Báo cáo đề tài ISA

• Dành cho các doanh nghiệp có qui mô vừa và nhỏ • Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ • Triển khai các hệ thống VPN site to site,Remote Access để h

Báo cáo đề tài ISA

(internet security accerleration)

• Nội dung báo cáo

• I.Giới thiệu về ISA

• II.Thuật ngữ và công cụ quản trị trong ISA

• III Một số vai trò của ISA

I Giới thiệu về ISA

ISA là một sản phẩm tường lửa (firewall) của Microsoft được người sử dụng hiện nay rất ưa chuộng nhờ khả năng bảo vệ hệ thống mạnh mẽ cùng cơ chế quản lý linh hoạt.

ISA có 2 phiên bản chính là Standard và

Enterprise

• Dành cho các doanh nghiệp có qui mô vừa và nhỏ

• Xây dựng để kiểm soát các luồng dữ liệu vào ra của

hệ thống mạng nội bộ

• Triển khai các hệ thống VPN site to site,Remote

Access để hỗ trợ truy cập từ xa,trao đổi dữ liệu giữa các văn phòng chi nhánh

• Xây dựng các dùng DMZ riêng biệt cho các máy

server của công ty (Web,Mail… )

• Ngoài ra còn có hệ thống đệm(caching) giúp kết nối web nhanh hơn

• Đây là phiên bản dành cho các doanh nghiệp

có qui mô lớn

• Có đầy đủ các tính năng của phiên bản

Standard bên cạnh đó còn cho phép thiết lập mảng các ISA server cung cấp khả năng

Load Balancing

ISA thường được đặt giữa mạng nội bộ và mạng Internet.

II Setup ISA

• Chọn Install ISA Server 2006

• Chọn chế độ cài đặt Custom

• Xác định đường mạng mà ISA server quản lý

• Tiếp đó nhấn Finish để hoàn thành quá

trình cài đặt

• Sau khi cài đặt thử ping từ máy client tới máy isa server

• Từ mạng ngoài ping tới máy isa server

• Máy client truy cập internet

• Như vậy ngay sau quá trình cài đặt ISA sẽ khóa

tất cả mọi cổng ra vào của mạng chúng ta

II Các thuật ngữ và các công cụ quản trị trong ISA.

• Đây là giao diện quản trị của ISA server 2006

1 Networks

• Một trong các tác vụ đầu tiên thực thi trên

một ISA Server sau khi cài đặt là cấu hình

mạng (NetWorks) và các thiết lập trong mạng (NetWork rules) Tác vụ này nhằm chỉ định

ISA thiết lập cách thức vận hành luồng và là

cơ sở trong việc xây dựng các chính sách

tường lửa về sau

• Trong Detail Pane của nút mạng có 4 khung giao diện : NetWorks, NetWork Sets,

NetWork Rules, Web Chainig Mỗi khung

giao diện này liệt kê toàn bộ nội dung trong

đó, chẳng hạn như danh sách các chính sách mạng

1.1 Nút Networks.

Trong ISA có các mạng được định nghĩa sẵn:

- Mạng Internal: Đại diện cho toàn bộ địa chỉ

mạng sẽ được bảo vệ mặc định trong tổ chức.

- Mạng Localhost: mạng này chính là ISA Server

và theo mặc định không thể chỉnh sửa mạng

này Mạng này tồn tại để thuận tiện cho việc tạo

ra các chính sách làm việc cùng với luồng dữ

liệu từ chính bản thân ISA Server

- Mạng VPN Client : Mạng này bao gồm tất cả địa chỉ IP của máy khách VPN khi thực hiện kết nối đến ISA Server

- Mạng External: được coi là mạng không an

toàn và tất cả mọi truy cập từ mạng External vào mạng nội bộ đều bị chặn

- Quarantined VPN Clients: Mạng này tương

tự như mạng VPN Client, ngoại trừ việc

mạng VPN Client không bị thiết lập các chính sách bảo mật hạn chế bởi quản trị viên

1.2 Nút Network Sets.

NetWork Sets là một cách tổng hợp Logic các NetWork để thuận tiện cho việc thiết lập các chính sách cho đa mạng ở cùng một thời điểm.

Có hai NetWork sets mặc định:

• All NetWorks (and Local Host): mạng này là tập hợp tất cả các mạng được xây dựng trên ISA, nó bao gồm cả Local Host Bất kỳ mạng mới nào được tạo ra cũng tự động nằm trong NetWork Set.

• All Protected NetWorks: mạng này bao gồm tất cả các mạng ngoại trừ mạng External

1.3 Nút NetWork Rules

• Network rules trong ISA Server là một kỹ thuật dùng để định nghĩa quan hệ mạng trong ISA

Có hai quan hệ mạng được định nghĩa trong ISA đó là Route và NAT

1.4 Nút Web chaining

Web chaning cho phép thiết lập quan hệ giữa nhiều ISA server trong việc cùng thiết lập

phân luồng mạng và tối ưu lưu lượng tìm

kiếm Web

2 FireWall Policy (chính sách tưởng lửa)

• Chính sách tưởng là kỹ thuật để thực hiện các tác vụ là cho phép (allow) hay không cho phép (Deny) các kiểu dữ liệu mạng chỉ định

đi qua ISA server Các chính sách này là

phương tiện để các cổng (Port) chỉ định, các ứng dụng (Application), và các kiểu dữ liệu mạng khác được mở (Open) hay bị chặn

(Block)

Có bốn chính sách để kiểm soát lưu

lượng mạng và chỉ định những gì được phép

và bị cấm đi qua tưởng lửa Mỗi chính sách trong Detail Pane có thể được sắp xếp theo nhiều biến: oder, name, action, protocol,

from/listener, to, condition

3 Monitoring:

• Một trong những cải tiến lớn nhất trong ISA Server là tăng cường và thúc đầy mạnh mẽ các tùy chọn trong việc thực thi các chức năng và ghi nhật ký (Log) và giám sát

(Monitoring) hoạt động trong ISA server

• Tùy chọn trong nút Monitoring chính là công

cụ hữu ích nhất cho việc thực hiện giải quyết các vấn đề phát sinh trong ISA server Có 7 tùy chọn:

- Dashboad: là một chức năng giám sát trong ISA cùng lúc hiển thị nhiều màn hình giám sát và hiển thị các thông tin thời gian thực trong cùng một giao diện.

- Alert: là một kỹ thuật hữu ích cho phép ISA Server truyền thông thông tin cảnh báo, các bản tin thông tin báo lỗi cho quản trị viên

thông qua màn hình giám sát.Là công cụ

mạnh mẽ và đơn giản để cung cấp các bản tin thông báo tới quản trị viên khi phát hiện các cuộc tấn công lên FireWall

Thiết lập các định nghĩa Alert

- Sessions : cung cấp thông tin về phiên làm việc của tất cả người dùng kết nối tới ISA

Server, bao gồm các loại client sau: Firewall client, SecureNAT client, VPN client, VPN site-to-site và Web Proxy client

- Service: hiển thị trạng thái hiện thời của từng dịch vụ quan trọng bên trong ISA

Server

Reporting: tổng kết thông tin sử dụng trên

ISA Server Ví dụ bạn có thể tổng kết những user nào truy cập nhiều nhất qua ISA Server, những trang nào được truy cập, hay những giao thức và ứng dụng nào được sử dụng

nhiều nhất

- Connectivity verifiers: kích hoạt giám sát kết nối liên tục từ ISA Server tới những máy tính khác, hay một trang web nào đó trên mạng

Ví dụ, bạn có thể sử dụng Connectivity để

giám sát kết nối từ máy ISA tới domain

controller, DNS server, published Web server, đồng thời cung cấp cơ chế cảnh báo khi

những kết nối đó bị lỗi

- Logging: cung cấp thông tin chi tiết về Web Proxy, Microsoft Firewall Service hay SMTP Message Screener Mặc định ISA sẽ ghi lại

tất cả client kết nối thành công hay bị ngăn

cấm tới ISA Server Bạn có thể sử dụng

những thông tin nhật ký đó để giám sát ISA theo thời gian thực hay xem lại sau này

4 Virtual Private Networks – VPN:

• VPN là một đường hầm bảo mật hình thành

từ một mạng không được tin như mạng

Internet đến mạng nội bộ bên trong tổ chức (internal) ISA Server cung cấp rất nhiều tính năng VPN

– VPN Client Access

– VPN Site To Site:

– VPN Quarantine

5 Cache

• Là một kỹ thuật lưu đệm Web để tăng tốc

và kiểm soát truy cập nó cho phép tự động Download các nội dung các trang Web và FPT mà thường xuyên truy cập bởi người dùng

6 Add – ins

Add – ins: khả năng hỗ trợ các bộ lọc ứng

dụng cho phép mở rộng thêm Chính khả năng này mà ISA server là một ứng cử viên mạnh

mẽ cung cấp khả năng lọc Web, các ứng dụng Anti-Virus, bộ lọc phát hiện các xâm nhập và khả năng VPNs.

Trong đó có 2 ứng dụng bộ lọc là:

• Applycation filters (bộ lọc ứng dụng)

IV Vai trò của ISA server

• ISA server thường được triển khai trong các vai trò Firewall, truy cập mạng riêng ảo (VPN Access), lưa đệm Web (Web Caching), giám sát và phát hiện các nguy cơ xâm nhập…

1 Firewall (tường lửa)

• Về mặc chức năng ISA Server chính là một firewall Bởi mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các

mạng mà nó làm Server, bao gồm ‘internal network’, vùng DMZ(*) và Internet

• ISA Server dùng 3 loại quy tắc lọc (‘filtering rule’) để ngăn chặn hoặc cho phép ‘network traffic’, đó là: packet filtering, stateful filtering

và application-layer filtering

• Packet Filtering – Lọc gói tin :

Packet filtering làm việc bằng cách kiểm tra

thông tin ‘header’ của từng ‘network packet’

đi tới firewall Khi ‘packet’ đi tới giao tiếp

mạng của ISA Server, ISA Server mở

‘header’ của ‘packet’ và kiểm tra thông tin

(địa chỉ nguồn và đích, ‘port’ nguồn và đích)

• ISA Server so sánh thông tin này dựa vào

các ‘rule’ của firewall, đã định nghĩa ‘packet’ nào được cho phép Nếu địa chỉ nguồn và

đích được cho phép, và nếu ‘port’ nguồn và đích được cho phép, ‘packet’ được đi qua

firewall để đến đích Nếu địa chỉ và ‘port’

không chính xác là những gì được cho phép,

‘packet’ sẽ bị đánh rớt và không được đi qua firewall

Stateful Filtering – Lọc trạng thái

• Khi ISA Sever dùng một sự xem xét kỹ

trạng thái, nó kiểm tra các ‘header’ của

Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của

một ‘packet’ bên trong nội dung của những

‘packet’ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên (‘session’) TCP

Application-Layer Filtering – Lọc

lớp ứng dụng

ISA Server cũng dùng bộ lọc ‘application-layer’

để ra quyết định một ‘packet’ có được cho phép hay là không ‘Application-layer filtering’ kiểm tra nội dung thực tế của ‘packet’ để quyết định liêu

‘packet’ có thể được đi qua firewall hay không

‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua.

2 ISA trong vai trò Proxy

Thành phần ‘proxy server’ trên ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm

trong mạng nội bộ)

• Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài Và việc máy trạm dùng ứng dụng gì để truy cập

internet hoặc truy cập đến tài nguyên gì trên internet cũng được ISA Server kiểm soát

• Một trong những đặc trưng khiến proxy

server được ưa chuông là khả năng caching, tức là khả năng lưu trữ các trang web mà

proxy server từng truy cập

• ISA server sẽ có khả năng thực hiện forward caching và reverse caching

• Cơ chế reverse caching

- Khi có một internet client truy cập vào một

internal web server được publish thông qua ISA server,proxy server trên ISA sẽ truy cập web

server,nhận phản hồi,cung cấp nội dung web

cho client và lưu trữ nội dung website.

• Khi các internet client khác truy cập vào internal web server,nếu nội dung có sẵn trong cache thì proxy server sẽ lấy ra mà không cần phải truy cập web server nữa.

Cơ chế forward caching

• Khi 1 internal client truy cập vào trang web nào đó thì ISA sẽ tự động lưu nội dung trang web đó trong cache của mình

• Nếu 1 internal client khác truy cập vào trang web mà ISA đã cache lại thì ISA sẽ lấy nội

dung lưu trong cache truyền cho client đó.

3 ISA Server hoạt động như một

VNP Server.

ISA Server cung cấp một giải pháp truy

cập VPN từ xa được tích hợp trong firewall Khi những máy trạm ở xa kết nối đến ISA

Server bằng VPN, thì các máy trạm đó được đưa vào mạng ‘VPN Clients network’

• Mạng này được xem như bất kỳ một mạng

nào khác trên ISA Server, nghĩa là bạn có thể cấu hình ‘firewall rule’ để lọc tất cả ‘traffic’ từ các máy trạm VPN ISA Server còn cung cấp chức năng giám sát cách ly VPN (VPN

quarantine control)

• ISA Server cũng cho phép VPN site-to-site Trong kịch bản này, bạn cấu hình một ISA Server trong mỗi chi nhánh hoặc văn phòng

ở xa nhau Khi ISA Server ở một nơi nhận

‘network traffic’ từ một nơi khác, ISA Server

sẽ khởi tạo một kết nối VPN Site-to-Site và định tuyến ‘traffic’ thông qua nó đến các nơi khác

• ISA cung cấp hai giao thức VPN bảo mật và mã hóa dữ liệu là: HTTP và L2TP kết hợp IPSec.

• Ngoài ra ISA VPN server còn có thể xác thực

người dùng VPN qua một số phương thức:

- Xác thực trực tiếp bằng Active Directory

- cài đặt dịch vụ xác thực RADIUS: dịch vụ này cho phép ISA không phải là thành viên trong

miền AD nhưng vẫn có thể xác thực người dùng.

4 Web Caching

• ISA Server ngoài tính năng bảo mật hệ thống

ra còn là công cụ Cache (lưu trữ các bản

sao) Web rất hiệu quả nhằm đem lại khả

năng lướt Web cho toàn bộ hệ thống mạng với tốc độ nhanh hơn

• Nghĩa là khi các Clients truy cập vào một trang Web nào đó ISA Server sẽ tự động lưu trữ toàn

bộ nội dung trang Web này trong Cache của

mình, khi đó một Client 02 khác cũng truy cập trang Web trên thay vì phải kết nối đến Internet

để tải cả trang Web đó về thì ISA Server nhận thấy trong Cache của mình có thông tin về trang Web mà Client 02 yêu cầu lập tức nó truyền

toàn bộ nội dung trang này cho Client 02 nên tại Client 02 sẽ được lợi là không phải tốn nhiều