XY DNG H THNG BO MT MNG THễNG QUA ISA FIREWALL SERVER 2006 TRờng đại học vinh Khoa công nghệ thông tin === === thái viết hùng xây dựng hệ thống bảo mật mạng xây dựng hệ thống bảo mật mạng thông qua isa firewall server thông qua isa firewall server 2006 2006 đồ án TốT NGHIệP kỹ s đồ án TốT NGHIệP kỹ s cntt cntt Vinh, 5/2010 SVTH: THI VIT HNG GVHD: PGS.TS. MAI VN TRINH1 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 =  = LỜI CẢM ƠN Em xin chân thành cảm ơn các Thầy, Cô giáo đã tận tình giảng dạy trong suốt 5 năm học tại trường Đại học Vinh, đặc biệt là các Thầy, Cô giáo khoa Công Nghệ Thông Tin trường Đại học Vinh, các bạn trong lớp đã động viên, giúp đỡ trong suốt quá trình nghiên cứu và thực hiện Đồ án. Lời cảm ơn sâu săc nhất đó chính là gia đình, những người đã động viên, giúp đỡ và tạo điều kiện thuận lợi nhất giúp em hoàn thành đồ án này. Đặc biệt, em gửi lời cảm ơn trân trọng nhất tới Thầy giáo hướng dẫn PGS. TS. Mai Văn Trinh, phó khoa Công Nghệ Thông Tin, giảng viên khoa Công Nghệ Thông Tin trường Đại học Vinh đã hết lòng giúp đỡ, hướng dẫn, chỉ dạy tận tình trong suốt quá trình em hoàn thành Đồ án tốt nghiệp. Trong khuôn khổ cho phép của một Đồ án tốt nghiệp còn nhiều hạn chế, em mong nhận được sự đóng góp từ phía Thầy Cô và bạn bè để có thể hoàn thiện đề tài này trong một công trình khác về sau. Kính chúc toàn thể các Thầy, Cô giáo và các bạn luôn mạnh khỏe, hạnh phúc. Vinh, ngày 10 tháng 05 năm 2010 Sinh viên thực hiện: Thái Viết Hùng SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH2 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 BẢNG DANH MỤC CÁC TỪ VIẾT TẮT Dạng viết tắt Dạng đầy đủ và Nghĩa ISA Internet Security and Acceleration: Phần mềm An ninh và tăng tốc Internet IP Internet Protocol: Giao thức giao tiếp mạng Internet TCP/IP Transmission Control Protocol/ Internet Protocol: Giao thức mạng DNS Domain Name System: Hệ thống phân giải tên miền DHCP Dynamic Host Configuration Protocol: Hệ thống giao thức cấu hình IP động OU Organization Unit: Đơn vị tổ chức Nhóm trong miền HTTP Hyper Text Transfer Protocol: Giao thức truyền file dưới dạng siêu văn bản USER User: Tài khoản người dùng DC Domain Controller: Hệ thống tên miền NIC Network Interface Controller: Cạc giao tiếp mạng SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH3 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 LỜI MỞ ĐẦU Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp, tài chính, mức lương nhân viên,… đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Vì vậy ngay trong ghế nhà trường tôi sinh viên với sự nhiệt tình ham tìm hiểu dưới sự hướng dẫn tận tình của quý thầy cô. Đang dần hoàn thiện kiến thức của mình về công nghệ thông tin cùng các ứng dụng của nó. Em thực hiện tìm hiểu vấn đề đang dần được áp dụng rộng rãi cho thị trường, được rất nhiều các công ty lớn nhỏ áp dụng. Đó là vấn đề “Bảo mật cho hệ thống mạng máy tính của doanh nghiệp thông qua công cụ ISA Firewall Server 2006”. Quá trình tìm hiểu những vấn đề nêu trên dưới sự hướng dẫn của thầy giáo PGS. TS. Mai Văn Trinh. Ngoài việc tìm hiểu các tài liệu chuyên ngành em có tìm hiểu thêm các thông tin trên mạng và trao đổi thông tin với bạn bè. Do thời gian và kiến thức có hạn nên bài viết còn nhiều hạn chế, rất mong được sự góp ý của các Thầy, Cô giáo cùng các bạn. Thu được kết quả như vậy, em xin chân thành cảm ơn Khoa công nghệ thông tin đã tạo điều kiện cho em được tìm hiểu những lĩnh vực trên. Và chân thành cảm ơn thầy giáo hướng dẫn PGS. TS. Mai Văn Trinh đã nhiệt tình giúp đỡ trong thời gian qua. Vinh, tháng 05 năm 2010 SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH4 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 MỤC LỤC 1 LỜI CẢM ƠN . Thái Viết Hùng . BẢNG DANH MỤC CÁC TỪ VIẾT TẮT . Dạng viết tắt Dạng đầy đủ và Nghĩa ISA 3 Internet Security and Acceleration: Phần mềm An ninh và tăng tốc Internet . IP 3 Internet Protocol: Giao thức giao tiếp mạng Internet TCP/IP 3 Transmission Control Protocol/ Internet Protocol: Giao thức mạng . DNS 3 Domain Name System: Hệ thống phân giải tên miền DHCP 3 Dynamic Host Configuration Protocol: Hệ thống giao thức cấu hình IP động . OU 3 Organization Unit: Đơn vị tổ chức Nhóm trong miền . HTTP 3 Hyper Text Transfer Protocol: Giao thức truyền file dưới dạng siêu văn bản USER 3 User: Tài khoản người dùng . DC 3 Domain Controller: Hệ thống tên miền NIC 3 Network Interface Controller: Cạc giao tiếp mạng LỜI MỞ ĐẦU Phần 1 TỔNG QUAN ĐỀ TÀI 1.1. Lý do chọn đề tài .8 1.2. Phương pháp thực hiện đề tài 9 SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH5 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 1.3. Công cụ cài đặt 9 Phần 2 KHẢO SÁT TÌNH HÌNH THỰC TẾ 2.1. Tình hình thực tế của công ty 10 2.2. Yêu cầu của công ty .11 2.3. Giải pháp 12 Phần 3 CÁC KIẾN THỨC CƠ BẢN 3.1. Mạng máy tính là gì? .13 3.1.1. Khái niệm 13 3.1.2.Các ứng dụng của mạng máy tính: 13 3.2. Firewall là gì ? .15 3.2.1. Chức năng chính .17 3.2.2. Phân loại Firewall .17 3.2.3. Nhiệm vụ của Firewall .18 3.3. Hiểu rõ về Window Server 2003 .20 3.3.1. Giới thiệu về Window Server 2003 .20 3.3.2. Hướng dẫn cách cài đặt Window server 2003 21 3.3.3. Nâng cấp Domain cho Windows Server 2003 .23 3.3.4. Tạo các tài khoản Nhóm, người dùng (OU, User) .24 3.3.5. Cài đặt và Cấu hình DNS (Dịch vụ phân giải tên miền cho Máy chủ Miền) .27 3.3.6. Cài đặt và Cấu hình DHCP (Dịch vụ cấp phát động địa chỉ IP cho Mạng) 32 3.3.7. Xây dựng Webserver cho công ty 36 3.3.8. Join máy tính ISA,máy tính User vào Domain của công ty Vispro.com 38 Phần 4 ISA FIREWALL SERVER 2006 4.1. Giới thiệu ISA 39 4.2. Cài đặt ISA Server 2006 Firewall .42 Phần 5 TRIỂN KHAI MÔ HÌNH BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 5.1. Mô hình mạng sử dụng ISA Firewall 44 5.2 Triển khai chi tiết các Ruler Access trên ISA Firewall Server 2006 46 5.2.1. Cho phép các User truy vấn DNS .46 * Mô tả: Với Rule này Firewall server cho phép tất cả các người dùng có thể thực thi được các truy vấn trực tiếp lên các DNS Server trên mạng Internet .46 * Thực hiện: 46 Click phải chuột Firewall policy - > New - > Access Rule, hộp thoại xuất hiện nhập tên của rule: DNS Query vào mục Access rule name 46 SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH6 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 5.2.2. Tạo Ruler access cho phép Internal và ISA ra Internet 48 * Mô tả: Với Rule này Firewall Server cho phép các máy tính trong mạng truy cập Internet 48 * Thực hiện: 48 5.2.3. Cho phép các User trong công ty truy cập Website Vispro.com trong giờ làm việc (7hAM - 5hPM từ thứ 2 đến thứ 6) 51 * Mô tả: Với Rule này các User trong mạng sẽ được Firewall Server cho phép truy cập trang Web của công ty http://Vispro.com vào thời gian trong giờ làm việc từ 7hAM - 5hPM vào các ngày từ thứ 2 - thứ 6 trong tuần, các ngày nghỉ và thời gian ngoài giờ sẽ bị Firewall Server cấm, không truy cập được 51 * Thức hiện: 51 5.2.4. Cấm truy cập các trang Web có nội dung không tốt 53 * Mô tả: Với Rule này các User trong mạng sẽ bị cấm truy cập vào các trang web có nội dung xấu, các trang Web bị cấm đó sẽ được chúng ta tự định nghĩa và liệt kê vào danh sách bị cấm trong Firewall Server. Người dùng cố tình truy cập vào các trang web đó sẽ được chuyển hướng đến trang Web của công ty 53 5.2.5. Public Web của công ty Vispro ra Internet để người dùng ngoài mạng có thể truy cập vào Website Vispro 57 * Mô tả: Với mục đích phát triển cổng thông tin thương mại điện tử, việc đưa Website của công ty ra Internet nhằm quảng bá thông tin của công ty là nội dung của Rule này. .57 * Thực hiện: 57 5.2.6. Cấu hình Intrusion Detection .62 5.2.7. Báo cáo thống kê các giao dịch thông qua ISA Firewall Server 2006 .64 * Mô tả: Với Ruler này chúng ta có thể lập lịch để Firewall Server báo cáo thống kê các giao dịch qua Firewall Server, để chúng ta kịp thời phát hiện và đưa ra phương pháp ngăn chặn các truy cập trái phép 64 * Thực hiện thống kê, báo cáo: 65 5.2.8. Backup và Restore 68 * Mô tả: Với Rule này chúng ta tạo bản sao lưu trạng thái ở thời điểm hoạt động tốt nhất cho ISA Firewall Server, khi phần mềm gặp sự cố chúng ta có thể Restore lại trạng thái lúc đó cho ISA Firewall Server, không phải mất thời gian cấu hình lại từ đầu .68 * Thực hiện: 68 KẾT LUẬN . HƯỚNG PHÁT TRIỂN CỦA ĐỒ ÁN TÀI LIỆU THAM KHẢO SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH7 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 Phần 1 TỔNG QUAN ĐỀ TÀI 1.1. Lý do chọn đề tài Vấn đề bảo mật đã và đang là một đề tài hết sức nóng bỏng. Vì dữ liệu là quan trọng là cả một tài sản của một tổ chức, do đó bảo mật dữ liệu là vấn đề được các tổ chức quan tâm hàng đầu. Các hệ thống máy tính lưu giữ rất nhiều thông tin và tài nguyên cần được bảo vệ. Trong một công ty, những thông tin và tài nguyên này có thể là dữ liệu kế toán, thông tin nguồn nhân lực, thông tin quản lý, bán hàng, nghiên cứu, sáng chế, phân phối, thông tin về nhà máy và thông tin về các hệ thống nghiên cứu. Đối với rất nhiều công ty, toàn bộ dữ liệu quan trọng của họ thường được lưu trong một cơ sở dữ liệu và được quản lý và sử dụng bởi một chương trình phần mềm. Các tấn công vào hệ thống có thể xuất phát từ những đối thủ kinh doanh, khách hàng, những nhân viên biến chất. Nếu như một tổ chức yếu kém vể bảo mật Attacker có thể trực tiếp tấn công thẳng vào hệ thống mạng và lấy đi những dữ liệu quý báu. Vì những lí do đó cùng với niềm đam mê của mình là Quản trị mạng nên em chọn đề tài: “Xây dựng hệ thống Bảo mật mạng thông qua ISA Firewall Server 2006”. Với mục đích tìm hiểu và đưa ra những phương thức bảo mật cho doanh nghiệp có thể hạn chế tối đa những kẻ tấn công trái phép, đảm bảo hệ thống hoạt động an toàn hơn. Ngoài ra với ý thức học hỏi tiếp cần với những yêu cầu từ thực tế. Khi chưa có khả năng sáng tạo ra cái mới. Trước hết cần làm được những cái đã có.Nên em chọn “Xây dựng hệ thống Bảo mật mạng thông qua ISA Firewall Server 2006” vừa có tính ứng dụng thực tế vừa có cơ hội cho mình nghiên cứu thực tiễn. SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH8 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 1.2. Phương pháp thực hiện đề tài Bài toán được thực hiện dựa trên kết quả khảo sát và phân tích thực trạng hệ thống mạng và các vấn đề bảo mật của Công ty cổ phần phát triển công nghệ thông tin Vispro, tìm hiểu các tài liệu về xây dựng hệ thống mạng doanh nghiệp, an ninh, bảo mật hệ thống mạng máy tính của doanh nghiệp… 1.3. Công cụ cài đặt - Phần mềm Firewall ISA Server 2006 trên máy tính sử dụng hệ điều hành Window Server 2003. - Các máy tính sử dụng hệ điều hành Window Server 2003, XP, Vista… - Các phần mềm hỗ trợ: Phần mềm giả lập máy ảo WMware Work Station 6.0, Photoshop 7.0… SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH9 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 Phần 2 KHẢO SÁT TÌNH HÌNH THỰC TẾ 2.1. Tình hình thực tế của công ty Hiện tại công ty cổ phần phát triển công nghệ thông tin Vispro có một hệ thống mạng gồm 15 máy tính, trong đó có: - 01 File Server sử dụng hệ điều hành Windown Server 2003 làm nhiệm vụ quản lý các tài nguyên của hệ thống - 14 máy tính clinet sử dụng hệ điều hành Windown XP cho các bộ phận giám đốc, kế toán, nhân sự, kinh doanh. - Có 01 swicht nối vào Route ADSL để sự dụng Internet. Mô hình mạng tổng quát của công ty như sau: Mô hình tổng quát Hệ thống mạng hiện tại của công ty đang hoạt động theo mô hình Workgroup nên vẫn còn nhiều hạn chế về vấn đề bảo mật như sau: - Không quản trị tài nguyên tập trung SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH10 . QUA ISA FIREWALL SERVER 2006 TRờng đại học vinh Khoa công nghệ thông tin === === thái viết hùng xây dựng hệ thống bảo mật mạng xây dựng hệ thống bảo mật. Internet thông qua Firewall. SVTH: THÁI VIẾT HÙNG GVHD: PGS.TS. MAI VĂN TRINH11 XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 - Xây dựng