BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM
KHOA CAO ĐẲNG THỰC HÀNH
—–—–
BÁO CÁO THỰC TẬP TỐT NGHIỆP
NGHIÊN CỨU HỆ THỐNG TƯỜNG LỬA ISA 2006
NGÀNH : QUẢN TRỊ MẠNG
Giảng viên hướng dẫn: Nguyễn Đức Quang
Sinh viên thực hiện : Đoàn Xuân Bách
Mã sinh viên: 12200334 Lớp: C12QM11
BÁO CÁO TH C T P
Ự
Ậ
LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ,
giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác. Trong suốt thời gian từ
khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất nhiều sự quan
tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè. Với lòng biết ơn sâu sắc nhất, em xin
gửi đến quý Thầy Cô ở Khoa Cao Đẳng Thực Hành – Trường Đại Học Kỹ Thuật Công
Nghệ TP.HCM và Trung tâm đào tạo quản trị mạng & an ninh mạng Athena đã cùng với
tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong
suốt thời gian học tập tại trường. Và đặc biệt, trong học kỳ này, Khoa đã tổ chức cho
chúng em được tiếp cận với môn học mà theo em là rất hữu ích đối với sinh viên ngành
Quản Trị Mạng cũng như tất cả các sinh viên thuộc các chuyên ngành Công Nghệ Thông
Tin khác. Em xin chân thành cảm ơn thầy Nguyễn Đức Quang đã tận tâm hướng dẫn
chúng em qua từng buổi học trên lớp cũng như những buổi nói chuyện, thảo luận về lĩnh
vực sáng tạo trong nghiên cứu mạng máy tính. Nếu không có những lời hướng dẫn, dạy
bảo của thầy thì em nghĩ bài thu hoạch này của em rất khó có thể hoàn thiện được. Một
lần nữa, em xin chân thành cảm ơn thầy. Bài thu hoạch được thực hiện trong khoảng thời
gian gần 3 tuần. Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực theo đề tài, kiến thức của
em còn hạn chế và còn nhiều bỡ ngỡ. Do vậy, không tránh khỏi những thiếu sót là điều
chắc chắn, em rất mong nhận được những ý kiến đóng góp quý báu của quý Thầy Cô và
các bạn học cùng lớp để kiến thức của em trong lĩnh vực này được hoàn thiện hơn.
Lời Cảm Tạ GVHD : thầy Nguyễn Đức Quang, thầy Võ Đỗ Thắng và thầy Trương
Văn Cường | SVTT: Đoàn Xuân Bách, em xin kính chúc quý Thầy Cô trong Khoa Cao
Đẳng Thực Hành, Thầy Hiệu Trưởng – PGS. TSKH. Hồ Đắc Lộc và quý Thầy Cô tại
trung tâm Athena thật dồi dào sức khỏe, niềm tin để tiếp tục thực hiện sứ mệnh cao đẹp
của mình là truyền đạt kiến thức cho thế hệ mai sau.
Page 2
BÁO CÁO TH C T P
Ự
Ậ
SV : Đoàn Xuân Bách – GVHD : Trương Văn Cường
GIỚI THIỆU TRUNG TÂM ATHENA
Trung Tâm Đào Tạo Quản Trị Mạng & An Ninh Mạng Quốc Tế ATHENA được
thành lập từ năm 2004, là một tổ chức qui tụ nhiều trí thức trẻ Việt Nam đầy năng động,
nhiệt huyết và kinh nghiệm trong lãnh vực CNTT, với tâm huyết góp phần vào công cuộc
thúc đẩy tiến trình đưa công nghệ thông tin là ngành kinh tế mũi nhọn, góp phần phát
triển nước nhà .
Lĩnh vực hoạt động chính:
+Trung tâm ATHENA đã và đang tập trung chủ yếu vào đào tạo chuyên sâu quản
trị mạng, an ninh mạng, thương mại điện tử theo các tiêu chuẩn quốc tế của các hãng nổi
tiếng như Microsoft, Cisco, Oracle, Linux LPI , CEH,…
+Song song đó, trung tâm ATHENA còn có những chương trình đào tạo cao cấp
dành riêng theo đơn đặt hàng của các đơn vị như Bộ Quốc Phòng, Bộ Công An , ngân
hàng, doanh nghiệp, các cơ quan chính phủ, tổ chức tài chính..
+ Sau gần 10 năm hoạt động,nhiều học viên tốt nghiệp trung tâm ATHENA đã là
chuyên gia đảm nhận công tác quản lý hệ thống mạng, an ninh mạng cho nhiều bộ ngành
như Cục Công Nghệ Thông Tin – Bộ Quốc Phòng , Bộ Công An, Sở Thông Tin Truyền
Thông các tỉnh, bưu điện các tỉnh,…
+ Ngoài chương trình đào tạo, Trung tâm ATHENA còn có nhiều chương trình
hợp tác và trao đổi công nghệ với nhiều đại học lớn như đại học Bách Khoa Thành Phố
Hồ Chí Minh, Học Viện An Ninh Nhân Dân (Thủ Đức), Học Viện Bưu Chính Viễn
Thông, Hiệp hội an toàn thông tin (VNISA), Viện Kỹ Thuật Quân Sự ,……
Page 3
BÁO CÁO TH C T P
Ự
Ậ
Đội ngũ giảng viên :
+Tất cả các giảng viên trung tâm ATHENA có đều tốt nghiệp từ các trường đại
học hàng đầu trong nước …. Tất cả giảng viên ATHENA đều phải có các chứng chỉ quốc
tế như MCSA, MCSE, CCNA, CCNP, Security+, CEH,có bằng sư phạm Quốc tế
(Microsoft Certified Trainer).Đây là các chứng chỉ chuyên môn bắt buộc để đủ điều
kiện tham gia giảng dạy tại trung tâm ATHENA
+Bên cạnh đó,Các giảng viên ATHENA thường đi tu nghiệp và cập nhật kiến
thức công nghệ mới từ các nước tiên tiến như Mỹ , Pháp, Hà Lan, Singapore,… và
truyền đạt các công nghệ mới này trong các chương trình đào tạo tại trung tâm
ATHENA
Cơ sở vật chất:
+Thiết bị đầy đủ và hiện đại
+Chương trình cập nhật liên tục, bảo đảm học viên luôn tiếp cận với những công
nghệ mới nhất.
+Phòng máy rộng rãi, thoáng mát
Dịch vụ hỗ trợ:
+Đảm bảo việc làm cho học viên tốt nghiệp khoá dài hạn
+Giới thiệu việc làm cho mọi học viên
+Thực tập có lương cho học viên khá giỏi
+Ngoài giờ học chính thức, học viên được thực hành thêm miễn phí, không giới
hạn thời gian.
+Hỗ trợ kỹ thuật không thời hạn trong tất cả các lĩnh vực liên quan đến máy tính,
mạng máy tính, bảo mật mạng.
+Hỗ trợ thi Chứng chỉ Quốc tế.
Page 4
BÁO CÁO TH C T P
Ự
Ậ
Trung tâm Athena – 92 Nguyễn Đình Chiểu, P.Dakao, Q.1
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
NHẬN XÉT THỰC TẬP
Họ và tên sinh viên : Đoàn Xuân Bách
Page 5
BÁO CÁO TH C T P
Ự
Ậ
Mã sinh viên : 12200334
Khoá học : 2012 – 2015
1. Thời gian thực tập :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
2. Bộ phận thực tập :
……………………………………………………………………………………
……………………………………………………………………………………
3. Tinh thần trách nhiệm với công việc và ý thức chấp hành kỷ luật :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
4. Kết quả thực tập theo đề tài :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
5. Nhận xét chung :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
Cán bộ hướng dẫn của cơ quan đến thực tập
(Ký và ghi rõ họ tên)
Ngày ……. tháng …….. năm ………
Thủ trưởng cơ quan
(Ký tên và đóng dấu)
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN :
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
Page 6
BÁO CÁO TH C T P
Ự
Ậ
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
Ngày ……. tháng …….. năm ………
GIÁO VIÊN HƯỚNG DẪN
(Ký và ghi rõ họ tên)
MỤC LỤC
DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT…………………………………..Page 8
MỞ ĐẦU……………………………………………………………………………………………Page 9
CHƯƠNG I : TỔNG QUAN VỀ ISA SERVER …………………………………Page 11
I.
Giới thiệu chung về ISA Server ………………………………………………Page 11
II. Tính năng chính của ISA Server …………………………………………….Page 11
Page 7
BÁO CÁO TH C T P
Ự
Ậ
III. Các phiên bản ISA Server ………………………………………………………Page 12
3.1) Phiên bản ISA Server 2000 ………………………………………………………..Page 12
3.2) Phiên bản ISA Server 2004 ………………………………………………………..Page 12
3.2.1) Giới thiệu…………………………………………………………………………Page 12
3.2.2) Tính năng………………………………………………………………………..Page 13
3.3) Phiên bản ISA Server 2006…………………………………………………………Page 13
3.3.1) Giới thiệu…………………………………………………………………………Page 13
3.3.2) Các phiên bản ISA Server 2006………………………………………….Page 14
3.3.2.1) Phiên bản Enterprise và Standard………………………………Page 14
3.3.2.2) Tính năng của ISA Server 2006………………………………..Page 15
IV. Các mô hình ISA ……………………………………………………………………Page 17
4.1) Front-End…………………………………………………………………………………Page 17
4.2) Back-End…………………………………………………………………………………Page 18
4.3) Inter-network Access Control …………………………………………………….Page 19
4.4) Branch office VPN gateway ………………………………………………………Page 20
4.5) Back-to-Back Firewall ………………………………………………………………Page 21
4.6) Application Layer Filtering Web Proxy ……………………………………….Page 22
4.7) Forward Web Caching Server …………………………………………………….Page 23
4.8) Reverse Web Caching Server …………………………………………………….Page 24
4.9) Integrated Firewall và Web Proxy và Caching Server ……………………Page 24
V. Giới thiệu TMG 2010 và so sánh với ISA ………………………………..Page 25
5.1) Giới thiệu TMG 2010 ……………………………………………………………….Page 25
5.2) Các chức năng chính của TMG 2010 …………………………………………..Page 25
5.3) Các tính năng nổi trội của TMG 2010 …………………………………………Page 25
5.4) Cấu hình yêu cầu để cài đặt TMG 2010 ……………………………………….Page 26
5.5) So sánh ISA 2006 và TMG 2010 ………………………………………………..Page 27
CHƯƠNG II : CÀI ĐẶT ISA SERVER……………………………………………..Page 28
I.
Yêu cầu cài đặt……………………………………………………………………….Page 28
II. Tiến trình cài đặt…………………………………………………………………….Page 28
2.1) Phần mềm cài đặt trên máy ảo……………………………………………………..Page 28
2.2) Cài đặt ISA Server…………………………………………………………………….Page 30
2.3) Cấu hình SecureNAT cho Client………………………………………………….Page 39
2.4) Cấu hình Web Proxy Client………………………………………………………..Page 45
2.5) Cài đặt ISA Client……………………………………………………………………..Page 49
CHƯƠNG III : RULE VÀ POLICY………………………………………………….Page 52
Page 8
BÁO CÁO TH C T P
Ự
Ậ
KẾT LUẬN VÀ KIẾN NGHỊ ……………………………………………………………Page 55
TÀI LIỆU THAM KHẢO…………………………………………………………………Page 56
BÁO CÁO TẠI TRUNG TÂM ATHENA …………………………………………Page 57
THUẬN LỢI VÀ KHÓ KHĂN KHI THỰC TẬP………………………………Page 58
Page 9
BÁO CÁO TH C T P
Ự
Ậ
DANH MỤC CÁCH KÝ HIỆU, CHỮ VIẾT TẮT
Từ viết tắt
Viết đầy đủ
Ý nghĩa
NAT
Network Address Translation
Biên dịch địa chỉ mạng
TMG
Threat Management Gateway
Như là một tường lửa hoặc web an toàn,
cung cấp và quản trị an ninh để kiểm
soát mạng lưới thông tin liên lạc.
OWA
Outlook Web App
Sử dụng để truy cập email, lịch, địa chỉ
liên lạc.
SSI
Server Site Includes
Là chỉ thị được đặt trong trang HTML,
và được đánh giá trên máy chủ trong các
trang đang được phục vụ.
RDP
Remote Desktop Protocol
Là giao thức độc quyền của Microsoft,
cung cấp giao diện đồ họa máy tính khác
qua kết nối mạng.
DMZ
Demilitarized Zone
Khu vực bảo mật thực hiện ngăn nhưng
lưu lượng Internet cách xa hệ thống
mạng cục bộ.
VPN
Vitual Private Network
Mạng riêng ảo
MỞ ĐẦU
Page 10
BÁO CÁO TH C T P
Ự
Ậ
Lý do em chọn đề tài : Em quyết định chọn đề tài ISA 2006 bởi vì đề tại này hiện
được rất nhiều công ty đang sử dụng thành công và hiệu quả ưa chuộng trên thị
trường, lại rất thiết thực, phù hợp với môn học hiện tại. Giúp em có thêm kinh
nghiệm, hiểu biết rõ hệ thống mạng và dễ thích nghi vào công việc quản trị mạng
sau khi ra trường.
Đề tài được nghiên cứu theo phương pháp thực nghiệm : Trên máy tính và các
thiết bị mạng bao gồm :
Máy Server cài Window Server 2003 SP2, Domain Controller.
Máy ISA cài Window Server 2003 SP2, gia nhập Domain từ máy Server.
Laptop sinh viên.
Kết quả đạt được :
Giới thiệu tổng quan về ISA Server, cài đặt và cấu hình cơ bản cho hệ thống.
Thiết lập được các Rule ISA Server 2006 để đáp ứng cho các yêu cầu quản lý
và bảo mật cho doanh nghiệp vừa và nhỏ.
Những vấn đề tồn tại :
Các cơ quan, công ty lớn nhỏ đều xây dựng hệ thống mạng máy tính để làm việc,
giao dịch đặc biệt trong thời gian gần đây, số lượng các website thương mại báo
chí, dịch vụ … phát triển khá nhanh. Các cơ quan, doanh nghiệp sẵn sàng đầu tư
tiền tỉ để xây dựng và phát triển một website thương mại, một tờ báo điện tử,
nhưng lại vô tình quan tâm hoặc đầu tư chưa đúng cho vấn đề bảo mật.
Quản trị mạng chậm chân hơn các hacker
Có một thực tế : Các hacker luôn đi trước các quản trị mạng trong việc cập nhật thông
tin download các bản sửa lỗi về các lỗ hỏng bảo mật mới phát hiện. Jal (Admin – quản
trị website của tổ chức HVA) cho biết : Do tham gia vào các diễn đàn hacker, diễn
đàn CNTT trên thế giới nên các lỗi bảo mật cộng đồng CNTT và thế giới tìm thấy, chỉ
trong vài ngày hay một tuần là các hacker Việt Nam có thể nắm bắt trong tay mã
(code) khai thác và chỉ cần một chỗ có thể khai thác thông tin trên nhiều server Việt
Nam. Trong khi đó, ngược lại các quản trị mạng trong nước dường như ít cập nhật
thường xuyên các lỗi bảo mật mới được phát hiện này để kịp thời sửa lỗi, nên không
khó lý giải vì sao hacker có thể ung dung mở cửa đi vào hệ thống mạng ngay trước
mắt các chủ nhà. Ngoài ra do các website thường được đặt thiết kế, xây dựng bởi một
vài nhóm lập trình viên nhất định nên code của website thường giống nhau, do đó lỗi
bảo mật ở site này có thể áp dụng dùng để khai thác tấn công với nhiều site khác.
Theo cảnh báo của các hacker, các cuộc tấn công phổ biến hiện nay được thực hiện
bằng cách : Các hacker sẽ tấn công vào một trang web hay một hệ thống yếu nhất
được host (nơi lưu trữ web) trong cùng một máy chủ, từ đó có thể tấn công vào máy
chủ và cách trang web hosting trong cùng máy chủ đó dễ dàng. Điều đáng lo hơn,
trước đây khi bị hack, các hacker sẽ deface (làm biến dạng nội dung trang đó) nên
Page 11
BÁO CÁO TH C T P
Ự
Ậ
quản trị mạng biết ngay. Còn bây giờ, bị hacker đột nhập nhiều khi cả tháng hay 3
tháng sau, khi trở vào vẫn thấy backdoor (một chương trình được hacker cài vào máy
để sau đó có thể quay lại xâm nhập vào dễ dàng hơn) vẫn còn đó. Điều này cho thấy
các quản trị mạng các site Việt Nam không tập trung check log (kiểm tra quá trình
hoạt động của máy) và check server (kiểm tra máy chủ) mỗi ngày.
Dự kiến tiếp theo :
Cài đặt ISA Server trên hệ thống máy ảo.
Thiết lập các Access Rule
Cho vùng mạng LAN ra ngoài Internet.
Quản lý truy cập vào các trang web.
Quản lý truy cập Website.
Quản lý truy cập theo thời gian.
Quản lý các Users văn phòng tại các file đuôi được phép tải như (*.rar, *.exe,
*.mp3, *.avi, …)
Quản lý các dịch vụ như Yahoo.
Quản lý Mail Server.
Quản lý Application Server.
Kết nối các hệ thống mạng của doanh nghiệp có nhiều chi nhánh và vị trí địa lý
xa nhau.
Chuyển tiếp thông tin và kiểm soát tạo sự an toàn khi truy cập Internet của các
máy khách.
Tự động Download và cập nhật thông tin trong Cache bằng Content Download
Job.
Content Download Job sẽ tự động khởi tạo một Contention đến trang web nào
đó do Admin quy định và Download toàn bộ nội dung của trang web đó về và
lưu vào Cache.
Bảo mật các truy cập ra ngoài Internet từ trong mạng Internal và ngược lại.
Giám sát lưu lượng giữa các mạng, sửa các lỗi kết nối mạng, điều tra các cuộc
tấn công, lên kế hoạch cho sự thay đổi.
Page 12
BÁO CÁO TH C T P
Ự
Ậ
CHƯƠNG I : TỔNG QUAN VỀ ISA SERVER
I. Giới thiệu chung về ISA Server :
Microsoft Internet Security and Acceletion (ISA Server) là phần mềm chia sẽ
Internet của hãng Microsoft. Đây là một trong những phần mềm tường lửa
(Firewall) được ưa chuộng trên thị trường hiện nay nhờ vào khả năng bảo trì hệ
thống mạnh mẽ cùng với cơ chế linh hoạt. Hiện nay ISA Server có hai phiên
bản Standard và Enterprise.
Phiên bản ISA Standard Edition là phiên bản sử dụng cho hệ thống vừa và nhỏ.
Với phiên bản này ta có thể xây dựng Firewall kiểm soát luồng dữ liệu vào ra
của hệ thống, thiết lập các chính sách Firewall ngăn chặn việc truy cập vào các
Website có nội dung không phù hợp.
Phiên bản ISA Enterprise Edition là phiên bản sử dụng cho các hệ thống mạng
lớn, đáp ứng được như cầu trao đổi thông tin lớn giữa mạng nội bộ bên ngoài.
Những tính năng đã có trên ISA Standard Edition, phiên bản Enterprise còn
cho phép thiết đặt hệ thống mạng các ISA Server cùng sử dụng một chính sách,
điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (Cân
bằng tải).
Chúng ta có rất nhiều phiên bản ISA Server như : 2000, 2004, 2006. Bản mới
nhất hiện này là 2008.
II. Tính năng chính của ISA Server :
Định tuyến và các tính năng truy cập từ xa : Microsoft Forefront TMG có thể
hoạt động như một bộ định tuyến, Internet Gateway, máy chủ mạng ảo (VPN),
dịch địa chỉ mạng (NAT) máy chủ và một máy chủ proxy.
Tính năng bảo mật Microsoft Forefront TMG là một tường lửa có thể kiểm tra
lưu lượng truy cập mạng (bao gồm cả nội dung web, nội dung web an toàn và
email) và lọc ra các phần mềm độc hại, cố gắng khai thác lỗ hỏng an ninh và
nội dung không phù hợp với chính sách bảo mật được xác định trước. Trong ý
nghĩa kỹ thuật, Microsoft TMG cung cấp bảo vệ lớp ứng dụng, trạng thái lọc,
lọc nội dung và bảo vệ chống phần mềm độc hại.
Tính năng hiệu suất mạng : Microsoft Forefront TMG cũng có thể cải thiện
hiệu suất mạng : Nó có thể nén lưu lượng truy cập web để cải thiện tốc độ
truyền thông truy cập để người dùng có thể truy cập chúng nhanh hơn từ bộ
nhớ cache của mạng lưới địa phương. Microsoft Forefront TMG 2010 cũng có
thể nhớ cache dữ liệu nhận được thông qua giới hạn như cập nhật phần mềm
xuất bản trên Microsoft Update của trang web.
Page 13
BÁO CÁO TH C T P
Ự
Ậ
III. Các phiên bản ISA Server :
3.1) Phiên bản ISA Server 2000 :
ISA Server 2000 là phần mềm của Microsoft được sử dụng thay thế cho phần
mềm Proxy 2.0 và được tích hợp thêm chức năng bảo mật (Firewall).
Các chức năng chính của ISA Server 2000 :
Truy cập Internet tập trung (Proxy) : Cho phép nhiều user từ nhiều trạm
làm việc có thể đồng thời truy cập Internet qua một mối liên kết chung
từ một máy chủ proxy.
Tác dụng của proxy :
Tăng tốc độ truy cập Internet nhờ sử dụng cache (Bộ đệm lưu
trữ). Cache sẽ lưu trữ lại nội dung các trang web được truy cập
vào máy chủ Proxy, ở lần truy cập kế tiếp, khi user muốn xem
thông tin từ trang web đó thì lấy thẳng từ cache của Proxy Server
mà không cần vào Internet nữa, do đó việc kết nối được diễn ra
nhanh hơn và vẫn thực hiện được ngay cả trong trường hợp Proxy
Server ngắt kết nối với Internet (offline).
Quản lý được việc truy cập Internet : cho phép chỉ những user có
quyền lệ thì mới được truy cập Internet qua Proxy, những user
khác sẽ không được phép sử dụng Proxy. Ngoài ra, còn có thể
quản lý việc truy nhập Internet theo các Website sử dụng Proxy.
Còn có thể quản lý việc truy cập Internet cho các Website nhất
định, tức là chỉ ra những Website nào không được phép kết nối,
hoặc chỉ định user chỉ được kết nối trong khoảng thời gian nào đó
trong ngày, do đó tận dụng được tối đa băng thông (bandwidth)
và hạn chế tắt nghẽn khi quá nhiều người truy cập đồng thời.
Bảo mật mạng cục bộ : ngăn chặn những truy cập trái phép từ bên
ngoài vào mạng công ty. Những truy cập được Firewall xác nhận
là hợp lệ thì mới được phép.
Tác dụng của Firewall : Ngăn chặn những truy cập từ bên ngoài vào
mạng công ty hoặc từ bên trong ra mạng công cộng. Việc ngăn chặn
được thực hiện qua việc hạn chế những giao thức được sử dụng để truy
cập (http, FTP, Telnet, ICMP, …)
3.2) Phiên bản ISA Server 2004 :
3.2.1) Giới thiệu :
ISA Server 2004 chạy trên Windows Server 2003 Standard hoặc Enterprise
Edition. Thiết bị phần cứng có chứa Windows Server 2003 Appliance Edition
và ISA Server Standard Edition có sẵn từ nhiều đối tác của Microsoft.
Page 14
BÁO CÁO TH C T P
Ự
Ậ
Microsoft Internet Security and Acceleration Server (ISA Server) là một phần
mềm dùng để làm một Proxy Server (chia sẻ kết nối Internet) và Firewall
(tường lửa).
Được nâng cấp từ MS ISA 2000 Server.
Khá hiệu quả, ổn định, dễ cấu hình, thiết lập Firewall.
Tốc độ nhanh nhờ có cache thông minh, lưu cache trên đĩa.
Tự động download thông tin trên các Web Server lưu vào cache và máy trạm
chỉ cần lấy thông tin trên các Server đó bằng mạng LAN.
3.2.2) Tính năng :
Cung cấp tính năng Multi-Network : kỹ thuật thiết lập các chính sách truy cập
dựa trên địa chỉ mạng, thiết lập Firewall để lọc thông tin dựa trên từng địa chỉ
mạng con.
Giới hạn truy cập các client bên ngoài Internet bằng cách tạo ra một vùng mạng
ngoại vi (DMZ), không cho phép truy cập mạng nội bộ.
Cho phép giám sát tất cả các lưu lượng mạng.
Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con.
Tạo mạng riêng ảo (VPN) và truy cập từ xa cho doanh nghiệp.
Cung cấp kỹ thuật bảo mật và thiết lập Firewall.
Kỹ thuật cache thông minh (web cache) để tăng tốc độ truy cập.
3.3) Phiên bản ISA Server 2006 :
3.3.1) Giới thiệu :
Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm
share Internet (chia sẻ Internet) của hãng Microsoft, là bản nâng cấp từ phần mềm MS
ISA 2000 Server. Có thể nói đây là một phần mềm share Internet khá hiệu quả, ổn
định, dễ cấu hình, thiết lập tường lửa (Firewall) tốt, nhiều tính năng nổi bật. ISA
Server được thiết kế chủ yếu để hoạt động như một tường lửa nhằm đảm bảo rằng tất
cả những “ traffic ” không trông đợi từ Internet được chặn lại, từ bên ngoài mạng của
tổ chức, đồng thời ISA Server có thể cho phép các người dùng bên trong mạng tổ
chức truy cập một cách có chọn lọc đến các tài nguyên từ Internet và người dùng trên
Internet có thể truy cập vào tài nguyên trong mạng của tổ chức sao cho phù hợp với
các chính sách của ISA Server, chẳng hạn như máy chủ Web hoặc Mail của tổ chức.
Và một số các chức năng khác.
Page 15
BÁO CÁO TH C T P
Ự
Ậ
3.3.2) Các phiên bản của ISA Server 2006 :
3.3.2.1) Phiên bản Enterprise và Standard :
ISA Server 2006 đáp ứng nhu cầu để bảo vệ và chia sẽ băng thông cho các công ty
có quy mô nhỏ và trung bình. ISA Server có 2 phiên bản là Enterprise và Standard.
Trong đó phiên bản Standard được thiết kế cho những người dùng cần bảo vệ hệ
thống mạng nhỏ với chỉ một Firewall. Cao cấp hơn, phiên bản Enterprise được thiết kế
cho những hệ thống mạng trung tâm trở lên với một hay vài nhóm Firewall.
Đặc điểm của Standard Edition :
Kiểm soát dữ liệu ra vào hệ thống mạng nội bộ của công ty.
Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và
nội dung nhằm ngăn chặn những việc kết nối vào những trang web có nội
dung không phù hợp, thời gian không thích hợp (ví dụ như trong giờ làm
việc)
Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay
Remote Access hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ của công ty,
hoặc trao đổi dữ liệu văn phòng và hội sở.
Đối với các công ty có những hệ thống máy chủ Public như Mail Server,
Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA
Server 2006 cho phép triển khai vùng DMZ nhằm ngăn chặn sự tương tác
trực tiếp giữa người dùng bên ngoài và bên trong hệ thống.
Ngoài các tính năng bảo mật thông tin trên ISA 2006 bản Standard còn có
chức năng tạo cache cho phép rút ngắn thời gian tăng tốc kết nối Internet
của mạng nội bộ.
Page 16
BÁO CÁO TH C T P
Ự
Ậ
Chính vì thế mà sản phẩm Firewall này có tên gọi là Internet Security and
Acceleration (Bảo mật và tăng tốc Internet).
Enterprise Edition : ISA Server 2006 Enterprise được sử dụng trong các mô
hình mạng lớn, đáp ứng được như cầu truy xuất của nhiều người dùng bên
ngoài và bên trong hệ thống. Ngoài những tính năng đã có trên ISA Server
2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server
cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp các
tính năng Load Balancing (cân bằng tải).
3.3.2.2) Tính năng của ISA Server 2006:
ISA Server có nhiều tính năng cho phép bạn cấu hình sao cho phù hợp với mạng
LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu cache
vào RAM (Random Access Memory) giúp bạn truy xuất thông tin nhanh hơn, và tính
năng Schedule Cache (Lập lịch cho tự động download thông tin trên các Web Server
lưu vào Cache và máy con chỉ cần lý thông tin trên các Web Server đó bằng mạng
LAN). Ngoài ra các chính sách bảo mật thông tin tương đối tốt.
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây là
những tính năng mà các doanh nghiệp ở Việt Nam ít dùng)
Về khả năng Publishing Service :
ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang
OWA (Outlock Web Access), đây là Module của Microsoft Exchange
Server (một Server phục hồi Mail) nó cho phép người dùng truy cập quản
trị Mailbox của họ từ xa thông qua Web Browser), qua đấy hỗ trợ chứng
thực kiểu form based. Chống lại các người dùng bất hợp pháp vào trang
web OWA, tính năng được phát triển dưới dạng Add-in.
Cho phép Public Terminal Server theo chuẩn RDP over SSI, đảm bảo dữ
liệu trong liên kết được mã hóa trên Internet (kể cả password).
Block các kết nối non-encrypted MAPI đến Exchanger Server, cho phép
Outlook của người dùng kết nối an toàn đến Exchanger Server.
Rất nhiều các Wizard cho phép người quản trị Public các Server nội bộ ra
Internet một cách an toàn. Hỗ trợ cả các sản phẩm mới như Exchanger
2007.
Khả năng kết nối VPN :
Cung cấp Wizard cho phép cấu hình tự động Site-to-Site VPN ở 2 văn
phòng riêng biệt, tất nhiên ai thích cấu hình bằng tay tại từng thời điểm một
cũng được. Tích hợp hoàn toàn Quan-ration.
Stateful filtering and inspection kiểm tra đầy đủ các VPN connection Site-
to-Site secureNAT cho VPN Client, …
Page 17
BÁO CÁO TH C T P
Ự
Ậ
Về khả năng quản lý :
Dễ dàng quản lý.
Rất nhiều Wizard.
Backup và Restore đơn giản.
Log và Report chi tiết cụ thể.
Khai báo thêm Server vào Array dễ dàng (Không khó như ISA 2000, 2004).
Tích hợp với giải pháp quản lý cụ thể của Microsoft : MOM
Các tính năng khác :
Hỗ trợ nhiều CPU và RAM (Bản Standard hỗ trợ đến 4 CPU, 2GB RAM).
Max 3 node Network Load Balancing.
Hỗ trợ nhiều Network.
Firewall Rule đa dạng.
IDS.
Flood Resiliency.
http Compression.
Diffserv.
Page 18
BÁO CÁO TH C T P
Ự
Ậ
IV. Các mô hình ISA :
4.1) Front-End :
Kiểm tra lưu lượng truy cập nhiều lớp – Kiểm tra trạng thái gói tin và lớp
ứng dụng.
Lớp ứng dụng thông minh nhận thức các bộ lọc kiểm tra.
Phát hiện xâm nhập.
Giảm thiểu Worm và Flood.
Hệ thống vững chắc để khóa hệ điều hành cơ sở.
Tích hợp VPN.
Nắm giữ gateway các chi nhánh văn phòng an ninh.
Có giải pháp truy cập từ xa cho Microsoft Exchange và SharePoint Portal
Server.
Tối ưu hóa công cụ tường lửa để vận chuyển lưu lượng đã lọc ở tốc độ
Gigabyte.
Page 19
BÁO CÁO TH C T P
Ự
Ậ
4.2) Back-End :
Hỗ trợ publish Outlook Web Access.
Hỗ trợ publish RPC/HTTP Web Access.
Hỗ trợ publish web Internet Information Services (IIS).
Hỗ trợ publish Exchange RPC.
Hỗ trợ publish SharePoint Portal Server.
Users và Groups dựa trên kiểm soát truy cập cho tất cả các giao thức và
dịch vụ Internet.
Tích hợp VPN Site-to-Site để kết nối mạng LAN với mạng Backbone.
Web Proxy được gắn phía trên Web Proxy Server.
Có thể để lại cơ sở hạ tầng của tường lửa sẵn có. Không bao giờ cần phải
tách và thay thế để nâng cấp bảo mật từ ISA Firewall.
Front-End third party firewalls giúp tăng năng suất của ISA Firewall bằng
cách loại bỏ lưu lượng rác – Cung cấp thêm chu kỳ xử lý cho ISA Firewall
để thực hiện kiểm soát các lớp ứng dụng sâu.
Page 20
BÁO CÁO TH C T P
Ự
Ậ
4.3) Inter-network Access Control :
ISA 2006 multi-networking áp dụng chính sách tường lửa cho tất cả giao
các diện.
Nâng cao phòng chống Worm và Flood ngăn chặn Attackers làm tràn
Firewall và Servers.
Tăng cường định nghĩa các đối tượng mạng để dễ tinh chỉnh điều khiển truy
cập.
Định tuyến giữa các mạng có thể được thiết lập thành NAT hoặc Routed.
Users và Groups dựa trên kiểm soát truy cập để xác định chi nhánh nào của
doanh nghiệp có thể truy cập.
Đăng nhập và báo cáo toàn diện tất cả những Users truy cập thông qua ISA
Firewall.
Các chi nhánh bảo mật cực cao có thể được cấu hình để yêu cầu truy cập
VPN cho 2 yếu tố xác thực.
Tiển khai việc kiểm tra trạng thái gói tin trên mọi giao diện.
Các bộ lọc ứng dụng thông minh thực hiện việc kiểm soát lưu lượng giữa
mạng LAN.
Điều khiển truy cập thông minh và kiểm soát trạng thái của lưu lượng
WLAN để tăng cường an ninh.
Page 21
BÁO CÁO TH C T P
Ự
Ậ
4.4) Branch office VPN gateway :
IPSec Tunnel chế độ hỗ trợ cho phép bạn tạo liên kết Site-to-Site với VPN
gateway thứ 3.
PPTP và L2TP/IPSec cho phép bạn tạo liên kết Site-to-Site với Microsoft
VPN gateway.
Các tùy chọn chứng thực EAP kích hoạt an ninh VPN gateway chặt chẽ.
Việc kiểm soát trạng thái gói tin và lớp ứng dụng thông qua kết nối Site-to-
Site xác định tài nguyên ở mạng văn phòng chính có thể được truy cập bởi
mạng từ xa.
ISA Firewall điều khiển gói tin đi vàovà đi ra từ Internet ở văn phòng chi
nhánh.
ISA Enterprise Edition kích hoạt quản trị viên ISA Firewall ở văn phòng
chính để thiết lập chính sách tường lửa ở các văn phòng chi nhánh từ một
địa điểm duy nhất và triển khai chính sách đó một cách tự động.
Các bộ lọc lớp ứng dụng thông minh thực hiện kiểm tra trạng thái lưu lượng
giữa VPN và mạng LAN.
Bộ nhớ đệm BITS giảm băng thông yêu cầu với kết nối VPN Site-to-Site.
Bộ nén HTTP giảm tác động của Web download trên VPN Site-to-Site.
Việc phòng chống Worm và Flood ngăn chặn các cuộc tấn công Denial of
Service (DoS) làm thiệt hại văn phòng chi nhánh.
Page 22
BÁO CÁO TH C T P
Ự
Ậ
Web Proxy Chaining tăng tốc độ truy cập Internet ở văn phòng chi nhánh
bằng cách lấy nội dung từ Web Proxy Arrays từ văn phòng chính.
Diffserv QoS cho phép các văn phòng chi nhánh sửa dụng băng thông giới
hạn giữa văn phòng chính và văn phòng chi nhánh một cách tốt nhất.
4.5) Back-to-Back Firewall :
Kiểm soát trạng thái gói tin trên mọi giao diện ở cả ISA Firewall Front-End
và Back-End.
Kiểm tra lớp ứng dụng ở mọi giao diện, bao gồm cả kết nối VPN client và
gateway.
Có kết nối VPN client và server trên mọi giao diện.
Có khả năng xác thực trên mọi giao diện.
Đăng nhập và báo cáo toàn diện cho mọi lưu lượng di chuyển qua giao diện
của ISA Firewall.
Page 23
BÁO CÁO TH C T P
Ự
Ậ
4.6) Application Layer Filtering Web Proxy :
Có khả năng để cơ sở hạ tầng của Firewall được nguyên vẹn, bạn có thể thả
vào ISA Firewall Proxy lọc lớp ứng dụng hầu như ở bất cứ đâu.
Tường lửa kiểm soát trạng thái gói tin Front-End và Back-End ở cơ sở thứ 3
có thể vận chuyển gói tin ở tốc độ cao trong khi cho phép ISA Firewall
cung cấp an ninh ở cấp độ rất cao để thông tin liên lạc Web đi qua bộ lọc
kiểm soát lớp ứng dụng của nó.
Một ISA Firewall Web Proxy được cường hóa có thể được đặt trên đoạn
vành đai mạng để giảm bề mặt tấn công. Thông báo cho chủ và người quản
trị mạng mặc dù ISA Firewall không hỗ trợ dịch vụ hoàn chỉnh cho mạng.
Các thành phần tường lửa cùng cấp độ doanh nghiệp tự động bảo vệ các
thiết bị ISA Firewall, giúp nó trở thành thiết bị bảo mật nhất trong mạng
công ty.
Trong các Web Proxy Scenario đảo nghịch, proxy lọc lớp ứng dụng của
ISA Firewall có thể chuyển tiếp thông tin người dùng đi qua Back-End
Firewall để tài xác thực người dùng từ xa. Loại tái xác thực này ở ISA
Page 24
BÁO CÁO TH C T P
Ự
Ậ
Firewall ngăn chặn các kết nối ẩn danh đến các dịch vụ và Web Server
Back-End.
Ngoài ra đối với an ninh được cung cấp bởi việc tái xác thực, ISA Firewall
bao gồm một HTTP Security Filter kiểm soát mọi khía cạnh của truyền
thông HTTP và có thể được cấu hình chỉ cho phép truy cập Exchange và
SharePoint Portal Server hợp pháp.
Proxy nghịch cho Microsoft Exchange Servers là công dụng nổi tiếng nhất
cho các tổ chức lớn. ISA Firewall được xây dựng để cung cấp an ninh mức
độ cao cho các kết nối truy cập từ xa đến mọi dịch vụ Exchange Servers,
bao gồm Outlook Web Access, Outlook Mobile Access, Exchange
ActiveSync, SMPT/S, POP3/S, và IMAP4/S. Ngoài ra, tường lửa ISA 2006
hoạt động như proxy nghịch cung cấp một an ninh mức độ cao cho các kết
nối truy cập từ xa sử dụng Outlook 2003/2007 RPC/HTTP, cung cấp kết nối
mọi nơi cho Outlook clients.
Một công dụng rất nổi tiếng khác cho proxy nghịch ISA Firewall là cung
cấp kết nối truy cập từ xa đến dịch vụ Microsoft SharePoint Portal Server.
Tường lửa ISA 2006 có những cải tiếng đáng kể cung cấp hỗ trợ duy nhất
cho các nhiệm vụ có khả năng phức tạp của việc publish SharePoint Portal
Servers. Những sự phức tạp có thể tốn hàng chục tiếng để khắc phục của
các sản phẩm khác hoàn toàn được xử lý bởi ISA 2006 được xây dụng bởi
wizards SharePoint Portal Servers và các công nghệ phiên dịch liên kết.
4.7) Forward Web Caching Server :
Bộ nhớ đệm nhanh trong bộ nhớ RAM cho phép truy cập đặc biệt nhanh tới
nội dung Web được lưu trong bộ nhớ đệm Web proxy lưu trong bộ nhớ
RAM.
Tối ưu hóa cơ sở dữ liệu bộ nhớ đệm cho bộ nhớ đệm trên đĩa cho phép
tường lửa ISA và các mảng của tường lửa ISA lưu trữ hàng trăm gigabytes
nội dung các file bộ nhớ đệm được tối ưu hóa trên đĩa.
Các downloads nội dung bộ nhớ đệm được lên lịch. Tính năng này cho
phép bạn tải lại bộ nhớ đệm Web nội dung họ chọn. Nhiều lần công ty yêu
cầu nội dung luôn có sẵn, kể cả khi kết nối Internet hoặc Server ngưng.
Content Download Jobs cung cấp cho các công ty khả năng tái cư ngụ bộ
nhớ đệm để các nhân viên có thể truy cập nội dung này mọi lúc.
Hierarchical Web Proxy cache chaining, tính năng này cho phép bạn thiết
lập chuyển tiếp ISA 2006 chuyển tiếp proxy server ở các văn phòng chi
nhánh và kết nối chúng với mảng ISA 2006 Web Proxy ở văn phòng chính.
Điều này cho phép các văn phòng chi nhánh được hưởng lợi từ số lượng lớn
các nội dung được lưu trữ chứa trong các mảng Web Proxy ở văn phòng
chính, và giảm băng thông yêu cầu cho các đường dẫn mail Internet ở văn
Page 25
