Dịch vụ Proxy

Một phần của tài liệu Báo cáo thực tập "Giới Thiệu Hệ Điều Hành Window Server 2003" pps (Trang 94 - 103)

1.Giới thiệu về dịch vụ Proxy

Một proxy server, giống như firewall (bức tường lửa), được thiết kế để bảo vệ tài nguyên trong các mạng cục bộ khi nối kết các mạng khác như mạng Internet. Chúng ta cũng khó phân biệt sự khác nhau giữa proxy server và firewall. Bạn có thể nghĩ rằng proxy là dịch vụ chạy trên firewall, nơi mà firewall là một server vật lí nằm giữa Internet và mạng cục bộ. Tổng quát, firewall cung cấp điều khiển mở rộng để lọc và

giám sát thông tin ra vào mạng. Ví dụ, firewall có thể thực thi dịch vụ lọc gói dữ liệu ở tầng mạng (network layer) để đóng gói dữ liệu mà có địa chỉ nguồn riêng biệt hay dành cho một dịch vụ nào đó. Dịch vụ proxy chạy trên firewall ở mức ứng dụng cung cấp một hệ thống điều khiển truyền tải tinh vi.

Một firewall chạy dịch vụ proxy cho nhiều loại ứng dụng của Internet cần được kiểm soát. Ví dụ HTTP proxy điều khiển những dịch vụ Web, trong khi FTP proxy kiểm soát dịch vụ truyền tải tập tin. Chú ý rằng một server vật lý chạy dịch vụ proxy có hai card mạng, một nối kết với mạng cục bộ và một nối kết với Internet. Nó cũng được gọi là hệ thống dual-homed hoặc là multihomed.

Một dual-homed proxy srever không thi hành chức năng định tuyến giữa các card mạng. Các gói dữ liệu chỉ được truyền giữa các mạng sau khi truyền qua các chồng giao thức và qua những dịch vụ proxy nếu được cho phép. Nếu dịch vụ proxy không dành cho một ứng dụng nào đó, không một dữ liệu nào liên quan đến ứng dụng đó được đi qua proxy server. Với sự thiết lập như thế, khi được thi hành đúng đắn, ngăn chặn kẻ phá hoại bên ngoài phá vỡ hệ thống bên trong.

Dịch vụ proxy là dịch vụ một chiều ngăn cản người dùng Internet cố tình truy cập mạng cục bộ. Các dịch vụ nầy được thiết kế cho người dùng dịch vụ mạng cục bộ. Chỉ có những gói dữ liệu được yêu cầu của người dùng mạng cục bộ mới được truyền qua qua firewall.

Ví dụ, giả sử một trạm làm việc của mạng cục bộ muốn truy cập vào một Web server trên Internet. Dịch vụ HTTP proxy chạy trên firewall chặn đứng gói dữ liệu HTTP của người dùng, đóng gói lại dữ liệu và truyền yêu cầu đã đóng gói lại tới Web server trên Internet. Gói dữ liệu chứa địa chỉ nguồn IP của proxy server, không phải địa chỉ IP của trạm làm việc của người dùng. Nhìn bề ngoài, chúng giống như là tất cả các gói dữ liệu được truyền từ proxy server, nơi cung cấp một mức an toàn bảo mật tất cả các địa chỉ bên trong. Khi một Web server trả lời các yêu cầu, proxy server nhận và chuyển các trả lời nầy đến các trạm làm việc cục bộ. Thuận lợi của phương pháp nầy là các mạng cục bộ không phải thích ứng với các chuẩn đánh địa chỉ của Internet, một yếu tố quan trọng khi mà Internet chạy không dựa trên địa chỉ IP.

Vì lý do an toàn, các gói dữ liệu đi vào sẽ được kiểm virút hay khả năng thay đổi dữ liệu bởi những kẻ phá hoại bên ngoài. Proxy server có thể tạo một bộ mã hóa trên Web server ngăn sự phá hoại các tài nguyên hữu dụng.

Proxy server cũng có chức năng bộ đệm quan trọng. Vì nó là vị trí trung tâm để người dùng mạng cục bộ có thể truy cập mạng Internet, một proxy server có thể lưu trữ các tài liệu được truy cập thường xuyên trên Internet và cho phép người dùng mạng cục bộ truy cập chúng khi cần thiết. Ví dụ như, hàng ngàn người dùng có thể truy cập mục hài Dilbert mỗi ngày. Nếu một công ty có một máy proxy server lưu trữ, mục hài nầy sẽ được lưu trữ đầu tiên trong ngày. Người dùng sau sẽ truy cập mục nầy từ máy lưu trữ nội bộ mà không phải từ Web site của Dilbert.

Vì proxy server kiểm soát các gói dữ liệu cho người dùng mạng cục bộ nên nó cũng dễ dàng kiểm tra virút, lọc dữ liệu và điều khiển truy cập. Các gói chứa dữ liệu không mong muốn có thể được loại bỏ.

Những proxy server cung cấp dịch vụ proxy cho các ứng dụng như HTTP, FTP, Telnet, và các giao thức Internet khác. Có những proxy tương thích cho nhiều ứng dụng khác nhau. Trường hợp đặc biệt, các trạm làm việc phải chạy phần mềm đặc biệt để truy cập firewall. Ví dụ, proxy server của Microsoft cho phép máy chạy giao thức IPX (Internetowrk Packet Exchange) truy cập proxy server với phần mềm đặc biệt. Ngoài ra, các proxy server có thể sử dụng SOCKS, một giao thức xác nhận, đòi hỏi trạm làm việc phải có phần mềm để truy cập SOCKS.

SOCKS là một hệ thống proxy tổng quát cung cấp các đặc tính an toàn mở rộng như kiểm toán, quản trị, sửa lỗi và báo động. Nó được định nghĩa trong IETF (Internet Engineering Task Force) RFC 1928, mà bạn có thể đọc ở các địa chỉ bên dưới. Nhiều proxy server thương mại dựa trên SOCKS.

ISA Server là gì?

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet và cũng là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory),

giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa.

2.1 Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng. )

2.1.1 Về khả năng Publishing Service

- ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins. - Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).

- Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server

- Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.

2.1.2 Khả năng kết nối VPN

- Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được tích hợp hoàn toàn Quanratine.

- Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ...

- Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác).

Về khả năng quản lý

- Backup và Restore đơn giản.

- Cho phép ủy quyền quản trị cho các User/Group - Log và Report chi tiết cụ thể.

- Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise)

- Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA 2000, 2004 ) - Tích hợp với giải pháp quản lý của Microsoft: MOM, SDK

Các tính năng khác

- Hỗ trợ nhiều CPU và RAM ( bản standard hỗ trợ đến 4CPU, 2GB RAM) - Max 32 node Network Loadbalancing

- Hỗ trợ nhiều network,

- Route/NAT theo từng network, - Firewall rule đa dạng

- IDS

- Flood Resiliency: - HTTP compression - Diffserv

3.Các Vấn đề Cần Lưu ý Khi Triễn Khai Cài đặt Isa Server 2006

3.1. Cấu hình máy chủ cần thiết

CPU Intel hoặc AMD tối thiểu 773 MHz. RAM tối thiểu 512MB.

Tối thiểu 01 card mạng (nếu chỉ dùng ISA làm proxy server). Đĩa cứng trống tối thiểu 150MB, định dạng NTFS.

Hệ điều hành Windows server 2003 SP1 32 bit hoặc Windows Server 2003 R2 32 bit Băng thông internet và cấu hình đề nghị tương ứng:Băng thông: đến 25 Mbps

RAM: 512 MB

Card mạng: 10/100 Mbps

Số kết nối VPN đồng thời tối đa: 700 Băng thông: đến 90 Mbp

CPU: Dual core 2 đến 3 GHz RAM: 2 GB

Card mạng: 100/1000 Mbps

Số kết nối VPN đồng thời tối đa: 2000

3.2. Hoàn chỉnh bảng định tuyến (routing table)

Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định (default route) hướng đến cổng (gateway) phù hợp và phải có đủ các định tuyến (route) đến mọi mạng con (network - subnet) trong nội bộ. Trong hầu hết các mô hình mạng thông dụng, định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên card mạng mà ISA dùng để kết nối internet.

Theo nguyên tắc định tuyến, chỉ có thể có 01 default gateway khả dụng (nghĩa là chỉ có 01 định tuyến mặc định khả dụng); vì thế, phải tạo thêm các định tuyến đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần mạng trong nội bộ

3.3. Chú ý thông số DNS

Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năng phân giải được các tên miền (DNS name) của nội bộ và của internet. Để thoả yêu cầu này, chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với mạng nội bô - internal interface)

Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ internet (ISP). Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này sẽ dẫn

Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS - nghĩa là không có domain - thì thông số DNS được cấu hình trên card mạng nối internet (external interface) là địa chỉ IP máy chủ DNS của ISP.

3.4. Tinh chỉnh cấu hình external interface

Để tăng cường bảo vệ chính máy ISA, cần thiết lập các hạn chế trên external interface: - External interface properties: bỏ các dấu kiểm "Client for Microsoft Networks" và "File and Printer Sharing for Microsoft Networks"

- External interface properties > Internet Protocol (TCP/IP) properties > nút Advanced > tab WINS: bỏ dấu kiểm "Enable LMHOSTS lookup" và chọn "Disable NetBIOS over TCP/IP"

3.5. Cài ISA trên một máy chủ "sạch"

Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller cũng "tê liệt " nốt. Nếu nhân viên bảo vệ đồng thời là ... giám đốc doanh nghiệp thì ... xin miễn ý kiến!!!

3.6. Nên cài ISA trên stand-alone server hay domain member server?

Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan hệ luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông qua ISA để "với tới" Active Directory service hay domain controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được domain user nếu không thông qua RADIUS server

Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa "lộ trình" đến AD của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ ... phức tạp hơn. Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên domain member server. Khi cấu hình các rule với quyền của domain administrator, có thể triển khai kiểm soát và chứng thực được domain user.

Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật với độ phức tạp cấu hình và ... túi tiền. Xét trên khả năng chặn lọc hữu hiệu của ISA, đa số

tổ chức thiên về phương án giảm độ phức tạp và bảo toàn ... ngân quỹ tức cài ISA trên domain member server.

Tuy nhiên, các bước cài đặt là như nhau trên cả hai môi trường

3.7. Những lưu ý rất quan trọng khi cài đặt

- Kích hoạt tập tin ISA Autorun.exe từ đĩa cài đặt ISA 2006.

- Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có thể truy cập internet, nên chọn Review Release Notes và đọc release notes. Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham khảo release notes, chọn Install ISA Server 2006.

- Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 không có phương thức cài Firewall Client Installation Share trên ISA server. Do vậy, chỉ chọn Custom (trên hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện hành. Nếu không, chọn Next.

- Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ. Nếu khai báo thiếu một phân đoạn mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị ISA xem như "người ngoài" (External). ISA xem Internal Network là một "vùng tin cậy" (trusted zone) và dùng Internal Network trong các System Policy rule để phục vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính ISA.

- Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encrypted Firewall client connections" nếu trong LAN có các máy được cài các phiên bản trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000. Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006 trên các máy trạm.

Tài liệu tham khảo:

Trong quá trình làm đồ án em đã tham khảo những tài liệu như:

1. Những bài lab của các trung tâm giảng dạy QTM như nhatnghe, netpro,… 2. Những tài liệu lý thuyết về QTM của Microsoft như Moc, Training kits…

Một phần của tài liệu Báo cáo thực tập "Giới Thiệu Hệ Điều Hành Window Server 2003" pps (Trang 94 - 103)

Tải bản đầy đủ (DOC)

(103 trang)
w