BỘ GIAO THÔNG VẬN TẢI TRƢỜNG ĐẠI HỌC HÀNG HẢI BỘ MÔN: KỸ THUẬT MÁY TÍNH KHOA: CÔNG NGHỆ THÔNG TIN BÀI GIẢNG THIẾT KẾ VÀ QUẢN TRỊ MẠNG TÊN HỌC PHẦN MÃ HỌC PHẦN TRÌNH ĐỘ ĐÀO TẠO DÙNG CHO SV NGÀNH : THIẾT KẾ VÀ QUẢN TRỊ MẠNG : 17309 : ĐẠI HỌC CHÍNH QUY : CÔNG NGHỆ THÔNG TIN HẢI PHÒNG – 2010 MỤC LỤC Chương Tổng quan mạng máy tính 1.1 Các khái niệm hệ điều hành 1.2 Các khái niệm mạng máy tính 1.2.1 Giới thiệu mạng máy tính 1.2.2 Đặc trưng kỹ thuật mạng máy tính 1.2.3 Phân loại mạng máy tính 1.2.5 Mạng cục bộ, kiến trúc mạng cục 1.3 Mô hình Workgroup Domain 1.4 Các thiết bị mạng 10 1.4.1 Các thiết bị truyền dẫn 10 1.4.2 Các thiết bị mạng : 17 Chương Quản trị mạng với hệ điều hành Windows 2003 server 24 2.1 Giới thiệu họ điều hành Windows 2003 24 2.2 Quản lý người dùng nhóm người dùng 28 2.3 Quản trị đĩa cứng hệ thống tập tin 32 Chương Quản trị mạng nâng cao với hệ điều hành Windows 2003 server 44 3.1 Cài đặt quản lý dịch vụ mạng 44 3.1.1 Dịch vụ phân phối địa IP 44 3.1.2 Dịch vụ ADS 49 3.1.3 Tổng quan DNS 57 3.2 Giám sát tối ưu mạng Windows 2003 71 3.3 Dịch vụ đầu cuối (Terminal services) 71 3.3.1 Giới thiệu Terminal Service RemoteApp 74 3.3.2 Cài đặt cấu hình Terminal Services 76 3.3.3 Cấu hình nâng cao 78 3.3.4 Truy cập từ xa thông qua Web 80 3.4 Truy cập từ xa (Remote access) 82 3.4.1 Cấu hình RAS Server 82 3.4.2 Cấu hình RAS client 83 Chương Quản trị hệ thống tường lửa ISA Server 2006 86 4.1 Cài đặt cấu hình ISA Server 86 4.1.1 Giới thiệu Firewall 86 4.1.2 Kiến Trúc Của Firewall 86 4.1.3 Các loại firewall cách hoạt động 88 -1- 4.1.4 Giới Thiệu ISA 2006 89 4.1.5 Đặc Điểm Của ISA 2006 89 4.1.6 Cài Đặt ISA Server 2006 90 4.1.7 Cấu hình ISA Server 92 4.2 Cấu hình cài đặt ISA Client 95 4.3 Cấu hình nâng cao ISA Server 2006 95 4.3.1 Publishing Network Services 95 4.3.2 Kiểm tra trạng thái lọc ứng dụng 97 -2- YÊU CẦU NỘI DUNG CHI TIẾT Tên học phần: Thiết kế quản trị mạng Bộ môn phụ trách giảng dạy: Kỹ thuật máy tính Mã học phần: 17309 TS tiết 60 Lý thuyết 45 Thực hành/Xemina 15 Tự học Loại học phần: Khoa phụ trách: CNTT Tổng số TC: Đồ án môn học Bài tập lớn x Điều kiện tiên quyết: Sinh viên phải học xong học phần sau đăng ký học phần này: Kiế , An toàn bảo mật thông tin Mục tiêu học phần: - Quản lý nguồn tài nguyên mạng cục diện rộng dựa hệ điều hành Windows 2003 Nội dung chủ yếu - Quản lý trì hệ thống mạng máy tính hệ điều hành Microsoft Windows Server 2003 - Cài đặt, cấu hình trì dịch vụ DNS, DHCP, WINS, RRAS, VPN v.v Windows Server 2003 - Cài đặt , cấu hình quản lý máy tính client hệ điều hành Microsoft Windows XP - Cài đặt, cấu hình quản lý tường lửa ISA Server 2006 để bảo vệ hệ thống mạng nội Nội dung chi tiết học phần: TÊN CHƢƠNG MỤC Chƣơng 1: Tổng quan mạng máy tính 1.1 Các khái niệm hệ điều hành 1.2 Các khái niệm mạng máy tính 1.3 Mô hình Workgroup Domain 1.4 Các thiết bị mạng Chƣơng Quản trị mạng với hệ điều hành Windows 2003 Server 2.1 Giới thiệu họ điều hành Windows 2003 2.2 Quản lý người dùng nhóm người dùng 2.3 Quản lý sách cục nhóm sách bảo mật cục 2.4 Quản trị đĩa cứng hệ thống tập tin 2.5 Quản lý thư mục dùng chung phân quyền người sử dụng Chƣơng Quản trị mạng nâng cao với hệ điều hành PHÂN PHỐI SỐ TIẾT TS LT BT TH KT 3 0,5 0,5 1 11 2 1 14 10 -3- Windows 2003 Server 3.1 Cài đặt quản lý dịch vụ mạng (DNS, WINS, DHCP & ADS ) 3.2 Giám sát tối ưu mạng Windows 2003 3.3 Dịch vụ đầu cuối (Terminal services) 3.4 Truy cập từ xa (Remote access) Chƣơng Quản trị hệ thống tƣờng lửa ISA Server 2006 4.1 Cài đặt cấu hình ISA server 2006 4.2 Cài đặt cấu hình ISA client 4.3 Cấu hình nâng cao ISA Server 2006 33 1 10 15 Nhiệm vụ sinh viên : Tham dự buổi thuyết trình giáo viên, tự học, tự làm tập giáo viên giao, tham dự buổi thực hành, kiểm tra định kỳ cuối kỳ, hoàn thành tập lớn theo yêu cầu Tài liệu học tập : - Patrick Ciccarelli Christina Faulkner - Foundations Networking – Nhà xuất Sybex, 2004 - Toby Skandier - Network Administrator street smarts – Nhà xuất Wiley ,2006 - Forouzan – TCP/IP Protocol Suite – Nhà xuất McGraw Hill, 2005 - Guy Davies - Designing and Developing Scalable IP Networks – Nhà xuất Wiley,2004 - Rand Morimoto , Michael Noel Alex Lewis - Microsoft Windows Server 2003 Unleashed – Nhà xuất Sams ,2006 - Mark Larra - DNS on Windows Server 2003 – Nhà xuất O'Reilly Media Hình thức tiêu chuẩn đánh giá sinh viên: - Đánh giá dựa tình hình tham dự buổi học lớp, buổi thực hành, điểm kiểm tra thường xuyên điểm kết thúc học phần - Hình thức thi cuối kỳ : thi viểt Thang điểm: Thang điểm chữ A, B, C, D, F Điểm đánh giá học phần Z = 0.4X + 0.6Y Bài giảng tài liệu thức thống Bộ môn Kỹ thuật máy tính, Khoa Công nghệ Thông tin dùng để giảng dạy cho sinh viên Ngày phê duyệt: 15 / / 2010 Trƣởng Bộ môn: ThS Ngô Quốc Vinh -4- Chƣơng 1.Tổng quan mạng máy tính Các khái niệm hệ điều hành Hệ điều hành tập hợp chương trình tổ chức thành hệ thống với nhiệm vụ đảm bảo tương tác người dùng với máy tính, cung cấp phương tiện dịch vụ để điều phối việc thực chương trình, quản lí chặt chẽ tài nguyên máy, tổ chức khai thác chúng cách thuận tiện tối ưu Hệ điều hành có liên quan tới nhiều lĩnh vực, đối tượng nên với đối tượng khác có cách tiếp cận khác Với người dùng : hệ điều hành hệ thống chương trình tạo điều kiện khai thác tài nguyên hệ thống cách thuận tiện hiệu Với người quản lý : Hệ điều hành tập chương trình phục vị quản lý chặt chẽ sử dụng tối ưu tài nguyên hệ thống Với cán kỹ thuật: hệ điều hành chương trình trang bị cho máy tính cụ thể mức vật lý để tạo máy tính lozic với tài nguyên khả Với cán lập trình hệ thống :hệ điều hành hệ thống mô hình hóa mô hoạt động máy, người dùng thao tác viên hoạt động chế độ đối thoại nhằm taoh môi trường khai thác thuận tiện quản lý tối ưu tài nguyên hệ thống tính toán Hệ điều hành mạng hệ thống phần mềm quản lý người dùng, tài nguyên, tính toán, xử lý thống mạng đồng thời theo dõi đồng mạng Có hướng phát triển hệ điều hành mạng : Tôn trọng tính độc lập hệ điều hành cục hệ điều hành mạng cài đặt tiện ích máy mạng Cách có ưu điểm dễ cài đặt chi phí thấp, nhược điểm tính đồng không cao, ko có tính thống viêc quản lý tai nguyên mạng nên dẽ xảy hỏng hóc Bỏ qua hệ điều hành cục gài đạt hệ điều hành mạng Ưu điểm tính đồng cao, độ tin cậy cao Nhược điểm chi phí xây dựng gài đặt cao Một hệ điều hành mạng cần phải đảm bảo chức sau: Quản lý tài nguyên hệ thống, tài nguyên gồm:  Tài nguyên thông tin (về phương diện lưu trữ) hay nói cách đơn giản quản lý tệp Các công việc lưu trữ tệp, tìm kiếm, xoá, copy, nhóm, đặt thuộc tính thuộc nhóm công việc  Tài nguyên thiết bị Điều phối việc sử dụng CPU, ngoại vi để tối ưu hoá việc sử dụng Quản lý người dùng công việc hệ thống Hệ điều hành đảm bảo giao tiếp người sử dụng, chương trình ứng dụng với thiết bị hệ thống Cung cấp tiện ích cho việc khai thác hệ thống thuận lợi (ví dụ FORMAT đĩa, chép tệp thư mục, in ấn chung ) Các hệ điều hành mạng thông dụng là:Windows server 200x, Unix, Novell… 1.2 Các khái niệm mạng máy tính 1.2.1 Giới thiệu mạng máy tính 1.2.1.1 Nhu cầu việc kết nối mạng máy tính Việc nối máy tính thành mạng từ lâu trở thành nhu cầu khách quan : Có nhiều công việc chất phân tán thông tin, xử lý hai đòi hỏi có kết hợp truyền thông với xử lý sử dụng phương tiện 1.1 -5- từ xa Chia sẻ tài nguyên mạng cho nhiều người sử dụng thời điểm (ổ cứng, máy in, ổ CD ROM ) Nhu cầu liên lạc, trao đổi thông tin nhờ phương tiện máy tính Các ứng dụng phần mềm đòi hòi thời điểm cần có nhiều người sử dụng, truy cập vào sở liệu 1.2.1.2 Định nghĩa mạng máy tính Nói cách ngắn gọn mạng máy tính tập hợp máy tính độc lập kết nối với thông qua đường truyền vật lý tuân theo quy ước truyền thông Khái niệm máy tính độc lập hiểu máy tính máy có khả khởi động đình máy khác Các đường truyền vật lý hiểu môi trường truyền tín hiệu vật lý (có thể hữu tuyến vô tuyến) Các quy ước truyền thông sở để máy tính "nói chuyện" với yếu tố quan trọng hàng đầu nói công nghệ mạng máy tính 1.2.2 Đặc trƣng kỹ thuật mạng máy tính Một mạng máy tính có đặc trưng kỹ thuật sau: 1.2.2.1 Đường truyền Là phương tiện dùng để truyền tín hiệu điện tử máy tính Các tín hiệu điệu tử thông tin, liệu biểu thị dạng xung nhị phân (ON_OFF), tín hiệu truyền máy tính với thuộc sóng điện từ, tuỳ theo tần số mà ta dùng đường truyền vật lý khác Đặc trưng đường truyền giải thông biểu thị khả truyền tải tín hiệu đường truyền Thông thuờng người ta hay phân loại đường truyền theo hai loại: Đường truyền hữu tuyến (các máy tính nối với dây dẫn tín hiệu) Đường truyền vô tuyến: máy tính truyền tín hiệu với thông qua sóng vô tuyền với thiết bị điều chế/giải điều chế đầu mút 1.2.2.2 Kỹ thuật chuyển mạch Là đặc trưng kỹ thuật chuyển tín hiệu nút mạng, nút mạng có chức hướng thông tin tới đích mạng, có kỹ thuật chuyển mạch sau: Kỹ thuật chuyển mạch kênh: Khi có hai thực thể cần truyền thông với chúng thiết lập kênh cố định trì kết nối hai bên ngắt liên lạc Các liệu truyền theo đường cố định Kỹ thuật chuyển mạch thông báo: thông báo đơn vị liệu người sử dụng có khuôn dạng quy định trước Mỗi thông báo có chứa thông tin điều khiển rõ đích cần truyền tới thông báo Căn vào thông tin điều khiển mà nút trung gian chuyển thông báo tới nút đường dẫn tới đích thông báo Kỹ thuật chuyển mạch gói: thông báo chia thành nhiều gói nhỏ gọi gói tin (packet) có khuôn dạng qui định trước Mỗi gói tin chứa thông tin điều khiển, có địa nguồn (người gửi) địa đích (người nhận) gói tin Các gói tin thông báo gửi qua mạng tới đích theo nhiều đường khác 1.2.2.3 Kiến trúc mạng Kiến trúc mạng máy tính (network architecture) thể cách nối máy tính với tập hợp quy tắc, quy ước mà tất thực thể tham gia truyền thông mạng -6- phải tuân theo để đảm bảo cho mạng hoạt động tốt Khi nói đến kiến trúc mạng người ta muốn nói tới hai vấn đề hình trạng mạng (Network topology) giao thức mạng (Network protocol) Network Topology: Cách kết nối máy tính với mặt hình học mà ta gọi tô pô mạng Các hình trạng mạng là: hình sao, hình bus, hình vòng Network Protocol: Tập hợp quy ước truyền thông thực thể truyền thông mà ta gọi giao thức (hay nghi thức) mạng Các giao thức thường gặp : TCP/IP, NETBIOS, IPX/SPX, 1.2.3 Phân loại mạng máy tính Có nhiều cách phân loại mạng khác tuỳ thuộc vào yếu tố chọn dùng để làm tiêu phân loại, thông thường người ta phân loại mạng theo tiêu chí sau: Khoảng cách địa lý mạng Kỹ thuật chuyển mạch mà mạng áp dụng Kiến trúc mạng Hệ điều hành mạng sử dụng Tuy nhiên thực tế nguời ta thường phân loại theo hai tiêu chí 1.2.3.1 Phân loại mạng theo khoảng cách địa lý Nếu lấy khoảng cách địa lý làm yếu tố phân loại mạng ta có mạng cục (LAN), mạng đô thị (MAN), mạng diện rộng (WAN), mạng toàn cầu 1.2.3.2 Phân loại theo kỹ thuật chuyển mạch Nếu lấy kỹ thuật chuyển mạch làm yếu tố để phân loại có: Mạng chuyển mạch kênh, mạng chuyển mạch thông báo mạng chuyển mạch gói Mạch chuyển mạch kênh (circuit switched network) : hai thực thể thiết lập kênh cố định trì kết nối hai bên ngắt liên lạc Mạng chuyển mạch thông báo (message switched network) : Thông báo đơn vị liệu qui ước gửi qua mạng đến điểm đích mà không thiết lập kênh truyền cố định Căn vào thông tin tiêu đề mà nút mạng xử lý việc gửi thông báo đến đích Mạng chuyển mạch gói (packet switched network) : thông báo chia thành nhiều gói nhỏ gọi gói tin (packet) có khuôn dạng qui định trước Mỗi gói tin chứa thông tin điều khiển, có địa nguồn (người gửi) địa đích (người nhận) gói tin Các gói tin thông báo gởi qua mạng tới đích theo nhiều đường khác 1.2.3.3 Phân loại theo kiến trúc mạng sử dụng Kiến trúc mạng bao gồm hai vấn đề: hình trạng mạng (Network topology) giao thức mạng (Network protocol) Hình trạng mạng: Cách kết nối máy tính với mặt hình học mà ta gọi tô pô mạng Giao thức mạng: Tập hợp quy ước truyền thông thực thể truyền thông mà ta gọi giao thức (hay nghi thức) mạng Khi phân loại theo topo mạng người ta thường có phân loại thành: mạng hình sao, tròn, tuyến tính Phân loại theo giao thức mà mạng sử dụng người ta phân loại thành mạng: TCP/IP, mạng NETBIOS Tuy nhiên cách phân loại không phổ biến áp dụng cho mạng cục 1.2.3.4 Phân loại theo hệ điều hàng mạng Nếu phân loại theo hệ điều hành mạng người ta chia theo mô hình mạng ngang hàng, mạng khách/chủ phân loại theo tên hệ điều hành mà mạng sử dụng: Windows NT, -7- Unix, Novell 1.2.4 Các mạng máy tính thông dụng Mạng cục Một mạng cục kết nối nhóm máy tính thiết bị kết nối mạng lắp đặt phạm vị địa lý giới hạn, thường nhà khu công sở Mạng có tốc độ cao Mạng diện rộng với kết nối LAN to LAN Mạng diện rộng kết nối mạng LAN, mạng diện rộng trải phạm vi vùng, quốc gia lục địa chí phạm vi toàn cầu Mạng có tốc độ truyền liệu không cao, phạm vi địa lý không giới hạn Liên mạng INTERNET Với phát triển nhanh chóng công nghệ đời liên mạng INTERNET Mạng Internet sở hữu nhân loại, kết hợp nhiều mạng liệu khác chạy tảng giao thức TCP/IP Mạng INTRANET Thực mạng INTERNET thu nhỏ vào quan/công ty/tổ chức hay bộ/nghành…, giới hạn phạm vi người sử dụng, có sử dụng công nghệ kiểm soát truy cập bảo mật thông tin 1.2.5 Mạng cục bộ, kiến trúc mạng cục 1.2.5.1 Mạng cục Tên gọi “mạng cục bộ” xem xét từ quy mô mạng Tuy nhiên, đặc tính mạng cục thực tế, quy mô mạng định nhiều đặc tính công nghệ mạng Sau số đặc điểm mạng cục bộ: Mạng cục có quy mô nhỏ, thường bán kính vài km Mạng cục thường sở hữu tổ chức Thực tế điều quan trọng để việc quản lý mạng có hiệu Mạng cục có tốc độ cao lỗi Trên mạng rộng tốc độ nói chung đạt vài trăm Kbit/s đến Mb/s Còn tốc độ thông thường mạng cục 10, 100 Mbit/s tới với Gigabit Ethernet 1.2.5.2 Kiến trúc mạng cục Đồ hình mạng (Network Topology) Định nghĩa Topo mạng: Cách kết nối máy tính với mặt hình học mà ta gọi tô pô mạng Có hai kiểu nối mạng chủ yếu : Nối kiểu điểm - điểm (point - to - point): đường truyền nối cặp nút với nhau, nút “lưu chuyển tiếp” liệu Nối kiểu điểm - nhiều điểm (point - to - multipoint hay broadcast) : tất nút phân chia đường truyền vật lý, gửi liệu đến nhiều nút lúc kiểm tra gói tin theo địa Tô pô mạng diện rộng thông thường nói đến liên kết mạng cục thông qua dẫn đường (router) kênh viễn thông Khi nói tới tô pô mạng cục người ta nói đến liên kết máy tính Mạng hình sao: Mạng hình có tất trạm kết nối với thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ trạm chuyển đến trạm đích Độ dài đường truyền nối trạm với thiết bị trung tâm bị hạn chế (trong vòng 100m, với công nghệ nay) -8- Mạng trục tuyến tính (Bus): Trong mạng trục tất trạm phân chia đường truyền chung (bus) Đường truyền giới hạn hai đầu hai đầu nối đặc biệt gọi terminator Mỗi trạm nối với trục qua đầu nối chữ T (T-connector) thiết bị thu phát (transceiver) Mạng hình vòng : Trên mạng hình vòng tín hiệu truyền vòng theo chiều Mỗi trạm mạng nối với vòng qua chuyển tiếp (repeater) cần có giao thức điều khiển việc cấp phát quyền truyền liệu vòng mạng cho trạm có nhu cầu Mạng hình vòng có ưu nhược điểm tương tự mạng hình sao, nhiên mạng hình vòng đòi hỏi giao thức truy nhập mạng phức tạp mạng hình Kết nối hỗn hợp : Là phối hợp kiểu kết nối khác nhau, 1.3 Mô hình Workgroup Domain Mô hình Workgroup hay gọi mô hình mạng ngang hàng, mô hình cung cấp việc kết nối máy tính máy tính đóng vai trò phục vụ Một máy tính mạng vừa client, vừa server Trong môi trường này, người dùng máy tính chịu trách nhiệm điều hành chia sẻ tài nguyên máy tính Mô hình phù hợp với tổ chức nhỏ, số người giới hạn (thông thuờng nhỏ 10 người), không quan tâm đến vấn đề bảo mật Mạng ngang hàng thường dùng hệ điều hành sau: Win95, Windows for workgroup, WinNT Workstation, Win2000 Proffessional, OS/2 -9- 36.6 Kbps Hiện có Modemanalog tốc độ 56 Kbps chưa thử nghiệm nhiều Phương pháp dùng dial-up qua Modem analog thích hợp cho tổ chức nhỏ, có nhu cầu sử dụng dịch vụ Web E-Mail Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network) phổ biến số nước tiên tiến Dịch vụ dùng tín hiệu số đường truyền nên không cần Modem analog,cho phép truyền tiếng nói liệu đôi dây Các kênh thuê bao ISDN (đường truyềndẫn thông tin người sử dụng mạng) đạt tốc độ từ 64 Kbps đến 138,24 Mbps Dịch vụ ISDN thích hợp cho công ty vừa lớn, yêu cầu băng thông lớn mà việc dùng Modemanalog không đáp ứng Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Proxy Server với Internet thôngqua Router Dùng dial-up đòi hỏi phải có Modem analog, dùng ISDN phải có phối ghép ISDNcài Server Việc chọn lựa cách kết nối ISP thích hợp tùy thuộc vào yêu cầu cụ thể công ty, ví dụ nhưsố người cần truy cập Internet, dịch vụ ứng dụng sử dụng, đường kết nối cách tính cước mà ISP cung cấp 4.1.4Giới Thiệu ISA 2006 Microsoft Internet Security and Acceleration Sever (ISA Server) phần mềm share internet củahãng phần mềm Microsoft, nâng cấp từ phần mềm MS ISA 2000 Server Có thể nói mộtphần mềm share internet hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiềutính cho phép bạn cấu hình cho tương thích với mạng LAN bạn Tốc độ nhanh nhờ chếđộ cache thông minh, với tính lưu Cache đĩa giúp bạn truy xuất thông tin nhanh hơn, tínhnăng Schedule Cache (Lập lịch cho tự động download thông tin WebServer lưu vào Cachevà máy cần lấy thông tin Webserver mạng LAN) 4.1.5 Đặc Điểm Của ISA 2006 Các đặc điểm Microsoft ISA 2006: Cung cấp tính Multi-networking: Kỹ thuật thiết lập sách truy cập dựa địa chỉmạng, thiết lập firewall để lọc thông tin dựa địa mạng con,… Unique per-network policies: Đặc điểm Multi-networking cung cấp ISA Server chophép bảo vệ hệ thống mạng nội cách giới hạn truy xuất Client bên ngoàiinternet, cách tạo vùng mạng ngoại vi perimeter network (được xem vùng DMZ,demilitarized zone, screened subnet), cho phép Client bên truy xuất vào cácServer mạng ngoại vi, không cho phép Client bên truy xuất trực tiếp vào mạng nội Stateful inspection of all traffic: Cho phép giám sát tất lưu lượng mạng NAT and route network relationships: Cung cấp kỹ thuật NAT định tuyến liệu cho mạng Network templates: Cung cấp mô hình mẫu (network templates) số kiến trúc mạng, kèm theo số luật cần thiết cho network templates tương ứng Cung cấp số đặc điểm để thiết lập mạng riêng ảo (VPN network) truy cập từ xa chodoanh nghiệp giám sát, ghi nhận log, quản lý session cho VPN Server, thiết lập access policy cho VPN Client, cung cấp tính tương thích với VPN hệ thống khác Cung cấp số kỹ thuật bảo mật (security) thiết lập Firewall cho hệ thống nhưAuthentication, Publish Server, giới hạn số traffic Cung cấp số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng,giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web Cung cấp số tính quản lý hiệu như: giám sát lưu lượng, reporting qua Web, exportvà import cấu hình từ XML configuration file, quản lý lỗi hệ thống - 89 - thông qua kỹ thuật gởi thôngbáo qua E-mail, Application Layer Filtering (ALF): điểm mạnh ISA Server 2006, khônggiống packet filtering firewall truyền thống, ISA 2006có thể thao tác sâu lọcđược thông tin tầng ứng dụng Một số đặc điểm bậc ALF: Cho phép thiết lập lọc HTTP inbound outbound HTTP Chặn các loại tập tin thực thi chạy Windows pif, com,… Có thể giới hạn HTTP download Có thể giới hạn truy xuất Web cho tất Client dựa nội dung truy cập Có thể điều kiển truy xuất HTTP dựa chữ ký (signature) Điều khiển số phương thức truy xuất HTTP 4.1.6 Cài Đặt ISA Server 2006 4.1.6.1 Yêu cầu cài đặt Thành phần Bộ xử lý (CPU) Hệ điều hành (OS) Bộ nhớ (Memory) Không gian đĩa (Disk space) NIC Yêu cầu Intel AMD 500Mhz trở lên Windows 2003 Windows 2000 (Service pack 4) 256 (MB) 512 MB cho hệ thống không sử dụng Web caching, 1GB cho Web-caching ISA firewalls ổ đĩa cài đặt ISA thuộc loại NTFS file system, 150 MB dành cho ISA Ít phải có card mạng (khuyến cáo phải có NIC) 4.1.6.2 Quá trình cài đặt ISA 2006 4.1.6.2.1 Cài đặt ISA máy chủ card mạng Khi ta cài đặt ISA máy Server có card mạng (còn gọi Unihomed ISA Firewall), hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP ISA không hỗ trợ số chức năng: SecureNAT client Firewall Client Server Publishing Rule Remote Access VPN Site-to-Site VPN Multi-networking Application-layer inspection ( trừ giao thức HTTP) Chạy tập tin isaautorun.exe từ CDROM ISA 2006 từ ISA 2006 source Nhấp chuột vào “Install ISA Server 2006” hộp thoại “Microsoft Internet Security and Acceleration Server 2006” Nhấp chuột vào nút Next hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2006” để tiếp tục cài đặt Chọn tùy chọn Select “I accept” hộp thoại “ License Agreement”, chọn Next Nhập số thông tin tên username tên tổ chức sử dụng phần mềm User Name Organization textboxe Nhập serial number Product Serial Number textbox Nhấp Next để tiếp tục - 90 - Chọn loại cài đặt (Installation type) hộp “Setup Type”, chọn tùy chọn Custom, chọn Next Trong hộp thoại “Custom Setup” mặc định hệ thống chọn Firewall Services, Advanced Logging, ISA Server Management Trên Unihomed ISA firewall hỗ trợ Web Proxy Client nên ta có thểkhông chọn tùy chọn Firewall client Installation share nhiên ta chọn để Client sử dụng phần mềm để hỗ trợ truy xuất Web qua Web Proxy Chọn Next để tiếp tục Chỉ định address range cho cho Internet network hộp thoại “Internal Network”, sau chọnnút Add Trong nút Select Network Adapter, chọn Internal ISA NIC Sau mô tả xong “Internet Network address ranges”, chọn Next hộp thoại “Firewall ClientConnection Settings” Sau chương trình tiến hành cài đặt vào hệ thống, chọn nút Finish để hoàn tất trình 4.1.6.2.2 Cài đặt ISA máy chủ có nhiều card mạng ISA Firewall thường triển khai dual-homed host (máy chủ có hai Ethernet cards) multi-homed host (máy chủ có nhiều card mạng) điều có nghĩa ISA server thực thi đầy đủcác tính ISA Firewall, SecureNAT, Server Publishing Rule, VPN,… Các bước cài đặt ISA firewall software multihomed host: Chạy tập tin isaautorun.exe từ CDROM ISA 2006 từ ISA 2006 source Nhấp chuột vào “Install ISA Server 2006” hộp thoại “Microsoft Internet Security andAcceleration Server 2006” Nhấp chuột vào nút Next hộp thoại “Welcome to the Installation Wizard for Microsoft ISAServer 2006” để tiếp tục cài đặt Chọn tùy chọn Select “I accept” hộp thoại “ License Agreement”, chọn Next Nhập số thông tin tên username tên tổ chức sử dụng phần mềm User Name Organization textboxe Nhập serial number Product Serial Number textbox Nhấp Next đểtiếp tục Chọn loại cài đặt (Installation type) hộp “Setup Type”, chọn tùy chọn Custom, chọn Next Trong hộp thoại “Custom Setup” mặc định hệ thống chọn Firewall Services, Advanced Logging, ISA Server Management Ta chọn tùy chọn Firewall client Installation share Chọn Next để tiếptục Ta có hai cách Định nghĩa internet network addresses hộp thoại Internal Network setup Cách thứ ta mô tả dãy địa nội (Internal Network range) từ From To text boxes Cách thứ hai ta cấu hình default Internal Network cách chọn nút “Select Network Adapter” Sau ta nhấp chuột vào dấu chọn “Select Network Adapter” kết nối vào mạng nội Trong hộp thoại Configure Internal Network, loại bỏ dấu check tùy chọn tên Add the following private ranges Sau check vào mục chọn Network Adapter, chọn OK Xuất thông báo cho biết Internal network định nghĩa dựa vào Windows routing table Chọn OK hộp thoại Internal network address ranges Chọn Next hộp thoại “Internal Network” để tiếp tục trình cài đặt Chọn dấu check “Allow computers running earlier versions of Firewall Client software toconnect” ta muốn ISA hỗ trợ phiên Firewall client trước, chọn Next Xuất hộp thoại Services để cảnh báo ISA Firewall stop sốdịch vụ - 91 - SNMP IIS Admin Service cài đặt ISA Firewall vô hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF), IP Network Address Translation (RRAS NAT service) services Chọn Finish để hoàn tất trình cài đặt 4.1.7 Cấu hình ISA Server 4.1.7.1 Một số thông tin cấu hình mặc định Tóm tắt số thông tin cấu hình mặc định: System Policies cung cấp sẳn số luật phép truy cập vào/ra ISA firewall Tất traffic lại bị cấm Cho phép định tuyến VPN/VPN-Q Networks Internal Network Cho phép NAT Internal Network External Network Chỉ cho phép Administrator thay đổi sách bảo mật cho ISA firewall Ta xem sách mặc định hệ thống ISA Firewall (system policy rule) cách chọn Filewall Policy từ hộp thoại ISA Management, sau chọn item Show system policy rule trêncột System policy Ta hiệu chỉnh system policy cách nhấp đôi chuột vào system policy item 4.1.7.2 Cấu hình Web proxy cho ISA Trong phần ta khảo sát nhanh bước để cấu hình ISA Firewall cung cấp dịch vụWeb Proxy để chia sẻ kết nối Internet cho mạng nội Mặc định ISA Firewall cho phép tất mạng nội truy xuất Internet Web thông quagiao thức HTTP/HTTPS tới số site định sẳn Domain Name Sets mô tảdưới tên “system policy allow sites” bao gồm:  *.windows.com  *.windowsupdate.com  *.microsoft.com Do ta muốn cấu hình cho mạng nội truy xuất đến Internet Web bênngoài ta phải hiệu chỉnh lại thông tin System Policy Allowed Sites hiệu lại System Policy Rule có tên Hiệu chỉnh System Policy Allowed Sites cách Chọn Firewall Policy ISAManagement Console, sau chọn cột Toolbox, chọn Domain Name Sets, nhấp đôi vàoitem System Policy Allowed Sites để mô tả số site cần thiết cho phép mạng nội bộtruy xuất theo cú pháp *.domain_name Nếu ta muốn cho mạng nội truy xuất Internet Website ta phải Enable luật 18 có tên “Allow HTTP/HTTPS requests from ISA Server to selected servers for connectivity verifiers” sau ta chọn nút Apply Firewall Policy pannel để áp đặt thay đổi vào hệ thống Chú ý Nếu ISA Firewall kết nối trực tiếp Internet ta cần cấu hình số thông số trên, ngược lại ISA Firewall phải thông qua hệ thống ISA Firewall Proxy khác ta cần phải mô tả thêm tham số Uptream Server để chuyển yêu cầu truy xuất lên Proxy cha để nhờ Proxy cha lấy thông tin từ Internet Web Server  Để cấu hình Uptream Server cho ISA Server nội ta chọn Configuration panel từ ISA Management Console, sau chọn item Network , chọn Web Chaining Tab, Nhấp đôi vào Rule Set có tên Last default rule, chọn Action Tab, chọn tùy chọn Redirecting them to specified upstream server, chọn tiếp nút Settings…Chỉđịnh địa upstreamserver  Ta cần định DNS Server cho ISA Server để ISA phân giải Internet Site - 92 -  có yêu cầu, ta sử dụng DNS Server nội Internet DNS Server, nhiên ta  cần lưu ý phải cấu hình ISA Firewall phép DNS request DNS reply Để cho phép Client sử dụng Web Proxy ta cấu hình Proxy Server có địa địa Internal interface ISA Firewall trình duyệt Web cho Client, ta cài ISA Client Share Client để Client đóng vai trò lài ISA Firewall Client Chỉ định địa Web Proxy textbox Address Chỉ Web Proxy Port Textbox Port 8080 4.1.7.3 Tạo Và Sử Dụng Firewall Access Policy Access Policy ISA Firewall bao gồm tính như: Web Publishing Rules, ServerPublishing Rules Access Rules  Web Publishing Rules Server Publishing Rules sử dụng phép inboundaccess Access rules dùng đểđiều khiển outbound access ISA Firewall kiểm tra Access Rules Access Policy theo chế top down (Lưu ý rằngSystem Policy kiểm tra trước Access Policy user định nghĩa), packet phù hợp vớimột luật ISA Firewall ISA Firewall thực thi action (permit/deny) tùy theo luật, sau ISA Firewall bỏ qua tất luật lại Nếu packet không phù hợp với bất kỳSystem Access Policy User-Defined Policy ISA Firewall deny packet Một số tham số mà Access Rule kiểm tra connection request:  Protocol: Giao thức sử dụng  From: Địa nguồn  Schedule: Thời gian thực thi luật  To: Địa đích  Users: Người dùng truy xuất  Content type: Loại nội dung cho HTTP connection 4.1.7.3.1 Tạo Access Rule Access Rules ISA Firewall luôn áp đặt luật theo hướng (outbound) Ngược lại, Web Publishing Rules, Server Publishing Rules áp đặt theo hướng vào (inbound) Access Rules điềukhiển truy xuất từ source tới destination sử dụng outbound protocol Một số bước tạo Access Rule: Kích hoạt Microsoft Internet Security and Acceleration Server 2006 management console,mở rộng server name, nhấp chuột vào Firewall Policy panel, chọn Tasks tab Task Pane,nhấp chuột vào liên kết Create New Access Rule Hiển thị hộp thoại “Welcome to the New Access Rule Wizard” Điền vào tên Access Rulename, nhấp chuột vào nút Next để tiếp tục Hiển thị hộp thoại Rule Action có hai tùy chọn: Allow Deny Tùy chọn Deny đặt mặcđịnh, tùy vào loại Rule ta cần mô tả mà chọn Allow Deny cho phù hợp, chọn Next để tiếptục Hiển thị hộp thoại “Protocols” (tham khảo Hình 5.17) Ta chọn giao thức (protocol) để chophép/cấm outbound traffic từ source đến destination Ta chọn ba tùy chọn danhsách This rule applies to  All outbound traffic: Để cho phép tất protocols outbound Tầm ảnh hưởng tùy chọnnày phụ thuộc vào loại Client (client type) sử dụng để truy xuất luật Firewall clients, thìtùy chọn cho phép tất Protocol (outbound), bao gồm secondary protocols định nghĩa chưa định ISA firewall Tuy nhiên đối vớiSecureNAT client kết - 93 - nối ISA Firewall outbound access cho phép protocol mà đãđược định nghĩa Protocols list ISA firewall, SecureNAT client truy xuất tài nguyên bên protocol ta phải mô tả protocol vào ProtocolPanel cung cấp ISA firewall để hỗ trợ kết nối cho SecureNAT client  Selected protocols: Tùy chọn cho phép ta lựa chọn protocols để áp đặt vào luật(rule) Ta lựa chọn sốprotocol có sẵn hộp thoại tạo mộtProtocol Definition  All outbound traffic except selected: Tùy chọn cho phép tất protocol cho luật màkhông định nghĩa hộp thoại Nếu ta chọn tùy chọn Selected Protocols ta chọn danh sách protocol cần mô tả cho luật Hiển thị hộp thoại Access Rule Sources, chọn địa nguồn (source location) để áp đặt vào luật cách chọn nút Add, hiển thị hộp thoại Add Network Entities, sau ta chọn địa nguồn từ hộp thoại (tham khảo hình), chọn Next để thực bước Hiển thị hộp thoại Access Rule Destinations cho phép chọn địa đích (destination) cho luậtbằng cách chọn nút Add sau xuất hộp thoại Add Network Entities, hộp thoại cho phép ta chọn địa đích (Destination) mô tả sẳn hộp thoại định nghĩa destination mới, thông thường ta chọn External network cho destination rule, sau hoàn tất trình ta chọn nút Next để tiếp tục Hiển thị hộp thoại User Sets cho phép ta lựa chọn User truy xuất cho access Rule Mặc định luật áp đặt cho tất user (All Users), ta hiệu chỉnh thông số cách chọn Edit hoặcthêm user vào rule thông qua nút Add, chọn Next để tiếp tục Chọn Finish để hoàn tất 4.1.7.3.1 Thay đổi thuộc tính Access Rule Trong hộp thoại thuộc tính Access Rule chứa đầy đủ thuộc tính cần thiết để thiết lập luật, có số thuộc tính cấu hình hộp thoại mà cấu hình trình tạo Access Rule, thông thường ta truy xuất hộp thoại thuộc tính luật ta muốn kiểm tra thay đổi điều kiện đặt trước Để truy xuất thuộc tính Access Rule ta nhấp đôi chuột vào tênluật Firewall Policy Panel Một số Tab thuộc tính Access Rule: General tab: Cho phép ta thay đổi tên Access rule, Enable/Disable Access rule Action tab: Cung cấp số tùy chọn để hiệu chỉnh luật (Tham khảo hình 5.20): Allow: Tùy chọn cho phép kết nối phù hợp (matching) với điều kiện mô tả Access rule qua ISA firewall Deny: Tùy chọn cấm kết nối phù hợp (matching) với điều kiện mô tả Accessrule qua ISA firewall Redirect HTTP requests to this Web page: Tùy chọn cấu hình để chuyển hướng HTTPrequests (phù hợp với điều kiện Access rule) tới Web page khác Log requests matching this rule Cho phép ghi nhận lại tất request phù hợp với AccessRule Protocols tab: Cung cấp tùy chọn phép ta hiệu chỉnh giao thức (protocol) cho Access rule From tab: Cung cấp tùy chọn để hiệu chỉnh địa nguồn cho Access rule To tab: Cung cấp tùy chọn để hiệu chỉnh địa đích cho Access rule Users tab: Cung cấp tùy chọn để hiệu chỉnh thông tin User Access rule - 94 - Schedule tab: Hiệu chỉnh thời gian áp đặt (apply) luật Content Types tab: Cho phép hiệu chỉnh Content Type áp đặt HTTP connection 4.2 Cấu hình cài đặt ISA Client Tại máy DC, logon vào với tài khoản quản trị Cài đặt ISA Firewall Client đĩa CD cài đặt (thư mục Client) Hộp thoại Welcome to the Install…, nhấn Next Tiếp theo bạn cài đặt theo mặc định Hộp thoại ISA Server Computer Selection, nhập vào địa IP máy ISA Server, nhấn Next Nhấn Finish kết thúc trình cài đặt 4.3 Cấu hình nâng cao ISA Server 2006 4.3.1 Publishing Network Services 4.3.1.1 Web Publishing and Server Publishing Publishing services kỹ thuật dùng để công bố (publishing) dịch vụ nội mạng Internet thông qua ISA Firewall Thông qua ISA Firewall ta publish dịch vụ SMTP, NNTP, POP3, IMAP4, Web, OWA, NNTP, Terminal Services,,, Web publishing: Dùng để publish Web Site dịch vụ Web Web Publishing đượcgọi 'reverse proxy' ISA Firewall đóng vai trò Web Proxy nhận Web request từbên sau chuyển yêu cầu vào Web Site Web Services nội xử lý Một số đặc điểm Web Publishing:  Cung cấp chế truy xuất ủy quyền Web Site thông qua ISA firewall  Chuyển hướng theo đường dẫn truy xuất Web Site (Path redirection)  Reverse Caching of published Web Site  Cho phép publish nhiều Web Site thông qua địa IP  Có khả thay đổi (re-write) URLs cách sử dụng Link Translator ISA firewall  Thiết lập chế bảo mật hỗ trợ chứng thực truy xuất cho Web Site (SecurID authentication,RADIUS authentication, Basic Authentication)  Cung cấp chế chuyển theo Port Protocol Server publishing: Tương tự Web Publishing, Server publishing cung cấp số chếcông bố (publishing) Server thông qua ISA Firewall 4.3.1.2Publish Web server Để publish Web Services ta thực bước sau: Kích hoạt hình “Microsoft Internet Security and Acceleration Server 2006 managementconsole”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab Trên Tasks tab, chọn liên kết “Publish a Web Server”, hiển thị hộp thoại “Welcome to the NewWeb Publishing Rule Wizard” yêu cầu nhập tên Web publishing rule, chọn Next để tiếp tục Chọn tùy chọn Allow hộp thoại “Select Rule Action”, chọn Next Cung cấp số thông tin Web Site cần publish hộp thoại “Define Website toPublish”: “Computer name or IP address”: định địa Web Server nội “Forward the original host header instead of the actual one (specified above)”: Chỉ - 95 - định cơchế chuyển yêu cầu vào Web Server nội theo dạng host header name, tùy chọn sửdụng trường hợp ta muốn publish Web hosting cho Web Server “Path”: Chỉ định tên tập tin thư mục ta muốn truy xuất vào Web Server nội “Site”: Chỉ định tên Web Site publish Chỉ định số thông tin FQDN IP addresses phép truy xuất tới publish Web Sitethông qua Web Publishing Rule Các tùy chọn cần thiết: Accept requests for: Chỉ định tên publish Web listener chấp nhận Path (optional): Chỉ định đường dẫn Web Site cho phép truy xuất Site: Tên Web Site phép truy xuất Web Site nội Chọn Web Listener cho Web Publishing Rule (là Network Object sử dụng cho Web Publishing Rule để listen kết nối vào interface (incoming connection) theo port đượcđịnh nghĩa trước), bước ta lựa chọn Web Listener tạo trước ta tạomới Web Listener Sau số bước tạo Web Listener Từ hộp thoại “Seclect Web Listener“ cách nhấp chuột vào nút New…, cung cấp tên WebListener hộp thoại “Welcome to the New Web Listener Wizard, chọn Next Chọn tên Interface cho phép chấp nhận kết nối Incoming Web, sau ta chọn nút Address để định địa IP cụ thể interface lựa chọn, Chọn nút Add>, cuối ta chọn nút OK để chấp nhận trình tạo Web Listener, chọn Next để tiếptục Chỉđịnh HTTP port SSL port hộp thoại Port Specification cho phép ISA Server sửdụng để chấp nhận incoming web requests, chọn Next Chọn Finish để hoàn tất trình 4.3.1.3Publish Mail Server Các bước tiến hành publish Mail server: Kích hoạt hình “Microsoft Internet Security and Acceleration Server 2006 managementconsole”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab Trên Tasks tab, chọn liên kết “Publish a Mail Server”, hiển thị hộp thoại “Welcome to the NewMail Server Publishing Rule Wizard” yêu cầu nhập tên Mail Server Publishing Rule, chọn Nextđể tiếp tục Chọn tùy chọn loại truy xuất cho Client hộp thoại “Select Client Type” Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync: Publish Web Mail Server phép client truy xuất E-Mail qua Web thôngqua OWA, OMA, ESA, Client access: RPC, IMAP, POP3, SMTP: Publish giao thức IMAP, POP3, SMTP cho MailServer Server-to-server communication: SMTP, NNTP: Cho phép Server Mail bên giao tiếp với Server Mail nội thông qua giao thức SMTP, NNTP Ví dụ bước ta chọn tùy chọn Web Client Access, chọn Next, sau xuất hộp thoại“Select Services” cho phép ta chọn dịch vụ Exchange Web Services bao gồm: Outlook Web Access, Outlook Mobile Access, Exchange ActiveAsync , chọnNext để tiếp tục Chỉ định địa Web Mail Server hộp thoại “Specify the Web Mail Server”, chọn Next Chỉ định Publish Name Web Listener chấp nhận hộp thoại “Public Name - 96 - Details”,chọn Next Chọn Finish để hoàn tất trình 4.3.1.4 Tạo luật để publish Server Tạo luật để publish Server thực chất thao tác tương tự ta publish Web hoặcMail có điều ta phép lựa chọn protocol cần publish, ta publish Server ta cầnchuẩn bị số thông số sau: Protocol mà ta cần publish protocol gì? Địa IP ISAfirewall chấp nhận incomingconnection Địa IPaddress PublishServer nội (ProtectedNetworkserver) Các bước tạo Publish Server: Kích hoạt hình “Microsoft Internet Security and Acceleration Server 2006 managementconsole”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab Trên Tasks tab, chọn liên kết “Create New Server Publishing Rule”, hiển thị hộp thoại“Welcome to the New Server Publishing Rule Wizard” yêu cầu nhập tên Server Publishing Rule, chọn Next để tiếp tục Chỉ định địa server nội cần để publish, chọn Next để tiếp tục Chọn Protocol cần để Publish, chọn Next Chọn tên Interface cho phép chấp nhận kết nối IncomingWeb, sau ta chọn nút Address để định địa IP cụ thể interface lựa chọn, Chọn nút Add>,cuối ta chọn nút OK để chấp nhận trình tạo Web Listener, chọn Next để tiếptục Chọn Finish để hoàn tất trình 4.3.2 Kiểm tra trạng thái lọc ứng dụng ISA firewall thực thi hai chức quan trọng stateful filtering stateful applicationlayer inspection stateful filtering kiểm tra thiết lập lọc tầng network, transport Stateful filtering thường gọi kiểm tra trạng thái packet (stateful packet inspection) Trái ngượcvới phương thức packet filtering dựa hardware firewalls, ISA firewall kiểm tra thông tin tầng ứng dụng (stateful application layer inspection) stateful application layer inspection yêucầu Firewall kiểm tra đầy đủ thông tin tất tầng giao tiếp bao gồm hầu hết tầng qua trọng application layer mô hình tham chiếu OSI 4.3.2.1 Lập lọc ứng dụng ISA firewall thiết lập lọc ứng dụng (Application filters) với mục đích bảo vệ publish serverchống lại số chế công bất hợp pháp từ bên mạng, để hiệu chỉnh lọc ta chọn mụcAdd-ins Configuration Panel, sau ta nhấp đôi chuột vào tên lọc cần hiệu chỉnh,…Một sốcác lọc ứng dụng cần tham khảo như: SMTP filter and Message Screener: SMTP filter Message Screener sử dụng để bảo vệpublish SMTP server chống lại chế công làm tràn nhớ (buffer overflow attacks),SMTP Message Screener bảo vệ mạng nội ngăn số E-mail messages không cần thiết Dùng SMTP filter để ngăn chặn địa Mail domain truy xuất Publish STMP Server Dùng SMTP filter để ngăn chặn gởi file đính kèm, ta xóa, lưu giữmessage, chuyển message file đính kèm có tên file giống với tên mô tả trongAttachment name:, file đính kèm có phần mở rộng mô tả Textbox Attachment Extensions, file đính kèm có kích thước lớn hay kích thước mô tả textbox Attachment size limit(bytes) - 97 - DNS filter: Được sử dụng để bảo vệ Publish DNS Server để ngăn, chống lại số chế tấncông từ bên vào dịch vụ DNS POP Intrusion Detection filter: Được sử dụng để bảo vệ Publish POP Server để ngăn, chống lạimột số chế công từ bên vào dịch vụ POP SOCKS V4 filter: sử dụng để chấp nhận yêu cầu kết nối SOCKS version SOCKS v4filter mặc định không kích hoạt Thông thường hệ thống Windows không cần sử dụngSOCKS filter ta cài đặt Firewall client máy mà ta muốn chứng thực suốt(transparently authenticate) với ISA firewall Ta enable SOCK v4 fileter để cung cấpdịch vụ SOCK cho host cài đặt Firewall clients Linux Mac hosts Đểenbale SOCK services ta nhấp đôi chuột vào mục SOCK V4 Filter, sau chọn tùy chọn Enable this filter, chọn Networks Tab để chọn interface ISA Firewall cho phép listen port1080 4.3.2.2 Thiết lập lọc Web ISA firewall Web filters sử dụng để ISA firewall lọc kết nối thông qua giao thức HTTP, HTTPS, and FTP tunneled (Web proxied) HTTP Security filter: Là kỹ thuật yếu để thiết lập lọc ứng dụng, HTTP Security filter cho phép ISA firewall thực số chế kiểm tra thông tin ứng dụng(application layer inspection) dựa tất HTTP traffic qua ISA firewall chặn kết nốikhông phù hợp với yêu cầu mô tả HTTP security, để thay đổi HTTP Security Filter ta nhấp đôi chuột vào Web Publishing Rule | Traffic Tab | Filtering | Configure HTTP General Tab: Quy định chiều dài tối đa HTTP Request Header, URL Length, giới hạn thông tin trả có chứa code thực thi, Methods Tab: Điều khiển HTTP method như: GET, PUT, POST, HEAD, SEARCH, CHECKOUT,… Extensions Tab: Giới hạn file extensions thông tin request user, ta có thểblock user truy xuất file có phần mở rộng exe, com, zip Headers Tab: Giới hạn HTTP header thông tin yêu cầu thông tin trả lời từWeb client Signatures Tab: Cho phép điều khiển truy xuất dựa vào HTTP signature Thông tin chữ ký (signatures) dựa vào chuỗi ký tự có HTTP communication ISA Server Link Translator: Link Translator kỹ thuật xây dựng sẵn ISA firewall Web filter để thực biến đổi địa URL cho kết nối user bên truy xuấtvào Web publishing nội bộ, Link Translation dictionary tạo ta kích hoạt (enable) link translation cho Web Publishing Rule Một số Link Translator dictionary mặc định: Bất kỳ kiện xảy Web Site chỉđịnh Tab To Web Publishing Ruleđược thay tên Web Site (hoặc địa chỉIP) Ví dụ, ta đặt luật cho WebPublishing chuyển tất incoming request theo địa http://www.microsoft.com củaClient truy xuất vào ISA Server chuyển tới Web Server nội có tên SERVER1 (có địachỉ192.168.1.1), ISA Server thay tất response http://SERVER1 thành địa http://www.microsoft.com gởi trả lại cho Client bên Nếu không chỉđịnh port mặc định Web listener, port gởi trả lại cho Client Vídụ, có định port mặc định Web listener thông số port loại bỏ thay thếđịa URL trang trả (response page) Nếu Web listener lắng nghe (listening) port 88 giao thức TCP thông tin trả - 98 - cho Web Client có chứa giá trị port 88 giao thức TCP Nếu Client sử dụng HTTPS gởi yêu cầu đến ISA firewall firewall thay thếHTTP thành HTTPS gởi trả Client Ví dụ: Giả sử ISA firewall publish site máy có tên SERVER1 ISA firewall publishsite sử dụng tên (public name) www.msfirewall.org/docs External Web client gởi mộtrequest với thông tin “GET /docs HTTP/1.1Host: www.msfirewall.org” Khi Internet InformationServices (IIS) Server nhận request tự động trả mã số 302 response với header mô tả http://SERVER1/docs/, tên nội (Internal Name) Web server LinkTranslator ISA firewall thay đổi (translates) header trả lời (response header) với giá trịlà http://www.msfirewall.org/docs/ Trong ví dụ số thông tin (entries) tự động thêmvào Link Translation dictionary: http://SERVER1 > http://www.msfirewall.org http://SERVER1:80 > http://www.msfirewall.org https://SERVER1 > https://www.msfirewall.org https://SERVER1:443 >https://www.msfirewall.org Nếu ISA firewall publish site sử dụng Web listener port mặc định(nondefault ports) ( ví dụ: 85 cho HTTP 885 cho SSL),thì địa URL thay đổi nhưsau theo mục ánh xạ địa URL sau: http://SERVER1 >http://www.msfirewall.org:85 http://SERVER1:80 > http://www.msfirewall.org:85 https://SERVER1 > https://www.msfirewall.org:885 https://SERVER1:443 >https://www.msfirewall.org:885 4.3.2.3 Phát Hiện Và Ngăn Ngừa Tấn Công Một số phương thức công thông dụng: Denial-of-Service Attacks: Là kiểu công lợi hại, với kiểu công ,bạn cần máy tínhkết nối đến internet thực việc công đối phương thực chất DoS attacker sẽchiếm dụng lượng lớn tài nguyên Server làm cho Server đáp ứng yêu cầu củangười dùng khác Server nhanh chóng bị ngừng hoạt động hay bị treo Attacker làm trànngập hệ thống tin nhắn, tiến trình, hay gửi yêu cầu đến hệ thống mạng từđóbuộc hệ thống mạng sử dụng tất thời gian để tinnhắn yêu cầu nhiều lúc dẫn đến việc bị tràn nhớ Khi làm tràn ngập liệu cách đơn giản thông thường để phủ nhận dịch vụ attacker không ngoan tắt dịch vụ, định hướng lại thay theo chiều hướng có lợi cho attacker SYN Attack/LAND Attack: cách lợi dụng chế bắt tay số dịch vụ dựa chuẩngiao thức TCP, Client công theo kiểu SYN attack cách gởi loạt SYN packets mà có địachỉ nguồn giả, điều Client làm tràn ngập (flooded) hàng đợi ACK gói SYN/ACK gởicho Client từ Server, đến lúc Server bị tải Ngoài có số phương thức công khác như: Ping of Death, Teardrop, Ping Flood(ICMP Flood), SMURF Attack, UDP Bomb, UDP Snork Attack, WinNuke (Windows Out-of-Band Attack), Mail Bomb Attack, Scanning and Spoofing, Port Scan Để cho phép ISA Firewall dectect ngăn số phương thức công ta truy xuất vào hộp thoại Intrusion Detection cách mở giao diện “Microsoft Internet Security andAcceleration Server 2006 management console”, chọn nút Configuration Chọn nút General, sau ta nhấp chuột vào liên kết “Enable Intrusion - 99 - Detection and DNS Attack Detection” Chọn DNS Attacks Tab để hiệu chỉnh số phương thức ngăn, ngừa công theo dịch vụ DNS IP option filtering: Ta thiết lập số lọc cho giao thức IP để chống lại số chế công dựa vào sốtùy chọn giao thức Để cấu hình ta chọn liên kết Define IP preferences nútConfiguration Câu hỏi ôn tập So sánh khác biệt triển khai ISA server 2006 stand-alone server domain member server Khi cài đặt ISA Server 2006 Edge firewall, phải khai báo thông số Internal network nào? Vẽ mô hình triển khai firewall ISA server 2006 (dựa vào ISA 2006 Network Template) Liệt kê loại client ISA server 2006 Trình bày đặc trưng ISA server 2006 SecureNAT Client Trình bày đặc trưng ISA server 2006 Web Proxy Client Trình bày đặc trưng ISA server 2006 Firewall Client Trình bày bước triển khai ISA server 2006 Firewall Client theo chế automatic detect Trình bày cách cấu hình để Web Proxy Client Firewall Client truy cập trực tiếp server nội mà không cấn thông qua ISA firewall service 10 Khi tiếp nhận luồng thông tin, ISA server 2006 firewall service tham chiếu loại rule: Access rule, System Policy rule, Cache rule, Network rule Yêu cầu xếp lại loại rule theo trình tự - 100 - MỘT SỐ ĐỀ THI MẪU Đề 1: Câu 1: (3 điểm) Hãy viết lệnh T-SQL tạo sở liệu có tên HDANDETAI gồm bảng liệu sau đây: GiangVien(MaGV, TenGV) DeTai(MaDT, TenDT) SinhVien(MaSV, TenSV, Lop, MaDT, MaGVHD, MaGVPB) Trong sinh viên nhận đề tài Các sinh viên nhận đề tài giống Mỗi sinh viên có giáo viên hướng dẫn giáo viên phản biện Câu 2: (4 điểm) Viết câu lệnh truy vấn sở liệu HDANDETAI thực công việc sau: o Hãy thống kê xem giáo viên hướng dẫn phản biện sinh viên: MaGV TenGV SoSVHuongDan SoSVPhanBien o Hãy thống kê xem giáo viên hướng dẫn phản biện đề tài khác nhau: MaGV TenGV SoDeTaiHD SoDeTaiPB o Hãy thống kê xem lớp nhận đề tài khác nhau: Lop SoDeTai o Hãy thống kê xem giáo viên hướng dẫn sinh viên đến từ lớp khác nhau: MaGV TenGV SoLopHuongDan Câu 3: (3 điểm) Hãy xây dựng hàm người dùng UDF để tính tổng giai thừa: F(n) = 1! + 2! + 3! + + n! Đề Câu 1: (3 điểm) Viết lệnh T-SQL để sở liệu QLYNHANSU bao gồm bảng liệu sau: PhongBan(MaPB, TenPB) ChuyenMon(MaCM, TenCM) NhanVien(MaNV, TenNV, MaPB, MaCM, LaTruongPhong) Chú ý: Mỗi phòng ban có nhân viên giữ vị trí trưởng phòng Nhân viên giữ vị trí trưởng phòng trường LaTruongPhong = 1, bình thường mặc định LaTruongPhong = Câu 3: (3 điểm) Hãy viết câu lệnh truy vấn làm nhiệm vụ: Thống kê mã nhân viên tên vị trưởng phòng phòng ban có nhân viên MaNV TenNV TenPB - 101 - Thống kê xem ứng với phòng ban nhân viên phòng ban có chuyên môn khác nhau: MaPB TenPB SoLuongCMBiet Thống kê xem ứng với loại chuyên môn có phòng ban có nhân viên biết chuyên môn đó: MaCM TenCM SoLuongPB Câu 4: (4 điểm) Tạo view làm nhiệm vụ thống kê số lượng nhân viên phòng ban: MaPB TenPB SoLuongNV Tạo Trigger làm nhiệm vụ kiểm soát trình Insert Update bảng NhanVien nhằm đảm bảo cho ứng với phòng ban có nhân viên thiết lập trưởng phòng (có trường LaTruongPhong = 1) Đề Câu 1: (3 điểm) Viết lệnh T-SQL tạo sở liệu QLYBANHANG gồm bảng liệu sau đây: LoaiHang(MaLoai, TenLoai) NhaCungCap(MaNCC, TenNCC, DiaChi, DienThoai) HangNhap(MaHN, MaLoai, MaNCC, SoLuong, DonGia) Câu 3: (3 điểm) Thống kê xem nhà cung cấp cung cấp loại hàng khác nhau: MaNCC TenNCC SoLoaiHang Thống kê xem loại hàng cung cấp nhà cung cấp khác nhau: MaNCC TenNCC SoLoaiHang Thống kê số tiền phải toán cho nhà cung cấp, biết số tiền phải toán ứng với MaHN SoLuong * DonGia: MaNCC TenNCC SoTien Câu 4: (4 điểm) Viết lệnh T-SQL định nghĩa thủ tục thường trú có tên sp_AddHangNhap làm nhiệm vụ thêm ghi vào bảng hàng nhập Dữ liệu nhập vào phải thỏa mãn tất điều kiện sau đây:  Có @MaHN không trùng với MaHN có bảng  Có @MaLoai phải nằm số MaLoai có mặt bảng LoaiHang  Có @MaNCC nằm số MaNCC có mặt bảng NhaCungCap Nếu thêm thành công, thủ tục trả giá trị Nếu liệu không hợp lệ, thủ tục trả giá trị Giả sử người ta không tạo ràng buộc khóa cột MaHN, tạo Trigger làm nhiệm vụ kiểm soát việc Insert, Update bảng HangNhap để đảm bảo tính không trùng lặp liệu nhập vào cột MaHN liệu điền vào cột SoLuong phải thỏa mãn điều kiện 10 < SoLuong < 30 Đề Câu 1: (3 điểm) Viết lệnh T-SQL tạo sở liệu CHOTHUEXE gồm bảng liệu sau đây: - 102 - LoaiXe(MaLoai, TenLoai, DonGiaTheoNgay) KhachHang(MaKhach, TenKhach, DiaChi, DienThoai) Xe(SoXe, MaLoai, TinhTrang) NhatKyThue(SoXe, MaKhach, TuNgay, DenNgay) Câu 3: (4 điểm) Viết câu lệnh truy vấn làm nhiệm vụ sau đây: Thống kê xem khách hàng thuê loại xe khác nhau: MaKhach TenKhach SoLoaiXeDaThue Thống kê xem khách hàng thuê xe khác nhau: MaKhach TenKhach SoLuongXeDaThue Thống kê xem loại xe khách hàng khác thuê: MaLoai TenLoai SoKhachHang Thống kê xem xe khách hàng khác thuê: SoXe SoKhachHang Câu 4: (3 điểm) Hãy viết lệnh T-SQL định nghĩa view thống kê số tiền mà khách phải trả cho lần thuê xe: SoXe MaKhach TuNgay DenNgay SoNgayThue DonGiaTheoNgay ThanhTien Biết SoNgayThue = DenNgay - TuNgay, ThanhTien = SoNgayThue * DonGiaTheoNgay 11 Hãy viết lệnh T-SQL để định nghĩa Trigger kiểm soát việc Insert, Update bảng NhatKyThue cho đảm bảo trường TuNgay DenNgay ngày bắt đầu phải có giá trị nhỏ ngày kết thúc (TuNgay < DenNgay) - 103 -