ISA Server 2006 Firewall CHƯƠNG 1: GIỚI THIỆU FIREWALL ISA SERVER 2006 1.1 Khái niệm chung. Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet của hãng phần mềm nổi tiếng Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa. Đặc điểm nổi bật của bản 2006 so với các phiên bản khác là tính năng Publishing và VPN . Về khả năng Publishing Service − ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu formbased. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Addins. − Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password). − Block các kết nối nonencrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server − Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007. Khả năng kết nối VPN − Cung cấp Wizard cho phép cấu hình tự động sitetosite VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hoàn toàn Quanratine, − Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, − Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel sitetosite (với các sản phẩm VPN khác). Về khả năng quản lý − Dễ dàng quản lý − Rất nhiều Wizard − Backup và Restore đơn giản. 1 ISA Server 2006 Firewall − Cho phép ủy quyền quản trị cho các User/Group − Log và Report chi tiết cụ thể. − Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise) − Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA 2000, 2004 ) − Tích hợp với giải pháp quản lý của Microsoft: MOM − SDK. Các tính năng khác − Hỗ trợ nhiều CPU và RAM ( bản standard hỗ trợ đến 4CPU, 2GB RAM). − Max 32 node Network Loadbalancing. − Hỗ trợ nhiều network. − Route/NAT theo từng network. − Firewall rule đa dạng. − IDS. − Flood Resiliency. − HTTP compression. − Diffserv. 1.2. Các phiên bản ISA Server 2006 ISA Server 2006 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau. ISA Server 2006 Standard đáp ứng như cầu bảo vệ và chia sẽ băng thông cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng các firewall để kiểm sóat các luồng dữ liệu vào và ra trên hệ thống mạng nôi bộ của công ty. Kiểm sóat quá trình truy cập của người dùng theo giao thức, thời gian và nội dung của các site nhằm ngăn chặn quá trình kết nối vào những trang web có nội dung không hợp lệ. Bên cạnh đó chúng ta còn có thể triển khai các hệ thống VPN Site to Site hay Remote Access hổ trợ cho việc truy cập từ xa của các User, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có những hệ thống máy chủ quan trọng như Mail, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2006 cho phép chúng ta triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp của các internal/External User. Ngòai các tính năng mang tính bảo mật thông tin trên thì ISA 2006 còn có hệ thống cache giúp cho người dùng kết nối Internet nhanh hơn do thông tin trang web có thể được lưu giữ sẳn trên RAM hay đĩa cứng, điều này làm cho băng thông của hệ thống được tiết kiệm đáng kể. Chính vì lý do đó mà sản phẩm từơng lữa này có tên gọi là Internet Security & Aceleration (bảo mật ứng dụng và tăng tốc băng thông). 2 ISA Server 2006 Firewall ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, cần những hệ thống mạnh mẽ để đáp ứng nhiều yêu cầu truy xuất của người sử dụng (User) bên trong và ngòai hệ thống. Ngòai những tính năng đã có trên ISA Server 2004/2006 Standard, phiên bản Enterprise còn cho phép chúng ta thiết lập các hệ thống Array (mãng) các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải) phục vụ tốt hơn các yêu cầu của tổ chức. 1.3. Các đặc tính Access policy: xác định các giao thức và nội dung mà các client trong internal network được phép truy cập VPNs : Mở rộng một mạng riêng bằng cách sử dụng các liên kết qua mạng chia sẻ hoặc mạng công cộng nhưInternet. Packet filtering :Điều khiển lưu lượng gói IP đến và từ adapter bên ngoài mạng ISA Application filters: cho phép thực hiện các giao thức cụ thể hoặc công việc hệ thống cụ thể như: xác thực … để cung cấp thêm một lớp bảo mật chi firewall. Web publishing Server publishing Real-time monitoring: giám sát thời gian thực cho phép bạn tập trung theo dõi ISA Server hoạt động, bao gồm các cảnh báo, phiên họp, và dịch vụ. Alerts: Thông báo cho bạn khi sự kiện cụ thể xảy ra và thực hiện hành động tương ứng. Reports : tóm tắt và phân tích hoạt động xảy ra trên một hoặc nhiều ISA server CHƯƠNG 2: CÀI ĐẶT ISA SERVER 2006 2.1. Mô hình ISA Server 2006 3 ISA Server 2006 Firewall Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta Local Host: là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy ISA Server External Network: là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình ISA mà thôi 2.2. Cài Đặt ISA Server 2006 2.2.1 Chuẩn bị Đặt IP Address :Cấu hình IP các máy như sau: Máy Đặc tính PC01 PC02 Tên ISA Server Card Lan IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default gateway 192.168.1.1(Modem ADSL0) Preferred DNS Card Cross IP Address 172.16.1.1 172.16 1.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 172.16.1.1 Preferred DNS 172.16.1.2 172.16 1.2 Card Lan: nối gián tiếp 2 máy PC01 & PC02 với nhau thông qua Switch Card Cross: nối trực tiếp các cặp máy PC01 với PC02 *. Nâng cấp Domain Controller trên máy Server - Tại máy DC ( PC 01) Start→Run→DCPROMO 4 ISA Server 2006 Firewall - Domain Name: hui.com * Join domain các máy ISA(PC02) vào hui.com My Computer → Propertie s→ tab Computer Name → nhấp Change → Member Of Domain: hui.com 2.2.2. Cài đặt ISA 2006 Standard B1: Từ Source ISA2006 chạy file:ISAAutorun.exe. giao diện xuất hiện, chọn Intall ISA server 2006 → Next B2: Hộp thoại “ wellcom to the Installtion Wizard for Microsoft ISA server 2006”→ Next 5 ISA Server 2006 Firewall B3:Chọn “I accept the terms in the license agreement option on the License Agreement “ → Next B4: Nhập vào ô “user name” tronh hộp thoại Customer Information→ Next 6 ISA Server 2006 Firewall B5 : Trong hộp thoại Setup Type , chọn Typical → Next B6: trong hộp thoại Internal Network, chọn Add, nhập vùng địa chỉ mạng intrenal: 172.16.1.0-172.16.1.255 → Next 7 ISA Server 2006 Firewall B7.Trong hộp thoại Firewall Client Conection, bỏ check “Allow non-encrypted Firewall client connections → Next B8. Trong hộp thoại Services Warning, chọn Next → Intall trong hộp thoại ready to Install the Program 8 ISA Server 2006 Firewall B9. Chọn Finish trong hộp thoại Installation Wizard Completed 9 ISA Server 2006 Firewall CHƯƠNG 3: ACCESS POLICY ISA firewall’s Access Policy bao gồm Web Publishing Rules, Server Publishing Rules và Access Rules. Web Publishing Rules và Server Publishing Rules được dùng để cho phép truy cập từ ngoài vào, Access Rule được dùng để điều khiển truy cập ra ngoài. Nhìn chung bạn nên dùng Web Publishing Rules, Server Publishing Rules khi muốn kết nối từ một máy ngoài vào máy trong mạng ISA. Access Rule dùng điều khiển truy cập giữa hai mạng bất kỳ. Khi ISA chặn yêu cầu truy cập từ ngoài vào, nó kiểm tra Network Rules và Firewall Policy xác định có được phép truy cập không. Network rule được kiểm tra đầu tiên. Nếu không có Network Rule nào định nghĩa như NAT hoặc ROUTE giữa hai mạng đó thì không kết nối được. Khi một yêu cầu kết nối ra ngoài được nhận bởi ISA, điều đầu tiên ISA làm là kiểm tra xem nếu có một Network Rule định tuyến giữa nguồn và điểm đến không. Nếu không có Network Rule, các ISA firewall giả định rằng điểm nguồn và điểm đến là không kết nối. Nếu có giữa các nguồn và sau đó ISA firewall xử lý các Access Rules trong Access Policy từ trên xuống.Nếu Rule cho phép được kết hợp với các yêu cầu kết nối ra bên ngoài, ISA firewall sẽ cho phép yêu cầu. Để Rule cho phép được áp dụng để kết nối , các đặc tính của yêu cầu kết nối phải phù hợp với đặc tính được định nghĩa bởi Access Rule như: Protocol, Users, Content types, Shedules, Network Objects. Nếu không thoả các đặc tính thì ISA firewall sẽ xét đến Rule kế iếp. Nếu Access Rule phù hợp với các đặc tính trong các yêu cầu kết nối, sau đó bước tiếp theo là cho ISA firewall sẽ kiểm tra Network Rules lại một lần nữa để xác định nếu có một NAT hoặc Route mối quan hệ giữa điểm nguồn và điểm đến 3.1. ISA firewall access rule element ISA Firewall bao gồm các yếu tố và chính sách sau: 10 [...]... Network Objects 3.2 Tạo rule cho phép truy cập ra ngoài thông qua ISA firewall 11 ISA Server 2006 Firewall 1 Mở ISA server ,chọn Firewall Policy, chọn tasks tab trong Task panel, chọn create new access rule hoặc click phải chuột firewall policy →new →access rule 2 Nhập tên rule cần tạo “All open” vào ô Access rule name→ Next 12 ISA Server 2006 Firewall 3 Action chon “ Allow” → Next 4 Có 3 sự lựa chọn trong... nhớ cache ISA firewall thay vì được lấy từ web server Caching làm giảm tải trên máy web server Hỗ trợ chuyển tiếp địa chỉ IP của ISA firewall đến trang web Quy định thời gian được phép truy cập đến trang web Chuyển hướng port và giao thức ISA firewall cho phép chấp nhận yêu cầu kết nối từ một port , sau đó chuyển yêu cầu này đến một port khác trên web server 28 ISA Server 2006 Firewall 4.1.2 Server Publishing... nhóm sinhvien B2: Trong ISA Server → Phần Toolbox → Users → New B3: Nhập “sinhvien” vào ô User set name → Next 22 ISA Server 2006 Firewall B4: Add → chọn Windows User and Group B5: chọn group “sinhvien” → Next → Finish 3.5.2 Định nghĩa URL Set chứ trang web www.hui.edu.vn B1: ISA Server → Firewall Policy → qua phần Toolbox → Network Objects → New → URL Set 23 ISA Server 2006 Firewall B2: dòng name đặt... site or load balancer → Next 30 ISA Server 2006 Firewall 4 Hộp thoại Server Connection Security, chọn Use non-secured connections to connect the published Web server or server farm → Next 5 Hộp thoại Internal Publishing Details, gõ www.hui.com vào internal site name, check vào “Use a computer name of IP Address to connect to the 31 ISA Server 2006 Firewall published server , Computer name or IP address:... Rules, bạn có thể sử dụng Server Publishing Rules để cung cấp truy cập vào máy chủ và dịch vụ trong mạng ISA Firewall Các tính năng của Server Publishing Rules: ■ Server Publishing Rules là một hình thức NAT đảo ngược Server Publishing Rule cấu hình ISA firewall để lắng nghe trên một port được chỉ định và sau đó chuyển tiếp những yêu cầu kết nối tới server được publish trong mạng ISA firewall ■ Hầu như tất... OK 24 ISA Server 2006 Firewall 3.5.3 Định nghĩa giờ học ISA Server → Firewall Policy → Toolbox → Schedule → New Name: “giohoc”, chọn Active từ 7am – 5pm → Ok 3.5.4 Tạo Rule B1: Tạo Access Rule theo các thông số sau: Rule name : sinhvienhoc Action: Allow Protocols: HTTP, HTTPS Source Internal Destination: URL Set → hui User: Sinhvien B2: Properties Access Rule “sinhvienhoc”, 25 ISA Server 2006 Firewall. .. 4.1 Khái niệm Web Publishing và Server Publishing Rules cho phép bạn đưa máy chủ và dịch vụ trên ISA firewall sao cho các máy từ External Network có thể truy cập vào web hoặc server Công việc trên gọi là publish 27 ISA Server 2006 Firewall 4.1.1 Web Publishing Rules Web Publishing Rules được dùng để publish trang web và các dịch vụ Khi bạn publish một trang web, ISA firewall' s Web Proxy filter luôn... quy định trước  Log request matching this rule: có kết nối phù hợp với rule này thì sẽ tự động đăng nhập sau khi tạo rule 16 ISA Server 2006 Firewall • Protocols: Ban có thể thay đổi giao thức truy cập của rule , điều khiển giới hạn port qua ISA firewall 17 ISA Server 2006 Firewall • From: chỉnh sửa các nguồn địa điểm bạn có thể áp dụng rule này cho tát cả các nguồn địa điểm • To: tương tự như trong... connections with clients → Next 9 Hộp thoại Web Listener IP Addresses: chọn External → Next 34 ISA Server 2006 Firewall 10 Hộp thoại Authentication Settings, trong ô Select how clients will provide credentials to ISA Server chọn No Authentication → Next 11 Hộp thoại Single Sign on Settings → Next → Finish 35 ISA Server 2006 Firewall 12 Hôp thoại Select Web Listener chọn Non-SSL Web Publishing Rules → Next 13.. .ISA Server 2006 Firewall • • • • • 3.1.1 Protocols User Sets Content Types Shedules Network Objects Protocols ISA Firewall bao gồm một số giao thức có sẵn, bạn có thể dùng để tạo Access Rules, Web Publishing Rules và Server Publishing Rules Ngoài ra bạn có thể tạo các giao thức riêng cho bạn bằng cách sử dụng New Protocol Wizard của ISA Firewall Khi tạo một giao thức . xảy ra trên một hoặc nhiều ISA server CHƯƠNG 2: CÀI ĐẶT ISA SERVER 2006 2.1. Mô hình ISA Server 2006 3 ISA Server 2006 Firewall Internal Network:. ISA Server 2006 Firewall CHƯƠNG 1: GIỚI THIỆU FIREWALL ISA SERVER 2006 1.1 Khái niệm chung. Microsoft Internet Security and Acceleration Sever (ISA Server)