT02. Niên Khóa: 2008 2011. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 2 Qua quá trình học tập và được sự dẫn dắt nhiệt tình của Giảng Viên Hướng Dẫn tại Trường Cao Đẳng Nghề CNTT iSPACE – Chuyên nghành Quản Trị Mạng Máy Tính. Nhóm Chúng em đã đúc kết được những kinh nghiệm từ các bài học, và đã thực hiện hoàn thành Đồ án: “Xây Dựng Hệ Thống Tường Lửa Cho Doanh Nghiệp Với Microsoft ISA Server”. Với lòng biết ơn sâu sắc, nhóm Chúng em xin gởi lời cảm ơn đến Thầy Dương Minh Trung, thầy hướng dẫn trực tiếp đề tài. Trong quá trình làm đồ án thầy đã tận tình hướng dẫn và giúp đỡ nhóm Chúng em giải quyết khó khăn trong đồ án này. Xin chân thành cảm ơn đến Thầy Trần Văn Tài, Thầy Nguyễn Siêu Đẳng – Giảng viên Trường CĐ Nghề CNTT iSpace đã củng cố kiến thức cho nhóm Chúng em thực hiện đề tài hoàn chỉnh. Xin chân thành cảm ơn đến Anh Nguyễn Văn Vinh, Anh Lưu Tuấn Phát – Bộ phận IT - Công ty Cổ phần Chứng khoán Việt Quốc Security đã trang bị cho nhóm Chúng em về kiến thức áp dụng trong thực tế. Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót. Nhóm Chúng em xin chân thành cảm ơn ý kiến đóng góp của các bạn đọc cũng như nhận xét của Giảng Viên để nội dung của Đồ án ngày càng hoàn thiện hơn. Cuối cùng, xin chúc tất cả mọi người sức khỏe và trân trọng cảm ơn!. Trường CĐ Nghề CNTT iSpace – Khoa CNTT Sinh Viên Thực Hiện Đề Tài: Trần Thế Cường Phan Đình Đảm Phạm Gia Nguyên Huy TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 3 1. : 2. : Ging Dn: TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 4 A- M U 7 I- Lu: 7 II- Lý Do Ch Tài 7 III- Mc Tiêu 7 IV- Tng Quan Microsoft ISA Server 8 1. Gii Thiu 8 2. Client Tham Gia Vào ISA Server 9 3. Mt S a ISA Server 10 4. Cách Thc Làm Vic Ca ISA Server 11 5. Hong Ca ISA Server 13 6. Chính Sách Bo Mt Trong ISA Server 14 7. Các Mô Hình Trin Khai ISA Server 15 8. ISA Server Bo Mt Truy Cp Internet 18 B- NI DUNG 19 I- 19 II- Yêu C Tài 19 III- Tài 20 IV- THIT K 22 Lun Lý Tng Quát 22 Lun Lý Chi Tit 23 C- TRIN KHAI 24 I- Hoa Ch IP, Computer Name 24 1. Tr S Chính Qun 1 24 2. Chi Nhánh Qun 5 26 II- Xây Dng H Thng Mng 27 1. Trin khai Domain Controller 27 2. Trin Khai ISA Server 28 3. Trin Khai Web Server 33 4. Trin Khai Mail Server 34 5. Trin Khai Web-mail S Dng Port 80 36 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 5 6. Trin Khai Wildcard Certificate 39 7. Trin Khai FTP Server 57 8. Trin Khai File Server 60 III. Xây Dng H Thng La ISA Server 68 1. Trin Khai Network Loab Balancing 68 2. Access Rule 74 3. Publishing Server Ra Internet 89 4. Trin khai VPN ISA 101 5. Trin Khai Phát Hin Xâm Nhp Vi IDS 114 6. Trin khai Antivirus và Antisyware 119 7. Giám sát hong h thng mng 122 D- NG M RNG 133 Tài 133 nh ng H Th 133 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 6 TÀI LIU THAM KHO [1] Tô Thanh H Trin khai Firewall vi Microsoft ISA Server 2006 (Quý III/ 2010), Nhà xut bng Xã hi. [2] Giáo trình Trin khai An toàn mng Khoa CNTT CNTT iSpace. [3] Dit ngh: http://nhatnghe.com/forum/ [4] MS Open Lab: http://msopenlab.com/ [5] Di thut viên: http://www.kythuatvien.com/forum/ [6] DiNTT: http://diendancntt.vn/ TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 7 A- M U I- Lu: - Th gii trong nhng thp niên va qua, nht là t khi thc hin cuc cách mng khoa hc k thut vào thp niên 80 c phát trin thn k và tht s mnh m vi hàng lot thành tu v kinh t, khoa hc k thut, chính tr, xã hi, an ni Nguyên nhân chính cho s phát tri xut hin ca Internet. S xut hin c y th gii tin nhanh v c và th gii c sang mt k nguyên mi, k nguyên bùng n thông tin. - t, bt c vt th tn ti hai mt tích cc và tiêu cc. Chúng ta không th nào ph nhn nhng mt tích cc mà Internet mang li, vn nn lo phát trin ngày càng mnh m và Internet là mt công c hu hiu cho nhng k tn công vào các h thng mng vi mi hay chng t bn thân mình. Chính vì vy, trong th trò bo mt h thng mng là vô cùng quan trng. II- Lý Do Ch Tài - Nhóm chúng tôi nh ch ng h thng la cho Doanh nghip vi Microsoft ISA Server tài rt thc t, giúp chúng tôi có thêm kinh nghim và ng dng thc ting. III- Mc Tiêu - ng dng la ISA Server qun lý h thng Mng Doang nghip vi mc tiêu: m bo h thng la hong nh. 2. Bo mt và An toàn h thng mng. 3. Giám sát và qun lý h thng mng hiu qu. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 8 IV- Tng Quan Microsoft ISA Server 1. Gii Thiu - Microsoft Internet Security and Acceleration (ISA) là phn mm Share Internet ca t Microsoft. - là mt phn mm thit lp t ng la (Firewall) và cho phép mng ni b truy cp Internet linh hot nh ch Cache thông minh. - ISA Server 2006 có hai phiên bn Standard và Enterprise, phc v cho nhng môi trng khác nhau. ISA Server 2006 Standard: - ng nhu cu bo v và chia s công ty có quy mô trung bình. Vi phiên bn này chúng ta có th xây d: - Kim soát các lung d liu vào và ra h thng mng ni b ca công ty. - Kim soát quá trình truy cp ci dùng theo giao thc, thi gian và ni dung nh chn vic kt ni vào nhng trang web có ni dung không thích hp, thi gian không thích hp (ví d làm vic). - Bên c trin khai h thng VPN site to site hay remote access h tr vic truy cp t xa vào h thng mng ni b ca công ty, hoi d liu gii s. - i vi các công ty có nhng h thng máy ch cn có nhng chính sách bo mt riêng thì ISA Server 2006 cho phép trin khai vùng DMZ nhm s c tip gii dùng bên trong và bên ngoài h thng. - o mt thông tin trên, ISA Server 2006 bn standard còn có cho cache cho phép rút ngn tht kt ni internet ca mng ni b. - n phm firewall này có tên gi là Internet Security & Aceleration (bo mt c Internet). ISA Server 2006 Enterprise: - c s dng trong các mô hình mng lng nhiu yêu cu truy xut ci dùng bên trong và ngoài h thng. Ngoài nh 2006, bn Enterprise còn cho phép thit lp h thng mng các ISA Server cùng s dng mt u này giúp d dàng qun lý và cung cng ti). o Tóm li, ISA Server có các chc nng chính: Chia s kt ni internet chia s ng truyn internet. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 9 Lp Firewall Server, kim soát, khng ch các lung d liu truy cp t ngoài vào mng ni b hoc li. c truy cp Web bng gii pháp Cache trên Server. H tr thit lp h thng VPN (mng riêng o) vi ISA Server làm VPN Server. tr gii pháp cân bng ti gia hai hay nhing truyn internet. 2. Client Tham Gia Vào ISA Server - Client có th tham gia vào ISA Server v SecureNAT: - SecureNAT Clients có th là mt thit b, có th là mt Host Windows 2000, XP, hoc mt máy tính dng Linux. Clients s dng SecureNAT không th tn dng ha ISA Server. - s dng SecureNAT, các máy Clients ch cn cu hình Default Gateway tr v a ch IP ca ISA Server. Cu hình TCP/IP s dng ISA Server làm Gateway là chp nhn làm SecureNAT Clients ca ISA Server. - Hoc s dng DHCP Server cu hình Default Gateway cho Clients tr v a ch ISA Server. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 10 S dng DHCP Server cu hình Gateway cho các máy Clients trong LAN . - SecureNAT không th kim soát và chng thc User, password, trang web, trong h thng mng. Web Proxy Clients: - ISA Server ho t tt. Proxy Server cung c Cache cho Web. Web Caching trên ISA Server s dng rt tt. ISA Server Cache ni dung Web trên RAM nên t ci thi. Tt c các Web Browser h tr s d Avant Browser có th dùng ISA Server 2006 làm Proxy Server. Các Proxy Clients không cn s d truy cng. - u s dng Web Proxy Clients ch h tr cho HTTP và FTP. Web Proxy Settings có th cu hình bng Policy t Domain hoc cu hình bng tay. Firewall Clients: - Loi Clients này ct ma ISA Server ch có th cài trên h u hành Windows nên loi Clients này ch c bit dùng cho Windows. - Clients ca ISA Server s to kt n n ISA Server bng mt Tunnel riêng có mã hóa gi là WinSOCKS, tt c các traffic s c chuyn ISA Server và ISA Server s cho tt c các lot c tn d Single Sign On vi User Account trên Active Directory. Cu hình Firwall Clients ct thêm mt c ly t mc Share trên ISA Server. ISA Server t tc truy cp vào ISA Server ly tài nguyên Share này. 3. Mt S a ISA Server - ISA Server là mt công c hu hiu cho mt k hoch tng th bo mt cho mng ca t chc. Vai trò ca ISA Server là rt trng yu, bc trin khai tm kt ni gia mng bên trong t chc và Internet. Hu ht các t chc cung cp mt vài m truy cp Internet cho i dùng ca h. ISA Server có th c các chính sách bo mt (security polices phân t s cách thc truy cp Internet mà h ng thi, nhiu t chc [...]... NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH 2 Triển Khai ISA Server Cài đặt ISA Storage Tổng quan: - ISA Storage là một máy chủ lưu trữ toàn bộ cấu hình của các máy member ISA trong hệ thống Các máy member ISA sẽ tham gia vào hệ thống lưu trữ này qua Array đã được tạo tại ISA Storage - Việc triển khai ISA Storage nhằm mục đích xây dựng hệ thống cân bằng tải, giúp chia tải công việc giữa các member ISA, ... member ISA bằng thao tác vào thẻ Toolbox/ Network Objects/ Computer Sets chọn Managed ISA Server Computers Propertise Lần lượt gán địa chỉ cho 2 máy ISA server Trang 29 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH 2.2 Cài đặt ISA Array Tổng quan: - ISA Array là một trong các member ISA tham gia vào hệ thống Array để đồng bộ dữ liệu với ISA Storage Ngoài ra, ISA Array được hiểu như một Firewall Server. .. các lớp mạng trong hệ thống qua cấu hình của người quản trị Triển khai: - Triển khai ISA Array lần lượt tại tại các member ISA - Cài đặt ISA Array ở chế độ: Install ISA Server services Trang 30 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH - Tham gia các member ISA này vào Array: phugiasc đã được tạo tại ISA Storage - Gán lớp mạng Internal để quản trị Trang 31 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ... Bastion-Host: - Mô hình mạng Bastion Host với Firewall là ISA Server (có thể là Application họăc Appliance đều được) - Trong mô hình này, ISA Server một mình bảo vệ cho hệ thống mạng LAN và cung cấp Internet cho User trong mạng LAN Trong mạng LAN của ISA Server có thể có Domain Controller, DHCP Server, DNS Server, WINS Server và Web Server, Mail Server Những Server này có thể chỉ sử dụng trong mạng LAN, hoặc... động hệ thống liên tục ổn định Triển Khai: - Giả lập xây dựng ISA Storage trên máy DC - Triển khai ISA Storage ở chế độ cài đặt: Install Configuration Storage server - Cài đặt hoàn tất, tiến hành tạo Array trên ISA Storage nhằm mục đích để các máy member ISA tham gia vào hệ thống lưu trữ này - Khởi động ISA Storage -> Right click vào Arrays chọn New Array với tên: phugiasc Trang 28 TRƯỜNG CĐ NGHỀ CNTT. .. quay VPN 2 lần để vào đến ISA Server Mô hinh Three-homed: - ISA Server có trách nhiệm nặng nhất là bảo vệ mạng LAN, đồng thời bảo vệ mạng DMZ chứa các Server được truy cập trực tiếp từ Internet User - Mô hình Three‐homed với ISA Server làm Firewall DMZ và LAN đều kết nối vào ISA Server, mỗi mạng kết nối với ISA Server bằng một Interface riêng với Network ID khác nhau ISA Server đóng vai trò Router... Khách hàng: Khách hàng không được truy cập vào hệ thống mạng nội bộ của công ty nhưng vẫn có thể truy cập Internet Xây dựng hệ thống cân bằng tải cho tường lửa tại tổng công ty đảm bảo hệ thống luôn luôn hoạt động tốt, không bị quá tải khi người dùng kết vào hệ thống mạng Trang 19 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Giám sát hoạt động của hệ thống mạng để đưa ra chính sách quản lý băng... (chỉ đối với Web Server và Mail Server, đôi khi Domain Controller cũng được sử dụng để chứng thực cho Internet User).Trong hệ thống LAN của ISA lúc này bao gồm 2 hệ thống LAN (1 là Internal cho User trong công ty và một là hệ thống DMZ chứa các Server được truy cập trực tiếp từ Internet User) Trang 15 TRƯỜNG CĐ NGHỀ CNTT iSPACE - QUẢN TRỊ MẠNG MÁY TÍNH Cấu hình IP và Gateway của hệ thống Bastion Host... THIẾT KẾ 1 Sơ Đồ Luận Lý Tổng Quát CHI NHÁNH - QUẬN 5 VĂN PHÒNG TẠI NHÀ File Server Additional DC VPN INTERNET TRỤ SỞ CHÍNH - QUẬN 1 VPN DMZ Mail Server Web Server FTP Server File Server Primary DC DNS + DHCP Trang 22 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH 2 Sơ Đồ Luận Lý Chi Tiết - Trụ sở chính Quận 1: ISA 1 192.168.1.0 /24 100 20 192.168.10.0/ 24 10 100 1 Primary DC DNS+DHCP File Server 10... đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ hệ thống như DHCP, RDP, Ping Network Rule: quy định các mối liên hệ giữa các Networks trong ISA Server Các Networks này được ISA Server kết nối với nhau Giữa hai mạng khi đi qua ISA Server sẽ sử dụng một trong hai cơ chế sau đây: ROUTE hoặc NAT Routing không thay đổi Source IP khi đi qua ISA Server, gói tin được giữ nguyên Source . a ISA Server 10 4. Cách Thc Làm Vic Ca ISA Server 11 5. Hong Ca ISA Server 13 6. Chính Sách Bo Mt Trong ISA Server 14 7. Các Mô Hình Trin Khai ISA Server 15 8. ISA Server. Trang 4 A- M U 7 I- Lu: 7 II- Lý Do Ch Tài 7 III- Mc Tiêu 7 IV- Tng Quan Microsoft ISA Server 8 1. Gii Thiu 8 2. Client Tham Gia Vào ISA Server. h thng mng là vô cùng quan trng. II- Lý Do Ch Tài - Nhóm chúng tôi nh ch ng h thng la cho Doanh nghip vi Microsoft ISA Server tài rt