BỘ CÔNG THƯƠNG TRƯỜNG CAO ĐẲNG KĨ THUẬT CAO THẮNG KHOA: ĐIỆN TỬ - TIN HỌC ĐỒ ÁN HỆ THỐNG MẠNG CÀI ĐẶT VÀ QUẢN LÍ ISA 2006 LỜI GIỚI THIỆU Ngày nay, việc trì hệ thống mạng nội hoạt động ồn định, nhanh chóng , an tồn tin cậy vấn đề tổ chức doanh nghiệp đặc biệt quan tâm Trong đó, yếu tố an tồn mạng ln đặt lên hàng đầu Nắm bắt nhu cầu tổ chức doanh nghiệp số tập đồn cơng nghệ thơng tin truyền thông hàng đầu giới đưa nhiều giải pháp Firewall, phần cứng lần phần mềm Một giải pháp bật, tổ chức doanh nghiệp lựa chọn phần mềm Microsoft ISA Server 2006 ISA Server 2006 phần mềm firewall chạy hệ điều hành Windows Server 2006 Service Pack hãng Microsoft Kế thừa ưu điểm phiên trước đó, ISA Server 2006 đem đến cho người dùng giao diện thân thiện, thao tác quản trị đơn giản dễ thực Đồng thời phiên cấu hình để trở thành firewall với đa dạng vai trò như: bảo vệ hệ thống mạng nội tăng tốc độ truy cập web, quản lý băng thông, xuất Web Server, FTP Server, Mail Server, VPN Gateway … Các bước cải đặt cấu hình ISA Server 2006 nhằm bảo đảm an tồn cho hệ thong mạng từ nhỏm trung bình đến hệ thống mạng lớn trình bày chi tiết đồ án ISA ISA Server 2006 viết tắc Internet Security & Acceleration Server 2006 MỤC LỤC Chương 1: CÀI ĐẶT MICROSOFT ISA SERVER 2006      Các nội dung đề cập: Giới thiệu Microsoft ISA Server 2006 Các phiên Microsoft ISA Server 2006 Các vai trò Microsoft ISA Server 2006 Cài đặt Microsoft ISA Server 2006 Giới thiệu chung Microsoft ISA Server 2006 phần mềm , tạo nhằm bảo vệ hệ thống mạng nội bạn trước công từ Internet, đồng thời giúp người sử dụng mạng nội truy cập ứng dụng liệu cách an tồn nhanh chóng Được triển khai tảng hệ điều hành Windows Server 2003 Service Pack 1, ISA Server 2006 cấu hình để đảm nhận vai trò như: Một firewall nhằm bảo vệ hệ thống mạng nội trước kết nối giả mạo, cơng từ bên ngồi, đồng thời điều khiền quyền người sử dụng mạng nội truy cập vào dịch vụ mạng Internet • Một firewall có chức xuất số dịch vụ mạng nội nhằm giúp người dung web truy cập dịch vụ cách an toàn Chẳng hạn, tổ chức hay doanh nghiệp có Web Server Mail Server riêng, họ triển khai ISA Server 2006 để tạo mơi trường an tồn để xuất dịch vụ Internet • Một Proxy Server với chức Web Caching Có nghĩa bạn cấu hình ISA Server để máy chủ lưu trữ nội dung trang web truy cập từ mạng nội vào đĩa cứng khoảng thời gian xác địch Nếu người sử dụng truy cập vào trang web lưu trữ ISA Server khoảng thời gian nêu trên, họ nhận kết cách nhanh chóng Bằng cách này,chúng ta vừa tiết kiệm băng thong, vừa tăng tốc truy cập web cho người dùng • Một VPN Gateway cho kết nối an toàn từ xa vào mạng nội Những kết nối mã hóa nhằm tăng tính bảo mật Chẳng hạn để kết nối văn phòng chi nhánh vào trụ sở chính, cần phải thiết lập kết nối VPN dạng site-to-site VPN Gateway có khả kết nối hai hay nhiều hệ thống mạng dựa hạ tầng Internet ISA Server 2006 gồm có hai phiên bản: Standard Enterprise Trong đó, phiên Standard thiết kế cho người dùng cần bảo vệ hệ thống mạng nhỏ với firewall Cao cấp hơn, phiên Enterprise thiết kế cho hệ thống mạng tầm trung trở lên với hay vài nhóm firewall Với hệ thống mạng phức tạp đòi hỏi mức độ bảo mật cao, nhóm firewall triển khai phần riêng biệt mạng Đồng thời, nhóm bao gồm nhiều firewall với chức giống nhằm mục đích cân tải trọng mạng Cài đặt Microsoft ISA Server 2006 2.1 Yêu cầu hệ thống Để cài đặt ISA Server 2006 Standard Enterprise, bạn cần đảm bảo máy chủ thỏa mãn cấu hình hệ thống phần mềm phần cứng sau: Thành phần Hệ điều hành Bộ vi xử lý Bộ nhớ RAM Đĩa cứng Card mạng Ổ đĩa cài đặt Màn hình Yêu cầu Microsoft Windows Server 2003 32-bit Service Pack Microsoft Windows Server 2003 R2 32-bit Pentium III 733 MHz cao 512 MB cao Định dạng NTFS với dung lượng trống khoảng 150MB Nếu cấu hình với chức Web Caching, bạn cần phải tăng them dung lượng đĩa trống Một card mạng (tương thích với hệ điều hành cải đặt máy chủ) dùng để giao tiếp với mạng nội , card mạng dùng cho hệ thống mạng kết nối vào máy chủ cài đặt ISA Server CD-ROM DVD-ROM VGA hình có độ phân giải cao 2.2 Chuẩn bị trước cài đặt Bạn cần phải cài đặt hệ điều hành Windows Server 2003 với yêu cầu phần mềm phần cứng vừa nêu bảng lên máy chủ Tiếp theo, bạn nên thực số thao tác chuẩn bị sau trước cài đặt ISA Server 2006 Cập nhật hệ điều hành Windows Server 2003 với tất vá service pack Để thực hiện, bạn cần đảm bảo máy chủ kết nối Internet Tiếp theo, bạn vào menu Start, chọn Windows Update Khi trang Windows Update xuất hiện, bạn bấm nút Install Now tiến hành theo hình hướng dẫn để cập nhật hệ thống Hình 1-2: Cập nhật hệ điều hành Windows Server 2003 Thiết lập địa IP cho card mạng giao tiếp với mạng nội Ở bạn càn phải điền địa IP mặt nạ mạng (subnet mask) Nếu dự dịnh kết nối ISA Server vào domain, bạn cần phải điền địa IP Domain Controller mạng nội Lưu ý:Nếu hệ thống mạng nội bạn sử dụng DHCP Server , bạn cần đảm bảo phải điền địa IP thiết lập cho card mạng ISA Server phải loại bỏ khỏi địa DHCP Server cấp cho máy trạm mạng Để thực hiện, trình tạo scope DHCP Server, bước Add Exclusions, bạn cần bỏ sung địa IP ISA Server vào danh sách địa IP không cấp cho máy trạm Bằng cách này, DHCP Server không gán địa ISA Server cho máy khác Để thiết lập địa IP, bạn vào menu Start > Settings > Control Panel nhắp đôi chuột biểu tưởng Network Connections Tiếp theo, bạn chọn card mạng ISA Server dùng để kết nối với mạng nội Ở bước này, bạn nên thay đổi tên card mạng cho dể nhận biết, chẳng hạn Internal hay LAN Để thực hiện, bạn kích chuột phải lên card mạng, chọn Rename điền tên Tiếp theo, bạn kích chuột phải lên card mạng vừa nêu, chọn Properties, chọn Internet Protocol (TCP/IP) bấm nút Properties Đến đây, bạn điền địa IP mặt nạ mạng vào mục IP address Subnet Mask Nếu muốn kết nối ISA Server vào domain, bạn điền địa IP Domain Controller vào mục Preferred DNS server Hình 1-3: Điền địa IP cho card mạng giao tiếp với mạng nội Sau điền xong, bạn bấm nút OK để lưu lại thiết lập vừa thực đóng cửa sổ Control Panel Kết nối ISA Server vào domain Nếu muốn ISA Server trở thành thành viên domain, bạn nên thực bước Bằng cách thiết lập địa IP bước 2, đồng thơi đảm bảo Domain Controller mạng hoạt động tốt, bạn kích chuột phải lên biểu tượng My Computer desktop máy chủ cài đặt ISA Server, chọn Properties Tiếp theo, chọn Computer Name bấm nút Change để kết nối ISA Server vào domain Hình 1-4: Kết nối ISA Server vào domain Thiết lập địa IP cho card mạng giao tiếp với mạng bên thường mạng Internet Để an toàn hơn, bạn nên giữ lại giao thức TCP/IP ngưng tất dịch vụ mạng card Đồng thời, bạn nên hủy kích hoạt NetBIOS DNS Để thực hiện, bạn nhắp đôi chuột lên biểu tượng Network Connection sổ Control Panel Tiếp theo, bạn chọn card mạng dùng để kết nối với mạng bên Ở đây, bạn nên thay đổi tên card mạng thành External hay WAN Đến đây, bạn kích chuột phải lên card mạng vừa nêu, chọn Properties bỏ chọn tất dịch bụ giao thức ngoại trở Internet Protocol (TCP/IP) Hình 1-5:Chỉ sử dụng giao thức TCP/IP Tiếp theo, bạn chọn Internet Protocol (TCP/IP), bấm nút Properties, điền địa IP, mặt nạ mạng gateway vào mục IP address, Subnet mask Default gateway Ở đây, bạn điền địa IP DNS Server Sau điền xong, bạn bấm nút Advanced phía cuối hộp thoại Internet Protocol (TCP/IP) Properties Tiếp theo, tab DNS, bạn bỏ dấu chọn mục Register This connection’s address in DNS.(hình 1-6) Hình 1-6: Hủy việc đăng ký địa IP card mạng DNS Kế bên, tab WINS, bạn bỏ dấu chọn mục Enable LMHOSTS lookup đánh dấu chọn mục Disable NetBIOS over ICP/IP.(hình 1-7) Hình 1-7: Hủy LMHOSTS lookup NetBIOS over TCP/IP Sau điền xong, bạn bấm nút OK để lưu lại thiết lập vừa thực đón cửa sổ Control Panel 2.3.Cài đặt ISA Server 2006 Enterprise Sau hoàn thành thao tác chuẩn bị, bạn tiến hành cài đặt ISA Server 2006 Enterprise theo bước sau: Đưa đĩa CD chứa nguồn cài đặt ISA Server 2006 Enterprise vào ổ đĩa CD/DVD Nếu chương trình cài đặt khơng tự động xuất hiện, bạn nhấp đôi chuột lên file isaautorun.exe đĩa CD thư mục chứa nguồn cài đặt ISA Server Trong hình Microsoft ISA Server 2006 Setup, bạn nhắp đôi chuột lên biêu tượng Install ISA Server 2006 để bắt đầu tiến trình cài đặt Hình 1-8: Bắt đầu tiến trình cài đặt ISA Server 2006 Trong hình Welcome, bạn bấm nút Next (hình 1-9) Hình 1-9: Khởi động trình cài đặt ISA Server 2006 Trong hình License Agreement, bạn chọn I accept the terms in the license agreement để đồng ý với điều khoản quyền Microsoft Sau chọn xong, bấm nút Next (hình 1-10) Hình 1-10: Đồng ý với quyền sử dụng ISA Server 2006 Trong hình Customer Information,bạn điền thơng tin cần thiết vào mục User Name Organization Ở đây, bạn cần phải nhập dãy khóa tương ứng với ISA Server 2006 Enterprise Nếu sử dụng phiên dùng thử Microsoft cung cấp vòng 180 ngày, dãy khóa tự động xuất Sau thực xong, bấm nút Next Hình 1-11: Điền dãy khóa thơng tin khách hàng Lưu ý: Với ISA Server 2006 phiên Standard, sau bước này, hình Setup Type, bạn chọn Typical tiếp tục thực từ bước 10 trở sau Trong hình Setup Scenarios, bạn chọn Install both ISA Server services and Configuration Storage server để cài dịch vụ liên quan đến ISA Server tạo máy chủ lưu trữ file cấu hình liên quan Sauk hi chọn xong, bấm nút Next (hình 1-12) Hình 1-12:Cài dịch vụ ISA Server lưu trữ file cấu hình Trong hình Component Selection, bạn chấp nhận thiết lập mặc định bấm nút Next Trong hình Enterprise Installation Options, bạn chọn Create a new ISA Server Enterprise bấm nút Next (hình 1-13) Hình 1-13: Tạo ISA Server Enterprise Trong hình New Enterprise Warning, cảnh báo việc người quản trị nên tạo ISA Server Enterprise nhằm đơn giản hóa hoạt động quản trị Nếu mạng có Configuration Stiorage Server, bạn nên quay trở lại bước trước chọn mục Create a replica of the enterprise configuration Sau đọc kỹ cảnh báo, bạn bấm nút Next Hình 1-14: Cảnh báo việc nên tạo ISA Server Enterprise 10.Trong hình Internal Network, bạn bấm nút Add để bổ sung dãy địa IP tương ứng với mạng nội Có ba cách để thực theo cách Cách thứ nhất, bạn bấm nút Add Range tự điền dãy địa IP tương ứng Ở đây, chúng tơi thực theo cách này.(Hình 1-15) Hình 1-15:Bổ sung dãy địa IP cho mạng nội với Add Range Cách thứ 2, bạn bấm nút Add Private chọn dãy địa dành riêng cho mạng nội bộ.(Hình 1-16) Hình 1-16: Bổ sung địa IP cho mạng nội với Add Private Với cách thứ 3, bạn bấm nút Add adapter chọn card mạng ISA Server kết nối với mạng nội Hình 1-17:Bổ sung địa IP cho mạng nội với Add Adapter Sau bổ sung dãy địa IP tương ứng với mạng nội xong, bạn bấm nút Next 11.Trong hình Firewall Client Connections, bạn đánh dấu chọn mục Allow non-encrypted Firewall client connections muốn ISA Server 2006 chấp nhận kết nối từ Firewall Client dạng khơng mã hóa Sauk hi chọn xong, bấm nút Next Hình 1-18: Chấp nhận kết nối từ Firewall Client dạng khơng mã hóa 12.Trong hình Services Warning , bạn nhận thong tin số dịch vụ máy chủ khởi động lại hay hủy kích hoạt cài đặt ISA Server Sau chắn việc thay đổi trạng thái dịch vụ không làm ảnh hưởng đến hệ thống mạng mình, bạn bấm nút Next Hình 1-19: Một số dịch vụ khởi động lại hay hủy kích hoạt 13.Trong hình Ready to Install The program, bạn bấm nút Install để cài đặt ISA Server 2006 lên máy chủ Hình 1-20: Cài đặt ISA Server lên máy chủ 14.Trong mành ình Installation Wizard Conpleted, bạn bấm nút Finish để hồn thành tiến trình cài đặt ISA Server 2006 Enterprise Hình 1-21: Hồn thành tiến trình cài đặt ISA Server Nâng cấp từ ISA Server 2004 lên 2006 • So với phiên 2004, ISA Server 2006 khác biệt nhiều giao diện, mơ hình mạng cách thức cấu hình ISA server đóng vai trò bảo vệ hệ thống nội Những cải tiến điểm ISA Server 2006 tập trung chủ yếu vào khả nặng bảo đảm an tồn cho ứng dụng Web, bật chức nặng như: Web publishing Load Balancing: Đây chứng giúp ISA Server 2006 tự động phân phối cách cân yêu cầu ngoiwf dụng đến nhóm Web Server xuất • Hổ trợ khả thay đổi mật form đăng nhập: ISA Server 2004 không hổ trợ viêc jthay đổi mật sử dụng Formsbase authentication Trong đó, ISA Server 2006 tích hợp tính form đăng nhập, giúp người dùng dễ dàng thay đổi mật Ngoiwf quản trị hệ thống thực thi thao tác cấu hình phức tạp ISA Server • Hỗ trợ hình thức tùy biến cho Forms-based authentication: ISA 2004 hỗ thợ forms-based authentication với trang web OWA (Outlook Web Access), không hổ trợ khả tùy biến form Với ISA Server 2006, bạn sử dụng forms-based authentication trang web nào, đồng thời khả tùy biến form hỗ trợ • Hỗ trợ single sign-on: Trên ISA Server 2004, người dùng phải thực thao tác chứng thực lại cho dù họ kết nối đến Web Server tên miền với Web Server ban đầu Với ISA Server 2006, tính single sign-on kích hoạt có nghĩa là, người sử dụng truy cập nhóm website xuất với lần chứng thực • Chứng thực LDAP với Web Publishing Rules: với ISA Server 2004, máy chủ ISA Server thành viên domain, bạn phải dùng đến chứng thực RADIUS (Remote Authentication Dial In User Service) với Web Publishing Rules Tuy nhiên, RADIUS hạn chế giao thức khơng cho phép Administrator tận dụng Active Directory Group Nhưng với ISA Server 2006, bạn sử dụng giao thức LDAP ( Lightweight Directory Access Protocol) để chứng thực qua Active Directory mà khơng cần cấy hình ISA Server trở thành thành viên domain • Cross-Array Link translation: tính cho phép ISA Server 2006 chuyên tên máy chủ nội chứa lien kết nội dung website thành tên máy chủ thật Internet, nội dung web xuất nhóm firewall khác • Hỗ trợ xuất Configuration Storage Server: ISA server 2006 cho phép bạn kết nối từ ISA Server chi nhánh đến configuration Storage Server trụ sở chính, lien kết site-to-site VPN chi nhánh trụ sở bị ngưng hoạt động • Các trình hỗ trợ cấu hình quản lý: ngồi ra, ISA Server 2006 giúp người quản trị hệ thống đơn giản hóa thao tác cấu hình cách cung cấp trình hổ trợ như: Outlook Web Access Publishing Wizard, Share Point Portal Server Publishing Wizard… Trong phần này, bạn khảo sát phương pháp nâng cấp ISA Server 2004 lên 2006 hai phiên Standard Enterprise  ... đích cân tải trọng mạng Cài đặt Microsoft ISA Server 2006 2.1 Yêu cầu hệ thống Để cài đặt ISA Server 2006 Standard Enterprise, bạn cần đảm bảo máy chủ thỏa mãn cấu hình hệ thống phần mềm phần... 2.3 .Cài đặt ISA Server 2006 Enterprise Sau hoàn thành thao tác chuẩn bị, bạn tiến hành cài đặt ISA Server 2006 Enterprise theo bước sau: Đưa đĩa CD chứa nguồn cài đặt ISA Server 2006 Enterprise vào... lượng đĩa trống Một card mạng (tương thích với hệ điều hành cải đặt máy chủ) dùng để giao tiếp với mạng nội , card mạng dùng cho hệ thống mạng kết nối vào máy chủ cài đặt ISA Server CD-ROM DVD-ROM