1. Trang chủ
  2. » Luận Văn - Báo Cáo

TÌM HIỂU VỀ MICROSOFT ISA SERVER 2006

30 1,4K 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 30
Dung lượng 0,91 MB

Nội dung

ISA 2004 được giới thiệu với tính năng hỗ trợ kết nối đa mạng,tích hợp mạng riêng ảo VPN, mở rộng nhóm người sử dụng và các môhình xác thực, hỗ trợ tường lửa lớp ứng dụng, tích hợp Activ

Trang 1

TRƯỜNG ĐẠI HỌC PHƯƠNG ĐÔNG KHOA CÔNG NGHỆ THÔNG TIN

- -ĐỒ ÁN MÔN KÌ 8 CHUYÊN NGHÀNH QUẢN TRỊ MẠNG

ĐỀ TÀI: TÌM HIỂU VỀ MICROSOFT ISA SERVER 2006

Giáo viên hướng dẫn: Th.s Lê Hồng Chung

Sinh viên thực hiện: Trần Tuấn Dũng

Mã số sinh viên: 508100026

Lớp: 508A - QTM

Hà Nội – 8/2011

Trang 3

LỜI NÓI ĐẦU

Trong thời đại ngày nay Internet đã không ngừng phát triển và vươn xa, đápứng được các nhu cầu của người sử dụng Sự phát triển của CNTT đã tácđộng tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hộicủa loài người, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử Ứngdụng CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầu của nhiềuquốc gia Xét theo bình diện là một doanh nghiệp thì hiệu quả là điều bắtbuộc và bền vững cũng là tất yếu Dưới góc nhìn của một chuyên gia về bảomật hệ thống, việc triển khai một hệ thống thông tin và xây dựng được cơchế bảo vệ chặt chẽ, an toàn là góp phần duy trì tính bền vững cho hệ thốngthông tin của doanh nghiệp đó Hacker, Attacker, Virus, Worm, Phishing,những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngạihàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks,Internet, ) Và chính vì vậy, tất cả những hệ thống này cần trang bị nhữngcông cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen tối

đó Trước hết với vai trò của một quản trị viên chúng ta cần xây dựng ý thức

sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp mình Tiếptheo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các thếlực trên Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computercho đến các Enterprise Firewall có khả năng bảo vệ toàn hệ thống mạng VàMicrosoft ISA Server 2006 là một Enterprise Firewall như thế

Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao? Chứcnăng của ISA là gì? Tác dụng của ISA Server trong môi trường mạng… Đồ

3

Trang 4

án này sẽ giải đáp những câu hỏi đó và sẽ cung cấp một cái nhìn chi tiết, rõnét hơn về ISA server.

4

Trang 5

I – Tổng quan về Microsoft ISA Server

1 Khái quát

Microsoft Internet Security and Acceleration Server (ISA Server) là phầnmềm chia sẻ Internet của hãng Microsoft Đây là một trong những phầnmềm bức tường lửa (Firewall) được ưa chuộng trên thị trường hiện nay nhờvào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt Internet Security and Acceleration (ISA) Server đưa ra một giải pháp kết nốichứa cả firewall và cache ISA Server bảo vệ mạng, cho phép cài đặt mộtchiến lược bảo vệ nghiệp vụ bằng cách cấu hình một tập hợp lớn của nhữngrule, chỉ ra những site, giao thức, và nội dung có thể được truyền qua máytính ISA Server ISA Server giám sát các yêu cầu và trả lời giữa các máytính trên Internet và các máy khách nội bộ, điều khiển ai có thể truy nhậpmáy tính nào trên mạng phối hợp ISA Server cũng điều khiển máy tính nàotrên Internet có thể được truy nhập bởi các client nội bộ

ISA Server có thể được triển khai như là một hệ thống firewall mong muốn,hoạt động như một gateway an toàn đối với Internet cho các máy nội bộ.ISA Server bảo vệ mọi truyền thông giữa các máy nội bộ và Internet Đơngiản mà nói, máy tính ISA Server có hai card giao diện mạng, một kết nốitới mạng cục bộ và một kết nối tới Internet

Chúng ta có thể sử dụng ISA Server để cấu hình firewall, cấu hình các chiếnlược quản lí và tạo các rule để cài đặt các đường hướng nghiệp vụ Bằngcách thiết lập các chính sách truy nhập an toàn, chúng ta sẽ chống được cáctruy nhập không được phép và nội dung có hại xâm nhập từ mạng Ngoài racũng có thể hạn chế tải được phép cho mỗi người dùng và nhóm, ứng dụng,đích, kiểu nội dung và lịch trình

Trang 6

- Chiến lược truy nhập ra ngoài: cấu hình site và các rule, điều khiển cácgiao thức mà các máy khách truy nhập Internet Các rule về giao thức chobiết giao thức nào là có thể truy nhập chỉ cho vào hoặc chỉ cho ra hoặc cảhai.

- Chiến lược xâm nhập: cơ chế dò tìm xâm nhập được tích hợp có thể thôngbáo khi một tấn công nào đó đã thâm nhập vào mạng Ví dụ, có thể cấu hìnhISA Server để báo động mỗi khi tìm thấy một nỗ lực quét cổng

- Các bộ lọc ứng dụng: ISA Server điều khiển tải theo ứng dụng và các bộlọc nhận thức dữ liệu ISA Server dùng bộ lọc để xác định xem các gói tin là

có được chấp nhận, loại bỏ, chuyển tiếp, hoặc thay đổi hay không

- Xác thực: ISA Server hỗ trợ các phương thức xác thực như xác thựcWindows tích hợp, xác nhận máy khách, mã xác thực và dữ liệu gốc

2 Lịch sử phát triển

Trước đây khi khái niệm về ISA Server chưa được biết đến thì người ta

đã nói đến ISA Server như là tên của một máy chủ proxy Các nhà khoa học

đã nghiên cứu và nâng cấp dần máy chủ proxy server và phát triển dưới tênISA Server như ngày nay Dưới đây là các phiên bản khác nhau của máy chủISA

- Proxy server 1.0: Đây là phiên bản đầu tiên của máy chủ Microsoft ISA,phát triển dưới code-name là "Catapult”, ra mắt vào tháng 1 năm 1997 vàđược thiết kế để chạy trên Windows NT 4.0 Microsoft Proxy Server v1.0 làmột sản phẩm cơ bản được thiết kế để cung cấp truy cập Internet cho ngườidùng trong môi trường mạng LAN thông qua giao thức TCP/IP Đồng thời

nó cũng hỗ trợ giao thức IPX/SPX (chủ yếu được sử dụng trong môi trườngNovell NetWare), thông qua một kết nối WinSock translation/tunnelling chophép các ứng dụng TCP/IP, chẳng hạn như các trình duyệt web Mặc dù

Trang 7

cũng được tích hợp vào Windows NT 4.0, Microsoft Proxy Server v1.0 chỉ

có vài chức năng cơ bản, và chỉ cho ra một phiên bản duy nhất Các bản mởrộng hỗ trợ cho Microsoft Proxy Server v1.0 kết thúc vào ngày 31 tháng 3năm 2002

- Proxy server 2.0: Đây là ấn bản thứ hai của máy chủ ISA đưa ra bởiMicrosoft trong tháng 12 năm 1997 với nhiều chức năng hữu ích và đángđược chờ đợi Một ứng dụng tuyệt vời của công cụ này là sử dụng cơ sở dữliệu tài khoản Windows NT Vì vậy, công việc quản trị người dùng đượcđơn giản hóa đáng kể Nhiều giao thức được hỗ trợ, ví dụ như dịch vụ bộnhớ đệm (caching services), tính năng lọc gói tin (packet filtering), đề caotính bảo mật và nâng cao hiệu suất cũng đã được kết hợp Mặc dù đây là mộtphiên bản đã được cải thiện hơn so với phiên bản trước nhưng vẫn khôngđáp ứng được nhu cầu ngày càng tăng cao của các công ty cũng như tính antoàn và bảo mật Microsoft Proxy Server v2.0 đã được ngừng nghiên cứuvào ngày 31 tháng 12 năm 2004

- ISA Server 2000: Ngày 18 tháng 3 năm 2001, Microsoft tung ra phiên bảnISA Server 2000 Đây là phiên bản thứ ba của máy chủ ISA trên thị trườngvới một số tính năng tiên tiến ISA 2000 đã giới thiệu các phiên bảnStandard và Enterprise, với tính năng cao cấp high-availability clustering chỉ

có trong phiên bản Enterprise mà không có trong phiên bản Standard ISA

2000 yêu cầu làm việc trên Window Server 2000 (bất kỳ phiên bản nào), vàcũng đồng thời chạy được trên Window Server 2003 Theo chính sách vòngđời hỗ trợ của Microsoft, ISA Server 2000 là sản phẩm ISA Server đầu tiên

sử dụng vòng đời hỗ trợ 10 năm với 5 năm hỗ trợ chính thức và 5 năm hỗ trợ

mở rộng ISA Server 2000 được ngừng nghiên cứu và phát triển vào ngày 12tháng 4 năm 2011

Trang 8

- ISA server 2004: Ngày 08 tháng 9 năm 2004, ISA Server 2004 được ra mắtngười dùng ISA 2004 được giới thiệu với tính năng hỗ trợ kết nối đa mạng,tích hợp mạng riêng ảo (VPN), mở rộng nhóm người sử dụng và các môhình xác thực, hỗ trợ tường lửa lớp ứng dụng, tích hợp Active Directory,Secure NAT, Secure Server Publishing và phát triển thêm một vài tính năng

về quản lý máy chủ Microsoft ISA Server 2004 có hai phiên bản Standard

và Enterprise ISA Server 2004 phiên bản Enterprise bao gồm các tính năng

hỗ trợ mảng, tích hợp dịch vụ cân bằng tải (Network Load Balancing) và sửdụng giao thức CARP (Cache Array Routing Protocol) Một trong nhữngkhả năng cốt lõi của ISA Server 2004 là bảo vệ các publish Web Server.Phiên bản Enterprise bao gồm các tính năng cho phép thiết lập các chínhsách trên một mảng, không phải trên máy chủ ISA, và cân bằng tải trênnhiều máy chủ ISA

- ISA Server 2006: được ra mắt người dùng vào ngày 17 tháng 10 năm 2006.ISA 2006 được thiết kế để chạy trên Window server 2003 và Window server

2003 nền tảng R2 ISA 2006 kiểm tra trạng thái các gói tin và là tường lửakiểm tra lớp ứng dụng, đảm nhận vai trò của một VPN Server và Webcaching server(bao gồm forward caching và reverse caching) ISA 2006 giớithiệu một loạt các cải tiến so với các phiên bản trước đó, bao gồm việc hỗtrợ để xác thực thông qua Secure LDAP, xác thực thông qua ActiveDirectory, hỗ trợ tích hợp cho Exchange 2007, hỗ trợ cho việc chia sẻ đađiểm, single sign-on, Cross-Array Link Translation, Web Publishing LoadBalancing Thêm vào đó còn có nhiều cải tiến khác như thiết lập kết nốiVPN tới văn phòng chi nhánh, nâng cao việc quản lý giấy chứng nhận(certificate) và Link translation

Trang 9

- ISA Server Appliance Edition: là một phần mềm được thiết kế để cài đặtsẵn vào một phần cứng OEM được bán bởi các nhà sản xuất phần cứng như

là một stand alone firewall

- Microsoft Forefront TMG MBE (Microsoft Forefront Threat ManagementGateway Medium Business Edition): là phiên bản tiếp theo của ISA Server

và được tích hợp với Windows Essential Business Server Phiên bản này chỉchạy trên các phiên bản 64-bit của Windows Server 2008 và không hỗ trợmột vài tính năng trong phiên bản Enterpise chẳng hạn như hỗ trợ mảnghoặc các chính sách Enterprise

- Microsoft Forefront TMG: Ngày 17 tháng 11 năm 2009, phiên bản kế tiếpcủa tường lửa ISA được chính thức ra mắt người dùng Không chỉ có cáctính năng và chức năng mới đáng chú ý, nó còn mang một cái tên mới -Forefront Threat Management Gateway Đây là sản phẩm cung cấp tínhnăng bảo mật tích hợp giữa Internet Security and Acceleration Server (ISA),Forefront Client Security, Forefront Security for Exchange Server, ForefrontSecurity for SharePoint Nó được xây dựng trên nền tảng của ISA Server

2006 và cung cấp các tính năng bảo vệ web nâng cao, hỗ trợ phiên bản bit, hỗ trợ cho Windows Server 2008 và Windows Server 2008 R2, ngănchặn phần mềm độc hại và bộ nhớ đệm BITS Bản Service Pack 1 cho sảnphẩm này đã được phát hành vào ngày 23 tháng 6 năm 2010 Nó bao gồmmột số tính năng mới để hỗ trợ dòng sản phẩm Windows Server 2008 R2 vàMicrosoft SharePoint 2010

64-3 Một số ứng dụng trong thực tế của Microsoft ISA Server

- ISA Server có thể được triển khai như là một hệ thống firewall, hoạt độngnhư một gateway an toàn cho các máy nội bộ khi kết nối với Internet

- Đảm nhiệm vai trò là Publishing Server hay FTP Server

Trang 10

- Thay thế vai trò của một VPN Server

- ISA Server cũng hoạt động như một Web Proxy Server và Caching-onlyServer

II – Tìm hiểu về Microsoft ISA Server 2006

1 Giới thiệu về ISA Server 2006

Microsoft Internet Security and Acceleration Sever 2006 (ISA Server2006) là phần mềm chia sẻ Internet của hãng phần mềm nổi tiếng Microsoft

Có thể nói đây là một phần mềm chia sẻ Internet khá hiệu quả, ổn định, dễcấu hình, firewall tốt, nhiều tính năng cho phép cấu hình sao cho tương thíchvới mạng LAN của các công ty hay doanh nghiệp Tốc độ nhanh nhờ chế độcache thông minh, với tính năng lưu Cache vào RAM, giúp bạn truy xuấtthông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự độngdownload thông tin trên các WebServer lưu vào Cache và máy con chỉ cầnlấy thông tin trên các Webserver đó bằng mạng LAN) Ngoài ra còn rấtnhiều các tính năng khác nữa

Trang 11

Có hai phiên bản ISA 2006 bao gồm:

- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty

- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian vànội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dungkhông thích hợp, và vào những khoảng thời gian không thích hợp ( ví dụnhư giờ làm việc )

- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hayRemote Access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ củacông ty, hoặc trao đổi dữ liệu giữa văn phòng và các chi nhánh

- Đối với các công ty có những hệ thống máy chủ public như Mail Server,Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISAServer 2006 cho phép triển khai vùng DMZ nhằm ngăn ngừa sự tương táctrực tiếp giữa người dùng bên trong và bên ngoài hệ thống

- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 phiên bảnStandard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc

độ kết nối internet của mạng nội bộ

Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security &Aceleration (bảo mật và tăng tốc Internet)

b, Enterprise Edition

ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn,đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ

Trang 12

thống Ngoài những tính năng đã có trên ISA Server 2006 bản Standard, bảnEnterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sửdụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năngNetwork Load Balancing (cân bằng tải mạng).

c, So sánh giữa phiên bản Standard Edition và Enterprise Edition

Về cơ bản thì phiên bản Standard và phiên bản Enterprise có các chứcnăng tương đương nhau Bản Enterprise có hỗ trợ thêm 3 tính năng không cótrong bản Standard bao gồm:

- Centralized storage of configuration data ( quản lí tập trung các thông tincấu hình ): Trong khi bản Standard lưu thông tin về cấu hình trong registrytrên chính máy cài ISA thì bản Enterprise lưu thông tin cấu hình của nó trênmột thư mục (directory) riêng biệt Khi ta cài đặt bản Enterprise phải chỉ ramột hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storageserver) Các storage server này sử dụng ADAM (Active DirectoryApplication Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức.ADAM có thể cùng lúc cài đặt trên nhiều máy, nên có thể có nhiều storageserver (Có thể cài ADAM lên máy khác không có ISA hay cài lên máy ISAcũng được) Dữ liệu trên các storage server này sẽ tự nhân bản (replicate)cho nhau theo chu kỳ Nhờ đó hỗ trợ tốt hơn cho người quản trị Ví dụ như

ta muốn thay đổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồivào một trong những storage server mà làm Còn với bản Standard, bạn phảiđến từng máy để cấu hình

- Support for Cache Array Routing Protocol ( hỗ trợ giao thức CARP ):Microsoft ISA Server 2006 phiên bản Enterprise cho phép ta chia sẻ việccache giữa một dãy các ISA với nhau Với bản Enterprise, một dãy gồmnhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn bằng cáchkết nối cache của tất cả các ISA lại với nhau Để thực hiện tính năng này,

Trang 13

ISA sử dụng giao thức CARP Cơ chế như sau : khi một máy client truy cậpmột trang web nào đó, CARP sẽ chỉ định một ISA trong dãy các ISA cachelại trang đó Khi một máy client khác truy cập một trang web khác, CARP sẽchỉ định tiếp một máy ISA trong dãy các ISA cache lại trang web đó Quátrình tiếp diễn cứ luân phiên như thế Khi một client bất kì truy cập mộttrang web đã được cache thì CARP sẽ chỉ định ra máy ISA nào đã cachetrang đó để trả về cho máy client CARP giúp tối ưu hóa khả năng cacheđồng thời tăng tốc độ truy cập Internet cho các Client.

- Integration of Network Load Balancing – NLB ( tích hợp cân bằng tải trênISA ): NLB là một thành phần mạng có sẵn trong Windows Server 2000 vàWindows Server 2003 Sử dụng NLB tức là chúng ta phải chấp nhận dư thừa(redundancy), ta sẽ có từ 2 đến nhiều máy cùng chức năng (ví dụ cùng làmáy ISA) để cân bằng đường truyền, tránh hiện tượng quá tải NLB cũng làmột hình thức backup, vì nếu có một máy bị down (ngừng hoạt động) thì sẽ

có máy khác thay thế nhiệm vụ trong thời gian phục hồi máy kia NLB đápứng nhu cầu về tính ổn định và tính sẵn sàng cao trong hệ thống mạng Vớibản Standard, ta phải cấu hình NLB bằng tay Còn với bản Enterprise, NLBđược tích hợp vào ISA nên có thể quản lý NLB từ ISA Ta có thể dùng ISAServer Management Console để cấu hình, quản lý hay giám sát NLB

2 Nguyên tắc hoạt động của ISA Server 2006

- ISA Server 2006 được thiết kế chủ yếu để hoạt động như một tường lửa,nhằm đảm bảo tất cả những lưu lượng mạng không mong đợi từ Internetđược chặn lại bên ngoài mạng của công ty Đồng thời, ISA Server 2006 cóthể cho phép các người dùng bên trong mạng công ty truy cập một cách cóchọn lọc đến các tài nguyên Internet và các người dùng trên Internet có thểtruy cập vào tài nguyên trong mạng công ty sao cho phù hợp với các rule của

Trang 14

ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức Có thểhình dung ISA Server được triển khai trên vành đai bao quanh mạng củacông ty, là nơi kết nối mạng công ty với một mạng khác bên ngoài (nhưInternet)

- ISA Server 2006 có thể được dùng để bảo mật các kết nối của máy trạmđến nguồn tài nguyên trên Internet Để làm được điều đó, phải cấu hình tất

cả máy trạm đều phải thông qua ISA Server để kết nối Internet Khi cấu hìnhnhư vậy, ISA Server sẽ hoạt động như một Proxy server giữa máy trạmtrong mạng công ty và tài nguyên trên Internet Điều này có nghĩa là khi mộtmáy trạm gởi yêu cầu đến Web Server trên Internet, thì sẽ không có kết nốitrực tiếp giữa máy trạm đó và Web Server Thành phần Proxy server trênISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầuđến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trongmạng nội bộ) Nhờ đó mà thông tin mạng của máy trạm sẽ không bị lộ ramạng bên ngoài Ngoài ra việc máy trạm dùng ứng dụng gì để truy cậpInternet hoặc truy cập đến tài nguyên gì trên Internet cũng được ISA Serverkiểm soát

Trang 15

- ISA Server có thể áp đặt các chính sách bảo mật (security polices) để phânphát đến các người dùng một số cách thức truy cập Internet mà họ đượcphép Đồng thời, nhiều công ty cũng cung cấp cho các người dùng ở xa(remote user) một số cách thức truy cập đến các máy chủ trong mạng công

ty Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nối đếnmáy chủ Mail trong mạng của công ty để gửi e-mail ra Internet ISA Serverđược sử dụng để đảm bảo chắc chắn rằng những sự truy cập như vậy đượcbảo mật

3 Tính năng chính của ISA server 2006

ISA server là một trong các phần mềm máy chủ thuộc dòng NETEnterprise Server Các sản phẩm thuộc dòng NET Enterprise Server là cácserver ứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai,quản lý, tích hợp các giải pháp dựa trên nền web và các dịch vụ ISA server

2006 mang lại một số các lợi ích cho các tổ chức cần kết nối Internet nhanh,bảo mật, dễ quản lý

- Truy cập Web nhanh với cache hiệu suất cao:

+ Người dùng có thể truy cập web nhanh hơn bằng các đối tượng tại chỗtrong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàngnguy cơ tắc nghẽn

+ Giảm giá thành băng thông nhờ giảm lưu lượng Internet

+ Phân tán nội dung của các Web server và các ứng dụng thương mại điện

tử một cách hiệu quả, đáp ứng được nhu cầu khách hàng trên toàn cầu (khảnăng phân phối nội dung web chỉ có trên phiên bản ISA Server Enterprise)

- Kết nối Internet an toàn nhờ nhiều lớp

+ Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cách giám sát lưulượng mạng tại nhiều lớp

Ngày đăng: 11/09/2015, 22:36

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w