Giải pháp xây dựng tường lửa bảo mật mạng bằng ISA Firewall Server 2006

MỤC LỤC

Yêu cầu của công ty

- Nhóm User ở bộ phận kế toán cho phép sử dụng tài nguyên nội bộ như các phần mềm kế toán, được phép truy cập Internet nhưng hạn chế về thời gian truy cập, chỉ được truy cập trong giờ làm việc. (Nhận diện được các hình thức xâm nhập bất hợp pháp, Cảnh báo ngay cho Admin ngay khi có các hiện tượng thăm dò, quét mạng, scan port máy chủ của hacker để có giải pháp phòng chống và triệt tiêu kịp thời các mối đe dọa). - Cung cấp cho user trong công ty sử dụng chức năng Remote Access khi ở ngoài công ty truy xuất thuận tiện cho công việc khi ở xa thông qua mạng Internet.

Giải pháp

- Xây dựng giải pháp VPN Server trên Firewall để cung cấp việc truy xuất các tài nguyên trong mạng doanh nghiệp khi các nhân viên phải đi công tác xa. - Tăng tốc cho hệ thống khi truy cập Internet thông qua hệ thống Cache thông qua Web Proxy trên Firewall ISAServer. - Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet - Ngăn chặn các tấn công, thâm nhập trái phép từ Internet.

CÁC KIẾN THỨC CƠ BẢN

Mạng máy tính là gì?

Ngoài ra, khi tạo mạng, người chủ chỉ cần đầu tư một hoặc vài máy tính có khả năng hoạt động cao để làm máy chủ cung cấp các dịch vụ chính yếu và đa số còn lại là các máy khách dùng để chạy các ứng dụng thông thường và khai thác hay yêu cầu các dịch vụ mà máy chủ cung cấp. Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thống khác…. Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nờn hiểu rừ tầm quan trọng của bảo mật thụng tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker.

Hiểu rừ về Window Server 2003

- Bổ sung tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access) cho phép duyệt các máy tính trong mạng nhưng ở xa thông qua công cụ Network Neughborhood. - Hỗ trợ công tác quản trị từ xa do Windows Server 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps. - Cài đặt tự động thông qua Setup Manager Wizard: để cài đặt tự động chúng ta phải tạo ra file trả lời tự động từ trước.

Dùng chương trình Setup Manager Wizard tạo ra hai file trả lời tự động là Unattend.bat và Unattend.txt, hai file này chứa thông tin mà trong khi cài đặt HĐH sẽ hỏi, thay vỡ chỳng ta phải gừ vào thỡ chỳng ta tạo ra trước và HĐH sẽ lấy những thông tin được nhập vào từ hai file này. Cho đĩa Windows Server 2003 vào ổ CD, cho máy boot từ ổ CD đầu tiên, sau khi ấn một phím bất kì để boot từ CD, hệ thống sẽ load tất cả những phần cứng có trên máy. Các thực hiện đầy đủ các bước mà hệ thống yêu cầu như đăng kí Lisence, chọn phân vùng để chứa bộ cài đặt, và các thông tin cần thiết khác….

Hộp thoại tiếp theo xuất hiện ta nhập Mật khẩu đăng nhập cho tài khoản, bỏ tích chọn ở mục User must change… để không yêu cầu thay đổi mật khẩu ở lần đăng nhập đầu tiên cho mỗi User mình tạo ra. Xuất hiện Wizard để chúng ta đặt địa chỉ Network ID cho truy vấn đảo, chỉ lớp NetID nào được đặt ở đây thì mới có thể truy vấn đảo và thông thường thì NetID này trùng với NetID của truy vấn thuận và trùng với NetID Interface của máy chủ miền. Sau đú để Cập nhật động cho DNS ta vào Run gừ: Cmd, xuất hiện hộp thoại Command Dos ta gừ lệnh: Ipconfig /registerdns.

Trong cửa sổ cmd.exe gừ tiếp Nslookup để kiểm tra DNS đó hoạt động thành công.Phân giải từ tên máy chủ miền sang địa chỉ IP và ngược lại. Start IP address: Địa chỉ IP bắt đầu của khoảng địa chỉ IP mà DHCP có thể gán End IP address: Địa chỉ IP kết thúc của khoảng địa chỉ IP mà DHCP có thể gán Length or Subnetmask: Mặt nạ mạng con dùng để gán cho các DHCP của client. Lựa chọn tiếp theo là đánh tên đầy đủ của domain, tên DNS server, địa chỉ DNS server và các địa chỉ DNS khác mà máy tính có thể gửi truy vấn (thường là DNS của ISP).

Bảng tổng hợp các thiết lập Domain ở các bước trên, chọn NEXT để quá trình lên DC cài đặt
Bảng tổng hợp các thiết lập Domain ở các bước trên, chọn NEXT để quá trình lên DC cài đặt

ISA FIREWALL SERVER 2006

Giới thiệu ISA

Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật và tăng tốc Internet). ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).

+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener + Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules. - ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form- based. - Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).

- Block các kết nối non- encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server. - Stateful filtering and inspection, kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,. - Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site- to- site.

- SDK, công cụ lập trình các giải pháp tích hợp vào ISA 2006 - Có các giải pháp hardware Các tính năng khác.

Cài đặt ISA Server 2006 Firewall

Tất cả các cửa sổ còn lại, chọn NEXT cho đến khi ISA cài đặt xong.

TRIỂN KHAI MÔ HÌNH BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006

Mô hình mạng sử dụng ISA Firewall

- Tạo Rule cho phép các User trong công ty truy cập Web trong giờ làm việc (Giới hạn thời gian truy cập Web). - Tạo Rule cấm tất cả các User truy cập các web có nội dung không tốt - Public Web. - Nhận biết và ngăn chặn các tấn công từ bên ngoài Internet vào Mạng nội bộ.

Triển khai chi tiết các Ruler Access trên ISA Firewall Server 2006

* Mô tả: Với Rule này các User trong mạng sẽ được Firewall Server cho phép truy cập trang Web của công ty http://Vispro.com vào thời gian trong giờ làm việc từ 7hAM - 5hPM vào các ngày từ thứ 2 - thứ 6 trong tuần, các ngày nghỉ và thời gian ngoài giờ sẽ bị Firewall Server cấm, không truy cập được. Chọn All user để cho phép tất cả các User trong công ty truy cập trang web của mình trong giờ làm việc - > chọn Finish để kết thúc quá trình tạo Rule. Chọn Tab Action, chọn option Deny, tích chọn vào Redirect HTTP requests to this Web page: gừ vào địa chỉ của trang Web của cụng ty (http://Vispro.com) để chuyển hướng truy cập khi User truy cập vào trang bị cấm http://Ngoisao.net.

Bây giờ tại các máy client nếu truy cập vào trang http://Ngoisao.net thì sẽ không truy cập được mà chuyển hướng đến trang Web của công ty http://Vispro.com. * Mô tả: Với mục đích phát triển cổng thông tin thương mại điện tử, việc đưa Website của công ty ra Internet nhằm quảng bá thông tin của công ty là nội dung của Rule này. Trong cửa sổ Internal Publishing details, nhập vào địa chỉ trang web nội bộ tại Internal site name và Check vào User a computer…và nhập Brower đến Webserver (hoặc nhập địa chỉ IP của Webserver: 172.16.0.1) - >.

- Trong màn hình Single Sign On Settings, nhấn Next để tiếp tục và quay trở lại với quá trình khai báo các thông số để Public Web Server-. * Mô tả: Với Rule này Firewall Server kiểm soát tất cả các truy cập thông qua Firewall Server để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet vào mạng nội bộ của công ty. Chọn thẻ Action để thiết lập báo cáo các truy cập vào Server từ máy tính ISA đến hòm thư điện tử của Administrator (viethung.it@gmail.com).

* Mô tả: Với Ruler này chúng ta có thể lập lịch để Firewall Server báo cáo thống kê các giao dịch qua Firewall Server, để chúng ta kịp thời phát hiện. * Mô tả: Với Rule này chúng ta tạo bản sao lưu trạng thái ở thời điểm hoạt động tốt nhất cho ISA Firewall Server, khi phần mềm gặp sự cố chúng ta có thể Restore lại trạng thái lúc đó cho ISA Firewall Server, không phải mất thời gian cấu hình lại từ đầu. Khi hệ thống gặp trục trặc, bị lỗi các Rule hoặc phần mềm chúng ta sử dụng đến file backup.xml để khôi phục lại trạng thái ổn định ở thời điểm Backup.