Thế giới trong những thập niên vừa qua, nhất là từ khi thực hiện cuộc cách mạng khoa học – kỹ thuật vào thập niên 80 đã có những bước phát triển thần kỳ và thật sự mạnh mẽ với hàng loạt thành tựu về kinh tế, khoa học – kỹ thuật, chính trị, xã hội, an ninh,… Nguyên nhân chính cho sự phát triển đó là sự xuất hiện của Internet. Sự xuất hiện của Internet đã thúc đẩy thế giới tiến nhanh về phía trước và đưa cả thế giới bước sang một kỷ nguyên mới, kỷ nguyên bùng nổ thông tin. Như chúng ta đã biết, bất cứ vật thể nào cũng tồn tại hai mặt tích cực và tiêu cực. Chúng ta không thể nào phủ nhận những mặt tích cực mà Internet mang lại, vấn nạn lừa đảo phát triển ngày càng mạnh mẽ và Internet là một công cụ hữu hiệu cho những kẻ tấn công vào các hệ thống mạng với mục đích tư lợi hay chứng tỏ bản thân mình. Chính vì vậy, trong thời đại “phẳng” như ngày nay, vai trò bảo mật hệ thống mạng là vô cùng quan trọng.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 1 ÁN TT NGHIP: XÂY DNG H THNG LA CHO DOANH NGHIP VI MICROSOFT ISA SERVER TP.H GVHD: Th SVTH: - Trn Th ng. - m. - Phm Gia Nguyên Huy. Chuyên Ngành: Qun Tr Mng Máy Tính. Lp: 01CCHT02. Niên Khóa: 2008 2011. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 2 Qua quá trình học tập và được sự dẫn dắt nhiệt tình của Giảng Viên Hướng Dẫn tại Trường Cao Đẳng Nghề CNTT iSPACE – Chuyên nghành Quản Trị Mạng Máy Tính. Nhóm Chúng em đã đúc kết được những kinh nghiệm từ các bài học, và đã thực hiện hoàn thành Đồ án: “Xây Dựng Hệ Thống Tường Lửa Cho Doanh Nghiệp Với Microsoft ISA Server”. Với lòng biết ơn sâu sắc, nhóm Chúng em xin gởi lời cảm ơn đến Thầy Dương Minh Trung, thầy hướng dẫn trực tiếp đề tài. Trong quá trình làm đồ án thầy đã tận tình hướng dẫn và giúp đỡ nhóm Chúng em giải quyết khó khăn trong đồ án này. Xin chân thành cảm ơn đến Thầy Trần Văn Tài, Thầy Nguyễn Siêu Đẳng – Giảng viên Trường CĐ Nghề CNTT iSpace đã củng cố kiến thức cho nhóm Chúng em thực hiện đề tài hoàn chỉnh. Xin chân thành cảm ơn đến Anh Nguyễn Văn Vinh, Anh Lưu Tuấn Phát – Bộ phận IT - Công ty Cổ phần Chứng khoán Việt Quốc Security đã trang bị cho nhóm Chúng em về kiến thức áp dụng trong thực tế. Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót. Nhóm Chúng em xin chân thành cảm ơn ý kiến đóng góp của các bạn đọc cũng như nhận xét của Giảng Viên để nội dung của Đồ án ngày càng hoàn thiện hơn. Cuối cùng, xin chúc tất cả mọi người sức khỏe và trân trọng cảm ơn!. Trường CĐ Nghề CNTT iSpace – Khoa CNTT Sinh Viên Thực Hiện Đề Tài: Trần Thế Cường Phan Đình Đảm Phạm Gia Nguyên Huy TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 3 1. : 2. : Ging Dn: TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 4 A- M U 7 I- Lu: 7 II- Lý Do Ch Tài 7 III- Mc Tiêu 7 IV- Tng Quan Microsoft ISA Server 8 1. Gii Thiu 8 2. Client Tham Gia Vào ISA Server 9 3. Mt S a ISA Server 10 4. Cách Thc Làm Vic Ca ISA Server 11 5. Hong Ca ISA Server 13 6. Chính Sách Bo Mt Trong ISA Server 14 7. Các Mô Hình Trin Khai ISA Server 15 8. ISA Server Bo Mt Truy Cp Internet 18 B- NI DUNG 19 I- 19 II- Yêu C Tài 19 III- Tài 20 IV- THIT K 22 Lun Lý Tng Quát 22 Lun Lý Chi Tit 23 C- TRIN KHAI 24 I- Hoa Ch IP, Computer Name 24 1. Tr S Chính Qun 1 24 2. Chi Nhánh Qun 5 26 II- Xây Dng H Thng Mng 27 1. Trin khai Domain Controller 27 2. Trin Khai ISA Server 28 3. Trin Khai Web Server 33 4. Trin Khai Mail Server 34 5. Trin Khai Web-mail S Dng Port 80 36 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 5 6. Trin Khai Wildcard Certificate 39 7. Trin Khai FTP Server 57 8. Trin Khai File Server 60 III. Xây Dng H Thng La ISA Server 68 1. Trin Khai Network Loab Balancing 68 2. Access Rule 74 3. Publishing Server Ra Internet 89 4. Trin khai VPN ISA 101 5. Trin Khai Phát Hin Xâm Nhp Vi IDS 114 6. Trin khai Antivirus và Antisyware 119 7. Giám sát hong h thng mng 122 D- NG M RNG 133 Tài 133 nh ng H Th 133 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 6 TÀI LIU THAM KHO [1] Tô Thanh H Trin khai Firewall vi Microsoft ISA Server 2006 (Quý III/ 2010), Nhà xut bng Xã hi. [2] Giáo trình Trin khai An toàn mng Khoa CNTT CNTT iSpace. [3] Dit ngh: http://nhatnghe.com/forum/ [4] MS Open Lab: http://msopenlab.com/ [5] Di thut viên: http://www.kythuatvien.com/forum/ [6] DiNTT: http://diendancntt.vn/ TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 7 A- M U I- Lu: - Th gii trong nhng thp niên va qua, nht là t khi thc hin cuc cách mng khoa hc k thut vào thp niên 80 c phát trin thn k và tht s mnh m vi hàng lot thành tu v kinh t, khoa hc k thut, chính tr, xã hi, an ni Nguyên nhân chính cho s phát tri xut hin ca Internet. S xut hin c y th gii tin nhanh v c và th gii c sang mt k nguyên mi, k nguyên bùng n thông tin. - t, bt c vt th tn ti hai mt tích cc và tiêu cc. Chúng ta không th nào ph nhn nhng mt tích cc mà Internet mang li, vn nn lo phát trin ngày càng mnh m và Internet là mt công c hu hiu cho nhng k tn công vào các h thng mng vi mi hay chng t bn thân mình. Chính vì vy, trong th trò bo mt h thng mng là vô cùng quan trng. II- Lý Do Ch Tài - Nhóm chúng tôi nh ch ng h thng la cho Doanh nghip vi Microsoft ISA Server tài rt thc t, giúp chúng tôi có thêm kinh nghim và ng dng thc ting. III- Mc Tiêu - ng dng la ISA Server qun lý h thng Mng Doang nghip vi mc tiêu: m bo h thng la hong nh. 2. Bo mt và An toàn h thng mng. 3. Giám sát và qun lý h thng mng hiu qu. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 8 IV- Tng Quan Microsoft ISA Server 1. Gii Thiu - Microsoft Internet Security and Acceleration (ISA) là phn mm Share Internet ca t Microsoft. - là mt phn mm thit lp t ng la (Firewall) và cho phép mng ni b truy cp Internet linh hot nh ch Cache thông minh. - ISA Server 2006 có hai phiên bn Standard và Enterprise, phc v cho nhng môi trng khác nhau. ISA Server 2006 Standard: - ng nhu cu bo v và chia s công ty có quy mô trung bình. Vi phiên bn này chúng ta có th xây d: - Kim soát các lung d liu vào và ra h thng mng ni b ca công ty. - Kim soát quá trình truy cp ci dùng theo giao thc, thi gian và ni dung nh chn vic kt ni vào nhng trang web có ni dung không thích hp, thi gian không thích hp (ví d làm vic). - Bên c trin khai h thng VPN site to site hay remote access h tr vic truy cp t xa vào h thng mng ni b ca công ty, hoi d liu gii s. - i vi các công ty có nhng h thng máy ch cn có nhng chính sách bo mt riêng thì ISA Server 2006 cho phép trin khai vùng DMZ nhm s c tip gii dùng bên trong và bên ngoài h thng. - o mt thông tin trên, ISA Server 2006 bn standard còn có cho cache cho phép rút ngn tht kt ni internet ca mng ni b. - n phm firewall này có tên gi là Internet Security & Aceleration (bo mt c Internet). ISA Server 2006 Enterprise: - c s dng trong các mô hình mng lng nhiu yêu cu truy xut ci dùng bên trong và ngoài h thng. Ngoài nh 2006, bn Enterprise còn cho phép thit lp h thng mng các ISA Server cùng s dng mt u này giúp d dàng qun lý và cung cng ti). o Tóm li, ISA Server có các chc nng chính: Chia s kt ni internet chia s ng truyn internet. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 9 Lp Firewall Server, kim soát, khng ch các lung d liu truy cp t ngoài vào mng ni b hoc li. c truy cp Web bng gii pháp Cache trên Server. H tr thit lp h thng VPN (mng riêng o) vi ISA Server làm VPN Server. tr gii pháp cân bng ti gia hai hay nhing truyn internet. 2. Client Tham Gia Vào ISA Server - Client có th tham gia vào ISA Server v SecureNAT: - SecureNAT Clients có th là mt thit b, có th là mt Host Windows 2000, XP, hoc mt máy tính dng Linux. Clients s dng SecureNAT không th tn dng ha ISA Server. - s dng SecureNAT, các máy Clients ch cn cu hình Default Gateway tr v a ch IP ca ISA Server. Cu hình TCP/IP s dng ISA Server làm Gateway là chp nhn làm SecureNAT Clients ca ISA Server. - Hoc s dng DHCP Server cu hình Default Gateway cho Clients tr v a ch ISA Server. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 10 S dng DHCP Server cu hình Gateway cho các máy Clients trong LAN . - SecureNAT không th kim soát và chng thc User, password, trang web, trong h thng mng. Web Proxy Clients: - ISA Server ho t tt. Proxy Server cung c Cache cho Web. Web Caching trên ISA Server s dng rt tt. ISA Server Cache ni dung Web trên RAM nên t ci thi. Tt c các Web Browser h tr s d Avant Browser có th dùng ISA Server 2006 làm Proxy Server. Các Proxy Clients không cn s d truy cng. - u s dng Web Proxy Clients ch h tr cho HTTP và FTP. Web Proxy Settings có th cu hình bng Policy t Domain hoc cu hình bng tay. Firewall Clients: - Loi Clients này ct ma ISA Server ch có th cài trên h u hành Windows nên loi Clients này ch c bit dùng cho Windows. - Clients ca ISA Server s to kt n n ISA Server bng mt Tunnel riêng có mã hóa gi là WinSOCKS, tt c các traffic s c chuyn ISA Server và ISA Server s cho tt c các lot c tn d Single Sign On vi User Account trên Active Directory. Cu hình Firwall Clients ct thêm mt c ly t mc Share trên ISA Server. ISA Server t tc truy cp vào ISA Server ly tài nguyên Share này. 3. Mt S a ISA Server - ISA Server là mt công c hu hiu cho mt k hoch tng th bo mt cho mng ca t chc. Vai trò ca ISA Server là rt trng yu, bc trin khai tm kt ni gia mng bên trong t chc và Internet. Hu ht các t chc cung cp mt vài m truy cp Internet cho i dùng ca h. ISA Server có th c các chính sách bo mt (security polices phân t s cách thc truy cp Internet mà h ng thi, nhiu t chc [...]... tin (địa chỉ nguồn và đích, „port‟ nguồn và đích) ISA Server so sánh thông tin này dựa vào các „rule‟ của firewall, đã định ngh a „packet‟ nào được cho phép Nếu địa chỉ nguồn và đích được cho phép, và nếu „port‟ nguồn và đích được cho phép, „packet‟ được đi qua firewall để đến đích Nếu địa chỉ và „port‟ không chính xác là những gì được cho phép, „packet‟ sẽ bị đánh rớt và không được đi qua firewall ... trong đề tài này được sử dụng như một máy chủ quản lý tên miền, nhóm người dùng, tài nguyên cục bộ cho công ty Phugiasc Triển Khai: - Để xây dựng Domain Controller, việc đầu tiên ta cần triển khai DNS cho công ty Phugiasc với địa chỉ 192.168.10.10 để các máy client trong công ty phân giải tên máy chủ - Xây dựng Domain với tên miền: phugiasc.vn và sử dụng dịch vụ Active Directory Users and Computers... MẠNG MÁY TÍNH 3 Triển Khai Web Server Giới thiệu: - Web Server là một máy chủ lưu trữ thông tin, truyền tải cơ sở dữ liệu đến người sử dụng thông qua giao thức HTTP bằng các trình duyệt Web - Trong đề tài, triển khai Web Server để lưu trữ website nội bộ cho Công ty Phugiasc Triển khai: - Tại máy DC, triển khai DNS cho máy chủ Web với địa chỉ: 172.16.10.10 và tạo Alias (CNAME): www.phugiasc.vn và trỏ... Website thông qua trình duyệt web - Xây dựng máy chủ Web với tên truy vấn: www.phugiasc.vn qua port: 80 Trang 33 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH 4 Triển Khai Mail Server Giới thiệu: - Mail server là máy chủ chuyên dụng để nhận và gửi mail, quản lý tài khoản người sử dụng mail và phân phối mail trong hệ thống Ngoài ra, máy chủ mail còn cho phép người sử dụng web-mail (dùng mail thông. .. thực User từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng (Private website) Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó User ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong Interal network Cho phép nhân viên ở xa truy cập Internal Mail Server, và cho phép Client truy cập VPN đến Internal File Server p đặc chính sách truy cập Internet của tổ chức... firewall trong trường hợp này là đảm bảo không có „traffic‟ nào từ Internet có thể tới được „internal network‟ của tổ chức trừ khi nó được cho phép Ví dụ, trong tổ chức bạn có một „internal Web Server‟ cần cho „internet user‟ có thể tới được Firewall có thể được cấu hình để cho phép các „traffic‟ từ Internet chỉ được truy cập đến Web Server đó - Về mặc chức năng ISA Server chính là một firewall Bởi mặc định,... („filtering rule‟) để ngăn chặn hoặc cho phép „network traffic‟, đó là: packet filtering, stateful filtering và application-layer filtering Packet Filtering – Lọc gói tin - Packet filtering làm việc bằng cách kiểm tra thông tin „header‟ của từng „network packet‟ đi tới firewall Khi „packet‟ đi tới giao tiếp mạng của ISA Server, ISA Server mở „header‟ của „packet‟ và kiểm tra thông tin (địa chỉ nguồn và đích,... Nhân viên IT có thể quyết định những loại traffic nào được cho phép trên Internal Network - Thậm chí cho dù Interal network an toàn hơn Internet, thì bạn cũng không nên có ý ngh sai lầm rằng, bạn chỉ cần bảo vệ vành đai mạng Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được an toàn, thậm chí trong trường hợp... mình bảo vệ cho hệ thống mạng LAN và cung cấp Internet cho User trong mạng LAN Trong mạng LAN của ISA Server có thể có Domain Controller, DHCP Server, DNS Server, WINS Server và Web Server, Mail Server Những Server này có thể chỉ sử dụng trong mạng LAN, hoặc được sử dụng trực tiếp từ Internet User (chỉ đối với Web Server và Mail Server, đôi khi Domain Controller cũng được sử dụng để chứng thực cho Internet... Internal cho User trong công ty và một là hệ thống DMZ chứa các Server được truy cập trực tiếp từ Internet User) Trang 15 TRƯỜNG CĐ NGHỀ CNTT iSPACE - QUẢN TRỊ MẠNG MÁY TÍNH Cấu hình IP và Gateway của hệ thống Bastion Host với Public IP từ ISP được cấp xuống cho Router ADSL Nếu cấu hình Public IP trên Router ADSL sẽ không cần thiết phải NAT trên Router và khi đó không cần cấu hình Gateway t nh cho ISA . 18 B- NI DUNG 19 I- 19 II- Yêu C Tài 19 III- Tài 20 IV- THIT K 22 Lun Lý Tng Quát 22 Lun Lý Chi Tit 23 C- TRIN KHAI 24 I- Hoa. iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 4 A- M U 7 I- Lu: 7 II- Lý Do Ch Tài 7 III- Mc Tiêu 7 IV- Tng Quan Microsoft ISA Server 8 1. Gii Thiu 8 2. . 5. Hong Ca ISA Server - ISA Server hot Tng la (Firewall) . - Firewall là mt thit b t gia mn mng vi mn