TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP XÂY DỰNG HỆ THỐNG TƯỜNG LỬA CHO DOANH NGHIỆP GV hướng dẫn : Phạm Tuấn Khiêm Sinh viên thực hiện : Lê Huỳnh Đức MSSV : 3001120137 Lớp : 12CDTH3 Mục lục LỜI CẢM ƠN Để có được vốn kiến thức và đồ án thực tập, em chân thành cảm ơn: Quý thầy cô trong khoa Công nghệ thông tin – Đại học Công Nghiệp Thực Phẩm TPHCM đã truyền đạt cho em kiến thức trong thời gian qua. Thầy Phạm Tuấn Khiêm đã hướng dẫn chỉ bảo tận tình chu đáo giúp em hoàn thành đồ án. Mặc dù em đã cố gắng hết sức để hoàn thành đồ án, nhưng vì tham khảo ở nhiều nguồn tài liệu khác nhau, cộng thêm kiến thức còn nhiều hạn chế, do đó không thể tránh khỏi những thiếu sót. Em rất mong nhận được sự thông cảm và đóng góp, chỉ bảo tận tình của quý thầy cô và các bạn để đồ án ngày càng hoàn thiện hơn. Em xin chân thành cảm ơn! 3 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN HCM, Ngày … Tháng … Năm 2014 ĐIỂM Giáo viên hướng dẫn Phạm Tuấn Khiêm 4 I. GIỚI THIỆU Microsoft Internet Security and Acceleration Server (ISA Server) là phần mềm chia sẻ Internet của hãng Microsoft. Đây là một trong những phần mềm tường lửa (Firewall) được ưa chuộng trên thị trường hiện nay nhờ vào khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt. A. Mục đích phải sử dụng ISA • Nếu máy tính của một cá nhân không được bảo vệ bởi Firewall thì khi máy tính đó kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép. Vì vậy hacker, trojan, virus có thể truy cập và lấy cắp thông tin trên máy tính đó. • Ngoài ra Hacker còn có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính cũng như có thể sử dụng máy tính đó để tấn công các máy tính khác. Điều này là cực kỳ huy hiểm với các máy tính trong một tổ chức. • Vì vậy hầu hết các tổ chức đều có một hệ thống Firewall để bảo vệ hệ thống mạng của tổ chức đó. B. Ưu điểm và hạn chế của ISA 1. Ưu điểm: • Firewall được dùng để ngăn chặn các trang web xấu vào một quốc gia, tổ chức, doanh nghiệp. Ngăn chặn các truy cập truy phép cũng như các cuộc tấn công lấy cắp dữ liệu, đánh sập mạng máy tính của hacker. • Firewall có thể bảo vệ cho dữ liệu, máy tính, mạng máy tính một cách khá chắc chắn. Bảo vệ chống lại những kẻ tấn công từ bên ngoài bằng cách chặn các mã nguy hiểm hoặc lưu lượng Internet không cần thiết vào máy tính hay mạng. • Firewall có thể được cấu hình để khóa dữ liệu từ các vị trí cụ thể trong khi vẫn đảm bảo cho dữ liệu cần thiết có thể đi qua. 2. Hạn chế: • Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Do đó Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. • Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. • Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (datadrivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua 5 Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall II. CÀI ĐẶT ISA 2006 Chúng ta xây dựng và sử dụng 2 máy tính ảo: - Máy tên DC sẽ được nâng cấp lên Domain Controller và cài đặt ISA 2006, máy này sẽ có 2 card mạng, ta đặt tên cho 2 card này như sau: • Internal: kết nối các máy trong mạng nội bộ • External: kết nối tới internet Cấu hình thông số ip trên 2 card mạng này: Card internal (host-only) : + IP address: 10.0.0.1 + Subnet mask: 255.0.0.0 Card external (Bridget): + IP address: 192.168.0.2 + Subnet mask: 255.255.255.0 + Default gateway: 192.168.0.1 Máy client cho gia nhập domain và có địa chỉ ip: + IP address: 10.0.0.2 + Subnet mask: 255.0.0.0 + Default gateway: 10.0.0.1 Cài đặt ISA 2006: Trên máy DC vào chạy chương trình Setup ISA Server -> chọn Install ISA Server 2006 6 Chọn next và tiến hành cài đặt bình thường. Lưu ý ở hộp thoại Conponent Selection ta click vào Configuration Storage Server chọn This feature will be installed on local hard drive. 7 Tiếp theo ở hộp thoại Internal Network ta chọn Add -> chọn Add Adapter -> internal -> Next -> Ở hộp thoại Fire Client Connection ta check vào Allow non-encrypted Fire client connectins -> Next -> Instal -> Finish Chú ý: Sau quá trình cài đặt, ISA sẽ khóa tất cả cổng ra vào của hệ thống mạng. Vì vậy máy DC và Client không thể truy cập Internet và Client không ping máy ISA server được. Tuy nhiên từ máy ISA Server ping tới máy client vẫn bình thường. III. ACCESS RULE Khái niệm: Access Rule được sử dụng để điều khiển truy cập gửi ra từ một mạng được bảo vệ bởi tường lửa ISA. Khi muốn cho phép một máy tính nằm phía sau sự kiểm soát của tường lửa ISA truy cập một mạng khác (gồm có Internet), cần tạo một Access Rule (luật truy cập) để cho phép kết nối đó. Mặc định, không có Access Rule nào cho phép các kết nối qua tường lửa, vì vậy mặc định tường lửa ISA là một bức tường gạch vững chắc bảo vệ cho mạng. Trạng thái đóng cửa mặc định này là một cấu hình an toàn, tuy nhiên nó cũng có nghĩa nếu muốn cho phép lưu lượng qua tường lửa ISA, cần phải hiểu cách Access Rule làm việc và cách tạo chúng như thế nào. • Một số rule cơ bản: 1. Tạo rule cho phép kết nối internet 2. Tạo rule cho phép traffic DNS Query để phân giải tên miền 3. Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) 4. Tạo rule cho phép các User thuộc nhóm “giaovien” sử dụng Internet không hạn chế 8 5. Chỉ cho xem “chữ” không cho xem “hình” 6. Cấm xem trang www.tuoitre.com.vn Thực hiện 1 – Tạo rule cho phép kết nối internet B1: Trong giao diện ISA click phải chuột Firewall policy -> New -> Access Rule. B2: Đăt tên cho access rule. B3: Chọn Allow để cho phép kết nối Internet. 9 B4: Protocols chọn All outbound traffic và Next. B5: Access Rule Sources chọn thêm Internal và Localhost. B7: Tại Access Rule Destinations chọn thêm External và nhấn Next. 10 [...]... thông số sau: Rule Name: giaovien Action: Allow Protocols: All Outbound Traffic Source: Internal Destination: External User: giaovien c – Kiểm tra: Logon gv1, thử truy cập internet … 17 5 - Chỉ cho xem “chữ” không cho xem “hình”: Chọn Properties của Rule vừa tạo -> Content Types -> Selected Content Types: - Documents - HTML Documents - Text 18 6 - Cấm xem trang www.tuoitre.com.vn: a - Định nghĩa các trang... Nhấn Finish để kết thúc quá trình tạo Publishing DNS cho phép máy internet phân giải 2 Web publishing Web pulishing là bên trong mạng nội bộ có một Web Server và các máy Client bên ngoại Internet có nhu cầu truy xuất trang Web bên trong nội bộ 22 B1: Phải chuột vào Firewall Policy -> New -> Web Site Publishing Rule B2: Đặt tên 23 Bước 3: Chọn Allow để cho phép máy client có thể truy cập được Bước 4:... computer name IP address to connect to the published server và điền IP của máy web server 25 Bước 7: Chọn đường dẫn cho trang web Điền * để chọn tất cả các trang Bước 8: Điền địa chỉ web mà máy client sẽ dung nó để truy cập vào website 26 Bước 9: Tạo một Web Listener Bước 10: Đặt tên cho Web Listener 27 Bước 11: Chọn Do Not Require SSL Secured Connections With Clients Bước 12: Chọn IP addresses chỉ...11 B7: Tại user sets chọn All Users và nhấn Next B8: Nhấn Aply để áp dụng Access Rule 2 - Tạo rule cho phép traffic DNS Query để phân giải tên miền B1: ISA Management -> Firewall Policy -> New -> Access Rule 12 B2: Gõ “DNS Query” vào ô Access Rule Name -> Next B3: Action chọn “Allow” -> Next B4: Trong... thông số sau: Rule Name: Web bi cam Action: Deny Protocols: All Outbound Traffic Source: Internal Destination: URL Set -> tuoitre User: All Users Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1 c – Kiểm tra: thử truy cập http://www.24h.com.vn IV SERVER PUBLISHING 1 Publish DNS a Cài đặt dịch vụ DNS trên máy ISA Server Tiến hành cài đặt dịch vụ DNS trên máy ISA... >Next B7: Trong “User Sets” chọn giá trị mặc định “All Users” ->Next -> Finish Chọn nút “apply” (phía trước có dấu chấm than) B8: dùng lệnh NSLOOKUP để phân giải thử một tên miền bất kỳ 14 3 - Tạo rule cho phép mọi User sử dụng mail ( SMTP + POP3 ) B1: Tạo Access rule theo các thông số sau: Rule Name: Allow Mail (SMTP + POP3) Action: Allow Protocols: POP3 + SMTP Source: Internal Destination: External... sau: Display Name: Hoc Vien Email Address: hocvien@cntp.com OutGoing Mail: mail.hufi.com InComming Mail: mail.hufi.com Account Name: hocvien@cntp.com Password: hocvien Thử gởi/ nhận mail 4 - Tạo rule cho phép các User thuộc nhóm “giaovien” sử dụng Internet không hạn chế a – Định nghĩa nhóm “giaovien”: B1: Dùng chương trình “Active Directory User and Computer” tạo 2 user gv1, gv2 (password P@ssw0rd) . TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP XÂY DỰNG HỆ THỐNG TƯỜNG LỬA CHO DOANH NGHIỆP GV hướng dẫn : Phạm Tuấn Khiêm . nối đó. Mặc định, không có Access Rule nào cho phép các kết nối qua tường lửa, vì vậy mặc định tường lửa ISA là một bức tường gạch vững chắc bảo vệ cho mạng. Trạng thái đóng cửa mặc định này. vệ bởi tường lửa ISA. Khi muốn cho phép một máy tính nằm phía sau sự kiểm soát của tường lửa ISA truy cập một mạng khác (gồm có Internet), cần tạo một Access Rule (luật truy cập) để cho phép