III Giới thiệu về ISA Server
4.2.ISA Server hoạt động nh một VNP Server.
4. ISA Server bảo mật truy cập internet nh thế nào?
4.2.ISA Server hoạt động nh một VNP Server.
Ngoài việc cho phép ngời dùng trên internet đợc phép truy cập đến các máy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp cho ngời dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội bộ. Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một văn phòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác. Để cho phép
mức độ truy cập nh vậy, nhiều tổ chức đã triển khai VPN (Virtual Private Network - Mạng riêng ảo).
Một VPN là một kết nối mạng bảo mật đợc tạo thông qua một mạng dùng chung nh internet. VPN đợc bảo mật bằng cách sử dụng chứng thực và mã hóa, vì thế, thậm chí nếu gói tin trên mạng bị bắt lấy trên mạng dùng chung thì gói tin đó cũng không thể mở ra hoặc đọc đợc. VPN có thể đợc tạo ra giữa một ngời dùng với mạng nội bộ (Client-to-Site) hoặc giữa hai văn phòng của công ty với nhau (Site-to-Site).
Một ngời dùng có thể kết nối đến internet từ bất kỳ đâu và sau đó kết nối đến ‘gateway’ của VPN. Tất cả gói tin gửi qua internet dùng VPN đợc bảo mật.
ISA Server cung cấp một giải pháp truy cập VPN từ xa đợc tích hợp trong firewall. Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các máy trạm đó đợc đa vào mạng ‘VPN Clients network’. Mạng này đợc xem nh bất kỳ một mạng nào khác trên ISA Server, nghĩa là chúng ta có thể cấu hình quy tắc tờng lửa để lộc tất cả lu thông từ các máy trạm VPN. ISA Server còn cung cấp chức năng giám sát cách ly VPN (VPN quarantine control). ‘VPN quarantine control’ hoãn lại sự truy cập từ xa đến một mạng riêng cho đến khi cấu hình của máy trạm truy cập từ xa đợc kiểm định và công nhận bởi một ‘client-side-script’. Nếu chúng ta bậc ‘VPN quarantine control’, tất cả các máy trạm VPN đợc cho là ‘Quarantined VPN Clients network’ cho đến khi họ vợt qua những sự kiểm tra bảo mật đặc biệt. Chúng ta có thể cấu hình quy tắc tờng lửa để lộc tất cả các lu thông từ các máy trạm trong ‘Quarantine VPN Clients network’ đến bất kỳ mạng nào khác.
ISA Server cũng cho phép VPN site-to-site. Trong kịch bản này, chúng ta cấu hình một ISA Server trong mỗi chi nhánh hoặc văn phòng ở xa nhau. Khi ISA Server ở một nơi nhận lu thông mạng từ một nơi khác, ISA Server sẽ khởi tạo một kết nối VPN Site-to-Site và định tuyến lu thông thông qua nó đến
các nơi khác. Để cấu hình những kết nối VPN Site-to-Site, chúng ta tạo một ‘remote-site network’ trên ISA Server, và sau đó định nghĩa các quy tắc truy cập để giám sát những loại lu thông đợc phép trao đổi giữa các mạng.