xây dựng hệ thống tường lửa cho doanh nghiệp

 Nếu máy tính của một cá nhân không được bảo vệ bởi Firewall thì khi máy tínhđó kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép.. ACCESS RULE Khái ni mệm : Access

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO THỰC TẬP TỐT NGHIỆP XÂY DỰNG HỆ THỐNG TƯỜNG LỬA CHO DOANH NGHIỆP

GV hướng dẫn : Phạm Tuấn Khiêm

Sinh viên thực hiện : Lê Huỳnh Đức MSSV : 3001120137 Lớp : 12CDTH3

M c l c ục lục ục lục

Lời cảm ơn 1

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 2

I GIỚI THIỆU 3

A Mục đích phải sử dụng ISA 3

B Ưu điểm và hạn chế của ISA 3

1 Ưu điểm: 3

2 Hạn chế: 3

II CÀI ĐẶT ISA 2006 4

III ACCESS RULE 6

Khái niệm 6

1 – Tạo rule cho phép kết nối internet 7

2 - Tạo rule cho phép traffic DNS Query để phân giải tên miền 9

3 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) 12

4 - Tạo rule cho phép các User thuộc nhóm “giaovien” sử dụng Internet không hạn chế 12

5 - Chỉ cho xem “chữ” không cho xem “hình” 15

6 - Cấm xem trang www.tuoitre.com.vn 16

IV Server publishing 17

1 Publish DNS 17

2 Web publishing 19

LỜI CẢM ƠN

Để có được vốn kiến thức và đồ án thực tập, em chân thành cảm ơn:

Quý thầy cô trong khoa Công nghệ thông tin – Đại học Công Nghiệp Thực Phẩm TPHCM đã truyền đạt cho em kiến thức trong thời gian qua.

Thầy Phạm Tuấn Khiêm đã hướng dẫn chỉ bảo tận tình chu đáo giúp em hoàn thành đồ án.

Mặc dù em đã cố gắng hết sức để hoàn thành đồ án, nhưng vì tham khảo ở nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức còn nhiều hạn chế, do đó không thể tránh khỏi những thiếu sót Em rất mong nhận được sự thông cảm và đóng góp, chỉ bảo tận tình của quý thầy cô và các bạn để đồ án ngày càng hoàn thiện hơn.

Em xin chân thành cảm ơn!

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

HCM, Ngày … Tháng … Năm 2014

ĐIỂM Giáo viên hướng dẫn

 Nếu máy tính của một cá nhân không được bảo vệ bởi Firewall thì khi máy tính

đó kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép Vì vậyhacker, trojan, virus có thể truy cập và lấy cắp thông tin trên máy tính đó

 Ngoài ra Hacker còn có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máytính cũng như có thể sử dụng máy tính đó để tấn công các máy tính khác Điều này

là cực kỳ huy hiểm với các máy tính trong một tổ chức

 Vì vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống mạngcủa tổ chức đó

B u đi m và h n ch c a ISAƯu điểm và hạn chế của ISA ểm và hạn chế của ISA ạn chế của ISA ế của ISA ủa ISA

1 u đi m: Ưu điểm và hạn chế của ISA ểm và hạn chế của ISA

 Firewall được dùng để ngăn chặn các trang web xấu vào một quốc gia, tổ chức,doanh nghiệp Ngăn chặn các truy cập truy phép cũng như các cuộc tấn công lấycắp dữ liệu, đánh sập mạng máy tính của hacker

 Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng máy tính một cách khá chắcchắn Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mãnguy hiểm hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng

 Firewall có thể được cấu hình để khóa dữ liệu từ các vị trí cụ thể trong khi vẫnđảm bảo cho dữ liệu cần thiết có thể đi qua

2 H n ch : ạn chế của ISA ế của ISA

 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thôngtin và phân tích nội dung tốt hay xấu của nó Do đó Firewall chỉ có thể ngăn chặn

sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định

rõ các thông số địa chỉ

 Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không điqua nó Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ mộtđường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩamềm

 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadriventattack) Khi có một số chương trình được chuyển theo thư điện tử, vượt quaFirewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây Một ví dụ là các

virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệuđược chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và

do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall

II CÀI ĐẶT ISA 2006

Chúng ta xây dựng và sử dụng 2 máy tính ảo:

- Máy tên DC sẽ được nâng cấp lên Domain Controller và cài đặt ISA 2006, máynày sẽ có 2 card mạng, ta đặt tên cho 2 card này như sau:

 Internal: kết nối các máy trong mạng nội bộ

 External: kết nối tới internet

Cấu hình thông số ip trên 2 card mạng này:

Card internal (host-only) :

+ IP address: 10.0.0.1+ Subnet mask: 255.0.0.0Card external (Bridget):

+ IP address: 192.168.0.2+ Subnet mask: 255.255.255.0+ Default gateway: 192.168.0.1Máy client cho gia nhập domain và có địa chỉ ip:

+ IP address: 10.0.0.2+ Subnet mask: 255.0.0.0+ Default gateway: 10.0.0.1Cài đặt ISA 2006:

Trên máy DC vào chạy chương trình Setup ISA Server -> chọn Install ISA Server2006

Chọn next và tiến hành cài đặt bình thường Lưu ý ở hộp thoại Conponent Selection taclick vào Configuration Storage Server chọn This feature will be installed on localhard drive

Tiếp theo ở hộp thoại Internal Network ta chọn Add -> chọn Add Adapter -> internal-> Next -> Ở hộp thoại Fire Client Connection ta check vào Allow non-encrypted Fireclient connectins -> Next -> Instal -> Finish

Chú ý: Sau quá trình cài đặt, ISA sẽ khóa tất cả cổng ra vào của hệ thống mạng Vìvậy máy DC và Client không thể truy cập Internet và Client không ping máy ISAserver được Tuy nhiên từ máy ISA Server ping tới máy client vẫn bình thường

III ACCESS RULE

Khái ni mệm : Access Rule được sử dụng để điều khiển truy cập gửi ra từ một mạng ử dụng để điều khiển truy cập gửi ra từ một mạng ụng để điều khiển truy cập gửi ra từ một mạng c s d ng đ đi u khi n truy c p g i ra t m t m ng ểm và hạn chế của ISA ều khiển truy cập gửi ra từ một mạng ểm và hạn chế của ISA ập gửi ra từ một mạng ử dụng để điều khiển truy cập gửi ra từ một mạng ừ một mạng ột mạng ạn chế của ISA

được sử dụng để điều khiển truy cập gửi ra từ một mạng c b o v b i tệm ường lửa ISA Khi muốn cho phép một máy tính nằm phía sau sự ng l a ISA Khi mu n cho phép m t máy tính n m phía sau s ử dụng để điều khiển truy cập gửi ra từ một mạng ốn cho phép một máy tính nằm phía sau sự ột mạng ằm phía sau sự ự

ki m soát c a tểm và hạn chế của ISA ủa ISA ường lửa ISA Khi muốn cho phép một máy tính nằm phía sau sự ng l a ISA truy c p m t m ng khác (g m có Internet), c n t o ử dụng để điều khiển truy cập gửi ra từ một mạng ập gửi ra từ một mạng ột mạng ạn chế của ISA ồm có Internet), cần tạo ần tạo ạn chế của ISA

m t Access Rule (lu t truy c p) đ cho phép k t n i đó M c đ nh, không có Access ột mạng ập gửi ra từ một mạng ập gửi ra từ một mạng ểm và hạn chế của ISA ế của ISA ốn cho phép một máy tính nằm phía sau sự ặc định, không có Access ịnh, không có Access Rule nào cho phép các k t n i qua tế của ISA ốn cho phép một máy tính nằm phía sau sự ường lửa ISA Khi muốn cho phép một máy tính nằm phía sau sự ng l a, vì v y m c đ nh tử dụng để điều khiển truy cập gửi ra từ một mạng ập gửi ra từ một mạng ặc định, không có Access ịnh, không có Access ường lửa ISA Khi muốn cho phép một máy tính nằm phía sau sự ng l a ISA là m t ử dụng để điều khiển truy cập gửi ra từ một mạng ột mạng

b c tường lửa ISA Khi muốn cho phép một máy tính nằm phía sau sự ng g ch v ng ch c b o v cho m ng Tr ng thái đóng c a m c đ nh này là ạn chế của ISA ững chắc bảo vệ cho mạng Trạng thái đóng cửa mặc định này là ắc bảo vệ cho mạng Trạng thái đóng cửa mặc định này là ệm ạn chế của ISA ạn chế của ISA ử dụng để điều khiển truy cập gửi ra từ một mạng ặc định, không có Access ịnh, không có Access

m t c u hình an toàn, tuy nhiên nó cũng có nghĩa n u mu n cho phép l u lột mạng ế của ISA ốn cho phép một máy tính nằm phía sau sự ư ược sử dụng để điều khiển truy cập gửi ra từ một mạng ng qua tường lửa ISA Khi muốn cho phép một máy tính nằm phía sau sự ng l a ISA, c n ph i hi u cách Access Rule làm vi c và cách t o chúng nh ử dụng để điều khiển truy cập gửi ra từ một mạng ần tạo ểm và hạn chế của ISA ệm ạn chế của ISA ư

th nào.ế của ISA

 Một số rule cơ bản:

1 Tạo rule cho phép kết nối internet

2 Tạo rule cho phép traffic DNS Query để phân giải tên miền

3 Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )

4 Tạo rule cho phép các User thuộc nhóm “giaovien” sử dụng Internet không hạn

chế

5 Chỉ cho xem “chữ” không cho xem “hình”

6 Cấm xem trang www.tuoitre.com.vn

Thực hiện

1 – Tạo rule cho phép kết nối internet

B1: Trong giao diện ISA click phải

chuột Firewall policy -> New ->

Access Rule

B2: Đăt tên cho access rule.

B3: Chọn Allow để cho phép kết nối

Internet

B4: Protocols chọn All outbound

traffic và Next

B5: Access Rule Sources chọn thêm

Internal và Localhost

B7: Tại Access Rule Destinations

chọn thêm External và nhấn Next

2 - Tạo rule cho phép traffic DNS Query để phân giải tên miền

B1: ISA Management -> Firewall

Policy -> New -> Access Rule

B2: Gõ “DNS Query” vào ô Access

Rule Name -> Next

B3: Action chọn “Allow” -> Next

B4: Trong “This Rule Apply to:” chọn

“Selected Protocols” -> Add ->

Common Protocol->DNS ->OK-> Next

B5: Trong “Access Rule Source” ->

Add -> Networks -> Internal -> add ->

Close -> Next

B6: Trong “Access Rule Destination”

> ad > Networks > External >close

->Next

B7: Trong “User Sets” chọn giá trị mặc

định “All Users” ->Next -> Finish

Chọn nút “apply” (phía trước có dấu

chấm than)

B8: dùng lệnh NSLOOKUP để phân

giải thử một tên miền bất kỳ

3 - T o rule cho phép m i User s d ng mail ( SMTP + POP3 ) ạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) ọi User sử dụng mail ( SMTP + POP3 ) ử dụng mail ( SMTP + POP3 ) ục lục

B1: T o Access rule theo các thông s sau:ạn chế của ISA ốn cho phép một máy tính nằm phía sau sự

Rule Name: Allow Mail (SMTP + POP3)

Action: Allow

Protocols: POP3 + SMTP

Source: Internal

Destination: External

User: All User

Các thao tác làm tương tự như phần 1ng t nh ph n 1ự ư ần tạo

B2: Ki m tra -ểm và hạn chế của ISA Th c hi n t i máy client ực hiện tại máy client ện tại máy client ại máy client

Setup Outlook Express theo các thông s sau:ốn cho phép một máy tính nằm phía sau sự

Display Name: Hoc Vien

Email Address: hocvien@cntp.com

OutGoing Mail: mail.hufi.com

InComming Mail: mail.hufi.com

Account Name: hocvien@cntp.com

Password: hocvien

Th g i/ nh n mailử dụng để điều khiển truy cập gửi ra từ một mạng ập gửi ra từ một mạng

4 - T o rule cho phép các User thu c nhóm “giaovien” s d ng Internet không ạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) ộc nhóm “giaovien” sử dụng Internet không ử dụng mail ( SMTP + POP3 ) ục lục

h n ch ạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) ế

a – Định nghĩa nhóm “giaovien”:

B1: Dùng chương trình “Active

Directory User and Computer” tạo 2

user gv1, gv2 (password P@ssw0rd)

Tạo Group “giaovien”

Đưa 2 user gv1, gv2 vào Group

“giaovien”

B2: ISA Server Management ->

Firewall Policy > Toolbox > Users

->New

B3: Nhập chuỗi “giaovien ” vào ô

User set name -> Next

B4: Add -> Windows User and Group

B5: Chọn Group “giaovien”

Next -> Finish

b - Tạo rule:

Tạo Access rule theo các thông số sau:

Rule Name: giaovien

Logon gv1, thử truy cập internet …

5 - Ch cho xem “ch ” không cho xem “hình”: ỉ cho xem “chữ” không cho xem “hình”: ữ” không cho xem “hình”:

Ch n Properties c a Rule v a t oọn Properties của Rule vừa tạo ủa ISA ừ một mạng ạn chế của ISA -> Content Types -> Selected Content Types:

- Documents

- HTML Documents

- Text

6 - C m xem trang ấm xem trang www.tuoitre.com.vn:

a - Đ nh nghĩa các trang web mu n c m ịnh nghĩa các trang web muốn cấm ốn cấm ấm xem trang

b - T o Rule ạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 )

c - Ki m tra ểm tra

a - Đ nh nghĩa các trang web mu n c m: ịnh nghĩa các trang web muốn cấm ốn cấm ấm xem trang

B1: ISA Server Management ->

Firewall Policy -> Toolbox ->

Network Objects -> New -> URL

Tạo Access rule theo các thông số sau:

Rule Name: Web bi cam

Action: Deny

Protocols: All Outbound Traffic

Source: Internal

Destination: URL Set -> tuoitre

User: All Users

Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1

c – Kiểm tra:

thử truy cập http://www.24h.com.vn

IV SERVER PUBLISHING

1 Publish DNS

a Cài đ t d ch v DNS trên máy ISA Server ặt dịch vụ DNS trên máy ISA Server ịch vụ DNS trên máy ISA Server ụ DNS trên máy ISA Server

Tiến hành cài đặt dịch vụ DNS trên máy ISA Server

Tạo Forward Lookup Zones với tên miền huynhduc.com.vn

Tạo Reverse Lookup Zones với địa chỉ 192.168.1.0

b Cấu hình publishing DNS

B1: Phải chuột tại Filewall policy

-> New > Non-Web Server

Protocol Publishing Rule

B5: Chọn Network Listeners IP

Addresses là External

B6: Nhấn Finish để kết thúc quá

trình tạo Publishing DNS cho phép

máy internet phân giải

2 Web publishing

Web pulishing là bên trong mạng nội bộ có một Web Server và các máy Client bên ngoạiInternet có nhu cầu truy xuất trang Web bên trong nội bộ

B1: Phải chuột vào Firewall

Policy -> New -> Web Site

Publishing Rule

B2: Đặt tên.

Bước 3: Chọn Allow để cho

phép máy client có thể truy

cập được

Connect The Published Web

Server Or Server Farm

Bước 6: Điền tên trang web,

chọn Use a computer name

IP address to connect to the

published server và điền IP

của máy web server

Bước 7: Chọn đường dẫn

cho trang web Điền * để

chọn tất cả các trang

Bước 8: Điền địa chỉ web

mà máy client sẽ dung nó để

truy cập vào website

Bước 9: Tạo một Web

Listener