Đề tài Firewall isa server 2006

ISA Server 2006 Firewall

CHƯƠNG 1: GIỚI THIỆU FIREWALL ISA SERVER 2006

1.1 Khái niệm chung.

Microsoft Internet Security and Acceleration Sever (ISA Server) là phần

mềm share internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một

phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều

tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc

độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM

(Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng

Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu

vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng

LAN). Ngoài ra còn rất nhiều các tính năng khác nữa.

Đặc điểm nổi bật của bản 2006 so với các phiên bản khác là tính năng

Publishing và VPN .

Về khả năng Publishing Service

− ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào

trang OWA, qua đấy hỗ trợ chứng thực kiểu formbased. chống lại các

người dùng bất hợp pháp vào trang web OWA. tính năng này được phát

triển dưới dạng Addins.

− Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ

liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).

− Block các kết nối nonencrypted MAPI đến Exchange Server, cho phép

Outlook của người dùng kết nối an toàn đến Exchange Server

− Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra

internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.

Khả năng kết nối VPN

− Cung cấp Wizard cho phép cấu hình tự động sitetosite VPN ở 2 văn

phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một

cũng được. tích hợp hoàn toàn Quanratine,

− Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy

đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN

Clients, ...

− Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet,

hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel sitetosite (với các sản phẩm VPN

khác).

Về khả năng quản lý

− Dễ dàng quản lý

− Rất nhiều Wizard

− Backup và Restore đơn giản.

1

ISA Server 2006 Firewall

− Cho phép ủy quyền quản trị cho các User/Group

− Log và Report chi tiết cụ thể.

− Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise)

− Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA

2000, 2004 )

− Tích hợp với giải pháp quản lý của Microsoft: MOM

− SDK.

Các tính năng khác

− Hỗ trợ nhiều CPU và RAM ( bản standard hỗ trợ đến 4CPU, 2GB RAM).

− Max 32 node Network Loadbalancing.

− Hỗ trợ nhiều network.

− Route/NAT theo từng network.

− Firewall rule đa dạng.

− IDS.

− Flood Resiliency.

− HTTP compression.

− Diffserv.

1.2. Các phiên bản ISA Server 2006

ISA Server 2006 Firewall có hai phiên bản Standard và Enterprise phục vụ

cho những môi trường khác nhau.

ISA Server 2006 Standard đáp ứng như cầu bảo vệ và chia sẽ băng thông

cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây

dựng các firewall để kiểm sóat các luồng dữ liệu vào và ra trên hệ thống mạng nôi

bộ của công ty. Kiểm sóat quá trình truy cập của người dùng theo giao thức, thời

gian và nội dung của các site nhằm ngăn chặn quá trình kết nối vào những trang

web có nội dung không hợp lệ. Bên cạnh đó chúng ta còn có thể triển khai các hệ

thống VPN Site to Site hay Remote Access hổ trợ cho việc truy cập từ xa của các

User, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có

những hệ thống máy chủ quan trọng như Mail, Web Server cần được bảo vệ chặt

chẽ trong một môi trường riêng biệt thì ISA 2006 cho phép chúng ta triển khai các

vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp của

các internal/External User. Ngòai các tính năng mang tính bảo mật thông tin trên

thì ISA 2006 còn có hệ thống cache giúp cho người dùng kết nối Internet nhanh

hơn do thông tin trang web có thể được lưu giữ sẳn trên RAM hay đĩa cứng, điều

này làm cho băng thông của hệ thống được tiết kiệm đáng kể. Chính vì lý do đó

mà sản phẩm từơng lữa này có tên gọi là Internet Security & Aceleration (bảo mật

ứng dụng và tăng tốc băng thông).

2

ISA Server 2006 Firewall

ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn,

cần những hệ thống mạnh mẽ để đáp ứng nhiều yêu cầu truy xuất của người sử

dụng (User) bên trong và ngòai hệ thống. Ngòai những tính năng đã có trên ISA

Server 2004/2006 Standard, phiên bản Enterprise còn cho phép chúng ta thiết lập

các hệ thống Array (mãng) các ISA Server cùng sử dụng một chính sách, điều này

giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) phục vụ

tốt hơn các yêu cầu của tổ chức.

1.3. Các đặc tính

Access policy: xác định các giao thức và nội dung mà các client trong

internal network được phép truy cập

VPNs : Mở rộng một mạng riêng bằng cách sử dụng các liên kết

qua mạng chia sẻ hoặc mạng công cộng nhưInternet.

Packet filtering :Điều khiển lưu lượng gói IP đến và

từ adapter bên ngoài mạng ISA

Application filters: cho phép thực hiện các giao thức cụ thể hoặc công việc

hệ thống cụ thể như: xác thực … để cung cấp thêm một lớp bảo mật chi

firewall.

Web publishing

Server publishing

Real-time monitoring: giám sát thời gian thực cho phép bạn tập trung theo dõi

ISA Server hoạt động, bao gồm các cảnh báo, phiên họp, và dịch vụ.

Alerts: Thông báo cho bạn khi sự kiện cụ thể xảy ra

và thực hiện hành động tương ứng.

Reports : tóm tắt và phân tích hoạt động xảy ra trên một hoặc nhiều ISA server

CHƯƠNG 2: CÀI ĐẶT ISA SERVER 2006

2.1. Mô hình ISA Server 2006

3

ISA Server 2006 Firewall

Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta

Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới,

chính là máy ISA Server

External Network: là mạng Internet, như vậy mạng Internet được xem

như là một phần trong mô hình ISA mà thôi

2.2. Cài Đặt ISA Server 2006

2.2.1 Chuẩn bị

Đặt IP Address :Cấu hình IP các máy như sau:

Máy Đặc tính PC01 PC02

Tên ISA Server

Card Lan

IP Address 192.168.1.2

Subnet Mask 255.255.255.0

Default gateway 192.168.1.1(Modem

ADSL0)

Preferred DNS

Card Cross IP Address 172.16.1.1 172.16..1.2

Subnet Mask 255.255.255.0 255.255.255.0

Default gateway 172.16.1.1

Preferred DNS 172.16.1.2 172.16..1.2

Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch

Card Cross: nối trực tiếp các cặp máy PC01 với PC02

*. Nâng cấp Domain Controller trên máy Server

- Tại máy DC ( PC 01) Start→Run→DCPROMO

4

ISA Server 2006 Firewall

- Domain Name: hui.com

* Join domain các máy ISA(PC02) vào hui.com

My Computer → Propertie s→ tab Computer Name → nhấp

Change → Member Of Domain: hui.com

2.2.2. Cài đặt ISA 2006 Standard

B1: Từ Source ISA2006 chạy file:ISAAutorun.exe. giao diện xuất hiện, chọn

Intall ISA server 2006 → Next

B2: Hộp thoại “ wellcom to the Installtion Wizard for Microsoft ISA server

2006”→ Next

5

ISA Server 2006 Firewall

B3:Chọn “I accept the terms in the license agreement option on the License

Agreement “ → Next

B4: Nhập vào ô “user name” tronh hộp thoại Customer Information→ Next

6

ISA Server 2006 Firewall

B5 : Trong hộp thoại Setup Type , chọn Typical → Next

B6: trong hộp thoại Internal Network, chọn Add, nhập vùng địa chỉ mạng

intrenal: 172.16.1.0-172.16.1.255 → Next

7

ISA Server 2006 Firewall

B7.Trong hộp thoại Firewall Client Conection, bỏ check “Allow non-encrypted

Firewall client connections → Next

B8. Trong hộp thoại Services Warning, chọn Next → Intall trong hộp thoại

ready to Install the Program

8

ISA Server 2006 Firewall

B9. Chọn Finish trong hộp thoại Installation Wizard Completed

9

ISA Server 2006 Firewall

CHƯƠNG 3: ACCESS POLICY

ISA firewall’s Access Policy bao gồm Web Publishing Rules, Server

Publishing Rules và Access Rules. Web Publishing Rules và Server Publishing

Rules được dùng để cho phép truy cập từ ngoài vào, Access Rule được dùng để

điều khiển truy cập ra ngoài. Nhìn chung bạn nên dùng Web Publishing Rules,

Server Publishing Rules khi muốn kết nối từ một máy ngoài vào máy trong mạng

ISA. Access Rule dùng điều khiển truy cập giữa hai mạng bất kỳ.

Khi ISA chặn yêu cầu truy cập từ ngoài vào, nó kiểm tra Network Rules và

Firewall Policy xác định có được phép truy cập không. Network rule được kiểm

tra đầu tiên. Nếu không có Network Rule nào định nghĩa như NAT hoặc ROUTE

giữa hai mạng đó thì không kết nối được.

Khi một yêu cầu kết nối ra ngoài được nhận bởi ISA, điều đầu tiên ISA làm là kiểm tra

xem nếu có một Network Rule định tuyến giữa nguồn và điểm đến không. Nếu không có Network Rule,

các ISA firewall giả định rằng điểm nguồn và điểm đến là không kết nối. Nếu có giữa các nguồn và sau đó

ISA firewall xử lý các Access Rules trong Access Policy từ trên xuống.Nếu Rule cho phép được kết hợp

với các yêu cầu kết nối ra bên ngoài, ISA firewall sẽ cho phép yêu cầu. Để Rule cho phép được áp dụng để

kết nối , các đặc tính của yêu cầu kết nối phải phù hợp với đặc tính được định nghĩa bởi Access Rule như:

Protocol, Users, Content types, Shedules, Network Objects. Nếu không thoả các đặc tính thì ISA firewall sẽ

xét đến Rule kế iếp.

Nếu Access Rule phù hợp với các đặc tính trong các yêu cầu kết nối, sau đó

bước tiếp theo là cho ISA firewall sẽ kiểm tra Network Rules lại một lần nữa để

xác định nếu có một NAT hoặc Route mối quan hệ giữa điểm nguồn và điểm đến

3.1. ISA firewall access rule element

ISA Firewall bao gồm các yếu tố và chính sách sau:

10

ISA Server 2006 Firewall

• Protocols

• User Sets

• Content Types

• Shedules

• Network Objects

3.1.1 Protocols

ISA Firewall bao gồm một số giao thức có sẵn, bạn có thể dùng để tạo Access Rules, Web

Publishing Rules và Server Publishing Rules. Ngoài ra bạn có thể tạo các giao thức riêng cho bạn bằng

cách sử dụng New Protocol Wizard của ISA Firewall. Khi tạo một giao thức mới bạn cần xác định các

thông tin sau:

 Protocol Type: TCP, UDP, ICMP, or IP-level protocol.

 Direction: UDP bao gồm gửi, nhận,gửi nhận, nhận gửi. TCP bao gồm Inbound và Outbound.

ICMP và IP-levelbao gồm nhận và gửi.

 Port range: khoảng port

 Protocol number: dùng cho giao thức IP-level .

 ICMP properties: dùng cho giao thức ICMP. Là mã và loại giao thức

ICMP

 Secondary connections: Đây là các port, các loại giao thức, và hướng sử

dụng cho các kết nối thêm hay các gói tin theo các kết nối ban đầu. Bạn có

thể tạo một hoặc nhiều kết nối thứ cấp.

3.1.2 User Set

Để kiểm soát việc truy cập ra bên ngoài, bạn có thể tạo Access Rule áp dụng cho

các user hoặc nhóm user được chỉ định. ISA Firewall cho phép bạn tạo các user hoặc nhóm user trong User

Set. Ngoài ra, ISA firewall cũng tạo sẵn các user set như:

• All Authenticated Users: các user phải được xác thực

• All Users: tất cả các user xác thực và không xác thực

• System and Network Service

3.1.3 Content Type: cho phép các ứng dụng khác nhau vàcác tập tin được tổ chức

theo loại nội dung nhất định . Ví dụ, một tập tin đó được tải về thông qua trang

web có thể là một tập tin âm thanh, hình ảnh, văn bản, video, hoặc bất kỳ. Tập tin

được nhóm lại theo kiểu nội dung có thể được kiểm soát hơn một cách dễ dàng,

tạo cho người quản trị ISA một cách dễ dàng.

3.1.4 Shedule: Bạn có thể gán một thời gian biểu cho một Access Rule để điều khiển việc áp dụng Rule

này. Có ba thời gian biểu đã được xây dựng sẵn :

• Work Hours: cho phép truy cập từ 9:00 đến 17:00 từ thứ hai đến thứ sáu

• Weekends: cho phép truy cập thứ bảy và chủ nhật

• Always: cho ph1p truy cập mọi lúc.

3.1.5 Network Objects

3.2. Tạo rule cho phép truy cập ra ngoài thông qua ISA firewall

11