Xem mẫu
- 61
Đề Tài: TÌM HIỂU VỀ FIREWALL
Thực hiện: Phạm Huy
Thuận
- 61
Nha Trang tháng 4 năm 2012
MỤC LỤC
Contents
Page
Contents Page.........2
Lời mở đầu.......................................................................................................................................4
CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006.........................................................................5
1. Giới thiệu về ISA server 2006..................................................................................................5
2. Các phiên bản của ISA server 2006........................................................................................5
3. Tính năng chính của ISA server 2006......................................................................................5
CHƯƠNG II: Cài đặt ISA Server 2006 ...........................................................................................7
1.Yêu cầu cấu hình cơ bản..........................................................................................................7
2. Tiến trình cài đặt......................................................................................................................8
CHƯƠNG III: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS..............................................13
1. Phân loại................................................................................................................................13
2. Cấu hình.................................................................................................................................14
a. SecureNAT Client...............................................................................................................14
b. Web Proxy Client................................................................................................................15
c. Firewall Client......................................................................................................................16
CHƯƠNG IV: Triển khai ISA server 2006.....................................................................................17
1. Tạo Rule ................................................................................................................................17
2. Publish Web............................................................................................................................23
3.VPN.........................................................................................................................................32
a. VPN Client to Site ..............................................................................................................32
b. VPN Site to Site..................................................................................................................39
4. Tạo Caching...........................................................................................................................52
CHƯƠNG V: MỘT SỐ MÔ HÌNH ISA FIREWALL THƯỜNG GẶP..............................................62
1. Edge Firewall..........................................................................................................................62
2. 3-Leg Perimeter......................................................................................................................63
- 61
3. Front/Back Firewall.................................................................................................................64
CHƯƠNG VI. TỔNG KẾT..............................................................................................................65
- 61
Lời mở đầu
Trong thời đại ngày này Internet đã không ngừng phát triển và vươn xa, đáp ứng
các nhu cầu của người sử dụng, những vấn đề như giáo dục từ xa, tư vấn Y tế, mua
hàng trực tuyến,…vv…. Không còn là những khái niệm trừu tượng nữa. Với Internet
mọi thứ “trong mơ” đã trở thành hiện thực. Trong những năm gần đây vài trò của Công
nghệ thông tin (CNTT) đã và đang được khẳng định một cách rõ nét. Sự phát triển c ủa
CNTT đã tác động tích cực đến mọi mặt của đời sống chính trị, kinh tế, văn hóa, xã hội
của loài người, tạo ra sự phát triển vượt bậc chưa từng có trong lịch sử. Ưng dụng
CNTT có hiệu quả và bền vững đang là tiêu chí hàng đầu của nhiều quốc gia. CNTT
giúp con người xích lại gần nhau hơn, khiến cho khoảng cách địa lý không còn tồn t ại
là lực đẩy cho mọi hoạt động trên mọi lĩnh vực của Quốc gia.
Xét theo bình diện là một doanh nghiệp thì hiểu quả là điều bắt buộc và bền vững cũng
là tất yếu. Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một
hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, nh ư vậy là góp
phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó. Và t ất cả
chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá. Không chỉ
thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với
khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau
đó bị lợi dụng với những mục đích khác nhau..Hacker, attacker, virus, worm, phishing,
những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đ ầu c ủa
tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, vv..). Và chính vì vậy,
tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để
đối phó với những thế lực đen tối đó. Trước hết với vai trò của một quản trị viên chúng
ta cần xây dựng ý thức sử dụng máy tính cho các nhân viên trong tổ chức doanh nghiệp
mình. Tiếp theo là cần một công tụ đắc lực đủ mạnh để cùng chúng ta chống lại các
thế lực trên. Đó là các Firewall, từ Personal Firewall bảo vệ cho từng Computer cho đến
các Enterprise Firewall có khả năng bảo vệ toàn hệ thống Network của một Tổ chức. Và
Microsoft ISA Server 2006 là một Enterprise Firewall như thế ! Một sản phẩm tốt và là
người bạn tin cậy để bảo vệ an toàn cho các hệ thống thông tin.
Vậy ISA server là gì? Cách thức triển khai và cấu hình của nó ra sao? Chức năng c ủa
ISA như thế nào? Tác dụng của ISA trong môi trường network..vv..vv. Chuyên đề này
sẽ giải đáp những câu hỏi đó. Và sẽ cung cấp một cái nhìn chi tiết, rõ nét về ISA server.
- 61
CHƯƠNG I: TỔNG QUAN VỀ ISA SERVER 2006
1. Giới thiệu về ISA server 2006
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm xây
dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng
phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn
định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương
thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính
năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh
hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các
WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng
mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa
2. Các phiên bản của ISA server 2006
Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng
thông cho các công ty có quy mô trung bình.
Enterprise : ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng
lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ
thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho
phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều
này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
3. Tính năng chính của ISA server 2006
ISA server là một trong các phần mềm máy chủ thuộc dòng .NET Enterprise
Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các serverứng dụng toàn
diện của Microsoft trong việc xây dựng, triển khai, quản lý, tích hợp, các giải pháp dựa
trên web và các dịch vụ. ISA server mang lại một số các lợi ích cho các tổ chức cần kết
nối Internet nhanh, bảo mật, dễ quản lý
Truy cập Web nhanh với cache hiệu suất cao:
o Người dùng có thể truy cập web nhanh hơn bằng cácđối tượng tại chỗ
trong cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng
nguy cơ tắc nghẽn.
o Giảm giá thành băng thông nhờ giảm lưu lượng internet
- 61
o Phân tán nội dung của các Web server và cácứng dụng thương mạiđiện tử
một cách hiệu quả,đápứngđược nhu cầu khách hàng trên toàn cầu (khả
năng phân phối nội dung web chỉ có trên phiên bản ISA server Enterprise)
Kết nối Internet an toàn nhờ nhiều lớp
o Bảo vệ mạng trước các truy nhập bất hợp pháp bằng cánh giám sát l ưu
lượng mạng tại nhiều lớp.
o Bảo vệ các máy chủ web, email và các ứng dụng khác khỏi sự tấn công từ
bên ngoài bằng việc sử dụng web và server quảng bá để xử lý một cách an
toàn các yêu cầu đến
o Lọc lưu lượng mạngđi vàđến để đảm bảo an toàn.
o Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng
nội tại nhờ sử dụng mạng riêngảo (VPN)
Quản lý thống nhất với sự quản trị tích hợp
o Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu
lực của các chính sách vận hành
o Tăng hiệu xuất nhờ việc giới hạn truy cập tới internet của một số các ứng
dụng và đích đến
o Cấp phát băng thông để phù hợp với các ưu tiên
o Cung cấp các công cụ giám sát để chỉ ra các kết nối internet được sử dụng
như thế nào
o Tự động hóa các dịch vụ nhờ sử dụng script
Khả năng mở rộng
o Chú trọng tới an toàn và thi hành nhờ sử dụng ISA server software
development kit (SDK) với các thành phần bổ sung
o Chưc năng mở rộng an toàn cho các sản xuất thứ ba
o Tự động các tác vụ quản trị với các đối tượng script COM ( component
object model)
- 61
CHƯƠNG II: Cài đặt ISA Server 2006
1. Yêu cầu cấu hình cơ bản
Internet link Up to 5 T1 7.5 megabits Up to 25 Mbps Up to T3 Up to 90
bandwidth per second (Mbps) 45 Mbps Mbps
Processors/Core 1 1 2 2/2
s
Processor type Pentium III750 megahertz Pentium 4 3.0– Xeon3.0– Xeon Dual
(MHz) or higher 4.0 gigahertz(GHz) 4.0 GHz Core
AMD Dual
Core
2.0–3.0
GHz
Memory 512 megabytes(MB) 512 MB 1 gigabyte 2 GB
(GB)
Disk space 150 MB 2.5 GB 5 GB 10 GB
Network adapter 10/100 Mbps 10/100 Mbps 100/1000 100/1000
Mbps Mbps
Số VPN đồng 150 700 850 2000
thời kết nối
- 61
2. Tiến trình cài đặt
Trước tiên cài đặt ISA thì yêu cầu máy ISA phải có ít nhất 2 card mạng, một card
nối với mạng bên trong (Internal) và card mang còn lại nối ra Internet (External)
Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006
Trong cửa sổ Setup type chọn Typical nếu bạn muốn cài đặt theo chế độ mặc định và
chọn Custom nếu muốn cài đặt bằng tay dưới đây tôi chọn Custom Next
- 61
Sau đó chúng ta nhấp Next
Tại cửa sổ Internal Network nhấp Add
- 61
Chọn tiếp Add Adapter
Trong Select Network Adapter, chọn card mang nào trực tiếp nối vào LAN OK
- 61
Nhấp Next
Nhấp Next Install Finish
- 61
Đây là giao diện của ISA server 2006 sau khi chúng ta cài thành công
- 61
CHƯƠNG III: PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER
CLIENTS
Một ISA Server 2006 client là máy tính kết nối đến các nguồn tài nguyên khác
thông qua ISA Server 2006 firewall. Nhìn chung, các ISA Server 2006 client thường được
đặt trong một Internal hay perimeter network DMZ và kết nối ra Internet qua ISA Server
2006
1. Phân loại
Có 3 loại ISA Server 2006 client:
SecureNAT client là máy tính được cấu hình với thông số chính Default gateway
giúp định tuyến ra Internet thông qua ISA Server 200 6 firewall. Nếu SecureNAT
client nằm trên Mạng trực tiếp kết nối đến ISA Server 200 6 firewall, thông số
default gateway của SecureNAT client chính là IP address của network card trên
ISA Server 2006 firewall gắn với Network đó . Nấu SecureNAT client nằm trên
một Network ở xa ISA Server 2006 firewall, khi đó SecureNAT client sẽ cấu hình
thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp
định tuyến thông tin từ SecureNAT client đến ISA Server 200 6 firewall ra
Internet.
Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được
cấu hình dùng ISA Server 2006 firewall như một Web Proxy server của nó. Web
browser có thể cấu hình để sử dụng IP address của ISA Server 200 6 firewall làm
Web Proxy server của nó cấu hình thủ công, hoặc có thể cấu hình tự động thông
qua các Web Proxy autoconfiguration script của ISA Server 200 6 firewall. Các
autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm
thế nào để Web Proxy clients có hể kết nối Internet. Tên của User (User name)
được ghi nhận trong các Web Proxy logs khi máy tính được cấu hình như một
Web Proxy client.
Firewall client là máy tính có cài Firewall client software. Firewall client software
chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả
các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đ ến
Firewall service trên ISA Server 2006 firewall. User names sẽ tự động được đưa
vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet
thông qua ISA Server 2006 firewall.
Dươi đây là bảng so sánh các dạng ISA server 2006 Client
- 61
Feature SecureNAT client Firewall client Web Proxy
client
Cần phải cài Không, chỉ cần xác lập Yes. Cần cài đặt Không, chỉ cần
đặt thông số default gateway software cấu hình các thông
số phù hợp tại
trình duyệt Web-
Web browser
Hỗ trợ Hệ điều Bất cứ OS nào hỗ trợ Chỉ Windows Bất kì OS nào có
hành nào TCP/IP hỗ trợ các Web
application
Hỗ trợ Protocol Nhờ có bộ lọc ứng dụng Hầu hết các ứng HTTP, Secure
-Application filters có dụng trên Internet HTTP
thể hỗ trợ các ứng dụng hiện nay
chạy kết hợp nhiều (HTTPS), và FTP
protocols –
multiconnectionprotocols
Có hỗ trợ xác có, nhưng chỉ dành cho có có
thực người dùng VPN clients
hay không
.Nhằm kiểm
soát việc User
truy cập ra ngoài
2. Cấu hình
a. SecureNAT Client
Tại máy CLIENT, right click My Network Places icon trên desktop và click
Properties.
Trong Network and Dial-up Connections, right click Local Area Connection và
click Properties.
Trong Local Area Connection Properties dialog box, click Internet Protocol
(TCP/IP) , click Properties.
Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai báo IP,
Subnet mask, DNS, quan trọng nhất là khai báo Default Gateway sao cho mọi
thông tin hướng ra internet phải được định tuyến đến ISA server.
- 61
Mô hình SecureNAT Client
b. Web Proxy Client
Chúng ta cấu hình trên Internet Explorer
Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click
Properties.
Trong Internet Properties dialog box, click Connections tab. trên Connections
tab, click LAN Settings button.
Trong Local Area Network (LAN) Settings dialog box. Tại Proxy server chúng ta
điền IP của ISA server và port 8080
- 61
c. Firewall Client
Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe .
- 61
Chọn option I accept the terms in the licene agreement Next Next.
Chọn option Connect ti this ISA server computer, nhập vào IP internal của máy ISA
Next Install.
CHƯƠNG IV: Triển khai ISA server 2006
1. Tạo Rule
Tạo Rule cho phép người quản trị có thể cho phép hay cấm bất kỳ máy nào trong mạng
hay toàn bộ mạng . Sau đây là các bước tạo ra 1 Access Rule
Chạy chương trình ISA bằng các click chuột vào ISA server Management
Right click vào Firewall Policy chọn New chọn Access Rule
- 61
Sau đó của sổ New Access Rule wizard hiện ra chúng ta gõ tên cho Rule chẳng hạn như
Allow Internal to Internet vào ô Access Rule Name Next
- 61
Sau đó chúng ta chọn hành động cho rule là Allow ( cho phép) hay Deny ( cấm ) và click
next
- 61
Sau đó chúng ta sẽ chọn Protocol cho rule, nếu chúng ta cho máy trạm truy cập Internet
và Email thì chúng ta chỉ chọn các giao thức như DNS, http, https, POP3,SMTP để
chọn rule ta click Add Next
Bước tiếp theo chúng ta chọn Source cho rule click Add sau đó chon cái bạn muốn add ở
đây tôi chọn Internal và Local Host. Đây là nguồn là những mang hay máy tính bạn muốn
cho phép hay cấm
nguon tai.lieu . vn